Архив метки: Mikrotik

Настройка резервного канала в MikroTik с уведомлением в Telegram

К подключению резервного интернет канала дома каждый приходит по своим причинам, но некоторые устройства в умном доме требуют постоянного подключения к сети интернет, оперативность получения важных уведомлений напрямую зависит от стабильности подключения к тому же, как же мы узнаем, что интернет пропал, не имея резервного канала 🙂




Какой тип подключения выбрать в качестве резервного зависит только от желания, финансовой и технической возможности. Требования к скорости не большие и зависит от того, каким устройствам необходим постоянный доступ к сети. Если не использовать постоянный доступ для торрент обмена, то в качестве резервного канала можно использовать USB LTE модем с лимитированным трафиком.




Входные данные




Имеется MikroTik RB4011 с настройками:




  • Основной интернет канал 100МБит, внешний IP, интерфейс ether1
  • Резервный интернет канал 10МБит, интерфейс ether2
  • OpenVPN подключение к внешней VPS, интерфейс vpn-ovpn
  • Туннель 6to4 для IPv6 трафика, v6to4-tunnel




Необходимо при разрыве основного канала пустить весь трафик по резервному, переподключить VPN, погасить туннель 6to4 и прислать уведомление в телеграмм.




Настройка




Для удобства переименовываем названия портов ether1 и ether2 в ether1-wan-main и ether2-wan-reserv




/interface ethernet set ether1 name="ether1-wan-main"
/interface ethernet set ether2 name="ether2-wan-reserv"




Если IP адреса для основного и/или резервного канала прилетают по DHCP, то в настройках DHCP Сlient’а необходимо для каждого интерфейса выставить параметр Add Default Route — no.







Добавляем маршруты по умолчанию, маршрут основного канала будет иметь дистанцию (distance) 1, резервного 2:




/ip route add dst-address=0.0.0.0/0 gateway=100.99.88.1 distance=1 comment="MAIN_CHAN"

/ip route add dst-address=0.0.0.0/0 gateway=10.9.8.1 distance=2 comment="RESERV_CHAN"




где: gateway=100.99.88.1 — шлюз для основного канала, gateway=10.9.8.1 — шлюз для резервного канала. Неактивный маршрут резервного канала будет выделен синим цветом.







Для мониторинга состояния каналов будет задействована утилита Netwatch (Tools -> Netwatch), в качестве хостов наблюдения будут использованы DNS сервера Яндекс, адрес 77.88.8.8 будет использоваться для проверки работоспособности основного канала, 77.88.8.1 — для резервного.




Добавляем отдельные маршруты для проверяемых адресов, что бы проверка шла четко по определенному интернет каналу не зависимо от того через какой канал идет маршрут по умолчанию.




/ip route add dst-address=77.88.8.8 gateway=100.99.88.1 distance=1 comment="Yandex  DNS  -  Check  main  internet  channel"

/ip route add dst-address=77.88.8.1 gateway=10.9.8.1 distance=1 comment="Yandex  DNS  -  Check reserv internet channel"







В Firewall (IP -> Firewall) добавляем запрещающие правила на прохождение пакетов к проверяемым адресам не через свой канал, на случай, если канал отсохнет, то маршрут использующий этот канал станет не активным и будет задействован текущий маршрут по умолчанию. Эти правила необходимо расположить выше правил разрешающих доступ в интернет.




/ip firewall filter add chain=output dst-address=77.88.8.1 out-interface=ether1-wan-main action=reject

/ip firewall filter add chain=output dst-address=77.88.8.8 out-interface=ether2-wan-reserv action=reject







Мониторинг и переключение каналов




Как говорилось выше, в качестве мониторинга будет использоваться утилита Netwatch. Настройка этой утилиты крайне проста, задается хост наблюдения и интервал через какое время необходимо выполнять проверку, при переходе наблюдаемого хоста из состояния Down в состояние Up выполняются скрипты с вкладки UP, при переходе из состояния Up в состояние Down выполняются скрипты с вкладки DOWN.




