Настройка удаленного доступа MikroTik через интерфейс и командную строку

Всем доброго времени суток! В статье я коротко расскажу – как сделать в Mikrotik доступ из интернета или, по-другому, как организовать и настроить удаленный доступ. Причем нам нужно не просто открыть порт и пускать туда всех кому не лень, а именно сделать безопасный вход. Для начала нужно подключиться к маршрутизатору и зайти в Web-интерфейс.

Введение

Но мне удобнее использовать WinBox, так как он позволяет открывать и работать сразу в нескольких местах. Так что тут каждый решает сам. Даже интересно как-нибудь сделать опрос, кто как настраивает роутеры Mikrotik. Но мы немного отвлеклись – начнем же настраивать.

Сразу внесу важную поправку к старой версии статьи. Если говорить честно, то самый безопасный удаленный доступ к MikroTik – это не просто открыть WebFig или WinBox наружу, а заходить через VPN. На текущий день это действительно лучший путь. Но я понимаю, что многим нужен именно быстрый практический сценарий: открыть доступ к роутеру из интернета и при этом не оставить его голым перед всем миром. Поэтому ниже я покажу рабочую схему через интерфейсы управления, но с обязательными ограничениями по IP, отключением лишних сервисов и нормальной логикой firewall. Без этого «безопасный вход» не получится.

Важно! Telnet для удаленного доступа из интернета я бы вообще не советовал использовать. Он старый и небезопасный. Если нужен консольный доступ – используйте SSH. Если нужен браузер – лучше включать не обычный «www» на 80 порту, а «www-ssl» или вообще идти через VPN. Если нужен WinBox – его тоже лучше пускать только с доверенных IP.

Еще один момент. На новых RouterOS правила по умолчанию и вообще логика фильтрации могут отличаться в зависимости от версии, модели и того, делали ли вы сброс с конфигурацией по умолчанию или без нее. Поэтому ниже я объясню не только «куда нажать», но и саму идею. Так будет проще не сломать себе доступ и не запутаться в очередности правил.

Что я советую сделать до открытия доступа

Перед тем как открывать управление снаружи, я бы обязательно сделал вот что:

• обновил RouterOS до актуальной стабильной версии;
• сменил стандартный пароль администратора на длинный и сложный;
• отключил все сервисы, которыми вы не пользуетесь;
• заранее определил, с каких внешних IP вы вообще будете заходить на роутер;
• сделал резервную копию конфигурации перед экспериментами.

Это не «перестраховка ради красоты», а нормальная бытовая безопасность. Очень часто люди открывают WinBox или WebFig наружу, а потом только вспоминают, что пароль стоит простой, роутер давно не обновлялся, а доступ открыт вообще всему интернету. Если вам нужна база по самому входу и первичной настройке, можете отдельно посмотреть базовую настройку MikroTik. А если вдруг уже потеряли доступ или забыли пароль, держите отдельную инструкцию по сбросу MikroTik до заводских настроек.

Настройка удаленного доступа через интерфейс

1. Слева в меню выбираем «IP», далее нажимаем по разделу «Firewall». Для того чтобы открыть или прикрыть тылы, конечно же нужно зайти во вкладку «Filter Rules». Но я бы начинал даже не с самого правила, а со списка доверенных IP. Для этого лучше сначала зайти во вкладку «Address Lists» и создать там список, например с именем remote-admin. В него добавляем те внешние IP-адреса, которым будет разрешен доступ к маршрутизатору. Это заметно удобнее, чем потом править каждое правило вручную. Если у вас один внешний адрес – добавляете один адрес. Если нужен доступ и из дома, и из офиса – добавляете оба.
2. Теперь возвращаемся во вкладку «Filter Rules» и создаем новое правило по плюсику. В качестве «Chain» указываем параметр «input». Это важно, потому что мы фильтруем доступ именно к самому роутеру, а не проходящий через него трафик. В качестве «Protocol» используем «TCP».
3. В строке «Dst. Port» указываем порт той службы, по которой будем подключаться. Для WinBox это обычно 8291, для SSH – 22. Для Web-интерфейса старый совет про «80 порт» я бы уже не называл хорошим выбором. Если вам нужен браузерный доступ, лучше использовать www-ssl, а не обычный «www». И да, комментарий к правилу реально стоит добавить – через месяц вы сами себе скажете спасибо.
4. Самое важное поле, которого не хватало старой статье – это ограничение по источнику. На вкладке «General» или через дополнительную вкладку, в зависимости от версии WinBox, укажите Src. Address List = remote-admin. То есть принимать доступ только от тех адресов, которые вы сами заранее внесли в список доверенных.
5. В «Action» оставляем accept. Применяем правило кнопкой «Apply».
6. Теперь правило нужно поднять выше общих блокирующих правил input chain, иначе оно не сработает. Но просто «как можно выше» – не всегда правильный совет. Его нужно ставить выше общего drop для WAN, но не ломая логику уже существующих служебных правил, если вы понимаете, что у вас там настроено.
7. После разрешающего правила я бы обязательно создал и запрещающее правило для тех же портов, но уже для всех остальных адресов. То есть первое правило разрешает доверенным IP, а следующее ниже – дропает обращения к этим портам со всего остального интернета. Именно в такой связке схема получается осмысленной.
8. Теперь осталось ограничить доступ и на уровне самих сервисов. Для этого там же в «IP» переходим в раздел «Services».
9. Нам нужно выбрать ту службу, к которой мы хотим иметь доступ. Я в качестве примера хотел выходить из интернета на Web-интерфейс, но на текущий день я бы предпочел либо WinBox, либо SSH, либо «www-ssl» вместо обычного «www». В строке «Available From» указываем те же внешние IP-адреса, которым будет дано право на вход. Сюда же можно добавить и локальные адреса, если вы хотите оставить доступ из своей сети.

Идея простая: безопасность должна быть в двух местах сразу. И в Firewall, и в «IP – Services». Тогда даже если где-то одно ограничение забудется или сломается, второе все равно останется. Это не паранойя, а нормальная защита для удаленного управления.

Старый текст создавал только разрешающее правило, но не добавлял логичное закрытие для остальных. Из-за этого читатель мог подумать, что одной «allow»-записи уже достаточно. На практике так делать не стоит. Иначе вы можете открыть доступ не только себе, но и вообще всем, если дальше по списку нет четкой блокировки. Поэтому схема должна быть такой: разрешить доверенным адресам – запретить остальным – оставить общий firewall в здравом виде.

И еще один важный момент. Если вы сидите за мобильным интернетом или провайдер дает вам постоянно меняющийся внешний IP, то жесткая белая фильтрация по одному адресу может быть неудобной. В такой ситуации либо используйте VPN, либо продумывайте доступ через диапазон адресов, что уже менее безопасно, либо подключайте MikroTik Cloud/DDNS и более аккуратную схему доступа. Но если у вас есть стабильный белый IP дома или в офисе, белый список адресов – это один из самых простых и сильных способов защиты.

Если вы не уверены, нужен ли вам вообще прямой доступ к WebFig из интернета, лучше не открывайте его. Для обычного домашнего или офисного использования чаще хватает WinBox или SSH только с доверенных IP, а еще лучше – доступа через VPN. Если вам потом понадобится проброс портов на камеры, NAS или другой сервис, у нас есть отдельная инструкция по пробросу портов в MikroTik – не путайте это с доступом к самому роутеру.

Что я бы отключил сразу

Раз уж мы говорим про безопасный удаленный доступ, то лишние сервисы лучше не держать включенными «на всякий случай». Я бы в «IP – Services» посмотрел на все, что там висит, и отключил то, чем вы не пользуетесь. Чаще всего в домашней и малой офисной практике смело можно выключить:

• telnet;
• ftp;
• api и api-ssl, если вы не используете их осознанно;
• www, если собираетесь работать через winbox, ssh или www-ssl.

Это не сделает роутер «непробиваемым», но заметно уменьшит площадь атаки. Чем меньше у устройства открытых сервисов наружу, тем спокойнее вы спите. А если потом что-то реально понадобится, нужный сервис всегда можно включить обратно и ограничить по IP.

Настройка удаленного управления через командную строку

Теперь покажу, как я бы делал то же самое через терминал. Но здесь я немного обновлю старые команды, потому что просто открыть 80 порт и на этом успокоиться – уже слабая схема.

1. Сначала создаем список доверенных внешних IP-адресов. Это удобнее, чем прописывать адрес прямо в каждом правиле. Ниже пример с одним внешним адресом:

/ip firewall address-list add list=remote-admin address=214.55.17.76 comment=”мой внешний IP для доступа”

2. Если нужно, добавляем локальную сеть, с которой тоже разрешаем управлять роутером:

/ip firewall address-list add list=remote-admin address=192.168.88.0/24 comment=”локальная сеть”

3. Теперь создаем разрешающее правило для WinBox. Я намеренно показываю WinBox, потому что Telnet сегодня лучше не трогать вообще. Если нужен SSH, логика будет такой же, только с портом 22:

/ip firewall filter add chain=input protocol=tcp dst-port=8291 src-address-list=remote-admin action=accept comment=”allow winbox from trusted IPs”

4. Сразу после этого создаем запрещающее правило для тех же обращений со всех остальных адресов:

/ip firewall filter add chain=input protocol=tcp dst-port=8291 action=drop comment=”drop winbox from internet”

5. Смотрим список правил:

/ip firewall filter print

6. Поднимаем наши правила выше общего запрета входящих подключений с WAN. У вас номера могут быть другими. Поэтому сначала смотрим print, а уже потом двигаем:

/ip firewall filter move 30 destination=1
/ip firewall filter move 31 destination=2

7. Теперь ограничиваем доступ и на уровне самих сервисов. Если нужен именно WinBox, то я бы делал так:

/ip service set winbox address=192.168.88.0/24,214.55.17.76/32 disabled=no

8. Если нужен SSH, то аналогично:

/ip service set ssh address=192.168.88.0/24,214.55.17.76/32 disabled=no

9. Если хотите использовать WebFig, то лучше отключить обычный «www» и включить «www-ssl», а затем тоже ограничить его по адресу:

/ip service set www disabled=yes
/ip service set www-ssl address=192.168.88.0/24,214.55.17.76/32 disabled=no

10. И отдельно отключаем то, чем не пользуемся:

/ip service set telnet disabled=yes
/ip service set ftp disabled=yes

Старая команда из статьи использовала telnet и при этом говорила о доступе к Web-интерфейсу. Это вводило в заблуждение, потому что «/ip service set telnet …» управляет именно Telnet, а не WebFig. Поэтому обязательно следите, чтобы команда соответствовала той службе, которую вы реально открываете: winbox, ssh, www или www-ssl.

Дополнительная защита, о которой часто забывают

Firewall и ограничение сервисов по IP – это уже хороший шаг. Но если вы действительно хотите сделать вход более безопасным, я бы добавил еще несколько моментов:

• смените пароль администратора на длинный и сложный, не меньше 12 символов;
• не работайте под пользователем с лишними правами, если у вас их несколько;
• ограничьте пользователя по allowed address, если сценарий это позволяет;
• включите логирование попыток входа хотя бы на время отладки;
• по возможности используйте VPN вместо прямого открытия сервисов наружу.

Если у вас новый RouterOS и подходящее железо, можно посмотреть в сторону встроенных более современных сценариев удаленного доступа вроде VPN. Для домашнего доступа это часто оказывается проще и безопаснее, чем долго вылизывать открытый WinBox с белыми списками. Но если задача стоит именно «пустить себя снаружи в роутер напрямую», то схема из этой статьи будет уже заметно лучше старой версии с просто открытым 80 портом.

Что делать, если после настройки вы сами себя отрезали

Это классика. Человек открывает доступ, двигает правила, что-то запрещает, и в итоге сам больше не может попасть на роутер. Чтобы не оказаться в таком положении, я обычно советую делать изменения из локальной сети и не выкидывать себя из списка разрешенных адресов. Если есть возможность, держите под рукой вторую сессию WinBox или делайте изменения аккуратно шаг за шагом, а не целым комбайном.

Если доступ все же потеряли, то самый простой путь – зайти к роутеру из локальной сети по кабелю или через соседний живой сервис, который вы не отключили. Если не осталось вообще ничего – уже читаем про пароль по умолчанию MikroTik и, в крайнем случае, возвращаемся к сбросу. Поэтому резервная копия конфигурации до экспериментов – это не излишество, а нормальная привычка.

FAQ

Что безопаснее – WebFig, WinBox или SSH?
Если говорить очень грубо, то я бы выбирал либо WinBox, либо SSH, причем только с доверенных IP. Обычный WebFig на 80 порту открывать наружу я бы не советовал. Если нужен браузер, то лучше уже использовать www-ssl и все равно ограничивать доступ по белому списку.

 

Можно ли просто сменить порт и считать, что этого достаточно?
Нет. Смена порта – это максимум небольшая маскировка, а не полноценная защита. Основу безопасности тут дают именно ограничения по IP, отключение лишних сервисов, нормальный пароль и здравый firewall.

 

Зачем дублировать ограничения и в Firewall, и в IP – Services?
Потому что это повышает надежность схемы. Если где-то одна часть логики сломается или вы забудете правило, вторая все равно останется. Для удаленного управления такой дубль реально полезен.

 

Нужно ли открывать Telnet?
Нет, если только вы не живете в очень странном учебном стенде и не понимаете все риски. Для реальной жизни Telnet лучше просто выключить. Если нужен консольный доступ – используйте SSH.

 

Что делать, если внешний IP меняется?
Тогда белый список по одному адресу становится неудобным. В такой ситуации либо используйте VPN, либо продумывайте более гибкий сценарий с DDNS и дополнительной защитой. Но открывать управление «для всех, потому что IP плавает» – плохая идея.

На этом все. Старую статью я бы теперь свел к одной простой мысли: для MikroTik удаленный доступ из интернета нужно открывать не «лишь бы пускало», а так, чтобы вы точно понимали, кто может зайти, по какому сервису и что произойдет с остальными. Тогда и работать будет удобно, и лишних сюрпризов будет заметно меньше.