Mikrotik os-zaklady

Seznámení s Mikrotik Seznámení s Mikrotik RouterOSRouterOS

Úvod, připojení, základy Úvod, připojení, základy konfigurace, routing, QoSkonfigurace, routing, QoS

Co budeme potřebovat..Co budeme potřebovat..

Zařízení s RouterOS (Mikrotik, či jiná Zařízení s RouterOS (Mikrotik, či jiná platforma )platforma )

Počítač se síťovou kartou, popř. s Počítač se síťovou kartou, popř. s sériovým portemsériovým portem

Utp kabel, či sériový kabelUtp kabel, či sériový kabel

Program(utilitu) winbox (popř. telnet, ssh )Program(utilitu) winbox (popř. telnet, ssh )

Jak se k zařízení připojit …Jak se k zařízení připojit …

Zařízení je připojeno k PC přímo, či přes Zařízení je připojeno k PC přímo, či přes switchovanou ethernet síťswitchovanou ethernet síť1, winbox-em 1, winbox-em - grafická utilita - grafická utilita - více „módů“ připojení - více „módů“ připojení - buď přes MAC adresu, či IP adresu - buď přes MAC adresu, či IP adresu - při připojení přes MAC adresu není - při připojení přes MAC adresu není potřeba mít nastavené ip adresy potřeba mít nastavené ip adresy ani na počítači, ani v zařízení ani na počítači, ani v zařízení ( je třeba mít pouze aktivní rozhraní ) ( je třeba mít pouze aktivní rozhraní )

Připojení – přímo či krz L2 síťPřipojení – přímo či krz L2 síť

při připojování winboxem na „mac adresu“při připojování winboxem na „mac adresu“je buď možné proskenovat okolí, kde se poté je buď možné proskenovat okolí, kde se poté zobrazí dostupné routerOS zařízenízobrazí dostupné routerOS zařízení

Popř. zadat MAC adresu přímo do okna winboxu Popř. zadat MAC adresu přímo do okna winboxu ( v případě chyby při skenování)( v případě chyby při skenování)

-skenování se provádí tlačítkem se 3tečkami-skenování se provádí tlačítkem se 3tečkami- Skenování v PC občas blokují firewally- Skenování v PC občas blokují firewally

(v PC i v zařízení)(v PC i v zařízení)

Připojení k zařízeníPřipojení k zařízeníSken winboxem pak vypadá následovně:Sken winboxem pak vypadá následovně:

Připojení k zařízeníPřipojení k zařízení

Po vyskenování zarízení je možno kliknout bud Po vyskenování zarízení je možno kliknout bud na mac adresu, či na IP adresuna mac adresu, či na IP adresu

- dle toho se do pole „Connect to“ doplní - dle toho se do pole „Connect to“ doplní příslušný údajpříslušný údaj

-dále se vyplní login, password-dále se vyplní login, password( keep password – zachovat vyplněné heslo)( keep password – zachovat vyplněné heslo)

- Při připojování přes MAC adresu občas nefungují - Při připojování přes MAC adresu občas nefungují některé funkce ( přesun souborů ), v tomto některé funkce ( přesun souborů ), v tomto případě je třeba se připojovat přes IP adresupřípadě je třeba se připojovat přes IP adresu

Připojení k zařízeníPřipojení k zařízení

Při připojování přes IP adresu stačí zadat Při připojování přes IP adresu stačí zadat IP adresa zařízení (pokud je jich více, tak IP adresa zařízení (pokud je jich více, tak stačí libovolná)stačí libovolná)

2, telnet, ssh2, telnet, ssh - routerOS je možné se dále připojit krz - routerOS je možné se dále připojit krz

klasický telnet, popř. SSH ( i podpora DSA klasický telnet, popř. SSH ( i podpora DSA klíčů)klíčů)

- zde jen konzolové rozhraní (stejná - zde jen konzolové rozhraní (stejná hierarchie položek jako ve winboxu) hierarchie položek jako ve winboxu)

Zařízení je připojeno přes Zařízení je připojeno přes L2 / L3 ethernet síťL2 / L3 ethernet síť

Připojení pouze přes IP adresuPřipojení pouze přes IP adresu v zařízení musí být výchozí bránav zařízení musí být výchozí brána (default gateway) a správně nastaven (default gateway) a správně nastaven routing (viz. dále)routing (viz. dále)

- V případě špatné IP konfigurace je možné - V případě špatné IP konfigurace je možné se připojit „mac telnetem“ přes jednotlivé se připojit „mac telnetem“ přes jednotlivé zařízení (doskákat)zařízení (doskákat)

Typy zařízeníTypy zařízení

Router-boardyRouter-boardy

- „jednoúčelové“- „jednoúčelové“

Licence pro x86Licence pro x86

- klasický pc, server- klasický pc, server

Wrapy, alix …Wrapy, alix …

Základní prostředíZákladní prostředí

winbox – zdarma na winbox – zdarma na www.mikrotik.comwww.mikrotik.com

horní šedá lišta – add cpu atd …horní šedá lišta – add cpu atd …

winbox :: Systém – Identitywinbox :: Systém – Identity- popis zařízení- popis zařízení

winbox :: New Terminal winbox :: New Terminal

Problémy / OtázkyProblémy / Otázky

diskuzediskuze

Basic setup :: interfacesBasic setup :: interfaces

Winbox :: InterfacesWinbox :: Interfaces

-různé typy…-různé typy…

internet, wlan, bridge, vlan, tunelyinternet, wlan, bridge, vlan, tunely

Přidání – tlačítko „PLUS“ (červené)Přidání – tlačítko „PLUS“ (červené)

Komentář – žluté tlačítko (symbol „štítku“)Komentář – žluté tlačítko (symbol „štítku“)

Basic setup :: interfacesBasic setup :: interfaces

Basic setup :: IP addressBasic setup :: IP address

Winbox :: IP – addressWinbox :: IP – address

Basic setup :: Add IP adressBasic setup :: Add IP adress

Přidání – červené tlačítko „Přidání – červené tlačítko „++““

Basic setup :: Add IP adressBasic setup :: Add IP adress

Přidání:Přidání:

Pole address: IP adresa/ maskaPole address: IP adresa/ maska

-maska v podobě počtu bitů-maska v podobě počtu bitů

255.0.0.0 :: /8255.0.0.0 :: /8 255.255.0.0 :: /16255.255.0.0 :: /16

255.255.255.0 :: 24 255.255.255.0 :: 24 255.255.255.248 /29 255.255.255.248 /29

Pole interface – vybrat rozhraníPole interface – vybrat rozhraní

-zbytek polí nepovinné, popř. nevyplní se-zbytek polí nepovinné, popř. nevyplní se

Basic setup :: IP adressBasic setup :: IP adress

Winbox :: New terminalWinbox :: New terminal

Tenet / sshTenet / ssh

--> > /ip address print /ip address print

Basic setup :: IP adress :: IPv6Basic setup :: IP adress :: IPv6

[admin@MikroTik] > ipv6 address print[admin@MikroTik] > ipv6 address printFlags: X - disabled, I - invalid, D - dynamic, G - global, L - link-localFlags: X - disabled, I - invalid, D - dynamic, G - global, L - link-local

# ADDRESS INTERFACE # ADDRESS INTERFACE ADVERTISEADVERTISE

0 DL fe80::20c:42ff:fe1d:3d3/64 ether2 no0 DL fe80::20c:42ff:fe1d:3d3/64 ether2 no



3 G fc00:1::1/64 3 G fc00:1::1/64 ether1 yes ether1 yes

4 G fc00:2::1/64 4 G fc00:2::1/64 ether2 ether2 yes yes

Basic setup :: Default gatewayBasic setup :: Default gateway

Winbox: IP – RoutesWinbox: IP – Routes

Basic setup :: Default gatewayBasic setup :: Default gateway

•Přidání – „Přidání – „++““

Pole destination Pole destination (cíl) : 0.0.0.0/0 (cíl) : 0.0.0.0/0 ( popř. 0/0 )( popř. 0/0 )

Pole Gateway Pole Gateway – – ip adresa brányip adresa brány

Basic setup :: DNS serveryBasic setup :: DNS servery

RouterOS umí jak dnscache, tak „dns RouterOS umí jak dnscache, tak „dns servery pro doménu“servery pro doménu“

1, nastavení dns serverů vyšší úrovně1, nastavení dns serverů vyšší úrovně

( klasické dns servery pro přístup na inet)( klasické dns servery pro přístup na inet)

- Winbox :: ip – DNS Winbox :: ip – DNS

- V okně DNS - SettingsV okně DNS - Settings



2, DNS cache2, DNS cache

Okno DNS :: SettingsOkno DNS :: Settings

- Zaškrtávátko – Allow remote requestsZaškrtávátko – Allow remote requests

Basic setup :: LANBasic setup :: LAN

Stejné jako přechozí postupyStejné jako přechozí postupy

Lan / wan z hlediska porovnání s Lan / wan z hlediska porovnání s klasickým „broadband router“ rozlišuje v klasickým „broadband router“ rozlišuje v nastavení firewallu / NAT-u (Masquerade)nastavení firewallu / NAT-u (Masquerade)

Pokud má být více interfaců Pokud má být více interfaců

myšleno jako LAN, musí se porty přidat do myšleno jako LAN, musí se porty přidat do bridgebridge

Basic setup :: BridgesBasic setup :: Bridges

Winbox :: bridge – „Winbox :: bridge – „++““ - name – jméno bridge- name – jméno bridge -->> OK OK

okno „bridge“ – záložka „ports“okno „bridge“ – záložka „ports“ - zde přidat jednotlivé rozhraní (interface) do - zde přidat jednotlivé rozhraní (interface) do

příslušného bridgepříslušného bridge

= rozhraní se pak chovají jako klasický switch (L2)= rozhraní se pak chovají jako klasický switch (L2)Plus se neuplatňuje routing / firewall atd.Plus se neuplatňuje routing / firewall atd.

Setup – virtual interfacesSetup – virtual interfaces

Winbox :: interfacesWinbox :: interfaces

- Jedním z virtuálních interfaců je „bridge“- Jedním z virtuálních interfaců je „bridge“

- pro příslušnost do vlany – typ VLAN- pro příslušnost do vlany – typ VLAN

- bedrátová karta – Wireless- bedrátová karta – Wireless

- bridge režim pro bezdrát. Rozrhaní – WDS- bridge režim pro bezdrát. Rozrhaní – WDS

- bonding – slučování interfaců (zálohy atd)- bonding – slučování interfaců (zálohy atd)

- vrrp – pro redundanci dvou a více routerů- vrrp – pro redundanci dvou a více routerů

Setup - VLANSetup - VLAN

- přidání jako - přidání jako virtuální virtuální interfaceinterface

-dále přiřazení -dále přiřazení ke konkrétní ke konkrétní vlaněvlaně


diskuzediskuze

Setup :: DHCP serverSetup :: DHCP server

winbox :: IP – DHCP serverwinbox :: IP – DHCP server- buď průvodce – „DHCP Setup“- buď průvodce – „DHCP Setup“- popř. ručně:- popř. ručně:

1, vytvoření „poolu“, 1, vytvoření „poolu“, rozsahu přidělovaných ip rozsahu přidělovaných ip adresadres:: winbox: IP – Pool:: winbox: IP – Pool

-name – jméno, popisek-name – jméno, popisek- address – rozsah ip adres, ip_rozsah/maska- address – rozsah ip adres, ip_rozsah/maska- OK- OK



winbox :: IP – DHCP serverwinbox :: IP – DHCP server

- přidání vlastního serveru- přidání vlastního serveru-name – jméno, popis serveru-name – jméno, popis serveru- interface – kde má poslouchat (i bridge)- interface – kde má poslouchat (i bridge)- address pool – rozsah ip, vytvořený dříve, - address pool – rozsah ip, vytvořený dříve, či static-only (pouze ručně přidáné záznamy)či static-only (pouze ručně přidáné záznamy)

- alwast broadcast – vždy komunikovat - alwast broadcast – vždy komunikovat všesměeovým vysílánímvšesměeovým vysíláním- use RADIUS – ověřování dat z externího zdroje- use RADIUS – ověřování dat z externího zdroje


