Удаленный доступ к Mikrotik

aleksandr.nahtigal · 08 ноя 2019, 17:17

Доброго времени суток. Недавно начал ковырять в чуде латвийской мысли и возникли некоторые трудности:
1) Я настроил удаленный доступ к микротик, с телефона через мобильную сеть всё замечательно работает, и через веб морду, и через винбокс. Но стоит мне подключиться к вай фай, то доступ с телефона становится невозможен. То же самое касается ПК. Со стороннего ПК доступ невозможен. Как сделать так, чтобы я мог зайти с любого устройства и из любой сети?
2) Хотелось бы услышать комментарии по поводу VPN, какой тип лучше настроить скорость/безопасность. У нас офис разбросан по нескольким улицам. Хочешь не хочешь, нужно, чтобы 7 сетей были доступны друг другу.

Скриншоты Filter Rules, NAT и IP->Service прилагаю.

xvo · 08 ноя 2019, 17:41

У вас и winbox и webfig открыты наружу всем желающим на стандартных портах?
Учитывая, насколько часто и в том и в другом находят уязвимости, даже и не знаю, что вам ломанут раньше.

Закройте и настройте для доступа l2tp+ipsec.

P.s.: по вашему основному вопросу, если вы пытаетесь изнутри подключиться на внешний адрес, то предварительно настройте то, что называется hairpin nat.

xvo · 08 ноя 2019, 17:48

Для связи между офисами: там где белые статические адреса на обоих сторонах - GRE+IPSec.
Если где-то белый адрес только на одной стороне - там опять же L2TP+IPSec.

aleksandr.nahtigal · 08 ноя 2019, 17:57

xvo писал(а): ↑08 ноя 2019, 17:41 P.s.: по вашему основному вопросу, если вы пытаетесь изнутри подключиться на внешний адрес, то предварительно настройте то, что называется hairpin nat.

Большое спасибо за ответы, обязательно сделаю.
Немного не поняли мой вопрос, подключение происходит не изнутри на внешний, а с совершенно другой сети на внешний микротика другой сети.

И сразу вопрос в догонку: я правильно понимаю, что лучше отключить неиспользуемые интерфейсы? Я про www, winbox., telnet и другие.

xvo · 08 ноя 2019, 18:02

aleksandr.nahtigal писал(а): ↑08 ноя 2019, 17:57 Большое спасибо за ответы, обязательно сделаю.
Немного не поняли мой вопрос, подключение происходит не изнутри на внешний, а с совершенно другой сети на внешний микротика другой сети.

И при этом нормально работает из сотовой сети, но не работает из wifi сети другой? Не вашей?

aleksandr.nahtigal · 08 ноя 2019, 18:11

xvo писал(а): ↑08 ноя 2019, 18:02
aleksandr.nahtigal писал(а): ↑08 ноя 2019, 17:57 Большое спасибо за ответы, обязательно сделаю.
Немного не поняли мой вопрос, подключение происходит не изнутри на внешний, а с совершенно другой сети на внешний микротика другой сети.
И при этом нормально работает из сотовой сети, но не работает из wifi сети другой? Не вашей?

Все верно. Достаточно подключиться к вай фай другого отдела - не подключается. Пробуешь через мобильные данные, то всё работает. Грешу на настройки фаервола микротика, к которому подключаешься, потому что даже с вай фай девственно чистого микротика соединения нет. Но набор правил стандартный. Я не понимат.

xvo · 08 ноя 2019, 18:24

aleksandr.nahtigal писал(а): ↑08 ноя 2019, 18:11 Все верно. Достаточно подключиться к вай фай другого отдела - не подключается. Пробуешь через мобильные данные, то всё работает. Грешу на настройки фаервола микротика, к которому подключаешься, потому что даже с вай фай девственно чистого микротика соединения нет. Но набор правил стандартный. Я не понимат.

Если вы там специально не добавляли правила со списками адресов, с которых можно подключаться (или наборот, с которых нельзя), то firewall тут не при чем.

Проблема может быть, если обе локации в сети одного провайдера и до вашего микротика, к которому подключаетесь запрос приходит с серого адреса, который допустим совпадает с вашей внутренней адресацией.

Но если два совершенно разных провайдера и запрос четко приходит откуда-то "снаружи", то никакой разницы между подключением из сотовой сети и из сети другого провайдера для вашего микротика быть не может.

aleksandr.nahtigal · 08 ноя 2019, 18:42

xvo писал(а): ↑08 ноя 2019, 18:24 Если вы там специально не добавляли правила со списками адресов, с которых можно подключаться (или наборот, с которых нельзя), то firewall тут не при чем.

Проблема может быть, если обе локации в сети одного провайдера и до вашего микротика, к которому подключаетесь запрос приходит с серого адреса, который допустим совпадает с вашей внутренней адресацией.

Но если два совершенно разных провайдера и запрос четко приходит откуда-то "снаружи", то никакой разницы между подключением из сотовой сети и из сети другого провайдера для вашего микротика быть не может.

Да, провайдер один, локации находятся в одном районе. Это объяснение вполне подходящее, спасибо. Буду опровергать или подтверждать его.
Я вопрос оставил пару сообщений выше об отключении интерфейсов. Можете ответить?

xvo · 08 ноя 2019, 18:58

aleksandr.nahtigal писал(а): ↑08 ноя 2019, 18:42 Я вопрос оставил пару сообщений выше об отключении интерфейсов. Можете ответить?

Не интерфейсов, сервисов.
Да, те, которые не используете, лучше отключить.
Те, которые используете, как можно скорее прикрыть firewall'ом от доступа извне.
Если доступ извне обязателен, а доступ по впн пока не настроен - как минимум поменять порты на нестандартные.

aleksandr.nahtigal · 08 ноя 2019, 19:26

Все максимально понятно. Огромное спасибо за разъяснения!

Удаленный доступ к Mikrotik

Вход • Регистрация