Připojení do routeru
Existují dva typy konfigurace routerů:
Tento dokument popisuje, jak nastavit zařízení od základu, proto vás požádáme, abyste odstranili všechna výchozí nastavení.
Při prvním připojení ke směrovači s výchozím uživatelským jménem admin a bez hesla budete vyzváni k obnovení nebo zachování výchozí konfigurace (i když výchozí konfigurace obsahuje pouze adresu IP). Protože tento článek předpokládá, že na směrovači není žádná konfigurace, měli byste ji odstranit stisknutím klávesy "r" na klávesnici, když se zobrazí výzva, nebo kliknutím na tlačítko "Odebrat konfiguraci" ve WinBoxu.
Směrovač bez výchozí konfigurace
Pokud router nemá výchozí konfiguraci, máte několik možností, ale my zde použijeme jednu metodu, která vyhovuje našim potřebám.
Připojte port směrovače ether1 ke kabelu WAN a počítač připojte k portu ether2. Nyní otevřete program WinBox a vyhledejte směrovač při zjišťování sousedů. Podrobný příklad naleznete v článku Winbox.
Pokud v seznamu uvidíte směrovač, klikněte na adresu MAC a klikněte na tlačítko Připojit.
Nejjednodušší způsob, jak se ujistit, že máte naprosto čistý směrovač, je spustit příkaz
Konfigurace přístupu IP
Protože připojení MAC není příliš stabilní, musíme nejprve nastavit směrovač tak, aby bylo k dispozici připojení IP:
Pokud dáváte přednost WinBoxu/WeBfigu jako konfiguračnímu nástroji:
Dalším krokem je nastavení serveru DHCP. Pro snadnou a rychlou konfiguraci spustíme příkaz setup:
Všimněte si, že většina možností konfigurace je určena automaticky a stačí pouze stisknout klávesu enter.
Stejný nástroj pro nastavení je k dispozici také v programu WinBox/WeBfig:
Nyní by připojený počítač měl být schopen získat dynamickou IP adresu. Zavřete Winbox a znovu se připojte ke směrovači pomocí IP adresy (192.168.88.1).
Konfigurace připojení k Internetu
Dalším krokem je získání přístupu k internetu na směrovači. Může existovat několik typů připojení k internetu, ale nejběžnější jsou:
Dynamická veřejná IP adresa
Dynamická konfigurace adresy je nejjednodušší. Stačí nastavit klienta DHCP na veřejném rozhraní. Klient DHCP obdrží informace od poskytovatele internetových služeb (ISP) a nastaví pro vás IP adresu, DNS, servery NTP a výchozí trasu.
Statická veřejná IP adresa
V případě konfigurace statické adresy vám poskytovatel internetového připojení zadá parametry, např.:
Pro nastavení v RouterOS ručně přidáme adresu IP s poskytnutou bránou a nastavíme server DNS.
Připojení PPPoE
Připojení PPPoE vám také poskytuje dynamickou IP adresu a může dynamicky konfigurovat DNS a výchozí bránu. Poskytovatel služeb (ISP) vám obvykle přidělí uživatelské jméno a heslo pro připojení.
Akce Winbox/Webfig:
Ověření připojení
Po úspěšné konfiguraci byste měli mít ze směrovače přístup k internetu.
Ověřte IP připojení pomocí pingů na známé IP adresy (například na server Google DNS).
Ověření požadavku DNS
Pokud je vše správně nastaveno, ping by v obou případech neměl selhat.
V případě neúspěchu se podívejte do části o řešení problémů.
Ochrana routeru
Nyní má k našemu routeru přístup kdokoli na celém světě, takže je nejlepší čas chránit jej před vetřelci a základními útoky.
Zabezpečení pomocí hesla
Routery MikroTik vyžadují konfiguraci hesla, doporučujeme použít nástroj pro generování hesel k vytvoření bezpečných a neopakujících se hesel. Bezpečným heslem myslíme:
Důrazně doporučujeme použít druhou metodu nebo rozhraní Winbox pro použití nového hesla pro váš směrovač, abyste jej ochránili před dalším neoprávněným přístupem.
Ujistěte se, že si heslo pamatujete! Pokud ho zapomenete, není možné ho obnovit. Budete muset router znovu nainstalovat!
