Удаленно подключаться к ROS на устройствах Mikrotik

@Leks3117 · Регистрация: 27.09.2011

Author24 — интернет-сервис помощи студентам

Здравствуйте,

хочу winbox'ом подключаться к устройствам, которые живут где-то далеко.

Сейчас когда что-то хочется где-то проверить, надо чтобы на той стороне был комп с тем же TeamViewer, рядом человек, ну и конечно же самое важное - интернет))

Например: есть базовая станция, она то полюбой в сети, а клиенский комп с TeamViewer на борту за точкой. И вот если на компе нет сети, хочется извне подключиться к базе и "по-общаться" с ней. Это реально? статических адресов нет.

Пытался найти что почитать, посмотреть.. но или я не так спрашиваю, или всё гораздо сложнее чем мне кажется)

Dmitry · 31.10.2019, 13:27

Сообщение от Leks3117

статических адресов нет.

адреса м.б. и динамические, но они д.б. белыми (видимыми из интернета, не за nat провайдера). или же, нужно где-то на белом адресе ставить vpn-сервер, а остальных настраивать на подключение к нему vpn-клиентами

@romsan · 31.10.2019, 13:28

Сообщение от Leks3117

Например: есть базовая станция

это что имеется ввиду? Роутер? ТД?

Сообщение от Leks3117

если на компе нет сети, хочется извне подключиться к базе и "по-общаться" с ней

с кем с ней? с базой? С ПК? Что подразумевается под словом "пообщатся"? Сети же нет на ПК...

Сообщение от Leks3117

статических адресов нет

вообще нигде?

Есть несколько способов решения данной "хотелки". Сперва ответь на мои уточнения.

@Leks3117 · 31.10.2019, 13:44 **[ТС]**

Сообщение от Dmitry

но они д.б. белыми

у РТ вроде бы белый, когда всё норм, на 77 начинаются. Но частенько вдруг меняются на 5.143.хх.хх или 82.162.хх.хх и подобные на 5 и 82, 86.. это значит всё плохо)) Я даже как-то тут тему поднимал по поводу скрипта , который бы проверял ip внешний на pppoe и перезагружал подключение пока не получит на 77.

Сообщение от romsan

Роутер? ТД?

Да это не важно, и ТД бывает роутером теперь)) Главное что от этого устройства раздается интернет дальше к клиентам. Есть устройства, которые получают у оператора адреса типа 10.хх.хх.хх (зато он такой навсегда), а есть вот которые на Ростелекоме (чуть выше описал). А есть вообще когда к РТ подключен терминал их брендированый Хуавей, а за ним уже ТД, которая раздает другим ТД.

И вот почему-то мне мечтается, что я могу просто как-то, чудным образом заходить в ROS конкретного устройства удаленно))

Dmitry · 31.10.2019, 13:49

Сообщение от Leks3117

когда всё норм, на 77 начинаются. Но частенько вдруг меняются на 5.143.хх.хх или 82.162.хх.хх и подобные на 5 и 82, 86..

эти тоже относятся к "белым"
для таких случаев можно использовать сервис noip. там регистрируете себе имя домена, настраиваете в оборудовании клиента, и после этого к вашей железке можно обращаться по доменному имени

@romsan · 31.10.2019, 14:20

Сообщение от Dmitry

для таких случаев можно использовать сервис noip.

Сообщение от Dmitry

и после этого к вашей железке можно обращаться по доменному имени

чем не устраивает cloud в самой ROS?

Leks3117, а на сколько много контролируемых устройств? Может один адрес на одном из устройств прикупить? А все остальные устройства туннелями привязать к этому девайсу.
У меня так и сделано:
МТ1 (статика), к нему посредством IPIP (если на др. МТ есть статика) или L2TP, или PPTP туннелями привязаны уже 6 микротов. Планируется еще 4 подключить. На МТ1 все микроты прописаны по внутренним адресам туннелей.
10.0.1.2 - микрот на ул. Ленина
10.0.2.2 - микрот у шефа
10.0.3.2 - микрот на даче шефа
10.0.4.2 - микрот у любовницы шефа
10.0.5.2 - микрот у бывшей жены
.....
Даже из-за NAT сотового оператора (на даче у шефа поставил RB951 с USB-модемом) туннель до МТ1 поднимается.
Все микроты под моим контролем. Если кто ведет себя плохо - режем скорость, включаем фильтры доступа к соц сетям и т.п.

