MikroTik 1

written by archi | 2 lutego 2022

Mikrotik – wprowadzenie

Celem laboratorium jest zapoznanie się z technologią Mikrotik oraz możliwościami ich wykorzystania w sieciach komputerowych. Zapoznamy się również z technikami dostępu do urządzeń sieciowych.

 

Winbox

Aplikacja została podzielona na trzy sekcje. Pierwsza z nich to parametry połączeniowe. Zakłada ona możliwość wpisania adresu urządzenia, do którego chcemy się podłączyć w postaci adresu IP lub adresu MAC. Wymagane jest podanie nazwy użytkownika oraz (jeśli jest) hasła. Wybierając „Connect” nastąpi próba połączenia. Należy zauważyć, że połączenie w w warstwie L3 modelu ISO/OSI wymaga skonfigurowanej karty sieciowej w odpowiedniej klasie adresowej IP. W przypadku domyślnej konfiguracji MikroTik jest to klasa 192.168.88.0/24. W laboratorium wykorzystywana jest inna klasa opisana poniżej w sekcji „Konfiguracja domyślna”. Połączenia w warstwie L2 (połączenia po adresie MAC) nie wymaga żadnej konfiguracji w kartach sieciowych.

Wyboru możemy również dokonać z zapisanych urządzeń „Managed” lub w sekcji „Neighbors„, gdzie dynamicznie wykrywane są dostępne urządzenia. W tym drugim przypadku klikając odpowiednio na pola kolumn „MAC Address” lub „IP Address” przeniesiemy parametry połączeniowe do sekcji pierwszej w pole „Connect To”.

 

Konsola systemu RouterOS

Po wykonaniu poprawnego procesu połączenia zobaczysz okno jak powyżej. Z lewej strony dostępne jest menu pozwalające na graficzny proces konfiguracji usług i parametrów interfejsów sieciowych. Do ważniejszych należy wymienić:

Quick Set” – pozwala na szybkie z wykorzystaniem przygotowanych szablonów konfigurowanie urządzenia

Interfaces” – konfiguracja wszystkich dostępnych interfejsów w urządzeniu

Wireless” – ustawienia sieci WiFi

Bridge” – ustawienia grupowania interfejsów, sieci wirtualnych VLANs

PPP” – ustawienia połączeń punktowych w tym PPP, PPTP, L2TP, OVPN, PPPoE

IP” – sekcja podmenu w tym ustawienia ARP, Addresses, DHCP, DNS, Firewall, Pool, SMB, SSH, Services i wiele innych w rach IPv4

System” – sekcja podmenu w tym ustawienia Clock, Health, Identity, NTP, Packages, Password, Reboot, Reset Configuration i wiele innych

Files” – zarządzanie danymi na dysku flash w tym plików konfiguracyjnych

Tools” – podmenu z narzędziami do testowania łączności

New Terminal” – uruchomienie terminala konfiguracyjnego

 

Okienka konsoli

Terminal

 

Wyświetlanie informacji
– Informacje o portach USB i podłączonych urządzeniach
system resource usb
– Informacje o CPU jak i IRQ oraz Dysku
system resource cpu
– Wyświetlanie informacji o zasobach
system resource
– Informacje o interfejsach
interface ethernet print
Tablica routingu
ip route print
Aktualna lista adresów IP
ip address print
Serwery DNS
ip dns print

UWAGA: Dalszych komend nie wykonuj w terminalu, tylko je przejrzyj. Zobacz jak są zbudowane, co robią, jaki przyniosą efekt. Zapoznaj się w tabeli z ogólną budową komend oraz z procedurą restartu routera Mikrotik do ustawień fabrycznych.

Operacje na adresach IP
– Dodanie adresu IP do port ethernet
ip address add interface=ether1 address=192.168.1.100 netmask=255.255.255.0 network=192.168.1.0 broadcast=192.168.255.255
– Zmiana adresu portu ethernet (wpierw należy ustalić nr pozycji adresu komendą ip address print w naszym przypadku to 1)
ip address set 1 address=192.168.1.20/24
– Usunięcie adresu z portu ethernet
ip address remove 1
– Nazewnictwo portów ethernet
interface ethernet set 0 name=WAN
interface ethernet set 1 name=eth2
interface ethernet set 2 name=eth3
interface ethernet set 3 name=eth4
interface ethernet set 4 name=eth5
interface wireless set 0 name=wlan1
– Zmiana adresu MAC portu ethernet1
interface ethernet set ether1 mac-address=xx.xx.xx.xx.xx
– Wyłączenie i włączenie portu ethernet1
interface disable ether1
interface enable ether1
– Zmiana nazwy Routera
system identity set name=Router
Konfiguracja mostu (Bridge)
– Tworzenie mostu
interface bridge add auto-mac=no l2mtu=1594 name=bridge-local protocol-mode=rstp
– Dodawanie portów ethernet do mostu
interface bridge port add bridge=bridge-local interface=wlan1
interface bridge port add bridge=bridge-local interface=eth3
interface bridge port add bridge=bridge-local interface=eth4
DHCP Serwer
– Tworzenie puli adresów dla DHCP
ip pool add name=default-dhcp ranges=192.168.2.2-192.168.2.254
– Konfiguracja Serwera DHCP
ip dhcp-server add address-pool=default-dhcp disabled=no interface=bridge-local name=default
ip dhcp-server network add address=192.168.2.0/24 comment=”” dns-server=192.168.2.1 gateway=192.168.2.1
– Uruchomienie klienta DHCP na porcie WAN
ip dhcp-client add comment=”” disabled=no interface=WAN
VLAN
– Dodanie VLAN na odpowiednim porcie ethernet (eth2 w tym przypadku id 10 i 20)
interface vlan add interface=eth2 l2mtu=1594 name=”VLAN 10″ vlan-id=10
interface vlan add interface=eth2 l2mtu=1594 name=”VLAN 20″ vlan-id=20
– Przypisanie VLAN 10 do mostka
interface bridge port add bridge=bridge-local interface=”VLAN 10″
– Przypisanie adresu VLAN 20
ip address add address=192.168.1.100/24 interface=”VLAN 20″
Eksport konfiguracji
– Eksport ustawień
/export
– Eksport ustawień do pliku
/export compact file=nazwapliku
– Eksport ustawień firewalla do pliku
/ip firewall export file=nazwapliku
– Eksport ustawień mangle firewalla do pliku
/ip firewall mangle export file=nazwapliku
– Eksport ustawień Queue do pliku
/queue export file=nazwapliku
– Eksport ustawień Simple Queue do pliku
/queue simple export file=nazwapliku

Polecenia ogólne

Istnieje kilka poleceń, które są wspólne dla prawie wszystkich poziomów menu, a mianowicie: drukowanie (print), ustawianie (set), usuwanie(remove), dodawanie(add), wyszukiwanie(find), pobieranie(get), eksportowanie(export), włączanie(enable), wyłączanie(disable), komentowanie(comment), przenoszenie(move). Te polecenia zachowują się podobnie na różnych poziomach menu.

Parametr
 Opis
add

To polecenie zwykle ma te same argumenty, co ustawianie (set), z wyjątkiem argumentu numeru pozycji. Dodaje nową pozycję z określonymi przez Ciebie wartościami, zwykle na końcu listy pozycji, w miejscach, w których kolejność pozycji jest istotna. Istnieje kilka wymaganych właściwości, które musisz podać, takie jak interfejs dla nowego adresu, podczas gdy inne właściwości są ustawione na wartości domyślne, chyba że wyraźnie je określisz.

Wspólne parametry

  • copy-from – kopiuje istniejący element. Pobiera domyślne wartości właściwości nowego elementu z innego elementu. Jeśli nie chcesz tworzyć dokładnej kopii, możesz określić nowe wartości dla niektórych właściwości. Kopiując przedmioty, które mają nazwy, zwykle będziesz musiał nadać kopii nową nazwę
  • place-before – umieszcza nowy element przed istniejącym elementem o określonej pozycji. Dzięki temu nie musisz używać polecenia przenoszenia po dodaniu elementu do listy
  • disabled – kontroluje stan wyłączenia/włączenia nowo dodanego elementu(-ów)
  • comment – przechowuje opis nowo utworzonego przedmiotu

Zwracane wartości

  • polecenie add zwraca wewnętrzną liczbę elementów, które dodała
edit To polecenie jest powiązane z poleceniem set. Może być używany do edycji wartości właściwości zawierających dużą ilość tekstu, takich jak skrypty, ale działa ze wszystkimi edytowalnymi właściwościami. W zależności od możliwości terminala, w celu edycji wartości określonej właściwości uruchamiany jest edytor pełnoekranowy lub edytor jednowierszowy.
find Polecenie find ma te same argumenty co set, plus argumenty flag, takie jak wyłączone lub aktywne, które przyjmują wartości tak lub nie w zależności od wartości odpowiedniej flagi. Aby zobaczyć wszystkie flagi i ich nazwy, spójrz na górę danych wyjściowych polecenia print. Polecenie find zwraca wewnętrzne numery wszystkich elementów, które mają te same wartości argumentów, jakie zostały określone.
move

