Mikrotik RouterOS новая функция Cloud

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
SPAX
Сообщения: 11
Зарегистрирован: 13 окт 2019, 19:21

xvo
2. бегло глянул, там тоже получается нужен белый лист...а это физически не возможно, ведь заходить могу с разных устройств...
3. пока гремучий лес для меня...вообще не разбирался...

Сейчас столкнулся с очередной проблемой... на камеру то в браузере заходит, а вот приложения по Onvif не могут цепануться...при попытке счётчик в NATе прибавляется, но приложение в телефоне пишет не получилось....


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

SPAX писал(а): 14 окт 2019, 09:30 2. бегло глянул, там тоже получается нужен белый лист...а это физически не возможно, ведь заходить могу с разных устройств...
Не нужен. Там весь смысл - добавить на время в белый список тот адрес, с которого правильно постучались.
SPAX писал(а): 14 окт 2019, 09:30 3. пока гремучий лес для меня...вообще не разбирался...
Ничего сложного, l2tp + ipsec настраивается на трех вкладках. Плюс пара правил firewall'а.
SPAX писал(а): 14 окт 2019, 09:30 Сейчас столкнулся с очередной проблемой... на камеру то в браузере заходит, а вот приложения по Onvif не могут цепануться...при попытке счётчик в NATе прибавляется, но приложение в телефоне пишет не получилось....
Может там ещё какой-то порт дополнительно нужно пробросить?

В общем и в этом тоже прелесть впн - настраивается один раз, а доступ есть везде куда надо, не надо для каждого нового сервиса снова пробрасывать порты.


Telegram: @thexvo
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

SPAX писал(а): 14 окт 2019, 08:56 Сейчас исход такой, сделал 2.1 и 3 и теперь пускает на камеру по клоуд адресу + порт! Но на сам МТ не пускает (на 2ip пишет порт 80 и 8291 закрыты)...
Вопрос в следующем, сейчас у меня будет пускать всех кому не лень на камеру, верно? Т.е. её надо защитить хорошим паролем? (доступ по IP не варик, могу заходить с разных устройств всегда....)
Тот же вопрос и касается самого МТ, как его защитить от левых?
Вам xvo ответил почти по всем вопросам, я бы наверно исходил так,
если это одна камера и Вы пока плаваете с настройками, то сделать
хороший пароль на камеру и пока всё, на какой-то период хватит, естественно,
как и посоветовал xvo - выбрать не стандартный номер порта.
Обычно китайцем взламывать камеру мало интересно.
На крайний случай -раз в месяц можно порт менять.
У нас так или иначе повально открывают порты, и открывают и для камер,
а и для видеорегистраторов и для прочего.

На счёт доступа к МТ из вне, Вам надо разобраться в файрволе, он у Вас заводской,
я с ним не работаю, мне проще свой использовать, порт винбокса тоже можете
сменить, главное заведите себя (отдельная учётка) с хорошим паролем, зайдите
под ней, и уже будучи под новым аккаунтом - отключите админа.
НЕТ админа - уже намного легче. Также как я и советовал ранее, надо отключить
все службы роутера (почти все, в целом отключить можно всё, кроме винбокса).

Не забудьте сделать копию конфига.

P.S.
Если кол-во камер, надёжность и прочее будут расти - вот тут уже ВПН думаю самое то.
Чем сеть и её функционал больше, проще уже не сеть открывать наружу, а сделать
ВПН, чтобы попадать в сеть и уже будучи внутри ней, работать полноценно, по любым
внутренним адресам и портам.

