Как посмотреть модель микротика через winbox
Подключение к Микротику через Winbox
Хочу разобрать, казалось бы банальную тему использования стандартной программы для управления роутерами. Речь пойдет об использовании утилиты Winbox для подключения, управления и настройки роутеров Mikrotik. Несмотря на то, что простой доступ через Winbox не требует каких-то особых настроек, тем не менее с работой этой утилиты есть много нюансов.
Данная статья является частью единого цикла статьей про Mikrotik.
Введение
И все это доступно во всей линейке оборудования, даже в самых бюджетных моделях. Вам известно что-то подобное у других производителей в ценовой категории 50-150$? Мне лично нет, но тут я могу заблуждаться. Если у каких-то вендоров есть что-то похожее на Winbox, было бы любопытно узнать об этом.
Где скачать Winbox
Делаю на этом акцент, потому что одно время при поиске утилиты в поисковиках на первом месте были другие сайты. Кто-то подсуетился и сделал отдельные сайты под этот поисковой запрос. В итоге они были выше основного сайта вендора. Сейчас это уже пофиксили, но вот подобные примеры.
Так же напоминаю, что сайт mikrotik.ru к самой компании Микротик не имеет никакого отношения. Им просто удалось зарегистрировать этот домен и открыть на нем магазин оборудования. Причем продают они устройства разных вендоров. Часто этот сайт очень хорошо ранжируется и может вводить в заблуждение относительно его принадлежности к латвийской компании.
Отдельно добавлю, что версии winbox на русском языке не существует. Как и не существует интерфейса управления в ней с русским языком. И это очень хорошо, так как не происходит недопонимания и двойственности в трактовании и переводе одних и тех же настроек. Англоязычное it сообщество намного больше русскоязычного, поэтому удобнее искать что-то сразу на английском языке. Больше шансов найти информацию.
Winbox для MacOS и Linux
Это может показаться удивительным, но нативного приложения Winbox под Mac или Linux просто не существует. Я не разбираюсь в портировании программного обеспечения в другие операционные системы, поэтому не могу судить, почему дело обстоит именно так. Возможно есть какие-то объективные причины того, почему разработчики Mikrotik не выпускают отдельную версию winbox под Linux или Mac.
Так что у вас не очень много вариантов работы с winbox, если ваша OS не Windows:
Для запуска winbox в linux придется сначала установить wine, а затем запустить виндовую утилиту через нее. Каких-то особых заморочек с этим нет. Все работает сразу без дополнительных настроек. Главное wine поставить. В Ubuntu:
В Centos надо подключить репозиторий epel:
Как подключиться к Mikrotik через Winbox
Итак, утилиту мы скачали. Теперь рассмотрим варианты подключения к Mikrotik через Winbox. Тут проявляется еще одна очень полезная фишка микротиков. Если ты находишься с ним в одном широковещательном домене, то можно подключиться напрямую, используя mac адрес. Поясню для тех, кто не очень разбирается в теории сетей, о чем тут идет речь.
Расскажу по-простому. Единый широковещательный домен это как-будто вы подключены к микротику через общий свитч. Ваше соединение с ним осуществляется на канальном, втором уровне модели OSI. То есть вам не нужно ничего знать про ip адреса друг друга. Вы можете найти друг друга широковещательным запросом, а свитч вас соединит.
Такая возможность часто спасает, когда вы ошиблись в каких-то настройках ip адреса, или на фаерволе случайно закрыли себе доступ. Вы можете обойти ошибки на уровне ip, подключившись напрямую по mac адресу. Выглядит это следующим образом:
С помощью широковещательного запроса winbox обнаружил все доступные устройства Mikrotik в своем сегменте сети и получил возможность подключиться напрямую по mac адресу. Сразу скажу, что такое соединение менее стабильно, чем по ip. Вытекает это из особенностей протоколов подключения.
При подключении по IP адресу с помощью протокола TCP, осуществляется проверка целостности пакетов и подтверждение их доставки. При подключении по MAC этого не происходит, поэтому подключение менее стабильно. Это объясняет, почему во время подключения по mac часто происходит обрыв соединения и отключение от устройства. В общем случае лучше подключаться по ip адресу.
Когда мне приходилось удаленно настраивать Микротики, я всегда старался оставить себе возможность подключиться к устройству напрямую по mac. Понятно, что это не всегда получится и не всегда спасет, если ты по ошибке отключишь интернет. Но если была возможность подстраховаться, я ее использовал.
