MikroTik — Страница 5

Настройка и использование Traffic Flow в Mikrotik

Включение Traffic Flow на маршрутизаторе Mikrotik:

ip traffic-flow set enabled=yes cache-entries=4k set active-flow-timeout=30m inactive-flow-timeout=15s interfaces=all

Просмотр настроек:

ip traffic-flow print

Указание IP-адреса и порта компьютера, который будет принимать пакеты Traffic-Flow:

ip traffic-flow target add address=192.168.88.240:1234 disabled=no version=9 v9-template-refresh=20 v9-template-timeout=30m

или

ip traffic-flow target add address=192.168.88.240:1234 disabled=no version=5

Просмотр настроек:

ip traffic-flow target print

Для настройки через графический интерфейс настройки можно найти в меню IP -> Traffic Flow.

Для мониторинга под Windows можно установить программу ManageEngine NetFlow Analyzer, которая будет работать как сервер, принимать пакеты с указанного порта и формировать графики и статистику через web-сервер, которые можно открыть браузером.

Для мониторинга под Linux можно установить и настроить например flow-tools.

Блокировка социальных сетей на маршрутизаторах Mikrotik

Запретить доступ к социальным сетям и прочим сайтам на маршрутизаторах Mikrotik можно несколькими способами.

Первый и наиболее эффективный

способ, это включить web-proxy, запретить в нем конкретные сайты, в фаерволе во вкладке NAT добавить правило которое будет нужные IP направлять на web-proxy.
Добавляется правило в IP — Firewall — NAT (Chain: dstnat, protocol: tcp, Dst. port: 80, Action: redirect, To Ports: 8080, в Src. Address или Src. Address List указываем кого необходимо направить на Web proxy)
Включаем Web proxy поставив галочку в IP — Web proxy — Enabled, смотрим чтобы порт был 8080.
Добавляем сайты которые нужно заблокировать в IP — Web proxy — Access (например Dst. host: vk.com, Action: deny)

Второй и один из простых

это добавить статическую DNS запись, тогда все кто подключены к маршрутизатору не смогут зайти на сайт.
Для этого необходимо нажать «IP» — «DNS» — «Add New», в поле «Name» указать домен сайта, в «Address» — 127.0.0.1.
Пример добавления через командную строку:

ip dns static add name youtube.com address=127.0.0.1
ip dns static add name www.youtube.com address=127.0.0.1
ip dns static add name name=".*\.vk\.com" address=127.0.0.1

Команда просмотра статических DNS записей на маршрутизаторе:

ip dns static print

Однако этот запрет можно обойти прописав вручную на компьютерах сторонний DNS сервер, например Google DNS — 8.8.8.8 и 8.8.4.4.

Третий вариант

это посмотреть на каких ip-адресах находится сайт, например набрав в командной строке Windows команду nslookup vk.com, потом в фаерволе заблокировать доступ к ним для всех пользователей или конкретным. Вместо кучи ip адресов можно указать подсеть, например 87.240.131.0/24 (это ip 87.240.131.1-254). На сайтах типа «http://bgp.he.net/AS47541#_prefixes» можно посмотреть диапазоны IP адресов принадлежащие AS компании.
Пример команд:

ip firewall filter add chain=forward src-address-list=socialnetworks action=drop comment="Social Network" disabled=no
ip firewall address-list add list=socialnetworks address=87.240.131.97 disabled=no
ip firewall address-list add list=socialnetworks address=87.240.131.103 disabled=no
ip firewall address-list add list=socialnetworks address=87.240.131.117 disabled=no
ip firewall address-list add list=socialnetworks address=87.240.131.120 disabled=no
ip firewall address-list add list=socialnetworks address=87.240.143.245 disabled=no
ip firewall address-list add list=socialnetworks address=87.240.143.246 disabled=no

