Mikrotik - это латвийская компания, расположенная в городе Рига.
Компания была основана в 1995 и начала производить ПО RouterOS.
RouterOS - это routing software, которая может работать на любом компе PC based hardware.
В 2002 году Mikrotik открыла производство своего железа под названием RouterBOARD.
RouterBOARD - hardware platform, произведённая компанией Mikrotik.
Таким образом, компания Mikrotik выпускает железо RouterBOARD, на котором работает OS RouterOS.
Для работы с Mikrotik нам понадобится Winbox - графический редактор конфигурации.
Его можно скачать здесь:
https://mikrotik.com/download
Изначально Миктрот приходит с дефолтной конфигурацией.
На полностью обнулённый маршрутизатор можно подключиться с использованием WinBOX с использованием MAC адреса.
При этом winbox умеет подключаться без использования IP.
Физически можно подключиться к портам 2-5 (к порту 1 Internet подключиться нельзя).
Username: Admin
Pass: пусто
Если подключиться не получается - конфигурацию можно обнулить.
В случае потери связи с миктротом в удалённом месте его можно ресетнуть до дефолтной конфигурации:
Рассмотрим как полностью обнулить конфиг через CLI:
system reset-configuration no-defaults=yes
Первое что нужно сделать - создать своего админа и удалить дефолтного.
user add name=mikrotadmin password=mikrotpass group=full
Проверка:
user print
Удаление:
user remove X
где x-идентификатор юзера.
Правила по умолчанию будут мешать подключиться снаружи.
Для начала мы их просто удалим, затем следует добавить свои (см.ниже)
ip firewall filter print
ip firewall filter remove 1 ..... ip firewall filter remove 10
Несмотря на то что, на корпусе интерфейсы помечены номерами, это не имеет ни какого отношения к конфигурации.
У микротика всё привязано к имени интерфейса. И, как это ни странно, нет понятия ID интерфейса.
Это означает что из конфигурации нельзя понять, какой физический интерфейс привязан к какому имени.
Поэтому вначале нам следует правильно раздать имена.
Будем следовать схеме:
1 - ether1-isp1
2 - ether2-isp2
3 - ether3
4 - ether4
5 - ether5
После обнуления конфига будет картина:
[admin@MikroTik] > interface print Flags: D - dynamic, X - disabled, R - running, S - slave # NAME TYPE ACTUAL-MTU L 0 R ether1 ether 1500 1 RS ether2-master ether 1500 2 RS ether3 ether 1500 3 S ether4 ether 1500 4 S ether5 ether 1500 5 S wlan1 wlan 1500 6 S wlan2 wlan 1500 7 R ;;; defconf bridge bridge 1500
interface set name=ether1-isp1 numbers=0 interface set name=ether2-isp2 numbers=1
# Присваиваем интерфейсу IP ip address add address=81.211.66.196/26 comment=isp1 interface=ether1-isp1 # # Устанавливаем Шлюз ip route add distance=1 gateway=32.105.149.225
Проверка:
ip address print
ip route print
После выполнения данной минимальной конфигурации роутер будет доступен через Интернет по SSH, Telnet, Winbox.
Поскольку в данном случае разрешено подключаться кому угодно (возможен подбор пароля), необходимо как можно быстрее защитить брендмауэром.
Сделаем порты ether3, ether4, ether5 портами LAN с использованием коммутации Switch.
Это наиболее быстрый тип коммутации, не использующий ресурсы CPU, но и имеет наименьшее количество возможностей.
Порты объединённые одним master-port становятся коммутатором, во главе с этим master-port. При этом master-port используется для коммуникации созданного коммутатора с RouterOS.
Для этого мы выберем master-port.
Мы оставим интерфейсы 0 и 1 для основного и резервного провайдеров.
2, 3, 4 выделим под LAN.
interface ethernet set ether3 name=ether3-master-lan master-port=none interface ethernet set ether4 master-port=none interface ethernet set ether5 master-port=none interface ethernet set ether4 master-port=ether3-master-lan interface ethernet set ether5 master-port=ether3-master-lan
Далее настроим Bridge.
Bridge - это также способ коммутации, но высокоуровневый и более медленный. Bridge нам необходим для связки с WiFi.
interface bridge add name=lan-bridge interface bridge port add bridge=lan-bridge interface=ether3 ip address add address=10.252.10.1/24 comment=lan interface=lan-bridge
Проверка: (следует удалить элементы от дефолтного конфига)
interface ethernet print
interface bridge print
interface bridge port print
ip address print
Хотя админ может создать и свои chains - для уменьшения нагрузки на CPU или для организационных нужд, - но все дополнительные chains будут иметь связи на эти три основные.
Другими словами, user-defined chains увидят трафик лишь в случае, когда этот трафик будет перенаправлен дефолтной chain.
Следующие правила позволят обеспечить безопасность для роутера + работу NAT для внутренних пользователей.
/ip firewall address-list add address=32.105.149.224/28 list=23 add address=192.168.2.0/24 list=23 /ip firewall filter add action=accept chain=input connection-state=established,related add action=accept chain=input protocol=icmp add action=accept chain=input dst-port=8291 protocol=tcp src-address-list=23 add action=accept chain=input dst-port=23 protocol=tcp src-address-list=23 add action=accept chain=input dst-port=22 log=yes protocol=tcp src-address-list=23 add action=drop chain=input in-interface=ether1-isp1 add action=accept chain=forward in-interface=lan-bridge add action=accept chain=forward connection-state=established,related in-interface=ether1-isp1 add action=drop chain=forward in-interface=ether1-isp1
Проверка Firewall:
Смотрим конфигурацию
ip firewall filter print ip firewall filter export
Смотрим текущие сессии:
ip firewall connection print ip firewall connection print detail ip firewall connection print interval=1 ip firewall connection print where src-address ~ "10.252.10.10"
Генерим сами сессии, и сразу их смотрим:
ping 8.8.8.8 src-address=10.252.10.1 ip firewall connection print where src-address ~ "10.252.10.1"
ip dns set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
Проверка версии:
system resource print
Обновление проще всего делать из Winbox:
System > Packages
Check for updates
Жмем Download&Install
Система все сделает сама и перезагрузится.
/ip pool add name=lan-pool ranges=192.168.88.10-192.168.88.254 /ip dhcp-server add address-pool=lan-pool disabled=no interface=lan-bridge name=lan-dhcp # /ip dhcp-server network add address=192.168.88.0/24 comment="LAN" gateway=192.168.88.1 dns-server=192.168.88.1,8.8.8.8 # /ip dns static add address=192.168.88.1 name=router
Проверка:
ip dhcp-server network print
ip dhcp-server print
ip dhcp-server lease print
NAT - это процесс, позволяющий менять source IP, destination IP, source port, destination port.
Функции NAT несколько похожи на Firewall, и также организуются в chains.
/ip firewall nat add action=masquerade chain=srcnat comment="User NAT" out-interface=ether1-isp1
Проверка NAT:
ip firewall nat print ip firewall nat export
Проверка Firewall:
Смотрим конфигурацию
ip firewall filter print ip firewall filter export
Смотрим текущие сессии:
ip firewall connection print ip firewall connection print detail ip firewall connection print interval=1 ip firewall connection print where src-address ~ "10.252.10.10"
Генерим сами сессии, и сразу их смотрим:
ping 8.8.8.8 src-address=10.252.10.1 ip firewall connection print where src-address ~ "10.252.10.1"
tool traceroute 8.8.8.8 src-address=10.252.10.1
/system clock set time-zone-name=Europe/Moscow /system identity set name=Mik01 /system ntp client set enabled=yes primary-ntp=88.147.254.227 secondary-ntp=109.195.19.73
Проверка:
system ntp client print system clock print
/snmp community add addresses=192.168.22.49/32 name=mycomm # /snmp set contact=Vladimir enabled=yes location=Moscow
/ip traffic-flow set active-flow-timeout=1m cache-entries=32k enabled=yes /ip traffic-flow target add dst-address=192.168.22.49 port=9996
/interface wireless security-profiles add authentication-types=wpa-psk,wpa2-psk eap-methods="" management-protection=allowed mode=dynamic-keys name=profile1 supplicant-identity="" wpa-pre-shared-key=my_key wpa2-pre-shared-key=my_key /interface wireless set [ find default-name=wlan1 ] country=russia disabled=no frequency-mode=regulatory-domain mode=ap-bridge name=Mik2Mhz \ security-profile=profile1 ssid=mik2 set [ find default-name=wlan2 ] country=russia disabled=no frequency-mode=regulatory-domain mode=ap-bridge name=Mik5Mhz \ security-profile=profile1 ssid=mik5 /interface bridge port add bridge=lan-bridge interface=Mik2Mhz add bridge=lan-bridge interface=Mik5Mhz
В случае потери связи с миктротом в удалённом месте его можно ресетнуть до дефолтной конфигурации:
/ip address add address=32.105.149.228/27 interface=ether1 network=32.105.149.224
/ip route add distance=1 gateway=32.105.149.225
Комментарии
Добрый день, а что за адреса
Добрый день, а что за адреса в файрволе, это чьи адреса?
/ip firewall address-list
add address=32.105.149.224/28 list=23
add address=192.168.2.0/24 list=23
Это адреса, с которых мы
Это адреса, с которых мы разрешаем подключаться к роутеру для его администрирования. Т.е. некие адреса которым мы доверяем.
Добавить комментарий