Подключение к Микротику через Winbox

Хочу разобрать, казалось бы банальную тему использования стандартной программы для управления роутерами. Речь пойдет об использовании утилиты Winbox для подключения, управления и настройки роутеров Mikrotik. Несмотря на то, что простой доступ через Winbox не требует каких-то особых настроек, тем не менее с работой этой утилиты есть много нюансов.

Углубленный онлайн-курс по MikroTik

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном онлайн-курcе по администрированию MikroTik. Автор курcа – сертифицированный тренер MikroTik Дмитрий Скоромнов. Более 40 лабораторных работ по которым дается обратная связь. В три раза больше информации, чем в MTCNA.

Доступ к Mikrotik через Winbox

Данная статья является частью единого цикла статьей про Mikrotik.

Введение

Отличительной особенностью роутеров Mikrotik от многих производителей сетевого оборудования является фирменная утилита для настройки устройств - Winbox. Я сразу обратил на это внимание, когда первый раз познакомился с микротиками. По первости глаза разбегаются, когда подключаешься через нее к устройству, но если немного освоишься, то понимаешь ее удобство. Несмотря на то, что я могу все, что необходимо, настроить через cli, чаще всего делаю это через winbox.

Особенно удобно, когда надо что-то продебажить. Можно открыть несколько окон внутри программы - тест скорости, список правил firewall для наблюдения за счетчиками, torch для анализа трафика и до кучи график загрузки сетевого интерфейса.

Winbox

И все это доступно во всей линейке оборудования, даже в самых бюджетных моделях. Вам известно что-то подобное у других производителей в ценовой категории 50-150$? Мне лично нет, но тут я могу заблуждаться. Если у каких-то вендоров есть что-то похожее на Winbox, было бы любопытно узнать об этом.

Где скачать Winbox

Качать winbox последней версии надо строго с официального сайта - https://mikrotik.com/download.

Скачать winbox

Делаю на этом акцент, потому что одно время при поиске утилиты в поисковиках на первом месте были другие сайты. Кто-то подсуетился и сделал отдельные сайты под этот поисковой запрос. В итоге они были выше основного сайта вендора. Сейчас это уже пофиксили, но вот подобные примеры.

Фейковые сайты mikrotik

Так же напоминаю, что сайт mikrotik.ru к самой компании Микротик не имеет никакого отношения. Им просто удалось зарегистрировать этот домен и открыть на нем магазин оборудования. Причем продают они устройства разных вендоров. Часто этот сайт очень хорошо ранжируется и может вводить в заблуждение относительно его принадлежности к латвийской компании.

Отдельно добавлю, что версии winbox на русском языке не существует. Как и не существует интерфейса управления в ней с русским языком. И это очень хорошо, так как не происходит недопонимания и двойственности в трактовании и переводе одних и тех же настроек. Англоязычное it сообщество намного больше русскоязычного, поэтому удобнее искать что-то сразу на английском языке. Больше шансов найти информацию.

Winbox для MacOS и Linux

Это может показаться удивительным, но нативного приложения Winbox под Mac или Linux просто не существует. Я не разбираюсь в портировании программного обеспечения в другие операционные системы, поэтому не могу судить, почему дело обстоит именно так. Возможно есть какие-то объективные причины того, почему разработчики Mikrotik не выпускают отдельную версию winbox под Linux или Mac.

Так что у вас не очень много вариантов работы с winbox, если ваша OS не Windows:

  1. Использовать для этого отдельную виртуальную машину с Windows.
  2. Использовать Wine.

Для маков существует проект на github - winbox-mac, который позволяет запускать утилиту winbox на macos. Под капотом там обычное виндовое приложение в комплекте с wine. Из-за этого весит эта штуковина более 300 Мб.

Для запуска winbox в linux придется сначала установить wine, а затем запустить виндовую утилиту через нее. Каких-то особых заморочек с этим нет. Все работает сразу без дополнительных настроек. Главное wine поставить. В Ubuntu:

# apt install wine-stable
# wine winbox.exe

В Centos надо подключить репозиторий epel:

# dnf install epel-release
# dnf config-manager --set-enabled PowerTools
# dnf install wine
# wine winbox.exe

Либо можете воспользоваться готовым проектом, где все собрано в одном месте - winbox-installer.

Важный нюанс. При запуске winbox в mac или linux у вас не будет работать Drag & Drop файлов. Это не ошибка, wine просто не поддерживает этот режим.

Как подключиться к Mikrotik через Winbox

Итак, утилиту мы скачали. Теперь рассмотрим варианты подключения к Mikrotik через Winbox. Тут проявляется еще одна очень полезная фишка микротиков. Если ты находишься с ним в одном широковещательном домене, то можно подключиться напрямую, используя mac адрес. Поясню для тех, кто не очень разбирается в теории сетей, о чем тут идет речь.

Расскажу по-простому. Единый широковещательный домен это как-будто вы подключены к микротику через общий свитч. Ваше соединение с ним осуществляется на канальном, втором уровне модели OSI. То есть вам не нужно ничего знать про ip адреса друг друга. Вы можете найти друг друга широковещательным запросом, а свитч вас соединит.

Такая возможность часто спасает, когда вы ошиблись в каких-то настройках ip адреса, или на фаерволе случайно закрыли себе доступ. Вы можете обойти ошибки на уровне ip, подключившись напрямую по mac адресу. Выглядит это следующим образом:

Как подключиться к Mikrotik через Winbox

С помощью широковещательного запроса winbox обнаружил все доступные устройства Mikrotik в своем сегменте сети и получил возможность подключиться напрямую по mac адресу. Сразу скажу, что такое соединение менее стабильно, чем по ip. Вытекает это из особенностей протоколов подключения.

При подключении по IP адресу с помощью протокола TCP, осуществляется проверка целостности пакетов и подтверждение их доставки. При подключении по MAC этого не происходит, поэтому подключение менее стабильно. Это объясняет, почему во время подключения по mac часто происходит обрыв соединения и отключение от устройства. В общем случае лучше подключаться по ip адресу.

Когда мне приходилось удаленно настраивать Микротики, я всегда старался оставить себе возможность подключиться к устройству напрямую по mac. Понятно, что это не всегда получится и не всегда спасет, если ты по ошибке отключишь интернет. Но если была возможность подстраховаться, я ее использовал.

В общем случае для подключения по winbox достаточно убедиться в том, что включена соответствующая служба. Проверить это можно в разделе IP -> Services.

Подключение через winbox по ip

Если здесь отключить службу winbox, подключение через эту утилиту будет невозможно.

Доступ к Микротик из интернета

Иногда нужно настроить доступ к микротику снаружи, то бишь через незащищенное соединение по интернету. Без крайней необходимости я не рекомендую этого делать. Уже не раз в routeros находили уязвимости, в результате чего удаленное подключение к Mikrotik оказывалось огромной дырой в безопасности. В конечном счете это приводило к заражению устройства и использование его в качестве участника ботнета или открытого прокси сервера.

Для подключения к Mikrotik по умолчанию Winbox использует TCP PORT 8291. Соответственно, для доступа снаружи, вам необходимо открыть этот порт на Firewall. Я в обязательном порядке рекомендую защитить подобное соединение одним из двух предложенных мной в отдельных статьях способов:

  1. Защита подключения через Winbox с помощью firewall. Там я рассматриваю ограничение доступа по winbox к микротику на уровне белых списков ip адресов, с которых разрешены подключения.
  2. Port knocking в Mikrotik для защиты Winbox. В этом случае доступ возможен с любых ip адресов, но при выполнении определенных действий.

Еще раз подчерку - используйте какую-то защиту. Не оставляйте порт для winbox доступный напрямую через интернет без каких-либо ограничений. Делайте это либо одним из предложенных мной способов, либо открывайте доступ извне по winbox только через vpn.

Запретить доступ по Winbox

Рассмотрим теперь, как нам запретить подключение к микротику через winbox. Для начала запретим доступ по MAC адресу. Делайте это аккуратно, так как не настроив ip адрес и запретив доступ по mac, вы не оставите себе никакой возможности управлять роутером. Ему придется сбрасывать настройки.

Для запрета подключения по mac необходимо перейти в раздел Tools -> MAC Server и нажать на кнопку MAC WinBox Server.

Настройка доступа по mac

Здесь вы можете выбрать списки интерфейсов, с которых разрешено подключение по MAC. Чтобы его запретить, надо выбрать none.

Запретить доступ через Winbox

После этого подключиться по mac адресу с помощью winbox будет невозможно.

ERROR could not connect to 0A:42:E1:73:0D:6E

Собственные списки интерфейсов можно создать в разделе Interfaces, вкладка Interface List.

Для того, чтобы микротик вообще отсутствовал в списке устройств winbox, необходимо отключить службу Neighbor List. Для этого идем в раздел IP -> Neighbors и приводим настройки к следующему виду.

Отключение обнаружения по мак адресу

После этого устройство не даст себя обнаруживать в локальной сети.  С запретом доступа по MAC разобрались, теперь запретим и все остальные подключения. Для этого есть 2 способа:

  1. Отключить службу Winbox.
  2. Закрыть tcp порт 8291 на firewall.

В первом случае отключаем службу.

Отключение службы Winbox

Во втором добавляем правило в firewall.

# ip firewall filter add action=reject chain=input dst-port=8291 protocol=tcp

Подробнее про настройку firewall читайте отдельную статью. Здесь не буду на этом останавливаться.

На этом по запрету доступа через Winbox все. Рассмотрел все возможные варианты блокировки подключения.

Почему winbox не видит Mikrotik по mac

Рассмотрим теперь ситуации, когда Микротик не виден в Winbox. Как я уже рассказывал выше, на микротике может быть банально отключена служба, которая отвечает на запросы по mac адресу. В таком случае, он не будет виден в списке найденных устройств. При этом, если вы знаете mac адрес микротика, вы сможете ввести его вручную и подключиться. Проверить, на каких интерфейсах вы можете обнаружить свой микротик по mac, можно в разделе IP -> Neighbors.

Winbox не видит Mikrotik по mac

В данном примере микротик виден по mac на всех интерфейсах, кроме динамических. Так же некоторые новички не понимают, что для доступа по mac вы должны быть с устройством в одном широковещательном домене. Подробно я уже об этом рассказал в самом начале. Если между вами есть маршрутизатор, который работает на третьем уровне модели osi, вы не увидите друг друга по мак адресу. Это невозможно технически. В общем случае, конечно.

На некоторых устройствах прописан мак адрес порта на самом устройстве. Если не получается обнаружить микротик в сети, попробуйте вручную вбить этот адрес порта и подключиться напрямую. Только опять же, убедитесь, что вы с этим портом подключены в один и тот же свитч.

Иногда проблему с видимостью микротика по мак адресу можно решить просто удалив кэш winbox на компьютере. Можно на время переименовать папку C:\Users\user\AppData\Roaming\Mikrotik\Winbox, перезапустить утилиту и еще раз попробовать выполнить поиск соседей.

И еще одну проблему знаю, когда никак не получалось подключиться к одному очень старому микротику. Как оказалось, для него нужно было скачать какую-то старую версию winbox. И только через эту версию по mac адресу, введя его вручную, можно было подключиться к устройству.

Шифрование сохраненных паролей

По умолчанию, Winbox все свои настройки, в том числе пароли доступа, хранит в открытом виде в директории C:\Users\user\AppData\Roaming\Mikrotik\Winbox. Очевидно, что это очень плохо, так как завладев этими файлами, можно получить доступ ко всем устройствам, которые находятся в списке подключений. Достаточно просто скопировать содержимое директории winbox на другой компьютер, запустить утилиту и подключиться по любому соединению с сохраненным паролем.

Где winbox хранит настройки

Для того, чтобы защитить свои сохраненные пароли, используйте шифрование. Для этого нажимайте кнопку Set Master Password на главном экране Winbox и указывайте пароль.

Шифрование настроек и паролей

После этого доступа к сохраненным паролям не будет без введения Master Password, так что можно не бояться за сохранность файлов winbox в профиле пользователя. Я очень долгое время не задумывался о сохранности паролей, пока мне один знакомый не показал, как легко и просто забрать все мои сессии и получить доступ к устройствам.

Так что я настоятельно рекомендую всегда использовать Master Password и делать его длинным. Современные майнинговые фермы с кучей видеокарт сильно упрощают brute force не очень сложных паролей.

Заключение

Я постарался разобрать все известные мне нюансы подключения к Mikrotik по Winbox. Некоторые вещи я вообще не знал и не задумывал о них долгое время работы с устройствами. Например, только недавно я разобрал тему с подключением по mac. Узнал, как им управлять, ограничивать, запрещать и т.д. До этого просто не обращал на это внимание и оставлял все по дефолту.

Про шифрование рассказал все в статье. Долго им не пользовался, но последние несколько лет в обязательно порядке устанавливаю Master Password, либо просто не сохраняю пароли в winbox, храня их в keepass. Если я забыл что-то важное или в чем-то ошибся, жду замечаний в комментариях.

Углубленный онлайн-курс по MikroTik

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном онлайн-курcе по администрированию MikroTik. Автор курcа – сертифицированный тренер MikroTik Дмитрий Скоромнов. Более 40 лабораторных работ по которым дается обратная связь. В три раза больше информации, чем в MTCNA.

Автор Zerox

Владимир, системный администратор, автор сайта. Люблю настраивать сервера, изучать что-то новое, делиться знаниями, писать интересные и полезные статьи. Открыт к диалогу и сотрудничеству. Если вам интересно узнать обо мне побольше, то можете послушать интервью. Запись на моем канале - https://t.me/srv_admin/425 или на сайте в контактах.

56 комментариев

  1. Сергей

    RB750Gr3 нечайно сбросил настройки до заводских, до этого он работал и я сам его настраивал (с пол года до этого случая)!.. Сейчас не могу зайти на него по мак-адресу - ошибок нет, просто не может его найти, ip адреса у него тоже нет после сброса.. Попробовал подсключится не к 1му порту а к 5му - начал писать что неверный логин/пароль, я использовал стандартную инструкцию: логин = admin, пароль - пустой.. Но WinBox видит версию прошивки (6.49.14), время аптайма, название этого порта.. Т.е. по видимости через 5й порт доступ есть, даже при "неверном логине/пароле", но тогда непонятно почему он меня не пускает?? Может подскажешь, Zerox, с меня магар! ))))
    Я уже скачал винбокс постарше (3.1), отключил Аваст и брандмауер, а также неиспользуемые сетевые интерфейсы - безрезультатно!..

    • Так а что тут подскажешь? Если не пускает с пустым паролем и учёткой admin, значит конфигурация полностью не сброшена. Надо его полностью обнулить принудительно и пробовать подключиться. В интернете масса информации на тему того, как сбросить микрот до заводских настроек. Я уже сам не помню подробностей.

  2. Аноним

    Долго мучился, не мог понять, почему по IP подключаюсь, а по MAC и где его взять не получалось и не понятно. Оказалось дело было 1) антивирус/брандмауэр надо было выключить AVAST 2) хоть по трем МАС и не важно по какому порту подключен. У нас маки 1) WAN 2) LAN Bridge 1 3) LAN Bridge 2. 3) Можно напрямую подключаться с ноутбука, можно через хаб

  3. Евгений

    Пропал доступ извне на микротик через приложение Mikrotik для android. Работало всё хорошо, но после обновления прошивки(6.49.7) , не могу подключиться. Разрешение стоит, правило отдельно прописывал, порт на подключение менял. Безуспешно.Хотя RDP подключение проходит через него извне. Дождался прошивки 6.49.8, но всё равно безуспешно. Можете что нибудь посоветовать???

  4. Микротик в домашней сети. Пытаясь его защитить отключил в сервисе все службы включая Winbox. Роутер работает, но доступ через WinBox потерял.. В winbox он виден, в мак находится но не разрешает подключение.
    Можно ли обойтись без сброса к заводским и как то вернуть доступ?

    • Если по MAC адресу тоже не пускает, то без сброса, скорее всего, не получится ничего сделать. По крайней мере, я не знаю, что тут можно предпринять.

      • Причем если пытаешься зайти c Winbox по мак то пишет "Could not connect" а если через ip то "Connection refused"

      • Сергей

        Я его сбросил за вечер раз 5.. )) С первого порта никакого доступа нет.. (((
        Но, если подключатся к другим портам, то в WinBox на вкладке автоопределения он находится, показывает версию прошивки, наименование порта, к которому подключен.. Т.е. доступ очевидно есть, но войти я не могу, поскольку при попытке входа показывает ошибку логина/пароля - admin в качестве логина не помогает.. Может есть какие-то "секретные" способы входа НЕ через первый порт? Тогда каким должен быть логин/пароль?..

        • Если сброс не помогает, попробуйте его заново прошить. Там ничего особо сложного. Я когда-то на курсах это изучал и проделывал, но подробностей не помню. Думаю, в интернете есть подробная информация на этот счёт.

  5. Сергей

    Здравствуйте,подскажите когда-то настраивал Микротик с master и slave портами.Теперь стоит новая прошивка 6.49.6-их нет.Стоит ли перенастраивать заново интерфейс Микротика,если всё работает нормально? Боюсь потерять правила брандмауэра и другие настройки,
    ведь это надо всё сбрасывать до заводских и настраивать заново.Во вкладке "Interfase" есть порты с буковкой S(slave).

    • Если работает, то можно не трогать. Там и перенастраивать то ничего не надо, тем более сбрасывать на заводские. Я уже не помню точно, но вроде master и slave порты просто заменили функционалом бриджа. Это то же самое, что все порты поместить в один бридж.

  6. Сергей

    Здравствуйте,подскажите, а как убрать мастер-пароль в WinBox ,оставив только обычный пароль ?

    • Нажмите Set Master Password и оставьте поля с паролем пустые. Пароль не будет установлен.

  7. Даниил

    WinBox на Mac отлично запускается через эмулятор CrossOver® Mac.
    https://www.codeweavers.com/crossover/

    Сам работаю через него - 0 проблем.

  8. Уважаемый Zerox, извиняюсь что не по теме, но если Вам не сложно , подскажите возможно ли обойтись без свитча перед микротиком, использовать 1ый порт(eth1) как wan а второй(eth2) как порт свитча перед роутером? Сейчас инет приходит в свитч в который подключается АТС а из свитча в Микротик, хочется убрать этот свитч и все подключить в микротик. Спасибо !!!

    • Можно обойтись без свитча. Из описания я вообще не понял, зачем он в данном случае нужен.

      • Александра

        Так было установлено до меня. Я просто сменила роутер , Tplink на mikrotik. Все настроела, все работает. Но если подключаю Lan от АТС в любой порт микротик, то атс не работает. Атс работает если ее подключить напрямую к кабелю от приходящего инета. Может как-то можно запаралелить один интерфейс микротика с Ваном ?

        • АТС использует внешний IP от провайдера? Для чего она воткнута в этот свитч и что еще подключено к нему?

  9. Владимир

    Подскажите пожалуйста по модели map-2nd
    Необходимо первый порт сделать LAN или объеденить его со вторым в бридж.
    Всё вроде проходит нормально, но он "стремится" вернуться к заводскому ссостоянию WAN с PoE in
    И, странно, нет в перечне портов, о которых в статье говорится порта winbox 8291
    Может это проблема конкретного экземпляра?

    • Что значит стремится вернуться? По факту что происходит?

