Как сделать удаленный доступ на микротик

Обновлено: 04.07.2024

Моя задача: разобрать действия которые нужно проделать на домашнем Микротике (2011UiAS-2HnD) чтобы можно было откуда угодно иметь возможность настроить VPN подключение и получить доступ к домашним сервисам , в моем случае такие сервисы как: ZM (следим за периметром возле дома), OwnCloud (собственная база заметок), Zabbix (мониторю состояние своих сервисов: + погоду и различные датчики).

Доступ к домашней сети будет организован посредством протокола PPTP, он представляет из себя связку протокола TCP (для передачи данных) и GRE (для обертывания пакетов).

Схема организации туннеля до домашнего микротика:

  • Мне провайдер предоставляет статический IP-адрес
  • На Mikrotik создаем туннель
  • На Mikrotik создаем профили удаленного подключения (Логин и Пароль)
  • На Mikrotik создаем правила Firewall маршрутизации чтобы пройти сквозь брандмауэр

Первым делом подключаюсь через Winbox к своему Mikrotik’у и активирую PPTP сервер :

WinBOX — IP&MAC — меню PPP — вкладка Interface, после нажимаю PPTP Server

Enabled: отмечаю галочкой

MAX MTU: 1450

MAX MRU: 1450

Keepalive Timeout: 30

Default Profile: default

Authentication: должно быть отмечено только — mschap1 & mschap2

Теперь создаем пользователей удаленного подключения:

В разделе PPP переходим в меню Secrets и добавляем нового пользователя: Add —

Name: ekzorchik

Password: Aa1234567@@. (советую ставить пароль посложнее)

Service: pptp

Profile: default-encryption

Local Address: пишем IP-адрес Mikrotik, который будет выступать в роли Сервера VPN (192.168.1.9)

Remote Address: пишем IP-адрес пользователя (192.168.1.100)

Как только настройки произведены нажимаем Apply & OK для применения и сохранения.

Теперь переходим к настройки правил для Firewall моего Mikrotik чтобы он пропускал удаленные авторизованные подключения;

winbox — IP&MAC — IP — Firewall — вкладка Filter Rules — Add

вкладка General:

Chain: input

Protocol: 6 (tcp)

Dst. Port: 1723

вкладка Action:

Action: accept

winbox — IP&MAC — IP — Firewall — вкладка Filter Rules — Add

вкладка General:

Chain: input

Protocol: 47 (gre)

вкладка Action:

Action: accept

Так выглядят правила в winbox’е:

Правила FireWall на Mikrotik для VPN

На заметку: по умолчанию создаваемые правила помещаются в конец общего списка, а их нужно переместить наверх перед всеми запрещающими правилами, если этого не сделать работать они не будут.

Вот как бы и все, проверяю к примеру настройки подключения с работы из операционной системы Windows 7 Professional SP1:

Пуск — Панель управления — Центр управления сетями и общим доступом — Настройка нового подключения или сети — Подключение к рабочему месту — Использовать мое подключение к Интернету (VPN) :

  • Интернете-адрес: указываю внешний IP&DNS адрес выделяемый мне провайдером.
  • Имя местоназначения: VPN-HOME
  • Разрешить использовать это подключение другим пользователям: отмечаю галочкой

После указываю имя пользователя и пароль на удаленный доступ (данные идентификационные данные были введены выше):

Подключение к VPN-сервису домашнего микротика успешно установлено

В оснастке управления сетями показывается настроенное VPN подключение

Также можно проверить, открыв консоль командной строки и отобразив IP адреса текущих сетевых адаптеров:

Win + R → cmd.exe

C:\Users\aollo>ipconfig

Настройка протокола IP для Windows

Адаптер PPP VPN-HOME:

Маска подсети . . . . . . . . . . : 255.255.255.255

Основной шлюз. . . . . . . . . : 0.0.0.0

Ethernet adapter Подключение по локальной сети:

Маска подсети . . . . . . . . . . : 255.255.255.0

Основной шлюз. . . . . . . . . : 10.9.9.1

Что теперь ну подключен я по VPN к дому, а что мне это дает, а то что теперь можно к примеру запустить браузер и подключиться к домашним ресурсам, если настроено удаленное включение компьютеров через Wake On Lan, то посредством запросов их можно включить, а после либо по VNC,RDP подключиться к ним.

Это все конечно же хорошо, а если Ваш провайдер не выдает Вам статический IP-адрес как у меня, как же быть. Но в этом Вам повезло, т. к. в самом Mikrotik есть служба на подобии DynDNS или No-IP которая может предоставить Вам DNS ссылку доступа к Вашему Mikrotik’у из вне, т. е.

WinBOX — IP&MAC — перехожу в раздел Quick Set, отмечаю галочкой VPN Access

В Микротике есть аналог DynDNS и он бесплатен

Статистика Ping для [

Пакетов: отправлено = 2, получено = 2, потеряно = 0

Приблизительное время приема-передачи в мс:

Минимальное = 7мсек, Максимальное = 8 мсек, Среднее = 7 мсек

Открываем меню настройки PPP, включаем его и при создании нового пользователя указываем: Name (VPN), Password (то что указали выше), Service (pptp), Profile (default-encryption), Local Address (192.168.1.9), Remote Address (192.168.1.101) и нажимаем Apply и OK

и подключение также успешно проходит.

Итого, как оказалось на Микротике достаточно быстро можно поднять PPTP сервис посредством которого можно быстро начать пользоваться VPN-соединением. Такие настройки одинаково работают, как для дома так и для корпоративной сети, в этом собственно и большой плюс данного вида оборудования, купив раз с запасом получаем инструмент где можно реализовать многое, а для малой компании это будет существенным подспорьем. На этом я прощаюсь и до новых заметок, с уважением автор блога — ekzorchik.

Используйте прокси ((заблокировано роскомнадзором, используйте vpn или proxy)) при использовании Telegram клиента:

Поблагодари автора и новые статьи

будут появляться чаще :)

Карта МКБ: 4432-7300-2472-8059

Большое спасибо тем кто благодарит автора за практические заметки небольшими пожертвованиями. С уважением, Олло Александр aka ekzorchik.


В данной небольшой статье я расскажу, каким образом настроить удаленный доступ к роутеру MikroTik. Это может потребоваться, если вы, например, установили подобный маршрутизатор клиенту. В общем информацию необходимо знать всем, кто желает иметь доступ к устройству MikroTik, а также обезопаситься от доступа к нему злоумышленниками.

Для начала следует подключиться к роутеру через веб-интерфейс, далее настройку можно производить там же, либо скачать WinBox и использовать для конфигурирования эту программу. Интерфейс WinBox’а мало чем отличается от веб-интерфейса, основное отличие заключается в том, что вы можете открыть сразу несколько окон с настройками и конфигурировать, имея перед глазами все необходимые параметры.

Настройка доступа

После подключения к роутеру выбираем пункты меню слева:

IP — Firewall

Chain: input

Protocol: TCP

Dst. Port: Зависит от способа доступа. Для доступа через веб-интерфейс — 80, через WinBox — 8291, через Telnet — 23.

Переходим на вкладку Action, выбираем accept.

В предыдущем окне Filter Rules мы можем увидеть новое правило и комментарий к нему. Правила работают согласно порядку, в котором они отображаются. То есть данное правило нам необходимо поднять как можно выше, иначе оно работать не будет. Я помещаю созданные правила обычно сразу после правила на разрешение icmp-пакетов.

Ограничение доступа

После настройки доступа, его нужно сильно ограничить, чтобы злоумышленники не смогли заполучить доступ к вашему оборудованию. Переходим в следующее меню:

IP — Services

Через командную строку правила будут выглядеть следующим образом:

8 комментариев к записи “ Настройка удаленного доступа к роутеру MikroTik ”

На компьютерах, подключенных к роутеру MikroTik, интернет не будет работать, пока вы не настроите локальную сеть, Firewall и NAT.

Так и есть, в данной статье рассматривается лишь настройка удаленного доступа к маршрутизатору.