@Leks3117 · 31.10.2019, 14:33 **[ТС]**

Сообщение от romsan

Все микроты под моим контролем. Если кто ведет себя плохо..

Во-во, так мне и надо))

Всех конечно контролировать мне нет надобности, просто решать проблемы более оперативно, экономя время и бензин.

Спасибо, буду пробовать.

Добавлено через 6 минут
Так то получается я могу к домашнему своему hex'у прикупить статику и на него уже всех кинуть? как раз у меня тут без ограничений локалка РТ , да и внешка больше 100М. Короче надо пробовать всё предложенное срочно))

Dmitry · 31.10.2019, 14:45

Сообщение от romsan

чем не устраивает cloud в самой ROS?

никогда не вознкало нужды управления менно роутерами микротик. а вот необходимость доступа к обычным веб-серверам встречалась. поэтому пользовался "универсальным" решением, а не "узконаправленным"

@romsan · 31.10.2019, 15:31

Сообщение от Dmitry

никогда не возникало нужды управления меню роутерами микротик

именно это требуется ТС. (первый пост) Я не против, просто зачем юзать сторонний сервис (noip), если есть встроенный на борту микрота аналогичный сервис!?

Добавлено через 1 минуту

Сообщение от Leks3117

я могу к домашнему своему hex'у прикупить статику и на него уже всех кинуть?

именно... только при построении такой схемы, не забываем про безопасность. У тебя будет статика и VPN-сервера торчать портами в тырнет. Настраивать фаервол придется с умом...

@insect_87 · 31.10.2019, 16:09

Так то получается я могу к домашнему своему hex'у прикупить статику и на него уже всех кинуть? как раз у меня тут без ограничений локалка РТ , да и внешка больше 100М

внешка больше ста, а у hex'а порты на 100, hex S - 1000. Вообще к слову оба эти роутера и hap ac² из бюджетных поддерживают аппаратное шифрование

прикупить как минимум белый адрес

если у удаленного роутера внешний адрес серый - то использовать туннели типа точка-точка PPTP / L2TP / SSTP / OVPN, в плане безопасности PPTP хуже всех, L2TP можно c IPSEC юзать
если у вашего и удаленного роутера внешние адреса белые и при этом статические - то можно использовать туннели IPIP over IPSEC, GRE over IPSEC
если у удаленного роутера адрес белый (пусть даже динамический) - можно использовать проброс портов DST-NAT

@Leks3117 · 31.10.2019, 16:17 **[ТС]**

Сообщение от insect_87

у hex'а порты на 100, hex S - 1000

Удаленно подключаться к ROS на устройствах Mikrotik

@insect_87 · 31.10.2019, 18:38

Да. Сорян. Забыл старичка совсем. У hex lite сотки

@Leks3117 · 19.11.2019, 16:17 **[ТС]**

Сегодня попросил у РТ статику, обещали выдать за сутки.

Сообщение от romsan

У меня так и сделано:

Терминов в вашем сообщении хватает)) я по ним найду инфу, изучу и начну пробовать. Но вдруг намекнёте с чего начать изучение? ))) я с туннелями дел не имел пока, а узнать давно хотелось. Вот сейчас как раз надобность появилась.

Спасибо!

@insect_87 · 19.11.2019, 16:40

Но вдруг намекнёте с чего начать изучение? )))

VPN?
Общих принципов инкапсуляции
c изучения протокола PPP
и протоколов PPTP L2TP PPPoE SSTP
а далее GRE IPIP IPSEC
NAT Traversal
ну и в конце OVPN

@romsan · 19.11.2019, 19:24

Leks3117, распиши хотелку... дадим несколько вариков решения.

@Leks3117 · 20.11.2019, 05:50 **[ТС]**

romsan, там выше вы пример описали, мне подойдет. Осталось изучить всё. Там уже вопросы задавать буду, так быстрее дойдет.

Пока вопрос острый один: сегодня выдали ip , много раз читал и слышал, что фаервол надо настроить нормально. Стоковых настроек, которые в пресетах Микротик предлагает, их хватает? пока я буду вникать

@insect_87 · 20.11.2019, 06:48

Задавайте вопросы по мере поступления.
Пока настраивайте с дефолтными настройками.

@romsan · 20.11.2019, 09:33

Сообщение от Leks3117

Стоковых настроек, которые в пресетах Микротик предлагает, их хватает?