Для отправки уведомлений в Telegram ботом будет задействована утилита fetch. Как известно боту может быть отправлено сообщение через URL вида https://api.telegram.org/bot[API_KEY]/sendMessage?chat_id=[CHAT_ID]&text=[TEXT]. Подробнее как настроить бота в Telegram описано здесь.




  • [API_KEY] — токен для доступа к HTTP API
  • [CHAT_ID] — ID вашего с ботом чата
  • [TEXT] — отправляемое сообщение




Для проверки основного канала в Netwatch добавляем (Tools -> Netwatch -> +).




Вкладка Host:




  • Host: 77.88.8.8
  • Interval: 00:01:00
  • Timeout: 1000




Вкладка UP:




/ip route enable [find comment="MAIN_CHAN"]
/interface enable v6to4-tunnel
/ip dns cache flush
/interface disable vpn-ovpn
:delay 3s
/interface enable vpn-ovpn
:delay 5s
/tool fetch url="https://api.telegram.org/bot123456789:ABCDEFGHIJKLMNOPQRabcdefghijklmnopq/sendMessage?chat_id=12345678&text=RB4011_Main_channel_is_UP!"
/file remove "sendMessage?chat_id=12345678&text=RB4011_Main_channel_is_UP!";




Вкладка DOWN:




/ip route disable [find comment="MAIN_CHAN"]
/interface disable v6to4-tunnel
/ip dns cache flush
/interface disable vpn-ovpn
:delay 3s
/interface enable vpn-ovpn
:delay 5s
/tool fetch url="https://api.telegram.org/bot123456789:ABCDEFGHIJKLMNOPQRabcdefghijklmnopq/sendMessage?chat_id=12345678&text=RB4011_Main_channel_is_DOWN!"
/file remove "sendMessage?chat_id=12345678&text=RB4011_Main_channel_is_DOWN!";




Каждую минуту происходит проверка хоста с IP адресом 77.88.8.8, как только происходит смена состояния из доступен в недоступен, то начинается обработка скрипта, описанного на вкладке DOWN. Комментарии:




  1. В таблице маршрутизации отключается маршрут с комментарием MAIN_CHAN, это наш основной маршрут с distance=1. Т.к. основной маршрут отключен, то активным становится маршрут с distance=2, у нас он отмечен комментарием RESERV_CHAN, весь трафик пойдет в резервный канал.
  2. Отключается туннель 6to4 т.к. он завязан на внешний IP адрес основного канала.
  3. Сбрасывается DNS cache, т.к. помимо IPv4 трафика используется IPv6 канал и на какие-то ресурсы в кэше будут записи на IPv6 адреса.
  4. Отключается и через 3 секунды включается OpenVPN соединение, перезагрузка сделана на случай более быстрого переключения и избежания подвисаний.
  5. Отправка сообщения в Telegram
  6. После отправки в папке Files создается файл, удаляем его




Аналогичная ситуация происходит на вкладке UP при переходе хоста с IP адресом 77.88.8.8 из состояния Down в состояние Up.




Для проверки резервного канала в Netwatch добавляем (Tools -> Netwatch -> +).




Вкладка Host:




  • Host: 77.88.8.1
  • Interval: 00:01:00
  • Timeout: 1000




Вкладка UP:




/ip route enable [find comment="RESERV_CHAN"]
/ip dns cache flush
/interface disable vpn-ovpn
:delay 3s
/interface enable vpn-ovpn
:delay 5s
/tool fetch url="https://api.telegram.org/bot123456789:ABCDEFGHIJKLMNOPQRabcdefghijklmnopq/sendMessage?chat_id=12345678&text=RB4011_Reserv_channel_is_UP!"
/file remove "sendMessage?chat_id=12345678&text=RB4011_Reserv_channel_is_UP!";




Вкладка DOWN:




/ip route disable [find comment="RESERV_CHAN"]
/ip dns cache flush
/interface disable vpn-ovpn
:delay 3s
/interface enable vpn-ovpn
:delay 5s
/tool fetch url="https://api.telegram.org/botbot123456789:ABCDEFGHIJKLMNOPQRabcdefghijklmnopq/sendMessage?chat_id=12345678&text=RB4011_Reserv_channel_is_DOWN!"
/file remove "sendMessage?chat_id=12345678&text=RB4011_Reserv_channel_is_DOWN!";




Действия в случае неполадок с резервным каналом аналогичные, как и для основного, не затрагивается только 6to4 туннель.




