Mikrotik vzdálená administrace

[Jenda]

Mám nový router Mikrotik a prosím o radu. Kde v menu najdu položku zapnutí vzdálené správy routeru? Děkuji.

[Reklama]

[Stop jelitům]

https://skoleni.i4wifi.cz/

[Daveran]

Mám nový router Mikrotik a prosím o radu. Kde v menu najdu položku zapnutí vzdálené správy routeru? Děkuji.

Ve výchozím stavu je na Mikrotiku povoleno vše. Naopak je třeba vše uzavřít, v žádném případě neotvírat administraci do WAN a pokud potřebujete vzdálenou administraci tak pouze přes VPN. Pokud nevíte jak tak pro samostudium www.mikrotik.com sekce dokumentce a pro školení poslal odkaz už někdo nademnou.

[Lol Phirae]

Ve výchozím stavu je na Mikrotiku povoleno vše.

Což je skvělý default pro routery, to museli soudruzi dlouho myslet, než to vymysleli.   

[daemon]

Ve výchozím stavu je na Mikrotiku povoleno vše.

Což je skvělý default pro routery, to museli soudruzi dlouho myslet, než to vymysleli.   

Na WAN portu je to zařízlé firewallem.

[Reklama]

[Daveran]

Ve výchozím stavu je na Mikrotiku povoleno vše.

Což je skvělý default pro routery, to museli soudruzi dlouho myslet, než to vymysleli.   

Pravda. Jen na jejich obranu je třeba říct že to nebyly SOHO krabičky a nyní když už některé jsou tak tam mají výchozí skript a průvodce který přístup z venčí uzavře a nastaví základní firewall.

[romanz]

povoleni Winboxu na WANu:
/ip firewall filter add action=accept chain=input disabled=no dst-port=8291 protocol=tcp

a posun to pravidlo v poradi az nahoru. Obdobne kdybys to chtel udelat s portem 80, ale ten doporucuju v IP/ Services nejdriv zmenit na jinej, aby to nikoho nedrazdilo.

[jeniceek]

Zásadně nedoporučuju otevírat ať už 80,443,8291 nebo 8728,8729 (+telnet snad ani zevnitř) všem, vždy si specifikujte IP adresu případně Address List povolených adres.
Dalším bezpečnostním prvkem bude zákázání MAC Server na WAN rozhraní, ať se v tom případně nešťourá zvědavý ISP.

Těch zranitelností se objevuje poslední dobou tolik, že jediná spolehlivá ochrana je firewall.

[Jenda]

Díky zkusím ve winboxu.

[anonym]

Ve výchozím stavu je na Mikrotiku povoleno vše.

Což je skvělý default pro routery, to museli soudruzi dlouho myslet, než to vymysleli.   

Ale ne, tak žhavé to není. Povoleno pouze ze strany LAN. Mikrotik je trochu rozkročený od domácího zákazníka po menší profesionální firmy. V tomto případě domácí zákazník žádá "zapojení do zásuvky a internet funguje" což krabička také splňuje. Odborník má pak nadstandardně možností  nastavení.

[gnat]

Mám na WAN zakázanou administraci ssh, winbox i http . Když to potřebuju upravit zvenku, připojím si VPNku

[darebacik]

Ja mam povolene z vonka http, ale vo firewalle je to osetrene

Kód: [Vybrat]

add action=accept chain=input comment=webfig dst-port=4xxxx protocol=tcp src-address-list=mobile_access
pouzivam vyssi port a v adress-liste mam rozsah adries mob. operatora, ktoreho pouzivam.

[mojenervy]

já používám port-knocking, než ho pustím na nestandardní porty. Máme tu dost skenů,

[SB]

Ten port knocking máte uskutečněný jak?

[matus]

V Mikrotiku se to dela pomoci pridavani adresy do address lists.
Viz https://wiki.mikrotik.com/wiki/Port_Knocking