SlideShare uma empresa Scribd logo

Mikrotik os-zaklady

Transferir como PPT, PDF
Patrik Majer
Patrik Majer

základy nastavení Mikrotik OS/mikrotik zařízeními /(routerboard). Práce ve winbox a CLI (terminal) prostředí. Dále L2,L3 funkce, firewalling, logování, QoS.

Tecnologia
1 de 72
Seznámení s Mikrotik RouterOS Úvod, připojení, základy konfigurace, routing, QoS
Co budeme potřebovat.. Zařízení s RouterOS (Mikrotik, či jiná platforma ) Počítač se síťovou kartou, popř. s sériovým portem Utp kabel, či sériový kabel Program(utilitu) winbox (popř. telnet, ssh )
Jak se k zařízení připojit … Zařízení je připojeno k PC přímo, či přes switchovanou ethernet síť 1, winbox-em - grafická utilita - více „módů“ připojení - buď přes MAC adresu, či IP adresu - při připojení přes MAC adresu není potřeba mít nastavené ip adresy ani na počítači, ani v zařízení ( je třeba mít pouze aktivní rozhraní )
Připojení – přímo či krz L2 síť při připojování winboxem na „mac adresu“ je buď možné proskenovat okolí, kde se poté zobrazí dostupné routerOS zařízení Popř. zadat MAC adresu přímo do okna winboxu ( v případě chyby při skenování) -skenování se provádí tlačítkem se 3tečkami - Skenování v PC občas blokují firewally (v PC i v zařízení)
Připojení k zařízení Sken winboxem pak vypadá následovně:
Připojení k zařízení Po vyskenování zarízení je možno kliknout bud na mac adresu, či na IP adresu - dle toho se do pole „Connect to“ doplní příslušný údaj -dále se vyplní login, password ( keep password – zachovat vyplněné heslo) - Při připojování přes MAC adresu občas nefungují některé funkce ( přesun souborů ), v tomto případě je třeba se připojovat přes IP adresu
Připojení k zařízení Při připojování přes IP adresu stačí zadat IP adresa zařízení (pokud je jich více, tak stačí libovolná) 2, telnet, ssh - routerOS je možné se dále připojit krz klasický telnet, popř. SSH ( i podpora DSA klíčů) - zde jen konzolové rozhraní (stejná hierarchie položek jako ve winboxu)
Zařízení je připojeno přes L2 / L3 ethernet síť Připojení pouze přes IP adresu v zařízení musí být výchozí brána (default gateway) a správně nastaven routing (viz. dále) - V případě špatné IP konfigurace je možné se připojit „mac telnetem“ přes jednotlivé zařízení (doskákat)
Typy zařízení Router-boardy - „jednoúčelové“ Licence pro x86 - klasický pc, server Wrapy, alix …
Základní prostředí winbox – zdarma na www.mikrotik.com horní šedá lišta – add cpu atd … winbox :: Systém – Identity - popis zařízení winbox :: New Terminal
Problémy / Otázky diskuze
Basic setup :: interfaces Winbox :: Interfaces -různé typy… internet, wlan, bridge, vlan, tunely Přidání – tlačítko „PLUS“ (červené) Komentář – žluté tlačítko (symbol „štítku“)
Basic setup :: interfaces
Basic setup :: IP address Winbox :: IP – address
Basic setup :: Add IP adress Přidání – červené tlačítko „+“
Basic setup :: Add IP adress Přidání: Pole address: IP adresa/ maska -maska v podobě počtu bitů 255.0.0.0 :: /8 255.255.0.0 :: /16 255.255.255.0 :: 24 255.255.255.248 /29 Pole interface – vybrat rozhraní -zbytek polí nepovinné, popř. nevyplní se
Basic setup :: IP adress Winbox :: New terminal Tenet / ssh -> /ip address print
Basic setup :: IP adress :: IPv6 [admin@MikroTik] > ipv6 address print Flags: X - disabled, I - invalid, D - dynamic, G - global, L - link-local # ADDRESS INTERFACE ADVERTISE 0 DL fe80::20c:42ff:fe1d:3d3/64 ether2 no 1 DL fe80::20c:42ff:fe1d:3d2/64 ether1 no 2 DL fe80::20c:42ff:fe1d:3d4/64 ether3 no 3 G fc00:1::1/64 ether1 yes 4 G fc00:2::1/64 ether2 yes
Basic setup :: Default gateway Winbox: IP – Routes
Basic setup :: Default gateway •Přidání – „+“ Pole destination (cíl) : 0.0.0.0/0 ( popř. 0/0 ) Pole Gateway – ip adresa brány