V nabídce /user můžete také přidat další uživatele s plným nebo omezeným přístupem k routeru.
Připojení pomocí MAC
Ve výchozím nastavení běží MAC server na všech rozhraních, takže zakážeme výchozí položku all a přidáme místní rozhraní, které zakáže připojení MAC z portu WAN.
Totéž proveďte pro přístup k MAC Winboxu
Akce Winbox/Webfig:
Totéž proveďte na kartě Winbox Server a zablokujte připojení Mac Winboxu z internetu.
Neighbor Discovery
Protokol MikroTik Neighbor discovery slouží k zobrazení a rozpoznání ostatních routerů MikroTik v síti, vypnutí zjišťování sousedů na veřejných rozhraních:
Připojení pomocí IP
Kromě toho, že firewall chrání váš router před neoprávněným přístupem z vnějších sítí, je možné omezit přístup uživatelských jmen pro konkrétní IP adresu.
x.x.x.x/yy - vaše IP adresa nebo podsíť, která je povolena pro přístup k vašemu routeru.
IP konektivita na veřejném rozhraní musí být omezena ve firewallu. Budeme akceptovat pouze ICMP(ping/traceroute), IP Winbox a ssh přístup.
První dvě pravidla přijímají pakety z již navázaných spojení, takže předpokládáme, že jsou v pořádku, aby nezatěžovala procesor. Třetí pravidlo zahazuje všechny pakety, které sledování spojení považuje za neplatné. Poté nastavíme typická akceptační pravidla pro konkrétní protokoly.
Pokud ke konfiguraci používáte Winbox/Webfig, zde je příklad, jak přidat zavedené/související pravidlo:
Chcete-li přidat další pravidla, klikněte u každého nového pravidla na tlačítko + a vyplňte stejné parametry jako v příkladu v konzoli.
Administrative Services
Přestože brána firewall chrání router na veřejném rozhraní, můžete chtít služby RouterOS zakázat.
Většina nástrojů pro správu systému RouterOS se konfiguruje v nabídce /ip service (služby).
Ponechte zapnuté si pouze ty zabezpečené,
Změňte výchozí porty služeb. Toto okamžitě zastaví většinu náhodných pokusů o přihlášení SSH hrubou silou:
Kromě toho lze každou službu zabezpečit povolenou IP adresou nebo rozsahem adres (adresa, na kterou bude služba odpovídat), i když vhodnější metodou je zablokování nežádoucího přístupu ve firewallu, protože firewall ani nepovolí otevření komunikace.
Ostatní služby
K testování propustnosti mezi dvěma routery MikroTik se používá bandwidth server. V produkčním prostředí jej zakažte.
Router může mít povolenou mezipaměť DNS, která zkracuje dobu překladu požadavků DNS od klientů na vzdálené servery. V případě, že mezipaměť DNS není na vašem směrovači vyžadována nebo je pro tyto účely používán jiný router, zakažte ji.
Je vhodné zakázat všechna nepoužívaná rozhraní na směrovači, aby se omezil neoprávněný přístup k němu.
Kde "X" je číslo nepoužívaného rozhraní.
RouterOS využívá silnější šifrování pro SSH, většina novějších programů ho používá, pro zapnutí silného šifrování SSH:
Konfigurace NAT
V tomto okamžiku počítač ještě nemá přístup k internetu, protože lokálně používané adresy nejsou směrovatelné přes internet. Vzdálení hostitelé jednoduše nevědí, jak správně odpovědět na místní adresu.
Řešením tohoto problému je změna zdrojové adresy odchozích paketů na veřejnou IP adresu směrovače. To lze provést pomocí pravidla NAT:
Další výhodou takového nastavení je, že klienti s NAT za routerem nejsou přímo připojeni k internetu, takže není nutná další ochrana proti útokům zvenčí.
Přesměrování portů
Některá klientská zařízení mohou potřebovat přímý přístup k internetu přes určité porty. Například klient s IP adresou 192.168.88.254 musí být přístupný prostřednictvím protokolu vzdálené plochy (RDP).
Po rychlém vyhledání na Googlu zjistíme, že protokol RDP běží na portu TCP 3389. Nyní můžeme přidat cílové pravidlo NAT pro přesměrování protokolu RDP na klientský počítač.
