Удаленный доступ к администрированию.
Добавлено: 05 мар 2019, 13:26
Получилось так, что на нескольких объектах установлены разчиные устройства от Mikrotik. Устройства (и объекты) никак между собой не связаны.
Стоит задача получить доступ удаленному администрированию.
Разумеется, открывать в Интернет Winbox я не планировал. Разрешать полключения к администрированию из-вне только с определенного IP я тоже не могу - никогда не знаешь, откуда придется подключаться.
Моя мысль такая:
1) настроить Remote Access по этой статье, благо опыт уже наработал
2) в правилах FW сделать правило, которое разрешит следующее:
- входящее соединение // это и так понятно
- dst.port будет порт WinBox-a и SSH //это тоже понятно
- scr.address будет адрес из пула ike2-pool (см. пример) // это условие позволит подключаться только тем, кто получил IP-адрес из пула, специально выделнного для Remote Access
- правило будет обязательно применяться к шифрованному соединению: ipsec-policy=in,ipsec // это условие будет разрешать только те соединения, которые пришли по шифрованному каналу.
Вопрос к студии - я нигде не ошибся в своих мыслях?
Спасибо
Стоит задача получить доступ удаленному администрированию.
Разумеется, открывать в Интернет Winbox я не планировал. Разрешать полключения к администрированию из-вне только с определенного IP я тоже не могу - никогда не знаешь, откуда придется подключаться.
Моя мысль такая:
1) настроить Remote Access по этой статье, благо опыт уже наработал
2) в правилах FW сделать правило, которое разрешит следующее:
- входящее соединение // это и так понятно
- dst.port будет порт WinBox-a и SSH //это тоже понятно
- scr.address будет адрес из пула ike2-pool (см. пример) // это условие позволит подключаться только тем, кто получил IP-адрес из пула, специально выделнного для Remote Access
- правило будет обязательно применяться к шифрованному соединению: ipsec-policy=in,ipsec // это условие будет разрешать только те соединения, которые пришли по шифрованному каналу.
Вопрос к студии - я нигде не ошибся в своих мыслях?
Спасибо