SNMP MIBs and OIDs for MikroTik

Сегодня делал шаблоны Zabbix, начал делать сначала под MikroTik RouterBOARD SXT-Lite2 (2nDr2).

Некоторые OID можно найти выполнив следующие команды на устройстве:

system resource print oid
system resource cpu print oid
system health print oid
interface print oid

SNMP должно быть включено на устройстве, в IPSNMPCommunities добавлено комьюнити и должна стоять галочка в IPSNMP на Enable.

Из Linux можно проверять OID командой:

snmpwalk -v 2c -c public 192.168.1.1 .1

Опишу ниже несколько OID которые я использовал.
SSID:

SNMPv2-SMI::enterprises.14988.1.1.1.3.1.4.2

Signal:

.1.3.6.1.4.1.14988.1.1.1.2.1.3

Uptime:

.1.3.6.1.2.1.1.3.0

Загрузка процессора:

.1.3.6.1.2.1.25.3.3.1.2.1

Определим индекс интерфейсов посмотрев их описание:

.1.3.6.1.2.1.2.2.1.2
ifDescr

LAN трафик (у меня под индексом 1):

ifInOctets.1
ifOutOctets.1
1.3.6.1.2.1.2.2.1.10.1
1.3.6.1.2.1.2.2.1.16.1

WLAN трафик (у меня под индексом 2):

ifInOctets.2
ifOutOctets.2
1.3.6.1.2.1.2.2.1.10.2
1.3.6.1.2.1.2.2.1.16.2

Всего памяти и сколько использовано:

.1.3.6.1.2.1.25.2.3.1.5.65536
.1.3.6.1.2.1.25.2.3.1.6.65536

Частота процессора:

.1.3.6.1.4.1.14988.1.1.3.14.0

mac-адреса LAN и WLAN:

.1.3.6.1.2.1.2.2.1.6.1
.1.3.6.1.2.1.2.2.1.6.2

Пакеты с ошибками in/out на WLAN интерфейсе (у меня WLAN под индексом 2):

.1.3.6.1.2.1.2.2.1.14.2
.1.3.6.1.2.1.2.2.1.20.2

Смотрите также:
Список SNMP OID и MIB для интерфейсов

Настройка Fasttrack на Mikrotik

FastTrack ускоряет обработку пакетов, начал работать на прошивках от 6.29.

Пример настройки:

/ip firewall filter add chain=forward action=fasttrack-connection connection-state=established,related
/ip firewall filter add chain=forward action=accept connection-state=established,related

Добавленные правила должны находится перед остальными.

Посмотрим список правил:

/ip firewall filter print

Переместим два наших добавленный в верх (у меня они под ID 33 и 34):

/ip firewall filter move 33  destination=1
/ip firewall filter move 34  destination=2

Настройка MikroTik RB912UAG-2HPnD (BaseBox 2) + Ubiquiti Sector

Настраивал недавно MikroTik RB912UAG-2HPnD (BaseBox 2).
На наклейке написано что без подключенной антенны его не включать :), использоваться он будет с Ubiquiti Sector AM-2G15, к этому сектору я и подключил на два контакта.

Стандартный IP устройства 192.168.88.1, логин admin без пароля, DHCP выключен стандартно, по этому нужно прописать на компьютере вручную IP, например 192.168.88.2 с маской подсети 255.255.255.0.

Первым делом сменим пароль в «System» — «Users».

Настроим Wi-Fi параметры в «Wireless» — «Interfaces»:
Wireless Protocol: 802.11 чтобы можно было подключаться любым устройствам

В «Wireless» — «Security Profiles» настроим:
SSID (имя беспроводной сети)
Mode: dynamic keys
тип шифрования WPA2 PSK AES
WPA2 Pre-Shared Key (пароль на беспроводную сеть)

Теперь изменим устройству IP адрес, в IP — Addresses, той сети где он будет стоять. Например вместо 192.168.88.1 на 172.16.200.11, после этого на компьютере изменим вручную прописанный IP на IP из этой сети, например 172.16.200.12 чтобы можно было дальше выполнить настройку.
«IP» — «Routes» добавим шлюз, например Dst. Address: 0.0.0.0/0, Gateway: 172.16.200.1.

На этом основная настройка завершена, устройство будет работать бриджом как точка доступа, то есть IP будет выдавать не она, а устройство до неё или биллинг.

MikroTik как два роутера с одним аплинком

Понадобилось как-то MikroTik RB2011iLS-IN поделить на два отдельных маршрутизатора чтобы подключить двух абонентов, при том чтобы аплинк был один с двумя разными IP.
Решил эту задачу прокинув к MikroTik два VLAN, в каждом назначил IP и настроил два маскарадинга, двумя бриджами поделил порты.

Собственно ниже покажу какие настройки я накрутил.

Переименовал стандартный бридж на bridge1 и добавил второй:

/interface bridge add name=bridge2

SFP у меня как аплинк, изменил ему имя (остальные порты просто переименовал как ether1,ether2 и т.д.):

/interface ethernet set [ find default-name=sfp1 ] name=sfp1-Gateway

Добавил VLANы:

/interface vlan
add interface=sfp1-Gateway name=vlan1 vlan-id=228
add interface=sfp1-Gateway name=vlan2 vlan-id=226

Указал диапазон IP для DHCP серверов:

/ip pool
add name=dhcp-192-168-88-0 ranges=192.168.88.10-192.168.88.254
add name=dhcp-192-168-0-0 ranges=192.168.0.2-192.168.0.254

Настроил два DHCP сервера:

/ip dhcp-server
add address-pool=dhcp-192-168-88-0 disabled=no interface=bridge1 name=serever-192-168-88-0
add address-pool=dhcp-192-168-0-0 disabled=no interface=bridge2 name=server-192-168-0-0

У портов с 3 по 5 и 7 по 10 убрал указанные мастер порты. Привязал порты к двум разным бриджам:

/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge2 interface=ether6
add bridge=bridge2 interface=ether7
add bridge=bridge2 interface=ether8
add bridge=bridge2 interface=ether9
add bridge=bridge2 interface=ether10

Прописал IP адреса для внутренних сетей и интернета (DHCP Client не использовал, тем более что два IP смотрящие в интернет будут с одинаковым MAC адресом):

/ip address
add address=192.168.88.1/24 comment=RDA interface=bridge1 network=192.168.88.0
add address=192.168.0.1/24 comment=Arhitekturnoe interface=bridge2 network=192.168.0.0
add address=172.16.4.81/18 interface=vlan2 network=172.16.0.0
add address=172.18.2.134/16 interface=vlan1 network=172.18.0.0

Указал сети для DHCP:

/ip dhcp-server network
add address=192.168.0.0/24 gateway=192.168.0.1
add address=192.168.88.0/24 comment="default configuration" gateway=192.168.88.1

Указал DNS адреса:

/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip dns static
add address=192.168.88.1 name=router
add address=192.168.0.1 name=router

Правила фаервола которые я прописал и стандартные:

/ip firewall filter
add chain=input comment="default configuration" protocol=icmp
add chain=input dst-port=80 protocol=tcp
add chain=input comment="default configuration" connection-state=established,related
add action=drop chain=input comment="default configuration" in-interface=sfp1-Gateway
add action=fasttrack-connection chain=forward comment="default configuration" connection-state=established,related
add chain=forward comment="default configuration" connection-state=established,related
add action=drop chain=forward comment="default configuration" connection-state=invalid
add action=drop chain=forward comment="default configuration" connection-nat-state=!dstnat connection-state=new in-interface=sfp1-Gateway

Правила для маркировки пакетов:

/ip firewall mangle
add action=mark-connection chain=forward in-interface=vlan1 new-connection-mark=ID4635-RDA
add action=mark-connection chain=forward in-interface=vlan2 new-connection-mark=ID5357-Arhitekturnoe
add action=mark-routing chain=prerouting connection-mark=ID4635-RDA new-routing-mark=ID4635-RDA-rt src-address=192.168.88.0/24
add action=mark-routing chain=prerouting connection-mark=ID5357-Arhitekturnoe new-routing-mark=ID5357-Arhitekturnoe-rt src-address=192.168.0.0/24

Два маскарадинга:

/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" out-interface=vlan1
add action=masquerade chain=srcnat out-interface=vlan2

Маршруты:

/ip route
add distance=1 gateway=172.18.0.1 routing-mark=ID4635-RDA-rt
add distance=1 gateway=172.16.0.1 routing-mark=ID5357-Arhitekturnoe-rt
/ip route rule
add src-address=192.168.0.0/24 table=ID5357-Arhitekturnoe-rt
add src-address=192.168.88.0/24 table=ID4635-RDA-rt

На этом настройка завершена, устройство будет работать как два отдельных роутера с разными IP.

