základy nastavení Mikrotik OS/mikrotik zařízeními /(routerboard). Práce ve winbox a CLI (terminal) prostředí. Dále L2,L3 funkce, firewalling, logování, QoS.
2. Co budeme potřebovat..
Zařízení s RouterOS (Mikrotik, či jiná
platforma )
Počítač se síťovou kartou, popř. s
sériovým portem
Utp kabel, či sériový kabel
Program(utilitu) winbox (popř. telnet, ssh )
3. Jak se k zařízení připojit …
Zařízení je připojeno k PC přímo, či přes
switchovanou ethernet síť
1, winbox-em
- grafická utilita
- více „módů“ připojení
- buď přes MAC adresu, či IP adresu
- při připojení přes MAC adresu není
potřeba mít nastavené ip adresy
ani na počítači, ani v zařízení
( je třeba mít pouze aktivní rozhraní )
4. Připojení – přímo či krz L2 síť
při připojování winboxem na „mac adresu“
je buď možné proskenovat okolí, kde se poté
zobrazí dostupné routerOS zařízení
Popř. zadat MAC adresu přímo do okna winboxu
( v případě chyby při skenování)
-skenování se provádí tlačítkem se 3tečkami
- Skenování v PC občas blokují firewally
(v PC i v zařízení)
6. Připojení k zařízení
Po vyskenování zarízení je možno kliknout bud
na mac adresu, či na IP adresu
- dle toho se do pole „Connect to“ doplní
příslušný údaj
-dále se vyplní login, password
( keep password – zachovat vyplněné heslo)
- Při připojování přes MAC adresu občas nefungují
některé funkce ( přesun souborů ), v tomto
případě je třeba se připojovat přes IP adresu
7. Připojení k zařízení
Při připojování přes IP adresu stačí zadat
IP adresa zařízení (pokud je jich více, tak
stačí libovolná)
2, telnet, ssh
- routerOS je možné se dále připojit krz
klasický telnet, popř. SSH ( i podpora DSA
klíčů)
- zde jen konzolové rozhraní (stejná
hierarchie položek jako ve winboxu)
8. Zařízení je připojeno přes
L2 / L3 ethernet síť
Připojení pouze přes IP adresu
v zařízení musí být výchozí brána
(default gateway) a správně nastaven
routing (viz. dále)
- V případě špatné IP konfigurace je možné
se připojit „mac telnetem“ přes jednotlivé
zařízení (doskákat)
10. Základní prostředí
winbox – zdarma na www.mikrotik.com
horní šedá lišta – add cpu atd …
winbox :: Systém – Identity
- popis zařízení
winbox :: New Terminal
15. Basic setup :: Add IP adress
Přidání – červené tlačítko „+“
16. Basic setup :: Add IP adress
Přidání:
Pole address: IP adresa/ maska
-maska v podobě počtu bitů
255.0.0.0 :: /8 255.255.0.0 :: /16
255.255.255.0 :: 24 255.255.255.248 /29
Pole interface – vybrat rozhraní
-zbytek polí nepovinné, popř. nevyplní se
17. Basic setup :: IP adress
Winbox :: New terminal
Tenet / ssh
-> /ip address print
18. Basic setup :: IP adress :: IPv6
[admin@MikroTik] > ipv6 address print
Flags: X - disabled, I - invalid, D - dynamic, G - global, L - link-local
# ADDRESS INTERFACE
ADVERTISE
0 DL fe80::20c:42ff:fe1d:3d3/64 ether2 no
1 DL fe80::20c:42ff:fe1d:3d2/64 ether1 no
2 DL fe80::20c:42ff:fe1d:3d4/64 ether3 no
3 G fc00:1::1/64 ether1 yes
4 G fc00:2::1/64 ether2 yes
20. Basic setup :: Default gateway
•Přidání – „+“
Pole destination
(cíl) : 0.0.0.0/0
( popř. 0/0 )
Pole Gateway
– ip adresa brány
21. Basic setup :: DNS servery
RouterOS umí jak dnscache, tak „dns
servery pro doménu“
1, nastavení dns serverů vyšší úrovně
( klasické dns servery pro přístup na inet)
- Winbox :: ip – DNS
- V okně DNS - Settings
23. Basic setup :: DNS servery
2, DNS cache
Okno DNS :: Settings
- Zaškrtávátko – Allow remote requests
24. Basic setup :: LAN
Stejné jako přechozí postupy
Lan / wan z hlediska porovnání s
klasickým „broadband router“ rozlišuje v
nastavení firewallu / NAT-u (Masquerade)
Pokud má být více interfaců
myšleno jako LAN, musí se porty přidat do
bridge
25. Basic setup :: Bridges
Winbox :: bridge – „+“
- name – jméno bridge
-> OK
okno „bridge“ – záložka „ports“
- zde přidat jednotlivé rozhraní (interface) do
příslušného bridge
= rozhraní se pak chovají jako klasický switch (L2)
Plus se neuplatňuje routing / firewall atd.