Nastavení bezdrátového připojení
Důležité je zajistit, aby naše bezdrátové připojení bylo chráněno, takže prvním krokem je profil zabezpečení.
Bezpečnostní profily se konfigurují v terminálu z nabídky /interface wireless security-profiles.
v okně Winbox/Webfig kliknutím na Wireless otevřete okna bezdrátového připojení a vyberte kartu Security Profile.
Když je profil zabezpečení připraven, můžeme povolit bezdrátové rozhraní a nastavit požadované parametry.
Totéž lze provést z prostředí Winbox/Webfig:
Posledním krokem je přidání bezdrátového rozhraní do místního mostu, jinak připojení klienti nedostanou IP adresu:
Nyní by se bezdrátové zařízení mělo připojit k přístupovému bodu, získat IP adresu a přistupovat k internetu.
Ochrana klientů
Nyní je čas přidat ochranu klientů v naší síti LAN. Začneme základní sadou pravidel.
Sada pravidel je podobná pravidlům input chain (accept established/related a drop invalid), s výjimkou prvního pravidla s action=fasttrack-connection. Toto pravidlo umožňuje, aby navázaná a související spojení obcházela bránu firewall a výrazně snižovala využití procesoru.
Dalším rozdílem je poslední pravidlo, které zahazuje všechny nové pokusy o připojení z portu WAN do naší sítě LAN (pokud není použito DstNat). Bez tohoto pravidla, pokud útočník zná nebo odhadne vaši místní podsíť, může navázat připojení přímo k místním hostitelům a způsobit bezpečnostní hrozbu.
Podrobnější příklady sestavení firewallů budou rozebrány v sekci Firewall, nebo se podívejte přímo na článek Sestavení prvního firewallu.
Blokování nežádoucích webových stránek
Někdy můžete chtít zablokovat určité webové stránky, například zakázat zaměstnancům přístup na stránky se zábavou, zakázat přístup k pornu apod. Toho lze dosáhnout přesměrováním provozu HTTP na proxy server a použitím seznamu přístupů pro povolení nebo zakázání určitých webových stránek.
Nejprve musíme přidat pravidlo NAT pro přesměrování HTTP na náš proxy server. Použijeme vestavěný proxy server RouterOS běžící na portu 8080.
Povolte webový proxy server a zakažte některé webové stránky:
Použití aplikace Winbox:
Řešení problémů
RouterOS má vestavěné různé nástroje pro řešení problémů, jako je ping, traceroute, torch, sniffer paketů, test šířky pásma atd.
Nástroj ping jsme již v tomto článku použili k ověření připojení k internetu.
Řešení potíží, pokud není odpověď na ping
Problém nástroje ping spočívá v tom, že říká pouze to, že cíl je nedostupný, ale nejsou k dispozici žádné podrobnější informace. Podívejme se na přehled základních chyb.
Z počítače, který je připojen k zařízení MikroTik, nelze dosáhnout adresy www.google.com:
Existují dva typy konfigurace routerů:
- S výchozí konfigurací
- Bez výchozí konfigurace. Pokud není nalezena žádná specifická konfigurace, je nastavena IP adresa 192.168.88.1/24 na ether1 nebo combo1, případně sfp1.
Tento dokument popisuje, jak nastavit zařízení od základu, proto vás požádáme, abyste odstranili všechna výchozí nastavení.
Při prvním připojení ke směrovači s výchozím uživatelským jménem admin a bez hesla budete vyzváni k obnovení nebo zachování výchozí konfigurace (i když výchozí konfigurace obsahuje pouze adresu IP). Protože tento článek předpokládá, že na směrovači není žádná konfigurace, měli byste ji odstranit stisknutím klávesy "r" na klávesnici, když se zobrazí výzva, nebo kliknutím na tlačítko "Odebrat konfiguraci" ve WinBoxu.
Směrovač bez výchozí konfigurace
Pokud router nemá výchozí konfiguraci, máte několik možností, ale my zde použijeme jednu metodu, která vyhovuje našim potřebám.