Как посмотреть конфигурацию MikroTik

Недавно настраивал очередной MikroTik и нужно было поделится конфигурацией, так вот, чтобы посмотреть её в терминале выполним команду:

/export compact

Чтобы сохранить конфигурацию в файл выполним команду:

/export compact file=config

После сохранения файл будет находится в памяти устройства, его можно увидеть и скачать из меню Files через web-интерфейс либо winbox, ftp, smb, sftp.

Настройка HotSpot в MikroTik

Опишу по пунктам действия которые необходимо выполнить для настройки HotSpot в Mikrotik.

1) Если на Mikrotik будет использоваться несколько сетей, например локальная и отдельно HotSpot, то первым делом создадим новый бридж в меню Bridge, например Bridge_hotspot, потом в Bridge — Ports выберем нужный порт и переведем его с bridge-local на новосозданный. Назначим IP адрес для Bridge_hotspot в меню IP — Addresses.

2) В IP — Pool добавим новый диапазон адресов которые будут раздаваться клиентам в HotSpot.
В IP — DHCP Server — DHCP создадим новый DHCP сервер у кажем его на Bridge_hotspot.
В IP — DHCP Server — Networks добавим новую сеть.

3) Откроем IP — Hotspot и создадим его указав интерфейсом Bridge_hotspot и выберем созданный в IP — Pool диапазон адресов.
IP — Hotspot — Server Profiles отредактируем стандартный профиль под свои нужды, там же можно ограничить скорость передачи данных параметром «Rate Limit (rx/tx)». В «Login By» можно поставить галочки только на «HTTP CHAP» и «Trial», тогда пользователи смогут без пароля подключатся к точке доступа на указанное в «Trial Uptime Limit» время, после чего их снова будет переводить на страницу MikroTik на которой нужно снова нажать вход и можно дальше пользоваться интернетом. Я же в поле Trial Uptime Limit поставил 1d 00:00:00 чтобы рекламная страница входа автоматически отображалась раз в день (без её просмотра и нажатия кнопки входа на ней — интернет не будет работать).

Чтобы изменить страницу входа в меню Files найдем файл /hotspot/login.html, скачаем его и отредактируем в текстовом или HTML редакторе под свои нужды, потом закачаем обратно используя FTP.
Приведу пример HTML кода с простой ссылкой входа:

<html>
<head>
<title>HotSpot - Free Internet</title>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8" />
<meta http-equiv="pragma" content="no-cache" />
<meta http-equiv="expires" content="-1" />
<meta name="viewport" content="width=device-width; initial-scale=1.0; maximum-scale=1.0;"/>

<style type="text/css">
body {color: #727272; font-size: 14px; font-family: verdana;}
</style>

</head>
<body>
<a style="color: #FF8080"href="$(link-login-only)?dst=$(link-orig-esc)&amp;username=T-$(mac-esc)">Получить бесплатный доступ к интернету</a>
</body>
</html>

В меню IP — Hotspot — Walled Garden, где src. address можно указать каким IP-адресам будет всегда разрешен доступ без посещения страницы входа.
Чтобы перейти в настройки MikroTik из локальной сети после настройки HotSpot понадобится открыть Winbox — Neighbors. Если из WAN, то читайте эту статью — Настройка удаленного доступа в маршрутизаторах Mikrotik.

Все.

Настройка PIM на MikroTik

Приведу пример настройки PIM на двух маршрутизаторах MikroTik:

Настроим первый MikroTik.
Добавим pim интерфейс и проверим:

routing pim interface add
routing pim interface p

Добавим IP-адрес RP (этого MikroTik):

routing pim rp add address=IP-АДРЕС

Укажем с каких IP разрешен multicast трафик:

routing pim interface set alternative-subnets=238.0.0.0/24,239.0.0.0/24

Настроим второй MikroTik.
Добавим pim интерфейс на входящий WAN порт, у меня ether1:

routing pim interface add interface=ether1
routing pim interface p

Добавим IP-адрес RP (первого MikroTik):

routing pim rp add address=IP-АДРЕС

Укажем маршрут multicast источника: (первого MikroTik):

ip route add 239.0.0.0/24 via IP-АДРЕС

Все.

Использование Wake On Lan на MikroTik

Приведу пример команды для отправки wol пакета:

tool wol mac=FF:FF:FF:FF:FF:FF

Стандартно пакет посылается от интерфейса шлюза, но можно также указать интерфейс вручную:

tool wol interface=ether1 mac=FF:FF:FF:FF:FF:FF

Вот так все просто.

