Как подключиться к микротику через winbox
Перейти к содержимому

Как подключиться к микротику через winbox

  • автор:

Для начинающих:Варианты подключения к маршрутизатору

В статье рассматриваются варианты подключения к устройствам MikroTik: WinBox, WebFig и консольный доступ. Разбираются преимущества и недостатки каждого из способов подключения.

Первое подключение

После того как вы установили операционную систему RouterOS на ПК либо включили роутер, у вас будет несколько способов для подключения к нему:

  • Доступ через интерфейс командной строки (CLI или консоль) посредством SSH, Telnet, кабеля для подключения к серийному порту или через клавиатуру, мышь и монитор если в вашем устройстве (в случае установки RouterOS на компьютер) имеется VGA карта.
  • Доступ через программу управления WinBox.
  • Доступ через веб интерфейс (WebFig).

На каждом роутере по умолчанию для внутренней сети используется IP-сеть 192.168.88.0/24. На некоторых моделях порт ether1 в начальной конфигурации является внешним (WAN) портом, настроен как DHCP-клиент и подключение через него невозможно. Более подробно о настройках по умолчанию для каждой модели вы можете узнать на странице настройки оборудования по умолчанию .
Как правило, по умолчанию, используются следующие настройки:
IP-адрес: 192.168.88.1
Логин: admin
Пароль: отсутствует
Подключение с помощью MAC-Telnet описано здесь.

Полезные материалы по MikroTik

Углубленный курс "Администрирование сетевых устройств MikroTik" Онлайн-курс по MikroTik с дипломом государственного образца РФ. Много лабораторных работ с проверкой официальным тренером MikroTik. С нуля и до уровня MTCNA. 
На Telegram-канале Mikrotik сэнсей можно получить доступ к закрытой информации от официального тренера MikroTik. Подписывайтесь 

Варианты подключения к маршрутизатору

Существует три основных способа подключения к устройству MikroTik:

  1. WebFig — веб-интерфейс
  2. WinBox — подключение с помощью специально утилиты
  3. Консольное подключение — подключение с помощью протоколов SSH или Telnet

Web интерфейс (WebFig)

Утилита осуществляющая управление RouterOS через web-интерфейс называется WebFig. С помощью нее вы можете просматривать, управлять и диагностировать состояние маршрутизатора. Доступ осуществляется через обычный Интернет-браузер. Вам необходимо ввести адрес маршрутизатора, далее ввести учетные данные и вы попадете на страницу быстрой настройки. Общий вид интерфейса представлен на изображении ниже. Смена вариантов оформления доступна только в этом способе управления.

Веб-интерфейс WebFig маршрутизаторов MikroTik

Приложение (Winbox)

Winbox — это утилита позволяющая управлять Mikrotik RouterOS используя простой и доступный графический интерфейс. Это оригинальное Win32 приложение, поэтому под Linux или MacOS оно может быть запущено только с использованием Wine. Приложение может быть загружено как с раздела загрузок сайта разработчика http://www.mikrotik.com/download , так и с самого маршрутизатора (если вы перейдете в браузере по его IP адресу — ссылка на загрузку будет на странице приветствия и внутри web интерфейса). Подключиться к маршрутизатору вы можете используя IP адрес, а также mac адрес. Подключение с помощью MAC-адреса чаще всего используется, если IP-адрес маршрутизатора не известен либо он отсутствует.

Общий вид утилиты WinBox

Консоль

Доступ к консоли может осуществляться средствами — серийного порта, telnet, SSH или окна терминала в приложении Winbox. Подключиться к консоли через серийный порт, telnet или SSH можно с помощью клиента Putty.

Общий вид консольного интерфейса маршрутизаторов MikroTik

Параметры для подключения через серийный порт(для всех моделей кроме RouterBOARD 230):

115200bit/s, 8 data bits, 1 stop bit, no parity, flow control=none by default.

Параметры для подключения через серийный порт(для модели RouterBOARD 230):

9600bit/s, 8 data bits, 1 stop bit, no parity, hardware (RTS/CTS) flow control by default.

Способы настройки

Вручную

Вы можете настраивать роутер через через графический интерфейс c помощью веб-интерфейса WebFig или приложения Winbox. Либо через через консоль, подключившись к маршрутизатору с помощью SSH, Telnet и т. д. либо запустив окно терминала из WinBox.
Начинающим специалистам в процессе освоения, как правило, удобнее работать с графическим интерфейсом, но по мере накопления опыта приходит понимание того, что настройка через командную строку происходит на много быстрее.

С помощью файлов конфигурации

Вы можете использовать заранее настроенный конфигурационный файл для быстрой настройки маршрутизатора.

