Mēs varam izmantot rommon opciju, iespējot rommon galvenajā mikrotik maršrutētājā un arī CPE. Vēl viena iespēja būtu izveidot VPN maršrutētājā, kuram ir publiskais, un ievadīt cpe caur šo VPN. Mēs varētu arī izveidot portu pāradresācijas nat noteikumu cpe maršrutētājā, kuram ir publiskais IP.
Lai piekļūtu CPE (Customer Premises Equipment) ierīcēm, kas atrodas dažādos tīkla segmentos un kurām ir dažādas publiskās IP adreses, no centrālā MikroTik tīkla punkta, varat izmantot citas stratēģijas.
Stratēģijas izvēle ir atkarīga no tīkla struktūras, drošības politikām un konkrētās datora konfigurācijas. Tālāk mēs piedāvājam dažas no visizplatītākajām iespējām.
1. VPN (virtuālais privātais tīkls)
VPN izveide ir drošs veids, kā savienot dažādus tīkla segmentus, ļaujot piekļūt CPE ierīcēm tā, it kā tās atrastos vienā lokālajā tīklā. MikroTik RouterOS atbalsta vairākus VPN protokolus, tostarp OpenVPN, L2TP/IPSec un SSTP.
- Priekšrocība: uzlabota drošība, jo trafiks ir šifrēts.
- Apsvērumi: Jums ir jākonfigurē gan VPN serveris savā MikroTik, gan VPN klienti CPE ierīcēs.
2. Statiskā vai dinamiskā maršrutēšana
Varat konfigurēt statisku vai dinamisku maršrutēšanu, lai jūsu MikroTik tīkls varētu sazināties ar citiem tīkla segmentiem. Tas ietvertu konkrētu maršrutu definēšanu jūsu MikroTik uz CPE ierīču publiskajām IP adresēm.
- Priekšrocība: salīdzinoši vienkārša konfigurācija bez nepieciešamības izveidot VPN.
- Apsvērumi: mazāk drošs nekā VPN, jo trafiks nav obligāti šifrēts.
3. NAT (tīkla adreses tulkošana)
Ja jums ir kontrole pār maršrutētājiem, kas vērsti pret CPE ierīcēm, varat konfigurēt NAT noteikumus (īpaši DNAT), lai novirzītu noteiktu trafiku no interneta uz noteiktām CPE ierīcēm.
- Priekšrocība: Ļauj tiešu piekļuvi noteiktām ierīcēm, neprasot klienta puses VPN konfigurācijas.
- Apsvērumi: nepieciešama rūpīga NAT noteikumu pārvaldība, un, ja tas nav pareizi konfigurēts, tas var radīt drošības riskus.
4. EoIP vai IPIP tuneļi
MikroTik RouterOS ļauj izveidot Ethernet over IP (EoIP) tuneļus vai IPIP tuneļus, ko var izmantot, lai savienotu tīkla segmentus internetā.
- Priekšrocība: labi darbojas, lai caurspīdīgi savienotu tīkla segmentus, nodrošinot apraides un multiraides trafiku.
- Apsvērumi: satiksme caur šiem tuneļiem var nebūt šifrēta, un tas ir drošības apsvērums.
Drošība un piekļuve
Neatkarīgi no izvēlētās metodes, lai piekļūtu CPE ierīcēm, ir ļoti svarīgi ieviest atbilstošas drošības politikas. Tas ietver ugunsmūru iestatīšanu, autentifikācijas un šifrēšanas izmantošanu (īpaši VPN savienojumiem) un rūpīgu piekļuves pārvaldību. Drošība ir īpaši svarīga, piekļūstot ierīcēm, izmantojot internetu, jo nesankcionētas trafika iedarbība var palielināt uzbrukumu risku.
Katrai no šīm stratēģijām ir savas konfigurācijas prasības un drošības apsvērumi. Labākā varianta izvēle ir atkarīga no jūsu īpašajām vajadzībām, resursiem un esošā tīkla struktūras.
Šai ziņai nav atzīmju.