Muchas veces es necesario acceder a un Mikrotik de forma remota utilizando Winbox.
Winbox utiliza el puerto TCP 8291 para establecer las comunicaciones (el cual se puede cambiar).
Lo primero que tenemos que verificar es si el servicio para winbox está activo para ser accedido desde internet, esto lo verificamos en
IP->Services
| Name | Port | Available From | Detalle |
| winbox | 8291 | 0.0.0.0/0 | Puerto por defecto para Winbox |
Por una cuestión de seguridad, el Firewall rechaza todas las conexiones que no sean las que trae por defecto (Default Configuration). Tendremos que crear una regla en el Firewall que habilite (o escuche) el puerto 8291 de winbox.
Utilizando la consola, accedemos por ssh al router, en linux tipeamos desde la consola:
sudo ssh admin@ippublicadelmikrotik
Aceptamos el certificado en caso de que sea el primer acceso al Mikrotik y luego proporcionamos la clave para el usuario admin
Ahora vamos a ir a Firewall Rules con el siguiente comando:
ip firewall filter
Aquí necesitamos ver cual es la regla que Dropea todo lo que no este "aceptador por Default", para ello tipeamos
print y tendríamos que ver algo como lo siguiente:
Flags: X - disabled, I - invalid, D - dynamic
0 X ;;; place hotspot rules here
chain=unused-hs-chain action=passthrough
1 ;;; default configuration
chain=input action=accept protocol=icmp
2 ;;; default configuration
chain=input action=accept connection-state=established
in-interface=ether1-gateway
3 ;;; default configuration
chain=input action=accept connection-state=related
in-interface=ether1-gateway
4 ;;; default configuration
chain=input action=drop in-interface=ether1-gateway
en la lista podemos ver que la regla que Dropea todo lo que no esté por defecto es la numero
4
chain=input
action=drop
in-interface=ether1-gateway
Ahora la regla que permita el acceso mediante winbox desde internet la tendremos que ubicar antes que la posición número
4 utilizando el parámetro
place-before en la siguiente regla:
add chain=input
action=accept
protocol=tcp
dst-port=8291
in-interface=ether1-gateway
place-before=5
comment="acceso a winbox desde internet"
Con esto es suficiente para activar el acceso al Mikrotik utilizando winbox.
Ahora en el winbox tenderemos que escribir la ip pública o el dns del Mikrotik al que queramos acecder.
Nota:
Si necesitamos eliminar una regla podemos tipear remove numbers=numerdelaregla
Observaciones sobre Seguridad:
Dejar este puerto abierto implica un riesgo de seguridad tanto para el equipo Mikrotik como para la red que se encuentre detrás de él, por eso es muy recomendable habilitar el acceso a la consola por SSH con la siguiente regla
vamos a
ip firewall filters
hacemos un
print y vemos cual es el número de la regla que dropea el resto del tráfico entrante, supongamos que obtenemos
4 ;;; default configuration
chain=input action=drop in-interface=ether1-gateway
por lo tanto la regla es la número
4
Luego creamos la regla que habilita el acceso SSH al Mikrotik
add chain=input
action=acept
protocol=tcp
dst-port=22
in-interface=ether1-gateway
place-before=4
comment="Acceso SSH desde Internet"
Con esto ya tenemos acceso via SSH a la consola de nuestro Mikrotik.
Para mejorar la seguridad lo que tenemos que hacer es habilitar o deshabilitar la regla que "Acceso Winbox desde Internet". En el caso de que esta sea la regla número 5 los comandos serían los siguientes:
Para Habilitar la regla nos posicionamos en
ip firewall filters y tipeamos:
enable numbers=5
Para deshabilitar la regla nos posicionamos en
ip firewall filters y tipeamos:
disable numbers=5
Es todo por ahora...
