суть вопроса в том что нужно дать человеку микрот с настроенным ipsec тунелем для работы с домашнего пк в корпоративной сети.
Проблема в том чтобы не давая пароля от микрота как то прописывать ssid и пароль от домашней wifi сети.
Может кто то может помочь в данном вопросе??
удаленная настройка wlan
-
- Сообщения: 1776
- Зарегистрирован: 09 июл 2014, 12:33
Зачем давать человеку микротик для этого?
У него есть компьютер и выход в интернет - этого достаточно.
Пусть настроит L2TP клиента с IPSEC, и работает.
Если нужно обязательно дать ему микротик - зачем прописывать SSID домашней сети?
Пропишите другой SSID на этом микротике, настройте его так, как будто 1 порт смотрит в интернет, получая адрес по DHCP.
А человеку накажите пачкордом первый порт микротика соединить со своей домашней точкой доступа.
У него получатся 2 WiFi сети дома. Одна его, а вторая - та, которую вы на микротике настроили. Захочет поработать - присоединиться в сети микротика.
У него есть компьютер и выход в интернет - этого достаточно.
Пусть настроит L2TP клиента с IPSEC, и работает.
Если нужно обязательно дать ему микротик - зачем прописывать SSID домашней сети?
Пропишите другой SSID на этом микротике, настройте его так, как будто 1 порт смотрит в интернет, получая адрес по DHCP.
А человеку накажите пачкордом первый порт микротика соединить со своей домашней точкой доступа.
У него получатся 2 WiFi сети дома. Одна его, а вторая - та, которую вы на микротике настроили. Захочет поработать - присоединиться в сети микротика.
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Человек согласен/может/не против/ И знает данные (ссид и пароль от своей сети?)sergey.aleksandrovich писал(а): ↑13 дек 2019, 14:37 Проблема в том чтобы не давая пароля от микрота как то прописывать ssid и пароль от домашней wifi сети.
Может кто то может помочь в данном вопросе??
И согласен их Вам дать?
Тогда нет проблем, берёте другой роутер (не важно какой), на нём поднимаете вифи сеть
с сидом и паролем как у клиента (формально имитируете его сеть/точку), и привязываете
роутер (микротик) к этой сети, проверяете ещё раз доступы и всё в целом.
1-2 раза я так проделывал, работает связка/лайфхак такой.
-
- Сообщения: 4
- Зарегистрирован: 13 дек 2019, 14:31
Спасибо за ответы но немного не то.
Нужно дать сотруднику более универсальный доступ.
Может кто то знает скрипт для чтения ssid и пароля из файла на компе????
Нужно дать сотруднику более универсальный доступ.
Может кто то знает скрипт для чтения ssid и пароля из файла на компе????
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Вы усложняете задачу.sergey.aleksandrovich писал(а): ↑14 дек 2019, 11:19 Спасибо за ответы но немного не то.
Нужно дать сотруднику более универсальный доступ.
Если нужно, то давайте доступ пользователю, или делайте себе "дырку" для доступа.
Вот ещё один совет (сам придумал в своё время и пользовался):
а) попросите пользователя чтобы он временно подключил микротик по проводу к своему роутеру/к сети домашней
б) на Вашем роутере сделайте любое исходящее подключение для поднятие туннеля (да хоть бы рртр)
в) зайдите удалённо на этот роутер (через этот канал) и уже до-настройте всё остальное.
Я иногда даже оставляю рртр/л2тп подключение на свой внешний адрес, дабы видеть
какой айпи и вообще, жива ли железка (есть такой объект который иногда глючит).
Это как? Взять файл, пользователю туда надо написать в формате каком-то свой ссид,sergey.aleksandrovich писал(а): ↑14 дек 2019, 11:19 Может кто то знает скрипт для чтения ssid и пароля из файла на компе????
свой пароль, как-то этот файл перекинуть в микротик, каким-то скриптом от-парсировать
этот файл. Мне кажется это нереально или очень сложно.
P.S.
Принцип "бритвы оккама" гласит - простое, и есть верное решение.
-
- Сообщения: 4
- Зарегистрирован: 13 дек 2019, 14:31
рассматривал и такой вариант.
