The DUDE и нестандартный порт WinBox
Добавлено: 27 июн 2020, 12:07
Коллеги, здравствуйте.
Имеется MikroTik RB1100AHx4 Dude Edition, прошивка самая свежая 6.47 . Внутрь установлен SSD диск, на нём установлен The DUDE Server.
Удалённые Микротики типа таких: Mikrotik hAP ac lite , MikroTik cAP ac и т.п.
Клиент The DUDE (в котором рисую карту) стоит на компьютере с Windows, нарисована карта, все красиво, скорости отображаются отлично, всё наглядно.
Но постоянно атакуют сотни компьютеров TCP порт 8291.
Как советуют на форумах сменил порт на нестандартный, на стандартный порт поставил ловушку и всех кто стучится на него отправляю в бан. Свои IP внес в белый список, чтобы случайно не отправить в бан свои микротики.
После смены стандартного порта WinBox на другой сразу же покраснели на карте все Микротики.
Вместо цифр со скоростями теперь вопросики.
В логах и настройках Микротика видно, что The DUDE перестал подключаться к к Микротикам. Для The Dude я создал отдельных юзеров с правами только на чтение. И видно, что последний раз вход был перед сменой номера порта.
В настройках The DUDE нет возможности добавть к адресу устройства (IP) еще и порт: отдельного поля нет, при записи в поле адреса устройства типа 12.34.56.78:9874 строчка краснеет и не нажать ОК. Удаляем :9874 - нестандартный порт - адрес принимается.
Прочитал на форумах, что проблема эта известна давно, но так и не решена.
Нашел совет 2015 года https://mikrotik-ukraine.blogspot.com/2 ... inbox.html
"В чудесном продукте от Mikrotik есть один небольшой и непофиксиный баг, а именно, при добавления на карту устройства на ОС RouterOS с нестандартным портом WinBox (не 8291) программа не может подключиться и в разделе функций мониторинга по протоколу RouterOS пусто. В Mikrotik знают об этой проблеме, но почему-то ее не фиксят."
Автор 5 лет назад советовал использовать проброс порта, чтобы не возвращать стандартный порт.
В 2018 году проблема так и не была устранена viewtopic.php?f=1&t=9391
На английском языке обсуждение схожей проблемы https://forum.mikrotik.com/viewtopic.php?t=130020 Dude - Device RouterOS on no-standard Port . Пишут, что развитие The DUDE фактически заморожено.
Автор советует (переведено на русский): "Для решения этой проблемы я использовал простое правило NAT на устройствах, которые я хотел использовать на вкладке RouterOS из The Dude, а именно:
# Enable Dude - RouterOS Access
/ip firewall nat
add action=redirect chain=dstnat comment="Accepts connections via RouterOS - Dude" \
dst-port=8291 protocol=tcp src-address=THE_DUDE_SERVER_IP to-ports=WHATEVER_PORT_YOU_DEFINED
/ip firewall nat move [find comment="Accepts connections via RouterOS - Dude"] 0
Он просто контролирует входные соединения с сервера Dude и, если они совпадают с портом по умолчанию для Winbox (который используется The Dude для подключения к ROS), перенаправляет его на нужный порт."
В 2019 году еще один автор делится своим советом (в переводе на русский):
"На самом деле кажется, что это действительно проблема, но я работал с собственным правилом NAT, где я запрашиваю dst-nat с моего конкретного сервера DUDE на мой конкретный маршрутизатор RouterOS, поэтому, если ему нужен стандартный порт, целевое устройство dst-nats запросы на мой нестандартный порт, и он окончательно разрешается как "RouterOS Status: ok"!
/ip firewall nat add chain=dstnat action=dst-nat to-addresses=<IP-of-my-remote-Mikrotik> to-ports=<non-standard-Winbox-port-of-my-remote-Mikrotik> protocol=tcp src-address=<IP-of-my-dude-server-I-scan-from> dst-address=<IP-of-my-remote-Mikrotik> dst-port=8291
"
В ответ на это некоторые пользователи жалуются, что метод не подходит из-за того, что провайдеры режут порт 8291 (вероятно, чтобы защитить своё оборудование):
"Это хорошее решение, но оно не может работать, когда порт 8291 заблокирован поставщиком. И это именно моя проблема ..."
Интересное видео снял один из столкнувшихся с проблемой The DUDE и нестандартного порта WinBox: https://www.youtube.com/watch?v=J7FKTzks3uA (красивое видео построенной карты The DUDE от октября 2019 года)
Я попробовал повторить советы автора, но у меня не получается, не срабатывают правила почему то - либо ошибаюсь при адаптации, либо новые прошивки по другому реагируют.