Полезные материалы по MikroTik

Углубленный курс "Администрирование сетевых устройств MikroTik" Онлайн-курс по MikroTik с дипломом государственного образца РФ. Много лабораторных работ с проверкой официальным тренером MikroTik. С нуля и до уровня MTCNA. 
На Telegram-канале Mikrotik сэнсей можно получить доступ к закрытой информации от официального тренера MikroTik. Подписывайтесь 

Для начинающих:WinBox

WinBox – это приложение для управления устройствами на базе Mikrotik RouterOS, использующее легкий для системы и простой для пользователя интерфейс. WinBox выпускается только для Windows, но также возможен запуск утилиты с помощью эмуляторов под Linux или MacOS.

Ссылки на загрузку

Скачать последние версии WinBox для Windows можно по этим ссылкам:

  • Cкачать WinBox 32-х битную версию
  • Cкачать WinBox 64-х битную версию

Версии WinBox под другие операционные системы не существуют. Перед использованием утилиты MikroTik WinBox рекомендуем изучить информацию, которая приведена ниже в этой статье.

Окно входа

Приложение может быть загружено как с раздела загрузок сайта разработчика http://www.mikrotik.com/download , так и с самого маршрутизатора (если вы перейдете в браузере по его IP адресу — ссылка на загрузку будет на странице приветствия и внутри web интерфейса). Подключиться к маршрутизатору вы можете используя IP-адрес, а также MAC-адрес. Подключение с помощью MAC-адреса чаще всего используется, если IP-адрес маршрутизатора не известен либо он отсутствует.

После первого запуска вы уведите окно входа которое изображено на приведенном ниже скриншоте. На нем цифрами обозначены кнопки:

Окно входа в WinBox 1

  1. Add/Set — сохраняет параметры подключения в список вкладки Managed, которая находится внизу
  2. Connect To RoMON — подключение к RouterOS по протоколу RoMON
  3. Connect — подключение к RouterOS с текущими параметрами
  4. Neighbors — переключение на вкладку обнаружения устройств в локальной сети
  5. Set Master Password — защищает паролем доступ к списку сохраненных подключений во вкладке Managed

На следующем скриншоте изображено окно входа после переключение c вкладки Managed на вкладку Neighbors. Нажимая на поля MAC(цифра 2) или IP(цифра 3) у определенного узла на вкладке Neighbors вы нажатием подставляете этот адрес в поле Connect To(цифра 1). Клавиша Refresh(цифра 4) служит для обновления списка видимых в сети устройств.

Окно входа в WinBox 2

Основное окно

Основное окно после входа через WinBox

На скриншоте «Основное окно» вы видите 2 варианта основного окна — при подключении по MAC (цифры 1,3) или IP адресу (цифры 2,4). Так же кроме MAC или IP адреса заголовок окна содержит следующую информацию:

Под цифрой 5 обозначен статус элемента, для расшифровки обозначения, наведите курсор мыши на обозначение.
Под цифрой 6 показан пример выключенного элемента.
Под цифрой 7 показано обозначение измененного элемента(подсветка синим цветом).
Под цифрой 8 показан пример инверсии значения(логическое отрицание).
Под цифрой 9 обозначена кнопка Safe mode — она включает «Безопасный режим» — после его активации система следит за связью между WinBox и RouterOS и в случае, если ваши действия привели к потере связи откатит изменения назад.

Описание основных кнопок

Внутри отдельного раздела(можно еще назвать его — модулем)вы можете быстро менять вид элементов и осуществлять поиск или отображать элементы относящиеся только к определенной группе(на скриншоте показан выбор из выпадающего меню, всех маршрутов входящих в группу main).

Сортировка отображаемых элементов

Пример фильтра настраиваемого через WinBox

Пример того как быстро отфильтровать маршруты которые будут соответствовать диапазону адресов 10.0.0.0/8 :

  1. Нажмите кнопку Sort
  2. Выберете пункт Dst.Address в выпадающем списке
  3. Выберете пункт in. in — означает что искомый критерий будет лежать внутри какого-либо диапазона
  4. Введите искомое значение сети(в нашем примере 10.0.0.0/8)
  5. Эти кнопки добавляют или удаляют дополнительные фильтры
  6. Нажмите Filter чтобы применить фильтр.

Как вы можете увидеть на скришоте — элементы остортировались по заданному нами фильтру.

Оператор сравнения(номер 3 на скришноте) может быть задан различными логическими значениями. Для примера окно «Ip Route» имеет только два — is и in. Другие окна могут содержать значения — is not, contains, contains not.

Вы можете добавлять (они будут суммироваться) и удалять фильтры — цифра 5 на скриншоте.

Настройка списка отображаемых столбцов

Настройка списка отображаемых столбцов через WinBox

Winbox позволяет настроить отображение столбцов для каждого окна. Например для окна «Route List» добавим столбец «BGP AS path column»:

  1. Кликните на черную стрелку вниз (1) с правой стороны от строки с заголовками столбцов или щелкните правой кнопкой мыши на списке окна (в данном примере списке маршрутов)
  2. В выпадающем меню выберете Show Columns (2) и в выпадающем подменю выберете желаемый столбец для включения (или выключения) — в нашем примере это BGP AS Path (3)

Сделанные настройки будут сохранены для текущего и всех будущих запусков Winbox.