Если здесь отключить службу winbox, подключение через эту утилиту будет невозможно.
Доступ к Микротик из интернета
Иногда нужно настроить доступ к микротику снаружи, то бишь через незащищенное соединение по интернету. Без крайней необходимости я не рекомендую этого делать. Уже не раз в routeros находили уязвимости, в результате чего удаленное подключение к Mikrotik оказывалось огромной дырой в безопасности. В конечном счете это приводило к заражению устройства и использование его в качестве участника ботнета или открытого прокси сервера.
Для подключения к Mikrotik по умолчанию Winbox использует TCP PORT 8291. Соответственно, для доступа снаружи, вам необходимо открыть этот порт на Firewall. Я в обязательном порядке рекомендую защитить подобное соединение одним из двух предложенных мной в отдельных статьях способов:
Запретить доступ по Winbox
Рассмотрим теперь, как нам запретить подключение к микротику через winbox. Для начала запретим доступ по MAC адресу. Делайте это аккуратно, так как не настроив ip адрес и запретив доступ по mac, вы не оставите себе никакой возможности управлять роутером. Ему придется сбрасывать настройки.
Здесь вы можете выбрать списки интерфейсов, с которых разрешено подключение по MAC. Чтобы его запретить, надо выбрать none.
После этого подключиться по mac адресу с помощью winbox будет невозможно.
Собственные списки интерфейсов можно создать в разделе Interfaces, вкладка Interface List.
После этого устройство не даст себя обнаруживать в локальной сети. С запретом доступа по MAC разобрались, теперь запретим и все остальные подключения. Для этого есть 2 способа:
В первом случае отключаем службу.
Во втором добавляем правило в firewall.
Подробнее про настройку firewall читайте отдельную статью. Здесь не буду на этом останавливаться.
На этом по запрету доступа через Winbox все. Рассмотрел все возможные варианты блокировки подключения.
Почему winbox не видит Mikrotik по mac
И еще одну проблему знаю, когда никак не получалось подключиться к одному очень старому микротику. Как оказалось, для него нужно было скачать какую-то старую версию winbox. И только через эту версию по mac адресу, введя его вручную, можно было подключиться к устройству.
Шифрование сохраненных паролей
По умолчанию, Winbox все свои настройки, в том числе пароли доступа, хранит в открытом виде в директории C:\Users\user\AppData\Roaming\Mikrotik\Winbox. Очевидно, что это очень плохо, так как завладев этими файлами, можно получить доступ ко всем устройствам, которые находятся в списке подключений. Достаточно просто скопировать содержимое директории winbox на другой компьютер, запустить утилиту и подключиться по любому соединению с сохраненным паролем.
Для того, чтобы защитить свои сохраненные пароли, используйте шифрование. Для этого нажимайте кнопку Set Master Password на главном экране Winbox и указывайте пароль.
После этого доступа к сохраненным паролям не будет без введения Master Password, так что можно не бояться за сохранность файлов winbox в профиле пользователя. Я очень долгое время не задумывался о сохранности паролей, пока мне один знакомый не показал, как легко и просто забрать все мои сессии и получить доступ к устройствам.
Так что я настоятельно рекомендую всегда использовать Master Password и делать его длинным. Современные майнинговые фермы с кучей видеокарт сильно упрощают brute force не очень сложных паролей.
Заключение
Я постарался разобрать все известные мне нюансы подключения к Mikrotik по Winbox. Некоторые вещи я вообще не знал и не задумывал о них долгое время работы с устройствами. Например, только недавно я разобрал тему с подключением по mac. Узнал, как им управлять, ограничивать, запрещать и т.д. До этого просто не обращал на это внимание и оставлял все по дефолту.
Про шифрование рассказал все в статье. Долго им не пользовался, но последние несколько лет в обязательно порядке устанавливаю Master Password, либо просто не сохраняю пароли в winbox, храня их в keepass. Если я забыл что-то важное или в чем-то ошибся, жду замечаний в комментариях.
