mynetname net что это
Некоторые подводные камни технологии IP Cloud в роутерах Mikrotik
Есть такие хорошие роутеры Mikrotik. И с недавнего времени есть у них функционал «IP-Cloud». Помимо прочего он позволят получить субдомен, который будет привязан к пользовательскому роутеру, не имеющему постоянного IP-адреса. Или имеющего, для нас это не важно — важно то, что получаемое имя не произвольное, а вида серийный номер+.sn.mynetname.net
Так как имя не произвольное, а узнать-сгенерировать диапазоны серийных номеров не так уж и сложно, то можно их пропинговать и, если адрес активный, попробовать подключиться.
Для проверки этой идеи была написана программа с очень простым функционалом — она генерировала имя вида SN.sn.mynetname.net и пинговала его. Если результат был положительным, то адрес запоминался и процесс продолжался.
Далее программа пробовала подключаться к найденным адресам с логином admin и следующими паролями 123456, password, 12345678, qwerty, abc123, 123456789, 111111, 1234567, iloveyou, adobe123, 123123, admin, 1234567890, letmein, photoshop, 1234, monkey, shadom, sunshine, 12345, password1, princess, azerty, trusno1, 000000, mikrotik, sysadmin (список паролей был взят из статьи habrahabr.ru/post/215457 и добавил пару от себя)
Подключение пробовалось через SSH и mikrotik API и если подключение подходило успешно, в таблицу добавлялся подошедший пароль.
Результаты трёхдневного скана вышли следующие — было сгенерировано и пропинговано два миллиона адресов. Из них доступных по пингу, с включенным IP-Cloud было всего 6715. Из них подключиться без пароля получилось к 97, с подобранным паролем к 430 (что лишний раз доказывает, что не надо использовать словарные и лёгкие пароли)
На всех точках, к которым получилось подключиться, были немного изменены настройки — убран пинг снаружи и сделано подключение к роутеру только из локальной сети + защита от перебора паролей. Можно было поменять пароль, но мало ли кто там занимается настройкой, да и не хотелось админам сильно усложнять работу.
PS2: Что в этом плохого — а если бы это было не моё исследование just for lulz? RouterOS достаточно продвинутая система и вполне можно в автоматическом режиме настраивать точки доступа на DDOS или делать из них прокси для своих грязных дел 🙂
PS3: Да можно было тестировать сразу подключение через SSH и API, только пинг существенно быстрее, да и не в этом смысл был исследование. Про распараллеливание также в курсе, но никуда не торопился 🙂
Cloud – Удаленный доступ к роутеру Mikrotik при динамическом IP адресе
Что делать, если вам нужен удаленный доступ к роутеру Mikrotik, а у вас динамический IP адрес, можно конечно воспользоваться каким нибудь сервисом по типу No IP. Но, на можно воспользоваться и встроенной функцией, которая присутствует в данном оборудовании, речь идет о функции Cloud. Данная функция позволяет получить удаленный доступ к роутеру при динамическом IP адресе. Подключение к роутеру будет осуществляться по серийному номеру оборудования, в итоге вы получите примерно такой DNS name – ****************.sn.mynetname.net где звездочками будет серийный номер вашего оборудования и, по нему вы сможете подключаться к роутеру вместо IP адреса. Отмечу сразу, все действия будем совершать через утилиту winbox, а так же у вас должен быть уже настроен Mikrotik, как это сделать, читайте тут.
Включаем функцию Mikrotik Cloud
И так, запускаем утилиту winbox, в случае, если вы используете Linux, то данная утилита отлично работает через Wine, про установку которого на сайте имеется не одна статья, для Debian, Ubuntu, Fedora. Авторизуетесь и переходите в пункт IP и в выпадающем списке выбираете Cloud:
В появившемся окне необходимо активировать функцию DDNS Enable, вторая функция Update Time обычно уже активирована по умолчанию, если же по какой-то причине она не активна, то активируйте ее. В итоге вы получите DNS Name, тот самый с серийным номером, по которому вы в будущем сможете подключаться к оборудованию Mikrotik с помощью Cloud:
По понятным причинам, я замазал свой серийный номер роутера Mikrotik. Но, на этом еще не все, так как в правилах Firewall скорей всего у вас стоят правила, которые могут запрещать какое-либо подключение из вне, по этой причине необходимо задать новые правила.
