Vzdálený přístup k RouterOS (MikroTik router) a zařízením za routerem

Autor: Ing. Vladimír Nepor
Publikováno na

Bez ohledu na to, jaký MikrotTik router máte, jeho operační systém a správcovské rozhraní Router OS je vždy stejné. Z lokální sítě se k routeru připojíte jednoduše, typicky skrze url odkazující na výchozí IP adresu routeru http://192.168.88.1/. Tato wiki page popisuje možnosti, jak k routeru přistupovat vzdáleně.

Nejběžnější možnosti připojení k RouterOS

  • WebFig je webové uživatelské rozhraní pro administraci Router OS zařízení Mikrotik. Je provozováno routerovou službou www běžící na portu 80, odposlouchávající na lokální IP adrese routeru.
  • WinBox je software, prostřednictvím níž lze zobrazit UI prostředí SW Router OS. Prostředí i funkcionalita je obdobná prostředí WebFig. Provozováno je routerovou službou winbox běžící na portu 8291. WinBox je vhodný pro vzádlená připojení k UI Router OS. Lze stáhnout na adrese https://mikrotik.com/download a běží bez potřeby instalace.
  • SSH (Secure Shell) umožňuje pokročilou administraci zařízení RouterOS pomocí příkazové řádky prostřednictvím šifrovaného spojení. Defaultně odposlouchává na portu 22.

Veškeré služby a k nim přiřazené porty naleznete v sekci Služby.

Metody vzdáleného přístupu k Router OS

Při všech metodách je nutné mít router přístupný prostřednictvím IP adresy. Při vystavení přímého přístupu k routeru prostřednictvím veřejné IP adresy je router potenciálně vystaven širšímu spektru internetových hrozeb, včetně nevyžádaných pokusů o přístup a skenování portů. Zabezpečení se zde spoléhá hlavně na silné heslo a správně nakonfigurovaný firewall. Přístup k routeru prostřednictvím VPN je obvykle bezpečnější volbou, a to z následujících důvodů:

  • VPN vytváří šifrovaný tunel mezi vaším zařízením a routerem, chránící veškerá data přenášená mezi těmito dvěma body.
  • VPN umožňuje přístup k routeru pouze uživatelům, kteří jsou součástí VPN sítě, což výrazně snižuje riziko neoprávněného přístupu.
  • VPN izoluje vzdálený přístup od veřejného internetu, což znamená, že provoz není přístupný nebo viditelný na veřejné síti.
  • VPN může podporovat pokročilejší autentizační mechanismy, včetně certifikátů nebo dvoufaktorové autentizace, které poskytují další vrstvu bezpečnosti.

VPN zde nenahrazuje veřejnou IP adresu. Smysl VPN je takový, že nejdříve se z klienta připojíme pomocí VPN šifrovaným spojením do vnitřní sítě routeru, z které máme následně po zadání přístupových údajů přístup k nastavením samotného routeru - služby SSH, WebFig a podobně.

Vzdálený přístup k RouterOS z veřejné IP

  1. Povolení služeb pro přístup k routeru

    RouterOS nabízí řadu routerových služeb umožňujících k routeru přistupovat různými způsoby. Tyto služby vždy tvoří na daném portu rozhraní pro připojení k routeru.

    V IP/Services, povolte službu, přes kterou chcete umožnit připojení.

  2. Povolení přístupu z internetu na porty služeb

    V výchozím nastavení router blokuje traffic přicházející do routeru a tím pádem jsou v předchozím kroku povolené služby z vnější sítě nedostupné. Pro povolení přístupu ke konkrétní službě routeru z vnější sítě je nezbytné přidání pravidla do IP/Firewall → Filter Rules:

    • Comment: Enable WebFig Remote access
    • Chain: input
    • Protocol: tcp
    • Dst. Port: Port přiřazený pro službu. Defaultně 80 pro www a 443 pro www-ssl.
    • Src. Address: omezení na konkrétní IP adresu nebo rozsah adres, z nichž má být přístup povolen. V případě nenastavení je možné připojení na daný port z libovolné IP adresy.
    • Action: accept

    Poznámka: Winbox běží nativně jen na zařízeních 64-bit Windows.

