mikrotik-osnovna-podesavanja

MIKROTIK - osnovna podešavanja - Software upustva -

Mikrotik je ruter namenjen za razne vrste poslova. Ipak onaj najčešći koji se sa njim obavlja jedeljenje internet konekcije na više računara u lokalnoj mreži. Dobre osobine Mikrotika zaovakvu primenu su u velikom broju opcija za povezivanje sa provajderom (razni tunel protokoli,dinamičko adresiranje, automatizacija i slično), a još više u opcijama za nadzor i kontrolulokalne mreže, a naročito opterećenja internet linka. Sve to dobijate za nisku cenu (cena licenceza Mikrotik je 45 USD).

Bitno je da svako ko namerava da koristi Mikrotik bude dovoljno upućen u osnovne pojmoveumrežavanja. Mikrotik ima mnogo opcija, ali će to biti korisno samo onome ko zna kako da ihupotrebi. Njega, nažalost, ne možete koristiti odmah pošto ga instalirate, neophodno je da gapodesite da bi radio posao koji vam je potreban. Nedostatak znanja je čest izvor frustracija ali toje tako. Pomirite se sa činjenicom da ako želite da se bavite Mikrotikom, ili umrežavanjem,rutiranjem i sličnim, morate mnogo da učite. U ovoj oblasti ništa ne ide na brzaka, usput i na triklika mišem.

U ovom članku, probaćemo da vas uputimo u osnovna podešavanje neophodna da bi steMikrotik koristili za deljenje internet konekcije u lokalnoj mreži. Cilj je da svim računarima ulokalnoj mreži obezbedite pristup Internetu, ali da regulišete ravnomernu kontrolu protoka zasve korisnike. U uputstvu nećemo ulaziti u mnoge detalje, več samo one bitne za deljenjeinternet konekcije.

Preporučujemo da za sve što vam u ovom članku nije jasno, pročitate odgovarajuće poglavlje izuputstva za Mikrotik. Ovaj članak pretpostavlja da ste to već uradili i da imate predznanje, anjegov cilj je da vam pomogne da povežete stečeno znanje u funkcionalnu celinu koja radiodređen, konkretan posao.

Pretpostavke za deljenje konekcije

Obično, kada delimo internet konekciju imamo sledeću situaciju: ruter ima dva mrežnaadaptera - jedan je povezan na internet provajdera, a drugi na lokalnu mrežu.

1 / 24


U lokalnoj mreži može da ima više računara.

Adapter koji je povezan na provajdera nazvaćemo WAN, a adapter koji je povezan na lokalnumrežu nazvaćemo LAN.

Potpuno je nebitno na koji način je uspostavljena veza između provajdera i rutera, kao i rutera iračunara u lokalnoj mreži. Kakve god da su veze, uvek se to može svesti na opšti slučajmrežnog adaptera. Da li je on ethernet, wireless, pppoe, pptp ili drugi vpn, ili nesto sasvimdrugo, nebitno je. Mikrotik svaki od njih vidi pre svega kao mrežni adapter i sva podešavanja suidentična.

WAN adapter dobija neku IP adresu od provadjera, koja može biti javna ili privatna, statična ilidinamična. Za osnovno deljenje Interneta, to nije bitno, sve dok ruter preko uspostavljenekonekcije vidi Internet. Za naš primer deljenja Internet veze, čak je potpuno nebitno koja je IPadresa WAN adaptera tako da nećemo mnogo ulaziti u podešavanje internet veze (to serazlikuje od provajdera do provajdera) i uzećemo da je ona ostvarena na najjednostavniji način:utp kablom i preko DHCP-a. Ako to kod vas nije slučaj, onu konekciju koja zaista predstavljainternet vezu (obično je to PPPoE) nazovite WAN i dalje postupajte po ovom uputstvu.

LAN adapter treba da ima adresu koja odgovara lokalnoj mreži. Lokalna mreža uvek ima adreseiz opsega privatnih adresa, a to su opsezi 10.0.0.0 - 10.255.255.255, 172.16.0.0 -172.31.255.255, 192.168.0.0 - 192.168.255.255 i 169.254.0.0 -169.254.255.255. Ove adrese sene koriste na Internetu i namenjene su za lokalne mreže. LAN adapteru rutera se uvek dajefiksna IP adresa.

Za naš slučaj uzećemo da je opseg IP adresa u lokalnoj mreži 192.168.1.0 do 192.168.1.255(192.168.1.0/24, odnosno, maska mreže je 255.255.255.0.

Adrese 192.168.1.0 i 192.168.1.255 imaju posebnu namenu i ne mogu se dodeljivati mrežnimuređajima. Stoga ćemo ruteru dodeliti adresu 192.168.1.1, a ostalim računarima u mreži ćemododeliti adrese u opsegu 192.168.1.11 do 192.168.1.254 koje ćemo dodeljivati preko DHCP-a.

2 / 24


Računari u lokalnoj mreži treba da imaju za default gateway podešenu IP adresu LAN adapterana ruteru. Ako je na ruteru podešen i DNS, onda na svakom računaru i DNS treba da budepodešen na adresu LAN adaptera na ruteru. Ako lokalnog DNS-a nema, onda treba koristitiDNS od provajdera. U našem primeru uključićemo i lokalni DNS.

