İçeriğe geç
Sahadan
TeknikOrta9 dk okuma

MikroTik'e İnternetten Güvenli Erişim: Winbox'ı Doğru Açmak

MikroTik'i uzaktan yönetmek için Winbox internete nasıl güvenli açılır? Kısa cevap: açılmaz, VPN kurulur. Yine de gerekiyorsa: kaynak IP kısıtı, ip service ayarları, port knocking ve yapılmaması gerekenler.

Erdem Özyurt

Kısa cevap: “Winbox’ı internete nasıl açarım?” sorusunun profesyonel cevabı açmamaktır: cihaza WireGuard kurar, yönetime tünelin içinden girersiniz. Bu yazıda önce doğru yolu, sonra (mecbursanız) kısıtlı açmanın asgari şartlarını ve asla yapılmaması gerekenleri anlatıyorum.

Bu tavsiye kâğıt üstünde değil: gece 3’te 8291’e gelen deneme dalgalarını firewall yazımda loglarıyla göstermiştim; internete açık yönetim portu, tarama listelerine girmek için saatler bekler, günler değil.

Doğru yol: VPN içinden yönetim (WireGuard)

Mimari basit: cihazda tek bir UDP portu (WireGuard) dinler; kimliksiz pakete hiç cevap vermez, yani port taramasında kapalı görünür. Siz telefon/laptop’taki WireGuard istemcisiyle bağlanır, Winbox’a cihazın iç adresi üzerinden girersiniz. Winbox, SSH, WebFig; hiçbiri internete açılmaz.

Kurulum adımları WireGuard rehberinde hazır (yol farkı: telefon/laptop peer’i, şube yerine). Tamamlayıcı iki ayar:

/ip service set winbox address=192.168.10.0/24,10.10.10.0/24
/ip service disable telnet,ftp,www,api

Winbox artık yalnız LAN’dan ve VPN tünel ağından erişilir; kullanılmayan servisler kapalıdır. Dinamik IP’niz varsa VPN endpoint’i için /ip cloud set ddns-enabled=yes ile ücretsiz DDNS alın.

Orta yol: kaynak IP kısıtıyla açmak (mecbursanız)

Sabit IP’li bir yerden (ofis, veri merkezi) bağlanıyorsanız ve VPN kuramadıysanız, kapıyı yalnız o adrese gösterin. İki katman birden:

/ip service set winbox address=203.0.113.10/32

/ip firewall address-list add list=yonetim-izinli address=203.0.113.10 comment="ofis sabit IP"
/ip firewall filter add chain=input protocol=tcp dst-port=8291 \
  src-address-list=yonetim-izinli action=accept comment="winbox yalniz izinli"
/ip firewall filter add chain=input protocol=tcp dst-port=8291 \
  action=drop comment="winbox geri kalan herkese kapali"

Asgari şartlar paketi:

  • Güçlü, benzersiz şifre ve mümkünse admin yerine kendi adınızla yeni kullanıcı (admin’i devre dışı bırakın)
  • Güncel RouterOS (yükseltme rehberi); yönetim arayüzü zafiyetleri en hızlı silahlaşan türdendir
  • Log takibi: /log print where message~"login failure" çıktısını arada kontrol edin; sürekli deneme görüyorsanız zaten cevabınız VPN’dir

Port değiştirmek (8291 → başka) yalnız gürültüyü azaltır; kısıt olmadan güvenlik sayılmaz.

Meraklısına: port knocking

Belirli portlara belirli sırayla “dokunan” kaynak IP’yi dinamik address-list’e alıp yönetim kapısını yalnız ona açan zarif bir tekniktir; firewall’daki add-src-to-address-list aksiyonuyla üç kuralda kurulur. Öğrenme değeri yüksektir ama WireGuard varken üretimde nadiren gerekir; kırılganlığı (sıra unutulur, istemci scripti gerekir) operasyon yüküne dönüşür.

Asla yapılmayacaklar

  • 8291/22/80’i kısıtsız internete açmak (“nasılsa şifre var” savunması, tarama çağında savunma değildir)
  • Telnet/FTP’yi açık bırakmak (düz metin; kapatın)
  • admin kullanıcısını varsayılan bırakıp bir de internete açmak
  • “Geçici açtım” deyip unutmak; geçici kural diye bir şey yoktur, yorum satırına tarih yazın ve silin

Kontrol listesi (5 dakika)

  1. /ip service print ile hangi servisler açık, hangi adreslere?
  2. Winbox/SSH address= kısıtlı mı?
  3. WAN’dan input chain’e gelen yönetim portu denemeleri drop’ta sayılıyor mu?
  4. admin devre dışı, güçlü şifreli kişisel kullanıcı var mı?
  5. Uzak erişim VPN üzerinden mi? Değilse bu yazıyı baştan okuyun.

Filonuzdaki tüm cihazlara bu standardı tek seferde uygulamak (servis kısıtları + WireGuard yönetim düzlemi + log merkezileştirme) isterseniz MikroTik destek hizmetim üzerinden ulaşabilirsiniz.

#mikrotik#routeros#winbox#uzaktan-erisim#guvenlik#vpn
Paylaş:𝕏 TwitterLinkedIn

Sıkça Sorulan Sorular

Winbox portunu internete açmak neden kötü fikir?

İnternete açık 8291 portu botlarca sürekli taranır ve zayıf şifreler dakikalar içinde denenir; ayrıca yönetim arayüzünde çıkacak herhangi bir zafiyette cihazınız doğrudan hedeftir. Yönetim erişimi saldırı yüzeyi değil, en korunan kapı olmalıdır.

Uzak yönetim için en doğru yöntem hangisi?

WireGuard VPN: cihazda tek bir UDP portu dinler, kimliksiz paketlere hiç cevap vermez (taramada kapalı görünür) ve bağlandıktan sonra Winbox'a iç ağdaymışsınız gibi erişirsiniz. Kurulumu 20 dakikadır ve rehberi sitede mevcuttur.

Sabit IP'm var; sadece ondan erişime izin versem yeterli mi?

Kabul edilebilir bir orta yoldur: ip service'te available-from veya firewall'da src-address-list kısıtıyla yalnız sizin adresiniz kapıyı görür. Yine de şifre gücü, güncel RouterOS ve login denemesi izleme şarttır; kaynak IP kısıtı sizi hedefli saldırıdan değil, toplu taramadan korur.

Winbox portunu değiştirmek güvenlik sağlar mı?

Tek başına hayır; port taramaları tüm aralığı gezer, sadece gürültüyü azaltırsınız. Port değişikliği ancak kaynak IP kısıtı veya VPN ile birlikte anlamlıdır. Güvenliği gizlilik üzerine değil kimlik doğrulama ve erişim kısıtı üzerine kurun.

Port knocking kullanmalı mıyım?

Meraklısı için zarif bir tekniktir: belirli portlara sırayla dokunan kaynak IP geçici olarak izin listesine alınır. Ancak operasyonel yükü ve kırılganlığı nedeniyle üretim ortamında WireGuard varken nadiren gerekir; öğrenme değeri yüksek, pratik ihtiyacı düşüktür.

Yazan: Erdem Özyurt

Bilişim Danışmanı · ISP Altyapı · Siber Güvenlik

Kablo döşemekten kod yazmaya, ağ tasarımından web geliştirmeye; Layer 1'den Layer 7'ye bütünlük içinde çalışıyorum.

Hakkımda daha fazla →