да, для начала хватит.
Т.к. тебе необходимо объединить туннелями несколько МТ, то:
1) На всех МТ должны быть разные подсети
2) Дабы не мучатся с маршрутизацией, почитать за OSPF и поднять его

Добавлено через 8 минут

Сообщение от Leks3117

много раз читал и слышал, что фаервол надо настроить нормально

ну как бы твой микрот будет торчать WAN-интерфейсом в тырнете. Естественно будут попытки сканировать порты, брутфорс пароля и т.п. Естественно необходимо предпринять соответствующие меры безопасности.
На микрот со статикой (МТ-1) будут выполняться подключения с твоих микротов VPN-клиенты. Соответственно, необходимо настроить на МТ-1 доступ по какому то порту (для рртр например это 1723). Т.е. 1723 будет открыт "из вне". Значит не только твои микроты будут ломиться на него, но и все кому не лень. Значит надо хитро настроить фаервол, чтобы твои микроты подключались, а для всех других данный порт чтоб был закрыт. Это можно настроить с помощью например, address-list-ов Но тут есть неудобство - твои удаленные микроты не имеют статику, значит их внешние адреса будут меняться, и ты не знаешь с какого адреса "завтра" будет выполняться подключение.
Пока подумай и дай мысли, что ты думаешь по этому поводу.

@insect_87 Модератор 11424 / 6993 / 1901 Регистрация: 25.12.2012 Сообщений: 29,398
	31.10.2019, 18:38	12
	Да. Сорян. Забыл старичка совсем. У hex lite сотки 0

@Leks3117 50 / 50 / 3 Регистрация: 27.09.2011 Сообщений: 455
		1
	Удаленно подключаться к ROS на устройствах Mikrotik 31.10.2019, 13:23. Показов 1170. Ответов 17 Метки нет (Все метки) Здравствуйте, хочу winbox'ом подключаться к устройствам, которые живут где-то далеко. Сейчас когда что-то хочется где-то проверить, надо чтобы на той стороне был комп с тем же TeamViewer, рядом человек, ну и конечно же самое важное - интернет)) Например: есть базовая станция, она то полюбой в сети, а клиенский комп с TeamViewer на борту за точкой. И вот если на компе нет сети, хочется извне подключиться к базе и "по-общаться" с ней. Это реально? статических адресов нет. Пытался найти что почитать, посмотреть.. но или я не так спрашиваю, или всё гораздо сложнее чем мне кажется) 0

Dmitry 13016 / 7407 / 801 Регистрация: 09.09.2009 Сообщений: 28,986
	31.10.2019, 13:27	2
	Сообщение от Leks3117 статических адресов нет. адреса м.б. и динамические, но они д.б. белыми (видимыми из интернета, не за nat провайдера). или же, нужно где-то на белом адресе ставить vpn-сервер, а остальных настраивать на подключение к нему vpn-клиентами 0

@romsan 5092 / 2154 / 461 Регистрация: 17.10.2015 Сообщений: 9,202
	31.10.2019, 13:28	3
	Сообщение от Leks3117 Например: есть базовая станция это что имеется ввиду? Роутер? ТД? Сообщение от Leks3117 если на компе нет сети, хочется извне подключиться к базе и "по-общаться" с ней с кем с ней? с базой? С ПК? Что подразумевается под словом "пообщатся"? Сети же нет на ПК... Сообщение от Leks3117 статических адресов нет вообще нигде? Есть несколько способов решения данной "хотелки". Сперва ответь на мои уточнения. 0

@Leks3117 50 / 50 / 3 Регистрация: 27.09.2011 Сообщений: 455
	31.10.2019, 13:44 [ТС]	4
	Сообщение от Dmitry но они д.б. белыми у РТ вроде бы белый, когда всё норм, на 77 начинаются. Но частенько вдруг меняются на 5.143.хх.хх или 82.162.хх.хх и подобные на 5 и 82, 86.. это значит всё плохо)) Я даже как-то тут тему поднимал по поводу скрипта , который бы проверял ip внешний на pppoe и перезагружал подключение пока не получит на 77. Сообщение от romsan Роутер? ТД? Да это не важно, и ТД бывает роутером теперь)) Главное что от этого устройства раздается интернет дальше к клиентам. Есть устройства, которые получают у оператора адреса типа 10.хх.хх.хх (зато он такой навсегда), а есть вот которые на Ростелекоме (чуть выше описал). А есть вообще когда к РТ подключен терминал их брендированый Хуавей, а за ним уже ТД, которая раздает другим ТД. И вот почему-то мне мечтается, что я могу просто как-то, чудным образом заходить в ROS конкретного устройства удаленно)) 0

Dmitry 13016 / 7407 / 801 Регистрация: 09.09.2009 Сообщений: 28,986
	31.10.2019, 13:49	5
	Сообщение от Leks3117 когда всё норм, на 77 начинаются. Но частенько вдруг меняются на 5.143.хх.хх или 82.162.хх.хх и подобные на 5 и 82, 86.. эти тоже относятся к "белым" для таких случаев можно использовать сервис noip. там регистрируете себе имя домена, настраиваете в оборудовании клиента, и после этого к вашей железке можно обращаться по доменному имени 1

@romsan 5092 / 2154 / 461 Регистрация: 17.10.2015 Сообщений: 9,202
	31.10.2019, 14:20	6
	Сообщение от Dmitry для таких случаев можно использовать сервис noip. Сообщение от Dmitry и после этого к вашей железке можно обращаться по доменному имени чем не устраивает cloud в самой ROS? Leks3117, а на сколько много контролируемых устройств? Может один адрес на одном из устройств прикупить? А все остальные устройства туннелями привязать к этому девайсу. У меня так и сделано: МТ1 (статика), к нему посредством IPIP (если на др. МТ есть статика) или L2TP, или PPTP туннелями привязаны уже 6 микротов. Планируется еще 4 подключить. На МТ1 все микроты прописаны по внутренним адресам туннелей. 10.0.1.2 - микрот на ул. Ленина 10.0.2.2 - микрот у шефа 10.0.3.2 - микрот на даче шефа 10.0.4.2 - микрот у любовницы шефа 10.0.5.2 - микрот у бывшей жены ..... Даже из-за NAT сотового оператора (на даче у шефа поставил RB951 с USB-модемом) туннель до МТ1 поднимается. Все микроты под моим контролем. Если кто ведет себя плохо - режем скорость, включаем фильтры доступа к соц сетям и т.п. 1

@Leks3117 50 / 50 / 3 Регистрация: 27.09.2011 Сообщений: 455
	31.10.2019, 14:33 [ТС]	7
	Сообщение от romsan Все микроты под моим контролем. Если кто ведет себя плохо.. Во-во, так мне и надо)) Всех конечно контролировать мне нет надобности, просто решать проблемы более оперативно, экономя время и бензин. Спасибо, буду пробовать. Добавлено через 6 минут Так то получается я могу к домашнему своему hex'у прикупить статику и на него уже всех кинуть? как раз у меня тут без ограничений локалка РТ , да и внешка больше 100М. Короче надо пробовать всё предложенное срочно)) 0

Dmitry 13016 / 7407 / 801 Регистрация: 09.09.2009 Сообщений: 28,986
	31.10.2019, 14:45	8
	Сообщение от romsan чем не устраивает cloud в самой ROS? никогда не вознкало нужды управления менно роутерами микротик. а вот необходимость доступа к обычным веб-серверам встречалась. поэтому пользовался "универсальным" решением, а не "узконаправленным" 1

@romsan 5092 / 2154 / 461 Регистрация: 17.10.2015 Сообщений: 9,202
	31.10.2019, 15:31	9
	Сообщение от Dmitry никогда не возникало нужды управления меню роутерами микротик именно это требуется ТС. (первый пост) Я не против, просто зачем юзать сторонний сервис (noip), если есть встроенный на борту микрота аналогичный сервис!? Добавлено через 1 минуту Сообщение от Leks3117 я могу к домашнему своему hex'у прикупить статику и на него уже всех кинуть? именно... только при построении такой схемы, не забываем про безопасность. У тебя будет статика и VPN-сервера торчать портами в тырнет. Настраивать фаервол придется с умом... 1

@insect_87 Модератор 11424 / 6993 / 1901 Регистрация: 25.12.2012 Сообщений: 29,398
	31.10.2019, 16:09	10
	Так то получается я могу к домашнему своему hex'у прикупить статику и на него уже всех кинуть? как раз у меня тут без ограничений локалка РТ , да и внешка больше 100М внешка больше ста, а у hex'а порты на 100, hex S - 1000. Вообще к слову оба эти роутера и hap ac² из бюджетных поддерживают аппаратное шифрование прикупить как минимум белый адрес если у удаленного роутера внешний адрес серый - то использовать туннели типа точка-точка PPTP / L2TP / SSTP / OVPN, в плане безопасности PPTP хуже всех, L2TP можно c IPSEC юзать если у вашего и удаленного роутера внешние адреса белые и при этом статические - то можно использовать туннели IPIP over IPSEC, GRE over IPSEC если у удаленного роутера адрес белый (пусть даже динамический) - можно использовать проброс портов DST-NAT 1

	20.11.2019, 09:33

@Leks3117 50 / 50 / 3 Регистрация: 27.09.2011 Сообщений: 455
	31.10.2019, 16:17 [ТС]	11
	Сообщение от insect_87 у hex'а порты на 100, hex S - 1000 1

@Leks3117 50 / 50 / 3 Регистрация: 27.09.2011 Сообщений: 455
	19.11.2019, 16:17 [ТС]	13
	Сегодня попросил у РТ статику, обещали выдать за сутки. Сообщение от romsan У меня так и сделано: Терминов в вашем сообщении хватает)) я по ним найду инфу, изучу и начну пробовать. Но вдруг намекнёте с чего начать изучение? ))) я с туннелями дел не имел пока, а узнать давно хотелось. Вот сейчас как раз надобность появилась. Спасибо! 0

@insect_87 Модератор 11424 / 6993 / 1901 Регистрация: 25.12.2012 Сообщений: 29,398
	19.11.2019, 16:40	14
	Но вдруг намекнёте с чего начать изучение? ))) VPN? Общих принципов инкапсуляции c изучения протокола PPP и протоколов PPTP L2TP PPPoE SSTP а далее GRE IPIP IPSEC NAT Traversal ну и в конце OVPN 1

@romsan 5092 / 2154 / 461 Регистрация: 17.10.2015 Сообщений: 9,202
	19.11.2019, 19:24	15
	Leks3117, распиши хотелку... дадим несколько вариков решения. 0

@Leks3117 50 / 50 / 3 Регистрация: 27.09.2011 Сообщений: 455
	20.11.2019, 05:50 [ТС]	16
	romsan, там выше вы пример описали, мне подойдет. Осталось изучить всё. Там уже вопросы задавать буду, так быстрее дойдет. Пока вопрос острый один: сегодня выдали ip , много раз читал и слышал, что фаервол надо настроить нормально. Стоковых настроек, которые в пресетах Микротик предлагает, их хватает? пока я буду вникать 0

@insect_87 Модератор 11424 / 6993 / 1901 Регистрация: 25.12.2012 Сообщений: 29,398
	20.11.2019, 06:48	17
	Задавайте вопросы по мере поступления. Пока настраивайте с дефолтными настройками. 1

@romsan 5092 / 2154 / 461 Регистрация: 17.10.2015 Сообщений: 9,202
	20.11.2019, 09:33	18
	Сообщение от Leks3117 Стоковых настроек, которые в пресетах Микротик предлагает, их хватает? да, для начала хватит. Т.к. тебе необходимо объединить туннелями несколько МТ, то: 1) На всех МТ должны быть разные подсети 2) Дабы не мучатся с маршрутизацией, почитать за OSPF и поднять его Добавлено через 8 минут Сообщение от Leks3117 много раз читал и слышал, что фаервол надо настроить нормально ну как бы твой микрот будет торчать WAN-интерфейсом в тырнете. Естественно будут попытки сканировать порты, брутфорс пароля и т.п. Естественно необходимо предпринять соответствующие меры безопасности. На микрот со статикой (МТ-1) будут выполняться подключения с твоих микротов VPN-клиенты. Соответственно, необходимо настроить на МТ-1 доступ по какому то порту (для рртр например это 1723). Т.е. 1723 будет открыт "из вне". Значит не только твои микроты будут ломиться на него, но и все кому не лень. Значит надо хитро настроить фаервол, чтобы твои микроты подключались, а для всех других данный порт чтоб был закрыт. Это можно настроить с помощью например, address-list-ов Но тут есть неудобство - твои удаленные микроты не имеют статику, значит их внешние адреса будут меняться, и ты не знаешь с какого адреса "завтра" будет выполняться подключение. Пока подумай и дай мысли, что ты думаешь по этому поводу. 1