Прописываем правило в Firewall
Переходим к настройке правил для удаленного доступа к оборудованию Mikrotik, открываем снова вкладку IP и в выпадающем окне выбираем пункт Firewall:
В открывшемся окне нажимаем на плюсик и переходим к вкладке “General”, в пункте “Chain” указываем “input”, а в пункте “Src. Address” задаем IP адрес с которого будет осуществлять подключение. Если в данном поле оставить одни нули, то подключение будет осуществляться с любого IP адреса, что в свою очередь представляет опасность в плане взлома вашего устройства:
Затем переходим к вкладке “Action”, в поле “Action” выбираем “accept”, на этом настройку Firewall можно завершить, нажимаем на кнопку “Apply” и потом на “OK” и перетаскиваем это правило вверх списка:
Все то же самое можно проделать введя в терминале Mikrotik команду, не забыв поменять в команде нули (0.0.0.0/0) на ваш IP адрес, с которого будет осуществляться подключение:
/ip firewall filter add chain=input action=accept src-address=0.0.0.0/0 place-before 0
Заключение
Таким образом, вы сможете получить удаленный доступ к роутеру Mikrotik при динамическом IP адресе, благодаря встроенной в данное оборудование функции Cloud. Как уже говорилось в начале статьи, подключаться вы будете по DNS Name, достаточно его ввести в winbox вместо IP адреса. Что собственно, весьма удобно и отпадает необходимость в использовании сторонних сервисов. А тем у кого имеется статический IP адрес и необходим удаленный доступ, можете его получить прочитав эту статью.
А на этом сегодня все. Надеюсь данная статья будет вам полезна.
Журнал Cyber-X
Mynetname net что это
Бесплатный чек-лист
по настройке RouterOS
на 28 пунктов
Mikrotik RouterOS новая функция Cloud
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку «Действия до настройки роутера».
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Вам же подсказали, что службы DynDNS (это аббревиатура мне больше нравиться) у разных
производителей разные и устроены и работают по-разному в целом.
У Кинетик судя по всему эта функция реализовано иначе и при подключении роутера
в Интернет, роутер инициирует какое-то соединение с облаком Кинетик, а уже
облако при запросе нужного роутера внутри этого канала позволяет обратиться на роутер.
У микротика своя функция(иная), она позволяет обратиться(попасть) на роутер всегда,
когда у роутера сменяется постоянно/регулярно внешний реальный адрес.
Если адрес подключения не Внешний, от данной функции мало пользы,
поэтому у Вас внизу и было предупреждение (на английском, что Вы находитесь за NAT’ом).
В Вашем случаи,
если Вам нужен доступ на микротик с внешнего мира, то единственные варианты:
а) это купить аренду реального адреса, то есть за 20-40руб или за 100-150руб
Вам провайдер будет выдавать реальный динамический/постоянный адрес.
Правда сразу Вам напомню, файрвол Вам нужно будет сразу уже настроить заблаговременно,
иначе атаки (со стороны Китайцев) сразу увидите в кол-ве пару сотен в 10-20 сек.
б) второй вариант, сложнее, если провайдер не даёт/не имеет возможности выдачи адреса,
то можно инициировать со стороны роутера соединяться куда-то (на тот адрес/сервер естественно
у которого есть уже реальный адрес) и уже с того объекта/сервера заходить по этому установленному
каналу на роутер.
А чего не показали что прошивка свежая и как идут запросы?
1) перезагрузите роутер
2) отключить все-все правила в первой закладке (Filter Rules)
3) WinBox «свежий» стоит? (обновите).
P.S.
(по скрину как будто Вин7 или даже ВинХР)
2) У Вас правила проброса имеют нулевой счётчик сработки = грубо говоря до данных правил пакет не дошёл.
Проверять надо всё.
2.1) У Вас L2TP подключение это как раз и есть внешнее подключение, а у Вас по пре-заводскому конфигу,
лишь порт1 описан в переменной как WAN, добавьте ещё и L2TP также в переменную WAN
3) Ну и не совсем ясно с arp записью для камеры? Понятно что Вы руками так делали,
запись руками добавили, а толку, если ограничения на бридже не стоят.