Adrese od 192.168.1.2 do 192.168.1.10 ćemo ostaviti neiskorišćene za slučaj da u mrežipodignemo neki server (serveri takođe uvek imaju statične IP adrese). Adrese od 192.168.1.200do 198.161.221 čemo dodeljivati kao dinamičke adrese a sve ostale kao statičke.

Početna podešavanja

Ukratko ćemo proći početna podešavanja koja treba napraviti na Mikrotiku. Pre svega, uračunar ubodite samo jednu mrežnu kartu i to onu koju nameravate da koristite kao LANadapter. Ako odmah ubacite obe, Mikrotik ce ih obe prepoznati i prikazati, ali će im sam dodelitiimena, a vi nećete znati koja je koja. Kada ubacite samo jednu, znaćete tačno koja je jer će bitijedina. Kada nju preimenujete onda možete ubaciti i drugu karticu koju ćete onda lakoprepoznati.

Podignite Mikrotik i uđite u njega u konzolnom režimu (najbolje je da na računar povežetemonitor i tastaturu). U njemu ćete kucati komande.

Prvo pokrenite jednostavan program setup za šablonska podešavanja koji nudi sledeće opcije:

[admin@MikroTik] > /setup

Setup uses Safe Mode. It means that all changes that are made during setup are reverted in

case of error, or if Ctrl-C is used to abort setup. To keep changes exit setup using the 'x'

3 / 24


key.

[Safe Mode taken]

Choose options by pressing one of the letters in the left column, before dash. Pressing 'x'

will exit current menu, pressing Enter key will select the entry that is marked by an '*'. You

can abort setup at any time by pressing Ctrl-C.

Entries marked by '+' are already configured.

Entries marked by '-' cannot be used yet.

Entries marked by 'X' cannot be used without installing additional packages.

r - reset all router configuration

+ l - load interface driver

+ a - configure ip address and gateway

d - setup dhcp client

4 / 24


+ s - setup dhcp server

+ p - setup pppoe client

t - setup pptp client

* x - exit menu

your choice:

Ovim programom možete podesiti skoro sve što vam je za početak potrebno, ali ćemo ipak ićibez njega, kucanjem komandi, kako bi ste ih naučili i navikli na njihovo korišćenje.Upotrebićemo ga jedino za reset svih podešavanja Mikrotika za slučaj da ste na njemu većnešto podešavali, da izbegnete probleme. izaberite opciju r i potvrdite da želite reset i restartrutera. Sačekajte da se Mikrotik ponovo podigne i ponovo uđite u konzolni režim.

Sada ćemo prvo da preimenujemo interfejs koji je Mikrotik nazvao ether1 u LAN. Pre togaproverićemo koji je redni broj interfejsa komandom /interface ethernet print.

[admin@MikroTik] > /interface ethernet print

Flags: X - disabled, R - running

# NAME MTU MAC-ADDRESS ARP

5 / 24


0 R etherl 1500 00:51:04:1F:47:C0 enabled

Prikazana je lista interfejsa koja, kako smo i očekivali ima samo jednog člana, mrežnu karticukoju smo priključili u računar. Redni broj je naveden u koloni označenoj sa #. Naša kartica imaredni broj 0. Sada joj menjamo ime:

[admin@MikroTik] > /interface ethernet set 0 name lan

I ponovo pogledamo listu da proverimo da li je sve u redu:




0 R lan 1500 00:51:04:1F:47:C0 enabled

Sada isključite Mikrotik, ubodete u njega i drugu karticu i nju na sličan način preimenujete uwan. Ona će se koristiti za povezivanje na Internet. Nije loše da i spolja, na samim karticama,flomasterom ili na neki drugi način, označite koja je lan, a koja wan da možete da se snađete sakablovima. Ako ste sve podesili kako treba lista interfejsa izgleda ovako:



6 / 24



0 R lan 1500 00:51:04:1F:47:C0 enabled

1 R wan 1500 00:51:04:1F:5B:03 enabled

Kad smo već kod ove liste da napomenemo da svaka kartica ima fabrički upisan serijski brojkoji se naziva MAC. U listi interfejsa on je naveden u koloni MAC-ADDRESS. Ovaj broj jenapisan na samoj kartici, tako da ako se zbunite pa ne znate koja je koja kartica, po ovom brojumožete da ih razlikujete. Ipak, vodite računa da se MAC može menjati u Mikrotiku, tako da akoste to uradili onda se broj koji prikazuje Mikrotik može razlikovati od broja koji piše na kartici.Međutim sada to nije bitno, jer ste daleko od potrebe da menjate MAC.

Kada su kartice obe preimenovane, možemo da ih podesimo. Za LAN interfejs smo isplaniralida mu damo adresu 192.168.1.1. Kucajte sledeće:

/ip address add address=192.168.1.1/24 interface=lan

LAN adapteru ne podešavamo podrazumevani prolaz (default gateway) jer mu nije potreban.Ovaj inteerfejs će u stvari biti podrazumevani prolaz ostalim računarima u lokalnoj mreži.