26. Setup – virtual interfaces
Winbox :: interfaces
- Jedním z virtuálních interfaců je „bridge“
- pro příslušnost do vlany – typ VLAN
- bedrátová karta – Wireless
- bridge režim pro bezdrát. Rozrhaní – WDS
- bonding – slučování interfaců (zálohy atd)
- vrrp – pro redundanci dvou a více routerů
27. Setup - VLAN
- přidání jako
virtuální
interface
-dále přiřazení
ke konkrétní
vlaně
29. Setup :: DHCP server
winbox :: IP – DHCP server
- buď průvodce – „DHCP Setup“
- popř. ručně:
1, vytvoření „poolu“, rozsahu přidělovaných ip
adres
:: winbox: IP – Pool
-name – jméno, popisek
- address – rozsah ip adres, ip_rozsah/maska
- OK
31. Setup :: DHCP server
winbox :: IP – DHCP server
- přidání vlastního serveru
-name – jméno, popis serveru
- interface – kde má poslouchat (i bridge)
- address pool – rozsah ip, vytvořený dříve,
či static-only (pouze ručně přidáné záznamy)
- alwast broadcast – vždy komunikovat
všesměeovým vysíláním
- use RADIUS – ověřování dat z externího zdroje
37. Setup – Firewall
V RouterOS je směrování portů, firewall
atd řešen podobně jako v linuxu,
čili pravidla ve firewallu se podobají /
odpovídají linuxovým iptables (ipchains)
Vše se řeší v „ip – firewall“
Průchody jednotlivými tabulkami (chains)
vycházení z principu fungování routeru,
resp. z průchodu paketu kernel jádrem
43. Setup – základy firewallu
Winbox:: Okno – firewall
1, (záložka) - tabulka „filter“
– pro „filtrování paketů, resp. pro pravidla,
které bud mají pakety propustit, či
odmítnout.
Dále logovat, přidávat do „seznamů“.
44. Setup – základy firewallu
Winbox:: Okno – firewall
2, tabulka „NAT“
- pro pravidla, která mají pakety
přesměrovat jinam (na ip adresu ve vnitřní
síti),
- či je změnit ( maškaráda, resp. dnat )
45. Setup – základy firewallu
Winbox:: Okno – firewall
3, tabulka „MANGLE“
- primárně pro „označování“ paketů
( markování )
- pro změnu TTL, DSCP, markování spojení
55. Přesměrování portu zvenčí na vnitřní IP/port
Winbox :: ip –firewall – tabulka NAT
- specifikovat vnější ip adresu, protokol, port
popř. rozhraní
- cíl (action) : dst-nat (měním cíl paketu )
-to addresses: vnitřní adresa
( např. 192.168.1.100 ), rozsah musí
existovat, či routa k němu
-to ports: pokud je třeba změnit i port
57. Firewall – NAT :: Maškaráda
= „zamaskování“ vnitřní sítě za jednu
veřejnou ip adresu ( z pohledu rozhraní )
- měníme tedy zdrojovou ip adresu
není přímý přístup zpět na „lokální počítače“
v routerOS (linuxu) se tato funkce nachází ve
firewallu -- tabulka NAT -- chain src-nat --
action – MASQUERADE
( v linuxu : Iptables – tab NAT - ….. )
58. Firewall – NAT :: Maškaráda
nastavuje se tedy:
- chain – vždy src-nat
(modifikujeme zdrojovou ip adresu / počítač )
- src ip adress – zdrojový rozsah ip adres,
co chceme NATovat. = lokální ip rozsahy
(nemusíme všechny rozsahy, zápis: ip_rozsah / maska)
- výstupní interface (WAN), je povinný při
chybějícím src ip rozsahu, ale udává se
kvůli lepší čitelnosti smyslu NATování
- action – masquerade (co se s pakety má dělat)
68. Řízení rychlosti - QoS
- systém qos podobný jako v linuxu
- omezování/priorizace v ROS používá HTB
Postup:
1, vytvoření „označovacího pravidla“
- ve firewallu, tabulka MANGLE
- action „set-mark“
2, vytvoření vlastní „třídy“ (ve queues)
69. QoS – pravidla v MANGLE
- stejný systém vytváření pravidel jako v
kapitole firewall
- tabulka vždy MANGLE
- action vždy „packet-mark“
- mark bud může být číslo jako v linuxu, či
nějaký řetezec (popis klienta, atd.)
71. QoS – pravidla v MANGLE
do pole „New Packet Mark“ napíšeme
popis, čímž mark vytvoříme,
popř. vybereme ze seznamu již
existujících „mark“ tlačítkem vpravo
OK
72. QoS – vytvoření třídy
winbox ::
queues
:: vybrat:
- marku
vytvořenou
od minule
- rozhraní
- limity