Хочу разобрать, казалось бы банальную тему использования стандартной программы для управления роутерами. Речь пойдет об использовании утилиты Winbox для подключения, управления и настройки роутеров Mikrotik. Несмотря на то, что простой доступ через Winbox не требует каких-то особых настроек, тем не менее с работой этой утилиты есть много нюансов.
Введение
Отличительной особенностью роутеров Mikrotik от многих производителей сетевого оборудования является фирменная утилита для настройки устройств — Winbox . Я сразу обратил на это внимание, когда первый раз познакомился с микротиками. По первости глаза разбегаются, когда подключаешься через нее к устройству, но если немного освоишься, то понимаешь ее удобство. Несмотря на то, что я могу все, что необходимо, настроить через cli, чаще всего делаю это через winbox.
Особенно удобно, когда надо что-то продебажить. Можно открыть несколько окон внутри программы — тест скорости, список правил firewall для наблюдения за счетчиками, torch для анализа трафика и до кучи график загрузки сетевого интерфейса.
Утилита MikroTik Winbox
И все это доступно во всей линейке оборудования, даже в самых бюджетных моделях. Вам известно что-то подобное у других производителей в ценовой категории 50-150$? Мне лично нет, но тут я могу заблуждаться. Если у каких-то вендоров есть что-то похожее на Winbox, было бы любопытно узнать об этом.
Где скачать Winbox
Качать winbox последней версии надо строго с официального сайта .
site_winbox
Делаю на этом акцент, потому что одно время при поиске утилиты в поисковиках на первом месте были другие сайты. Кто-то подсуетился и сделал отдельные сайты под этот поисковой запрос. В итоге они были выше основного сайта вендора. Сейчас это уже пофиксили.
Так же напоминаю, что сайт mikrotik.ru к самой компании Микротик не имеет никакого отношения. Им просто удалось зарегистрировать этот домен и открыть на нем магазин оборудования. Причем продают они устройства разных вендоров. Часто этот сайт очень хорошо ранжируется и может вводить в заблуждение относительно его принадлежности к латвийской компании.
Отдельно добавлю, что версии winbox на русском языке не существует. Как и не существует интерфейса управления в ней с русским языком. И это очень хорошо, так как не происходит недопонимания и двойственности в трактовании и переводе одних и тех же настроек. Англоязычное it сообщество намного больше русскоязычного, поэтому удобнее искать что-то сразу на английском языке. Больше шансов найти информацию.
Winbox для MacOS и Linux
Это может показаться удивительным, но нативного приложения Winbox под Mac или Linux просто не существует . Я не разбираюсь в портировании программного обеспечения в другие операционные системы, поэтому не могу судить, почему дело обстоит именно так. Возможно есть какие-то объективные причины того, почему разработчики Mikrotik не выпускают отдельную версию winbox под Linux или Mac.
Так что у вас не очень много вариантов работы с winbox, если ваша OS не Windows:
Где скачать программу Winbox, для настройки Mikrotik
- Использовать для этого отдельную виртуальную машину с Windows.
- Использовать Wine.
Для маков существует проект на github — winbox-mac , который позволяет запускать утилиту winbox на macos. Под капотом там обычное виндовое приложение в комплекте с wine. Из-за этого весит эта штуковина более 300 Мб.
Для запуска winbox в linux придется сначала установить wine, а затем запустить виндовую утилиту через нее. Каких-то особых заморочек с этим нет. Все работает сразу без дополнительных настроек. Главное wine поставить. В Ubuntu:
# apt install wine-stable
# wine winbox.exe
В Centos надо подключить репозиторий epel:
# dnf install epel-release
# dnf config-manager —set-enabled PowerTools
# dnf install wine
# wine winbox.exe
Либо можете воспользоваться готовым проектом, где все собрано в одном месте — winbox-installer .
Важный нюанс. При запуске winbox в mac или linux у вас не будет работать Drag Services .
Ip_service_list
Если здесь отключить службу winbox, подключение через эту утилиту будет невозможно.
Доступ к Микротик из интернета
Иногда нужно настроить доступ к микротику снаружи, то бишь через незащищенное соединение по интернету. Без крайней необходимости я не рекомендую этого делать. Уже не раз в routeros находили уязвимости, в результате чего удаленное подключение к Mikrotik оказывалось огромной дырой в безопасности. В конечном счете это приводило к заражению устройства и использование его в качестве участника ботнета или открытого прокси сервера.