Připojte port směrovače ether1 ke kabelu WAN a počítač připojte k portu ether2. Nyní otevřete program WinBox a vyhledejte směrovač při zjišťování sousedů. Podrobný příklad naleznete v článku Winbox.
Pokud v seznamu uvidíte směrovač, klikněte na adresu MAC a klikněte na tlačítko Připojit.
Nejjednodušší způsob, jak se ujistit, že máte naprosto čistý směrovač, je spustit příkaz
Kód: Vybrat vše
/system reset-configuration no-defaults=yes skip-backup=yesKonfigurace přístupu IP
Protože připojení MAC není příliš stabilní, musíme nejprve nastavit směrovač tak, aby bylo k dispozici připojení IP:
- přidat rozhraní bridge a porty bridge;
- přidat IP adresu k rozhraní LAN;
- nastavit server DHCP.
Kód: Vybrat vše
/interface bridge add name=local
/interface bridge port add interface=ether2 bridge=local
/ip address add address=192.168.88.1/24 interface=local
- Otevřete okno Bridge, záložka Bridge by měla být vybrána;
- Klikněte na tlačítko +, otevře se nové dialogové okno, zadejte místní název mostu a klikněte na OK
- Vyberte záložku Porty a klikněte na tlačítko +, otevře se nový dialog;
- Z rozevíracích seznamů vyberte interface ether2 a bridge local a kliknutím na tlačítko OK použijte nastavení;
- Dialogové okno mostu můžete zavřít.
- Otevřete dialogové okno Ip -> Adresy;
- Klikněte na tlačítko +, otevře se nové dialogové okno;
- Zadejte IP adresu 192.168.88.1/24, z rozevíracího seznamu vyberte místní rozhraní a klikněte na tlačítko OK
Dalším krokem je nastavení serveru DHCP. Pro snadnou a rychlou konfiguraci spustíme příkaz setup:
Kód: Vybrat vše
[admin@MikroTik] /ip dhcp-server setup [enter]
Select interface to run DHCP server on
dhcp server interface: local [enter]
Select network for DHCP addresses
dhcp address space: 192.168.88.0/24 [enter]
Select gateway for given network
gateway for dhcp network: 192.168.88.1 [enter]
Select pool of ip addresses given out by DHCP server
addresses to give out: 192.168.88.2-192.168.88.254 [enter]
Select DNS servers
dns servers: 192.168.88.1 [enter]
Select lease time
lease time: 10m [enter]Stejný nástroj pro nastavení je k dispozici také v programu WinBox/WeBfig:
- Otevřete okno Ip -> DHCP Server, měla by být vybrána karta DHCP;
- Klepněte na tlačítko DHCP Setup, otevře se nové dialogové okno, zadejte místní rozhraní serveru DHCP a klepněte na tlačítko Next;
- Postupujte podle průvodce a dokončete nastavení.
Konfigurace připojení k Internetu
Dalším krokem je získání přístupu k internetu na směrovači. Může existovat několik typů připojení k internetu, ale nejběžnější jsou:
- dynamická veřejná IP adresa
- statická veřejná IP adresa
- připojení PPPoE
Dynamická veřejná IP adresa
Dynamická konfigurace adresy je nejjednodušší. Stačí nastavit klienta DHCP na veřejném rozhraní. Klient DHCP obdrží informace od poskytovatele internetových služeb (ISP) a nastaví pro vás IP adresu, DNS, servery NTP a výchozí trasu.
Kód: Vybrat vše
/ip dhcp-client add disabled=no interface=ether1Statická veřejná IP adresa
V případě konfigurace statické adresy vám poskytovatel internetového připojení zadá parametry, např.:
- IP: 1.2.3.100/24
- Brána: 1.2.3.1
- DNS: 8.8.8.8
Pro nastavení v RouterOS ručně přidáme adresu IP s poskytnutou bránou a nastavíme server DNS.
Kód: Vybrat vše
/ip address add address=1.2.3.100/24 interface=ether1
/ip route add gateway=1.2.3.1
/ip dns set servers=8.8.8.8
Připojení PPPoE
Připojení PPPoE vám také poskytuje dynamickou IP adresu a může dynamicky konfigurovat DNS a výchozí bránu. Poskytovatel služeb (ISP) vám obvykle přidělí uživatelské jméno a heslo pro připojení.
Kód: Vybrat vše
/interface pppoe-client
add disabled=no interface=ether1 user=me password=123 \
add-default-route=yes use-peer-dns=yes
- Otevřete okno PPP, měla by být vybrána záložka Rozhraní
- Klikněte na tlačítko + a z rozevíracího seznamu vyberte PPPoE Client, otevře se nové dialogové okno
- Z rozevíracího seznamu vyberte rozhraní ether1 a kliknutím na tlačítko OK použijte nastavení
Ověření připojení
Po úspěšné konfiguraci byste měli mít ze směrovače přístup k internetu.
Ověřte IP připojení pomocí pingů na známé IP adresy (například na server Google DNS).
Kód: Vybrat vše
[admin@MikroTik] > /ping 8.8.8.8
HOST SIZE TTL TIME STATUS
8.8.8.8 56 47 21ms
8.8.8.8 56 47 21ms
Kód: Vybrat vše
[admin@MikroTik] > /ping www.google.com
HOST SIZE TTL TIME STATUS
173.194.32.49 56 55 13ms
173.194.32.49 56 55 12ms
V případě neúspěchu se podívejte do části o řešení problémů.
Ochrana routeru
Nyní má k našemu routeru přístup kdokoli na celém světě, takže je nejlepší čas chránit jej před vetřelci a základními útoky.
Zabezpečení pomocí hesla
Routery MikroTik vyžadují konfiguraci hesla, doporučujeme použít nástroj pro generování hesel k vytvoření bezpečných a neopakujících se hesel. Bezpečným heslem myslíme:
- Minimálně 12 znaků
- Zahrnovat čísla, symboly, velká a malá písmena
- Není ze slovníku nebo kombinací slov
Kód: Vybrat vše
/user set 0 password="!={Ba3N!40TуX+GvKBzjTLIUcx/,"
nebo
/password
Kód: Vybrat vše
[admin@MikroTik] > / password
old password:
new password: ******
retype new password: ******
V nabídce /user můžete také přidat další uživatele s plným nebo omezeným přístupem k routeru.
Kód: Vybrat vše
/user add name=myname password=mypassword group=full
/user remove admin
Přihlaste se ke směrovači s novými přihlašovacími údaji a zkontrolujte, zda uživatelské jméno/heslo funguje.
Připojení pomocí MAC
Ve výchozím nastavení běží MAC server na všech rozhraních, takže zakážeme výchozí položku all a přidáme místní rozhraní, které zakáže připojení MAC z portu WAN.
Kód: Vybrat vše
[admin@MikroTik] /tool mac-server> print
Flags: X - disabled, * - default
# INTERFACE
0 * all
Kód: Vybrat vše
/tool mac-server
disable 0;
add interface=local;
Kód: Vybrat vše
/tool mac-server mac-winbox
disable 0;
add interface=local;
- Otevřete okno Nástroje -> Mac Server, měla by být vybrána záložka Telnet Server
- Klikněte na tlačítko +, otevře se nové dialogové okno;
- V rozevíracím seznamu vyberte místní rozhraní a kliknutím na tlačítko OK použijte nastavení;
- V seznamu položek na kartě Telnet Server vyberte všechny a kliknutím na x vybranou položku zakažte.
Neighbor Discovery
Protokol MikroTik Neighbor discovery slouží k zobrazení a rozpoznání ostatních routerů MikroTik v síti, vypnutí zjišťování sousedů na veřejných rozhraních:
Kód: Vybrat vše
/ip neighbor discovery-settings set discover-interface-list=localPřipojení pomocí IP
Kromě toho, že firewall chrání váš router před neoprávněným přístupem z vnějších sítí, je možné omezit přístup uživatelských jmen pro konkrétní IP adresu.
Kód: Vybrat vše
/user set 0 allowed-address=x.x.x.x/yyIP konektivita na veřejném rozhraní musí být omezena ve firewallu. Budeme akceptovat pouze ICMP(ping/traceroute), IP Winbox a ssh přístup.