Настройка MikroTik CRS212-1G-10S-1S+ IN

Сегодня для примера буду настраивать MikroTik CRS212-1G-10S-1S+ IN в качестве коммутатора, версия прошивки RouterOS 6.20.
И так, подключимся к нему консольным кабелем на скорости 115200.
Изначально логин admin без пароля.

Сотрем стандартную конфигурацию:

system reset-configuration

Во время загрузки когда устройство будет спрашивать нажмем кнопку «r» чтобы подтвердить что мы хотим стереть стандартный конфиг.

Добавим нового пользователя и отключим пользователя admin:

use add name=имя password=пароль group=full
user disable admin

Посмотрим какие есть интерфейсы, у меня первый порт будет аплинком так как 10 гигабитного линка под рукой не было:

interface print

Создадим коммутатор из всех портов:

interface ethernet set [ find default-name=sfp2 ] master-port=sfp1
interface ethernet set [ find default-name=sfp3 ] master-port=sfp1
interface ethernet set [ find default-name=sfp4 ] master-port=sfp1
interface ethernet set [ find default-name=sfp5 ] master-port=sfp1
interface ethernet set [ find default-name=sfp6 ] master-port=sfp1
interface ethernet set [ find default-name=sfp7 ] master-port=sfp1
interface ethernet set [ find default-name=sfp8 ] master-port=sfp1
interface ethernet set [ find default-name=sfp9 ] master-port=sfp1
interface ethernet set [ find default-name=sfp10 ] master-port=sfp1
interface ethernet set [ find default-name=sfpplus1 ] master-port=sfp1
interface ethernet set [ find default-name=ether1 ] master-port=sfp1

Создам два VLAN которые будуту транслироваться дальше на управляемые коммутаторы (первый для управления оборудованием, второй для клиентов):

interface vlan add interface=sfp1 l2mtu=1584 name=vlan207-sfp1 vlan-id=207
interface vlan add interface=sfp1 l2mtu=1584 name=vlan226-sfp1 vlan-id=226

Назначу VLAN интерфейсу на первом порту IP-адрес:

ip address add address=10.0.0.2/24 interface=vlan207-sfp1 network=10.0.0.0

Отключу neighbor discovery, так как оно мне не требуется:

ip neighbor discovery set sfp1 discover=no
ip neighbor discovery set sfp2 discover=no
ip neighbor discovery set sfp3 discover=no
ip neighbor discovery set sfp4 discover=no
ip neighbor discovery set sfp5 discover=no
ip neighbor discovery set sfp6 discover=no
ip neighbor discovery set sfp7 discover=no
ip neighbor discovery set sfp8 discover=no
ip neighbor discovery set sfp9 discover=no
ip neighbor discovery set sfp10 discover=no
ip neighbor discovery set sfpplus1 discover=no
ip neighbor discovery set ether1 discover=no
ip neighbor discovery set vlan207-sfp1 discover=no
ip neighbor discovery set vlan226-sfp1 discover=no

Настрою SNMP для мониторинга устройства и доступ к нету только с одного адреса:

snmp set enabled=yes trap-community=public
snmp community set [ find default=yes ] addresses=10.0.0.1/32

Фильтрация входящего широковещательного флуда, на примере лимит 200 пакетов в секунду для порта sfp2 (для остальных портов аналогично, только меняем название порта):

interface ethernet switch ingress-port-policer add port=sfp2 rate=200 meter-unit=packet packet-types=broadcast

Все, MikroTik CRS212-1G-10S-1S+ IN работает как коммутатор, на всех портах тегированый трафик проходит через него по двум VLAN.

Настройка сервиса Cloud в Mikrotik

Начиная от версии RouterOS v6.14 добавлена функция Cloud, которая позволяет использовать Dynamic DNS имя для устройства, которое автоматически назначается и по нему можно получить доступ даже если IP адрес будет изменятся.

Пример включения через консоль:

ip cloud set enabled=yes

Пример просмотра параметров:

ip cloud print

Включение обновления времени устройства с временем DDNS сервера (если не настроен SNTP или NTP сервис):

ip cloud update-time yes/no

Немедленное обновление DDNS:

ip cloud force-update

Просмотр DDNS имени:

ip cloud dns-name

Просмотр публичного IP адреса на который привязан DDNS:

ip cloud public-address

Привязка DDNS к локальному IP-адресу вместо публичного, например к 192.168.1.101 и т.д.)

ip cloud advanced use-local-address yes/no

Просмотр текущего статуса Cloud (обновляется, обновлен, ошибка и т.д.):

ip cloud status

Через графический интерфейс настройки Cloud можно найти в меню «IP» — «Cloud».