Accesos Routerboards: Diferència entre les revisions
De Guifi.net - Wiki Català
(Hi ha 20 revisions intermèdies sense mostrar fetes per un usuari) | |||
Línia 2: | Línia 2: | ||
== Winbox == | == Winbox == | ||
− | + | El Winbox és un programa que han fet els mateixos desenvolupadors de Mikrotik. Permet una gestió ràpida i amb visió global de totes les configuracions que permet una Routerboard. | |
− | El Winbox és un programa que han fet els mateixos desenvolupadors de Mikrotik. Permet una gestió ràpida i amb visió | + | |
Funciona per tots els sistemes operatius, però el natiu es Windows. Per funcionar a través de Linux o Mac haurem d'instal·lar emuladors de programes de Windows, pràcticament es pot utilitzar totes les funcionalitats però hem detectat que si no hi ha una GW configurada al PC, la opció d'entrar per capa2 ( gestionar la RB a través de MACs i no IP ) sobin falla amb Linux/Mac. | Funciona per tots els sistemes operatius, però el natiu es Windows. Per funcionar a través de Linux o Mac haurem d'instal·lar emuladors de programes de Windows, pràcticament es pot utilitzar totes les funcionalitats però hem detectat que si no hi ha una GW configurada al PC, la opció d'entrar per capa2 ( gestionar la RB a través de MACs i no IP ) sobin falla amb Linux/Mac. | ||
− | '''Lectura | + | '''Lectura obligatòria ->'''http://wiki.mikrotik.com/wiki/Manual:Winbox |
+ | |||
+ | Per a usuaris principiants és la millor opció, ja que assegura l'entrada per capa2 (sense conèixer la IP) sempre i quan no hi hagi limitacions de Firewall o de Servei Mac-telnet | ||
+ | Pertant qualsevol usuari, amb pocs coneixements pot descarregar-se [http://download2.mikrotik.com/routeros/winbox/3.0rc5/winbox.exe l'última versió de Winbox] | ||
+ | Si coneixem la nostre IP, des de la web de la Routerboard, obrint qualsevol explorador ens podrem baixar el programa winbox, però has de tenir la RB configurada i ser coneixedor de la seva IP | ||
Línia 17: | Línia 20: | ||
− | === | + | === Actualització version <6.x programari RB=== |
http://configurarmikrotikwireless.com/blog/actualizar-equipo-mikrotik.html | http://configurarmikrotikwireless.com/blog/actualizar-equipo-mikrotik.html | ||
− | === Actualització versions >6.x o sense connexió a Internet === | + | === Actualització versions >6.x o sense connexió a Internet programari RB === |
http://wiki.mikrotik.com/wiki/Manual:Upgrading_RouterOS <br /> | http://wiki.mikrotik.com/wiki/Manual:Upgrading_RouterOS <br /> | ||
+ | |||
+ | == SSH -Secure SHell == | ||
+ | A través del port 22, també podem accedir a la RB en mode Shell. Has de ser coneixedor de la Ip i no ha de tenir cap limitació de firewall/servei ( ip firewall fiilter i/o ip service ) | ||
+ | Des dels usuaris de Linux en obrir qualsevol terminal des de Gnome o KDE i escrivint : | ||
+ | <source> ssh usuari@ip </source> | ||
+ | |||
+ | Pels usuaris de Windows el millor programa per gestionar i operar connexions SSH per ara és el [http://the.earth.li/~sgtatham/putty/latest/x86/putty.exe putty Windows] | ||
+ | |||
+ | |||
+ | == Telnet == | ||
+ | Es desaconsella la utilització d'aquest protocol ja que les contrasenyes corren en pla. | ||
+ | |||
+ | == FTP == | ||
+ | Es desaconsella la utilització d'aquest protocol ja que les contrasenyes corren en pla. <br /> | ||
+ | A més aquest protocol és només per a transferència de fitxers, no d'administració | ||
+ | |||
+ | = Seguretat en l'accés = | ||
+ | |||
+ | La forma més còmode per a un principiant per assegurar els accessos ( a banda d'un bon password) és limitar l'adreça iniciant de la connexió per servei ( src-ip ). En aquest cas el que farem, és que només les IP's de confiança puguin entrar, aquestes son : IP's privades, IP's "publiques de guifi, IP's "publiques de rang d'internet de guifi" | ||
+ | |||
+ | La millor configuració per codi és la següent: | ||
+ | <source lang=bash> | ||
+ | /ip service | ||
+ | set telnet address=10.0.0.0/8,192.168.0.0/16,172.16.0.0/12,5.10.200.0/21,109.69.8.0/21,185.32.16.0/22 disabled=yes | ||
+ | set ftp address=10.0.0.0/8,192.168.0.0/16,172.16.0.0/12,5.10.200.0/21,109.69.8.0/21,185.32.16.0/22 | ||
+ | set www address=10.0.0.0/8,192.168.0.0/16,172.16.0.0/12,5.10.200.0/21,109.69.8.0/21,185.32.16.0/22 | ||
+ | set ssh address=10.0.0.0/8,192.168.0.0/16,172.16.0.0/12,5.10.200.0/21,109.69.8.0/21,185.32.16.0/22 | ||
+ | set api address=10.0.0.0/8,192.168.0.0/16,172.16.0.0/12,5.10.200.0/21,109.69.8.0/21,185.32.16.0/22 disabled=yes | ||
+ | set api-ssl address=10.0.0.0/8,192.168.0.0/16,172.16.0.0/12,5.10.200.0/21,109.69.8.0/21,185.32.16.0/22 disabled=yes | ||
+ | </source> | ||
+ | |||
+ | Configuració a través de Winbox: | ||
+ | [[File:Captura_de_pantalla_de_2015-02-20_13-24-05.png|400px]] | ||
+ | |||
+ | |||
+ | '''NOTA''' : si la contrasenya és fluixa o el vol configurar un nivell encara més alt de seguretat, s'hauria de desactivar FTP i configurar les addreses també al servei Winbox i habilitar SSL en el servei web |
Revisió de 14:17, 20 feb 2015
Per accedir a la configuració d'una RB tenim varis mètodes
Contingut
Winbox
El Winbox és un programa que han fet els mateixos desenvolupadors de Mikrotik. Permet una gestió ràpida i amb visió global de totes les configuracions que permet una Routerboard. Funciona per tots els sistemes operatius, però el natiu es Windows. Per funcionar a través de Linux o Mac haurem d'instal·lar emuladors de programes de Windows, pràcticament es pot utilitzar totes les funcionalitats però hem detectat que si no hi ha una GW configurada al PC, la opció d'entrar per capa2 ( gestionar la RB a través de MACs i no IP ) sobin falla amb Linux/Mac.
Lectura obligatòria ->http://wiki.mikrotik.com/wiki/Manual:Winbox
Per a usuaris principiants és la millor opció, ja que assegura l'entrada per capa2 (sense conèixer la IP) sempre i quan no hi hagi limitacions de Firewall o de Servei Mac-telnet Pertant qualsevol usuari, amb pocs coneixements pot descarregar-se l'última versió de Winbox Si coneixem la nostre IP, des de la web de la Routerboard, obrint qualsevol explorador ens podrem baixar el programa winbox, però has de tenir la RB configurada i ser coneixedor de la seva IP
Manuals d'instal·lació per altres SO:
https://www.youtube.com/watch?v=JkzyROCjscU
http://indonetworksecurity.com/linux/running-winbox-exe-on-linux.htm
http://wiki.mikrotik.com/wiki/MikroTik_for_Mac
Actualització version <6.x programari RB
http://configurarmikrotikwireless.com/blog/actualizar-equipo-mikrotik.html
Actualització versions >6.x o sense connexió a Internet programari RB
http://wiki.mikrotik.com/wiki/Manual:Upgrading_RouterOS
SSH -Secure SHell
A través del port 22, també podem accedir a la RB en mode Shell. Has de ser coneixedor de la Ip i no ha de tenir cap limitació de firewall/servei ( ip firewall fiilter i/o ip service ) Des dels usuaris de Linux en obrir qualsevol terminal des de Gnome o KDE i escrivint :
ssh usuari@ip
Pels usuaris de Windows el millor programa per gestionar i operar connexions SSH per ara és el putty Windows
Telnet
Es desaconsella la utilització d'aquest protocol ja que les contrasenyes corren en pla.
FTP
Es desaconsella la utilització d'aquest protocol ja que les contrasenyes corren en pla.
A més aquest protocol és només per a transferència de fitxers, no d'administració
Seguretat en l'accés
La forma més còmode per a un principiant per assegurar els accessos ( a banda d'un bon password) és limitar l'adreça iniciant de la connexió per servei ( src-ip ). En aquest cas el que farem, és que només les IP's de confiança puguin entrar, aquestes son : IP's privades, IP's "publiques de guifi, IP's "publiques de rang d'internet de guifi"
La millor configuració per codi és la següent:
/ip service set telnet address=10.0.0.0/8,192.168.0.0/16,172.16.0.0/12,5.10.200.0/21,109.69.8.0/21,185.32.16.0/22 disabled=yes set ftp address=10.0.0.0/8,192.168.0.0/16,172.16.0.0/12,5.10.200.0/21,109.69.8.0/21,185.32.16.0/22 set www address=10.0.0.0/8,192.168.0.0/16,172.16.0.0/12,5.10.200.0/21,109.69.8.0/21,185.32.16.0/22 set ssh address=10.0.0.0/8,192.168.0.0/16,172.16.0.0/12,5.10.200.0/21,109.69.8.0/21,185.32.16.0/22 set api address=10.0.0.0/8,192.168.0.0/16,172.16.0.0/12,5.10.200.0/21,109.69.8.0/21,185.32.16.0/22 disabled=yes set api-ssl address=10.0.0.0/8,192.168.0.0/16,172.16.0.0/12,5.10.200.0/21,109.69.8.0/21,185.32.16.0/22 disabled=yes
Configuració a través de Winbox:
NOTA : si la contrasenya és fluixa o el vol configurar un nivell encara més alt de seguretat, s'hauria de desactivar FTP i configurar les addreses també al servei Winbox i habilitar SSL en el servei web