Mikrotik winbox, где скачать и как использовать
Для настройки RouterOS Mikrotik существует удобная и простая программа winbox. Скачать последнюю версию можно с официального сайта Mikrotik https://download.mikrotik.com/routeros/winbox/3.18/winbox.exe, а так же с web интерфейса маршрутизатора Микротик, для этого подключитесь к lan сети роутера, запустите браузер, наберите в строке поиска ip адрес шлюза на открывшейся странице кликните значок winbox.
Нужно разобраться с MikroTik, но не определились с чего начать? В курсе «Настройка оборудования MikroTik» все по порядку. Подойдет и для начала работы с этим оборудованием, и для того, чтобы систематизировать знания. Это видеокурс из 162 уроков и 45 лабораторных работ, построен на официальной программе MTCNA. Проходить можно, когда удобно и пересматривать по необходимости – материалы курса выдаются бессрочно. Также есть 30 дней на личные консультации с автором. На пробу выдают 25 уроков бесплатно, заказать их можно на странице курса.
К сожалению, русского языка у приложения нет, но интерфейс интуитивно понятен, сложностей в работе не возникает. Так же работает winbox только в windows, если захотите запустить его, например под Ubuntu, то придется делать это только через wine. Для Linux утилиты winbox нет.
Как подключиться к Микротик через winbox
Для подключения к маршрутизатору запустите файл winbox.exe, в открывшемся окне введите ip адрес маршрутизатора, логин/пароль, в дефолтных настройках логин admin пароль пустой.
Для подключения нажмите кнопку «Connect», Каждый раз для подключения вводить ip адрес с логином и паролем не совсем удобно, нажмите кнопку Add/Set, для сохранения подключения. В дальнейшем достаточно два раза кликнуть по нужному подключению, что бы подключиться к маршрутизатору.
Еще одна интересная вкладка Neighbors, поиск доступных маршрутизаторов Mikrotik, при переходе на нее открывается список всех доступных в сети роутеров Микротик.
Для подключения кликните два раза по нужному маршрутизатору, введите логин и пароль.
Рабочее окно winbox
После подключения к маршрутизатору, мы попадаем в рабочее окно утилиты винбокс
Рассмотрим основные области
1.Главное рабочее окно, здесь открываются все окна настроек.
2. информация о подключении, адрес и модель маршрутизатора
3. Основное меню
4. Подменю
5. Кнопка «назад» отменяет предыдущий шаг настройки
6. Кнопка «вперед» возвращает отмененную настройку
7. Кнопка Safe Mode безопасный режим
Safe Mode-очень полезная функция winbox для включения нажмите на кнопку «Safe Mode». Функция этой кнопки заключается в том, что при потери связи между маршрутизатором Mikrotik и программой winbox, все настройки возвращаются к настройкам до нажатия на эту кнопку. Это полезно если идет удаленная настройка роутера через интернет, если в результате настройки, имеется возможность потерять связь с маршрутизатором, тогда при потери связи настройки вернуться к исходным и можно будет подключиться к Микротику заново. Не забудьте после всех манипуляций отжать кнопку Safe Mode, иначе после отключения от роутера все сделанные настройки будут сброшены.
Вопросы, проблемы и их решения
Какой порт используется для подключения к роутеру?
Для подключения к маршрутизатору Микротик винбокс использует по умолчанию порт 8291. Этот порт можно сменить в настройках, зайдите в меню ip-services, выберите winbox,
Так же можно изменить другие сервисные порты ssh, telnet, web.
Winbox не подключается к маршрутизатору.
1.Если программа не видит Микротик, проверьте не закрыт ли порт 8291, можно подключиться через web интерфейс по ssh или telnet, при подключении по ssh или telnet в консоли даем команду
и ищем строку наподобие
если такая строка имеется то даем команду
В открывшемся окне измените «drop» на «accept» и нажмите ctr^o
Цифра 2 берется из номера строки по первой команде.
2.проверьте настройку порта для винбокс, зайдите телнетом, ssh, через web интерфейс на Микротик и в ip-services проверьте настройку порта и включен ли сервис винбокс.
Телнет, ssh команда выглядет так
Что бы прописать порт 8291 введите команду
3.Попробуйте отключить все запрещающие правила в firewall. Зайдите через web интерфейс, ip-firewall, напротив каждого правила, где action=drop нажмите значок « — « удалить, или нажмите на это правило и снимите галочку enable.