Za WAN interfejs postoji više mogućnosti zavisno kako se ruter povezuje na provajdera. Onmože biti dhcp, pppoe ili pptp klijent. Za ovu priliku ćemo uzeti da se radi o dhcp klijentu jer je tonajjednostavniji slučaj. Uključićemo da interfejs od DHCP servera uzme podatke o DNS-u ipodrazumevanom prolazu.

/ip dhcp-client add interface=wan use-peer-dns=yes disabled=no add-default-route=yes

7 / 24


Sada je ruter podešen za obe mreže i možemo proveriti da li je dobio obe IP adrese:

[admin@MikroTik] > /ip address print

Flags: X - disabled, I - invalid, D - dynamic

# ADDRESS NETWORK BROADCAST INTERFACE

0 192.168.1.1/24 192.168.1.0 192.168.1.255 lan

1 D 212.71.91.14/32 212.71.91.14 0.0.0.0 wan

Vidimo da oba interfejsa imaju IP adrese. LAN ima fiksnu koju smo podesili a WAN imadinamicnu, koju je preko DHCP-a dobio od provajdera. Dodatno možete probati da komandom/ping wireless.uzice.net proverite da li internet zaista radi:

[admin@infosys] > /ping wireless.uzice.net

75.126.144.69 64 byte ping: ttl=47 time=192 ms



8 / 24


3 packets transmitted, 3 packets received, 0% packet loss

round-trip min/avg/max = 183/187.6/192 ms

Ako ping radi to znači da Mikrotik lepo vidi Internet i da radi i DNS. Ako ping prijavi da adresawireless.uzice.net ne postoji što može da znači ili da internet konekcija ne radi ili da nije dobropodešen DNS. Ako sumnjate na DNS onda pingujte direktno IP adresu 75.126.144.69. Ako tajping radi to znači da internet konkcija radi, ali da DNS nije u redu. Ako ni tako ne radi ping, ondaje problem sa internet konekcijom.

Sledeće što podešavamo je DHCP, kako ne bismo morali da ručno podešavamo IP adresusvakog računara u lokalnoj mreži. DHCP je servis kome se obraća svaki klijentski računarpodešen da to radi (a podrazumevano jeste podešen) kada ga uključimo. Pojednostavljeno,računar se javi u mrežu i zatraži parametre za podešavanje svog mrežnog interfejsa. Tajračunar je DHCP klijent i on će od DHCP servera dobiti sve potrebne podatke, podesiće ih injemu će mreža postati vidljiva.

Nešto ranije smo ruter podesili da bude DHCP klijent na WAN adapteru. Sada je potrebno daračunari u lokalnoj mreži budu klijenti, a da Mikrotik ruter njima bude DHCP server na interfejsuLAN.

Prvo ćemo napraviti pul adresa (pool) pod nazivom dhcp-pool-1 koji će sadržati opeg192.168.1.200-192.168.1.251. Ove adrese će biti dodeljivane računarima koji se obrateDHCP-u, a nismo im unapred dodelili fiksne adrese (o tome ćemo kasnije).

/ip pool add name=dhcp-pool-1 ranges=192.168.1.200-192.168.1.251

Sledeće što podešavamo su parametri lokalne mreže koji će biti dodeljivani računarima kada seobrate DHCP-u, a pripadaju definisanoj lokalnoj mreži 192.168.1.0/24. DNS i gateway će biti192.168.1.1, dakle LAN adapter Mikrotika.

9 / 24


/ip dhcp-server network add address=192.168.1.0/24

dns-server=192.168.1.1 gateway=192.168.1.1 disabled=no

I konačno, podešavamo sam DHCP server koji će dodeljivati adrese iz podešenog pula, avreme trajanja dodeljene adrese je 3 dana. Uključili smo da se DHCP ponaša kao autoritativniserver u lokalnoj mreži, što znači da neće dozvoljavati da u mreži postoji još neki drugi DHCP.To se radi iz sigurnosnih razloga, jer dva DHCP-a u mreži je dobar recept za probleme.

/ip dhcp-server add name="lan-dhcp" interface=lan address-pool=dhcp-pool-1

lease-time=3d00:00:00 authoritative=yes disabled=no

Pošto smo u DHCP parametrima podesili da je DNS server za lokalnu mrežu takođe Mikrotik,onda moramo uključiti DNS:

/ip dns set allow-remote-requests=yes

Prilikom prethodnog podešavanja DHCP klijenta uključili smo opciju da WAN od DHCP serveraprovajdera preuzima i adresu DNS servera, to će svi DNS upiti koje lokalni računari budu poslaliMikrotiku on proslediti DNS-u proajdera, ali će rezultate čuvati u lokalnom kešu tako daponovljene upite ne mora da ponovo prosleđuje. Lokalni DNS je zgodan i zato što omogućavada dodelite mnemoničke adrese lokalnim računarima, tako da možete da ih oslovljavate bezpamćenja IP adresa. Pogledajte članak: Kreiranje statičnih DNS slogova od DHCP-a.

Na lokalnim računarima proverite da li sve radi kako treba, ponajbolje komandama ping itraceroute. Ove komande su objašnjene u članku Šta je ping i tracert (traceroute)?

10 / 24


Ovim smo završili podešavanje Mikrotika da bude operativan. Sada ostaje da napravimodeljenje Interneta i ograničenje protoka.

Kako deliti internet konekciju

Provajder vam, po pravilu, daje samo jednu IP adresu po konekciji, a pošto znamo da jedna IPadresa može da se dodeli samo jednom uređaju u mreži, to u praksi znači da tu adresu dobijasamo onaj uređaj koji se poveže na provajdera. To se dešava i ako je taj uređaj Mikrotik, onogmomenta kada uspostavi internet konekciju biva mu dodeljena jedna IP adresa i to je to.

To naravno ne znači da samo Mikrotik može da vidi Internet. Preko njega, to mogu i računari izlokalne mreže.

Mikrotik možemo podesiti u režim kada on radi kao posrednik između računara u lokalnoj mrežii Interneta, prenoseći sve konekcije. Ovaj režim je NAT ruting (skraćeno od Network AddressTranslation). Postoje dve vrste NAT-a a ona koja je nama u ovom trenutku interesantna jeMaskiranje (Masquerading).

Šta to u stvari znači?

Kada neki od računara treba da uspostavi konekciju sa drugim računarom koji je na Internetu(to može biti i običan pristup nekom web serveru), on će se obratiti Mikrotiku. Mikrotik ćeprihvatiti konekciju, utvrditi gde je usmerena i sam će je ostvariti (ne zaboravite samo Mikrotikvidi Internet), a zapamtiće koji je lokalni računar tražio tu konekciju. Kada dobije neki povratniodgovor, on će ga jednotavno proslediti računaru koji je tražio konekciju. Ovaj će to dobiti i nećeni primetiti da u stvari nije napravio direktnu konekciju već je sve išlo preko Mikrotika. Zbog togase ovaj postupak zove NAT, jer se vrši transliranje internet adresa. U literaturi se često podNAT-om u stvari podrazumeva upravo ovaj način rada. Mikrotik ovaj postupak zove maskiranje(Masquarade) upravo zato što on praktično maskira lokalne računare i predstavlja se da onpravi upit, a ne oni. Uključivanje maskiranja je jednostavno: povežite se na Mikrotik ukonzolnom režimu i na komandnoj liniji otkucajte:

11 / 24


/ip firewall nat add chain=srcnat action=masquerade out-interface=WAN

Šta smo ovim podesili? Pre svega dodali smo pravilo u srcnat lanac NAT-a. On se odnosi nakonekcije kojima je izvor u lokalnoj mreži. U pravilu smo naveli da se odnosi na sve konekcijekojima je izlazni interfejs WAN, a akciju koju treba izvršiti je masquerade. Praktično, to znači dase pravilo odnosi na sve konekcije koje su iz lokalne mreže upućene prema Internetu, a da sena njih primenjuje Maskiranje. I to je sve. Od tog momenta, svaki računar u lokalnoj mreži imaćepristup Internetu. Zapamtite: kad god radite NAT konekcija koje pokreću računari iz lokalnemreže, koristite srcnat lanac.

Kako ograničiti protok

Ovo je bitan preduslov da deljenje internet konekcije uopšte ima smisla. Ako se ne uradiograničenje protoka, to znači da će onaj korisnik koji prvi povuče nešto sa Interneta zauzeti savprotok, a ostali će morati da čekaju, ili će im Internet raditi sporo. Mikrotik ima prilično moćan ikomplikovan sistem kontrole protoka. Za neka ozbiljnija podešavanja potrebno je dostaisksutva, ali mi ćemo se zadržati na najosnovnijem.

Mikrotik kontrolu protoka ostvaruje tako što pravi red čekanja za sve pakete. Zadržavanjempaketa, on reguliše brzinu protoka. Za svaki paket se na osnovu zadatih pravila određuje kolikotreba da čeka i kada mu vreme istekne on bude pušten na odredište. Naše je da podesimopravila tako da Mikrotik reguliše protok onako kako nama odgovara.

Obično, pred Mikrotik se postavljaju dva zahteva: prvi, da se protok ograničava za svakogkorisnika pojedinačno i drugi, da se protok ravnomerno deli na sve korisnike. Iako postoji višenačina da se ovo postigne, zadržaćemo se na najjednostavnijem, korišćenjem jednostavnihredova čekanja (simple queues).

Da bi smo mogli da ograničimo nekog korisnika, moramo imati mogućnost da odredimo ko jeko. Najjednostavniji način je preko IP adrese. Međutim, u našem podešavanju DHCP servera,podesili smo da se adrese dodeljuju iz opsega adresa, ali ne i ko će dobiti koju adresu. Zatoćemo podešavanje DHCP servera dodatno proširiti. Potrebno je da podesimo statične IP adrese

12 / 24


za izabrane korisnike:

/ip dhcp-server lease add address=192.168.1.11 mac-address=00:04:1D:0A:5A:6C

server=lan-dhcp comment="pc1" disabled=no

/ip dhcp-server lease add address=192.168.1.12 mac-address=00:04:1D:0A:62:AE


/ip dhcp-server lease add address=192.168.1.13 mac-address=00:1C:48:F2:00:17


Ovako smo podesili da računari koji imaju navedene MAC adrese uvek dobijaju zadate IPadrese (ne zaboravite MAC adresa je serijski broj mrežnog interfejsa, tako da ako kojimslučajem promenite mrežnu karticu u računaru, menja se i MAC).

Sada možemo da protok ograničimo po tim adresama. Jednostavni redovi čekanja jeunapređeni mehanizam koji Mikrotik obezbeđuje za brzo i prilično zadovoljavajuće ograničenjeprotoka.

/queue simple add name="pc1" dst-address=192.168.1.11/32

interface=wan direction=both priority=8 queue=default/default

13 / 24


limit-at=32000/32000 max-limit=64000/64000 disabled=no







/queue simple add name="ostali" dst-address=0.0.0.0/0



Ova pravila određuju da se za poznate računare protok ograničava tako da je garantovaniprotok (CIR, limit-at) 32kbps, a maksimalni protok (MIR, max-limit) 64kbps. Ograničenja mogubiti i različita za svaki računar.

14 / 24


Ukratko ćemo objasniti šta znače upotrebljeni parametri:

name - daje ime pravilu, treba da dovoljno jasno opisuje na šta se pravilo odnosi

dst-address - adresa računara na koji se odnosi pravilo (može da se odnosi i na ceo opsegadresa). Maska /32 znači da se odnosi samo na jednu, navedenu, adresu

interface - pravilo se odnosi samo za konekcije na navedenom interfejsu. WAN je interfejs prekokoga nama ide internet. Često se ovo zaboravi, pa interfejs nije naveden a onda to znači da sepravilo primenjuje na sve interfejse zajedno, što često, nije baš ono što bi smo želeli.

direction - vrlo važan parametar. Inače se pravila ograničenja brzine odnose na samo jedansmer (upload ili download), ali je u Mikrotiku simple queue osmišljen tako da može daistovremeno limitira i oba smera - ono što najčešće i treba. Ovaj parametar određuje na kojismer se odnosi pravilo.

priority - odrežuje prioritet pravilu. Ima osam nivoa prioriteta i ona pravila koja imaju manji brojimaju veći prioritet. Dakle ako nastane gužva i ne mogu sva pravila biti ispoštovana, ona savećim prioritetom imaju prednost. Dobro je za neke servise staviti veći prioritet da bi radili i kadaje link preopterećen.

queue - lista čekanja za koju se vezuje pravilo. Ovo morate proučiti u uputstvu Mikrotika jer jepreviše komplikovano za temu ovog članka

limit-at - garantovani protok. Ruter će se truditi da korisniku uvek obezbedi bar ovaj protok.Mogu se navesti dve brzine, odvojene znakom /. Jedna se odnosi na brzinu uploada, a drugana brzinu downloada

15 / 24


max-limit - maksimalna dozvoljena brzina. Kad god je moguće, ruter će korisniku dozvoljavatiovu brzinu ali ne veću od toga. Takođe se mogu posebno podesiti brzina za upload i download.

disable - pravilo možete po potrebi isključiti, a da ga ne uklanjate.

Poslednje pravilo, nazvano "ostali" se odnosi na sve konekcije koje nisu obuhvaćeneprethodnim pravilima. Pravila se inače primenjuju odozgo na dole, redom kako su definisana, ikada neko pravilo važi za konekciju, izvršava se, a dalje se pravila na toj konekciji neizvršavaju.

Tako, ako se pojavi konekcija koju je napravio neki četvrti računar, za koji nismo podesiliograničenje, za njega neće važiti pravila podešena za druge računare, pa će on stići do pravilapod nazivom ostali, koje će mu značajno saseći protok. Ako dodate još jedno pravilo za četvrtiračunar ali, greškom, ono ono bude iza pravila "ostali", to pravilo neće nikada biti izvršeno, jerće pravilo "ostali" uhvatiti svaku konekciju koja do njega dođe. Ovo je, inače česta greška, kojase omakne i iskusnima.

U ovom načinu podešavanja ograničenja ravnomernu podelu protoka obezbeđujemo tako štosvim korisnicima podesimo iste parametre ograničenja protoka. Ravnomernost je posebnoobezbeđena kroz CIR i MIR princip. CIR je garantovani protok i njime nalažemo ruteru da seuvek trudi da korisniku obezbedi bar taj protok, a ako link nije opterećen, ruter će korisnikudozvoliti i veću brzinu, ali ne veću od MIR (maksimalan protok).

Ako želite malo napredniji način podešavanja, možete uvesti jednostavan sistem nivoa zakorisnike koji je objašnjen u članku Ograničenje protoka po nivoima korisnika (skript).

Otvaranje portova za konekcije spolja

Podešavanje Mikrotika koje smo opisali potpuno izoluje korisnike u lokalnoj mreži. Mikrotik radikao zaštitni zid (firewall). Njima nije moguće pristupiti sa Interneta ni na koji način, nema togvirusa, trojanca ili napadača koji će proći kroz Mikrotik i napasti računare u lokalnoj mreži, takoda su oni bezbedni.

16 / 24


Bezbednost može da se naruši samo ako računari iz lokalne mreže uspostave konekciju sanekim računarom na Internetu. Korisnici uvek mogu, pristupom nekom sajtu ili konekcijom sanekim računarom na internetu da preuzmu virus i trojanac i tako budu napadnuti i od toga ihzaštitni zid ne može zaštititi. Zaštita je obezbeđena od direktnih napadu sa Interneta, koji se nemogu dogoditi.

Međutim, često je neophodno da dozvolimo neke konekcije spolja. Ako imate mail server ulokalnoj mreži, logično je da omogućite da mu se može prići spolja, prvo da bi uopšte mogao daprima email, a onda i da bi, eventualno, korisnici mogli sa Interneta da mu priđu da bi proveriliemail. Takođe, za neke aplikacije koje koriste Internet (neke igre, filesharing klijenti, i slično)neophodno je da se obezbedi da se računaru u lokalnoj mreži može prići i sa Interneta.

Ovo se postiže translacijom portova. To je veoma slična opcija kao što je NAT, samo što radi usuprotnom smeru - omogućava da se neki Mikrotikov port koji je vidljiv sa Interneta preusmerina neki port nekog od lokalnih računara. Postupak se zove Port Address Translation (PAT). UMikrotiku se to izvodi kao NAT, samo u dst-nat lancu.

Kako radi PAT: recimo da želite da preusmerite dolazni TCP port 25 (smtp) sa Interneta, nalokalni računar 192.168.1.2 na kome se nalazi mail server, koji i inače očekuje konekcije naportu 25, pošto je to standardni port za smtp protokol, prijem email poruka. Podesićemo Mikrotikkomandom:

/ip firewall nat add chain=dstnat in-interface=wan protocol=tcp dst-port=25

action=dst-nat to-addresses=192.168.1.2

Dodali smo pravilo u dst-nat lanac NAT-a, koje se odnosi na dolazne konekcije koje stižu nawan interfejs (dakle dolaze sa Interneta), na TCP port 25 i takve konekcije prosleđuje akcijomdst-nat na lokalnu IP adresu 192.168.1.2 na kojoj se nalazi email server. Pošto nismo naveliodredišni port na lokalnoj IP adresi, Mikrotik će konekciju proslediti na isti port kao što je iulazni, u ovom slučaju to je TCP port 25.

17 / 24


Praktično, ovakvim podešavanjem, izveli smo da se lokalni mail server vidi na Internetu najavnoj IP adresi Mikrotika. Kada neki računar pošalje uput i konekciju na TCP port 25, Mikrotikće tu konekciju primiti, proslediće upit na lokalnu IP adresu, a kada dobije odgovor, vratiće gaizvornom pošiljaocu.

Dakle, stvar radi vrlo slično kao i src-nat maskarada samo u suprotnom smeru i samo zanavedeni port. Ako se na Mikrotik-u pojavi neka konekcija na port koji nije podešen, Mikrotik ćetu konekciju ignorisati, kao da je nije ni video. Time onu stvari štiti mrežu od nenamenskihkonekcija.

Ovako možete podesiti koje god portove želite, s tim da morate voditi računa da isti port nemožete proslediti na više lokalnih računara ili portova na jednom računaru.

Kada je u pitanju mail serverpotrebn je slično podešavanje napraviti i za TCP port 110 (pop3),da bi se sa Interneta moglo pristupiti preuzimanju pošte. Pravilo za to je:

/ip firewall nat add chain=dstnat in-interface=wan protocol=tcp dst-port=110

action=dst-nat to-addresses=192.168.1.2

Ako želite da sve dolazne konekcije prosledite jednom lokalnom računaru, tako da se sveponaša kao da je u stvari on direktno na Internetu, to se zove DMZ (DeMilitarized Zone). Ovakonešto se retko radi jer direktno izlaže računar na Internet i time ga izlaže i svim mogućimopasnostima. Ovo podešavanje je znatno jednostavnije nego prosleđivanje jednog porta:

/ip firewall nat add chain=dstnat in-interface=wan action=dst-nat to-addresses=192.168.1.2

Od prethodnog primera se razlikuje samo utoliko što je uklonjen filter, odnosno, pravilo

18 / 24


obuhvata sve konekcije koje dođu sa Interneta. Još jednom, ovo nemojte raditi osim ako dobroznate zašto to radite.

Zaštita zabranom konekcija

Kada uspostavite deljenje Interneta u lokalnoj mreži, vrlo brzo se susrećete sa problemomsprečavanja zlonamernih ili nepoželjnih konekcija. Ovo se pre svega odnosi na zaštitu resursaod raznih vrsta napada, ali ne retko i sprovođenje politike deljenja Interneta kroz zabranu nekihservisa (obično je to recimo zabrana p2p downloada, zabrana pristupa nekim sajtovima islično).

Kada imate samo jedan računar povezan na Internet, lako je kontrolisati ga, postavite na njegadobar antivirus, neki zaštitni zid i to će da radi posao. Međutim, kada je mreža u pitanju, morateimati način da napravite opštu zaštitu bez obzira kako su pojedinačni računari podešeni izaštićeni i ko ih koristi. Taj posao spada na ruter, u našem slučaju Mikrotik.

Kvalitetno zabranjivanje konekcija nije uvek baš jednostavno i traži iskustvo, pa nećemo dubljeulaziti u taj problem. Zadržaćemo se na jednostavnom i uobičajenom postupku - zabrani slanjaemaila preko servera na Internetu.

Da opišemo problem koji želimo da rešimo: ako se neki računar zarazi virusom ili trojancem, tajće pokušati da se na sve moguće načine razmnoži. Jedan od najomiljenijih načinarazmnožavanja je putem email poruka. Računar koji zapati virus počinje da šalje ogroman brojporuka preko samo njemu znanih kanala, nastojeći da zarazi druge korisnike na Internetu. Vrlobrzo, takav napad će biti prepoznat, a Internet provajderi će, kao jedinu moguću meru, primenitizabranu primanja emaila sa vaše javne IP adrese. Tako, pored štete koju je vaš lokalni zaraženiračunar napravi drugima, napraviće je i vašoj mreži, jer više nećete moći uopšte da šaljete.

Da biste to predupredili, možete uraditi vrlo jednostavnu stvar - zabranićete slanje email-a nainternet servere. Vaši korisnici će email uvek moži da pošalju koristeći lokalni email server komeće jedino biti dozvoljeno da šalje poruke na Internet. Virusi neće umeti da se u toj situacijisnađu, jer oni za vaš lokalni email server ne znaju. Jednostavnom odlukom, da svako slanjeemaila koje ne ide preko lokalnog severa smatrate opasnim i blokirate, rešićete sebi jedanogroman problem.

19 / 24


Zabrane i dozvole konekcija se vrše u opciji /ip firewall filter. Tu možete uneti raznovrsna pravilaza upravljanje saobraćajem koji prolazi kroz ruter. Pravila se postavljaju u tri osnovna lanca:

input - lanac koji obuhvata konekcije koje dolaze na Mikrotik, odnosno upućene su Mikrotiku(takva je na primer telnet ili Winbox konekcija na Mikrotik radi njegove administracije). Pravila uovom lancu najčešće štite sam Mikrotik.

forward - lanac koji obuhvata konekcije koje prolaze kroz Mikrotik (to su konekcije koje idu izlokalne mreže na Internet i obratno)

output - lanac koji obuhvata konekcije koje idu od Mikrotika (obično odgovori na konekcije uinput lancu)

Očigledno, za filtriranje Intenet konekcija koje prave korisnici iz lokalne mreže, potrebno je dapravila filtriranja postavimo u forward lanac. Sama pravila mogu biti zaista veoma raznovrsna ikompleksna pa je za njihovo potpuno razumevanje neophodno da dobro proučite uputstvo zaMikrotik. Ipak, kroz ovaj primer blokiranja email konekcija, uvešćemo vas u sam principfiltriranja.

Dakle, zadatak je da svim računarima u lokalnoj mreži zabranimo slanje emaila direktno naInternet, osim računaru na kome je email server, a koji je na adresi 192.168.1.2.

/ip firewall filter add chain=forward

protocol=tcp dst-port=25 out-interface=wan src-address=!192.168.1.2

action=drop comment="zabrani smtp"

20 / 24


Ovo pravilo znači: u forward lancu filtera sve TCP konekcije na port 25 koje su kroz ruterposlate na izlazni interfejs wan (to jest na Internet), a ne potiču sa računara čiji je IP192.168.1.2, zabrani (drop). To zaista znači kraj, niko neće moći da pošalje email na Internet,osim email servera.

Iako radi posao, ovo pravilo ima nestotatak što je komleksno, te ne možete letimičnimpregledom da lako prepoznate koja mu je funkcija. To znači da, ako vam se pojavi problem, ugomili raznih pravila nećete lako moći da utvrdite koje od njih je uzrok. Preporuka je da pravilabudu što je jednostavnije moguća, radi preglednosti. Zbog toga je bolje ovo pravilo zameniti sadva koja su jednostavnija i očiglednije pokazuju kako su filteri podešeni.

Dakle, umesto ovog pravila napisaćemo stvar nešto drugačije: podesićemo dva pravila, jednokoje dozvoljava slanje emaila sa servera i jedno koje zabranuje slanje emaila svima ostalima.

Pošto se u Mikrotiku sva pravila izvršavaju po redosledu kojim su upisana, prvo ćemo dodatipravilo kojim dozvoljavamo email serveru da šalje email, a onda iza toga drugo pravilo koje ćesve ostale konekcije na mail servere na Internetu zabraniti. To će izgledati ovako:


protocol=tcp dst-port=25 out-interface=wan src-address=192.168.1.2

action=accept comment="dozvoli email serveru smtp "


protocol=tcp dst-port=25 out-interface=wan

21 / 24


action=drop comment="zabrani smtp"

Pravila u filteru Mikrotika se izvršavaju redom od prvog do poslednjeg, sve dok se ne naiđenapravilo koje ima konačnu akciju. Akcije accept (prihvatanje konekcije) i drop (odbijanjekonekcije) su konačne - ako konekcija odgovara pravilu, biće odobrena ili odbijena i dalje sepravila u filteru za tu konekciju neće izvršavati. Postoje i pravila koja ne prekidaju izvršavanjefiltera, a o njima ćete više saznati iz uputstva za Mikrotik.

Da objasnimo šta ova dva pravila koja smo podesili znače.