Все таки хотелось сделать мега универсально. но если это не реально то пойду по подобному пути
Все таки хотелось сделать мега универсально. но если это не реально то пойду по подобному пути
- podarok66
- Модератор
- Сообщения: 4360
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Я прошу прощения, что вмешиваюсь в ваше обсуждение, но мне стало интересно и я поковырялся полчасика. Итогом стал следующий вариант.
Вы создаёте на Тике новую группу с правами winbox, write, ftp. Ограничивайте в IP->Services сервис ftp вашей локальной подсеткой, это нормально для безопасности. Теперь создаём юзера и включаем его в созданную группу. Этот юзер ничего не видит, и может лишь подключиться через Winbox к Тику и затащить на Тик файл (простое перетаскивание мышкой в окне Winbox). Вашему пользователю отдаёте Тик и логин-пароль этого самого юзера. Приходит юзер домой, включает свой комп в Тик проводом, создаёт на компе файл текстовый с именем 1.txt и пишет там только одну строку вида
Это он записывает свои ssid и пароль от своего WiFi. Файлик перетаскивается на Тик. А там работает скрипт, который берёт данные и вносит изменения в настройки Тика. А файлик затем стирает, из всяческих соображений
Весь скрипт я писать не буду, сами напишите, а принципы парсинга достаточно просты:
Не знаю, насколько это решение универсально, можно давать с Тиком ещё и флешку с Winbox и шаблоном файла и с инструкцией, но с современными пользователями это так ненадёжно, что ужас. Ну пробуйте, спрашивайте, будем править, что там не так.
И спасибо за хороший, интересный вопрос
Вы создаёте на Тике новую группу с правами winbox, write, ftp. Ограничивайте в IP->Services сервис ftp вашей локальной подсеткой, это нормально для безопасности. Теперь создаём юзера и включаем его в созданную группу. Этот юзер ничего не видит, и может лишь подключиться через Winbox к Тику и затащить на Тик файл (простое перетаскивание мышкой в окне Winbox). Вашему пользователю отдаёте Тик и логин-пароль этого самого юзера. Приходит юзер домой, включает свой комп в Тик проводом, создаёт на компе файл текстовый с именем 1.txt и пишет там только одну строку вида
Код: Выделить всё
ssid:password
Весь скрипт я писать не буду, сами напишите, а принципы парсинга достаточно просты:
Код: Выделить всё
{
:local t [/file get [find name=1.txt] content];
:local y [:len $t];
:put [:pick $t 0 [:find $t ":"]];
:put [:pick $t ([:find $t ":"]+1) $y];
/file remove [find name=1.txt]
}
И спасибо за хороший, интересный вопрос
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
- Сообщения: 4
- Зарегистрирован: 13 дек 2019, 14:31
Понимаете, если дать доступ в winbox то это значит дать доступ к настройкам шлюза, в том числе и паролю. В таком случае пропадает сама идея безопасности.
Возможно микрот сам может забрать определенный файл с определенного места? Вот тогда бы, в сочетании со скриптом в шадулере, это было отличное решение.
Возможно микрот сам может забрать определенный файл с определенного места? Вот тогда бы, в сочетании со скриптом в шадулере, это было отличное решение.
- podarok66
- Модератор
- Сообщения: 4360
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Да вы осмыслите, какой там доступ?
Теперь далее,
Не, ну можно вспомнить про fetch, но чёрт возьми, для этого нужен выход в сеть! А его нет!
По-моему, вы немного перебрали с паранойей. В этом случае пусть юзеры приносят данные заранее и сами их вводите. А дома просто включают Тик в сеть и всё.
Там даже невозможно будет понять, закинулся файлик или нет. Вы бы пробовали, прежде чем говорить. Создайте юзера и посмотрите.
Теперь далее,
Ну вот откуда он заберёт, если вы ему доступ не настроили? У него нет доступа никуда, пока вы его не установите, а установить можно только настроив. А настроить, только получив эту пресловутую пару. Вот предложите, где не подключённый никуда роутер может забрать данные? Причём сам. Да ещё и зная, что ssh-соединения в скриптах запрещены.sergey.aleksandrovich писал(а): ↑16 дек 2019, 10:26 Возможно микрот сам может забрать определенный файл с определенного места?
Не, ну можно вспомнить про fetch, но чёрт возьми, для этого нужен выход в сеть! А его нет!
По-моему, вы немного перебрали с паранойей. В этом случае пусть юзеры приносят данные заранее и сами их вводите. А дома просто включают Тик в сеть и всё.
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...