удаленная настройка wlan

[sergey.aleksandrovich]

суть вопроса в том что нужно дать человеку микрот с настроенным ipsec тунелем для работы с домашнего пк в корпоративной сети.
Проблема в том чтобы не давая пароля от микрота как то прописывать ssid и пароль от домашней wifi сети.
Может кто то может помочь в данном вопросе??

[Erik_U]

Зачем давать человеку микротик для этого?

У него есть компьютер и выход в интернет - этого достаточно.
Пусть настроит L2TP клиента с IPSEC, и работает.

Если нужно обязательно дать ему микротик - зачем прописывать SSID домашней сети?

Пропишите другой SSID на этом микротике, настройте его так, как будто 1 порт смотрит в интернет, получая адрес по DHCP.
А человеку накажите пачкордом первый порт микротика соединить со своей домашней точкой доступа.

У него получатся 2 WiFi сети дома. Одна его, а вторая - та, которую вы на микротике настроили. Захочет поработать - присоединиться в сети микротика.

[Vlad-2]

Проблема в том чтобы не давая пароля от микрота как то прописывать ssid и пароль от домашней wifi сети.
Может кто то может помочь в данном вопросе??

Человек согласен/может/не против/ И знает данные (ссид и пароль от своей сети?)
И согласен их Вам дать?

Тогда нет проблем, берёте другой роутер (не важно какой), на нём поднимаете вифи сеть
с сидом и паролем как у клиента (формально имитируете его сеть/точку), и привязываете
роутер (микротик) к этой сети, проверяете ещё раз доступы и всё в целом.

1-2 раза я так проделывал, работает связка/лайфхак такой.

[sergey.aleksandrovich]

Спасибо за ответы но немного не то.
Нужно дать сотруднику более универсальный доступ.
Может кто то знает скрипт для чтения ssid и пароля из файла на компе????

[Vlad-2]

Спасибо за ответы но немного не то.
Нужно дать сотруднику более универсальный доступ.

Вы усложняете задачу.
Если нужно, то давайте доступ пользователю, или делайте себе "дырку" для доступа.

Вот ещё один совет (сам придумал в своё время и пользовался):
а) попросите пользователя чтобы он временно подключил микротик по проводу к своему роутеру/к сети домашней
б) на Вашем роутере сделайте любое исходящее подключение для поднятие туннеля (да хоть бы рртр)
в) зайдите удалённо на этот роутер (через этот канал) и уже до-настройте всё остальное.

Я иногда даже оставляю рртр/л2тп подключение на свой внешний адрес, дабы видеть
какой айпи и вообще, жива ли железка (есть такой объект который иногда глючит).

Может кто то знает скрипт для чтения ssid и пароля из файла на компе????

Это как? Взять файл, пользователю туда надо написать в формате каком-то свой ссид,
свой пароль, как-то этот файл перекинуть в микротик, каким-то скриптом от-парсировать
этот файл. Мне кажется это нереально или очень сложно.

P.S.
Принцип "бритвы оккама" гласит - простое, и есть верное решение.

[sergey.aleksandrovich]

рассматривал и такой вариант.
Все таки хотелось сделать мега универсально. но если это не реально то пойду по подобному пути

[podarok66]

Я прошу прощения, что вмешиваюсь в ваше обсуждение, но мне стало интересно и я поковырялся полчасика. Итогом стал следующий вариант.
Вы создаёте на Тике новую группу с правами winbox, write, ftp. Ограничивайте в IP->Services сервис ftp вашей локальной подсеткой, это нормально для безопасности. Теперь создаём юзера и включаем его в созданную группу. Этот юзер ничего не видит, и может лишь подключиться через Winbox к Тику и затащить на Тик файл (простое перетаскивание мышкой в окне Winbox). Вашему пользователю отдаёте Тик и логин-пароль этого самого юзера. Приходит юзер домой, включает свой комп в Тик проводом, создаёт на компе файл текстовый с именем 1.txt и пишет там только одну строку вида

Код: Выделить всё

ssid:password

Это он записывает свои ssid и пароль от своего WiFi. Файлик перетаскивается на Тик. А там работает скрипт, который берёт данные и вносит изменения в настройки Тика. А файлик затем стирает, из всяческих соображений
Весь скрипт я писать не буду, сами напишите, а принципы парсинга достаточно просты:

Код: Выделить всё

{
:local t [/file get [find name=1.txt] content]; 
:local y [:len $t]; 
:put [:pick $t 0 [:find $t ":"]];
:put [:pick $t ([:find $t ":"]+1) $y];
/file remove [find name=1.txt]
}  

Не знаю, насколько это решение универсально, можно давать с Тиком ещё и флешку с Winbox и шаблоном файла и с инструкцией, но с современными пользователями это так ненадёжно, что ужас. Ну пробуйте, спрашивайте, будем править, что там не так.
И спасибо за хороший, интересный вопрос

[sergey.aleksandrovich]

Понимаете, если дать доступ в winbox то это значит дать доступ к настройкам шлюза, в том числе и паролю. В таком случае пропадает сама идея безопасности.
Возможно микрот сам может забрать определенный файл с определенного места? Вот тогда бы, в сочетании со скриптом в шадулере, это было отличное решение.

[podarok66]

Да вы осмыслите, какой там доступ?

Вы создаёте на Тике новую группу с правами winbox, write, ftp.

Там даже невозможно будет понять, закинулся файлик или нет. Вы бы пробовали, прежде чем говорить. Создайте юзера и посмотрите.
Теперь далее,

Возможно микрот сам может забрать определенный файл с определенного места?

Ну вот откуда он заберёт, если вы ему доступ не настроили? У него нет доступа никуда, пока вы его не установите, а установить можно только настроив. А настроить, только получив эту пресловутую пару. Вот предложите, где не подключённый никуда роутер может забрать данные? Причём сам. Да ещё и зная, что ssh-соединения в скриптах запрещены.
Не, ну можно вспомнить про fetch, но чёрт возьми, для этого нужен выход в сеть! А его нет!
По-моему, вы немного перебрали с паранойей. В этом случае пусть юзеры приносят данные заранее и сами их вводите. А дома просто включают Тик в сеть и всё.