Mikrotik как производитель сетевого оборудования не обошёл стороной возможность управления и настройки их устройств через WEB интерфейс (Веб-морда). Оно и логично, т.к. любое современное устройство уже имеет на борту установленный веб браузер, а значит не нужно дополнительно что-либо устанавливать. Из плюсов можно выделить, то, что ваше подключение использует транспортный протокол TCP, что будет полезным в сетях с нестабильным каналом (допустим WiFi). Посмотрим с вами первым делом как его использовать в настройках по умолчанию. Во вторую очередь покажу маленькую хитрость по увеличению его безопасности.
Итак, вы приобрели новенький Mikrotik, счастливый идёте домой и думаете о том, что большинство проблем с вашим домашним WiFi уйдут навсегда. Многие меня могут тут поправить, что этот счастливый парень глубоко заблуждается, т.к. настроек в Mikrotik тьма тьмущая и настраивать его может только человек с опытом работы. Но нет, производитель предусмотрел данный момент и создал Quick Set – это мастер, который позволяет вам с минимальными телодвижениями настроить ваш девайс. Но чтобы до него добраться, нужно сначала подключиться к устройству.
Подключение через WEB интерфейс
Для подключения в веб-интерфейсу микротик нужно в браузере перейти по адресу http://192.168.88.1
После перехода, вам предложат сменить пароль. В Old Password ничего не пишем. В следующих двух строчках вводим желаемый пароль и повторяем его. После чего Change Now. Рекомендую вам это сделать сразу.
После смены пароля открывается окно Quick Set. Тут вы можете самостоятельно настроить доступ в интернет, имя WiFi сети, пароль к ней и многое другое
После настройки роутера в данном режиме, нажимаете в правом нижнем углу мастера кнопку Apply Configuration
Следующим шагом рекомендую вам проверить корректность установленного пароля. Для этого выходим из настроек роутера нажатием на кнопку выхода в правом верхнем углу
После выхода, система предложит авторизоваться, логин по умолчанию admin, пароль тот, что вы установили ранее при первом подключении. На этой же странице вы можете скачать Winbox, или запустить Telnet сессию. Для Windows 10 откроется стандартное приложение.
Если вы, верно, ввели пароль, то у вас снова откроется окно быстрой настройки. Оно уже нам не нужно и нажимаем на WebFig.
После нажатия, вам откроются все возможные пункты меню для их последующей настройки.
Нажимая на пункты меню, вам открываются доступные подпункты. Допустим откроем IP.
Если нажмём ещё раз на IP, то подпункт свернётся.
Попробуем через WebFig перезагрузить устройство. Это можно сделать двумя способами
Первый – это через меню System – Reboot
Вторым способом можно сделать через терминал. В правом верхнем углу нажимаем на терминал
И набираем System reboot, жмем клавишу ввод. На вопрос отвечаем утвердительно Y.
Чтобы не выстрелить себе в ногу, не забываем использовать Safe Mode. Если в процессе настройки девайса, вас выкинуло, и вы не может более к нему удаленно подключиться, RouterOS делает шаг назад, до того момента, как вы были подключены. Чтобы активировать данный режим в WebFig нажимаем на данную кнопку, а по завершению отжимаем.
Увеличиваем безопасность веб-интерфейса Микротик
Как вы могли заметить, подключиться к устройству через браузер не составляет никакого труда. Но не стоит забывать о злоумышленниках, которые хотят «что-нибудь сломать». Подключение по HTTP хоть и является одним из самых удобных вариантом, но минус его в том, что ваши данные не зашифрованы и ходят по сети в открытом виде. Т.е. введя пароль через HTTP подключение, его можно прочитать из подслушанного дампа трафика. Чтобы этого избежать, выпустим сертификат и вместо HTTP будет использовать HTTPS (HTTP over TLS).
Переходим System – Certificates – Add New
Задаём необходимые поля и жмём Apply
Далее сверху подписываем кнопкой Sign
Запускаем генерацию самоподписанного сертификата
Когда увидели done в строке Progress, переходим обратно в сертификаты и жмём Add New. Здесь заполняем всего два поля
Жмём Apply и Sign. В открывшимся меню смотрим чтобы CA был выбран сертификат сгенерированный на прошлом шаге
Жмём Start и ожидаем успешного подписывания в строке Progress. Теперь необходимо выгрузить корневой сертификат и установить его наш Windows 10 в корневые. Переходим снова в Certificates
Открываем самый верхний и жмём Export
Указываем любое имя и жмём на экспорт
В меню Files скачиваем сертификат на ПК
После скачивания открываем его и выбираем «Установить сертификат …»
В мастере импорта выбираем «Локальный компьютер»
На следующем шаге указываем что это «Доверенные корневые центры сертификации», жмём ок и далее. На последнем шаге готово
Следующий шаг — это привязка последнего выпущенного сертификата к службе HTTPS. Переходим в меню IP – Services
Проваливаемся в www-ssl и выставляем значения согласно скриншоту. Главное выбрать нужный сертификат.
Применяем настройки и пробуем подключиться с использованием шифрования https://192.168.88.1
Обращаю внимание, что браузеры Chrome или Edge будут ругаться на самоподписанный сертификат, но все равно дадут вам подключиться
Если вы доверяете подписанному вами же сертификату, то можете спокойно подключаться. В противном случаи, рекомендуется покупать коммерческий. В любом случаи, ваше соединение будет защищённым, и никто не сможет увидеть ваш пароль в собранном трафике.
Следующие улучшения вам помогут усилить безопасность устройства ещё на один уровень. Вы можете разрешить подключаться по HTTP только внутри сети. Для этого в настройке сервиса указываем подсеть или IP адрес, откуда данный сервис будет доступен. Для всех остальных подключение будет запрещено.
Открываем IP – Services – WWW
Сохраняем настройку и смотрим что вышло
Итого:
- WWW доступен только из подсети 192.168.88.0/24;
- WWW-SSL доступен откуда угодно и использование любой версии TLS;
- Все остальные сервисы доступны по стандартным портам со всех сетей, в том числе и интернет, что справедливо и для www-ssl.
В этой небольшой статье мы рассмотрели настройку и использование Веб-интерфейса на Микротик, а также защиту доступа к нему путём перехода на HTTPS.