P.P.S.
Если сделаете доступ на микротик, можно тогда с мобильного приложения заходить
на роутер, включать правило проброса, заходить на камеру, потом проброс на камеру
отключать и всё. Лишнее движение, зато порт камеры у Вас будет отключён всегда.
Мобильное приложение (аля винбокс) Микротиковцы сделали и поддерживают,
в целом в нём уже приятно работать. НЕ идеальный вариант, такой промежуточный,
но считаю что и он имеет право на жизнь.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Vlad-2 писал(а): 14 окт 2019, 18:44 P.P.S.
Если сделаете доступ на микротик, можно тогда с мобильного приложения заходить
на роутер, включать правило проброса, заходить на камеру, потом проброс на камеру
отключать и всё. Лишнее движение, зато порт камеры у Вас будет отключён всегда.
Мобильное приложение (аля винбокс) Микротиковцы сделали и поддерживают,
в целом в нём уже приятно работать. НЕ идеальный вариант, такой промежуточный,
но считаю что и он имеет право на жизнь.
Ой. Ну вот это вообще неудобно: подключить единожды настроенный впн на любом компе/телефоне - это пара кликов. А каждый раз заходить что-то менять в конфигурации - да ну. Уж пусть лучше тогда эта несчастная камера светится на каком-нибудь левом порту.

Тут же вопрос не стоит ребром: проброс vs впн.
Для каких-то задач, и в каких-то определенных условиях, одно удобнее и логичнее, для других вводных - другое.

В моём понимании, порты - это когда:
1) какой-то сервис делается общедоступным (пример: любой вебсайт).
2) делается для себя, но подключения должны происходить в фоне, без участия пользователя (пример: прокси для телеграма).

Для тех случаев когда подключение к сервису это осознанное, атомарное, пусть даже и достаточно частое, действие пользователя - тогда впн.


Telegram: @thexvo
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

xvo писал(а): 14 окт 2019, 19:20 Ой. Ну вот это вообще неудобно: подключить единожды настроенный впн на любом компе/телефоне - это пара кликов. А каждый раз заходить что-то менять в конфигурации - да ну. Уж пусть лучше тогда эта несчастная камера светится на каком-нибудь левом порту.
1) ну я же его предложил как средний такой варианчик
2) ВПН не всегда уместен, ни в организациях (не хотят/не могут), иногда не согласовывается (ниже опишу),
не всегда есть технические моменты (нету адресации внешней, нету наличие железки под это дело), и прочее.
xvo писал(а): 14 окт 2019, 19:20 Тут же вопрос не стоит ребром: проброс vs впн.
Для каких-то задач, и в каких-то определенных условиях, одно удобнее и логичнее, для других вводных - другое.
Согласен, но ВПН это всё же я считаю определённый сервис, который надо правильно настраивать и администрировать.
А не так, бац-бам и готово.

На счёт несогласованности:
есть разные конторы (скажем два офиса), один хочет так подключаться (к примеру по L2TP), второй
хочет лишь по OpenVPN - вот и оба и не могут согласоваться.
Бывает и нет желания, один админ хочет чтоб было только по его, другой хочет иначе.

На счёт ВПНа и в рамках клиентских моментов (это с телефонов/планшетов и т.д):
а) есть ряд провайдеров которые режут ВПН-овские протоколы
б) где-то это вообще не работает (начиная от ПО в телефоне, до... ограничения каких-то)
в) не всегда уместно в рамках простого клиента (то есть когда клиент обычный пользователь
домашний, только-только начал пользоваться чем-то и сразу ему ВПН изучать и настраивать,
это всё равно что на рыбалку брать не генератор, а сразу с собой атомную станцию возить).

Кажется я Sertik'у говорил в своё время - ВПН это новый уровень, новый подход, к нему
каждый пользователь/админ должен подойти осознанно, выбрав стратегию, логику,
изучить и настроить.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Да, это в общем все понятно.
Но, во-первых, большая часть технических или административных трудностей все-таки решаема, при должном желании/умении. Во-вторых, часть того, что все-таки решить нельзя для впн, так же нельзя решить и для простого проброса - отсутствие внешнего адреса, засады на стороне провайдера и т.д.
Ну и самое главное, конкретно в текущий "исторический" период, в связи со всем хайпом вокруг блокировок и их обходов, впн проникает, можно сказать, даже на "уровень домохозяек": куча сервисов, куча статей/мануалов/гайдов по настройке, у каждого второго личная VPS на хетцнере и т.д. Так что почитать, разобраться в теме, очень даже полезно, и в духе времени. :-)