Провайдерский wan воткнут в гигабитный свич Upvel.
В свиче два клиента — Мой рабочий ПК и Mikrotik Hap Lite, раздающий вафлю на гостевые устройства
Мне нужен доступ по WinBox к Микроту с рабочего компа

Создал правило в микротовском FW на accept input tcp 8291, поместил правило наверх
Создал правило в NAT dst-nat в dst.addres указал внешний адрес, tcp, 8291

Но по внешнему ип с рабочего компа так и не подключиться. В логах микрота ничего нет, даже рефьюзов

В чем мб проблема?

За такие статьи надо топить в проруби. открыть 80-й порт НАРУЖУ. вы вообще головой думаете что советуете. .

Валерий, Вас никто не заставляет открывать 80 порт наружу. В этой же статье, ближе к концу, описывается ограничение доступа к маршрутизатору. С данным ограничением открывать 80 порт абсолютно безопасно, если вы добавляете только доверенные адреса/сети.

Можно вместо 80 порта назначить другой порт в переадресацией на 80. Это будет дополнительной степенью защиты.

У Вас настроен Mikrotik как роутер смотрящий в Интернет? И Вам нужен удаленный доступ к нему, для администрирования из вне? Вот простая и быстрая инструкция по организации удаленного доступа к маршрутизатору на RouterOS.

Открыть IP -> Firewall -> вкладку Filter Rules .

После этого в фаерволе, в конце списка будет создано правило. Так как оно будет последним, а перед ним стоит правило запрещающее все, то его необходимо перетянуть мышкой в самый верх, иначе от него не будет толку.

Также в меню IP -> Services в параметрах нужной службы необходимо добавить в Available From список IP адресов с которых необходимо разрешить доступ. Доступ ограничивается как для локальных так и внешних адресов, поэтому в первую очередь нужно добавить IP или подсеть с которой вы в данный момент подключены.Через командную строку правила будут выглядеть следующим образом:

Допустим, вы настроили проброс портов на роутере MikroTik, и из внешней сети все прекрасно работает. Но иногда может возникнуть необходимость организовать доступ к компьютеру или серверу по внешнему IP-адресу не только извне, но и из локальной сети. В этом случае применяется так называемый Hairpin NAT или NAT LoopBack - прием-отправка пакетов через один и тот же интерфейс роутера, со сменой адресов с локального на внешний и обратно. Разберем нужные настройки.

Допустим у нас есть:

  1. Роутер с внешним IP (WAN IP) 1.1.1.1.
  2. Компьютер с локальным адресом 192.168.88.229, и запущенным на нем сервером, приложением и т. д. для доступа из внешней сети. В нашем случае для соединения используется порт 8080.
  3. Компьютер в локальной сети с адресом 192.168.88.110.

У нас уже есть настроенное правило проброса порта 8080:

Настройка проброса порта 8080

Настройка проброса порта 8080, рис2

Но оно не будет срабатывать при обращении из локалки, так как настройки ориентированы на пакеты из внешней сети, через WAN-порт. Поэтому нам нужно прописать дополнительно еще 2 правила.

Настройка доступа из локальной сети по внешнему IP-адресу

1. Создаем правило для перенаправления обращений по внешнему IP из локальной сети.

Chain - dstnat.

Src. Address - пишем здесь локальный адрес компьютера, с которого будем заходить по внешнему IP, или диапазон адресов, если такой доступ нужно предоставить нескольким компьютерам сети.

Dst. Address - указываем внешний адрес компьютера/ сервера и т. п., по которому будет осуществляться доступ из локалки.

Protocol, Dst. Port - здесь прописываем параметры порта и протокола, которые соответствуют нашему соединению (те же, что и в пробросе портов).

Настройка доступа по внешнему IP адресу из локальной сети

To Addresses - указываем локальный адрес нашего сервера, компьютера, на который мы заходим по внешнему IP-адресу.

To Ports - порт тот же самый, что на предыдущей вкладке, поэтому здесь можно ничего не указывать.

Настройка доступа по внешнему IP адресу из локальной сети, рис2

Теперь на компьютер 192.168.88.229 можно зайти из локальной сети по внешнему IP-адресу 1.1.1.1.