Kód: Vybrat vše
/ip firewall filter
add chain=input connection-state=established,related action=accept comment="accept established,related";
add chain=input connection-state=invalid action=drop;
add chain=input in-interface=ether1 protocol=icmp action=accept comment="allow ICMP";
add chain=input in-interface=ether1 protocol=tcp port=8291 action=accept comment="allow Winbox";
add chain=input in-interface=ether1 protocol=tcp port=22 action=accept comment="allow SSH";
add chain=input in-interface=ether1 action=drop comment="block everything else";
Pokud ke konfiguraci používáte Winbox/Webfig, zde je příklad, jak přidat zavedené/související pravidlo:
- Otevřete okno IP -> Firewall, klikněte na kartu Filter rules
- Klikněte na tlačítko +, otevře se nové dialogové okno;
- Vyberte chain input, klikněte na Connection state a zaškrtněte políčka established a related
- Klikněte na kartu Action a ujistěte se, že je vybrána možnost akce accept
- Kliknutím na tlačítko Ok použijete nastavení.
Administrative Services
Přestože brána firewall chrání router na veřejném rozhraní, můžete chtít služby RouterOS zakázat.
Většina nástrojů pro správu systému RouterOS se konfiguruje v nabídce /ip service (služby).
Ponechte zapnuté si pouze ty zabezpečené,
Kód: Vybrat vše
/ip service disable telnet,ftp,www,apiKód: Vybrat vše
/ip service set ssh port=2200Kód: Vybrat vše
/ip service set winbox address=192.168.88.0/24Ostatní služby
K testování propustnosti mezi dvěma routery MikroTik se používá bandwidth server. V produkčním prostředí jej zakažte.
Kód: Vybrat vše
/tool bandwidth-server set enabled=noKód: Vybrat vše
/ip dns set allow-remote-requests=noKód: Vybrat vše
/lcd set enabled=noKód: Vybrat vše
/interface print
/interface set x disabled=yes
RouterOS využívá silnější šifrování pro SSH, většina novějších programů ho používá, pro zapnutí silného šifrování SSH:
Kód: Vybrat vše
/ip ssh set strong-crypto=yesKód: Vybrat vše
/ip proxy set enabled=no
/ip sock set enabled=no
/ip upnp set enabled=no
/ip cloud set ddns-enabled=no update-time=no
Konfigurace NAT
V tomto okamžiku počítač ještě nemá přístup k internetu, protože lokálně používané adresy nejsou směrovatelné přes internet. Vzdálení hostitelé jednoduše nevědí, jak správně odpovědět na místní adresu.
Řešením tohoto problému je změna zdrojové adresy odchozích paketů na veřejnou IP adresu směrovače. To lze provést pomocí pravidla NAT:
Kód: Vybrat vše
/ip firewall nat
add chain=srcnat out-interface=ether1 action=masquerade
Přesměrování portů
Některá klientská zařízení mohou potřebovat přímý přístup k internetu přes určité porty. Například klient s IP adresou 192.168.88.254 musí být přístupný prostřednictvím protokolu vzdálené plochy (RDP).
Po rychlém vyhledání na Googlu zjistíme, že protokol RDP běží na portu TCP 3389. Nyní můžeme přidat cílové pravidlo NAT pro přesměrování protokolu RDP na klientský počítač.
Kód: Vybrat vše
/ip firewall nat
add chain=dstnat protocol=tcp port=3389 in-interface=ether1
action=dst-nat to-address=192.168.88.254
Nastavení bezdrátového připojení
Důležité je zajistit, aby naše bezdrátové připojení bylo chráněno, takže prvním krokem je profil zabezpečení.
Bezpečnostní profily se konfigurují v terminálu z nabídky /interface wireless security-profiles.
Kód: Vybrat vše
/interface wireless security-profiles
add name=myProfile authentication-types=wpa2-psk mode=dynamic-keys \
wpa2-pre-shared-key=1234567890
Když je profil zabezpečení připraven, můžeme povolit bezdrátové rozhraní a nastavit požadované parametry.