Источник: https://stupidhouse.info/node/18/



2021-03-07T12:46:36
Network

Использование VLAN между двумя марутизаторами MikroTik

В моей домашней сети все устройства, относящиеся к умному дому отселены в отдельную сеть, это не только шлюзы и лампы Xiaomi, а также телевизор, медиа проигрыватель, ресивер, различные Wi-Fi реле и розетки, и, конечно сервер Home Assistant. Это повышает безопасность, устройства локальной сети, кроме избранных, не будут иметь доступ к ресурсам умного дома и соответственно вероятность того, что кто-то случайно или специально выкрутит громкость ресивера на максимум со своего телефона не велика, а беря в руки пульт или прикасаясь к ручке громкости можно получить в лоб этим самым пультом.




Собственно, есть два устройства MikroTik, RB4011 и RB962, оба маршрутизаторы, первый работает как шлюз для доступа в интернет и switch, второй как switch и Wi-Fi точка доступа. В устройствах собрано по два бриджа, для домашней локальной сети и сети умного дома, Wi-Fi точка доступа домашней сети работает в диапазонах 2.4G и 5G, Wi-Fi точка для подключения устройств УД только в 2.4G. Устройства находятся в разных помещениях квартиры и соединены проводом. Что бы не тянуть второй провод и обеспечения передачи трафика обоих сетей между устройствами будут использоваться VLAN’ы, питание на второе устройство будет подаваться по этому же проводу посредствам PoE.







Наверно здесь должно быть описание что такое VLAN’ы, для чего они нужны и как это работает, но этого не будет, считаем, что читатель уже знает, что это такое. Единственное замечание, это то, что описанный ниже способ, является программной реализацией обработки VLAN и вся нагрузка ложится на ЦП.




Настройка первого роутера




Устройство RB4011 имеет десять ethernet портов плюс порт SFP-SFP+. Порт SFP мы рассматривать не будем, в итоге мы должны будем получить следующую конфигурацию:




  • Порт ether1 — интернет (WAN порт), считаем, что интернет на устройстве уже настроен
  • Bridge 18, IP адрес 192.168.18.1, ethernet порты 6 — 9, vlan18 untagged — сеть умного дома
  • Bridge 22, IP адрес 192.168.22.1, ethernet порты 2 — 5, vlan22 untagged — домашняя локальная сеть
  • Порт ether10 — trunk порт на второе устройство, vlan18 tagged, vlan22 tagged




Переименовываем порт ether10 в ether10-trunk, что бы было понятнее:




/interface ethernet set ether10 name="ether10-trunk"




Создаем vlan18 и vlan22 с соответствующими VLAN ID, оба вешаем на порт ether10-trunk, трафик на этом порту будет Tagged.




/interface vlan add name="vlan18" vlan-id=18 interface=ether10-trunk
/interface vlan add name="vlan22" vlan-id=22 interface=ether10-trunk




Создаем бриджи для двух сетей и назначаем им адреса, добавляем порты и VLAN’ы в соответствующие бриджи, трафик на портах бриджа будет Untagged.




