Ця стаття створена як інструкція з налагодження різних параметрів і функціоналу обладнання MikroTik . І постійно доповнюватиметься новими темами, які будуть корисні не тільки новачкам але і просунутим користувачам які вже не перший день мають справу з обладнанням MIkroTik .
Зміст:
- Відновлення MikroTik за допомогою Netinstall
- Автоматична відправка конфігурації MikroTik на email
- Налаштування Log файлу на MikroTIk
- MikroTik - доступ з локальної мережі по зовнішньому IP - Hairpin NAT
- Базові правила Firewall MikroTik
1. Відновлення MikroTik за допомогою Netinstall
Іноді буває, що після оновлення програмного забезпечення пристроїв MikroTik або ж при не вдалому налаштуванні пристрій перетворюється на «цеглину». Перестає завантажуватися і блимає світлодіодами як новорічна ялинка. Не поспішайте, розбирати пристрій і реанімувати його методом перепайки чіпа. Існує простіший , і як правило в 95% дієвий спосіб відновлення Router OS за допомогою програми Netinstall. Для цього вам знадобитися комп'ютер з операційною системою Windows або Linux, пачкорд RJ45 і пристрій MikroTik з блоком живлення.
Підготовчий етап займе всього лише кілька хвилин:
- Скачати програму Netinstall
Завантажити програму можна і потрібно з офіційно сайту mikrotik.com, в разі використання програми не з офіційного сайту немає гарантії, що процес відновлення буде вдалий. (сайт mikrotik.com, розділ Software , вкладка Downloads і натискаємо на кнопку Netinstall вибираємо потрібну версію програми)
- Завантажити потрібну прошивку (збірку пакетів RouterOS для нашої моделі)
У тому ж розділі Software вкладка Downloads знаходимо відповідну збірку RouterOS (на даному етапі потрібно проявити особливу уважність і обережність, так як модельний ряд виконаний на різних типах процесорів і для кожного типу своя збірка RouterOS). У разі якщо необхідно використовувати більш пізню збірку, то їх можна знайти у вкладці Download archive .
ВАЖЛИВО!!! Версія збірки RouterOS не може бути нижче ніж спочатку була встановлена на плату (RouterBOARD) версія збірки можливо перевірити в меню System / routerboard. Як правило базова версія 3.25, але за останні роки компанія MikroTik стала випускати плати з більш пізнішими версіями RouterBOARD 6.46.хх. На жаль на плати з прошивкою версії 6.46.хх не можна встановити збірку RouterOS більш ранньої версії наприклад 6.45.хх.
Встановити статичну IP - адресу на Ethernet порту комп'ютера. Безпосередньо, пачкордом під’єднатися в boot порт обладнання MikroTik (якщо на пристрої boot порт не підписаний, тоді це перший порт з ідентифікацією ether0/Internet). У прикладі буде використана стандартна мережа MikroTik 192.168.88.0/24. На комп'ютері буде встановлена наступна адреса 192.168.88.10/24. Бажано відключити всі не задіяні в процесі перевстановлення мережеві інтерфейси, це необхідно для стабільної роботи програми Netinstall .- Запускаємо Netinstall. Натискаємо на кнопку «Net booting », активуємо сервер і вводимо адресу який буде призначений пристрою MikroTik , в нашому прикладі це IP адреса 192.168.88.1 . Натискаємо кнопку «ОК»
Підготовчий етап закінчено, переходимо безпосередньо до пристрою, затискаємо кнопку «Reset» і підключаємо блок живлення. Утримуємо кнопку «Reset» приблизно 30-40 секунд або до появи пристрої в програмі Netinstall у вікні Rouetrs / Drives . Обираємо наш пристрій і натискаємо кнопку «Browse», вказуємо директорію в якій заздалегідь було розміщено збірку RouterOS, вибираємо відповідну версію і натискаємо кнопку « Install ». Процес запущено, він займе приблизно 5 хвилин і в кінці процесу пристрій перевантажитися і буде готове до роботи.
