Guía de Mikrotik RoMON

Todos tuvieron situaciones en las que era necesario configurar equipos remotos (a veces nuevos), y el acceso solo está disponible para otros dispositivos de red, no para PC / laptops o usuarios con teléfonos. En el caso de Mikrotik, este problema se puede resolver de dos maneras: el RouterOS integrado mac-telnet y RoMON. Sobre ellos y se discutirá a continuación.

Mac Telnet desde el enrutador

Para aquellos que lo han olvidado: Mac Telnet se ejecuta en Layer2, por lo que la conectividad es posible dentro del mismo segmento de red.



Nos conectamos a través de winbox o ssh al enrutador configurado (Mkt1) y a través de mac-telnet al nuevo (Mkt2).

Dónde encontrar mac-telnet:

* [IP] -> [Vecinos]: si la detección de vecinos está habilitada
* [IP] -> [ARP] - si hay alguna ip en el nuevo enrutador y se resuelve en mac
* [Herramientas] -> [Telnet] - aquí además de mac-telnet hay un telnet y ssh regulares
* / tool mac-telnet - desde la consola





Lo que vale la pena recordar: si el dispositivo tiene una configuración predeterminada, entonces mac-telnet estará disponible solo en los puertos lan (todos excepto ether1, por lo general), así que dígale claramente a los instaladores dónde conectar el cable, de lo contrario, ningún mac-telnet y RoMON lo ayudarán.

Hay acceso, puedes configurarlo, pero ¿quieres comodidad? Especialmente cuando se configuran árboles de colas y una gran cantidad de reglas de firewall.

Conexión a través de RoMON

RoMON (Router Management Overlay Network): la capacidad de usar un dispositivo mikrotik al que hay acceso ip como tránsito para conectarse al dispositivo a través de mac.

RoMON está deshabilitado por defecto . La parte del cliente está integrada en winbox, por lo que no necesita instalar nada.

Configuración en el enrutador de tránsito (Mkt1):

[Herramientas] -> [RoMON]

* Habilitado - Habilitar RoMON
* ID: instalación manual de RoMON ID; de forma predeterminada, se selecciona una de las direcciones MAC del enrutador
* Secretos: un conjunto de contraseñas para la autenticación RoMON, que se utiliza si la contraseña en el puerto no se especifica explícitamente. La wiki detalla el procedimiento de selección de contraseña.

[Herramientas] -> [RoMON] -> [Puertos]

De forma predeterminada, TODOS los puertos están habilitados, lo que no es particularmente seguro y no es posible deshabilitarlos todos, por lo que configuramos Forbid = yes en él , las reglas más precisas para las interfaces bloquearán todos.

Crea una regla para ether4:

* Interfaz: el puerto para el que configuramos
* Prohibir: deshabilite RoMON en la interfaz
* Costo: se tiene en cuenta al construir un camino en grandes guirnaldas
* Secretos: un conjunto de contraseñas para la autenticación



Opción de consola:

/tool romon set enabled=yes id=00:00:00:00:00:10 /tool romon port set [ find default=yes ] forbid=yes add disabled=no interface=ether4 secrets=test-for-romon 

Configuración en un enrutador remoto (Mkt2):
Aquí tenemos una conexión mac-telnet, por lo que la configuración será consola:

 /tool romon set enabled=yes id=00:00:00:00:00:20 /tool romon port set [ find default=yes ] forbid=yes add disabled=no interface=ether5 secrets=test-for-romon 

Ahora en [Herramientas] -> [RoMON] -> [Descubrimiento] en Mkt1 vemos un vecino:



Y otro vecino que está conectado en tránsito a través de Mkt2, dejo la configuración de esta conexión como una tarea independiente, todo es similar.

Conexión

Iniciamos Winbox y nos conectamos a 2.2.2.2 en modo RoMON usando una cuenta y contraseña normales, los secretos en RoMON se refieren solo a la comunicación entre enrutadores:



Y aquí vemos lo más interesante: todos los enrutadores de la cadena RoMON están disponibles para conectarse a través del único tránsito Mikrotik.



Seleccionamos una de las direcciones (RoMON ID) y nos conectamos al enrutador de interés.



En pocas palabras: obtenemos acceso transparente a todos los enrutadores de la cadena, sin la necesidad de un inicio de sesión constante a través de mac-telnet.

Opcional

[Herramientas] -> [RoMON] -> [Ping] - utilidad para enrutadores de ping por ID RoMON.

Mac-telnet normal no es un canal de comunicación seguro, con RoMON puede establecer una conexión ssh utilizando RoMON ID.

 /tool romon ssh <romon id> 

Conexión a través de RoMON en modo de línea de comando (para accesos directos):

 winbox.exe --romon <RouterIP> <RoMON ID> <user> <password> 

Eso es todo. La funcionalidad no es para uso diario, pero es útil recordarla y saber cómo configurarla.