Setup :: DHCP server :: NetworksSetup :: DHCP server :: Networks

-zde nastavení výchozí brány, dns serverů atd

Setup :: DHCP server :: LeasesSetup :: DHCP server :: Leases

Setup :: DHCP server :: LeasesSetup :: DHCP server :: Leases

-pro vytvoření statického záznamy se 2x pokliká na dynamický a poté na „Make Static“


diskuzediskuze

Setup – FirewallSetup – Firewall

V RouterOS je směrování portů, firewall V RouterOS je směrování portů, firewall atd řešen podobně jako v linuxu,atd řešen podobně jako v linuxu,

čili pravidla ve firewallu se podobají / čili pravidla ve firewallu se podobají / odpovídají linuxovým iptables (ipchains)odpovídají linuxovým iptables (ipchains)

Vše se řeší v „ip – firewall“Vše se řeší v „ip – firewall“

Průchody jednotlivými tabulkami (chains) Průchody jednotlivými tabulkami (chains) vycházení z principu fungování routeru,vycházení z principu fungování routeru,

resp. z průchodu paketu kernel jádremresp. z průchodu paketu kernel jádrem

Kernel Packet Traveling DiagramKernel Packet Traveling Diagram NetworkNetwork ---------+--------------------+----------- || +--------------------------++--------------------------+ +-------+-------+ +---------+------------++-------+-------+ +---------+------------+ | IPCHAINS | | IPTABLES || IPCHAINS | | IPTABLES | | INPUT | | PREROUTING || INPUT | | PREROUTING | +-------+-------+ | +-------+-------+ |+-------+-------+ | +-------+-------+ | | | | conntrack | || | | conntrack | | | | +-------+-------+ || | +-------+-------+ | | | | mangle | | <- MARK WRITE | | | mangle | | <- MARK WRITE | | +-------+-------+ || | +-------+-------+ | | | | IMQ | || | | IMQ | | | | +-------+-------+ || | +-------+-------+ | | | | nat | | <- DEST REWRITE| | | nat | | <- DEST REWRITE | | +-------+-------+ | DNAT or REDIRECT | | +-------+-------+ | DNAT or REDIRECT

| +---------+------------+ or DE-MASQUERADE| +---------+------------+ or DE-MASQUERADE +------------+--------------++------------+--------------+ ||

Kernel Packet Traveling DiagramKernel Packet Traveling Diagram ||

+-------+-------++-------+-------+ | QOS | QOS || | INGRESS || INGRESS | +-------+-------++-------+-------+ || packet is for +-------+-------+ packet is forpacket is for +-------+-------+ packet is for this machine | INPUT | another addressthis machine | INPUT | another address +--------------+ ROUTING +--------------++--------------+ ROUTING +--------------+ | | + PDBB | | | + PDBB | || | +---------------+ | +---------------+ ||

packet is forpacket is for this machinethis machine

| || |+-------+-------+ +-------+-------+ | IPTABLES | | IPTABLES | | INPUT | | INPUT | | +-----+-----+ | | +-----+-----+ | | | mangle | | | | mangle | | | +-----+-----+ | | +-----+-----+ | | | filter | | | | filter | | | +-----+-----+ | | +-----+-----+ | +-------+-------+ +-------+-------+ ||+-------+-------+ +-------+-------+ | Local | | Local | | Process || Process |+-------+-------++-------+-------+

| | +-------+-------++-------+-------+| OUTPUT | | OUTPUT | | ROUTING | | ROUTING | +-------+-------+ +-------+-------+ | |

||

|| ||+-------+-------+ +-------+-------+ | IPTABLES | | IPTABLES | | OUTPUT | | OUTPUT | | +-----------+ | | +-----------+ | | | conntrack | | | | conntrack | | | +-----+-----+ | | +-----+-----+ | | | mangle | | <- MARK WRITE | | mangle | | <- MARK WRITE | +-----+-----+ | | +-----+-----+ | | | nat | | <-DEST REWRITE | | nat | | <-DEST REWRITE | +-----+-----+ | DNAT or REDIRECT | +-----+-----+ | DNAT or REDIRECT | | filter | | | | filter | | | +-----+-----+ | | +-----+-----+ | +-------+-------+ +-------+-------+ || |

packet is for another addresspacket is for another address || || +---------------------------++---------------------------+ | || |+-------+---------+ +---------+---------++-------+---------+ +---------+---------+| IPCHAINS | | IPCHAINS | || IPTABLES | IPTABLES ||| FORWARD | | FORWARD | FORWARD | | FORWARD |+-------+---------+ +---------+---------++-------+---------+ +---------+---------+ | | | | ||

|| || +-----+-----+ |+-----+-----+ | || | | | | mangle mangle | | | <- MARK WRITE | <- MARK WRITE | | +-----+-----+ || | +-----+-----+ | | | | filter | || | | filter | | | | +-----+-----+ || | +-----+-----+ | | +--------+--------+| +--------+--------+ | || | +------------------------------++------------------------------+ ||

Kernel Packet Traveling DiagramKernel Packet Traveling Diagram | || | +----------------------+----------------------++----------------------+----------------------+ || +-------------+------------++-------------+------------+ | || | +-------+-------+ +---------+---------++-------+-------+ +---------+---------+ | IPCHAINS | | IPTABLES || IPCHAINS | | IPTABLES | | OUTPUT | | POSTROUTING || OUTPUT | | POSTROUTING | +-------+------- | +-------+-------+ |+-------+------- | +-------+-------+ | | | | mangle | | <- MARK WRITE | | | mangle | | <- MARK WRITE | | +-------+-------+ || | +-------+-------+ | | | | nat | | <- SOURCE REWRITE| | | nat | | <- SOURCE REWRITE | | +-------+-------+ | SNAT or MASQUERADE| | +-------+-------+ | SNAT or MASQUERADE | +---------+---------+| +---------+---------+ +-----------------+----------++-----------------+----------+ || +------------+-------------++------------+-------------+ | QOS EGRESS || QOS EGRESS | +-----------+--------------++-----------+--------------+ || -----------+----------- Network-----------+----------- Network

Setup – základy firewalluSetup – základy firewallu

Winbox:: Okno – firewallWinbox:: Okno – firewall

1, (záložka) - tabulka 1, (záložka) - tabulka „„filterfilter““

– – pro „filtrování paketů,pro „filtrování paketů, resp. pro pravidla, resp. pro pravidla, které bud mají pakety propustit, či které bud mají pakety propustit, či odmítnout. odmítnout.

Dále logovat, přidávat do „seznamů“.Dále logovat, přidávat do „seznamů“.



2, tabulka „2, tabulka „NATNAT““

- pro pravidla, která mají pakety - pro pravidla, která mají pakety přesměrovat jinam (na ip adresu ve vnitřní přesměrovat jinam (na ip adresu ve vnitřní síti), síti),

- či je změnit ( maškaráda, resp. dnat )- či je změnit ( maškaráda, resp. dnat )



3, tabulka „3, tabulka „MANGLEMANGLE““

- primárně pro „označování“ paketů- primárně pro „označování“ paketů

( markování )( markování )

- pro změnu TTL, DSCP, markování spojení- pro změnu TTL, DSCP, markování spojení



Setup – firewall - NATSetup – firewall - NAT

Setup – firewall - NATSetup – firewall - NAT

Setup – firewall - MANGLESetup – firewall - MANGLE



Přesměrování portu zvenčí na vnitřní IP/portPřesměrování portu zvenčí na vnitřní IP/port

Winbox :: ip –firewall – tabulka NATWinbox :: ip –firewall – tabulka NAT- specifikovat vnější ip adresu, protokol, port- specifikovat vnější ip adresu, protokol, portpopř. rozhraní popř. rozhraní

- cíl (action) : dst-nat (měním cíl paketu )- cíl (action) : dst-nat (měním cíl paketu ) -to addresses: vnitřní adresa -to addresses: vnitřní adresa ( např. 192.168.1.100 ), rozsah musí ( např. 192.168.1.100 ), rozsah musí

existovat, či routa k němuexistovat, či routa k němu

-to ports: pokud je třeba změnit i port -to ports: pokud je třeba změnit i port

Přesměrování portu zvenčí na vnitřní IP/portPřesměrování portu zvenčí na vnitřní IP/port

Firewall – NAT :: MaškarádaFirewall – NAT :: Maškaráda

= „zamaskování“ vnitřní sítě za jednu = „zamaskování“ vnitřní sítě za jednu veřejnou ip adresu ( z pohledu rozhraní )veřejnou ip adresu ( z pohledu rozhraní )

- měníme tedy zdrojovou ip adresu- měníme tedy zdrojovou ip adresu

není přímý přístup zpět na „lokální počítače“není přímý přístup zpět na „lokální počítače“

v routerOS (linuxu) se tato funkce nachází vev routerOS (linuxu) se tato funkce nachází ve

firewallu -- tabulka NAT -- chain src-nat -- firewallu -- tabulka NAT -- chain src-nat -- action – MASQUERADEaction – MASQUERADE

( v linuxu : Iptables – tab NAT - ….. )( v linuxu : Iptables – tab NAT - ….. )

Firewall – NAT :: MaškarádaFirewall – NAT :: Maškarádanastavuje se tedy:nastavuje se tedy:

- chain – vždy src-nat- chain – vždy src-nat (modifikujeme zdrojovou ip adresu / počítač )(modifikujeme zdrojovou ip adresu / počítač )

- src ip adress – zdrojový rozsah ip adres,- src ip adress – zdrojový rozsah ip adres,

co chceme NATovat. = lokální ip rozsahyco chceme NATovat. = lokální ip rozsahy

(nemusíme všechny rozsahy, zápis: ip_rozsah / maska)(nemusíme všechny rozsahy, zápis: ip_rozsah / maska)

- výstupní interface (WAN), - výstupní interface (WAN), je povinný přije povinný přichybějícím src ip rozsahu, ale udává sechybějícím src ip rozsahu, ale udává se

kvůli lepší čitelnosti smyslu NATováníkvůli lepší čitelnosti smyslu NATování

- action – masquerade - action – masquerade (co se s pakety má dělat)(co se s pakety má dělat)

Firewall – NAT :: MaškarádaFirewall – NAT :: Maškaráda


diskuzediskuze

LogováníLogování

winbox :: Systém – Loggingwinbox :: Systém – Logging

Logování - cíleLogování - cíle

Logování - výpisLogování - výpis

Logování ve firewalluLogování ve firewallu

action „LOG“ ve všech tabulkáchaction „LOG“ ve všech tabulkách

Uživatelé - PrávaUživatelé - Právawinbox :: userswinbox :: users

Uživatelé – Práva - SkupinyUživatelé – Práva - Skupiny

Uživatelé – ssh klíčeUživatelé – ssh klíče

Řízení rychlosti - QoSŘízení rychlosti - QoS

- systém qos podobný jako v linuxu- systém qos podobný jako v linuxu- omezování/priorizace v ROS používá HTB- omezování/priorizace v ROS používá HTB

Postup:Postup:

1, vytvoření „označovacího pravidla“ 1, vytvoření „označovacího pravidla“ - ve firewallu, tabulka MANGLE- ve firewallu, tabulka MANGLE

- action „set-mark“- action „set-mark“

2, vytvoření vlastní „třídy“ (ve queues)2, vytvoření vlastní „třídy“ (ve queues)

QoS – pravidla v MANGLEQoS – pravidla v MANGLE

- stejný systém vytváření pravidel jako v - stejný systém vytváření pravidel jako v kapitole firewallkapitole firewall

- tabulka vždy MANGLE- tabulka vždy MANGLE

- action vždy „packet-mark“- action vždy „packet-mark“

- mark bud může být číslo jako v linuxu, či - mark bud může být číslo jako v linuxu, či nějaký řetezec (popis klienta, atd.)nějaký řetezec (popis klienta, atd.)



do pole „New Packet Mark“ napíšeme do pole „New Packet Mark“ napíšeme popis, čímž mark vytvoříme,popis, čímž mark vytvoříme,

popř. vybereme ze seznamu již popř. vybereme ze seznamu již existujících „mark“ tlačítkem vpravoexistujících „mark“ tlačítkem vpravo

OKOK

QoS – vytvoření třídyQoS – vytvoření třídywinbox :: winbox ::

queuesqueues

:: vybrat::: vybrat: - marku - marku

vytvořenou vytvořenou od minuleod minule

- rozhraní- rozhraní

- limity- limity

Technology

Mikrotik os-zaklady