Telegram: @thexvo
SPAX
Сообщения: 11
Зарегистрирован: 13 окт 2019, 19:21

Спасибо за ответы, поизучаю ещё port-knocking. ВПН точно не вариант, я хочу малинку, как сервер для Blynk повесить, а к ней будут цепляться девайсы с разных мест...там точно впн не сделать....
Не понятно, почему все пишут поменять пользователя...нельзя что ли просто в админе поменять всё?


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

SPAX писал(а): 15 окт 2019, 00:13 Спасибо за ответы, поизучаю ещё port-knocking. ВПН точно не вариант, я хочу малинку, как сервер для Blynk повесить, а к ней будут цепляться девайсы с разных мест...там точно впн не сделать....
Это получится, что на всех девайсах надо будет зашивать алгоритм простукивания портов, так что лучше тогда вообще не заморачивайтесь.
SPAX писал(а): 15 окт 2019, 00:13 Не понятно, почему все пишут поменять пользователя...нельзя что ли просто в админе поменять всё?
А что "всё" то? Пользователь - это просто пара логин/пароль и набор прав доступа.
И вот если брутфорсят пароль, то именно к дефолтному логину.
А когда имя пользователя нестандартное, то взломать могут, только используя какую-то уязвимость.
А если и порт поменять на нестандартный, то тогда никто даже с открытой уязвимостью вас ломать не станет и можно спокойно дожить до того, как уязвимость закроют.


Telegram: @thexvo
SPAX
Сообщения: 11
Зарегистрирован: 13 окт 2019, 19:21

xvo писал(а): 15 окт 2019, 00:32
Это получится, что на всех девайсах надо будет зашивать алгоритм простукивания портов, так что лучше тогда вообще не заморачивайтесь.
Понял, тогда оставляю так...
xvo писал(а): 15 окт 2019, 00:32 А что "всё" то? Пользователь - это просто пара логин/пароль и набор прав доступа.
И вот если брутфорсят пароль, то именно к дефолтному логину.
А когда имя пользователя нестандартное, то взломать могут, только используя какую-то уязвимость.
А если и порт поменять на нестандартный, то тогда никто даже с открытой уязвимостью вас ломать не станет и можно спокойно дожить до того, как уязвимость закроют.
Понятно. Заменил.

Vlad-2 писал(а): 14 окт 2019, 18:44
На счёт доступа к МТ из вне, Вам надо разобраться в файрволе, он у Вас заводской,
я с ним не работаю, мне проще свой использовать, порт винбокса тоже можете
сменить, ......
Я не трогаю файрвол т.к. не знаю как правильно его настроить и боюсь оставить дыру...везде где смотрел по-разному делают....
Если подскажете, какие параметры конкретно сделать, то настрою, попробуем проверить))


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

SPAX писал(а): 15 окт 2019, 08:19 Я не трогаю файрвол т.к. не знаю как правильно его настроить и боюсь оставить дыру...везде где смотрел по-разному делают....
Ну файрволл = это как сочинение, нет правильно или не правильно, у каждого свои вкусы, виды, предпочтения.
SPAX писал(а): 15 окт 2019, 08:19 Если подскажете, какие параметры конкретно сделать, то настрою, попробуем проверить))
Увы, по файрволам можно книги писать и будет мне кажется мало.

Задача основная = те порты, что у Вас открыты, надо защитить, порт ДНСа, 53,
вот его надо снаружи (на внешнем интерфейсе) закрыть, при этом внутри он должен
обязательно быть доступен в полном объёме.

А в целом логика простая:
а) описываем что можно, как можно и так далее
б) описываем что-то ещё не типичное
в) последними правилами закрываем явно всё не определённое.
(это если очень кратко и сжато).



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ответить