Basic setup :: DNS servery RouterOS umí jak dnscache, tak „dns servery pro doménu“ 1, nastavení dns serverů vyšší úrovně ( klasické dns servery pro přístup na inet) - Winbox :: ip – DNS - V okně DNS - Settings
Basic setup :: DNS servery
Basic setup :: DNS servery 2, DNS cache Okno DNS :: Settings - Zaškrtávátko – Allow remote requests
Basic setup :: LAN Stejné jako přechozí postupy Lan / wan z hlediska porovnání s klasickým „broadband router“ rozlišuje v nastavení firewallu / NAT-u (Masquerade) Pokud má být více interfaců myšleno jako LAN, musí se porty přidat do bridge
Basic setup :: Bridges Winbox :: bridge – „+“ - name – jméno bridge -> OK okno „bridge“ – záložka „ports“ - zde přidat jednotlivé rozhraní (interface) do příslušného bridge = rozhraní se pak chovají jako klasický switch (L2) Plus se neuplatňuje routing / firewall atd.
Setup – virtual interfaces Winbox :: interfaces - Jedním z virtuálních interfaců je „bridge“ - pro příslušnost do vlany – typ VLAN - bedrátová karta – Wireless - bridge režim pro bezdrát. Rozrhaní – WDS - bonding – slučování interfaců (zálohy atd) - vrrp – pro redundanci dvou a více routerů
Setup - VLAN - přidání jako virtuální interface -dále přiřazení ke konkrétní vlaně
Problémy / Otázky diskuze
Setup :: DHCP server winbox :: IP – DHCP server - buď průvodce – „DHCP Setup“ - popř. ručně: 1, vytvoření „poolu“, rozsahu přidělovaných ip adres :: winbox: IP – Pool -name – jméno, popisek - address – rozsah ip adres, ip_rozsah/maska - OK
Setup :: DHCP server
Setup :: DHCP server winbox :: IP – DHCP server - přidání vlastního serveru -name – jméno, popis serveru - interface – kde má poslouchat (i bridge) - address pool – rozsah ip, vytvořený dříve, či static-only (pouze ručně přidáné záznamy) - alwast broadcast – vždy komunikovat všesměeovým vysíláním - use RADIUS – ověřování dat z externího zdroje
Setup :: DHCP server
Setup :: DHCP server :: Networks -zde nastavení výchozí brány, dns serverů atd
Setup :: DHCP server :: Leases
Setup :: DHCP server :: Leases -pro vytvoření statického záznamy se 2x pokliká na dynamický a poté na „Make Static“
Problémy / Otázky diskuze
Setup – Firewall V RouterOS je směrování portů, firewall atd řešen podobně jako v linuxu, čili pravidla ve firewallu se podobají / odpovídají linuxovým iptables (ipchains) Vše se řeší v „ip – firewall“ Průchody jednotlivými tabulkami (chains) vycházení z principu fungování routeru, resp. z průchodu paketu kernel jádrem
Kernel Packet Traveling Diagram Network ---------+----------- | +--------------------------+ +-------+-------+ +---------+------------+ | IPCHAINS | | IPTABLES | | INPUT | | PREROUTING | +-------+-------+ | +-------+-------+ | | | | conntrack | | | | +-------+-------+ | | | | mangle | | <- MARK WRITE | | +-------+-------+ | | | | IMQ || | | +-------+-------+ | | | | nat | | <- DEST REWRITE | | +-------+-------+ | DNAT or REDIRECT | +---------+------------+ or DE-MASQUERADE +------------+--------------+ |
Kernel Packet Traveling Diagram | +-------+-------+ | QOS | | INGRESS | +-------+-------+ | packet is for +-------+-------+ packet is for this machine | INPUT | another address +--------------+ ROUTING +--------------+ | | + PDBB | | | +---------------+ |
packet is for this machine | | | +-------+-------+ | IPTABLES | | | INPUT | +-------+-------+ | +-----+-----+ | | IPTABLES | | | mangle | | | OUTPUT | | +-----+-----+ | | | filter || | +-----------+ | | +-----+-----+ | | | conntrack | | +-------+-------+ | +-----+-----+ | | | | mangle | | <- MARK WRITE +-------+-------+ | Local | | +-----+-----+ | | Process | | | nat | | <-DEST REWRITE +-------+-------+ | +-----+-----+ | DNAT or REDIRECT | +-------+-------+ | | filter | | | OUTPUT | | +-----+-----+ | | ROUTING | +-------+-------+ +-------+-------+ | | | |
packet is for another address | | +---------------------------+ | | +-------+---------+ +---------+---------+ | IPCHAINS | | IPTABLES | | FORWARD | | FORWARD | +-------+---------+ +---------+---------+ | | | | | +-----+-----+ | | | | mangle | | <- MARK WRITE | | +-----+-----+ | | | | filter | | | | +-----+-----+ | | +--------+--------+ | | +------------------------------+ |
Kernel Packet Traveling Diagram | | +----------------------+----------------------+ | +-------------+------------+ | | +-------+-------+ +---------+---------+ | IPCHAINS | | IPTABLES | | OUTPUT | | POSTROUTING | +-------+------- | +-------+-------+ | | | | mangle | | <- MARK WRITE | | +-------+-------+ | | | | nat | | <- SOURCE REWRITE | | +-------+-------+ | SNAT or MASQUERADE | +---------+---------+ +-----------------+----------+ | +------------+-------------+ | QOS EGRESS | +-----------+--------------+ |
Setup – základy firewallu Winbox:: Okno – firewall 1, (záložka) - tabulka „filter“ – pro „filtrování paketů, resp. pro pravidla, které bud mají pakety propustit, či odmítnout. Dále logovat, přidávat do „seznamů“.
Setup – základy firewallu Winbox:: Okno – firewall 2, tabulka „NAT“ - pro pravidla, která mají pakety přesměrovat jinam (na ip adresu ve vnitřní síti), - či je změnit ( maškaráda, resp. dnat )
Setup – základy firewallu Winbox:: Okno – firewall 3, tabulka „MANGLE“ - primárně pro „označování“ paketů ( markování ) - pro změnu TTL, DSCP, markování spojení
Setup – základy firewallu
Setup – základy firewallu
Setup – firewall - NAT
Setup – firewall - NAT
Setup – firewall - MANGLE
Setup – firewall - MANGLE
Setup – firewall - MANGLE
Přesměrování portu zvenčí na vnitřní IP/port Winbox :: ip –firewall – tabulka NAT - specifikovat vnější ip adresu, protokol, port popř. rozhraní - cíl (action) : dst-nat (měním cíl paketu ) -to addresses: vnitřní adresa ( např. 192.168.1.100 ), rozsah musí existovat, či routa k němu -to ports: pokud je třeba změnit i port
Přesměrování portu zvenčí na vnitřní IP/port
Firewall – NAT :: Maškaráda = „zamaskování“ vnitřní sítě za jednu veřejnou ip adresu ( z pohledu rozhraní ) - měníme tedy zdrojovou ip adresu není přímý přístup zpět na „lokální počítače“ v routerOS (linuxu) se tato funkce nachází ve firewallu -- tabulka NAT -- chain src-nat -- action – MASQUERADE ( v linuxu : Iptables – tab NAT - ….. )
Firewall – NAT :: Maškaráda nastavuje se tedy: - chain – vždy src-nat (modifikujeme zdrojovou ip adresu / počítač ) - src ip adress – zdrojový rozsah ip adres, co chceme NATovat. = lokální ip rozsahy (nemusíme všechny rozsahy, zápis: ip_rozsah / maska) - výstupní interface (WAN), je povinný při chybějícím src ip rozsahu, ale udává se kvůli lepší čitelnosti smyslu NATování - action – masquerade (co se s pakety má dělat)
Firewall – NAT :: Maškaráda
Problémy / Otázky diskuze
Logování winbox :: Systém – Logging
Logování - cíle
Logování - výpis
Logování ve firewallu action „LOG“ ve všech tabulkách
Uživatelé - Práva winbox :: users
Uživatelé – Práva - Skupiny
Uživatelé – ssh klíče
Řízení rychlosti - QoS - systém qos podobný jako v linuxu - omezování/priorizace v ROS používá HTB Postup: 1, vytvoření „označovacího pravidla“ - ve firewallu, tabulka MANGLE - action „set-mark“ 2, vytvoření vlastní „třídy“ (ve queues)
QoS – pravidla v MANGLE - stejný systém vytváření pravidel jako v kapitole firewall - tabulka vždy MANGLE - action vždy „packet-mark“ - mark bud může být číslo jako v linuxu, či nějaký řetezec (popis klienta, atd.)
QoS – pravidla v MANGLE
QoS – pravidla v MANGLE do pole „New Packet Mark“ napíšeme popis, čímž mark vytvoříme, popř. vybereme ze seznamu již existujících „mark“ tlačítkem vpravo OK
QoS – vytvoření třídy winbox :: queues :: vybrat: - marku vytvořenou od minule - rozhraní - limity

Recomendados

Aula tecido epitelial silene
Aula tecido epitelial sileneAula tecido epitelial silene
Aula tecido epitelial silene
Gustavo Carvalho
 
Sistema digestório endocrino e renal
Sistema digestório endocrino e renalSistema digestório endocrino e renal
Sistema digestório endocrino e renal
ENFERMAGEMUNIS
 
Caso clínico
Caso clínicoCaso clínico
Caso clínico
raissalelis
 
Vascularização de membros superiores
Vascularização de membros superioresVascularização de membros superiores
Vascularização de membros superiores
Blenda Neiva
 
Lipidos
LipidosLipidos
Lipidos
Luis Ribeiro
 
Help tplink cz
Help tplink czHelp tplink cz
Help tplink cz
JL.cRace ms.Press CO.
 
Rodina protokolů TCP/IP, téma 4: Adresování v TCP/IP, IP adresy verze 4
Rodina protokolů TCP/IP, téma 4: Adresování v TCP/IP, IP adresy verze 4Rodina protokolů TCP/IP, téma 4: Adresování v TCP/IP, IP adresy verze 4
Rodina protokolů TCP/IP, téma 4: Adresování v TCP/IP, IP adresy verze 4
Jiří Peterka
 
Sítě pro malé a střední podniky 2014
Sítě pro malé a střední podniky 2014Sítě pro malé a střední podniky 2014
Sítě pro malé a střední podniky 2014
Vladimír Smitka
 

Recomendados

Aula tecido epitelial silene
Aula tecido epitelial sileneAula tecido epitelial silene
Aula tecido epitelial silene
Gustavo Carvalho
 
Sistema digestório endocrino e renal
Sistema digestório endocrino e renalSistema digestório endocrino e renal
Sistema digestório endocrino e renal
ENFERMAGEMUNIS
 
Caso clínico
Caso clínicoCaso clínico
Caso clínico
raissalelis
 
Vascularização de membros superiores
Vascularização de membros superioresVascularização de membros superiores
Vascularização de membros superiores
Blenda Neiva
 
Lipidos
LipidosLipidos
Lipidos
Luis Ribeiro
 
Help tplink cz
Help tplink czHelp tplink cz
Help tplink cz
JL.cRace ms.Press CO.
 
Rodina protokolů TCP/IP, téma 4: Adresování v TCP/IP, IP adresy verze 4
Rodina protokolů TCP/IP, téma 4: Adresování v TCP/IP, IP adresy verze 4Rodina protokolů TCP/IP, téma 4: Adresování v TCP/IP, IP adresy verze 4
Rodina protokolů TCP/IP, téma 4: Adresování v TCP/IP, IP adresy verze 4
Jiří Peterka
 
Sítě pro malé a střední podniky 2014
Sítě pro malé a střední podniky 2014Sítě pro malé a střední podniky 2014
Sítě pro malé a střední podniky 2014
Vladimír Smitka
 
Tutorial mikrotik
Tutorial mikrotikTutorial mikrotik
Tutorial mikrotik
Meong3
 
i4wifi - únorové novinky
i4wifi - únorové novinkyi4wifi - únorové novinky
i4wifi - únorové novinky
i4wifi
 
Fotovtipy
FotovtipyFotovtipy
Fotovtipy
FSM Multimedia
 
Fotograficke Vtipy
Fotograficke VtipyFotograficke Vtipy
Fotograficke Vtipy
guest01d2c4f
 
VLAN on mikrotik
VLAN on mikrotikVLAN on mikrotik
VLAN on mikrotik
Achmad Mardiansyah
 
MikroTik Firewall : Securing your Router with Port Knocking
MikroTik Firewall : Securing your Router with Port KnockingMikroTik Firewall : Securing your Router with Port Knocking
MikroTik Firewall : Securing your Router with Port Knocking
Akbar Azwir, MM, PMP, PMI-SP, PSM I, CISSP
 
Mikrotik Network Simulator (MUM Presentation Material 2013)
Mikrotik Network Simulator (MUM Presentation Material 2013)Mikrotik Network Simulator (MUM Presentation Material 2013)
Mikrotik Network Simulator (MUM Presentation Material 2013)
Rofiq Fauzi
 
MikroTik MTCNA
MikroTik MTCNAMikroTik MTCNA
MikroTik MTCNA
Ali Layth
 

Mais conteúdo relacionado

Destaque

i4wifi - únorové novinky
i4wifi - únorové novinkyi4wifi - únorové novinky
i4wifi - únorové novinky
i4wifi
 
Fotograficke Vtipy
Fotograficke VtipyFotograficke Vtipy
Fotograficke Vtipy
guest01d2c4f
 
Mikrotik Network Simulator (MUM Presentation Material 2013)
Mikrotik Network Simulator (MUM Presentation Material 2013)Mikrotik Network Simulator (MUM Presentation Material 2013)
Mikrotik Network Simulator (MUM Presentation Material 2013)
Rofiq Fauzi
 

Destaque (8)

Tutorial mikrotik
Tutorial mikrotikTutorial mikrotik
Tutorial mikrotik
 
i4wifi - únorové novinky
i4wifi - únorové novinkyi4wifi - únorové novinky
i4wifi - únorové novinky
 
Fotovtipy
FotovtipyFotovtipy
Fotovtipy
 
Fotograficke Vtipy
Fotograficke VtipyFotograficke Vtipy
Fotograficke Vtipy
 
VLAN on mikrotik
VLAN on mikrotikVLAN on mikrotik
VLAN on mikrotik
 
MikroTik Firewall : Securing your Router with Port Knocking
MikroTik Firewall : Securing your Router with Port KnockingMikroTik Firewall : Securing your Router with Port Knocking
MikroTik Firewall : Securing your Router with Port Knocking
 
Mikrotik Network Simulator (MUM Presentation Material 2013)
Mikrotik Network Simulator (MUM Presentation Material 2013)Mikrotik Network Simulator (MUM Presentation Material 2013)
Mikrotik Network Simulator (MUM Presentation Material 2013)
 
MikroTik MTCNA
MikroTik MTCNAMikroTik MTCNA
MikroTik MTCNA
 

Mikrotik os-zaklady

  • 1. Seznámení s Mikrotik RouterOS Úvod, připojení, základy konfigurace, routing, QoS
  • 2. Co budeme potřebovat.. Zařízení s RouterOS (Mikrotik, či jiná platforma ) Počítač se síťovou kartou, popř. s sériovým portem Utp kabel, či sériový kabel Program(utilitu) winbox (popř. telnet, ssh )
  • 3. Jak se k zařízení připojit … Zařízení je připojeno k PC přímo, či přes switchovanou ethernet síť 1, winbox-em - grafická utilita - více „módů“ připojení - buď přes MAC adresu, či IP adresu - při připojení přes MAC adresu není potřeba mít nastavené ip adresy ani na počítači, ani v zařízení ( je třeba mít pouze aktivní rozhraní )
  • 4. Připojení – přímo či krz L2 síť při připojování winboxem na „mac adresu“ je buď možné proskenovat okolí, kde se poté zobrazí dostupné routerOS zařízení Popř. zadat MAC adresu přímo do okna winboxu ( v případě chyby při skenování) -skenování se provádí tlačítkem se 3tečkami - Skenování v PC občas blokují firewally (v PC i v zařízení)
  • 5. Připojení k zařízení Sken winboxem pak vypadá následovně:
  • 6. Připojení k zařízení Po vyskenování zarízení je možno kliknout bud na mac adresu, či na IP adresu - dle toho se do pole „Connect to“ doplní příslušný údaj -dále se vyplní login, password ( keep password – zachovat vyplněné heslo) - Při připojování přes MAC adresu občas nefungují některé funkce ( přesun souborů ), v tomto případě je třeba se připojovat přes IP adresu
  • 7. Připojení k zařízení Při připojování přes IP adresu stačí zadat IP adresa zařízení (pokud je jich více, tak stačí libovolná) 2, telnet, ssh - routerOS je možné se dále připojit krz klasický telnet, popř. SSH ( i podpora DSA klíčů) - zde jen konzolové rozhraní (stejná hierarchie položek jako ve winboxu)
  • 8. Zařízení je připojeno přes L2 / L3 ethernet síť Připojení pouze přes IP adresu v zařízení musí být výchozí brána (default gateway) a správně nastaven routing (viz. dále) - V případě špatné IP konfigurace je možné se připojit „mac telnetem“ přes jednotlivé zařízení (doskákat)
  • 9. Typy zařízení Router-boardy - „jednoúčelové“ Licence pro x86 - klasický pc, server Wrapy, alix …
  • 10. Základní prostředí winbox – zdarma na www.mikrotik.com horní šedá lišta – add cpu atd … winbox :: Systém – Identity - popis zařízení winbox :: New Terminal
  • 12. Basic setup :: interfaces Winbox :: Interfaces -různé typy… internet, wlan, bridge, vlan, tunely Přidání – tlačítko „PLUS“ (červené) Komentář – žluté tlačítko (symbol „štítku“)
  • 13. Basic setup :: interfaces
  • 14. Basic setup :: IP address Winbox :: IP – address
  • 15. Basic setup :: Add IP adress Přidání – červené tlačítko „+“
  • 16. Basic setup :: Add IP adress Přidání: Pole address: IP adresa/ maska -maska v podobě počtu bitů 255.0.0.0 :: /8 255.255.0.0 :: /16 255.255.255.0 :: 24 255.255.255.248 /29 Pole interface – vybrat rozhraní -zbytek polí nepovinné, popř. nevyplní se
  • 17. Basic setup :: IP adress Winbox :: New terminal Tenet / ssh -> /ip address print
  • 18. Basic setup :: IP adress :: IPv6 [admin@MikroTik] > ipv6 address print Flags: X - disabled, I - invalid, D - dynamic, G - global, L - link-local # ADDRESS INTERFACE ADVERTISE 0 DL fe80::20c:42ff:fe1d:3d3/64 ether2 no 1 DL fe80::20c:42ff:fe1d:3d2/64 ether1 no 2 DL fe80::20c:42ff:fe1d:3d4/64 ether3 no 3 G fc00:1::1/64 ether1 yes 4 G fc00:2::1/64 ether2 yes
  • 19. Basic setup :: Default gateway Winbox: IP – Routes
  • 20. Basic setup :: Default gateway •Přidání – „+“ Pole destination (cíl) : 0.0.0.0/0 ( popř. 0/0 ) Pole Gateway – ip adresa brány
  • 21. Basic setup :: DNS servery RouterOS umí jak dnscache, tak „dns servery pro doménu“ 1, nastavení dns serverů vyšší úrovně ( klasické dns servery pro přístup na inet) - Winbox :: ip – DNS - V okně DNS - Settings
  • 22. Basic setup :: DNS servery
  • 23. Basic setup :: DNS servery 2, DNS cache Okno DNS :: Settings - Zaškrtávátko – Allow remote requests
  • 24. Basic setup :: LAN Stejné jako přechozí postupy Lan / wan z hlediska porovnání s klasickým „broadband router“ rozlišuje v nastavení firewallu / NAT-u (Masquerade) Pokud má být více interfaců myšleno jako LAN, musí se porty přidat do bridge
  • 25. Basic setup :: Bridges Winbox :: bridge – „+“ - name – jméno bridge -> OK okno „bridge“ – záložka „ports“ - zde přidat jednotlivé rozhraní (interface) do příslušného bridge = rozhraní se pak chovají jako klasický switch (L2) Plus se neuplatňuje routing / firewall atd.
  • 26. Setup – virtual interfaces Winbox :: interfaces - Jedním z virtuálních interfaců je „bridge“ - pro příslušnost do vlany – typ VLAN - bedrátová karta – Wireless - bridge režim pro bezdrát. Rozrhaní – WDS - bonding – slučování interfaců (zálohy atd) - vrrp – pro redundanci dvou a více routerů
  • 27. Setup - VLAN - přidání jako virtuální interface -dále přiřazení ke konkrétní vlaně
  • 29. Setup :: DHCP server winbox :: IP – DHCP server - buď průvodce – „DHCP Setup“ - popř. ručně: 1, vytvoření „poolu“, rozsahu přidělovaných ip adres :: winbox: IP – Pool -name – jméno, popisek - address – rozsah ip adres, ip_rozsah/maska - OK
  • 30. Setup :: DHCP server
  • 31. Setup :: DHCP server winbox :: IP – DHCP server - přidání vlastního serveru -name – jméno, popis serveru - interface – kde má poslouchat (i bridge) - address pool – rozsah ip, vytvořený dříve, či static-only (pouze ručně přidáné záznamy) - alwast broadcast – vždy komunikovat všesměeovým vysíláním - use RADIUS – ověřování dat z externího zdroje
  • 32. Setup :: DHCP server
  • 33. Setup :: DHCP server :: Networks -zde nastavení výchozí brány, dns serverů atd
  • 34. Setup :: DHCP server :: Leases
  • 35. Setup :: DHCP server :: Leases -pro vytvoření statického záznamy se 2x pokliká na dynamický a poté na „Make Static“
  • 37. Setup – Firewall V RouterOS je směrování portů, firewall atd řešen podobně jako v linuxu, čili pravidla ve firewallu se podobají / odpovídají linuxovým iptables (ipchains) Vše se řeší v „ip – firewall“ Průchody jednotlivými tabulkami (chains) vycházení z principu fungování routeru, resp. z průchodu paketu kernel jádrem
  • 38. Kernel Packet Traveling Diagram Network ---------+----------- | +--------------------------+ +-------+-------+ +---------+------------+ | IPCHAINS | | IPTABLES | | INPUT | | PREROUTING | +-------+-------+ | +-------+-------+ | | | | conntrack | | | | +-------+-------+ | | | | mangle | | <- MARK WRITE | | +-------+-------+ | | | | IMQ || | | +-------+-------+ | | | | nat | | <- DEST REWRITE | | +-------+-------+ | DNAT or REDIRECT | +---------+------------+ or DE-MASQUERADE +------------+--------------+ |
  • 39. Kernel Packet Traveling Diagram | +-------+-------+ | QOS | | INGRESS | +-------+-------+ | packet is for +-------+-------+ packet is for this machine | INPUT | another address +--------------+ ROUTING +--------------+ | | + PDBB | | | +---------------+ |
  • 40. packet is for this machine | | | +-------+-------+ | IPTABLES | | | INPUT | +-------+-------+ | +-----+-----+ | | IPTABLES | | | mangle | | | OUTPUT | | +-----+-----+ | | | filter || | +-----------+ | | +-----+-----+ | | | conntrack | | +-------+-------+ | +-----+-----+ | | | | mangle | | <- MARK WRITE +-------+-------+ | Local | | +-----+-----+ | | Process | | | nat | | <-DEST REWRITE +-------+-------+ | +-----+-----+ | DNAT or REDIRECT | +-------+-------+ | | filter | | | OUTPUT | | +-----+-----+ | | ROUTING | +-------+-------+ +-------+-------+ | | | |
  • 41. packet is for another address | | +---------------------------+ | | +-------+---------+ +---------+---------+ | IPCHAINS | | IPTABLES | | FORWARD | | FORWARD | +-------+---------+ +---------+---------+ | | | | | +-----+-----+ | | | | mangle | | <- MARK WRITE | | +-----+-----+ | | | | filter | | | | +-----+-----+ | | +--------+--------+ | | +------------------------------+ |
  • 42. Kernel Packet Traveling Diagram | | +----------------------+----------------------+ | +-------------+------------+ | | +-------+-------+ +---------+---------+ | IPCHAINS | | IPTABLES | | OUTPUT | | POSTROUTING | +-------+------- | +-------+-------+ | | | | mangle | | <- MARK WRITE | | +-------+-------+ | | | | nat | | <- SOURCE REWRITE | | +-------+-------+ | SNAT or MASQUERADE | +---------+---------+ +-----------------+----------+ | +------------+-------------+ | QOS EGRESS | +-----------+--------------+ |
  • 43. Setup – základy firewallu Winbox:: Okno – firewall 1, (záložka) - tabulka „filter“ – pro „filtrování paketů, resp. pro pravidla, které bud mají pakety propustit, či odmítnout. Dále logovat, přidávat do „seznamů“.
  • 44. Setup – základy firewallu Winbox:: Okno – firewall 2, tabulka „NAT“ - pro pravidla, která mají pakety přesměrovat jinam (na ip adresu ve vnitřní síti), - či je změnit ( maškaráda, resp. dnat )
  • 45. Setup – základy firewallu Winbox:: Okno – firewall 3, tabulka „MANGLE“ - primárně pro „označování“ paketů ( markování ) - pro změnu TTL, DSCP, markování spojení
  • 46. Setup – základy firewallu
  • 47. Setup – základy firewallu
  • 48.
  • 49.
  • 52. Setup – firewall - MANGLE
  • 53. Setup – firewall - MANGLE
  • 54. Setup – firewall - MANGLE
  • 55. Přesměrování portu zvenčí na vnitřní IP/port Winbox :: ip –firewall – tabulka NAT - specifikovat vnější ip adresu, protokol, port popř. rozhraní - cíl (action) : dst-nat (měním cíl paketu ) -to addresses: vnitřní adresa ( např. 192.168.1.100 ), rozsah musí existovat, či routa k němu -to ports: pokud je třeba změnit i port
  • 56. Přesměrování portu zvenčí na vnitřní IP/port
  • 57. Firewall – NAT :: Maškaráda = „zamaskování“ vnitřní sítě za jednu veřejnou ip adresu ( z pohledu rozhraní ) - měníme tedy zdrojovou ip adresu není přímý přístup zpět na „lokální počítače“ v routerOS (linuxu) se tato funkce nachází ve firewallu -- tabulka NAT -- chain src-nat -- action – MASQUERADE ( v linuxu : Iptables – tab NAT - ….. )
  • 58. Firewall – NAT :: Maškaráda nastavuje se tedy: - chain – vždy src-nat (modifikujeme zdrojovou ip adresu / počítač ) - src ip adress – zdrojový rozsah ip adres, co chceme NATovat. = lokální ip rozsahy (nemusíme všechny rozsahy, zápis: ip_rozsah / maska) - výstupní interface (WAN), je povinný při chybějícím src ip rozsahu, ale udává se kvůli lepší čitelnosti smyslu NATování - action – masquerade (co se s pakety má dělat)
  • 59. Firewall – NAT :: Maškaráda
  • 64. Logování ve firewallu action „LOG“ ve všech tabulkách
  • 65. Uživatelé - Práva winbox :: users
  • 68. Řízení rychlosti - QoS - systém qos podobný jako v linuxu - omezování/priorizace v ROS používá HTB Postup: 1, vytvoření „označovacího pravidla“ - ve firewallu, tabulka MANGLE - action „set-mark“ 2, vytvoření vlastní „třídy“ (ve queues)
  • 69. QoS – pravidla v MANGLE - stejný systém vytváření pravidel jako v kapitole firewall - tabulka vždy MANGLE - action vždy „packet-mark“ - mark bud může být číslo jako v linuxu, či nějaký řetezec (popis klienta, atd.)
  • 70. QoS – pravidla v MANGLE
  • 71. QoS – pravidla v MANGLE do pole „New Packet Mark“ napíšeme popis, čímž mark vytvoříme, popř. vybereme ze seznamu již existujících „mark“ tlačítkem vpravo OK
  • 72. QoS – vytvoření třídy winbox :: queues :: vybrat: - marku vytvořenou od minule - rozhraní - limity