IT Crowd, IT Crowd - Налаштовуємо MikroTik
Оцінка: 85.06 % - 17 Голосів
MikroTik - лінійка досить дешевого мережевого обладнання, що випускається латвійською компанією Mikrotīkls Ltd.
Обладнання має велику кількість можливостей та досить зручний інтерфейс налаштування через фірмову програму WinBox.
Налаштування відбувалося на маршрутизаторі MikroTik RB2011UiAS
1. Підключення до маршрутизатора MikroTik.
Налаштування обладнання, як було написано вище, найзручніше проводити через WinBox, доступний для скачки на офіційному сайті MikroTik.
1.1 Підключення до маршрутизатора.
1.2 Змінити пароль користувача.
Оскільки пароль за замовчуванням відсутній, то необхідно його задати.
Зробити це можна в Systems-Users. У вікні відкрити користувача admin і натиснути кнопку Password . У вікні ввести новий пароль в полях New Password і Confirm Password.
1.3 Відключення та увімкнення сервісів управління
Також вам слід звернути увагу на послуги управління маршрутизатором. Це можна зробити, натиснувши IP-Services. У вікні будуть вказані активовані та деактивовані сервіси управління. Можна залишити увімкненим тільки WinBox, якщо ви не збираєтеся використовувати інші. Важливо звернути увагу на те, щоб зазначені порти не були доступні ззовні, щоб не порушити безпеку обладнання.
3.2 Запуск DHCP та DNS сервера на маршрутизаторі MikroTik.
3.3 Визначення параметрів мережі.
3.4 Створення сервера DNS.
4. Налаштування Firewall-а.
Firewall у маршрутизаторі створений для забезпечення безпеки вашої локальної мережі від вторгнень ззовні. За замовчуванням у маршрутизаторах вже єправила, що сприяють захисту вашої мережі. Але ви завжди можете доналаштувати ваш firewall відповідно до ваших вимог. Ми лише розглянемо, як створювати правила.
Маршрутизатор дивиться правила зверху вниз і застосовує до пакетів правила, під які ці пакети підпадають. Для зручності налаштування в першу чергу необхідно розмістити правила, які дозволяють потрібний вам трафік, а в кінці розмістити правило, що забороняє все інше.
Налаштування Firewall знаходиться в IP-Firewall, вкладка Filter Rule де необхідно натиснути "+" - це відкриє діалог створення правил. У вікні заповнюємо потрібні рядки:
Chain - вибір фільтрації трафіку залежно від його призначення і має 3 варіанти налаштування - це forward - проходить через маршрутизатор трафік, input - вхідний трафік для маршрутизатора, output - вихідний трафік створений маршрутизатором;
Protocol – тип протоколу трафіку;
Src. Port – вихідний порт;
Dst. Port – порт призначення;
In. Interface - інтерфейс, на який приходить трафік;
Out Interface - інтерфейс з якого йде трафік;
5. Налаштування NAT.
Нижче наведено приклад прокидання порту із зовнішнього інтерфейсу на потрібний порт на хост усередині локальної мережі.
На вкладці General у полі Chain зазначено ланцюжок dstnat - напрямок трафіку із зовнішнього у внутрішню, за протоколом tcp, порт призначення 80, вхідний інтерфейс, направлений у бік мережі провайдера ether2-master.
Також наведемо приклад мскарадингу трафіку, який дозволить хостам мати доступ в інтернет.
На вкладці General у полі Chain вказано ланцюжок srcnat - напрямок трафіку з внутрішньої мережі до зовнішньої, вихідний інтерфейс - інтерфейс направлений у бік мережі провайдера ether2-master.
6. Налаштування VPN.
VPN дозволить вам встановити захищене з'єднання за небезпечним середовищем інтернету та дасть можливість отримати доступ до внутрішніх ресурсів вашої мережі.
Для налаштування VPN необхідно натиснути PPP . У вікні, на вкладці Interfaces необхідно натиснути "+" і вибрати L2TP Server Binding - це відкриє діалог створення параметрів. Вкажемо ім'я інтерфейсу у полі Name. У наведеному прикладі нижче вказано ім'я l2tp
Далі у вікні налаштувань PPP клацаємо на кнопку L2TP Server і в вікні ставимо галку Enable, в пункті Authentication виберемо mschap2 і mschap1. Поставимо галку Use IPsec і введемо довільний ключ у полі IPsec Secret. Цей ключ буде введено в розділ IPsec під час налаштування VPN на клієнта.
Далі на вкладці Secret створюємо користувача де поле Name вказується логін, у полі Password - пароль, у полі Service вибираємо створений раніше l2tp, у полі Profile вибираємо default-encryption.
Ця установка дозволяє створити L2TP підключення з обов'язковим шифруванням з використанням IPsec. Що необхідно врахувати під час налаштування підключення на клієнта.
7. Створення інтерфейсів VLAN.
Важливо, що обладнання на іншому кінці дроту даного порту також має підтримувати технологію VLAN і налаштоване з тим самим ID VLAN.
8. Налаштування Web Proxy
У маршрутизаторі також є вбудований Web Proxy. Для його активації необхідно натиснути IP-Web Proxy. У вікні поставити галочку Enable. У полі Port вказується порт, на який проксі приймає з'єднання. Після натискання кнопки Access відкривається вікно, де можна заборонити доступ до певних ресурсів.
Підсумуємо що можливостей у даноїзалізниці достатньо якщо враховувати її дешевизну.