/interface bridge add name="bridge18"
/interface bridge add name="bridge22"

/ip address add address=192.168.18.1 interface=bridge18
/ip address add address=192.168.22.1 interface=bridge22

/interface bridge port add bridge=bridge18 interface=ether6
/interface bridge port add bridge=bridge18 interface=ether7
/interface bridge port add bridge=bridge18 interface=ether8
/interface bridge port add bridge=bridge18 interface=ether9
/interface bridge port add bridge=bridge18 interface=vlan18

/interface bridge port add bridge=bridge22 interface=ether2
/interface bridge port add bridge=bridge22 interface=ether3
/interface bridge port add bridge=bridge22 interface=ether4
/interface bridge port add bridge=bridge22 interface=ether5
/interface bridge port add bridge=bridge22 interface=vlan22




Настройка второго роутера




Устройство RB962 имеет пять ethernet портов плюс порт SFP, два WLAN интерфейса, на wlan1 работает 2.4G, wlan2 на 5G, оба задействованы для локальной домашней сети, для сети УД создан дополнительный виртуальный WLAN интерфейс wlan-smarthome работающий на 2.4G. Порт SFP мы, как и ранее, рассматривать не будем, но по необходимости его можно задействовать в своих нуждах. В конечном итоге конфигурация должна быть следующей:




  • Порт ether1 — trunk порт на первое устройство, vlan18 tagged, vlan22 tagged
  • Bridge 18, IP адрес 192.168.18.2, ethernet порты 2 — 5, виртуальный интерфейс wlan 2.4G, vlan18 untagged — сеть умного дома
  • Bridge 22, IP адрес 192.168.22.2, основные wlan интерфейсы 2.4G и 5G, vlan22 untagged — домашняя локальная сеть




Переименовываем порт ether1 в ether1-trunk, что бы было понятнее:




/interface ethernet set ether1 name="ether1-trunk"




Создаем vlan18 и vlan22 с соответствующими VLAN ID, оба вешаем на порт ether1-trunk, трафик на этом порту будет Tagged.




/interface vlan add name="vlan18" vlan-id=18 interface=ether1-trunk
/interface vlan add name="vlan22" vlan-id=22 interface=ether1-trunk




Создаем бриджи для двух сетей и назначаем им адреса, добавляем порты и VLAN’ы в соответствующие бриджи, трафик на портах бриджа будет Untagged.




/interface bridge add name="bridge18"
/interface bridge add name="bridge22"

/ip address add address=192.168.18.2 interface=bridge18
/ip address add address=192.168.22.2 interface=bridge22

/interface bridge port add bridge=bridge18 interface=ether2
/interface bridge port add bridge=bridge18 interface=ether3
/interface bridge port add bridge=bridge18 interface=ether4
/interface bridge port add bridge=bridge18 interface=ether5
/interface bridge port add bridge=bridge18 interface=wlan-smarthome
/interface bridge port add bridge=bridge18 interface=vlan18

/interface bridge port add bridge=bridge22 interface=wlan1
/interface bridge port add bridge=bridge22 interface=wlan2
/interface bridge port add bridge=bridge22 interface=vlan22




Теперь весь трафик, исходящий с устройства подключенного к RB962 направленный на устройство, подключенное к RB4011 сначала попадает в бридж, далее в порт ether1-trunk, тегируется соответствующим VLAN ID, попадает в порт ether10-trunk на RB4011, снимается тег VLAN ID, попадает в соответствующий бридж и затем в устройство назначения.




Настройка Firewall описана не будет, т.к. это уже материал для отдельной статьи.




Источник: https://stupidhouse.info/node/15



2021-03-07T01:25:37
Network

MikroTik – подключение флэшки.

Рассмотрим способ организации общей сетевой папки небольшого размера, расположенной на флэшке. Для этих целей используется роутер MikroTik Rb750Gr3 с прошивкой 6.47.7 и самая обычная флэшка на 8Gb.

Освоить MikroTik Вы можете с помощью онлайн-куса
«Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Базовая настройка роутера выполнена по этой инструкции.

Вставляем флэшку в USB разъем на корпусе роутера.

 

Входим в меню MikroTik через WinBox и переходим на вкладку Files.

В списке файлов видим все содержимое флэшки. Кирилический алфавит не воспроизводится.

Переходим в раздел меню System >> Disks

Видим отсутствие дисков.

 

Вводим команду в терминале.



Видим, что диск все таки есть, но не отображается.

Можно вывести список файлов на диске



 

Отформатируем флэшку в Fat32. Для этого сперва нужно отсоединить ее, указав номер диска, в данном случае 0.



Далее вводим команду.



Начнется форматирование флэшки.

Когда мы увидим надпись formatted: 100% можно еще раз вывести список дисков командой



После этих действий флэшка начала корректно отображаться в графическом интерфейсе.

Для форматирования в графическом интерфейсе последовательность такая же, как и в командном терминале: сперва нажимаем Eject Drive, затем Format Drive. Далее выбираем диск, файловую систему, метку и нажимаем старт.

*форматирование не является обязательным действием если файловая система fat32 или ext3

 

Общий доступ через SMB.

 Активация SMB.

Переходим в 1 IP >> 2 SMB

Выполняем следующие настройки:

3.Enable – отмечаем галочкой (активация SMB).

4.Domain: WORKGROUP имя локальной сети или домена.

5.Comment: комментарий.

6.Allow Guests: разрешение для доступа гостей (в нашем случае отключено, т.к. папка нужна для админов).

7.Interfaces: bridge1 (мост в котором 4 порта локальной сети).

8.Нажимаем кнопку Apply для сохранения настроек.

Через командную строку терминала:



 

Настройка общей папки.

В окне SMB Settings нажимаем кнопку Shares и на + создаем новую общую папку.

1.Name: share1 – имя латинскими буквами, можно оставить по умолчанию.

2.Directory: disk1/PC360 путь к будущей общей папке и ее название.

(Max Sessions – максимальное количество подключений.)

3.Нажимаем кнопку ОК.

Через командную строку терминала:



В списке файлов появится созданная папка.

 

Настройка пользователей.

В окне SMB Settings нажимаем кнопку Users и выполняем настройки.

1.Нажимаем +

2.Name: admin111 (имя пользователя латинскими буквами)

3.Password: 12345Password (пароль доступа)

4.Read Only – убираем галочку (будет разрешено чтение и запись).

5.Нажимаем ОК.

Через командную строку терминала:



 

Проверим наличие общей папки в сети.  В адресной строке ПК вводим IP-адрес роутера в локальной сети. Папка видна в общем доступе.

К общей папке имеют доступ только те пользователи, которые правильно введут учетные данные.

Так же к папке можно подключиться по ftp. Вводим в адресной строке IP-адрес роутера с ftp префиксом ftp://192.168.111.1  затем вводим логин и пароль администратора роутера (НЕ от созданного пользователя SMB). Видим общую папку. Для доступа можно использовать сторонние программы, например Total Commander.

*в меню роутера должен быть активирован доступ по ftp (IP >> Services >> ftp), обычно он активирован по умолчанию

Освоить MikroTik Вы можете с помощью онлайн-куса
«Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.



2021-02-21T13:20:44
Настройка ПО

How to Secure MikroTik RouterOS Login Users

MikroTik RouterOS usually sits between WAN and LAN of any network. WAN network is always an insecure network because attackers always try to hack RouterOS so that they can compromise it for their own benefit. If any hacker can compromise MikroTik RouterOS, he can damage RouterOS as well as associated network. As a network administrator, we should always take anti hacking steps to secure MikroTik RouterOS. There are a lot of security tasks those we should take care to harden MikroTik RouterOS. Among these security tasks, we studied how to secure RouterOS login services which are enabled by default. In this article, we will see how to secure MikroTik RouterOS login users from being hacked easily.




Why Do We Need to Harden Login Users?




Because hackers usually try to login RouterOS using username and password if they don’t exploit any vulnerability in RouterOS Firmware. So, we have to harden login users as much as possible so that hackers cannot guess username and password so easily. There are various techniques to harden login users in MikroTik RouterOS. In the following sections we will see some best practices to harden MikroTik RouterOS login users.




Removing Default Username and Password




Default username and password is a common vulnerability to any application because by default any application comes with a default username and password to access it first time so easily. Default username and password is usually known by anyone including hackers and we often forget to remove or modify default username and password. Hackers or any tool (used to login to any application) use default username and password at first to compromise it.




Like other application MikroTik RouterOS comes with a default username admin and black password. As admin user is known to all, it is best practice to remove admin user from RouterOS so that none can use admin user to login MikroTik RouterOS. However, if you wish to keep admin user anyway, don’t forget to set a strong password for admin user. It will also be better to limit admin user access from specific IP addresses.




Making Strong Password for Write and Full Permission Users




Hackers usually do brute forcing using various tools to discover username and password of RouterOS. Tools usually use character combination to find used username and password. So, if we use strong username and password combination, it will take so much time to disclose username and password of RouterOS.






MikroTik RouterOS has three types of login users. These are read, write and full permission user. Read permission users cannot do anything in RouterOS configuration. But can read anything. So, we should be careful enough to set strong username and password for read permission user. Write permission users can alter RouterOS configuration. So, we should be more careful to set strong username and password for the write permission users. It will also be best practice to limit write permission user access from specific IP addresses. Full permission users can do anything in RouterOS. So, we should pay special care to set strong username and password for the full permission users. Never forget to limit full permission user access from specific IP addresses.




Login user can easily be made strong by using long character username and password. It is best practices to use password more than 10 characters long and to use character, numeric and alpha numeric values in password.




Applying User Access from Specific IP Address




MikroTik RouterOS has an awesome feature to limit user access from specific IP address. If we apply IP based user access restriction, user will only be able to login from specific IP addresses. So, user will be secure and hackers will hardly be able to login using user credential.




It is best practice to enable IP based user access for the full permission users and also write permission users. The following steps will show how to apply IP based user access in MikroTik RouterOS.







  • Login MikroTik Router using Winbox with full permission user.
  • Go to System > Users menu item. User List windows will be appeared.
  • Click on Users tab and then double click on any user who will be restricted by IP address. User property window will be appeared.
  • From user property windows, click on Allowed Address input box and put your desired IP Address or IP Block from where user will be permitted.
  • Click Apply and OK button.




Applying IP Based User Access in MikroTik RouterOS
Applying IP Based User Access in MikroTik RouterOS




The user will now be restricted and can only be accessible from the desired IP address. Similarly we can enable IP based access for the other users.




Besides enabling IP based user restriction we should be careful enough to restrict login services from specific IP address. Then, MikroTik RouterOS will be more harder but don’t forget to write down applied restriction. If you forget your applied policy, you will never access RouterOS.




How to secure MikroTik RouterOS login users by enabling IP based user access has been discussed in this article. I hope, you will now be able to harden RouterOS login users from the hackers and keep safe. However, if you face any confusion to apply IP based user restriction, feel free to discuss in comment or contact me from Contact page. I will try my best to stay with you.



2021-02-19T12:09:34
MikroTik RouterOS Hardening Guidelines

Лучшие Wi-Fi роутеры для дома и дачи

Жизнь без интернета уже невозможно представить. И 3G уже не всегда справляется со своими функциями, а при повышенных требованиях и вовсе перестает исправно работать. Поэтому для получения стабильного сигнала используют Wi-Fi роутер. И вот тут появляется другая проблема! Как выбрать из этих устройств то, которое подходит по качеству, функционалу и стоимости? Читать

Hardening MikroTik RouterOS by Limiting Login Services

MikroTik RouterOS is usually used as a bridge between WAN and LAN network. WAN network is always an insecure network because attackers always try to hack your RouterOS so that they can compromise it for their own benefit. As a network administrator of MikroTik RouterOS, we should always take anti hacking steps to secure our MikroTik RouterOS. There are a lot of security tasks those we should take care to secure our MikroTik RouterOS. Among these security tasks, we will see how to harden MikroTik RouterOS by limiting login services which are enabled in MikroTik RouterOS by default.




Default Login Services in MikroTik RouterOS and Its Security




By default MikroTik RouterOS enables some login services to access Router RouterOS for administration purpose. These services are api, ftp, ssh, telnet, winbox and www. We don’t usually use all these services. So, we should always disable all the unused services because hackers usually do brute forcing using these services to compromise MikroTik RouterOS.




Among these login services, some services (api and www) use both SSL and Non-SSL port. Never use Non-SSL port from the WAN because Non-SSL port sends plain text data. So, it has a good chance to leak your login credentials by the middle-man attackers. It is also better not to use Non-SSL ports from the LAN.






MikroTik RouterOS by default enable Telnet but telnet is a so insecure protocol. So, it is a good practice to disable telnet as soon as possible and never use telnet from LAN or WAN. But if we wish can use telnet from the direct connection to MikroTik Router.




MikroTik RouterOS provides facility to harden login services based on IP address. So, it is always a good practice to enable login service access from any specific IP address. If we apply login service access based on IP address, hackers from the WAN will always be denied to access login services and hence, RouterOS will be more secure.




The following image is an example of good practice to harden MikroTik RouterOS login services.




Hardening MikroTik RouterOS Login Services
Hardening MikroTik RouterOS Login Services




Some MikroTik RouterOS administrators modify login service ports with any free unused port. But it has disadvantages too because you may forget your modified port number and will be unable to login MikroTik Router until remembering the assigned port number. Again, it is so easy to hackers find modified ports and services using some network and service discovery tools. So, I think it is unnecessary to modify service port to harden MikroTik RouterOS login services rather it will be smart decision to limit login services access from specific IP addresses which will be discussed later in this article.




How to Disable MikroTik RouterOS Login Services




MikroTik RouterOS by default enables all the possible login services. But it is a good practice to disable all the unused login services those we don’t use for login. The following steps will show how to disable any login service in MikroTik RouterOS to make it harden.






  • Login MikroTik Router using Winbox with full permission user credential.
  • Go to IP > Services menu item. IP Service List window will appear where all the login services will be listed.
  • Right click on a service (example: telnet) which you want to disable.
  • From the appeared drop down menu, click on disable option. Desired login service will be disabled now.




Disabling Unused Login Services in MikroTik RouterOS
Disabling Unused Login Services in MikroTik RouterOS




Similarly we can disable any other login service easily following the above steps properly. So, don’t forget to disable any unused login service in MikroTik RouterOS. In the next section we will learn how to limit login service access from any specific IP address.




Limiting Login Services from Specific IP Addresses




Limiting login services based on IP addresses makes your RouterOS more harder. So, those services which you are keeping enabled must be limited from specific IP addresses. It will keep your MikroTik Router isolated from the rest of the world because RouterOS will only allow login from the assigned IP addresses and deny all other IP addresses. The following steps will show how to limit login service access from specific IP addresses.






  • From Winbox, go to IP > Services menu item. IP Services List window will appear where all the services provided by RouterOS will be listed.
  • Double click on any desired enabled login service which you want to apply access limit from specific IP address. IP Service window will appear.
  • Put IP addresses or network (example: 192.168.10.0/24) from where you want to access RouterOS in Available From input box.
  • Click Apply and OK button.




Limiting Login Services from Specific IP Address
Limiting Login Services from Specific IP Address




Now your desired login service will only be available from the assigned IP addresses. Similarly we can limit any other login service which is enabled from specific IP address and can make RouterOS more harder.




Hardening MikroTik RouterOS by limiting default login services has been discussed in this article. I hope you will now be able to harden your MikroTik Router by limiting login service access properly. However, if you face any confusion to limit login services following the above steps, feel free to discuss in comment or contact me from Contact page. I will try my best to stay with you.



2021-02-06T21:02:32
MikroTik Router Tutorials & Guides