Ошибка ERROR: router requires newer winbox, please upgrade
Означает, что необходимо обновить winbox, Скачайте последнюю версию с официального сайта http://mikrotik.com
Обучающий курс по настройке MikroTik
Нужно разобраться с MikroTik, но не определились с чего начать? В курсе «Настройка оборудования MikroTik» все по порядку. Подойдет и для начала работы с этим оборудованием, и для того, чтобы систематизировать знания. Это видеокурс из 162 уроков и 45 лабораторных работ, построен на официальной программе MTCNA. Проходить можно, когда удобно и пересматривать по необходимости – материалы курса выдаются бессрочно. Также есть 30 дней на личные консультации с автором. На пробу выдают 25 уроков бесплатно, заказать их можно на странице курса.
Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.
ИТ База знаний
Полезно
— Онлайн генератор устойчивых паролей
— Онлайн калькулятор подсетей
— Руководство администратора FreePBX на русском языке
— Руководство администратора Cisco UCM/CME на русском языке
— Руководство администратора по Linux/Unix
Навигация
Серверные решения
Телефония
FreePBX и Asterisk
Настройка программных телефонов
Корпоративные сети
Протоколы и стандарты
Командная строка Mikrotik
Консольный доступ на Mikrotik используется для конфигурации и управления роутером с помощью терминала по telnet, SSH и т.д. Также консоль можно использовать для написания скриптов. Ниже вы найдете базовые команды, использующиеся для администрирования роутера.
Онлайн курс по Кибербезопасности
Изучи хакерский майндсет и научись защищать свою инфраструктуру! Самые важные и актуальные знания, которые помогут не только войти в ИБ, но и понять реальное положение дел в индустрии
Иерархия
К примеру, введите команду ip route print для вывода таблицы маршрутизации:
Нумерация и названия сущностей
Автозаполнение
Основные команды
Горячие клавиши
Ниже приведен список самых полезных горячих клавиш, которые могут серьезно ускорить процесс настройки оборудования, и, даже спасти ситуацию в случае ввода некорректного сетевого адреса.
Полный курс по Сетевым Технологиям
В курсе тебя ждет концентрат ТОП 15 навыков, которые обязан знать ведущий инженер или senior Network Operation Engineer
Как сохранить, перенести и восстановить настройки MikroTik
На роутерах Mikrotik есть функция создания резервной копии конфигурации системы. Для чего это нужно? Регулярный бэкап настроек поможет избежать ряда проблем. Например:
Освоить MikroTik вы можете с помощью онлайн-курса «Настройка оборудования MikroTik». В курсе изучаются все темы из официальной программы MTCNA. Автор – официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с оборудованием MikroTik, и тем, кто еще не держал его в руках. В состав входят 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.
Рекомендуем создавать бэкап настроек перед каждым внесением изменений в конфигурацию.
Как сохранить конфигурацию MikroTik
На устройствах Mikrotik backup конфигурации можно сделать несколькими способами: бинарный файл (backup) и экспорт (export).
Давайте сравним эти способы. Разберемся, чем они отличаются, какие особенности имеют:
| Бинарный файл (backup) | Экспорт (export) |
|---|---|
| Делает только полную копию системы, сохраняя сертификаты, пароли учетных записей. | Можно выполнить бэкап нужного раздела или всей конфигурации. Не сохраняет сертификаты, учетные данные. |
| Используется ТОЛЬКО на том оборудовании, на котором создавался. | Можно восстанавливать конфигурацию RouterOS на любом другом маршрутизаторе данной марки. |
| Перед восстановлением стирает старые настройки, заменяя их новыми. | При восстановлении старые и новые настройки объединяются. |
| Работает из графического интерфейса и консоли. | Доступен только из консоли. |
| Надо знать пароль администратора, при котором создавалась резервная копия. | Пароль не нужен. Есть режим отладки. Можно определить, из-за чего импорт не происходит. |
| Нет возможности посмотреть содержимое файла и внести изменения. | Можно открыть текстовым редактором. Есть возможность редактировать конфигурацию с последующим импортом. |
Бинарный файл (backup)
Напомним, что этот способ создает только полную копию настроек RouterOS, сохраняя данные учетных записей и сертификаты.
Важно! Используется ТОЛЬКО на том же оборудовании, на котором создавался.
