Приведу пример настройки DHCP Snooping на MikroTik (RouterOS), чтобы блокировать сторонние DHCP сервера:
Читать далее «Настройка DHCP Snooping на MikroTik»Архивы рубрик:MikroTik
Настройка Hairpin NAT на RouterOS (Mikrotik)
В этой статье я приведу пример настройки Hairpin NAT на RouterOS (Mikrotik).
Бываю случаи когда в локальной сети находится например сервер или видеорегистратор, порты к которому проброшены в фаерволе, но подключиться можно только из других сетей, а из локальной сети получается только по локальному IP адресу, но не по внешнему, что на WAN интерфейсе маршрутизатора.
Читать далее «Настройка Hairpin NAT на RouterOS (Mikrotik)»Настройка Loop Protect в RouterOS (MikroTik)
Наконец-то начиная с версии RouterOS v6.37 и выше появилась защита от петель.
Loop Protect можно включить на интерфейсах ethernet, vlan, eoip, eoipv6.
Через WEB и Winbox на странице настроек интерфесов, открыв меню Interfaces.
Через CLI, нужно перейти в необходимое подменю:
/interface ethernet /interface vlan /interface eoip /interface eoipv6
Настройка UPnP в MikroTik
UPnP (Universal Plug and Play) — универсальная автоматическая настройка сетевых устройств, автоматически открывает порты для p2p приложений, игр и т.д.
В Winbox настройки можно найти открыв «IP» — «UPnP«.
Для включения поставим галочку напротив Enabled.
Теперь нужно указать интерфейсы, нажмем «Interfaces» и «Add New«.
Добавим внешний (external) WAN порт, обычно это ether1-gateway.
Добавим внутренний (internal) порт или бридж, например bridge.
На этом настройка завершена.
Приведу пример как это будет выглядеть через консоль:
ip upnp set enabled=yes ip upnp interfaces add interface=ether1-gateway type=external ip upnp interfaces add interface=bridge type=internal
Настройка MikroTik пополам как роутер и свич
Приведу пример настройки MikroTik как два разных устройства, коммутатор(свич) и маршрутизатор(роутер).
Порты 1-5 и sfp1 будут работать как свич, в качестве роутера будут порты: LAN 6-9 и wlan1, WAN — 10.
Настройка VPN IPSec/L2TP сервера на Mikrotik
Приведу пример настройки VPN IPSec/L2TP сервера на Mikrotik, чтобы можно было подключаться к нему из Windows, MacBook, iPhone и т.д.
1) Добавим диапазон IP-адресов для DHCP открыв «IP» — «Pool» и указав:
Name: vpn_pool
Addresses: 192.168.5.1-192.168.5.15
Next pool: none
Из терминала так:
ip pool add name=vpn_pool ranges=192.168.5.1-192.168.5.15
2) Добавим профиль в «PPP» — «Profiles»
Name: l2tp_profile
Local address: vpn_pool (можно указать default 192.168.88.1)
Remote address: vpn_pool
Change TCP MSS: yes
Остальное не трогаем и оставим в default
Из терминала так:
ppp profile add change-tcp-mss=yes local-address=vpn_pool name=l2tp_profile remote-address=vpn_pool
3) Добавим пользователя в «PPP» — «Secrets»
Name: ЛОГИН
Password: ПАРОЛЬ
Service: l2tp
Profile: l2tp_profile
Из терминала так:
ppp secret add name=ЛОГИН password=ПАРОЛЬ profile=l2tp_profile service=l2tp
4) Включим сервер в «PPP» — «Interface» — «L2TP Server»
Enabled: yes
MTU/MRU: 1450
Keepalive Timeout: 30
Default profile: l2tp_profile
Authentication: mschap2
Use IPSec: yes
IPSec Secret: КЛЮЧ_ШИФРОВАНИЯ (также указывается в клиентах)
Из терминала так:
interface l2tp-server server set authentication=mschap2 default-profile=l2tp_profile enabled=yes ipsec-secret=КЛЮЧ use-ipsec=yes
5) «IP» — «IPSec» — «Peers»
Address: 0.0.0.0/0
Port: 500
Auth method: pre shared key
Exchange mode: main l2tp
Passive: yes (set)
Secret: КЛЮЧ_ШИФРОВАНИЯ (также указывается в клиентах)
Policy template group: default
Send Initial Contact: yes
NAT Traversal: yes
My ID Type: auto
Generate policy: port override
Lifitime: 1d 00:00:00
DPD Interval: 120
DPD Maximum failures: 5
Proposal check: obey
Hash algorithm: sha1
Encryption Algorithm: 3des aes-128 aes-256
DH Group: modp 1024
Из терминала так:
ip ipsec peer add address=0.0.0.0/0 enc-algorithm=aes-256,aes-128,3des exchange-mode=main-l2tp generate-policy=port-override passive=yes secret=КЛЮЧ
6) «IP» — «IPSec» — «Proposals»
Name: default
Auth algorithms: sha1
Enrc. algorithms: 3des, aes-256 cbc, aes-256 ctr
Life time: 00:30:00
PFS Group: mod 1024
Из терминала так:
ip ipsec proposal set [ find default=yes ] enc-algorithms=aes-256-cbc,aes-256-ctr,3des
7) «Firewall» — «Add New»
Добавим первое правило разрешающее входящие VPN соединения:
Chain: Input
Protocol: udp
Any. Port: 1701,500,4500
Action: Accept
И второе:
Chain: Input
Protocol: ipsec-esp
Action: Accept
Из терминала так:
ip firewall filter add chain=input action=accept protocol=udp port=1701,500,4500 ip firewall filter add chain=input action=accept protocol=ipsec-esp
Правила должны находится в начале списка.
На этом настройка завершена, можно подключаться.
Смотрите также:
Настройка удаленного доступа в маршрутизаторах Mikrotik
Резервное копирование конфигурации MikroTik
Сделать резервную копию конфигурации MikroTik устройств можно несколькими способами:
1) Через веб интерфейс или WinBox слева в меню выбрать Files и нажать клавишу Backup и еще раз Backup, после чего в памяти устройства будет создан файл с резервной копией настроек. Например после сброса настроек устройства их можно будет восстановить из этого файла, там же открыв Files, выбрав нужный файл и нажав кнопку Restore, устройство перезагрузится.
Из терминала, посмотреть список файлов в памяти, сделать резервную копию и восстановиться из нее можно так:
file print system backup save name=file system backup load name=file
Из этого файла выполнить восстановление можно лишь на том устройстве где он был сделан, так как восстанавливаются также mac-адреса интерфейсов.
2) Следующий вариант, это экспортировать конфигурацию (список команд) в файл, которые потом можно выполнить на других устройствах, тем самым перенести конфигурацию.
Об этом я писал в слеюдующей статье Как посмотреть конфигурацию MikroTik
Ограничение скорости на MikroTik через Queues
Понадобилось как-то на секторной антенне ограничить трафик для любителей покачать торрентами. Точку настраивал и описывал в этой статье — MikroTik RB912UAG-2HPnD (BaseBox 2) + Ubiquiti Sector. В моём случае скорость регулирует биллинг, но захотелось для теста ограничить средствами MikroTik.
Хочу заметить что если включена функция FastTrack, то Simple Queues не будут работать.
Приведу пример команды добавления queue правила (где 192.168.50.0/24 подсеть для которой ограничивается скорость):
queue simple add name=queue1 target=192.168.50.0/24 max-limit=3M/3M
Если для для подсети ограничена скорость и кому-то нужно из этой сети убрать ограничение, то добавим новое правило в котором укажем max-limit=0/0 и разместим его в начале списка.
Через WEB и Winbox откроем слева меню Queues и в первой вкладке Simple Queues нажмем Add New и укажем:
Name: имя ограничения на свое усмотрение
Target: для кого будет действовать ограничение, например вся подсеть 192.168.50.0/24 или один адрес 192.168.50.144/32
Max Limit: тут укажем ограничение скорости закачки и отдачи
Жмем OK и простое правило готово.
Можно также указать время когда нужно ограничивать скорость, тогда правило будет автоматически включаться и выключаться.
Как ловить широковещательный флуд на MikroTik устройствах
Понадобилось как-то в одной сети определить откуда идут скачки широковещательного трафика, из-за которых на устройствах повышалась загрузка процессора и появлялись перебои с интернетом.
Сетевое оборудование использовалось от MikroTik.
Подключившись к MikroTik указанной ниже командой посмотрим статистику трафика на портах, а именно приходящий на порт широковещательный трафик «Rx Broadcast«, так как это счетчик пакетов, то цифра должна расти если приходит флуд, если не меняется, то все хорошо:
interface ethernet print stats interval=1
Вот пример просмотра статистики конкретного порта (где ether2 — имя интерфейса, оно может быль разным, зависит от того как его назвали при настройке):
interface ethernet print stats from ether2 interval=1
Посмотреть список портов/интерфейсов можно командой:
interface print
Таким способом по цепочке дойдем до конечного порта от которого идет broadcast флуд и если нужно отключим его командой (где NUMBER — номер порта по порядку в таблице которую можно посмотреть командой выше):
interface disable NUMBER
Для включения порта:
interface enable NUMBER
Через WEB или Winbox можно посмотреть статистику открыв слева меню Interfaces и во вкладке Interface посмотрим каждый интерфейс.
Пример обнуления статистики портов:
interface ethernet reset-counters ether2 interface ethernet reset-counters ether2,ether3,ether4,ether5
На CRS моделях MikroTik, можно включить контроль broadcast трафика, к примеру 100 пакетов в секунду на порт ether3 (аналогично для других портов):
interface ethernet switch ingress-port-policer add port=ether3 rate=100 meter-unit=packet packet-types=broadcast
В дальнейшем можно наблюдать за сетью например через систему Zabbix, в которой настроить отображение графиков широковещательных пакетов и если счетчик пакетов начинает расти, то система уведомит об этом.
Решение ошибки «router was rebooted without proper shutdown» в MikroTik
Попросили как-то выяснить причину частой перезагрузки роутера MikroTik.
В логах при включении устройства постоянно отображалась ошибка:
router was rebooted without proper shutdown
Вариант что проблема в блоке питания сомнительный, по этому начал искать посмотрев в первую очередь ресурсы в System — Resources и заметил что процессор загружен 90 — 100 %.
system resource print
Как вариант можно было также включить в System — Logging более детальные логи.
Посмотрел в IP — Firewall и увидел что все стандартные правила выключены, IP у роутера был внешним статическим, отсюда получается что SSH, telnet и т.д. порты видны всем и возможна атака подбором пароля.
Добавил вверху правило разрешающее подключаться к web по 80 порту из вне, чтоб меня не отключило, так как настраивал дистанционно.
Смотрите также мою статью — Настройка удаленного доступа в маршрутизаторах Mikrotik
Настроил стандартные правила:
add chain=input comment="default configuration" connection-state=established add chain=input comment="default configuration" connection-state=related add action=drop chain=input comment="default configuration" in-interface=ether1-gateway add chain=forward comment="default configuration" connection-state=established add chain=forward comment="default configuration" connection-state=related add action=drop chain=forward comment="default configuration" connection-state=invalid
В IP — Services можно также указать для определенных служб с каких IP адресов разрешен доступ. Например чтобы подключаться в web можно было только с одного IP, укажем для «www» в «Available From» например 192.168.50.5/32.
После применения правил и перезагрузки проблема была решена, маршрутизатор перестал сам перезагружаться и загрузка процессора была около ~ 10%. Замечу что к внешним IP всегда идут атаки подбором пароля как минимум от вирусов, особенно к стандартным портам telnet, ssh, ftp.