Kód: Vybrat vše
/interface wireless
enable wlan1;
set wlan1 band=2ghz-b/g/n channel-width=20/40mhz-Ce distance=indoors \
mode=ap-bridge ssid=MikroTik-006360 wireless-protocol=802.11 \
security-profile=myProfile frequency-mode=regulatory-domain \
set country=latvia antenna-gain=3
- Otevřete okno Wireless, vyberte rozhraní wlan1 a klikněte na tlačítko enable
- Poklepáním na bezdrátové rozhraní otevřete dialogové okno konfigurace
- V konfiguračním dialogu klikněte na kartu Wireless a na tlačítko Advanced mode na pravé straně. Po kliknutí na tlačítko se zobrazí další konfigurační parametry a popis tlačítka se změní na Simple mode (Jednoduchý režim);
- Vyberte parametry podle obrázku, kromě nastavení země a SSID. Můžete také zvolit jinou frekvenci a zisk antény;
- Dále klikněte na kartu HT a ujistěte se, že jsou vybrány všechny kanály;
- Kliknutím na tlačítko OK použijte nastavení.
Posledním krokem je přidání bezdrátového rozhraní do místního mostu, jinak připojení klienti nedostanou IP adresu:
Kód: Vybrat vše
/interface bridge port
add interface=wlan1 bridge=local
Ochrana klientů
Nyní je čas přidat ochranu klientů v naší síti LAN. Začneme základní sadou pravidel.
Kód: Vybrat vše
/ip firewall filter
add chain=forward action=fasttrack-connection connection-state=established,related \
comment="fast-track for established,related";
add chain=forward action=accept connection-state=established,related \
comment="accept established,related";
add chain=forward action=drop connection-state=invalid
add chain=forward action=drop connection-state=new connection-nat-state=!dstnat \
in-interface=ether1 comment="drop access to clients behind NAT form WAN"
Dalším rozdílem je poslední pravidlo, které zahazuje všechny nové pokusy o připojení z portu WAN do naší sítě LAN (pokud není použito DstNat). Bez tohoto pravidla, pokud útočník zná nebo odhadne vaši místní podsíť, může navázat připojení přímo k místním hostitelům a způsobit bezpečnostní hrozbu.
Podrobnější příklady sestavení firewallů budou rozebrány v sekci Firewall, nebo se podívejte přímo na článek Sestavení prvního firewallu.
Blokování nežádoucích webových stránek
Někdy můžete chtít zablokovat určité webové stránky, například zakázat zaměstnancům přístup na stránky se zábavou, zakázat přístup k pornu apod. Toho lze dosáhnout přesměrováním provozu HTTP na proxy server a použitím seznamu přístupů pro povolení nebo zakázání určitých webových stránek.
Nejprve musíme přidat pravidlo NAT pro přesměrování HTTP na náš proxy server. Použijeme vestavěný proxy server RouterOS běžící na portu 8080.
Kód: Vybrat vše
/ip firewall nat
add chain=dst-nat protocol=tcp dst-port=80 src-address=192.168.88.0/24 \
action=redirect to-ports=8080
Kód: Vybrat vše
/ip proxy set enabled=yes
/ip proxy access add dst-host=www.facebook.com action=deny
/ip proxy access add dst-host=*.youtube.* action=deny
/ip proxy access add dst-host=:vimeo action=deny
- V levém menu přejděte na IP -> Web Proxy.
- Zobrazí se dialogové okno nastavení webového proxy serveru.
- Zaškrtněte políčko "Enable" a klikněte na tlačítko "Apply".
- Poté kliknutím na tlačítko "Access" otevřete dialogové okno "Web Proxy Access".
- V dialogovém okně "Web Proxy Access" klikněte na "+" pro přidání nového pravidla Web-proxy.
- Zadejte název hostitele Dst, který chcete blokovat, v tomto případě "www.facebook.com", vyberte akci "deny".
- Poté klikněte na tlačítko "Ok" pro použití změn.
- Totéž opakujte pro přidání dalších pravidel.
Řešení problémů
RouterOS má vestavěné různé nástroje pro řešení problémů, jako je ping, traceroute, torch, sniffer paketů, test šířky pásma atd.
Nástroj ping jsme již v tomto článku použili k ověření připojení k internetu.
Řešení potíží, pokud není odpověď na ping
Problém nástroje ping spočívá v tom, že říká pouze to, že cíl je nedostupný, ale nejsou k dispozici žádné podrobnější informace. Podívejme se na přehled základních chyb.
Z počítače, který je připojen k zařízení MikroTik, nelze dosáhnout adresy www.google.com: