Accesos Routerboards: Diferència entre les revisions

De Guifi.net - Wiki Català

 
(Hi ha 20 revisions intermèdies sense mostrar fetes per un usuari)
Línia 2: Línia 2:
  
 
== Winbox ==
 
== Winbox ==
Lectura obligatoria ->http://wiki.mikrotik.com/wiki/Manual:Winbox
+
El Winbox és un programa que han fet els mateixos desenvolupadors de Mikrotik. Permet una gestió ràpida i amb visió global de totes les configuracions que permet una Routerboard.  
El Winbox és un programa que han fet els mateixos desenvolupadors de Mikrotik. Permet una gestió ràpida i amb visió globla de totes les configuracions que permet una Routerboard.  
+
 
Funciona per tots els sistemes operatius, però el natiu es Windows. Per funcionar a través de Linux o Mac haurem d'instal·lar emuladors de programes de Windows, pràcticament es pot utilitzar totes les funcionalitats però hem detectat que si no hi ha una GW configurada al PC, la opció d'entrar per capa2 ( gestionar la RB a través de MACs i no IP ) sobin falla amb Linux/Mac.
 
Funciona per tots els sistemes operatius, però el natiu es Windows. Per funcionar a través de Linux o Mac haurem d'instal·lar emuladors de programes de Windows, pràcticament es pot utilitzar totes les funcionalitats però hem detectat que si no hi ha una GW configurada al PC, la opció d'entrar per capa2 ( gestionar la RB a través de MACs i no IP ) sobin falla amb Linux/Mac.
  
'''Lectura obligatoria ->'''http://wiki.mikrotik.com/wiki/Manual:Winbox
+
'''Lectura obligatòria ->'''http://wiki.mikrotik.com/wiki/Manual:Winbox
 +
 
 +
Per a usuaris principiants és la millor opció, ja que assegura l'entrada per capa2 (sense conèixer la IP) sempre i quan no hi hagi limitacions de Firewall o de Servei Mac-telnet
 +
Pertant qualsevol usuari, amb pocs coneixements pot descarregar-se [http://download2.mikrotik.com/routeros/winbox/3.0rc5/winbox.exe l'última versió de Winbox]
 +
Si coneixem la nostre IP, des de la web de la Routerboard, obrint qualsevol explorador ens podrem baixar el programa winbox, però has de tenir la RB configurada i ser coneixedor de la seva IP
  
  
Línia 17: Línia 20:
  
  
=== Actualtizacio version <6.x ===
+
=== Actualització version <6.x programari RB===
 
http://configurarmikrotikwireless.com/blog/actualizar-equipo-mikrotik.html
 
http://configurarmikrotikwireless.com/blog/actualizar-equipo-mikrotik.html
  
=== Actualització versions >6.x o sense connexió a Internet  ===
+
=== Actualització versions >6.x o sense connexió a Internet  programari RB ===
 
http://wiki.mikrotik.com/wiki/Manual:Upgrading_RouterOS <br />
 
http://wiki.mikrotik.com/wiki/Manual:Upgrading_RouterOS <br />
 +
 +
== SSH -Secure SHell ==
 +
A través del port 22, també podem accedir a la RB en mode Shell. Has de ser coneixedor de la Ip i no ha de tenir cap limitació de firewall/servei  ( ip firewall fiilter i/o ip service )
 +
Des dels usuaris de Linux en obrir qualsevol terminal des de Gnome o KDE i escrivint :
 +
<source> ssh usuari@ip </source>
 +
 +
Pels usuaris de Windows el millor programa per gestionar i operar connexions SSH per ara és el [http://the.earth.li/~sgtatham/putty/latest/x86/putty.exe putty Windows]
 +
 +
 +
== Telnet ==
 +
Es desaconsella la utilització d'aquest protocol ja que les contrasenyes corren en pla.
 +
 +
== FTP ==
 +
Es desaconsella la utilització d'aquest protocol ja que les contrasenyes corren en pla. <br />
 +
A més aquest protocol és només per a transferència de fitxers, no d'administració
 +
 +
= Seguretat en l'accés =
 +
 +
La forma més còmode per a un principiant per assegurar els accessos ( a banda d'un bon password) és limitar l'adreça iniciant de la connexió per servei ( src-ip ). En aquest cas el que farem, és que només les IP's de confiança puguin entrar, aquestes son : IP's privades, IP's "publiques de guifi, IP's "publiques de rang d'internet de guifi"
 +
 +
La millor configuració per codi és la següent:
 +
<source lang=bash>
 +
/ip service
 +
set telnet address=10.0.0.0/8,192.168.0.0/16,172.16.0.0/12,5.10.200.0/21,109.69.8.0/21,185.32.16.0/22 disabled=yes
 +
set ftp address=10.0.0.0/8,192.168.0.0/16,172.16.0.0/12,5.10.200.0/21,109.69.8.0/21,185.32.16.0/22
 +
set www address=10.0.0.0/8,192.168.0.0/16,172.16.0.0/12,5.10.200.0/21,109.69.8.0/21,185.32.16.0/22
 +
set ssh address=10.0.0.0/8,192.168.0.0/16,172.16.0.0/12,5.10.200.0/21,109.69.8.0/21,185.32.16.0/22
 +
set api address=10.0.0.0/8,192.168.0.0/16,172.16.0.0/12,5.10.200.0/21,109.69.8.0/21,185.32.16.0/22 disabled=yes
 +
set api-ssl address=10.0.0.0/8,192.168.0.0/16,172.16.0.0/12,5.10.200.0/21,109.69.8.0/21,185.32.16.0/22 disabled=yes
 +
</source>
 +
 +
Configuració a través de Winbox:
 +
[[File:Captura_de_pantalla_de_2015-02-20_13-24-05.png|400px]]
 +
 +
 +
'''NOTA''' : si la contrasenya és fluixa o el vol configurar un nivell encara més alt de seguretat, s'hauria de desactivar FTP i configurar les addreses també al servei Winbox i habilitar SSL en el servei web

Revisió de 14:17, 20 feb 2015

Per accedir a la configuració d'una RB tenim varis mètodes

Winbox

El Winbox és un programa que han fet els mateixos desenvolupadors de Mikrotik. Permet una gestió ràpida i amb visió global de totes les configuracions que permet una Routerboard. Funciona per tots els sistemes operatius, però el natiu es Windows. Per funcionar a través de Linux o Mac haurem d'instal·lar emuladors de programes de Windows, pràcticament es pot utilitzar totes les funcionalitats però hem detectat que si no hi ha una GW configurada al PC, la opció d'entrar per capa2 ( gestionar la RB a través de MACs i no IP ) sobin falla amb Linux/Mac.

Lectura obligatòria ->http://wiki.mikrotik.com/wiki/Manual:Winbox

Per a usuaris principiants és la millor opció, ja que assegura l'entrada per capa2 (sense conèixer la IP) sempre i quan no hi hagi limitacions de Firewall o de Servei Mac-telnet Pertant qualsevol usuari, amb pocs coneixements pot descarregar-se l'última versió de Winbox Si coneixem la nostre IP, des de la web de la Routerboard, obrint qualsevol explorador ens podrem baixar el programa winbox, però has de tenir la RB configurada i ser coneixedor de la seva IP



Manuals d'instal·lació per altres SO:

https://www.youtube.com/watch?v=JkzyROCjscU
http://indonetworksecurity.com/linux/running-winbox-exe-on-linux.htm
http://wiki.mikrotik.com/wiki/MikroTik_for_Mac


Actualització version <6.x programari RB

http://configurarmikrotikwireless.com/blog/actualizar-equipo-mikrotik.html

Actualització versions >6.x o sense connexió a Internet programari RB

http://wiki.mikrotik.com/wiki/Manual:Upgrading_RouterOS

SSH -Secure SHell

A través del port 22, també podem accedir a la RB en mode Shell. Has de ser coneixedor de la Ip i no ha de tenir cap limitació de firewall/servei ( ip firewall fiilter i/o ip service ) Des dels usuaris de Linux en obrir qualsevol terminal des de Gnome o KDE i escrivint :

 ssh usuari@ip

Pels usuaris de Windows el millor programa per gestionar i operar connexions SSH per ara és el putty Windows


Telnet

Es desaconsella la utilització d'aquest protocol ja que les contrasenyes corren en pla.

FTP

Es desaconsella la utilització d'aquest protocol ja que les contrasenyes corren en pla.
A més aquest protocol és només per a transferència de fitxers, no d'administració

Seguretat en l'accés

La forma més còmode per a un principiant per assegurar els accessos ( a banda d'un bon password) és limitar l'adreça iniciant de la connexió per servei ( src-ip ). En aquest cas el que farem, és que només les IP's de confiança puguin entrar, aquestes son : IP's privades, IP's "publiques de guifi, IP's "publiques de rang d'internet de guifi"

La millor configuració per codi és la següent:

/ip service
set telnet address=10.0.0.0/8,192.168.0.0/16,172.16.0.0/12,5.10.200.0/21,109.69.8.0/21,185.32.16.0/22 disabled=yes
set ftp address=10.0.0.0/8,192.168.0.0/16,172.16.0.0/12,5.10.200.0/21,109.69.8.0/21,185.32.16.0/22
set www address=10.0.0.0/8,192.168.0.0/16,172.16.0.0/12,5.10.200.0/21,109.69.8.0/21,185.32.16.0/22
set ssh address=10.0.0.0/8,192.168.0.0/16,172.16.0.0/12,5.10.200.0/21,109.69.8.0/21,185.32.16.0/22
set api address=10.0.0.0/8,192.168.0.0/16,172.16.0.0/12,5.10.200.0/21,109.69.8.0/21,185.32.16.0/22 disabled=yes
set api-ssl address=10.0.0.0/8,192.168.0.0/16,172.16.0.0/12,5.10.200.0/21,109.69.8.0/21,185.32.16.0/22 disabled=yes

Configuració a través de Winbox: Captura de pantalla de 2015-02-20 13-24-05.png


NOTA : si la contrasenya és fluixa o el vol configurar un nivell encara més alt de seguretat, s'hauria de desactivar FTP i configurar les addreses també al servei Winbox i habilitar SSL en el servei web

Eines de l'usuari