Если вам нужно больше практического применения, то всё, что вы можете делать на своём домашнем MikroTik (и не только), работая в облаке, может решить проблемы CGNAT, если вы сидите за ним дома и используете его также в качестве удалённого шлюза для настройки собственного VPN-сервера. Сбор данных через конфигурации ловушек, безопасный шлюз в облачную инфраструктуру, HTTP(S)-прокси и в качестве общего инструмента обучения, если у вас нет необходимых возможностей локально.
Настройка
Вот необходимые условия: вам нужен аккаунт OVH и вы должны приобрести/арендовать один из VPS-серверов . На момент написания этого текста я использую их самый простой стартовый сервер 1/2/20, который, как новый пользователь, получаю всего за 83 пенса в месяц в течение первых 12 месяцев.
Операционная система не имеет особого значения, но я выбрал самую актуальную версию Debian.
Давай сделаем это!
Войдите в свою учетную запись OVH и перейдите к управлению вашим новым VPS.
Нажмите на три точки под заголовком «Загрузка», затем «Перезагрузка в режиме восстановления». Перезагрузка в режим восстановления займет одну-две минуты.
Нажмите на три точки под заголовком «Имя», выберите «KVM», чтобы открыть консоль в браузере.
Используйте IP-адрес/пароль, отображаемые в консоли восстановления, для подключения через SSH. WAN IP-адрес можно найти в сведениях о вашей машине.
Я пропущу здесь объяснение и проверки — OVH использует /dev/sda для восстановления, а ваш VPS находится на /dev/sdb.
Обнулите раздел, передав эту команду (обратите внимание, что вам не нужно использовать sudo, так как вы уже вошли как root).dd if=/dev/zero of=/dev/sdb bs=1M count=1024
Быстро добавьте возможность распаковки — это не означает, что ваш CHR сможет распаковывать файлы, это означает, что ваша оболочка восстановления сможет распаковывать файлы, и это непостоянное дополнение, так как sda будет уничтожен после завершения.apt install unzip
Давайте скачаем образ CHRwget https://download.mikrotik.com/routeros/7.16.1/chr-7.16.1.img.zip
и распакуем его.unzip chr-7.16.1.img.zip
Теперь нам нужно записать его на наш постоянный (виртуальный) диск.dd if=chr-7.16.1.img of=/dev/sdb bs=1M
Убедитесь, что это сделано правильно и корректно.sync
И ещё раз на удачу.sync
Мы почти закончили, но из SSH-оболочки или KVM выполните следующую команду (постарайтесь не забегать вперёд).reboot
Ваша виртуальная машина перезагрузится в режим восстановления, это нормально, и нам это нужно (пока что).
Надевайте коньки – мы поднимаем планку!
Мы на заключительном этапе, Mikrotik CHR на VPS скопирован, и вы готовы выйти из режима восстановления и стать публичным сервером, но ваша проблема в том, что когда OVH назначает публичный IP-адрес через DHCP, ваш CHR по умолчанию открыт для всего мира с логином admin и без пароля. Вам нужно действовать быстро.
Давайте выйдем из режима восстановления и активируем KVM, чтобы вы могли войти и обеспечить свою безопасность.
В панели управления VPS нажмите на заголовок «Загрузка» и «Перезагрузить мой VPS», и это действие выведет вас из режима восстановления.
«Три точки рядом с именем машины -> KVM». Продолжайте попытки, нажимайте, нет подключения, закрывайте, повторяйте, пока не получится. Когда получится, введите имя пользователя admin, без пароля, и измените пароль на тот, который вы запомните. Не стоит сразу же переходить к сверхсложным настройкам — это гонка за первоначальным изменением пароля, а не за созданием неуязвимого (это произойдет, когда вы будете в безопасности).
Быстро проверьте, не один ли вы.
После входа в систему с нестандартным паролем выполните еще одну команду./user/active/print
Она проверит наличие других пользователей; вход через консоль должен осуществляться только администратором. Если есть ХОТЯ БЫ ОДИН другой пользователь, вошедший через командную строку, SSH, Winbox, веб-интерфейс или другими способами, к сожалению, ваша система скомпрометирована, и вам придется начинать все сначала.
Для тех, кто успешно справился с задачей – молодцы! Теперь нужно надежно защитить систему, установить более сложный пароль администратора, начать усиливать безопасность, удалить все IP-сервисы и механизмы доступа, которые вы не будете использовать, и добавить пару правил ввода в фильтры брандмауэра.