2. 2. Автоматична відправка конфігурації MikroTik на email
Створити і зберегти резервну копію налаштувань в RouterOS можливо різними способами, в ручну або автоматично. В даному прикладі ми розглянемо автоматичне створення «бекап» налаштувань і відправку їх на зазначену пошту. Але для початку розберемося в якому вигляді будемо зберігати копію налаштувань. Обладнання MikroTik дозволяє зберегти у вигляді файлу з розширенням backup і rsc . Файл backup - це повна копія всіх налаштувань і параметрів пристрою аж до мак - адрес на порту. Такий вид файлу дозволяє коректно відновити всі налаштування тільки на тому пристрої на якому він був зроблений, а при відновленні на ідентичному по ТТХ пристрою, будуть перезаписані всі параметри повністю. Іншими словами, при відновленні налаштувань з файлу backup ми створимо клон нашого пристрою, і в разі використання таких пристроїв в одній мережі виникне проблема в роботі даної мережі. Файл rsc - це свого роду список команд, які були введені при налаштуванні пристрою. Цей файл можна редагувати видаляти або додавати необхідні команди, це особливо зручно в разі перенесення налаштувань на пристрій з іншими технічними характеристиками.
І так переходимо до налаштувань:
- Першим етапом буде створення резервної копії налаштувань в автоматичному режимі: Головне меню - System - Scripts , натискаємо «+» і створюємо правило з назвою « backup to email»:
/ Export file = " backup to email "; - Цей рядок створює файл з розширенням rsc
/ System backup save name = " backup to email "; - Цей рядок створює файл з розширенням backup
/ Tool email send to = My _ email @ gmail . com subject = " My _ backup " file = " backup to email . rsc "; - Цей рядок створює і відправляє лист на адресу My _ email @ gmail . com з темою My _ backup і вкладає фай backup to email . rsc
/ Tool email send to = My _ email @ gmail . com subject = " My _ backup " file = " backup to email . backup "; - Цей рядок створює відправляє лист на адресу My _ email @ gmail . com з темою My _ backup і вкладає фай backup to email . backup
Тепер при натисканні кнопки Run Script буде створений файл конфігурації, але лист не відправиться так як ще ми не налаштовали email сервер для відправки повідомлень.
- Другим етапом, будуть налаштування відправки повідомлень на email. Головне меню - Tool- Email. У цьому прикладі листи будуть відправлятися і приходити на один і той-же поштовий акаунт. А в ролі поштового сервера буде використовуватися сервер gmail.com. Заповнюємо всі дані і вводимо пароль від облікового запису і натискаємо кнопку «ОК». Тепер при запуску скрипта на поштову скриньку
Ця електронна адреса захищена від спам-ботів. Вам необхідно увімкнути JavaScript, щоб побачити її. перейде лист із вкладеним файлом конфігурації.
- Третім і завершальним етапом, буде створення автоматичної відправки повідомлень, відповідно до розкладу. Головне меню - System - Sheduler , натискаємо «+» створюємо запис у розкладі, даємо ім'я, ставимо дату, коли стартує наше правило, встановлюємо час виконання і періодичність виконання. І найголовніше, що буде виконуватися - наш скрипт «backup to email». Натискаємо кнопку «ОК», готово.
3. Налаштування Log файлу на MikroTIk
Коли обладнання працює справно і не виникає проблем з його роботою - це ідеальна ситуація. Але навіть при ідеальній роботі потрібно відстежувати параметри роботи пристрою, це необхідно для запобігання перебоїв у майбутньому або виходу з ладу обладнання. А також для діагностики і аналізу помилок в процесі налаштувань та роботи пристрою. Для онлайн моніторингу та контролю пристроїв в мережі, можна скористатися сервером моніторингу DUDE безкоштовним додатком від MikroTik. Але для розгортання і налаштування сервера DUDE необхідно багато часу і додатковий пристрій. Але що ж робити, коли треба вирішити проблему зараз і тут? Д ля цього можна скористатися сервісом системних журналів, який доступний на пристрої MikroTik - LOG -файл. Але для того що б скористатися інформацією з LOG-файлу потрібно зробити невеликі налаштування, так як за замовчуванням інформація про події перебувати в оперативній пам'яті пристрою і після перезавантаження просто зникає.
ВАЖЛИВО!!! Виробник, не рекомендує використовувати внутрішню флеш пам'ять пристрою для великих і постійно змінних журналів подій. Так як постійний перезапис зменшує термін експлуатації флеш пам'ять пристрою і призведе до виходу його з ладу.
І так, коли натиснемо в головному меню на кнопку Log - ми отримаємо доступ до подій, які відбуваються на пристрої.
За замовчуванням вони записуються в оперативну пам'ять і відслідковуються тільки основні служби:
- error – виникають помилки
- info - повідомлення
- warning – попередження
- critical – критичні помилки, і за замовчуванням цей вид записів не пишеться в пам'ять, а відображається в окремому спливаючому вікні при виникненні такого роду помилок
Увесь список параметрів, які можна відслідковувати і каталогізувати ви зможете знайти на сайті виробника в розділі документації.
Для того щоб додати або змінити параметри запису журналу подій, потрібно перейти Головне меню- System - Logging , натиснемо на «+» і створимо нове правило для відстеження:
У розділі «Topics» вибираємо процес який будемо відстежувати, а в розділі «Action», вибираємо яким чином ми будемо відстежувати, тут нам доступні чотири параметри:
- disk – запис на флеш-пам'ять пристрою або зовнішній пристрій пам'яті ( USB флеш або карту пам'яті) ;
- echo – виводить помилки на екран;
- memory – запис в оперативну пам'ять пристрою;
- remote – можливість вивантаження на віддалений сервер;
Для налаштувань і створінь нових параметрів дій, переходимо у вкладку «Actions»:
-
disk - запис на флеш-пам'ять пристрою або зовнішній пристрій пам'яті ( USB флеш або карту пам'яті);
-
Type - вибір пристрою на який буде записуватися журнал подій. Якщо ваш пристрій є USB порт або карта пам'яті, то буде доступний запис на зовнішній носій disk1;
-
File Name - даємо назву файлу (журналу) і директорію для зберігання;
-
Lines Per File - задаємо кількість записів в один файл (журнал);
-
File Count - задаємо кількість файлів (журналів);
-
Stop on Full - при активації цієї умови запис зупинитися, в іншому випадку запис піде по колу, затираючи найстаріші записи.
-
- echo - висновок помилки на екран; при активації «Save», подія буде записано в системний журнал.
- memory - запис в оперативну пам'ять пристрою;
- remote - можливість вивантаження на віддалений сервер;
При використанні віддаленого сервера не забувайте додати відповідне правило в firewall.
4. MikroTik - доступ з локальної мережі по зовнішньому ip - Hairpin NAT
Що таке і для чого потрібен Hairpin NAT? Це можливість потрапити з локальної мережі на пристрій в локальній мережі при цьому звертаючись через зовнішню IP адресю маршрутизатора. Дуже часто це пов'язано з доступом до відео-реєстратора. Для того щоб потрапити на відео-сервер перебуваючи в іншій мережі потрібно прокинути порти і цього буде досить, але коли такий запит відправляється з середини мережі то з'єднатися з відео-сервером неможливо. Це відбувається через те, що запит приходить на відео-регістратор асоціюється як запит з локальної мережі і відео-реєстратор відповідає на пряму в локальну мережу. У свою чергу пристрій який подав запит на з'єднання на зовнішньої IP адреса відкидає всі відповіді від відео-реєстратора з локальної мережі, так як очікує відповідь від зовнішньої адреси. У такій ситуації і рятує Hairpin NAT.
Для налаштування Hairpin NAT нам потрібно створити кілька правил в розділі Firewall. Головне меню - IP - Firewall, вкладка NAT, натискаємо «+» і для початку створимо правило і прокинемо порт, для прикладу будемо використовувати 10000 порт. Зовнішня IP адреса буде 10.10.10.10 ( зовнішній інтерфейс Internet ), а внутрішня IP адреса буде 192.168.88.100, приступимо:
1. У вкладці «General» налаштовуємо поля:
- Chain: dstnat
- Protocol: 6(tcp)
- Dst. Port: 10000
- In. Interface: Internet
2. У вкладці «Action» налаштовуємо поля:
- Action: netmap
- To Addresses: 192.168.088.100
- To Ports: 10000
Тепер перейдемо до безпосередніх налаштувань Hairpin NAT. Для цього розділі Firewall у вкладці NAT створюємо ще два правила:
Правило №1:
Вкладка «General»
- Chain: dstnat
- Address: 192.168.88.0/24
- Address: 10.10.10.10
- Protocol: 6 (tcp)
- Port: 10000
Вкладка «Action»
- Action: dst-nat
- To Addresses: 192.168.88.100
Правило №2
Вкладка «General»
- Chain: srcnat
- Address: 192.168.88.0/24
- Address: 192.168.88.100
- Protocol: 6 (tcp)
- Port: 10000
Вкладка «Action»
- Action: masqueade
5. Базові правила Firewall MikroTik
FireWall на RouterOS - це потужний механізм захисту який можна розділити на чотири частини Filter - фільтрація трафіку , NAT - забезпечує доступ до мережі інтернет з локальної мережі , Managle - маркування трафіку і RAW - первинна обробка трафіку. Повний огляд всіх частин FireWall ми розглянемо м окремо статті. Зараз же мова піде про базові правила з розділу Filter які включені в заводську конфігурацію пристрою. Цей мінімальний набір правил, за порадою фахівців компанії MikroTik був оптимізований для повноцінної та безпечної роботи пристрою в домашній мережі або мережі малого офісу.
Головне меню - IP- Firewall:
Як бачимо, у вкладці Filter Rules міститься список правил, кожне з них налаштовується у вигляді ланцюжка (Chain). Цей ланцюжок складається з двох частин: перша-це напрямок трафіку, друга – що робити пристрою з цим трафіком.
У маршрутизаторі існує три напрямки трафіку:
- Input – це трафік який приходить на маршрутизатор з мережі інтернет.
- Output - це трафік який виходить з нашого маршрутизатора.
- Forward – це трафік який проходить крізь маршрутизатор.
І одинадцять дій які може зробити пристрій:
- accept - прийняти пакет. Пакет не передається наступним правилом брандмауера.
- add-dst-to-address-list - додати адресу призначення в список адрес, заданий параметром address-list .
- add-src-to-address-list - додати адресу джерела в список адрес, вказаний параметром address-list .
- drop - відкинути пакет.
- fasttrack-connection - обробка пакетів із з'єднання за допомогою FastPath шляхом включення FastTrack для з'єднання.
- jump - перейти до ланцюжку користувача, заданого значенням параметра jump-target .
- log - додати повідомлення в системний журнал.
- passthrough - збільшити лічильник і перейти до наступного правила.
- reject - відкинути пакет і відправити ICMP повідомлення про відхилення.
- return - передає управління назад в ланцюжок, звідки стався стрибок.
- tarpit - захоплює і утримувати TCP-з'єднання.
ВАЖЛИВО!!! Список правил Firewall обробляться по черзі. Також можна об'єднувати ідентичні правила, це дозволяє зменшити загальну кількість правил і підвищити продуктивність системи зменшуючи навантаження на процесор.
-
Правило під номером 0 – правило дозволяє проходити трафіку через маршрутизатор і активуючи лічильник пакетів і кількість трафіку. У вкладці General вказуємо тип трафіку - Forward , а у вкладці Action вказуємо дію passthrough .
-
Правило під номером 1 – це правило дозволяє встановлювати з'єднання.
У вкладці General вказуємо тип трафіку - Input , далі вибираємо стан підключення ( Connection State ): established, related, untracked, а у вкладці Action вказуємо дію accept -
Правило під номером 2 – це правило видаляє неправильні з'єднання.
У вкладці General вказуємо тип трафіку - Input , далі вибираємо стан підключення ( Connection State ): invalid , а у вкладці Action вказуємо дію drop. -
Правило під номером 3 – правило дозволяє встановлювати з'єднання по протоколу ICMP . Іншими словами, це правило дозволяє приймати і відповідати на ping.
У вкладці General вказуємо тип трафіку - Input , далі вибираємо протокол, в нашому випадку ICMP, а у вкладці Action вказуємо дію accept. -
Правило під номером 4 – це правило дозволяє контролеру точок доступу ( CAPsMAN ) отримати доступ до управління власними радіо-модулями.
У вкладці General вказуємо тип трафіку - Input , далі вибираємо на яку адресу направити трафік ( Dst . Address ) 127.0.0.1 , а у вкладці Action вказуємо дію accept. -
Правило під номером 5 - це правило відкидає всі з'єднання які приходять не з локальної мережі (LAN)
У вкладці General вказуємо тип трафіку - Input , далі вибираємо інтерфейс звідки буде приходити трафік, але що б не перебирати варіанти встановлюємо «!» знак оклику перед параметром інтерфейсу, тим самим інвертований вибір. Це означає, що це правило буде застосовуватися до трафіку приходить з усіх інтерфейсів крім обраного, в нашому випадку інтерфейс а LAN . У вкладці Action вказуємо дію drop. -
Правило під номером 6,7 – ці два правила дозволяю пропускати через себе протокол захисту мережевого трафіку IPSec . Правила відрізнятися тільки напрямком одне на вхід, інше на вихід.
У вкладці General ідентичні налаштування для 6 і 7 правил, вказуємо тип трафіку - Forward . А у вкладці Advanced налаштовуємо IP Policy тип IPSec в правилі 6 вибираємо « in », в 7 « out ». Налаштування у вкладці Action ідентичні для 6 і 7 правил - вказуємо дію drop. -
Правило під номером 8 – це правило дозволяє прискорити проходження трафіку через пристрій, при цьому відчутно знижує навантаження на центральний процесор.
У вкладці General вказуємо тип трафіку - Forward , далі вибираємо стан підключення ( Connection State ): established, related . А у вкладці Action вказуємо дію fasttrack connection. -
Правило під номером 9 – це правило дозволяє пропускати трафік крізь себе з уже встановлений них з'єднань.
У вкладці General вказуємо тип трафіку - Forward, далі вибираємо стан підключення ( Connection State ): established, related, untracked, а у вкладці Action вказуємо дію accept. -
Правило під номером 10 – це правило видаляє неправильний трафік який може з’явитися в результаті обриву з'єднання.
У вкладці General вказуємо тип трафіку - Forward, далі вибираємо стан підключення ( Connection State ): invalid , а у вкладці Action вказуємо дію drop. -
Правило під номером 11 – це правило захищає нас від будь-яких підключень з інтернету, які хочуть пройти через пристрої. При цьому буде пропускатися трафік який проходить через NAT таблицю.
У вкладці General вказуємо тип трафіку - Forward , далі вибираємо стан підключення ( Connection State ): new , а Connection NAT State вибираємо все, крім dstnat . У вкладці Action вказуємо дію drop.
Ось ми і розглянули всі правила, які входять з базової конфігурацію. Версія Router OS 6.48.