      • Аноним

        По факту сбрасывается в WAN, но невсегда и трафик через него не идёт. PoE через него работает нормально. Сброс производился (без сохранения дефолтной конфигурации). В формальной инструкции к девайсу про первый порт написано, что он для перепрошивки только подключается к ПК, в остальных случаях, - он WAN. Насколько я понял, это урезанная версия 951-2nD. Можно объединить его в бридж со вторым портом. Бридж будет, но трафик пойдёт только через второй!
        Есть ещё настройки в закладке switch - port isolation - forwarding. Может это поможет?

        • Обозначения WAN в Микротиках условные. У них все порты равнозначные и могут настраиваться как угодно. Вы можете WAN сделать 4-м портом, в первые три объединить в бридж и подключить к локальной сети. Так что повнимательнее все посмотрите. Мне кажется, вы просто еще не достаточно разобрались с устройством.

  10. Владислав

    Доброго времени, у меня проблема, отключил нечаянно ethernet в winbox из за чего не могу подключиться к оборудованию, как можно исправить?

    • Пробовать подключаться по mac, находясь с роутером локально. Если не получится, то только сброс настоек. Ни разу не попадал в такую ситуацию.

  11. Азамат

    Вроде бы если на ip services менять порт 8291 на другой потом при подключение к winbox после ввода ip address двоеточием указываешь порт на который поменял то тебя пропустить на сам микротик сам не проверял но вроде кто то рассказывал о током лайфхаке))

  12. Добрый день! Спасибо за статью, узнал кое-что новое)

    Забыли рассказать про winbox для Android и iOS, там утилита называется Mikrotik, работает также как и на windows, по MAC и IP.. Постоянно использую.

    • Даже в голову не приходило лазить в winbox через телефон. Что там можно делать? Неудобно же.

      • Всё тоже самое))
        Только многооконный режим не поддерживает.. Но это намного удобнее чем через мобильный браузер. Есть еще возможность сохранять IP и пароли от разных роутеров, чтобы потом не тратить время на ввод. В общем рекомендую))

        • Спасибо, попробую. Не было потребности, поэтому даже не рассматривал такой формат. Обычно со мной мой портативный ноут. Всегда его с собой таскаю.

          • Азамат

            Добрый день не подскажете какой ноут лучшее для сис админа как портативный ноут для работы?? Или ноут модель ноута с которым вы работаете??

      • Виталий

        Здравствуйте, Владимир! Огромное спасибо вам за работу над этим сайтом, не раз выручал ваш опыт в трудных рабочих ситуациях, требующих тщательных размышлений и обдумывания! Хочу заметить что утилита Winbox под Android не раз меня спасала в случае косяка с удалённым маршрутизатором, к которому есть подключение по VPN с телефона. Также удобно делать что-нибудь в пути. Разбудить удалённый сервер "Magic Packet-ом" например. А еще используя с мобильным же приложением VMware vSphere Mobile - что-нибудь делать с сервером VMware ESXi. Да много чего. Считай рабочее место в кармане

        • Кстати, насчет разбудить это хорошая мысль. Я домашнюю лабораторию как раз с микротика поднимаю скриптом с функцией wol.

      • Александр

        Неудобно, да. Но ещё неудобнее сидя в троллейбусе доставать, открывать и включать ноутбук, подключать его к интернету через смартфон, чтобы срочно что-то проверить/включить... Со смартфона - что-то несложное выполнить на роутере со знакомой конфигурацией - вполне реально. Предварительно ещё и vpn поднять для безопасного (да и вообще для) доступа.

  13. Максим

    Я с линуксом долго возился, пытаясь использовать winbox по MAC. Отключаешь на рабочей станции firewall - все работает. Включаешь, winbox видит микротик, но не может соединиться. Решение - разрешить на рабочей станции входящие UDP пакеты с портом ИСТОЧНИКА 20561/udp. Файрвол был дефолтный для федоры. Может кому еще пригодится.

