Winbox utiliza el puerto TCP 8291 para establecer las comunicaciones (el cual se puede cambiar).
Lo primero que tenemos que verificar es si el servicio para winbox está activo para ser accedido desde internet, esto lo verificamos en
IP->Services
| Name | Port | Available From | Detalle |
| winbox | 8291 | 0.0.0.0/0 | Puerto por defecto para Winbox |
Por una cuestión de seguridad, el Firewall rechaza todas las conexiones que no sean las que trae por defecto (Default Configuration). Tendremos que crear una regla en el Firewall que habilite (o escuche) el puerto 8291 de winbox.
Utilizando la consola, accedemos por ssh al router, en linux tipeamos desde la consola:
sudo ssh admin@ippublicadelmikrotik
Aceptamos el certificado en caso de que sea el primer acceso al Mikrotik y luego proporcionamos la clave para el usuario admin
Ahora vamos a ir a Firewall Rules con el siguiente comando:
ip firewall filter
Aquí necesitamos ver cual es la regla que Dropea todo lo que no este "aceptador por Default", para ello tipeamos print y tendríamos que ver algo como lo siguiente:
Flags: X - disabled, I - invalid, D - dynamicen la lista podemos ver que la regla que Dropea todo lo que no esté por defecto es la numero 4
0 X ;;; place hotspot rules here
chain=unused-hs-chain action=passthrough
1 ;;; default configuration
chain=input action=accept protocol=icmp
2 ;;; default configuration
chain=input action=accept connection-state=established
in-interface=ether1-gateway
3 ;;; default configuration
chain=input action=accept connection-state=related
in-interface=ether1-gateway
4 ;;; default configuration
chain=input action=drop in-interface=ether1-gateway
chain=input action=drop in-interface=ether1-gateway
Ahora la regla que permita el acceso mediante winbox desde internet la tendremos que ubicar antes que la posición número 4 utilizando el parámetro place-before en la siguiente regla:
add chain=input action=accept protocol=tcp dst-port=8291 in-interface=ether1-gateway place-before=5 comment="acceso a winbox desde internet"
Con esto es suficiente para activar el acceso al Mikrotik utilizando winbox.
Ahora en el winbox tenderemos que escribir la ip pública o el dns del Mikrotik al que queramos acecder.
Nota:Observaciones sobre Seguridad:
Si necesitamos eliminar una regla podemos tipear remove numbers=numerdelaregla
Dejar este puerto abierto implica un riesgo de seguridad tanto para el equipo Mikrotik como para la red que se encuentre detrás de él, por eso es muy recomendable habilitar el acceso a la consola por SSH con la siguiente regla
vamos a ip firewall filters
hacemos un print y vemos cual es el número de la regla que dropea el resto del tráfico entrante, supongamos que obtenemos
4 ;;; default configurationpor lo tanto la regla es la número 4
chain=input action=drop in-interface=ether1-gateway
Luego creamos la regla que habilita el acceso SSH al Mikrotik
add chain=input action=acept protocol=tcp dst-port=22 in-interface=ether1-gateway place-before=4 comment="Acceso SSH desde Internet"
Con esto ya tenemos acceso via SSH a la consola de nuestro Mikrotik.
Para mejorar la seguridad lo que tenemos que hacer es habilitar o deshabilitar la regla que "Acceso Winbox desde Internet". En el caso de que esta sea la regla número 5 los comandos serían los siguientes:
Para Habilitar la regla nos posicionamos en ip firewall filters y tipeamos: enable numbers=5
Para deshabilitar la regla nos posicionamos en ip firewall filters y tipeamos: disable numbers=5
Es todo por ahora...
Gracias por el post, probaré ambas reglas.
ResponderEliminarSaludos
Espero que te sean de utilidad.
ResponderEliminarHola, sabes como cambiar el puerto 8291 del Mikrotik??
ResponderEliminarGracias, Saludos