Но при попытке какого-то взаимодействия с ним ничего не получится. Почему? Посмотрим, что происходит.

  • Наш компьютер (192.168.88.110) посылает пакет на внешний адрес сервера, который является и адресом роутера, соответственно - 1.1.1.1.
  • Роутер добросовестно перенаправляет его по нашему правилу dst-nat на компьютер с адресом 192.168.88.229.
  • Тот его принимает и отправляет ответ. Но так как он видит в качестве адреса источника локальный IP-адрес (ведь пакет поступил от компьютера в локальной сети), он отправляет ответ не на маршрутизатор, а напрямую получателю.
  • Получатель же (192.168.88.10) отправляя данные по внешнему IP, и ответ также ожидает от внешнего IP. Получив пакет от локального 192.168.88.229, он его просто сбрасывает, как ненужный.

Схема движения пакетов в локальной сети

Поэтому нам нужно еще одно правило, которое будет подменять локальный адрес источника при отправке пакета на внешний IP.

2. Подменяем локальный адрес компьютера на внешний IP-адрес.

На вкладке Action выставляем маскарадинг (masquerade), т. е. подмену адреса источника на локальный адрес маршрутизатора.

На вкладке General прописываем правила, при которых он будет применяться:

Chain - srcnat, т. е. при запросах из локальной сети.

Src. Address - пишем здесь локальный адрес компьютера, или диапазон адресов, с которых будут отправляться пакеты.

Dst. Address - здесь конкретизируем "адрес получателя", т. е. правило будет применяться только для пакетов, адресованных нашему серверу.

Protocol, Dst. Port - здесь прописываем те же параметры порта и протокола.

Правило scrnat для доступа по внешнему IP

Правило scrnat для доступа по внешнему IP, скриншот 2

Теперь, получив пакет из локальной сети, адресованный на внешний IP 1.1.1.1, маршрутизатор не только перенаправит его на 192.168.88.229 (по первому правилу), но и заменит в пакете адрес источника (192.168.88.110) на свой локальный адрес.

Ответ от сервера поэтому отправится не напрямую в локальную сеть, а на маршрутизатор, который, в свою очередь направит его источнику.

Схема Hairpin Nat

Второй способ Hairpin NAT MikroTik: 2 правила вместо 3

Можно сделать еще проще, заменив правило проброса портов первым правилом Hairpin NAT. В этом случае в настройках не нужно указывать In. Interface и Src Address, но нужно прописать адрес назначения.

Настройка Hairpin NAT 2-й способ

Доступ на внешний IP адрес вашего сервера или компьютера с приложением будет открыт как для обращений извне, так и из локальной сети, с любых адресов, но только для пакетов с адресом назначения 1.1.1.1:80.

Теперь добавляете описанное выше правило srcnat, и все. Можно добавить дополнительную фильтрацию, прописав в out-interface тот интерфейс, с которого будут осуществляться отправки пакетов, если есть такая необходимость.

Недостатком Hairpin NAT является только то, что нагрузка на роутер возрастает, ведь те обращения, что раньше проходили через локальную сеть непосредственно между компьютерами, теперь будут идти через маршрутизатор.

Второй способ проще, но, в зависимости от конфигурации вашей сети, может использоваться и первый.

UPD: мы протестировали еще раз изложенные в этой статье способы настройки на примере организации FTP-сервера, а также настройку, предложенную в комментариях . Все они рабочие.

1. Постановка задачи.

Нужно чтобы можно было откуда угодно иметь возможность настроить VPN подключение и получить доступ к домашним сервисам.

Доступ к домашней сети будет организован посредством протокола PPTP, он представляет из себя связку протокола TCP (для передачи данных) и GRE (для обертывания пакетов).

2. Схема организации туннеля до домашнего MikroTik.

  • Мне провайдер предоставляет статический IP-адрес.
  • На MikroTik создаем туннель.
  • На MikroTik создаем профили удаленного подключения (Логин и Пароль).
  • На MikroTik создаем правила Firewall маршрутизации чтобы пройти сквозь брандмауэр.