Создание полной резервной копии системы
Через графический интерфейс Winbox
Откроется окно со следующим содержанием:
Если самостоятельно не указать имя для сохраняемой конфигурации, то оно генерируется автоматически и будет иметь вид:
Мы создали резервную копию системы. Проверяем:
Важно! Если есть папка flash, то бэкап должен находиться в ней. Иначе после перезагрузки Mikrotik он удалится.
Консоль
Консоль открывается через Winbox (вкладка New Terminal) или подключением по ssh (например с помощью программы Putty). После соединения с маршрутизатором достаточно ввести команду:
где [имя-файла] — это имя создаваемого файла (можно задать любое, на свое усмотрение).
При этом способе создания backup не сохраняется БД от Usermanager. Например, если вы настраивали Hostpot, не забудьте скопировать файл БД.
Восстановление настроек конфигурации из бинарного файла
Для того чтобы восстановить настройки Mikrotik из резервной копии (*.backup), нужно:
в появившемся окне ввести пароль, подтвердить действие.
Далее появится сообщение: Do you want to restore configuration and reboot?
Подтверждаем. После этого маршрутизатор уйдет на перезагрузку, восстановив настройки.
Из консоли:
> system backup load name=flash/MikroTik-20200518-2154.backup
Экспорт конфигурации (export)
Данный метод создает бэкап нужного раздела или всей конфигурации RouterOS, сохраняя ее в формате *.rsc, при этом информация о паролях и сертификатах пользователя не сохраниться. Особенность создания резервной копии настроек способом export — файл конфигурации можно открыть текстовым редактором и внести изменения. А также возможен импорт настроек на любом оборудовании компании Mikrotik.
Экспорт полной конфигурации
Запустим Winbox и откроем New Terminal:
Чтобы выполнить экспорт полной конфигурации с детальным описанием настроек, нужно использовать команду:
По умолчанию export конфигурации делается с кратким описанием параметров:
Частичный перенос настроек Mikrotik
Способ export позволяет сохранять настройки конфигурации блоками с их последующим переносом на любой маршрутизатор Mikrotik. Рассмотрим пример, когда нам нужно выполнить частичный бэкап конфигурации. Для этого сохраним раздел NAT:
> ip firewall nat export file=nat-export
Восстановление настроек Mikrotik
Чтобы восстановить конфигурацию из бэкап, нужно находясь в корневом каталоге выполнить команду import. Приведем в пример восстановление полной конфигурации:
Где: Full-backup — имя файла сохраненной конфигурации.
Также можно выполнить импорт в режиме отладки, где этот процесс будет проходить пошагово. Если конфигурация будет с ошибкой или несовместимыми параметрами, то мы поймем, на каком этапе возникает проблема. Для этого запустим import с ключом verbose:
> import file-name=nat-export.rsc verbose=yes
Как сохранить бэкап на ПК
Mikrotik поддерживает технологию Drag&Drop, поэтому, чтобы сохранить файл резервной копии у себя на ПК, достаточно кликнуть по нему мышкой и, удерживая, перенести в любое место рабочего стола или папки.
Сохранить настройки Mikrotik с помощью скрипта
Процесс сохранения настроек системы RouterOS можно упростить. Давайте напишем скрипт, который будет делать полный бэкап системы двумя способами (бинарный файл и *.rsc):
Автоматическое создание и отправка Mikrotik backup на e-mail
Создание скрипта
Создадим скрипт, который будет выполнять бэкап полной конфигурации системы двумя способами (backup, export). Отправлять его на электронную почту и удалять с маршрутизатора.
Скачиваем готовый скрипт. В этом примере отправка будет осуществляться на почту yandex:
Откроем его и внесем изменения в следующие строки:
Для проверки запустим Script:
Как мы видим, бэкапы системы пришли и удалились с устройства Mikrotik. Скрипт работает.
Настройка планировщика
Последним шагом настройки будет автоматическая отправка резервных копий по расписанию. Для этого откроем планировщик:
Если вы все сделали правильно, то раз в семь дней вам на почту будут приходить полные резервные копии системы.
А также рекомендуем изучить статьи:
Надеюсь, данная статья была вам полезна. Если возникли вопросы пишите в комментарии.
Освоить MikroTik вы можете с помощью онлайн-курса «Настройка оборудования MikroTik». В курсе изучаются все темы из официальной программы MTCNA. Автор – официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с оборудованием MikroTik, и тем, кто еще не держал его в руках. В состав входят 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.