Для подключения к Mikrotik по умолчанию Winbox использует TCP PORT 8291 . Соответственно, для доступа снаружи, вам необходимо открыть этот порт на Firewall. Я в обязательном порядке рекомендую защитить подобное соединение одним из двух предложенных мной в отдельных статьях способов:
- Защита подключения через Winbox с помощью firewall. Там я рассматриваю ограничение доступа по winbox к микротику на уровне белых списков ip адресов, с которых разрешены подключения.
- Port knocking в Mikrotik для защиты Winbox. В этом случае доступ возможен с любых ip адресов, но при выполнении определенных действий.
Еще раз подчерку — используйте какую-то защиту. Не оставляйте порт для winbox доступный напрямую через интернет без каких-либо ограничений. Делайте это либо одним из предложенных мной способов, либо открывайте доступ извне по winbox только через vpn.
Запретить доступ по Winbox
Рассмотрим теперь, как нам запретить подключение к микротику через winbox. Для начала запретим доступ по MAC адресу. Делайте это аккуратно, так как не настроив ip адрес и запретив доступ по mac, вы не оставите себе никакой возможности управлять роутером. Ему придется сбрасывать настройки.
Для запрета подключения по mac необходимо перейти в раздел Tools -> MAC Server и нажать на кнопку MAC WinBox Server.
Источник: dzen.ru
Загрузки
Если вы уже используете RouterOS, обновление до последней версии можно выполнить, нажав кнопку «Проверить наличие обновлений» в меню QuickSet или System > Packages в WebFig или WinBox.
Дополнительные сведения об обновлении и типах выпуска см. В документации.
Для управления маршрутизатором используйте веб-интерфейс или загрузите утилиты технического обслуживания. Winbox для подключения к вашему устройству, Dude для мониторинга вашей сети и Netinstall для восстановления и переустановки.
RouterOS
| ARM | cAP ac, CRS305-1G-4S+, CRS309-1G-8S+, CRS317-1G-16S+, CRS318, CRS326-24G-2S+, CRS328-24P-4S+, CRS328-4C-20S-4S+, Cube 60G ac, DISC AC, hAP ac², hAP ac³, LDF ac, LHG 60G, LHG ac, mANTBox 52, NetMetal ac², RB4011, SXTsq (ac series), wAP 60G series, Chateau, RB3011, RB1100AHx4, Audience, RB450Gx4 | |||
| Main package | ||||
| Extra packages | ||||
| The Dude server | — | |||
| ARM64 | nRAY, CCR2004 | |||
| Main package | ||||
| Extra packages | ||||
| The Dude server | — | |||
| GENERAL | ||||
| Netinstall (Windows) | ||||
| The Dude client | ||||
| Changelog | ||||
| Checksum | ||||
| MIPSBE | CRS1xx, CRS2xx, CRS312-4C+8XG, CRS326-24S+2Q+, CRS354, Cube Lite60, DISC, FiberBox, hAP, hAP ac, hAP ac lite, LDF, LHG, LHG Lite60, ltAP mini, mANTBox, mANTBox 2, mAP, NetBox, NetMetal, PowerBox, PWR-Line, QRT, RB9xx, SXTsq, cAP, hEX Lite, RB4xx, wAP, BaseBox, DynaDish, RB2011, SXT, OmniTik, Groove, Metal, Sextant, RB7xx, hEX PoE | |||
| Main package | ||||
| Extra packages | ||||
| MMIPS | hEX (RB750Gr3), hEX S, RBMxx | |||
| Main package | ||||
| Extra packages | ||||
| The Dude server | — | |||
| PPC | RB3xx, RB600, RB8xx, RB1100AHx2, RB1100AH, RB1100, RB1200 | |||
| Main package | ||||
| Extra packages | ||||
| SMIPS | hAP mini, hAP lite | |||
| Main package | ||||
| Extra packages | ||||
| TILE | CCR1xxx | |||
| Main package | ||||
| Extra packages | ||||
| The Dude server | — | |||
| X86 | RB230, X86 | |||
| Main package | ||||
| Extra packages | ||||
| Extra packages | ||||
| The Dude server | — | |||
| Netinstall (Windows 64bit) | ||||
| Netinstall (CLI Linux) | ||||
| Bandwidth test | ||||
| OS Image | ||||
Cloud Hosted Router
| Images | vmdk, vhdx, vdi, ova, img | |||
| Main package | ||||
| VHDX image | ||||
| VMDK image | ||||
| VDI image | ||||
| OVA template | ||||
| Raw disk image | ||||
| Extra packages | ||||
| The Dude server | — | |||
| The Dude client | ||||
| Changelog | ||||
| Checksum | ||||
SwitchOS
| Switches |
| Changelog 1.17 |
| version 1.17 for RB250GS |
| version 1.17 for RB260GS, RB260GSP |
| version 2.12 for new RB260GS(CSS106-5G-1S), new RB260GSP(CSS106-1G-4P-1S) |
| version 2.12 for CRS318-1Fi-15Fr-2S |
| version 2.12 for CRS305-1G-4S+ |
| version 2.12 for CRS309-1G-8S+ |
| version 2.12 for CRS328-4C-20S-4S+ |
| version 2.12 for CRS328-24P-4S+ |
| version 2.12 for CSS326-24G-2S+, CRS326-24G-2S+ |
| version 2.12 for CRS317-1G-16S+ |
| version 2.12 for CRS326-24S+2Q+ |
| version 2.12 for CRS312-4C+8XG |
| Changelog 2.13 |
SwitchOS Lite
| Switches |
| version 2.14 for netPower Lite 7R (CSS610-1Gi-7R-2S+) |
| version 2.14 for CSS610-8G-2S+ |
| version 2.14 for GPEN21 |
| Changelog SwOS Lite 2.14 |
Программное обеспечение
| Bandwidth Test | |
| Bandwidth Test | |
| Dude | |
| 6.46.8 (Long-term) | |
| 6.48 (Stable) | |
| 6.48rc1 (Testing) | |
| Netinstall | |
| Netinstall for win | — |
| Netinstall for win x64 | — |
| Netinstall for linux | — |
| WinBox | |
| WinBox 64 bit | |
| WinBox 32 bit |
Источник: microtik.su
Подключение к Микротику через Winbox
Хочу разобрать, казалось бы банальную тему использования стандартной программы для управления роутерами. Речь пойдет об использовании утилиты Winbox для подключения, управления и настройки роутеров Mikrotik. Несмотря на то, что простой доступ через Winbox не требует каких-то особых настроек, тем не менее с работой этой утилиты есть много нюансов.
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курcе по администрированию MikroTik. Автор курcа, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.
Содержание
Данная статья является частью единого цикла статьей про Mikrotik.
Введение
Отличительной особенностью роутеров Mikrotik от многих производителей сетевого оборудования является фирменная утилита для настройки устройств — Winbox. Я сразу обратил на это внимание, когда первый раз познакомился с микротиками. По первости глаза разбегаются, когда подключаешься через нее к устройству, но если немного освоишься, то понимаешь ее удобство. Несмотря на то, что я могу все, что необходимо, настроить через cli, чаще всего делаю это через winbox.
Особенно удобно, когда надо что-то продебажить. Можно открыть несколько окон внутри программы — тест скорости, список правил firewall для наблюдения за счетчиками, torch для анализа трафика и до кучи график загрузки сетевого интерфейса.
И все это доступно во всей линейке оборудования, даже в самых бюджетных моделях. Вам известно что-то подобное у других производителей в ценовой категории 50-150$? Мне лично нет, но тут я могу заблуждаться. Если у каких-то вендоров есть что-то похожее на Winbox, было бы любопытно узнать об этом.
Где скачать Winbox
Качать winbox последней версии надо строго с официального сайта — https://mikrotik.com/download.
Делаю на этом акцент, потому что одно время при поиске утилиты в поисковиках на первом месте были другие сайты. Кто-то подсуетился и сделал отдельные сайты под этот поисковой запрос. В итоге они были выше основного сайта вендора. Сейчас это уже пофиксили, но вот подобные примеры.
Так же напоминаю, что сайт mikrotik.ru к самой компании Микротик не имеет никакого отношения. Им просто удалось зарегистрировать этот домен и открыть на нем магазин оборудования. Причем продают они устройства разных вендоров. Часто этот сайт очень хорошо ранжируется и может вводить в заблуждение относительно его принадлежности к латвийской компании.