Подробный вид

Включение опции

Режим в котором все строки окна отображают детальную информацию о каждом элементе окна, называется — Detail mode.

Для включения этого режима кликните на списке элементов правой кнопкой и в выпадающем меню выберете Detail mode.

Группировка по категориям

Вы можете включить режим отображения элементов по категориям.

Группировка по категориям в WinBox

Drag & Drop

Вы можете использовать механизм «Бери и брось» (способ копирования файлов жестом перетягивания файлов мышью), как в семействе операционных систем Windows. В Linux и Mac OS эта функция недоступна.

Перетаскивание & Вставка в WinBox

Мониторинг трафика

Winbox может быть использован как инструмент по мониторингу трафика на каждом интерфейсе, очереди или правиле фаервола в режиме реального времени.

Мониторинг трафика через WinBox

Копирование элементов

Рассмотрим как просто копировать элементы в Winbox. В этом примере, мы будем использовать COPY чтобы преобразовать Динамический PPPoE server в Статический интерфейс.

Этот скриншот показывает начальное состояние, видим буквы DR, «D» означает Dynamic (Динамический):

Копирование элементов в Winbox

Два раза кликнув на интерфейс и кликните на кнопку COPY:

Копирование элементов в Winbox

Появится окно нового интерфейса, новое имя будет задано автоматически (в нашем случае pppoe-in1)

Копирование элементов в Winbox

После этого при выключении/включении этот интерфейс будет Static (статическим):

Копирование элементов в Winbox

Сохранение настроек

Сохранение списка управляемых маршрутизаторов — в меню File используйте пункт Save As и Открыть для сохранения списка управляемых маршрутизаторов в файл и импорта его на новый компьютер соответственно.

Передача сессии маршрутизатора — в меню Tools, используйте пункт Export и Import для сохранения существующих сессий в файл и импорта его на новый компьютер соответственно.

Известные проблемы

Winbox не подключается к роутеру по IP адресу

Проверьте, что Windows Firewall (или иной брендмауэр) работающий у вас не блокирует WinBox.

У вас появилась ошибка ‘(port 20561) timed out’ когда вы пытаетеся подключиться к роутеру по mac адресу

Windows (7/8) не позволяет установить mac соединение если функция «file and print sharing» (включить общий доступ к файлам и принтерам) выключена.

Полезные материалы по MikroTik

Чек-лист по настройке MikroTik Проверьте свою конфигурацию по 28-ми пунктам. Подходит для RouterOS v6 и v7. Дата публикации: 2023. 
На Telegram-канале Mikrotik сэнсей можно получить доступ к закрытой информации от официального тренера MikroTik. Подписывайтесь 

Видеоуроки

Вы можете изучить настройку MikroTik и WinBox с помощью приведенных ниже видеороков из курса про который написано выше.

Подключение к Микротику через Winbox

Хочу разобрать, казалось бы банальную тему использования стандартной программы для управления роутерами. Речь пойдет об использовании утилиты Winbox для подключения, управления и настройки роутеров Mikrotik. Несмотря на то, что простой доступ через Winbox не требует каких-то особых настроек, тем не менее с работой этой утилиты есть много нюансов.

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курcе по администрированию MikroTik. Автор курcа, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.

Доступ к Mikrotik через Winbox

Содержание

Данная статья является частью единого цикла статьей про Mikrotik.

Введение

Отличительной особенностью роутеров Mikrotik от многих производителей сетевого оборудования является фирменная утилита для настройки устройств — Winbox. Я сразу обратил на это внимание, когда первый раз познакомился с микротиками. По первости глаза разбегаются, когда подключаешься через нее к устройству, но если немного освоишься, то понимаешь ее удобство. Несмотря на то, что я могу все, что необходимо, настроить через cli, чаще всего делаю это через winbox.

Особенно удобно, когда надо что-то продебажить. Можно открыть несколько окон внутри программы — тест скорости, список правил firewall для наблюдения за счетчиками, torch для анализа трафика и до кучи график загрузки сетевого интерфейса.

Winbox

И все это доступно во всей линейке оборудования, даже в самых бюджетных моделях. Вам известно что-то подобное у других производителей в ценовой категории 50-150$? Мне лично нет, но тут я могу заблуждаться. Если у каких-то вендоров есть что-то похожее на Winbox, было бы любопытно узнать об этом.

Где скачать Winbox

Качать winbox последней версии надо строго с официального сайта — https://mikrotik.com/download.

Скачать winbox

Делаю на этом акцент, потому что одно время при поиске утилиты в поисковиках на первом месте были другие сайты. Кто-то подсуетился и сделал отдельные сайты под этот поисковой запрос. В итоге они были выше основного сайта вендора. Сейчас это уже пофиксили, но вот подобные примеры.

Фейковые сайты mikrotik

Так же напоминаю, что сайт mikrotik.ru к самой компании Микротик не имеет никакого отношения. Им просто удалось зарегистрировать этот домен и открыть на нем магазин оборудования. Причем продают они устройства разных вендоров. Часто этот сайт очень хорошо ранжируется и может вводить в заблуждение относительно его принадлежности к латвийской компании.

Отдельно добавлю, что версии winbox на русском языке не существует. Как и не существует интерфейса управления в ней с русским языком. И это очень хорошо, так как не происходит недопонимания и двойственности в трактовании и переводе одних и тех же настроек. Англоязычное it сообщество намного больше русскоязычного, поэтому удобнее искать что-то сразу на английском языке. Больше шансов найти информацию.

Winbox для MacOS и Linux

Это может показаться удивительным, но нативного приложения Winbox под Mac или Linux просто не существует. Я не разбираюсь в портировании программного обеспечения в другие операционные системы, поэтому не могу судить, почему дело обстоит именно так. Возможно есть какие-то объективные причины того, почему разработчики Mikrotik не выпускают отдельную версию winbox под Linux или Mac.

Так что у вас не очень много вариантов работы с winbox, если ваша OS не Windows:

  1. Использовать для этого отдельную виртуальную машину с Windows.
  2. Использовать Wine.

Для маков существует проект на github — winbox-mac, который позволяет запускать утилиту winbox на macos. Под капотом там обычное виндовое приложение в комплекте с wine. Из-за этого весит эта штуковина более 300 Мб.

Для запуска winbox в linux придется сначала установить wine, а затем запустить виндовую утилиту через нее. Каких-то особых заморочек с этим нет. Все работает сразу без дополнительных настроек. Главное wine поставить. В Ubuntu:

# apt install wine-stable # wine winbox.exe

В Centos надо подключить репозиторий epel:

# dnf install epel-release # dnf config-manager --set-enabled PowerTools # dnf install wine # wine winbox.exe

Либо можете воспользоваться готовым проектом, где все собрано в одном месте — winbox-installer.

Важный нюанс. При запуске winbox в mac или linux у вас не будет работать Drag & Drop файлов. Это не ошибка, wine просто не поддерживает этот режим.

Как подключиться к Mikrotik через Winbox

Итак, утилиту мы скачали. Теперь рассмотрим варианты подключения к Mikrotik через Winbox. Тут проявляется еще одна очень полезная фишка микротиков. Если ты находишься с ним в одном широковещательном домене, то можно подключиться напрямую, используя mac адрес. Поясню для тех, кто не очень разбирается в теории сетей, о чем тут идет речь.

Расскажу по-простому. Единый широковещательный домен это как-будто вы подключены к микротику через общий свитч. Ваше соединение с ним осуществляется на канальном, втором уровне модели OSI. То есть вам не нужно ничего знать про ip адреса друг друга. Вы можете найти друг друга широковещательным запросом, а свитч вас соединит.

Такая возможность часто спасает, когда вы ошиблись в каких-то настройках ip адреса, или на фаерволе случайно закрыли себе доступ. Вы можете обойти ошибки на уровне ip, подключившись напрямую по mac адресу. Выглядит это следующим образом:

Как подключиться к Mikrotik через Winbox

С помощью широковещательного запроса winbox обнаружил все доступные устройства Mikrotik в своем сегменте сети и получил возможность подключиться напрямую по mac адресу. Сразу скажу, что такое соединение менее стабильно, чем по ip. Вытекает это из особенностей протоколов подключения.

При подключении по IP адресу с помощью протокола TCP, осуществляется проверка целостности пакетов и подтверждение их доставки. При подключении по MAC этого не происходит, поэтому подключение менее стабильно. Это объясняет, почему во время подключения по mac часто происходит обрыв соединения и отключение от устройства. В общем случае лучше подключаться по ip адресу.

Когда мне приходилось удаленно настраивать Микротики, я всегда старался оставить себе возможность подключиться к устройству напрямую по mac. Понятно, что это не всегда получится и не всегда спасет, если ты по ошибке отключишь интернет. Но если была возможность подстраховаться, я ее использовал.

В общем случае для подключения по winbox достаточно убедиться в том, что включена соответствующая служба. Проверить это можно в разделе IP -> Services.

Подключение через winbox по ip

Если здесь отключить службу winbox, подключение через эту утилиту будет невозможно.

Доступ к Микротик из интернета

Иногда нужно настроить доступ к микротику снаружи, то бишь через незащищенное соединение по интернету. Без крайней необходимости я не рекомендую этого делать. Уже не раз в routeros находили уязвимости, в результате чего удаленное подключение к Mikrotik оказывалось огромной дырой в безопасности. В конечном счете это приводило к заражению устройства и использование его в качестве участника ботнета или открытого прокси сервера.

Для подключения к Mikrotik по умолчанию Winbox использует TCP PORT 8291. Соответственно, для доступа снаружи, вам необходимо открыть этот порт на Firewall. Я в обязательном порядке рекомендую защитить подобное соединение одним из двух предложенных мной в отдельных статьях способов:

  1. Защита подключения через Winbox с помощью firewall. Там я рассматриваю ограничение доступа по winbox к микротику на уровне белых списков ip адресов, с которых разрешены подключения.
  2. Port knocking в Mikrotik для защиты Winbox. В этом случае доступ возможен с любых ip адресов, но при выполнении определенных действий.

Еще раз подчерку — используйте какую-то защиту. Не оставляйте порт для winbox доступный напрямую через интернет без каких-либо ограничений. Делайте это либо одним из предложенных мной способов, либо открывайте доступ извне по winbox только через vpn.

Запретить доступ по Winbox

Рассмотрим теперь, как нам запретить подключение к микротику через winbox. Для начала запретим доступ по MAC адресу. Делайте это аккуратно, так как не настроив ip адрес и запретив доступ по mac, вы не оставите себе никакой возможности управлять роутером. Ему придется сбрасывать настройки.

Для запрета подключения по mac необходимо перейти в раздел Tools -> MAC Server и нажать на кнопку MAC WinBox Server.

Настройка доступа по mac

Здесь вы можете выбрать списки интерфейсов, с которых разрешено подключение по MAC. Чтобы его запретить, надо выбрать none.

Запретить доступ через Winbox

После этого подключиться по mac адресу с помощью winbox будет невозможно.

ERROR could not connect to 0A:42:E1:73:0D:6E

Собственные списки интерфейсов можно создать в разделе Interfaces, вкладка Interface List.

Для того, чтобы микротик вообще отсутствовал в списке устройств winbox, необходимо отключить службу Neighbor List. Для этого идем в раздел IP -> Neighbors и приводим настройки к следующему виду.

Отключение обнаружения по мак адресу

После этого устройство не даст себя обнаруживать в локальной сети. С запретом доступа по MAC разобрались, теперь запретим и все остальные подключения. Для этого есть 2 способа:

  1. Отключить службу Winbox.
  2. Закрыть tcp порт 8291 на firewall.

В первом случае отключаем службу.

Отключение службы Winbox

Во втором добавляем правило в firewall.

# ip firewall filter add action=reject chain=input dst-port=8291 protocol=tcp

Подробнее про настройку firewall читайте отдельную статью. Здесь не буду на этом останавливаться.

На этом по запрету доступа через Winbox все. Рассмотрел все возможные варианты блокировки подключения.

Почему winbox не видит Mikrotik по mac

Рассмотрим теперь ситуации, когда Микротик не виден в Winbox. Как я уже рассказывал выше, на микротике может быть банально отключена служба, которая отвечает на запросы по mac адресу. В таком случае, он не будет виден в списке найденных устройств. При этом, если вы знаете mac адрес микротика, вы сможете ввести его вручную и подключиться. Проверить, на каких интерфейсах вы можете обнаружить свой микротик по mac, можно в разделе IP -> Neighbors.

Winbox не видит Mikrotik по mac

В данном примере микротик виден по mac на всех интерфейсах, кроме динамических. Так же некоторые новички не понимают, что для доступа по mac вы должны быть с устройством в одном широковещательном домене. Подробно я уже об этом рассказал в самом начале. Если между вами есть маршрутизатор, который работает на третьем уровне модели osi, вы не увидите друг друга по мак адресу. Это невозможно технически. В общем случае, конечно.

На некоторых устройствах прописан мак адрес порта на самом устройстве. Если не получается обнаружить микротик в сети, попробуйте вручную вбить этот адрес порта и подключиться напрямую. Только опять же, убедитесь, что вы с этим портом подключены в один и тот же свитч.

Иногда проблему с видимостью микротика по мак адресу можно решить просто удалив кэш winbox на компьютере. Можно на время переименовать папку C:\Users\user\AppData\Roaming\Mikrotik\Winbox, перезапустить утилиту и еще раз попробовать выполнить поиск соседей.

И еще одну проблему знаю, когда никак не получалось подключиться к одному очень старому микротику. Как оказалось, для него нужно было скачать какую-то старую версию winbox. И только через эту версию по mac адресу, введя его вручную, можно было подключиться к устройству.

Шифрование сохраненных паролей

По умолчанию, Winbox все свои настройки, в том числе пароли доступа, хранит в открытом виде в директории C:\Users\user\AppData\Roaming\Mikrotik\Winbox. Очевидно, что это очень плохо, так как завладев этими файлами, можно получить доступ ко всем устройствам, которые находятся в списке подключений. Достаточно просто скопировать содержимое директории winbox на другой компьютер, запустить утилиту и подключиться по любому соединению с сохраненным паролем.

Где winbox хранит настройки

Для того, чтобы защитить свои сохраненные пароли, используйте шифрование. Для этого нажимайте кнопку Set Master Password на главном экране Winbox и указывайте пароль.

Шифрование настроек и паролей

После этого доступа к сохраненным паролям не будет без введения Master Password, так что можно не бояться за сохранность файлов winbox в профиле пользователя. Я очень долгое время не задумывался о сохранности паролей, пока мне один знакомый не показал, как легко и просто забрать все мои сессии и получить доступ к устройствам.

Так что я настоятельно рекомендую всегда использовать Master Password и делать его длинным. Современные майнинговые фермы с кучей видеокарт сильно упрощают brute force не очень сложных паролей.

Заключение

Я постарался разобрать все известные мне нюансы подключения к Mikrotik по Winbox. Некоторые вещи я вообще не знал и не задумывал о них долгое время работы с устройствами. Например, только недавно я разобрал тему с подключением по mac. Узнал, как им управлять, ограничивать, запрещать и т.д. До этого просто не обращал на это внимание и оставлял все по дефолту.

Про шифрование рассказал все в статье. Долго им не пользовался, но последние несколько лет в обязательно порядке устанавливаю Master Password, либо просто не сохраняю пароли в winbox, храня их в keepass. Если я забыл что-то важное или в чем-то ошибся, жду замечаний в комментариях.

Онлайн курcы по Mikrotik

  • Знания, ориентированные на практику;
  • Реальные ситуации и задачи;
  • Лучшее из международных программ.

Summary

Winbox is a small utility that allows the administration of MikroTik RouterOS using a fast and simple GUI. It is a native Win32/Win64 binary but can be run on Linux and macOS (OSX) using Wine. All Winbox interface functions are as close as possible mirroring the console functions, that is why there are no Winbox sections in the manual. Some advanced and system critical configurations are not possible from the Winbox, like MAC address change on an interface Winbox changelog

From Winbox v3.14, the following security features are used:

  • Winbox.exe is signed with an Extended Validation certificate, issued by SIA Mikrotīkls (MikroTik).
  • WinBox uses ECSRP for key exchange and authentication (requires a new Winbox version).
  • Both sides verify that the other side knows the password (no man in the middle attack is possible).
  • Winbox in RoMON mode requires that the agent is the latest version to be able to connect to the latest version routers.
  • Winbox uses AES128-CBC-SHA as an encryption algorithm (requires Winbox version 3.14 or above).

Starting Winbox

Winbox loader can be downloaded from the MikroTik download page. When winbox.exe is downloaded, double click on it, and the Winbox loader window will pop up. There are two Winbox loader modes: simple which is enabled by default and advanced.

Simple mode

When you open Winbox loader for the first time simple mode layout will be used:

To connect to the router enter the IP or MAC address of the router, specify username and password (if any) and click on the Connect button. You can also enter the port number after the IP address, separating them with a colon, like this 192.168.88.1:9999. The port can be changed in the RouterOS services menu.

It is recommended to use an IP address whenever possible. MAC session uses network broadcasts and is not 100% reliable.

You can also use neighbor discovery, to list available routers use the Neighbors tab:

From the list of discovered routers, you can click on the IP or MAC address column to connect to that router. If you click on IP address then IP will be used to connect, but if you click on MAC Address then the MAC address will be used to connect to the router.

Neighbor discovery will show also devices that are not compatible with Winbox, like Cisco routers or any other device that uses CDP (Cisco Discovery Protocol). If you will try to connect to a SwOS device, then the connection will be established through a web browser

Buttons/check-boxes and Other Fields

  • Connect — Connect to the router
  • Connect To RoMON — Connect to RoMON Agent
  • Add/set — Save/Edit any of the saved router entries in the Managed tab.
  • Open In New Window — Leaves loader open in the background and opens new windows for each device to which connection is made.
  • Connect To: — destination IP or MAC address of the router
  • Login — username used for authentication
  • Password — password used for authentication
  • Keep Password — if unchecked, the password is not saved to the list

Menu Items

  • File
    • New — Create a new managed router list in a specified location
    • Open — Open managed router list file
    • Save As — Save current managed router list to file
    • Exit — Exit Winbox loader
    • Tools
      • Advanced Mode — Enables/Disables advanced mode view
      • Import — Imports saved session file
      • Export — Exports saved session file
      • Move Session Folder — Change path where session files are stored
      • Clear cache — Clear Winbox cache
      • Check For Updates — Check for updates for Winbox loader

      Advanced mode

      Additional Winbox loader parameters are revealed when an advanced mode is enabled with Tools → Advanced Mode:

      Buttons/check-boxes and Other Fields

      • Browse — Browse file directory for some specific session
      • Keep Password — if unchecked, the password is not saved to the list
      • Secure mode — if checked, Winbox will use DH-1984 for key exchange and modified and hardened RC4-drop3072 encryption to secure the session.
      • Autosave session — Saves sessions automatically for devices to which connections are made.
      • Session — Saved router session.
      • Note — Note that is assigned to save router entry.
      • Group — Group to which saved router entry is assigned.
      • RoMON Agent — Select RoMON Agent from the available device list

      Managed routers list is encrypted, but it can still be loaded in other Winbox without problems IF the master password is not set for it!

      Command Line

      It is possible to use the command line to pass connect to, user and password parameters automatically:

      winbox.exe [ [ []]]

      For example (with no password):

      winbox.exe 10.5.101.1 admin ""

      Will connect to router 10.5.101.1 with user «admin» without a password.

      It is possible to use the command line to pass connect to, user, and password parameters automatically to connect to the router through RoMON. In this case, RoMON Agent must be saved on the Managed routers list so Winbox would know the user and password for this device:

      winbox.exe --romon [ [ [ []]]]

      For example (with no password):

      winbox.exe --romon 10.5.101.1 D4:CA:6D:E1:B5:7D admin ""

      Will connect to router D4:CA:6D:E1:B5:7D through 10.5.101.1 RoMON Agent with user «admin» without a password.

      IPv6 connectivity

      Winbox supports IPv6 connectivity. To connect to the router’s IPv6 address, it must be placed in square braces the same as in web browsers when connecting to the IPv6 server. Example:

      when connecting to the link-local address interface index must be entered after the %:

      Port number is set after the square brace when it is necessary to connect Winbox to other port than the default:

      Winbox neighbor discovery is capable of discovering IPv6 enabled routers. There are two entries for each IPv6 enabled router, one entry is with IPv4 address and another one with IPv6 link-local address. You can easily choose which one you want to connect to.

      Run Winbox on macOS

      Starting with macOS 10.15 Catalina, Apple has removed support for 32bit applications, meaning it is no longer possible to use regular Wine and regular Winbox in this OS. Wine has made available a 64bit version for macOS, and MikroTik has released a special Winbox64.exe version as well.

      To run Winbox64 the following steps are required.

      1. Install latest Wine from the Wine macOS builds page ( wine-devel-7.X-osx64.tar.xz ) and make sure you have downloaded the winbox64.exe executable from the MikroTik download page.
      2. Launch Winbox64.exe with «open file with» > Wine64.app

      Run Winbox on Linux

      It is possible to run Winbox on Linux by using Wine emulation software. Make sure that the Microsoft font pack is installed, otherwise, you may see distortions.

      Interface Overview

      Winbox interface has been designed to be intuitive for most of the users. The interface consists of:

      • The main toolbar at the top where users can add various info fields, like CPU and memory usage.
      • The menu bar on the left — list of all available menus and sub-menus. This list changes depending on what packages are installed. For example, if the IPv6 package is disabled, then the IPv6 menu and all its sub-menus will not be displayed.
      • Work area — an area where all menu windows are opened.

      The title bar shows information to identify with which router Winbox session is opened. Information is displayed in the following format:

      [username]@[Router's IP or MAC] ( [RouterID] ) - Winbox [ROS version] on [RB model] ([platform])

      From screenshot above we can see that user krisjanis is logged into router with IPv4/IPv6 address [fe80::4e5e:cff:fef6:c0ab%3]. Router’s ID is 3C18-Krisjanis_GW, currently installed RouterOS version is v6.36rc6, RouterBoard is CCR1036-12G-4S and platform is tile.

      On the Main toolbar’s left side is located:

      More about Safe mode and undoing performed actions read in this article.

      On the right side is located:

      • an indicator that shows whether the Winbox session uses encryption
      • Winbox traffic indicator displayed as a green bar,
      • Custom info fields that can be added by the user by right-clicking on the toolbar and picking available info fields from the list

      Work Area and Child Windows

      Winbox has an MDI interface meaning that all menu configuration (child) widows are attached to the main (parent) Winbox window and is showed in the work area.

      Child windows can not be dragged out of the working area. Notice in the screenshot above that the Interface window is dragged out of the visible working area and a horizontal scroll bar appeared at the bottom. If any window is outside visible work area boundaries the vertical or/and horizontal scrollbars will appear.

      Child window menu bar

      Each child window has its own toolbar. Most of the windows have the same set of toolbar buttons:

      • Add — add a new item to the list
      • Remove — remove the selected item from the list
      • Enable — enable selected item (the same as enable command from console)
      • Disable — disable selected item (the same as disable command from console)
      • Comment — add or edit a comment
      • Sort — allows to sort out items depending on various parameters. Read more >>

      Almost all windows have a quick search input field on the right side of the toolbar. Any text entered in this field is searched through all the items and highlighted as illustrated in the screenshot below

      Notice that on the right side next to the quick find input filed there is a drop-down box. For the currently opened (IP Route) window, this drop-down box allows to quickly sort out items by routing tables. For example, if the main is selected, then only routes from the main routing table will be listed.
      A similar drop-down box is also in all firewall windows to quickly sort out rules by chains.

      Sorting out displayed items

      Almost every window has a Sort button. When clicking on this button several options appear as illustrated in the screenshot below

      The example shows how to quickly filter out routes that are in the 10.0.0.0/8 range

      1. Press Sort button
      2. Chose Dst.Address from the first drop-down box.
      3. Chose in form the second drop-down box. «in» means that filter will check if DST address value is in range of the specified network.
      4. Enter the network against which values will be compared (in our example enter «10.0.0.0/8»)
      5. These buttons are to add or remove another filter to the stack.
      6. Press the Filter button to apply our filter.

      As you can see from the screenshot Winbox sorted out only routes that are within the 10.0.0.0/8 range.

      Comparison operators (Number 3 in the screenshot) may be different for each window. For example «Ip Route» window has only two is and in. Other windows may have operators such as «is not», «contains», «contains not».

      Winbox allows building a stack of filters. For example, if there is a need to filter by destination address and gateway, then

      • set the first filter as described in the example above,
      • press [+] button to add another filter bar in the stack.
      • set up a second filter to filter by the gateway
      • press the Filter button to apply filters.

      You can also remove unnecessary filters from the stack by pressing the [-] button.

      Customizing list of displayed columns

      By default, Winbox shows the most commonly used parameters. However sometimes it is needed to see other parameters, for example, «BGP AS Path» or other BGP attributes to monitor if routes are selected properly.

      Winbox allows to customize displayed columns for each individual window. For example to add BGP AS path column:

      • Click on the little arrow button (1) on the right side of the column titles or right mouse click on the route list.
      • From popped up menu move to Show Columns (2) and from the sub-menu pick the desired column, in our case click on BGP AS Path (3)

      Changes made to window layout are saved and next time when Winbox is opened the same column order and size are applied.

      Detail mode

      It is also possible to enable Detail mode. In this mode all parameters are displayed in columns, the first column is the parameter name, the second column is the parameter’s value.

      To enable detail mode right mouse click on the item list and from the popup menu pick Detail mode

      Category view

      It is possible to list items by categories. In this mode, all items will be grouped alphabetically or by another category. For example, items may be categorized alphabetically if sorted by name, items can also be categorized by type like in the screenshot below.

      To enable Category view, right mouse click on the item list and from the popup menu pick Show Categories

      Drag & Drop

      It is possible to upload and download files to/from the router using Winbox drag & drop functionality. You can also download the file by pressing the right mouse button on it and selecting «Download».

      Drag & Drop works if Winbox is running on Linux using wine4. Drag and drop between two Winbox windows may fail.

      Traffic monitoring

      Winbox can be used as a tool to monitor the traffic of every interface, queue, or firewall rule in real-time. The screenshot below shows Ethernet traffic monitoring graphs.

      Item copy

      This shows how easy it is to copy an item in Winbox. In this example, we will use the COPY button to make a Dynamic PPPoE server interface into a Static interface.

      This image shows us the initial state, as you see DR indicates «D» which means Dynamic:

      Double-Click on the interface and click on COPY:

      A new interface window will appear, a new name will be created automatically (in this case pppoe-in1)

      After this Down/Up event this interface will be Static:

      Transferring Settings

      • Managed router transfer — In the File menu, use Save As and Open functions to save the managed router list to file and open it up again on a new workstation.
      • Router sessions transfer — In the Tools menu, use Export and Import functions to save existing sessions to file and import them again on a new workstation.

      Troubleshooting

      Winbox cannot connect to the router’s IP address, devices do not show up in the Neighbors list

      Make sure that the Windows firewall is set to allow Winbox connections through Private and/or Public network interfaces in the Windows firewall, it can be changed in Control Panel\System and Security\Windows Defender Firewall\Allowed applications or disable the Windows firewall.

      I get an error ‘(port 20561) timed out’ when connecting to routers mac address

      Windows (7/8) does not allow mac connection if file and print sharing is disabled.

      I can’t find my device in WinBox IPv4 Neighbors list or MAC connection fails with «ERROR could not connect to XX-XX-XX-XX-XX-XX»

      Most of the network drivers will not enable IP stack unless your host device has an IP configuration. Set IPv4 configuration on your host device.

      Sometimes the device will be discovered due to caching, but MAC connection will still fail with «ERROR: could not connect to XX:XX:XX:XX:XX:XX

      Winbox MAC-ADDRESS connection requires MTU value set to 1500, unfragmented. Other values can perform poorly — loss of connectivity can occur.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *