Удаленный доступ к администрированию.

[Sweik]

Получилось так, что на нескольких объектах установлены разчиные устройства от Mikrotik. Устройства (и объекты) никак между собой не связаны.

Стоит задача получить доступ удаленному администрированию.

Разумеется, открывать в Интернет Winbox я не планировал. Разрешать полключения к администрированию из-вне только с определенного IP я тоже не могу - никогда не знаешь, откуда придется подключаться.
Моя мысль такая:
1) настроить Remote Access по этой статье, благо опыт уже наработал
2) в правилах FW сделать правило, которое разрешит следующее:
- входящее соединение // это и так понятно
- dst.port будет порт WinBox-a и SSH //это тоже понятно
- scr.address будет адрес из пула ike2-pool (см. пример) // это условие позволит подключаться только тем, кто получил IP-адрес из пула, специально выделнного для Remote Access
- правило будет обязательно применяться к шифрованному соединению: ipsec-policy=in,ipsec // это условие будет разрешать только те соединения, которые пришли по шифрованному каналу.

Вопрос к студии - я нигде не ошибся в своих мыслях?

Спасибо

[Chupaka]

Да, в целом всё верно. Сначала VPN, потом управление, классическая схема.

Попроще будет port-knocking, потом подключение через WinBox.

Ну а если вообще всё плохо, и у роутера нет внешнего адреса (провайдерский NAT в одну сторону) - то можно поднять VPN'ы от таких роутеров к какому-нибудь выделенному роутеру с внешним адресом, и уже через него ходить (опционально подключаясь к VPN до этого выделенного роутера).

[Sweik]

ОК, спасибо.

Вопрос исчерпан, пошел крутить.

С уважением