MikroTik Wikipedia

Cloud Hosted Router (CHR) - виртуалды машина ретінде жұмыс істеуге арналған RouterOS нұсқасы. Ол x86 64-биттік архитектурасын қолдайды және оны VMWare, Hyper-V, VirtualBox, KVM және т.б. сияқты танымал гипервизорлардың көпшілігінде пайдалануға болады. CHR әдепкі бойынша қосылған толық RouterOS мүмкіндіктеріне ие, бірақ басқа RouterOS нұсқаларына қарағанда басқа лицензиялау үлгісіне ие.

Жүйе талаптары

• Пакет нұсқасы: RouterOS v6.34 немесе одан жаңарақ
• Хост CPU: виртуалдандыру қолдауымен 64-бит
• ЖЖҚ: 128 МБ немесе одан көп (макс: 128 ГБ)
• Диск: CHR виртуалды қатты дискісіне арналған 128 МБ дискілік кеңістік (макс: 16 ГБ)

• RouterOS v6 - RAM = 128 + [ 8 × (CPU_COUNT) × (INTERFACE_COUNT - 1) ]
• RouterOS v7 - RAM = 256 + [ 8 × (CPU_COUNT) × (INTERFACE_COUNT - 1) ]

CHR келесі платформаларда тексеріліп, сынақтан өткен:

• Linux және OS X жүйелерінде VirtualBox 6
• OS X жүйесінде VMWare Fusion 7 және 8
• VMWare ESXi 6.5
• Qemu 2.4.0.1 Linux және OS X жүйелерінде
• Windows Server 2008r2, 2012 және Windows 10 жүйелеріндегі Hyper-V (Қазіргі уақытта тек 1-буын Hyper-V виртуалды машинасына қолдау көрсетіледі)
• Xen сервері 7.1

Әртүрлі гипервизорларда қолданылатын желілік және дискілік интерфейстер:

• ESX:
  • Желі: vmxnet3, E1000
  • Диск: IDE, VMware паравиртуалды SCSI, LSI Logic SAS, LSI Logic Parallel
Hyper-V:
• • Желі: желілік адаптер, бұрынғы желі адаптері
  • Диск: IDE, SCSI
• Qemu/KVM:
  • Желі: Virtio, E1000, vmxnet3 (міндетті емес)
  • Диск: IDE, Sata, Virtio
• VirtualBox:
  • Желі: E1000, rtl8193
  • Диск: IDE, Sata, SCSI, SAS

CHR кескіндері бар виртуалды RouterOS жүйесін қалай орнатуға болады

Біз таңдау үшін 4 түрлі виртуалды диск кескінін ұсынамыз. Олар тек дискілік кескіндер екенін және оларды жай ғана іске қосуға болмайтынын ескеріңіз.

• RAW дискінің кескіні (.img файлы)
• VMWare дискінің кескіні (.vmdk файлы)
• Hyper-V дискінің кескіні (.vhdx файлы)
• VirtualBox дискінің кескіні (.vdi файлы)

CHR орнату қадамдары:

1. Гипервизорыңыз үшін виртуалды диск кескінін жүктеп алыңыз
2. Қонақ виртуалды машинасын жасаңыз
3. Бұрын жүктелген кескін файлын виртуалды диск жетегі ретінде пайдаланыңыз
4. Қонақ CHR виртуалды машинасын іске қосыңыз
5. Жаңа CHR жүйесіне кіріңіз. Әдепкі пайдаланушы құпия сөзсіз «admin» болып табылады

Жұмыс істеп тұрған CHR жүйелерін клондауға және көшіруге болатынын ескеріңіз, бірақ көшірме алдыңғы сынақ мерзімінен хабардар болады, сондықтан CHR көшірмесін жасау арқылы сынақ уақытыңызды ұзарта алмайсыз. Дегенмен, екі жүйені де жеке лицензиялауға рұқсат етілген. Жаңа жол жүйесін жасау үшін жаңа орнатуды жасап, RouterOS жүйесін қайта конфигурациялау қажет.

CHR лицензиясы

CHR 4 лицензия деңгейіне ие:
• Тегін
• p1 мәңгі-1 ($45)
• p10 мәңгі-10 ($95)
• p-шексіз мәңгілік-шексіз ($250)

60 күндік тегін сынақ лицензиясы барлық ақылы лицензия деңгейлері үшін қол жетімді. Тегін сынақ лицензиясын алу үшін сізде MikroTik.com сайтында тіркелгіңіз болуы керек, өйткені барлық лицензияны басқару сонда жүзеге асырылады.