Посоветуйте, как подружить The DUDE и нестандартный порт WinBox.
Имеется MikroTik RB1100AHx4 Dude Edition, прошивка самая свежая 6.47 . Внутрь установлен SSD диск, на нём установлен The DUDE Server.
Удалённые Микротики типа таких: Mikrotik hAP ac lite , MikroTik cAP ac и т.п.
Клиент The DUDE (в котором рисую карту) стоит на компьютере с Windows, нарисована карта, все красиво, скорости отображаются отлично, всё наглядно.
Но постоянно атакуют сотни компьютеров TCP порт 8291.
Как советуют на форумах сменил порт на нестандартный, на стандартный порт поставил ловушку и всех кто стучится на него отправляю в бан. Свои IP внес в белый список, чтобы случайно не отправить в бан свои микротики.
После смены стандартного порта WinBox на другой сразу же покраснели на карте все Микротики.
Вместо цифр со скоростями теперь вопросики.
В логах и настройках Микротика видно, что The DUDE перестал подключаться к к Микротикам. Для The Dude я создал отдельных юзеров с правами только на чтение. И видно, что последний раз вход был перед сменой номера порта.
В настройках The DUDE нет возможности добавть к адресу устройства (IP) еще и порт: отдельного поля нет, при записи в поле адреса устройства типа 12.34.56.78:9874 строчка краснеет и не нажать ОК. Удаляем :9874 - нестандартный порт - адрес принимается.
Прочитал на форумах, что проблема эта известна давно, но так и не решена.
Нашел совет 2015 года https://mikrotik-ukraine.blogspot.com/2 ... inbox.html
"В чудесном продукте от Mikrotik есть один небольшой и непофиксиный баг, а именно, при добавления на карту устройства на ОС RouterOS с нестандартным портом WinBox (не 8291) программа не может подключиться и в разделе функций мониторинга по протоколу RouterOS пусто. В Mikrotik знают об этой проблеме, но почему-то ее не фиксят."
Автор 5 лет назад советовал использовать проброс порта, чтобы не возвращать стандартный порт.
В 2018 году проблема так и не была устранена viewtopic.php?f=1&t=9391
На английском языке обсуждение схожей проблемы https://forum.mikrotik.com/viewtopic.php?t=130020 Dude - Device RouterOS on no-standard Port . Пишут, что развитие The DUDE фактически заморожено.
Автор советует (переведено на русский): "Для решения этой проблемы я использовал простое правило NAT на устройствах, которые я хотел использовать на вкладке RouterOS из The Dude, а именно:
# Enable Dude - RouterOS Access
/ip firewall nat
add action=redirect chain=dstnat comment="Accepts connections via RouterOS - Dude" \
dst-port=8291 protocol=tcp src-address=THE_DUDE_SERVER_IP to-ports=WHATEVER_PORT_YOU_DEFINED
/ip firewall nat move [find comment="Accepts connections via RouterOS - Dude"] 0
Он просто контролирует входные соединения с сервера Dude и, если они совпадают с портом по умолчанию для Winbox (который используется The Dude для подключения к ROS), перенаправляет его на нужный порт."
В 2019 году еще один автор делится своим советом (в переводе на русский):
"На самом деле кажется, что это действительно проблема, но я работал с собственным правилом NAT, где я запрашиваю dst-nat с моего конкретного сервера DUDE на мой конкретный маршрутизатор RouterOS, поэтому, если ему нужен стандартный порт, целевое устройство dst-nats запросы на мой нестандартный порт, и он окончательно разрешается как "RouterOS Status: ok"!
/ip firewall nat add chain=dstnat action=dst-nat to-addresses=<IP-of-my-remote-Mikrotik> to-ports=<non-standard-Winbox-port-of-my-remote-Mikrotik> protocol=tcp src-address=<IP-of-my-dude-server-I-scan-from> dst-address=<IP-of-my-remote-Mikrotik> dst-port=8291
"
В ответ на это некоторые пользователи жалуются, что метод не подходит из-за того, что провайдеры режут порт 8291 (вероятно, чтобы защитить своё оборудование):
"Это хорошее решение, но оно не может работать, когда порт 8291 заблокирован поставщиком. И это именно моя проблема ..."
Интересное видео снял один из столкнувшихся с проблемой The DUDE и нестандартного порта WinBox: https://www.youtube.com/watch?v=J7FKTzks3uA (красивое видео построенной карты The DUDE от октября 2019 года)
Я попробовал повторить советы автора, но у меня не получается, не срабатывают правила почему то - либо ошибаюсь при адаптации, либо новые прошивки по другому реагируют.
Посоветуйте, как подружить The DUDE и нестандартный порт WinBox.