3. Активация PPTP сервера.

Первым делом подключаюсь через WinBox к своему MikroTik’у и активирую PPTP сервер:

WinBOX — меню PPP — вкладка Interface, после нажимаю PPTP Server:


Enabled: отмечаю галочкой

MAX MTU: 1450

MAX MRU: 1450

Keepalive Timeout: 30

Default Profile: default

Authentication: должно быть отмечено только — mschap1 & mschap2

4. Создание пользователя удаленного подключения.

Теперь создаем пользователей удаленного подключения:


Name: vpn-user

Password: Aa1234567@@. (советую ставить пароль посложнее)

Service: pptp

Profile: default-encryption

Local Address: пишем IP-адрес MikroTik, который будет выступать в роли Сервера VPN (192.168.0.1)

Remote Address: пишем IP-адрес пользователя (192.168.0.99)

5. Настройка правил для Firewall.

Теперь переходим к настройке правил для Firewall роутера MikroTik, чтобы он пропускал удаленные авторизованные подключения.

6. Открываем порт 1723 (для TCP-протокола) в Firewall.




Вкладка General:

Chain: input

Protocol: 6 (tcp)

Dst. Port: 1723

Вкладка Action:

Action: accept

7. Открываем правило GRE в Firewall.




Вкладка General:

Chain: input

Protocol: 47 (gre)

Вкладка Action:

Action: accept

Как выглядит Firewall в MikroTik

Так выглядят правила в WinBox’е:


На заметку: по умолчанию создаваемые правила помещаются в конец общего списка, а их нужно переместить наверх перед всеми запрещающими правилами, если этого не сделать работать они не будут.

8. Подключение клиента Windows 10.

Пуск — Панель управления — Сеть и Интернет — Центр управления сетями и общим доступом — Создание и настройка нового подключения или сети — Подключение к рабочему месту — Использовать мое подключение к Интернету (VPN):

  • Адрес в интернете: указываю внешний IP&DNS адрес выделяемый мне провайдером.
  • Имя объекта назначения: VPN-HOME.
  • Разрешить использовать это подключение другим пользователям: отмечаю галочкой.

Нажимаем ОК и далее переходим в Пуск — Параметры — Сеть и Интернет — VPN . Выбираем наше созданное подключение в списке возможных подключений. Открываем Дополнительные параметры — Изменить.

Заполняем анкету соединения по смыслу. После указываю имя пользователя и пароль на удаленный доступ (данные идентификационные данные были введены выше):

Пользователь: vpn-user
Пароль: Aa1234567@@.
Запомнить этот пароль: отмечаю галочкой

Жмем Сохранить данные.



Также можно проверить, открыв консоль командной строки и отобразив IP адреса текущих сетевых адаптеров используем командную строку и Win + R введем в нее команду cmd.exe:


Далее свяжемся с точкой входа в VPN сеть:


Что теперь ну подключен я по VPN к дому, а что мне это дает?

А то что теперь можно к примеру запустить браузер и подключиться к домашним ресурсам, если настроено удаленное включение компьютеров через Wake On Lan, то посредством запросов их можно включить, а после либо по VNC, RDP подключиться к ним.

Это все конечно же хорошо, а если Ваш провайдер не выдает Вам статический IP-адрес как у меня, как же быть?

Но в этом Вам повезло, т. к. в самом MikroTik есть служба на подобии DynDNS или No-IP, которая может предоставить DNS ссылку доступа к MikroTik’у из вне:

WinBox — IP&MAC — перехожу в раздел Quick Set, отмечаю галочкой VPN Access


Будет выведена таблица пинга.

Итого, как оказалось на MikroTik достаточно быстро можно поднять PPTP сервис, посредством которого можно быстро начать пользоваться VPN-соединением. Такие настройки одинаково работают, как для дома так и для корпоративной сети, в этом собственно и большой плюс данного вида оборудования, купив раз с запасом получаем инструмент где можно реализовать многое, а для малой компании это будет существенным подспорьем.

9. Оригиналы источников информации.

Читайте также: