Mikrotik в роли «Помощника» для системного администратора

Posted by

Задача: Т.к. я оказываю услуги приходящего системного администратора физическим, юридическим лицам, то мне важно иметь доступ к своей домашней сети где у меня развернуты различные утилиты помогающие мне. И вот одна из задач которую я хотел бы сделать — это я прихожу с переносным Mikrotik RB951Ui-2HnD, к нему у меня подключен USB-модем ZTE MF823D + SIM-карта от мобильного оператора Tele2 с тарифным планом 40Gb за 500руб. Этот «Помощник» — как я его называю через настроенный OpenVPN клиент связывается с OpenVPN сервером из любого места где есть зона покрытия TELE2 и я могу подключиться к внутренней сети и производить диагностику, удаленную настройку.

Шаг №1: На OpenVPNсервере который служит у меня на доступ откуда угодно к домашней сети создаю клиентский сертификат.

Шаг №2: Подготавливаю Mikrotik на работу. Обновляю пакеты и firmware. Для этого я сперва его в своей локальной сети подключаю к Switch и подключаюсь к нему через утилиту администрирования winbox:

ekzorchik@navy:~$ winbox (version 3.20) — подключаюсь по MAC-адресу

Подключаюсь по MAC-адресу к Mikrotik

включаю получение IP-адреса на 2 порту:

winbox - IP - DHCP Client - Add -

  • Interface: ether2
  • Use Peer DNS: отмечаю галочкой
  • Use Peer NTP: отмечаю галочкой
  • Add Default Router: Yes

и нажимаю Apply - OK. Теперь вижу, что на интерфейсе eth2 от моего главного микротика данный микротик получил сетевой адрес: 172.33.33.9/24

DHCP-клиент включен на ether2

и я могу уже через утилиту winbox подключиться не через MAC-адрес, а по IP-адресу. Что и делаю: Session - Exit

через клиент SSH подключаюсь:

Шаг №3: Так теперь нужно передать сгенерированный сертифика «Шаг №1» на микротик «Шаг №2«:

Копирую данный сертификат на рабочую систему, у меня это Ubuntu 18.04 Desktop amd64 on Lenovo E555

Почему у меня это получилось, а мой главный роутер тоже Mikrotik и он сейчас связан с OpenVPN сервером, как и смартфон, миникомпьютер Raspberry Pi 3 Model B.

Проверяю, что файл успешно скопировался и присутствует:

Отлично.

Шаг №4: Подключаю USB ZTE MF823D модем к микротику через USB порт и проверяю, что модем видит его и может с ним взаимодействовать:

Шаг №5: Настраиваю OpenVPN клиент на подключение к OpenVPNсерверу:

Проверяю, что мой «Помощник» — Mikrotik RB951Ui-2HnD подключился к OpenVPN-серверу:

Ответ да, он подключен и ему присвоен IP-адрес: 10.8.0.26

Шаг №6: Теперь правила на Mikrotik разрешающие взаимодействие с ним через OpenVPN:

Чтобы я мог подключаться к сети за данным микротиком:

Теперь я могу отключить ethernet кабель от порта 2 (использовался для настройке через мою локальную сеть).

Шаг №7: Проверяю, что могу через утилиту Winbox подключиться к моему «Помощнику«

Проверяю, что могу подключиться к микротику по OpenVPN-адресуУспешно!!!

Mikrotik Помощник - доступен в локальной сети

На этом пока все. Задачу по настройке помощника я выполнил. С уважением автор блога Олло Александр aka ekzorchik.