Prvo u filter u forward lanac stavljamo pravilo koje obuhvata konekcije na TCP port 25 upućenena wan kao izlazni interfejs (dakle na Internet) a koje uputi email server koji je na IP adresi192.168.1.2. Ovo pravilo odobrava konekcije, što znači da je email severu dozvoljeno da šaljeemail.

Ako konekcija ne odgovara ovom pravilu biće prosleđena dalje.

Sledeće pravilo u forward lancu sve TCP konekcije na port 25 upućene na wan kao izlazniinterfejs (opet, ka Internetu) zabranjuje. Ovo pravilo nije ograničeno na neki konkretan IP, većobuhvata ama baš svaku konekciju na port TCP 25. To je zato što prethodno pravilo jasnodozvoljava mail serveru da šalje email tako da u ovom pravilu ne treba to naglašavati.

Ova dva pravila, kada ih letimično pogledate u listi svih pravila, mnogo očiglednije pokazuju štatačno rade. Zbog toga je to preporučljiv način podešavanja pravila - ako podešavate pravilozaneki izuzetak, trudite se da taj izuzetak obradite posebnim pravilom.

Upsut, dobijate i mogućnost da, ako želite još nekome da dozvolite slanje emaila direktno naInternet, da između ova dva prvila prosto dodate novo, koje to obezbeđuje.

22 / 24


Winbox

Ako pitate zašto sve ovo mora da se kuca, kada Mikrotik ima odličan administratorski alatWinbox, odgovor je u tome što ovim pristupom, preko komandi, mnogo lakše savlađujete logikuMikrotika. Ako umete da koristite Winbox, naravno, i treba tako da radite, jer je brže,jednostavnije, preglednije, jednom rečju mnogo lakše.

Praviti uputstvo sa primerima u Winbox-u je mnogo komplikovanje, jer bi ono moralo da sadržimnogo snimljenih ekrana, tako da to nije ekonomično. No, evo kratkog objašnjenja kako da sena sveže instalirani Mikrotik povežete Winbox-om.

Kada u Mikrotik ubacite mrežnu karticu, povežite je sa drugim računarom ukrštenim UTPkablom (kako napraviti ukršteni kabal imate u članku Osnove umrežavanja). Na tom računarupokrenite Winbox i umesto da ukucate IP adresu Mikrotika, pošto mu adresa još nije dodeljena,kliknite na dugme sa tri tačkice koje se nalazi odmah pored polja za unos adrese. Pojaviće senovi prozor sa listom svih Mikrotikova koji su u tom momentu vidljivi, a u ovom slučaju to će bitisamo jedan, naš sveže instalirani. Dupli klik na njega pokrenuće konekciju.

Trik je u tome što za povezivanje na Mikrotik u stvari nije neophodna IP adresa. Winbox ume dase poveže na Mikrotik i ako vidi samo njegov MAC.

Ovo naravno ima i neka ograničenja:

- preko MAC se možete povezati samo na Mikrotik koji je direktno povezan na računar na komeje Winbox. Pod direktno, mislim na vezu direktno UTP kablom, preko wireless-a, preko switch-ai na bilo koji drugi način ako između Winbox-a i Mikrotika ne stoji nekakav ruter. To znači da akovam je mreža rutirana videćete samo one Mikrotikove koji su u segmentu mreže na koji stepovezani.

- MAC konekcija je osetljiva. Ako je fizicka veza problematična, recimo wireless sa velikimlagom, Winbox će se teško snalaziti i često će raskidati konekciju. Zbog toga, kada se povežeteputem MAC-a, što pre podesite Mikrotiku IP adresu i nadalje se povezujte preko IP-a.

23 / 24


Winbox ima jedan bag koji ga onemogućava da se na MAC adresu poveže ako na računaru nakome je Winbox postoji više od jednog aktivnog mrežnog interfejsa. Ako imate recimo bluetoothili tako nešto slično, onemogućite tu konekciju (disable) da bi Winbox mogao da se poveže naMikrotik.

Zbog svega toga, dobro je da prvo što uradite na Mikrotiku kada se povežete na njega, da mupodesite IP adresu da bi ste iz Winbox-a mogli da se povežete preko IP adrese, konekcijomkoja je mnogo stabilnija.

Zaključak

Ovim smo napravili podešavanja koja obezbeđuju dovoljan nivo kontrole deljenja Interneta.Mikrotik naravno može mnogo više ali o tome ćemo u nekom drugom uputstvu.

Međutim, iako vam ovo podešavanje lepo radi nemojte se prevariti da pomislite da je sve takojednostavno, jer nije. Samim omogućavanjem pristupa Internetu pred vas se postavlja zahtevbezbednosti i to sa obe strane, jer opasnost vreba i sa Interneta ali i sa lokalne mreže. Na tododajte moguće zlonamernike koji imaju pristup lokalnoj mreži i žele da je zloupotrebe, makar isamo utoliko da sebi priušte veću brzinu protoka nego što ste predvideli. Ima tu još dosta posla,čitanja i učenja.

{JComments ON}

Joomla SEO by AceSEF

24 / 24

http://www.joomace.net/joomla-extensions/acesef

Documents

mikrotik-osnovna-podesavanja