    • Comment: Enable Winbox Remote access
    • Chain: input
    • Protocol: tcp
    • Dst. Port: Port přiřazený pro službu winbox. Ve výchozím nastavení jde o port 8291.
    • Src. Address: omezení na konkrétní IP adresu nebo rozsah adres, z nichž má být přístup povolen. V případě nenastavení je možné připojení na daný port z libovolné IP adresy.
    • Action: accept
    • Comment: Enable SSH Remote access
    • Chain: input
    • Protocol: tcp
    • Dst. Port: Port přiřazený pro službu ssh. Ve výchozím nastavení jde o port 22.
    • Src. Address: omezení na konkrétní IP adresu nebo rozsah adres, z nichž má být přístup povolen. V případě nenastavení je možné připojení na daný port z libovolné IP adresy.
    • Action: accept

    Kliknutím na tlačítko Apply pravidlo uložte

Vzdálené připojení k routeru prostřednictvím veřejné IP

  1. V prohlížeči zadejte URP ve tvaru http://IProuteru:port, popř: http://IProuteru:port/webfig.
  2. Na přihlašovací obrazovce zadejte uživatelské jméno a heslo.
  3. Klikněte na Login.
  1. V poli Connect To zadejte dle preferovaného identifikátoru:
    • IP adresu:WinboxPort - např: https://111.222.33.1:8291
    • DNS Name:WinboxPort - např: adgfs54gsdfg.sn.mynetname.net:8291
  2. Zadejte uživatelské jméno a heslo.
  3. Klikněte na Connect.

K Mikrotik Routeru je možné připojit se standardním SSH spojením, a to běžným způsobem.

  • Na OS Windows prostřednictvím SSH klienta, jako je Putty
  • Na Linux/Mac prostřednictvím ssh příkazu v terminálu:
    ssh user@router_ip -p 22

Vzdálený přístup k RouterOS přes VPN

Použitím VPN se utvoří virtuální privátní síť, tedy, z hlediska funkcionality a přístupu nebude rozdíl od přístupu k routeru na privátní síti. Dostupný bude na své lokální adrese, přičemž VPN tunnel je šifrovaný. Jde tedy o vhodné řešení i při použití WebFig dostupné skrze prohlížeč ve všech OS, nejen na Windows, jako je tomu u Winbox.

  1. Aktivace předvytvořené VPN služby

    • V okně QuickSet, sekci "VPN", zatrhněte možnost VPN Access.
    • Zvolte si heslo uživatele vpn.
    • Potvrďte tlačítkem Apply Configuration

  2. MikroTik Cloud v RouterOS

    Aktivací předvytvořené služby mělo dojít automaticky k aktivaci DDNS. Ověřte, že je skutečně aktivovaná.

    • Přejdete do sekce IP/Cloud
    • Zkontrolujte, že DDNS Enabled je zaškrtnuto (= služba je aktivní)
    • Rovněž může být nezbytné zaškrtnout Use Local Address
    • Jestliže vidíte upozornění Router is behind a NAT. Remote connection might not work., může to naznačovat, že váš router je připojen k internetu přes jiné zařízení, které provádí NAT (Network Address Translation), typicky to bude další router nebo modem od vašeho poskytovatele internetových služeb (ISP). Dle nastavení tohoto nadřazeného zařízení poté může a nebo nemusí být přístup povolen.
    • Jestliže vidíte další okno BTH VPN - ingnorujte (ponechte na revoked and disabled)
    • Uložte si Public Address a DNS Name - obojí lze používat pro přístup k serveru
    • Klikněte na Apply

Konfigurace VPN (L2TP server) v RouterOS

  1. Nastavení L2TP serveru

    • Přejděte do sekce PPP, záložky Interface.
    • Klikněte na tlačítko L2TP Server.
      • Ujistěte se, že je zaškrtnuto Enabled
      • Default Profile: default-encryption
      • Volbou Use IPsec aktivujte (Internet Protocol Security) pro zabezpečení datových přenosů.
        • Yes: IPSec je preferován a pokud je to možné, bude použit pro zabezpečení L2TP spojení. Pokud však nelze IPSec použít, L2TP spojení může být vytvořeno i bez něj.
        • Required: Použití IPSec je striktně vyžadováno. Bez úspěšného nastavení IPSec nebude L2TP spojení umožněno.

