Romon mikrotik что это
Гайд по Mikrotik RoMON
У всех бывали ситуации, когда необходимо настроить удаленное оборудование(иногда новое), а доступ имеется только к другим сетевым девайсам, никаких ПК/Ноутбуков и пользователей с телефонами. В случае с Mikrotik эту проблему можно решить двумя путями: встроенный в RouterOS mac-telnet и RoMON. О них и пойдет речь ниже.
Mac Telnet с роутера
Для тех кто забыл: Mac telnet работает на Layer2, поэтому подключение возможно в пределах одного сегмента сети.
Подключаемся по winbox или ssh к настроенному роутеру(Mkt1) и через него по mac-telnet к новому(Mkt2).
Где найти mac-telnet:
Что стоит помнить: если на устройстве присутствует дефолтная конфигураци, то mac-telnet будет доступен только на lan портах(все кроме ether1, обычно), так что явно говорите монтажникам куда подключать кабель, иначе никакой mac-telnet и RoMON вам не поможет.
Доступ есть, можно настраивать, но ведь хочется удобства? Особенно при настройке деревьев очередей и большого числа правил фаервола.
Подключение через RoMON
RoMON(Router Management Overlay Network) — Возможность использовать одно устройство mikrotik к которому есть доступ по ip в качестве транзита для подключения к устройству по mac.
RoMON отключен по умолчанию. Клиентская часть встроена в winbox, так что ничего доустанавливать не потребуется.
Настройка на транзитном роутере (Mkt1):
По дефолту включены ВСЕ порты, что не особо безопасно и отключить all не представляется возможным, так что устанавливаем у него Forbid=yes, более точные правила для интерфейсов перекроют all.
Создаем правило для ether4:
Функция RoMON в MikroTik RouterOS
Как включить функцию RoMON в MikroTik RouterOS
Функция RoMON в MikroTik RouterOS расшифровывается как «Router Management Overlay Network». RoMON работает, устанавливая на MAC уровне независимую сеть обнаружения и пересылки данных. Пакеты RoMON инкапсулированы с EtherType 0x88bf и dst-MAC 01:80:c2:00:88:bf, и его сеть работает независимо от конфигурации пересылки L2 или L3.
Каждому маршрутизатору в сети RoMON назначается его RoMON ID. RoMON ID выбирается из MAC адреса порта или указывается пользователем.
Чтобы подключить устройство к сети RoMON, необходимо включить функцию RoMON и указать порты, которые участвуют в сети RoMON.
| Отключить или включить функцию RoMON |
| MAC-адрес и спользуется в качестве идентификатора этого маршрутизатора |
Когда RoMON включен и идентификатор выбран автоматически, идентификатор отображается в информации меню:
Таким образом, RoMON предоставляет через WinBox доступ ко всем устройствам Mikrotik, которые находятся в одной локальной сети — по принципу обнаружения соседних устройств и пересылки MAC адресов. Удобно воспользоваться полезной функцией, например, при удаленном администрировании.
Порядок действий для запуска RoMON
На первом, например, главном устройстве MikroTik откройте меню Tools → RoMON. В окне RoMON Settings поставьте галочку на Enabled, а также введите пароль (на всех роутерах в одной сети RoMON пароль должен совпадать — иначе служба их не увидит). При включении функции RoMON ID назначается автоматически (это MAC адрес оборудования), но его можно изменить.
Аналогично функция включается на других устройствах MikroTik, а также с помощью обнаружения соседних устройств (откройте на первом устройстве MikroTik вкладку IP → Neighbors).
Найдите нужные устройства, нажмите на них правой кнопкой мыши и выберите MAC Telnet.
Введите логин/пароль для подключения к MikroTik, а в открывшемся окне терминала — следующий скрипт:
(где secrets = пароль, которые вы назначили функции RoMON на первом устройстве MikroTik).
Учтите, что утилита RoMON работает по умолчанию на всех портах подключенных устройств MikroTik. Для назначения определенных портов откройте подраздел меню IP → RoMON → RoMON Settings → Ports, нажмите на синий плюс и добавьте нужный интерфейс (не забудьте для работы функции назначить на него ваш пароль).
Manual:Tools/RoMON
Contents
Overview
This page contains information about RoMON feature in RouterOS. RoMON stands for «Router Management Overlay Network». RoMON works by establishing independent MAC layer peer discovery and data forwarding network. RoMON packets are encapsulated with EtherType 0x88bf and dst-MAC 01:80:c2:00:88:bf and its network operates independently from L2 or L3 forwarding configuration. When RoMON is enabled, any received RoMON packets will not be displayed by sniffer or torch tools.
Each router on RoMON network is assigned its RoMON ID. RoMON ID can be selected from port MAC address or specified by user.
RoMON protocol does not provide encryption services. Encryption is provided at «application» level, by e.g. using ssh or by using secure winbox.
Configuration
In order for device to participate in RoMON network RoMON feature must be enabled and ports that participate in RoMON network must be specified.
RoMON feature is configured in /romon menu at version 6.28 and under /tool romon menu after version 6.28. It contains the following settings:
| Property | Description |
|---|---|
| enabled (yes | no; Default: no) | Disable or enable RoMON feature |
| id (MAC address; Default: 00:00:00:00:00:00) | MAC address to use as ID of this router |
When RoMON is enabled and ID is automatically selected, ID is reported in menu info:
Ports that participate in RoMON network are configured in romon port menu. Port list is a list of entries that match either specific port or all ports and specifies if matching port(s) is forbidden to participate in RoMON network and in case port is allowed to participate in RoMON network entry also specifies port cost. Note that all specific port entries have higher priority than the wildcard entry with interface=all.
For example, the following list specifies that all ports except ether1 participate in RoMON network with cost 100:
By default one wildcard entry with forbid=no and cost=100 is created.
Secrets
RoMON protocol secrets are used for message authentication, integrity check and replay prevention by means of hashing message contents with MD5.
For each interface, if interface specific secret list is empty, global secret list is used.
When sending out, messages are hashed with first secret in list if list is not empty and first is not «empty secret» (empty string = «»), otherwise messages are sent unhashed.
When received, unhashed messages are only accepted if secret list is empty or contains «empty secret», hashed messages are accepted if they are hashed with any of secrets in list.
This design allows for incremental introduction and/or change of secrets in network without RoMON service interruption and can happen over RoMON itself, e.g.:
— initially all routers are without secrets
Changing of secret in network should be performed in similar fashion where for some time both secrets are in use in network.
Peer discovery
In order to discover all routers on RoMON network romon discover command must be used:
Applications
Multiple applications can be run over RoMON network.
In order to test reachability of specific router on RoMON network romon ping command can be used:
In order to establish secure terminal connection to router on RoMON network romon ssh command can be used, provided that security package is installed:
Run RoMON in Winbox by using CLI
In order to establish RoMON session directly by using command line on computer, you must specify RoMON agents and desired routers addresses. RoMON agent must be saved on Managed routers list in Winbox in order to make successful connection:
RoMON
RoMON stands for «Router Management Overlay Network». RoMON works by establishing an independent MAC layer peer discovery and data forwarding network. RoMON packets are encapsulated with EtherType 0x88bf and DST-MAC 01:80:c2:00:88:bf and its network operate independently from L2 or L3 forwarding configuration. When RoMON is enabled, any received RoMON packets will not be displayed by sniffer or torch tools.
Each router on the RoMON network is assigned its RoMON ID. RoMON ID can be selected from the port MAC address or specified by the user.
RoMON protocol does not provide encryption services. Encryption is provided at the «application» level, by e.g. using ssh or by using a secure Winbox.
Secrets
RoMON protocol secrets are used for message authentication, integrity check and replay prevention by means of hashing message contents with MD5.
For each interface, if the interface-specific secret list is empty, a global secret list is used. When sending out, messages are hashed with the first secret in list if list is not empty and first is not «empty secret» (empty string = «»), otherwise, messages are sent unhashed. When received, unhashed messages are only accepted if a secret list is empty or contains «empty secret», hashed messages are accepted if they are hashed with any of the secrets in list.
This design allows for the incremental introduction and/or change of secrets in-network without RoMON service interruption and can happen over RoMON itself, e.g.:
Changing of secret in a network should be performed in a similar fashion where for some time both secrets are in use in network.
Peer discovery
In order to discover all routers on RoMON network RoMON discover command must be used:
Configuration Examples
In order for a device to participate in the RoMON network, the RoMON feature must be enabled and ports that participate in the RoMON network must be specified.
Ports that participate in the RoMON network are configured in the RoMON port menu. Port list is a list of entries that match either specific port or all ports and specifies if matching port(s) is forbidden to participate in the RoMON network and in case port is allowed to participate in RoMON network entry also specifies the port cost. Note that all specific port entries have higher priority than the wildcard entry with interface=all.
For example, the following list specifies that all ports participate in RoMON network with cost 100 and ether7 interface with cost 200:
By default one wildcard entry with forbid=no and cost=100 is created.
Applications
Multiple applications can be run over the RoMON network.
In order to test the reachability of specific router on RoMON network RoMON ping command can be used:
In order to establish a secure terminal connection to router on RoMON network RoMON SSH command can be used:
Run RoMON in Winbox by using CLI
In order to establish the RoMON session directly by using the command line on a computer, you must specify RoMON agents and desired routers addresses. RoMON agent must be saved on Managed routers list in Winbox in order to make a successful connection:
RoMON на Mikrotik
Один из множества полезных сервисов, работающих на платформе RouterOS — RoMON (Router Management Overlay Network). Эта утилита позволяет получить доступ через Winbox к тем устройствам Mikrotik, которые находятся в одной локальной сети — по принципу обнаружения «соседних» устройств и пересылки MAC адресов. Отличный сервис, который не будет лишним, например, при удаленном администрировании.
Стоит учесть, что протокол RoMON не предоставляет шифрования.
Итак, ваши действия для запуска службы:
1. На первом микротике (предположим, что он у вас — главный) открываем Tools-RoMON. В окне RoMON Settings ставим галочку на Enabled, а также прописываем пароль (учтите, что этот пароль должен будет совпадать на всех маршрутизаторах в одной сети RoMON — иначе служба их не увидит). При включении службы RoMON ID назначается автоматически (это MAC адрес оборудования), однако при желании можете его изменить.
2. На остальных микротиках службу можно запустить так же — или затратив чуть меньше времени: с помощью обнаружения соседних устройств.
Во втором случае открываем на основном микротике вкладку IP-Neighbors.
Находим нужные устройства, жмем ПКМ на них и выбираем MAC Telnet.
Вводим логин и пароль для подключения на микротик, а в открывшемся окне терминала — следующий скрипт:
/tool romon set enabled=yes secrets=123
(где secrets = пароль, которые вы назначили службе RoMON на первом микротике).
Также стоит учесть, что служба RoMON по умолчанию работает на всех интерфейсах подключенных микротиков. Чтобы назначить конкретные порты, откройте раздел IP-RoMON-RoMON Settings — Ports, нажмите на синий плюсик и добавьте нужный вам интерфейс (естественно, назначив на него ваш пароль для работы службы).
3. Теперь, чтобы увидеть всё оборудование, подключенное к сети RoMON, открываем winbox, вводим IP (или MAC) одного из устройств, а также логин и пароль, и жмем Connect To RoMON.
Во вкладке RoMON Neighbors отобразятся все устройства данной сети — и теперь к каждому из них можно подключиться через RoMON ID и вашу пару логин/пароль.