Четвертый вариант

через протокол седьмого уровня (все пакеты в которых будут встречаться указанные выражения будут отбрасываться, таким образом могут блокироваться даже сообщения в чате, в которых встречаются выражения):

ip firewall layer7-protocol add name=social regexp="^.+(vk.com|vkontakte|odnoklassniki|odnoklasniki|facebook|youtube|loveplanet).*\$"
ip firewall filter add action=drop chain=forward comment="Block_social" layer7-protocol=social src-address-list=Block_social

Запрет доступа в интернет на Mikrotik

Чтобы запретить доступ в интернет определенным ip-адресам во внутренней сети, необходимо в настройках маршрутизатора нажать «IP» — «Firewall«, во вкладке «Filter Rules» добавить новые правила нажав «Add New» или «+«.

Проброс портов на маршрутизаторах Mikrotik

Чтобы пробросить порт на маршрутизаторе Mikrotik, необходимо открыть меню «IP» — «Firewall», выбрать вкладку «NAT» и добавить новое правило нажав «Add new» или «+«.

Скрытие MikroTik маршрутизатора в сети

Так как на MikroTik роутерах стандартно используется протокол MNDP (Neighbor Discovery Protocol) позволяющий выдать информацию об устройстве, то отключить его можно следующим образом:

1) Через графический интерфейс или Winbox. Открыть меню IP -> Neighbors -> вкладка Discovery Interfaces -> выбрать нужный интерфейс -> нажать «красный крестик».
2) Через командную строку. Набрав команду ip neighbor discovery set ether2 discover=no.

Нет вкладки Wireless в меню маршрутизатора Mikrotik

Заметил что во многих Mikrotik маршрутизаторах в меню нету вкладки Wireless, хотя Wi-Fi устройством поддерживается.

Обновление прошивки MikroTik устройств

Обновление прошивки MikroTik устройств достаточно легко выполнить, достаточно открыть web-интерфейс устройства или WinBox, выбрать в меню «System» — «Packages» и нажать кнопку «Check For Updates», если будет найдена новая прошивка, то жмем «Download & Upgrade», устройство само скачает прошивку с официального сайта и запустится с нее.

Для прошивки MikroTik устройств не на самую новую версию, или когда с устройства нет доступа в интернет, предлагаю выполнить следующие действия:

1) Скачать прошивку с официального сайта
https://www.mikrotik.com/download

2) Подключиться через WinBox (не через web интерфейс!), в меню выбрать «Files», появится окно, в него просто перетащить мышкой файл прошивки с расширением *.npk и дождаться загрузки файла.

3) Перезагрузить маршрутизатор. Он должен будет запустится уже с новой прошивкой.

Готово.

Для понижения версии прошивки необходимо выполнить пункты 1 и 2, потом подключиться к устройству через telnet и выполнить команду:

/system package downgrade

В случае неполадок можно восстановить маршрутизатор по следующей инструкции Восстановление MikroTik (RouterOS) с помощью NetInstall

Восстановление MikroTik (RouterOS) с помощью NetInstall

NetInstall используется для переустановки RouterOS когда она повреждена, неверно установлена или неизвестен пароль доступа.

Коротко опишу основные шаги:

1) Скачать NetInstall с официального сайта
https://mikrotik.com/download

2) Прописать компьютеру статический IP адрес, например 192.168.88.254

3) Соединить Ethernet кабелем маршрутизатор через ETH1 порт с компьютером используя коммутатор или напрямую.

4) Запустить приложение NetInstall. Нажать кнопку «Net booting», поставить галочку «Boot Server enabled» и ввести IP-адрес из той же подсети где находится компьютер, например 192.168.88.200, его NetInstall временно назначит маршрутизатору. Любой брандмауэр на компьютере должен быть отключен.

5) На отключенном от сети электропитания маршрутизаторе нажать кнопку «reset» и продолжая держать ее включить питание, ждать около пол минуты пока в программе NetInstall в списке устройств не появится новое устройство.