Zmienia kolejność pozycji na liście. Parametry:

  • pierwszy argument określa przenoszony element(-y).
  • drugi argument określa element, przed którym należy umieścić wszystkie przenoszone elementy (są one umieszczane na końcu listy, jeśli pominięto drugi argument).
print

Pokazuje wszystkie informacje, które są dostępne z określonego poziomu poleceń. Tak więc /system clock print pokazuje datę i czas systemowy, /ip route print pokazuje wszystkie trasy itp. Jeśli istnieje lista elementów na bieżącym poziomie i nie są one tylko do odczytu, tj. możesz je zmienić/usunąć (przykład jedyną listą pozycji jest /system history, która pokazuje historię wykonanych akcji), to polecenie print przypisuje również numery, które są używane przez wszystkie polecenia, które operują na pozycjach z tej listy.

Wspólne parametry:

  • from – pokazuje tylko określone pozycje, w tej samej kolejności, w jakiej zostały podane.
  • where – pokazuje tylko przedmioty spełniające określone kryteria. Składnia lokalizacji właściwości jest podobna do polecenia find.
  • brief – wymusza na poleceniu drukowania użycie tabelarycznego formularza wyjściowego
  • detail – wymusza użycie polecenia drukowania właściwość=wartość formularza wyjściowego
  • count-only – pokazuje liczbę przedmiotów
  • file – drukuje zawartość określonego podmenu do pliku na routerze.
  • interval – aktualizuje dane wyjściowe polecenia drukowania dla każdego interwału sekund.
  • oid – wyświetla wartość OID dla właściwości dostępnych z SNMP
  • without-paging – drukuje dane wyjściowe bez zatrzymywania po każdym pełnym ekranie.
remove Usuwa określone elementy z listy.
set Umożliwia zmianę wartości parametrów ogólnych lub parametrów pozycji. Polecenie set ma argumenty o nazwach odpowiadających wartościom, które można zmienić. Posługiwać się ? lub podwój Tab, aby zobaczyć listę wszystkich argumentów. Jeśli istnieje lista elementów na tym poziomie poleceń, to zestaw ma jeden argument akcji, który akceptuje liczbę elementów (lub listę liczb), które chcesz skonfigurować. To polecenie niczego nie zwraca.

 

Przywrócenie ustawień początkowych (domyślnych)

Przytrzymaj przycisk „RESET” przez co najmniej 7 sekund – następnie go zwolnij. Urządzenie zostanie zrestartowane i zostanie załadowana konfiguracja domyślna.

Ta funkcja (Reset-Button) nie jest domyślnie dostępna – została przygotowana na potrzeby laboratorium.

 

Konfiguracja domyślna:

 

Port 1 (ether1):  port WAN – internetowy, włączone DHCP-Client
Porty 2 – 10 (ether2ether10) oraz SFP+ (sfp-sfpplus1): porty lokalne LAN, porty zawarte w bridge1, włączony DHCP-Server w klasie adresowej 10.0.101.0/24
– interfejsy (ether1ether10, SFP+) aktywne, WiFi2.4GHz i WiFi5GHz nieaktywne

Zdefiniowano nazwy (Lists) dla interfejsów:
FIBER – sfp-sfpplus1
LAN – bridge1
WAN – ether1
RADIO2.4 – WiFi2.4GHz
RADIO5.0 – WiFi5GHz

Firewall:
Dozwolone (Allow): icmp, STATE: established, related
Zabronione (Drop): cały ruch wejściowy nie pochodzący z listy interfejsów LAN (!LAN)
Uruchomione maskowanie srcnat dla ruchu opuszczającego interfejs z listy WAN (masquerade)

Włączone serwisy: ssh (22), winbox (8291)
Uruchomiony NTP Client (pl.pool.ntp.org)
Zdefiniowana pula adresów dla serwera DHCP (IP Pool) z przedziału 10.0.101.100 – 10.0.101.150
Konto użytkownika: admin (hasło: admin)

 

 

x