Tout le monde a eu des situations où il est nécessaire de configurer un équipement distant (parfois nouveau), et l'accès est uniquement disponible pour d'autres périphériques réseau, pas de PC / ordinateurs portables ou d'utilisateurs avec des téléphones. Dans le cas de Mikrotik, ce problème peut être résolu de deux manières: le mac-telnet RouterOS intégré et RoMON. À leur sujet et seront discutés ci-dessous.
Mac Telnet depuis le routeurPour ceux qui ont oublié: Mac Telnet fonctionne sur Layer2, donc la connectivité est possible au sein du même segment de réseau.
Nous nous connectons via winbox ou ssh au routeur configuré (Mkt1) et à travers lui via mac-telnet au nouveau (Mkt2).
Où trouver mac-telnet:
* [IP] -> [Neighbors] - si la détection des voisins est activée
* [IP] -> [ARP] - s'il y a une adresse IP sur le nouveau routeur et qu'il se résout en mac
* [Tools] -> [Telnet] - ici, outre mac-telnet, il existe un telnet et ssh
* / tool mac-telnet - depuis la console
Ce qu'il faut retenir: si l'appareil a une configuration par défaut, alors mac-telnet sera disponible uniquement sur les ports lan (tous sauf ether1, généralement), alors dites clairement aux installateurs où connecter le câble, sinon aucun mac-telnet et RoMON ne vous aideront.Il y a accès, vous pouvez configurer, mais vous voulez la commodité? Surtout lors de la configuration des arborescences de files d'attente et d'un grand nombre de règles de pare-feu.
Connexion via RoMONRoMON (Router Management Overlay Network) - La possibilité d'utiliser un appareil mikrotik auquel il y a un accès IP comme transit pour se connecter à l'appareil via mac.
RoMON est désactivé par défaut . La partie client est intégrée dans winbox, vous n'avez donc pas besoin d'installer quoi que ce soit.
Configuration sur le routeur de transit (Mkt1):
[Outils] -> [RoMON]* Activé - Activer RoMON
* ID - Installation manuelle de RoMON ID, par défaut l'une des adresses mac du routeur est sélectionnée
* Secrets - Un ensemble de mots de passe pour l'authentification RoMON, utilisé si le mot de passe sur le port n'est pas explicitement spécifié. Le
wiki détaille la procédure de sélection du mot de passe.
[Outils] -> [RoMON] -> [Ports]Par défaut, TOUS les ports sont activés, ce qui n'est pas particulièrement sûr et il n'est pas possible de tout désactiver, nous avons donc défini
Forbid = yes dessus , des règles plus précises pour les interfaces bloqueront tout.
Créez une règle pour ether4:
* Interface - le port pour lequel nous configurons
* Interdire - désactiver RoMON sur l'interface
* Coût - pris en compte lors de la construction d'un chemin dans de grandes guirlandes
* Secrets - Un ensemble de mots de passe pour l'authentification
Option console:
/tool romon set enabled=yes id=00:00:00:00:00:10 /tool romon port set [ find default=yes ] forbid=yes add disabled=no interface=ether4 secrets=test-for-romon
Configuration sur un routeur distant (Mkt2):
Ici, nous avons une connexion mac-telnet, donc les paramètres seront console:
/tool romon set enabled=yes id=00:00:00:00:00:20 /tool romon port set [ find default=yes ] forbid=yes add disabled=no interface=ether5 secrets=test-for-romon
Maintenant dans
[Tools] -> [RoMON] -> [Discovery] sur Mkt1, nous voyons un voisin:
Et un autre voisin qui est connecté en transit via Mkt2, je laisse la configuration de cette connexion comme une tâche indépendante, tout est similaire.ConnexionNous démarrons Winbox et nous nous connectons à 2.2.2.2 en mode RoMON en utilisant un compte et un mot de passe normaux, les secrets de RoMON se réfèrent uniquement à la communication entre les routeurs:
Et ici, nous voyons le plus intéressant - tous les routeurs de la chaîne RoMON sont disponibles pour la connexion via le seul transit Mikrotik.
Nous sélectionnons l'une des adresses (RoMON ID) et nous nous connectons au routeur qui nous intéresse.
Conclusion: nous obtenons un accès transparent à tous les routeurs de la chaîne, sans avoir besoin d'une connexion cohérente via mac-telnet.
En option[Tools] -> [RoMON] -> [Ping] - utilitaire pour les routeurs ping par RoMON ID.
Le mac-telnet standard n'est pas un canal de communication sécurisé; si vous avez RoMON, vous pouvez établir une connexion ssh à l'aide de RoMON ID.
/tool romon ssh <romon id>
Connexion via RoMON en mode ligne de commande (pour les raccourcis):
winbox.exe --romon <RouterIP> <RoMON ID> <user> <password>
C’est tout. La fonctionnalité n'est pas pour un usage quotidien, mais il est utile de s'en souvenir et de savoir comment la configurer.