6) В «Packages» нажать кнопку «Browse» и указать директорию с прошивкой. В списке устройств (Routers/Drives) выбрать маршрутизатор, внизу в списке поставить галочку на прошивке которую нужно закачать в маршрутизатор и нажать кнопку «Install». Прошивка закачается в маршрутизатор и в статусе будет написано «Waiting for reboot», после чего вместо кнопки install будет кнопка reboot, ее и необходимо нажать.

Маршрутизатор загрузится с новой прошивкой. Если возникнут какие либо проблемы с загрузкой маршрутизатора, можно попробовать сбросить его на стандартные настройки подержав кнопку reset, либо если есть дисплей, выбрать «Restore settings» и ввести стандартный пин код 1234. Либо восстановить через Netinstall с снятой галочкой «Keep Old Configuration» и указав ниже свой «Configure script».

Настройка удаленного доступа в маршрутизаторах Mikrotik

Открыть «IP» — «Firewall» — вкладку «Filter Rules».
Нажать «Add new» для добавления нового правила.

Mikrotik CLI

Приведу некоторые примеры команд:

ПОЛЬЗОВАТЕЛИ.
По умолчанию для входа используется логин admin без пароля.
Добавление пользователя:

use add name=имя password=пароль group=full

Отключаемся чтобы зайти под новым пользователем:

quit

Отключение пользователя:

user disable admin

Просмотр пользователей:

user print

ИНТЕРФЕЙСЫ.
Просмотр интерфейсов:

interface print

Активация интерфейса:

interface enable 0

Назначение интерфейсу IP адреса:

ip address add address 172.17.1.199/24 interface ether1

Просмотр IP адресов:

ip address print

Изменение MTU интерфейсов:

interface set 0,1,2 mtu=1500

Изменение mac адреса интерфеса:

/interface ethernet set ether1 mac-address=00:01:02:03:04:05

Сброс mac адреса интерфеса:

/interface ethernet reset-mac ether1

Установка шлюза по умолчанию:

ip route add gateway=172.16.1.131

Просмотр маршрутов:

ip route print

Устанавливаем первичный и вторичный адреса DNS серверов:

ip dns set primary-dns=8.8.8.8 secondary-dns=8.8.4.4 allow-remote-requests=yes

Просмотр DNS параметров:

ip dns print

БЕСПРОВОДНЫЕ ИНТЕРФЕЙСЫ.
Просмотр беспроводных интерфейсов:

/interface wireless print

ВРЕМЯ.
Установка часового пояса:

system clock set time-zone=+2

Установка ip адреса ntp сервера с которым будет сверяться время:

system ntp client set enabled=yes primary-ntp=172.16.1.131

Просмотр времени:

/system clock print

ФАЕРВОЛ.
Настройка маскарадинга, чтобы чтобы внутренняя сеть не была видна с WAN порта:

ip firewall nat add chain=srcnat action=masquerade out-interface=интерфейс провайдера

Просмотр правил:

ip firewall filter print

Пример ограничения количества соединений с одного IP:

/ip firewall rule forward add protocol=tcp tcp -options=syn-only connection-limit=5 action=drop

Пример блокировки всех TCP пакетов идущих на порт 135:

/ip firewall rule forward add dst -port=135 protocol=tcp action=drop

Пример проброса портов:

/ip firewall dst-nat add action=nat protocol=tcp dst-address=10.0.0.217/32:80 to-dst-address=192.168.0.4

СИСТЕМА:
Просмотр стандартных настроек:

/system default-configuration print

Сброс настроек:

/system reset-configuration

Просмотр истории:

/system history print

СЛУЖБЫ.
Просмотр служб:

/ip service print

ПРОЧЕЕ.
Переход на уровень выше:

Выполнение команды из другого уровня без смены текущего:

/.

Помощь:

Настройка маршрутизатора с помощью мастера настроек:

setup

Пинг:

ping 192.168.1.2 count 3 size 512

Ctrl+X — вход и выход из безопасного режима.

Официальная страница загрузок http://www.mikrotik.com/download