Я бы убрал это всё, заставил получить камере адрес автоматически, и уже увидев
в закладке аренды адресов DHCP (Leases) там камеру, дал её уже нужный адрес, который
она будет и получать в будущем постоянно (совет лишь).
3.1) Также надо более детально настроить DHCP, а именно в настройках DHCP поставить,
чтобы он сам создавал ARP запись по каждому клиенту, и тогда будет более правильно.
3.2) также надо настроить чтобы DHCP отдавал DNS’ы клиентам.
Настройка VPN через MikroTik
VPN – (Virtual Private Network) виртуальная частная сеть. Даная технология позволяет обеспечить максимальную безопасность при подключении к удаленным сетям и использования их ресурсов словно вы подключены к сети напрямую, а не через сеть Интернет.
Сожержание:
Сегодня использования VPN уже не является привилегией большой бизнеса. Даже простой домашний пользователь может воспользоваться данной технологией, для посещения различный сайтов, доступ к которым закрыт по региональному признаку, при этом не оставив и следа о своем перебивании на данном ресурсе.
В данной статье будет рассмотрен пример построения VPN-тунеля для подключения к домашней сети на базе маршрутизатора производства MikroTik. Также будет рассмотри один из наиболее популярного типа VPN подключения, а именно L2TP. (популярный он потому, что клиент L2TP уже предустановленный в операционной системе Microsoft Windows).
Управление домашней сетью через интернет
Управлять своей домашней сетью находясь при этом на роботе или в отпуске можно без проблем, когда ваш домашний маршрутизатор имеет реальный IP адрес*.
Что такое реальный IP адрес
При подключении к сети Интернет компьютер или маршрутизатор получает IP адрес через который он взаимодействует с сетью. Это адрес может быть назначен из локальной сети провайдера, что позволяет скрыть ваше оборудование от открытого доступа из вне. Или может быть назначен реальный IP адрес, что позволяет вашему оборудования напрямую взаимодействовать с сетью Интернет, что в свою очередь делает ваше оборудование доступным из внешней сети.
Ну, а если возможности получить реальный IP адрес нет, а доступ к домашней сети необходим?
Вариант №1. Используем маршрутизатор в качестве vpn клиента, а в качестве сервера будет использоваться сервер на работе или маршрутизатор с реальный IP адресом:
Вкладка PPP – Interface жмем «+» и выбираем L2TP Client
В открывшемся окне переходим на кладку General и даем название вашему соединению. Далее переходим во вкладку Dial Out, здесь мы настраиваем основные параметры подключения к удаленному серверу:
Connect to: указываем IP адрес удаленного сервера (IP адрес должен быть реальный)
USER: Имя пользователя
Password: Пароль
Для дополнительной защиты VPN соединение можно зашифровав его IPsec. Ставим галочку и назначаем пароль. ВАЖНО: при использовании дополнительного шифрование IPsec будет корректно работать между двумя маршрутизаторами MikroTik. При построении VPN –тунеля с маршрутизатором других производителей или в случае использования встроенного клиента Microsoft Windows дополнительное шифрование следует отключить во избежание ошибок подключения.
VPN клиент настроен, переходим к настройке VPN сервера.
В качестве VPN сервера будет использоваться маршрутизатор Mikrotik.
Сервер включен, осталось добавить пользователя логин и пароль которого мы создали на стороне клиента.
Переходим во вкладку Secrets, жмем «+» и создаем пользователя и выбираем тип VPN туннеля.
Настройки закончены, теперь сидя на работе и открыв Winbox* вы получите доступ к домашнему маршрутизатору.
Winbox – программа позволяющая получить доступ к настройкам и управлению оборудованию MikroTik при помощи веб интерфейса.
К сожалению, данный метод подключения не всегда удобный. Особенно когда нужно попасть на домашнюю сеть с любой точки земного шара где есть доступ к сети интернет, а реальный IP адрес получить так и не удалось. В таком случае можно воспользоваться технологией DDNS. Но надежные ресурсы представление услуг будут платными, а бесплатные имеют тенденцию не работать в нужный момент или вовсе пропадать. Для решения данной проблемы компания MikroTik развернула собственное облако (cloud.mikrotik.com) с предоставлением услуги DDNS. А настроить доступ к своему маршрутизатору можно за несколько секунд.
Вариант №2. Настройка удаленного доступа в один клик
Жмем Quick Set и в окне быстрых настроек включаем VPN в правом нижнем углу.
Включаем VPN и единственное, что нам надо ввести это пароль (пароль должен быть не из простых, подобрав пароль посторонний человек сможет попасть на ваш маршрутизатор)
12345679.sn.mynetname.net – этот адрес и есть внешний адрес домашней сети (где вместо цифр 123456789 будет серийный номер вашего маршрутизатора). Используя этот адрес можно с легкостью настроить VPN доступ к домашней сети.
Окончив с настройками VPN сервера переходим к подключению в виде клиента.
VPN подключение к сети при помощи встроенного клиента Microsoft Windows
Пуск-панель управления – Центр управления сетями и общим доступом
Выбираем пункт Настройка нового подключения – Подключение к рабочему месту – Подключение к VPN.
Далее вводим IP-адрес VPN сервера к которому будет осуществляться подключение и дадим этому подключение имя.
Вводим имя пользователя и пароль и подключаемся к удалённом VPN серверу.
Mikrotik RouterOS: новая функция Cloud
В последних версиях фирменной сетевой операционной системы Mikrotik RouterOS, специалисты компании разработчика, внесли достаточно большое число изменений и улучшений. Кроме исправления некоторых ошибок, функционал операционной системы, пополнился не малым числом новшеств. В частности, начиная с версии RouterOS v6.14, в разделе IP, появился новый пункт Cloud, с которым мы сегодня и познакомимся.
Cloud, предлагает сервис динамических имен (Dynamic DNS) для всех устройств Mikrotik Routerboard. Это значит, что при активации данной функции, ваш маршрутизатор, точка доступа или другое устройство, автоматически получит рабочее доменное имя, по которому будет всегда доступен из любой точки мира, где есть сеть Интернет. В первую очередь, данный сервис, будет полезен тем, кому провайдер выделяет динамический IP адрес, который часто меняется. Теперь вам не обязательно постоянно знать свой IP, или пользоваться сторонними сервисами вроде NoIP или DynDNS, не нужно писать и запускать какие либо скрипты и прочее. Сервис Mikrotik Cloud, работает автоматически, на любых устройствах Routerboard.
Пока что, облачный сервис, предоставляет только две услуги:
— Dynamic DNS, который предоставляет доменное имя вашему маршрутизатору или другому устройству для IPv4 адреса. (IPv6, пока еще не поддерживается);
Но мы надеемся, что данное направление, будет активно развиваться и в скором будущем, мы увидим целый ряд, новых облачных сервисов от Mikrotik.
Ну а пока, давайте рассмотрим работу Cloud, на конкретном примере. Как уже говорилось, находится раздел Cloud, в меню IP.
После нажатия кнопки Apply, функция будет активирована, и в полях Public Address и DNS Name, должны появиться значения вашего внешнего IP адреса и присвоенного вам динамического доменного имени, соответсвенно.
Ну и если, с IP адресом и так все понятно, то выданное вам доменное имя, будет выглядеть как 43cea2a43089.sn.mynetname.net, где первые 12 символов до точки, это серийный номер вашего устройства Routerboard.
Теперь, не зависимо от выделяемого вам провайдером IP адреса, вы всегда сможете иметь доступ к вашему устройству извне. Не нужно запускать никаких сторонних скриптов, операционная система, сама будет следить за тем, что бы всегда смогли получить доступ по динамическому доменному имени, и без разницы, как часто будет меняться ваш IP.
Кроме того, теперь вы без труда сможете организовывать туннельные соединения, “поднимая” VPN сервер, по любому доступному протоколу, на вашем маршрутизаторе. Связать два отдельных маршрутизатора Mikrotik, в единую виртуальную сеть, теперь стало еще проще, так как в случае с настройкой клиента, в новых версиях RouterOS, появилась возможность указания адреса сервера, не только в виде IP адреса, но и в виде динамического доменного имени.
Так в настройках соединения по протоколам PPTP, SSTP, L2TP и OVPN, можно указывать доменное имя в поле Connect To.