Отдельно добавлю, что версии winbox на русском языке не существует. Как и не существует интерфейса управления в ней с русским языком. И это очень хорошо, так как не происходит недопонимания и двойственности в трактовании и переводе одних и тех же настроек. Англоязычное it сообщество намного больше русскоязычного, поэтому удобнее искать что-то сразу на английском языке. Больше шансов найти информацию.
Winbox для MacOS и Linux
Это может показаться удивительным, но нативного приложения Winbox под Mac или Linux просто не существует. Я не разбираюсь в портировании программного обеспечения в другие операционные системы, поэтому не могу судить, почему дело обстоит именно так. Возможно есть какие-то объективные причины того, почему разработчики Mikrotik не выпускают отдельную версию winbox под Linux или Mac.
Так что у вас не очень много вариантов работы с winbox, если ваша OS не Windows:
- Использовать для этого отдельную виртуальную машину с Windows.
- Использовать Wine.
Для маков существует проект на github — winbox-mac, который позволяет запускать утилиту winbox на macos. Под капотом там обычное виндовое приложение в комплекте с wine. Из-за этого весит эта штуковина более 300 Мб.
Для запуска winbox в linux придется сначала установить wine, а затем запустить виндовую утилиту через нее. Каких-то особых заморочек с этим нет. Все работает сразу без дополнительных настроек. Главное wine поставить. В Ubuntu:
# apt install wine-stable # wine winbox.exe
В Centos надо подключить репозиторий epel:
# dnf install epel-release # dnf config-manager —set-enabled PowerTools # dnf install wine # wine winbox.exe
Либо можете воспользоваться готовым проектом, где все собрано в одном месте — winbox-installer.
Важный нюанс. При запуске winbox в mac или linux у вас не будет работать Drag Services.
Если здесь отключить службу winbox, подключение через эту утилиту будет невозможно.
Доступ к Микротик из интернета
Иногда нужно настроить доступ к микротику снаружи, то бишь через незащищенное соединение по интернету. Без крайней необходимости я не рекомендую этого делать. Уже не раз в routeros находили уязвимости, в результате чего удаленное подключение к Mikrotik оказывалось огромной дырой в безопасности. В конечном счете это приводило к заражению устройства и использование его в качестве участника ботнета или открытого прокси сервера.
Для подключения к Mikrotik по умолчанию Winbox использует TCP PORT 8291. Соответственно, для доступа снаружи, вам необходимо открыть этот порт на Firewall. Я в обязательном порядке рекомендую защитить подобное соединение одним из двух предложенных мной в отдельных статьях способов:
- Защита подключения через Winbox с помощью firewall. Там я рассматриваю ограничение доступа по winbox к микротику на уровне белых списков ip адресов, с которых разрешены подключения.
- Port knocking в Mikrotik для защиты Winbox. В этом случае доступ возможен с любых ip адресов, но при выполнении определенных действий.
Еще раз подчерку — используйте какую-то защиту. Не оставляйте порт для winbox доступный напрямую через интернет без каких-либо ограничений. Делайте это либо одним из предложенных мной способов, либо открывайте доступ извне по winbox только через vpn.
Запретить доступ по Winbox
Рассмотрим теперь, как нам запретить подключение к микротику через winbox. Для начала запретим доступ по MAC адресу. Делайте это аккуратно, так как не настроив ip адрес и запретив доступ по mac, вы не оставите себе никакой возможности управлять роутером. Ему придется сбрасывать настройки.
Для запрета подключения по mac необходимо перейти в раздел Tools -> MAC Server и нажать на кнопку MAC WinBox Server.
Здесь вы можете выбрать списки интерфейсов, с которых разрешено подключение по MAC. Чтобы его запретить, надо выбрать none.
После этого подключиться по mac адресу с помощью winbox будет невозможно.
Собственные списки интерфейсов можно создать в разделе Interfaces, вкладка Interface List.
Для того, чтобы микротик вообще отсутствовал в списке устройств winbox, необходимо отключить службу Neighbor List. Для этого идем в раздел IP -> Neighbors и приводим настройки к следующему виду.
После этого устройство не даст себя обнаруживать в локальной сети. С запретом доступа по MAC разобрались, теперь запретим и все остальные подключения. Для этого есть 2 способа:
- Отключить службу Winbox.
- Закрыть tcp порт 8291 на firewall.
В первом случае отключаем службу.
Во втором добавляем правило в firewall.
# ip firewall filter add action=reject chain=input dst-port=8291 protocol=tcp
Подробнее про настройку firewall читайте отдельную статью. Здесь не буду на этом останавливаться.
На этом по запрету доступа через Winbox все. Рассмотрел все возможные варианты блокировки подключения.
Почему winbox не видит Mikrotik по mac
Рассмотрим теперь ситуации, когда Микротик не виден в Winbox. Как я уже рассказывал выше, на микротике может быть банально отключена служба, которая отвечает на запросы по mac адресу. В таком случае, он не будет виден в списке найденных устройств. При этом, если вы знаете mac адрес микротика, вы сможете ввести его вручную и подключиться. Проверить, на каких интерфейсах вы можете обнаружить свой микротик по mac, можно в разделе IP -> Neighbors.
В данном примере микротик виден по mac на всех интерфейсах, кроме динамических. Так же некоторые новички не понимают, что для доступа по mac вы должны быть с устройством в одном широковещательном домене. Подробно я уже об этом рассказал в самом начале. Если между вами есть маршрутизатор, который работает на третьем уровне модели osi, вы не увидите друг друга по мак адресу.
Это невозможно технически. В общем случае, конечно.
На некоторых устройствах прописан мак адрес порта на самом устройстве. Если не получается обнаружить микротик в сети, попробуйте вручную вбить этот адрес порта и подключиться напрямую. Только опять же, убедитесь, что вы с этим портом подключены в один и тот же свитч.
Иногда проблему с видимостью микротика по мак адресу можно решить просто удалив кэш winbox на компьютере. Можно на время переименовать папку C:UsersuserAppDataRoamingMikrotikWinbox, перезапустить утилиту и еще раз попробовать выполнить поиск соседей.
И еще одну проблему знаю, когда никак не получалось подключиться к одному очень старому микротику. Как оказалось, для него нужно было скачать какую-то старую версию winbox. И только через эту версию по mac адресу, введя его вручную, можно было подключиться к устройству.
Шифрование сохраненных паролей
По умолчанию, Winbox все свои настройки, в том числе пароли доступа, хранит в открытом виде в директории C:UsersuserAppDataRoamingMikrotikWinbox. Очевидно, что это очень плохо, так как завладев этими файлами, можно получить доступ ко всем устройствам, которые находятся в списке подключений. Достаточно просто скопировать содержимое директории winbox на другой компьютер, запустить утилиту и подключиться по любому соединению с сохраненным паролем.
Для того, чтобы защитить свои сохраненные пароли, используйте шифрование. Для этого нажимайте кнопку Set Master Password на главном экране Winbox и указывайте пароль.
После этого доступа к сохраненным паролям не будет без введения Master Password, так что можно не бояться за сохранность файлов winbox в профиле пользователя. Я очень долгое время не задумывался о сохранности паролей, пока мне один знакомый не показал, как легко и просто забрать все мои сессии и получить доступ к устройствам.
Так что я настоятельно рекомендую всегда использовать Master Password и делать его длинным. Современные майнинговые фермы с кучей видеокарт сильно упрощают brute force не очень сложных паролей.
Заключение
Я постарался разобрать все известные мне нюансы подключения к Mikrotik по Winbox. Некоторые вещи я вообще не знал и не задумывал о них долгое время работы с устройствами. Например, только недавно я разобрал тему с подключением по mac. Узнал, как им управлять, ограничивать, запрещать и т.д. До этого просто не обращал на это внимание и оставлял все по дефолту.
Про шифрование рассказал все в статье. Долго им не пользовался, но последние несколько лет в обязательно порядке устанавливаю Master Password, либо просто не сохраняю пароли в winbox, храня их в keepass. Если я забыл что-то важное или в чем-то ошибся, жду замечаний в комментариях.
Онлайн курcы по Mikrotik
- Знания, ориентированные на практику;
- Реальные ситуации и задачи;
- Лучшее из международных программ.
Источник: serveradmin.ru