    • Любопытная информация. Интересно, для чего это нужно. В wiki микротика этот порт указан:
      20561/udp MAC winbox
      Только не понятно, как он используется. Ведь по маку можно подключиться, даже если ни один ip адрес не настроен на микротике. Тогда от кого прилетает udp пакет?

      • Максим

        Я так понимаю, что UDP ответы микротика с этого порта отбрасывались файрволом при запрещенном входящем трафике. А порт назначения, на котором winbox будет слушать ответ назначался самим winbox-ом динамически при отправке первых пакетов. Т.е. просто открыть входящий локальный порт на рабочей станции не получается. И под established,related это тоже не попадало.

      • Александр

        Насколько я помню, mac-telnet, mac-winbox общаются широковещательными пакетами, именно по udp 20651. И утилита к устройству отправляет на 255.255.255.255, и устройство отвечает на 255.255.255.255. Адресация (mac) и сессия - в содержимом этих броадкастов, видимо какая-то проприетарная.

    • Михаил

      Больше спасибо тебе, добрый человек.
      Долго искал что нужно открыть для того что бы заработало.

  14. Валентин

    А ещё, если у вас несколько сетевых интерфейсов, иногда бывают проблемы с подключением. У меня такие траблы с виртуальными сетевухами от VirtualBox'a, пока их не отключить, не пускает на девайс.

  15. Подскажите новичку: На Микротике с белым ip (подключение к провайдеру через pppoe) поднят l2tp vpn сервер. доступ в локалку есть, правда не ко всем хостам(?) Как получить доступ к микротику?

    • Откуда надо получить доступ к микротику? Не понял вопроса и самой проблемы.

      • нужен доступ к микротику из интернета. Наружу порты закрыты, открыт только доступ к vpn l2tp ipsec, поднятому на этом самом микротике. Задача подключившись из вне по vpn, зайти на Микротик.

  16. Safe Mode еще стоит упомянуть не раз спасало от глупых действий.

    • Рассказываю об этом в статье про настройку firewall. Там эта тема наиболее актуальна.

  17. Равиль

    Такая задача возникла у нас. Необходимо предоставить доступы к некоторым ресурсам через микротик. В частности, доступ к скачиванию с плей маркета. Сам плей маркет открывается, после добавления доменов google.com, play-google.com и так далее, но вот именно не идёт скачка. После долгих мучений, выяснилось, что при скачивании создаётся временная динамическая веб-ссылка. Были установлены в аксес лист все блоки айпи адресов гугл https://bgp.he.net/AS15169#_prefixes взятые отсюда, но всё равно - не качает хоть убей.. Если у кого-то был опыт, поделитесь пожалуйста

    • Вам нужно все запросы на загрузку пустить через свой dns сервер с логированием запросов. Так вы точно узнаете, куда идет плей маркет для загрузки. Пример подобного dns сервера - https://serveradmin.ru/nastroyka-dns-servera-bind-v-centos-7/

      • Равиль

        Спасибо за обратную связь. Дело в том, что я знаю все айпи адреса, куда стучится гугл, я их добавил в Adress List и сделал правило на фаерволе с Action Drop и Chain Forward. Правило отрабатывает, как надо. Я тестил на других сервисах - всё отлично работает. Не отрабатывают только блоки айпишников гугл, вот в чём беда)) Я собрал debug.log через Керио и проверил куда именно идёт стук, во время скачивания, он стучится строго в гугл по айпи адресам и всё, их я и добавил. Один фиг не помогает...

        • А качаете чем? Может гугл как-то определяет, что идет нетиповое поведение устройства и не дает загружать? Чудес то не бывает. Если все открыто, а загрузка не идет, значит что-то упустили.

      • Равиль

        дело в том, что мне нужно реализовать это исключительно фаерволом самого микротика

  18. У Вас в описании порта WinBox, по тексту, несколько раз перепутаны цифры порта ... вместо 8291 пишет 8921

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Нажимая кнопку "Отправить комментарий" Я даю согласие на обработку персональных данных.
Используешь Telegram? Подпишись на канал автора →
This is default text for notification bar