Удаленный доступ к администрированию.

RIP, OSFP, BGP, MPLS/VPLS
Ответить
Аватара пользователя
Sweik
Сообщения: 77
Зарегистрирован: 14 июн 2018, 11:05
Откуда: Оттуда

Удаленный доступ к администрированию.

Сообщение Sweik »

Получилось так, что на нескольких объектах установлены разчиные устройства от Mikrotik. Устройства (и объекты) никак между собой не связаны.

Стоит задача получить доступ удаленному администрированию.

Разумеется, открывать в Интернет Winbox я не планировал. Разрешать полключения к администрированию из-вне только с определенного IP я тоже не могу - никогда не знаешь, откуда придется подключаться.
Моя мысль такая:
1) настроить Remote Access по этой статье, благо опыт уже наработал
2) в правилах FW сделать правило, которое разрешит следующее:
- входящее соединение // это и так понятно
- dst.port будет порт WinBox-a и SSH //это тоже понятно
- scr.address будет адрес из пула ike2-pool (см. пример) // это условие позволит подключаться только тем, кто получил IP-адрес из пула, специально выделнного для Remote Access
- правило будет обязательно применяться к шифрованному соединению: ipsec-policy=in,ipsec // это условие будет разрешать только те соединения, которые пришли по шифрованному каналу.

Вопрос к студии - я нигде не ошибся в своих мыслях?

Спасибо
С уважением
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Удаленный доступ к администрированию.

Сообщение Chupaka »

Да, в целом всё верно. Сначала VPN, потом управление, классическая схема.

Попроще будет port-knocking, потом подключение через WinBox.

Ну а если вообще всё плохо, и у роутера нет внешнего адреса (провайдерский NAT в одну сторону) - то можно поднять VPN'ы от таких роутеров к какому-нибудь выделенному роутеру с внешним адресом, и уже через него ходить (опционально подключаясь к VPN до этого выделенного роутера).
Аватара пользователя
Sweik
Сообщения: 77
Зарегистрирован: 14 июн 2018, 11:05
Откуда: Оттуда

Re: Удаленный доступ к администрированию.

Сообщение Sweik »

ОК, спасибо.

Вопрос исчерпан, пошел крутить.

С уважением
С уважением
Ответить