      • Skrytá hodnota v IPSec Secret sdílený klíč je shodná s heslem nastaveným pro vpn uživatele. Jde o klíč který bude použit pro autentizaci IPSec spojení. Tento klíč musí být sdílen s klienty, kteří se budou k VPN připojovat, a musí být na obou koncích stejný.

        S ohledem na bezpečnost je vhodné zde IPSec identifikátor změnit tak, aby nebyl shodný s heslem vpn uživatele. Změnou se aktualizuje i klíč Secret identity v IP/IPSec.Identities (jde o stejný klíč).

        Současně je vhodné omezit Service u vpn uživatele z any na l2tp.

  2. Konfigurace IPSec

    • Přejděte do sekce IP/IPSec.
    • V záložce Peers by jste měli vidět vytvořeného peer l2tp-in-server:
      • Name: l2tp-in-server
      • Address: ::/0 (povolení připojení od kterékoli IP adresy - lze upravit)
      • Profile: default
      • Exchange mode: main

      Pokud zde žádný peer nemáte, případně, chcete definoavt vlastního, umožňujícího IP restrikce, vytvořte nového peera - klikněte na tlačítko Add New a přidejte peer

      • Name: Zvolte název peera
      • Address: 0.0.0.0/0 (povolení připojení od kterékoli IP adresy)
    • V záložce Identities by jste měli vidět následující:
      • Peer: l2tp-in-server
      • Auth. Method: pre-shared-key

      Jestliže zde žádnou identitu nemáte, případně chete pracovat s vlastní, umožňující IP restrikce, klikněte na tlačítko Add New

      • Peer: Zvolte název peera vytvořeného v předchozím bodě
      • Auth Method: pre shared key
      • Secret: zadejte pre-shared key (zvolte si). Pre-shared key je tajný klíč, který se používá na obou koncích IPSec VPN tunelu pro autentizaci a zabezpečení komunikace.
    • V záložce Proposals se ujistěte, že máte nastaven a povolen defaultní proposal.

  3. PPP

    Přejděte do sekce PPP.

    PPP profile

    • V záložce Profiles by jste měli vidět 2 profily:
      • default
      • default-encryption

        u tohoto profilu by měla být nastavena Local Address=192.168.89.1 a Remote Address=vpn.

        Remote Address=vpn přitom odkazuje na IP/Pool, kde je daný pool definován. V rámci definice je stanoven rozsah adres pro vpn spojení v rozmezí 192.168.89.2-192.168.89.255.

    PPP uživatel

    • V záložce Secrets by jste měli vidět následujícího uživatele:
      • Name: vpn - název uživatele pro připojení skrze VPN
      • Password: **** - heslo uživatele pro připojení skrze VPN
      • Profile: default

      Z bezpečnostních důvodů doporučuji uživatele rozkliknout a přejmenovat. Vemte přitom navědomí, že přejmenováním dojde k odstranění fajfky u VPN v QuickSet - to je dáno tím, že již dále nebude existovat uživatel vpn, k němuž se daný servis váže.

      Současně je možné kliknutím na tlačítko Add New přidat další uživatele, a to například separátního uživatele pro každé jedno zařízení. Tito uživatelé budou používat pro připojování se k VPN vlastní jméno a heslo, a současně společný IPSec Secret key.

      • Zadejte Name a Password pro uživatele, který se bude moci připojit přes VPN.
      • Service volte l2tp.
      • Profile nastavte na stejný profil, který jste použili nebo vytvořili pro L2TP server.

  4. Nastavení Firewall

    Přejděte do sekce IP/Firewall.

    • Comment: Enable WebFig Remote access
    • Chain: input
    • Protocol: tcp
    • Dst. Port: Port přiřazený pro službu. Defaultně 80 pro www a 443 pro www-ssl.
    • Src. Address: 192.168.89.2-192.168.89.255
    • Action: accept

    Poznámka: Winbox běží nativně jen na zařízeních 64-bit Windows.

    • Comment: Enable Winbox Remote access
    • Chain: input
    • Protocol: tcp
    • Dst. Port: Port přiřazený pro službu winbox. Ve výchozím nastavení jde o port 8291.
    • Src. Address: 192.168.89.2-192.168.89.255
    • Action: accept
    • Comment: Enable SSH Remote access
    • Chain: input
    • Protocol: tcp
    • Dst. Port: Port přiřazený pro službu ssh. Ve výchozím nastavení jde o port 22.
    • Src. Address: 192.168.89.2-192.168.89.255
    • Action: accept

    Kliknutím na tlačítko Apply pravidlo uložte

    IP SEC rules

    • Povolení L2TP a IPSec (IKE + ESP) Provozu ve Firewall Rules

      V záložce Filter Rules zkontrolujte přítomnost následujících pravidel, případně je přidejte.

      • Povolení IKE (Internet Key Exchange) provozu:
        • Comment: Allow IKE for IPSec
        • Chain: input
        • Protocol: udp
        • Dst. Port: 500
        • Action: accept
      • Povolení NAT (NAT Traversal) provozu:
        • Comment: Allow IPSec NAT-T
        • Chain: input
        • Protocol: udp
        • Dst. Port: 4500
        • Action: accept

        (Volitelné) V sekci General, můžete také specifikovat In. Interface jako vaše WAN rozhraní pro zvýšení bezpečnosti tím, že omezíte pravidlo pouze na provoz přicházející z internetu.

      • Povolení L2TP provozu:
        • Comment: Allow L2TP
        • Chain: input
        • Protocol: udp
        • Dst. Port: 1701
        • Action: accept
      • Povolení ESP (Encapsulating Security Payload) provozu:
        • Comment: Allow ESP for IPSec
        • Chain: input
        • Protocol: ipsec-esp
        • Action: accept

    • Povolení NAT pro VPN Zařízení

      • Jestliže zařízení za VPN potřebují přístup k internetu, je nutné nastavit NAT pravidla, která umožní internetovým paketům projít skrze router.

        V záložce NAT, sekce IP/Firewall, zkontrolujte přítomnost následujícího pravidla, případně jej přidejte.

      • MASQUERADE pro VPN Klienty
      • Comment: NAT for VPN Clients
      • Chain: srcnat
      • Src. Address: Rozsah IP adres, které jsou přiděleny VPN klientům (např. 192.168.89.0/24, pokud jste pro VPN klienty použili tento rozsah).
      • Out. Interface: Rozhraní směřující k vašemu ISP (typicky ether1 nebo jiné WAN rozhraní).
      • Action: masquerade

Nastavení VPN v klientském zařízení

  1. Otevřte nabídku Ethernet
  2. Přejděte do nabídky "Centrum síťových připojení a sdílení" (Ovládací panely / Síť a internet / Centrum síťových připojení a sdílení)
  3. Klikněte na možnost "Nastavit nové připojení nebo síť"
  4. Zvolte "Připojit k firemní síti" a klikněte na tlačítko "Další"
  5. Zvolte možnost "Použít moje připojení k internetu (VPN)"
  6. Vyplňte údaje pro VPN připojení
    • Internetová adresa:
    • Název cíle: Zvolte si libovolný název sítě - např. název routeru
  7. Přejděte do nabídky Nastavení → VPN, kde naleznete vámi nově vytvořenou VPN sít. Klikněte na ni a zvolte možnost "Upřesnit možnosti" a posléze "Upravit"
    • Vyplňte uživatelské jméno a heslo
  1. Klikněte na ikonu Apple v levém horním rohu obrazovky a vyberte Předvolby systému
  2. V Předvolby systému klikněte na Síť.

  3. Přidání Nového VPN na MacOS

    • Klikněte na tlačítko + v dolní části seznamu na levé straně okna pro přidání nové služby.
    • V rozbalovacím menu Rozhraní vyberte VPN.
    • Pro typ VPN vyberte L2TP přes IPSec.
    • Jako název služby můžete zadat libovolný popisný název, například "Mikrotik VPN".
    • Klikněte na Vytvořit

  4. Konfigurace VPN

    • V poli Konfigurace nechte výchozí nastavení nebo přidejte novou konfiguraci podle potřeby.
    • Do pole Adresa serveru zadejte veřejnou IP adresu nebo DNS jméno vašeho Mikrotik routeru.
    • Do pole Název účtu zadejte uživatelské jméno pro VPN.
    • Klikněte na Nastavení ověření totožnosti... pro zadání hesla a předem sdíleného klíče:
      • Do polec Heslo zadejte heslo pro váš VPN účet.
      • Do pole Sdílený tajný klíč zadejte předem sdílený klíč pro IPSec, který jste nastavili na Mikrotik routeru.
    • V Pokročilé se ujistěte, že je zaškrtnuta možnost Odesílat veškerý provoz přes VPN připojení, pokud chcete, aby veškerý internetový provoz vašeho MacBooku procházel přes VPN. To může být užitečné pro zabezpečení nebo přístup k síťovým zdrojům, které jsou jinak nedostupné.
    • Klikněte na Použít pro uložení nastavení autentizace.

  5. Připojení k VPN

    • Zaškrtněte možnost Zobrazit stav VPN v liště nabídek pro snadný přístup k připojení a odpojení.
    • Klikněte na Použít pro uložení vaší VPN konfigurace.
    • Nyní můžete kliknout na Připojit pro navázání VPN spojení s Mikrotik routerem.

Vzdálené připojení se do vnitřní sítě

Prostřednictvím VPN na routeru se vytvořila vnitřní síť, jejíž součástí jsou veškerá zařízení připojená k routeru. Po přípojení se k VPN tvořené routerem se lze připojit k jakémukoli zařízení, včetně samotného routeru, prostřednictvím jeho lokální IP adresy (naleznete v sekci IP/APR).

Postup přistoupení k zařízením za vzdáleným routerem

Prostřednictvím sekce VPN se připojte k VPN routeru.

Z lišty nebo nabídky síť se připojte k VPN routeru.

V momentě, kdy jste připojeni k VPN routeru síti, můžete se připojovat jak k routeru, tak koncovým zařízením libovolným způsobem - localhost url adresa, ssh a podobně.

DNS alias k veřejné IP

Je-li routeru poskytnuta dynamická veřejná IP adresa, možnost připojení pomocí IP vyžaduje znalost vždy aktuální přiřazené IP adresy. S pomocí DDNS (Dynamic Domain Name System) služby lze na RouterOS aktivovat to, aby držel svoji aktuální IP adresu pod DNS, a to na službě mynetname.net - díky tomu se lze přihlašovat namísto zadáním IP vždy DNS identifikátor routeru, k němuž je aktuální IP prostřednictvím služby mynetname.net automaticky držena.

mynetname.net služba tedy poskytne DNS alias vaší IP adresy, stejně jako vám může poskytnout váš ISP (často si můžete navolit vlastní alias ve formé subdomény na doméně ISP). Cedlejším účelem DNS je, že je oproti IP lépe zapamatovatelná.

  • V RouterOS, V nabídce IP/Cloud zatrhněte DDNS Enabled a Use Local Address.
  • Nastavení potvrďte tlačítkem Apply.
  • Uložte si vygenerované DNS Name odkazující na mynetname.net službu

Po povolení DNS je možné používat DNS Name namísto IP adresy.