Perpetual - бұл өмірлік лицензия (бір рет сатып алыңыз, мәңгі пайдаланыңыз). Мәңгілік лицензияны басқа CHR данасына ауыстыруға болады. Іске қосылған CHR данасы лицензиясын жаңарту үшін тіркелгі серверіне кіру керек уақытты көрсетеді. Егер CHR данасы лицензияны ұзарта алмаса, ол сынақ мерзімі біткен сияқты әрекет етеді және RouterOS жүйесін жаңа нұсқаға жаңартуға рұқсат бермейді.

Жұмыс істеп тұрған сынақ жүйесін лицензиялаудан кейін оны белсенді ету үшін CHR жүйесінен /жүйе лицензиясын жаңарту функциясын қолмен іске қосу керек . Әйтпесе, жүйе тіркелгіңізде оны лицензиялағаныңызды білмейді. Жүйенің соңғы мерзімінен бұрын мұны жасамасаңыз, сынақ нұсқасы аяқталады және сізге толық жаңа CHR орнатуын жасап, жаңа сынақ нұсқасын сұрап, содан кейін оны алған лицензиямен лицензиялау керек болады.

Ақылы лицензиялар

p1

p1 (мәңгілік-1) лицензия деңгейі CHR-ге шексіз жұмыс істеуге мүмкіндік береді. Ол интерфейс үшін 1 Гбит/с жүктеп салумен шектелген. CHR ұсынған барлық қалған мүмкіндіктер шектеусіз қол жетімді. p1 п10 немесе p-шексізге дейін жаңартуға болады (Жаңа лицензия деңгейін стандартты бағамен сатып алуға болады). Жаңарту сатып алынғаннан кейін бұрынғы лицензия кейінірек есептік жазбаңызда пайдалану үшін қолжетімді болады.

p10

p10 (мәңгілік-10) лицензия деңгейі CHR-ге шексіз жұмыс істеуге мүмкіндік береді. Ол интерфейс үшін 10 Гбит/с жүктеп салумен шектелген. CHR ұсынған барлық қалған мүмкіндіктер шектеусіз қол жетімді. p10 нұсқасын p-unlimited нұсқасына жаңартуға болады Жаңарту сатып алынғаннан кейін бұрынғы лицензия есептік жазбаңызда кейінірек пайдалану үшін қолжетімді болады.

p-шексіз

p -шексіз (мәңгі-шексіз) лицензия деңгейі CHR-ге шексіз жұмыс істеуге мүмкіндік береді. Бұл ең жоғары деңгейлі лицензия және оның мәжбүрлі шектеулері жоқ.

Тегін лицензиялар

CHR тегін пайдалану және сынап көрудің бірнеше нұсқасы бар.

Тегін

Тегін лицензия деңгейі CHR-ге шексіз жұмыс істеуге мүмкіндік береді. Ол интерфейс үшін 1 Мбит/с жүктеп салумен шектелген. CHR ұсынған барлық қалған мүмкіндіктер шектеусіз қол жетімді. Мұны пайдалану үшін диск кескіні файлын жүктеп алу бетімізден жүктеп алып, виртуалды қонақты жасау жеткілікті.

60 күндік сынақ

Шектеулі Тегін орнатуға қоса, сіз P1/P10/PU лицензияларының жоғары жылдамдығын 60 сынақ нұсқасымен тексере аласыз.

MikroTik.com сайтында тіркелген тіркелгіңіз болуы керек . Содан кейін маршрутизатордан сынақ нұсқасы үшін қажетті лицензия деңгейін сұрауға болады, ол сіздің тіркелгіңізге маршрутизатор идентификаторын тағайындайды және тіркелгіңізден лицензияны сатып алуға мүмкіндік береді. Барлық ақылы лицензия эквиваленттері сынақ үшін қолжетімді. Сынақ мерзімі сатып алынған күннен бастап 60 күнді құрайды, осы уақыт өткеннен кейін лицензия мәзіріңізде «Шектеулі жаңартулар» көрсетіле бастайды, яғни RouterOS енді жаңарту мүмкін емес.

Таңдалған лицензияны сатып алуды жоспарласаңыз, оны сынақ мерзімі аяқталған күннен кейін 60 күн ішінде жасауыңыз керек. Сынақ мерзімі аяқталса және ол аяқталғаннан кейін 2 ай ішінде сатып алулар болмаса, құрылғы MikroTik есептік жазбаңызда енді көрсетілмейді. Қажетті уақыт шеңберінде сатып алуды жүзеге асыру үшін сізге жаңа CHR орнатуын жасау керек.

Сынақ лицензиясын сұрау үшін CHR құрылғысының пәрмен жолынан " /жүйе лицензиясын жаңарту " пәрменін орындау керек . Сізден mikrotik.com тіркелгісінің пайдаланушы аты мен құпия сөзі сұралады .

Лицензия алу

Келесі талаптарға сай болса, RouterOS бағдарламалық қамтамасын үшінші тарап құрылғыларында да іске қосуға болады:

• i386 үйлесімді архитектурасы
• SMP – көп ядролы және көп процессорлы үйлесімді
• Ең аз 32 МБ жедел жады, RouterOS v7 нұсқасынан бастап ең көп жедел жады шектеуі жоқ.
• Linux ядросы қолдайтын желілік карталар (PCI, PCI-X)
• Коммутаторлық чип конфигурациясын қолдау

RouterOS бағдарламасын орнату жолдары

• Netinstall: PXE немесе EtherBoot қосылған желі картасынан желіге негізделген толық орнату
• CHR: виртуалды машина ретінде жұмыс істеуге арналған RouterOS нұсқасы
• CD негізіндегі орнату

Конфигурация жасау үшін қосылу. (Қалай конфигурация жасаймын?)

• Бастапқы конфигурация жасау үшін MAC адресі арқылы қосылу
• WinBox – Windows ОЖ-де орнатып, GUI арқылы басқаруға арналған құрал
• Webfig - кеңейтілген веб-негізделген конфигурация интерфейсі
• MikroTik - Android және iOS негізіндегі конфигурация құралы
• Жергілікті терминал, сериялық консоль, telnet және ssh арқылы қол жетімді біріктірілген сценарий мүмкіндіктері бар қуатты пәрмен жолы конфигурация интерфейсі
• API - өзіңіздің конфигурацияңызды және бақылау қолданбаларын жасау тәсілі

Сақтық көшірме/қалпына келтіру

• Екілік конфигурацияның сақтық көшірмесін сақтау және жүктеу
• Конфигурацияны адам оқи алатын мәтін пішімінде экспорттау және импорттау

Firewall / Брандмауэр

• Stateful filtering / Күйлік сүзгілеу
• Source and destination NAT / Шығу адресі және бару адресіне байланысты NAT
• NAT helpers (h323, pptp, quake3, sip, ftp, irc, tftp)
• Internal connection, routing and packet marks / Ішкі байланыс, маршруттау және пакет белгілері
• Filtering by IP address and address range, port and port range, IP protocol, DSCP and many more / IP мекенжайы мен мекенжай ауқымы, порт пен порт ауқымы, IP протоколы, DSCP және т.б. бойынша сүзу
• Address lists / Мекенжай тізімдері
• Custom Layer7 matcher / Реттелетін Layer7 сәйкестігі
• IPv6 support / IPv6 қолдауы
• PCC - per connection classifier, used in load balancing configurations / PCC - жүктемені теңестіру конфигурацияларында қолданылатын қосылым классификаторы бойынша
• RAW filtering to bypass connection tracking. / Қосылымды бақылауды айналып өту үшін RAW сүзгісі.

Маршрутизация

• Статикалық маршруттау / Static routing
• Виртуалды бағыттау және бағыттау (VRF) / Virtual Routing and Forwarding (VRF)
• Саясатқа негізделген маршруттау / Policy based routing
• Интерфейсті маршруттау / Interface routing
• ECMP маршрутизациясы / ECMP routing
• IPv4 динамикалық маршруттау протоколдары: RIP v1/v2, OSPFv2, BGP v4 / IPv4 dynamic routing protocols: RIP v1/v2, OSPFv2, BGP v4
• IPv6 динамикалық маршруттау протоколдары: RIPng, OSPFv3, BGP / IPv6 dynamic routing protocols: RIPng, OSPFv3, BGP
• Екі бағытты бағыттауды анықтау (BFD) / Bidirectional Forwarding Detection (BFD)

MPLS

• Static Label bindings for IPv4 / IPv4 үшін статикалық жапсырма байланыстары
• Label Distribution protocol for IPv4 / IPv4 үшін жапсырманы тарату протоколы
• RSVP Traffic Engineering tunnels / RSVP Traffic Engineering туннельдері
• VPLS MP-BGP based autodiscovery and signaling / VPLS MP-BGP негізіндегі автоматты анықтау және сигнализация
• MP-BGP based MPLS IP VPN / MP-BGP негізіндегі MPLS IP VPN

VPN

• IPSec – туннельдік және тасымалдау режимі, сертификат немесе PSK, AH және ESP қауіпсіздік протоколдары.
• IKEv2 қолдауы / IKEv2 support
• IPSec үшін AES-NI аппараттық жеделдету қолдауы / AES-NI hardware acceleration support for IPSec
• Нүктеден нүктеге туннельдеу (OpenVPN, PPTP, PPPoE, L2TP, SSTP) / Point to point tunneling ( OpenVPN, PPTP, PPPoE, L2TP, SSTP)
• Жетілдірілген PPP мүмкіндіктері (MLPPP, BCP) / Advanced PPP features (MLPPP, BCP)
• Қарапайым туннельдер (IPIP, EoIP) IPv4 және IPv6 қолдауы / Simple tunnels ( IPIP, EoIP) IPv4 andIPv6 support
• 6-4 туннельді қолдау (IPv4 желісі арқылы IPv6) / 6to4 tunnel support (IPv6 over IPv4 network)
• VLAN – IEEE802.1q виртуалды LAN қолдауы, Q-in-Q қолдауы / VLAN – IEEE802.1q Virtual LAN support, Q-in-Q support
• MPLS негізіндегі VPN / MPLS based VPNs
• WireGuard
• Нөлдік деңгей / ZeroTier

Сымсыз байланыс / Wireless

• IEEE802.11a/b/g сымсыз клиент және кіру нүктесі
• Толық IEEE802.11n қолдауы
• Nstreme және Nstreme2 меншікті протоколдары
• NV2 протоколы
• Сымсыз тарату жүйесі (WDS)
• Виртуалды кіру нүктесі
• WEP, WPA, WPA2
• Қол жеткізуді басқару тізімі
• Сымсыз клиенттік роуминг
• WMM
• HWMP+ Wireless MESH протоколы
• MME сымсыз маршруттау протоколы

DHCP

• Әрбір интерфейс DHCP сервер / Per interface DHCP server
• DHCP клиенті және релесі / DHCP client and relay
• Статикалық және динамикалық DHCP жалға беру / Static and dynamic DHCP leases
• RADIUS қолдауы / RADIUS support
• Пайдаланушы DHCP опциялары / Custom DHCP options
• DHCPv6 префикс делегациясы (DHCPv6-PD) / DHCPv6 Prefix Delegation (DHCPv6-PD)
• DHCPv6 клиенті / DHCPv6 Client

Hotspot / Хотспот

• Желіге Plug-n-Play қатынасу / Plug-n-Play access to the Network
• Жергілікті желі клиенттерінің аутентификациясы / Authentication of local Network Clients
• Пайдаланушылар есебі / Users Accounting
• Аутентификация және есепке алу үшін RADIUS қолдауы / RADIUS support for Authentication and Accounting

QoS

• CIR, MIR, жарылыс және басымдықты қолдауы бар иерархиялық Token Bucket (HTB) QoS жүйесі
• Негізгі QoS енгізуге арналған қарапайым және жылдам шешім - Қарапайым кезектер
• Клиенттің динамикалық жылдамдығын теңестіру (PCQ)

Прокси

• HTTP кэштеу прокси сервері
• Мөлдір HTTP прокси
• SOCKS протоколын қолдау
• DNS статикалық жазбалары
• Бөлек дискіде кэштеуді қолдау
• Ата-аналық проксиді қолдау
• Қол жеткізуді басқару тізімі
• Кэштеу тізімі

Құралдар

• Ping, traceroute
• Өткізу қабілетін тексеру, пинг тасқыны
• Пакет иісшіл, алау
• Telnet, ssh
• Электрондық пошта және SMS жіберу құралдары
• Автоматтандырылған сценарийді орындау құралдары
• CALEA
• Файлды алу құралы
• Жетілдірілген трафик генераторы
• WoL (LAN желісінде ояту) жіберу

Басқа мүмкіндіктер

• Самба қолдауы
• OpenFlow қолдауы
• Көпірлеу – ағаш протоколын (STP, RSTP), көпір брандмауэрін және MAC натингін қамтитын.
• Динамикалық DNS жаңарту құралы
• NTP клиенті/сервері және GPS жүйесімен синхрондау
• VRRP v2 және v3 қолдауы
• SNMP
• M3P - сымсыз байланыстар мен Ethernet үшін MikroTik Пакет пакетінің протоколы
• MNDP - MikroTik көршісін табу хаттамасы, CDP (Cisco табу протоколы) қолдайды
• RADIUS аутентификациясы және есепке алу
• TFTP сервері
• Синхронды интерфейсті қолдау (Farsync карталары ғана) (v5.x нұсқасында жойылған)
• Асинхронды – сериялық PPP теру/теру, сұраныс бойынша теру
• ISDN – теру/теру, 128K пакеттік қолдау, Cisco HDLC, x75i, x75ui, x75bui желілік протоколдары, сұраныс бойынша теру

Ядро нұсқасы

• RouterOS 6.x нұсқасы 3.3.5 пайдаланады
• RouterOS 7.x нұсқасы 5.6.3 пайдаланады

Қолдау көрсетілетін шифрлаулар

RouterOS 7 желілік (телекоммуникациялық) құрылғыларды басқару үшін қолданылады.

• RouterOS 7 телекоммуникациялық арналар және құрылғыны басқару арналары арқылы өтетін деректерді (ақпаратты) қорғауға арналған шифрлау мүмкіндіктерін (компоненттерін) қамтиды.
• Барлық шифрлау мүмкіндіктері (компоненттері) RouterOS 7 жүйесінің ажырамас бөлігі болып табылады және оларды соңғы пайдаланушылар өзгерте алмайды.
• RouterOS 7 жеткізушінің айтарлықтай қолдауынсыз соңғы пайдаланушыларға орнатуға арналған.
• RouterOS 7 келесі қауіпсіздік протоколдарын пайдаланады:

Маршрутизаторға қосылу

1. Әдепкі конфигурациясы бар (With default configuration)

Ағымдағы әдепкі конфигурация туралы қосымша ақпаратты құрылғымен бірге келген Жылдам нұсқаулық (Quick Specs) құжатынан табуға болады. Жылдам нұсқаулық құжаты бірінші рет қосылу үшін қандай порттарды пайдалану керектігі және құрылғыларды қалай қосу керектігі туралы ақпаратты қамтиды.

2. Әдепкі конфигурациясы жоқ. Арнайы конфигурация табылмаса, 192.168.88.1/24 IP мекенжайы ether1 немесе combo1 немесе sfp1 үшін орнатылады.

Бұл құжат құрылғыны басынан бастап орнату жолын сипаттайды, сондықтан біз сізден барлық әдепкі параметрлерді жоюды сұраймыз.

Әдепкі пайдаланушы аты admin және құпия сөзсіз маршрутизаторға бірінші рет қосылғанда (кейбір үлгілер үшін стикердегі пайдаланушы құпия сөзін тексеріңіз) , сізден әдепкі конфигурацияны қалпына келтіру немесе сақтау сұралады (тіпті әдепкі конфигурацияда тек IP мекенжай болса да). Бұл мақалада маршрутизаторда конфигурация жоқ деп есептелгендіктен, оны сұрағанда пернетақтадағы «r» түймесін басу немесе WinBox ішіндегі «Конфигурацияны жою» түймесін басу арқылы жою керек.

Әдепкі конфигурациясы жоқ маршрутизатор

Маршрутизаторда әдепкі конфигурация болмаса, сізде бірнеше опция бар, бірақ мұнда біз қажеттіліктерімізге сәйкес келетін бір әдісті қолданамыз.

Маршрутизатордың ether1 портын WAN кабеліне қосыңыз және компьютеріңізді ether2-ге қосыңыз. Енді WinBox ашыңыз және көршілерді табуда маршрутизаторды іздеңіз. Толық мысалды Winbox мақаласынан қараңыз.

Тізімде маршрутизаторды көрсеңіз, MAC мекенжайын басып, Қосылу түймесін басыңыз .

Маршрутизатордың мүлдем таза екеніне көз жеткізудің ең қарапайым жолы - мына команданы теру

Немесе WinBox (Cурет 1-1):

IP қатынасын конфигурациялау

MAC қосылымы оншалықты тұрақты емес болғандықтан, роутерге IP адрес арқылы қол жетімділікті баптау керек:

• bridge интерфейсі мен bridge порттарын қосу;
• LAN интерфейсіне IP мекенжайын қосу;
• DHCP серверін баптау

Bridge бен IP мекенжайын орнату өте оңай:

Конфигурация құралдары ретінде WinBox/WeBfig таңдасаңыз:

• Bridge терезесін ашу, Bridge қойындысын таңдау керек;
• + түймесін басыңыз, жаңа диалог ашылады, bridge атауын local деп енгізіңіз және OK түймесін басыңыз;
• Ports қойындысын таңдап, + түймесін басыңыз, жаңа диалогтық терезе ашылады;
• ether2 интерфейсін және local пішіннің ашылмалы тізімдерін таңдаңыз және параметрлерді қолдану үшін OK түймесін басыңыз;
• bridge диалогын жабуға болады.

• Ip -> Addresses диалогын ашыңыз ;
• + түймесін басыңыз , жаңа диалог ашылады;
• IP мекенжайын енгізіңіз 192.168.88.1/24 ашылмалы тізімнен жергілікті интерфейсті таңдап , OK түймесін басыңыз;

Келесі қадам - ​​DHCP серверін орнату. Оңай және жылдам конфигурациялау үшін setup пәрменін іске қосамыз :

[admin@MikroTik] /ip dhcp-server setup [enter]
Select interface to run DHCP server on

dhcp server interface: local [enter]
Select network for DHCP addresses

dhcp address space: 192.168.88.0/24 [enter]
Select gateway for given network
gateway for dhcp network: 192.168.88.1 [enter]
Select pool of ip addresses given out by DHCP server

addresses to give out: 192.168.88.2-192.168.88.254 [enter]
Select DNS servers

dns servers: 192.168.88.1 [enter]
Select lease time

lease time: 10m [enter]

Конфигурация опцияларының көпшілігі автоматты түрде анықталатынына назар аударыңыз және жай ғана енгізу пернесін басу керек.

Сол орнату құралы WinBox/WeBfig ішінде де қол жетімді:

• IP -> DHCP Server терезесін ашыңыз, DHCP қойындысын таңдау керек;
• DHCP Setup түймешігін басыңыз , жаңа диалогтық терезе ашылады, local DHCP серверінің интерфейсін енгізіңіз және Next түймесін басыңыз ;
• Орнатуды аяқтау үшін шеберді орындаңыз.

Интернет қосылымын конфигурациялау

Келесі қадам - ​​маршрутизаторға интернетке қол жеткізу. Интернетке қосылудың бірнеше түрі болуы мүмкін, бірақ ең көп таралғандары:

• dynamic public IP address;(динамикалық жалпы IP мекенжайы;)
• static public IP address (статикалық жалпы IP мекенжайы);
• PPPoE қосылымы.

Dynamic Public IP

Динамикалық мекенжай конфигурациясы ең қарапайым болып табылады. Интернет провайдердің берген нүктеге қосылатын интерфейсте DHCP клиентін орнату жеткілікті. DHCP клиенті интернет провайдерінен (ISP) ақпаратты алады және сіз үшін IP мекенжайын, DNS, NTP серверлерін және әдепкі маршрутты орнатады.

Клиентті қосқаннан кейін сіз тағайындалған мекен-жайды көресіз және күй байланыстырылуы керек

Статикалық Public IP

Тұрақты мекенжай конфигурациясы жағдайында ISP сізге параметрлерді береді, мысалы:

• IP: 1.2.3.100/24
• Gateway: 1.2.3.1
• DNS: 8.8.8.8

Бұл Интернетке қосылуды қамтамасыз ету үшін қажет үш негізгі параметр

Мұны RouterOS жүйесінде орнату үшін біз IP мекенжайын қолмен қосамыз, берілген шлюзі бар әдепкі маршрутты қосамыз және DNS серверін орнатамыз.

Қосылымды растау

Сәтті конфигурациядан кейін сіз маршрутизатордан интернетке қол жеткізе аласыз.

Белгілі IP мекенжайын пингтеу арқылы IP қосылымын тексеріңіз (мысалы, Google DNS сервері)

DNS сұрауын тексеріңіз

Егер бәрі дұрыс орнатылған болса, екі жағдайда да пинг сәтсіз болмауы керек.

Сәтсіз жағдайда Ақаулықтарды жою бөлімін қараңыз

NAT конфигурациясы

Бұл кезде ДК әлі Интернетке қол жеткізе алмайды, себебі жергілікті қолданылатын мекенжайлар Интернет арқылы бағытталмайды. Қашықтағы хосттар сіздің жергілікті мекенжайыңызға қалай дұрыс жауап беру керектігін білмейді.

Бұл мәселенің шешімі шығыс пакеттердің бастапқы мекенжайын маршрутизаторлардың жалпыға ортақ IP мекенжайына өзгерту болып табылады. Мұны NAT ережесімен жасауға болады:

Мұндай орнатудың тағы бір артықшылығы - маршрутизатордың артындағы NAT клиенттері Интернетке тікелей қосылмаған, сондықтан сырттан келетін шабуылдардан қосымша қорғаныс қажет емес.

Роутерді Интернетке қосқан сәттен бүкіл әлем бойынша кез келген адам біздің маршрутизаторға қол жеткізе алады, сондықтан оны зиянкестер мен негізгі шабуылдардан қорғаудың ең жақсы уақыты қазір болмақ.

Пайдаланушы құпия сөзін өзгерту

MikroTik маршрутизаторлары құпия сөзді конфигурациялауды қажет етеді, біз қауіпсіз және қайталанбайтын құпия сөздерді жасау үшін құпия сөз генераторының құралын пайдалануды ұсынамыз. Қауіпсіз құпия сөзбен біз:

• Кемінде 12 таңба;
• Сандарды, таңбаларды, бас әріптерді және кіші әріптерді қосыңыз;
• Сөздік сөзі немесе сөздік сөздерінің тіркесімі емес;

Құпия сөзді орнатудың тағы бір нұсқасы,

Маршрутизаторға жаңа құпия сөзді қолдану үшін екінші әдісті немесе Winbox интерфейсін пайдалануды ұсынамыз, тек оны басқа рұқсатсыз кіруден қорғау үшін.

Құпия сөзді есте сақтаңыз! Егер сіз оны ұмытсаңыз, қалпына келтіру болмайды. Маршрутизаторды қайта орнату қажет болады!

Сондай-ақ, /user мәзірінде маршрутизаторға толық немесе шектеулі қатынасы бар көбірек пайдаланушыларды қосуға болады

Winbox User басқару

MAC қосылу мүмкіндігі

Әдепкі бойынша MAC сервері барлық интерфейстерде жұмыс істейді, сондықтан біз әдепкі барлық жазбаны өшіреміз және WAN портынан MAC қосылымына рұқсат бермеу үшін жергілікті интерфейс қосамыз. MAC Telnet Server мүмкіндігі интерфейс «тізіміне» шектеулер қолдануға мүмкіндік береді.

Алдымен интерфейс тізімін жасаңыз:

Содан кейін интерфейс тізіміне «жергілікті» деп аталатын бұрын жасалған көпірді қосыңыз:

Жаңадан жасалған «тізімді» (интерфейстердің) MAC серверіне қолданыңыз:

Winbox MAC қатынасы үшін де солай істеңіз

Winbox арқылы MAC қолжетімділікті басқару

• Interfaces → Interface List → Lists терезесін ашамыз және "+" басу арқылы жаңа тізім қосамыз;
• Interface list атын "listBridge" деп Name-ге енгіземіз және OK басамыз;
• Қайтадан Interfaces → Interface List бөліміне барамыз және "+" басамыз;
• "listBridge" төмен түсетін тізімнен таңдаймыз List опциясы және "local"-ды тізімнен таңдаймыз Interface опциялар ішінен және OK;
• Tools -> Mac Server терезесін ашамыз;
• "MAC Telnet Server" батырмасын басамыз, жаңа терезе ашылады;
• Ашылмалы тізімнен жаңадан жасалған "listBridge" тізімін таңдап, параметрлерді қолдану үшін OK түймесін басыңыз.

Previous Next

Интернеттен Mac Winbox қосылымдарын блоктау үшін MAC Winbox Server қойындысында дәл осылай орындаңыз .

Көршінің ашылуы

MikroTik Neighbor анықтау протоколы желідегі басқа MikroTik маршрутизаторларын көрсету және тану үшін пайдаланылады. Қоғамдық интерфейстерде көршіні табуды өшіру:

Winbox арқылы басқару

IP қосылымына қол жеткізу

Брандмауэр маршрутизаторды сыртқы желілерден рұқсатсыз кіруден автоматты түрде қорғайды, бірақ біз белгілі бір IP мекен-жайдан біздің роутерге кіруге рұқсат бере аламыз. Ол үшін мына команданы тереміз

xxxx/yy - маршрутизаторға кіруге рұқсат етілген IP немесе желілік ішкі желі.

Жалпы интерфейстегі IP қосылымы брандмауэрде шектелуі керек. Біз тек ICMP(ping/traceroute), IP Winbox және ssh қатынасын қабылдаймыз.

Алғашқы екі ереже бұрыннан орнатылған қосылымдардан пакеттерді қабылдайды, сондықтан процессорды шамадан тыс жүктемеу үшін олар дұрыс деп есептейміз. Үшінші ереже қосылымды бақылау жарамсыз деп санайтын кез келген пакетті тастайды. Осыдан кейін біз нақты хаттамалар үшін әдеттегі қабылдау ережелерін орнатамыз.

Winbox арқылы конфигурацияны жасау

Конфигурация үшін Winbox/Webfig пайдалансаңыз, мұнда орнатылған/қатысты ережені қосудың мысалы берілген:

• Open IP -> Firewall window, click on Filter rules tab;
• Click on the + button, a new dialog will open;
• Select chain input, click on Connection state, and select checkboxes for established and related;
• Click on the Action tab and make sure action accept is selected;
• Click on the Ok button to apply settings.

Previous Next

Басқа ережелерді қосу үшін әрбір жаңа ереже үшін + түймесін басып , консоль мысалында берілген параметрлерді толтырыңыз.

Әкімшілік қызметтер

Брандмауэр маршрутизаторды жалпыға ортақ интерфейстен қорғағанымен, RouterOS қызметтерін өшіргіңіз келуі мүмкін.

RouterOS әкімшілік құралдарының көпшілігі /ip қызмет мәзірінде конфигурацияланады

Тек қауіпсіздікті сақтаңыз,

Әдепкі қызмет порттарын өзгертіңіз, бұл кездейсоқ SSH қатал күшпен кіру әрекеттерінің көпшілігін дереу тоқтатады:

Сонымен қатар, әрбір қызметті рұқсат етілген IP мекенжайы немесе мекенжай ауқымы арқылы қорғауға болады (мекенжай қызметі жауап береді), дегенмен брандмауэрге қалаусыз кіруді бұғаттау тиімдірек, себебі желіаралық қалқан тіпті розетка ашуға мүмкіндік бермейді.

Басқа қызметтер

Өткізу қабілеттілігі сервері екі MikroTik маршрутизаторы арасындағы өткізу қабілеттілігін тексеру үшін пайдаланылады. Оны өндірістік ортада өшіріңіз.

Маршрутизаторда DNS кэші қосылған болуы мүмкін, бұл клиенттерден қашықтағы серверлерге DNS сұрауларын шешу уақытын азайтады. Маршрутизаторда DNS кэш қажет болмаса немесе басқа маршрутизатор осындай мақсаттарда пайдаланылса, оны өшіріңіз.

Кейбір RouterBOARD құрылғыларында ақпараттық мақсаттарға арналған СКД модулі бар, PIN кодын орнатыңыз немесе оны өшіріңіз.

Маршрутизаторға рұқсатсыз кіруді азайту үшін маршрутизатордағы барлық пайдаланылмаған интерфейстерді өшіру жақсы тәжірибе.

Мұндағы «X» пайдаланылмаған интерфейстердің саны .

RouterOS SSH үшін күшті криптографияны пайдаланады, көптеген жаңа бағдарламалар оны SSH күшті криптосын қосу үшін пайдаланады:

Келесі қызметтер әдепкі бойынша өшірілген, соған қарамастан олардың ешқайсысы кездейсоқ қосылмағанына көз жеткізген жөн:

• MikroTik кэштеу проксиі,
  /ip proxy set enabled=no
• MikroTik socks proxy,
  /ip socks set enabled=no
• MikroTik UPNP service,
  /ip upnp set enabled=no
• MikroTik dynamic name service or IP cloud,
  /ip cloud set ddns-enabled=no update-time=no

Портты бағыттау

Кейбір клиенттік құрылғылар белгілі порттар арқылы интернетке тікелей кіруді қажет етуі мүмкін. Мысалы, 192.168.88.254 IP мекенжайы бар клиент қашықтағы жұмыс үстелі протоколы (RDP) арқылы қол жетімді болуы керек.

Google-да жылдам іздеуден кейін біз RDP TCP 3389 портында жұмыс істейтінін білеміз. Енді RDP-ні клиенттің компьютеріне қайта бағыттау үшін тағайындалған NAT ережесін қосуға болады.

Сіздер желі саласына енді қадам басқан оқырман болсаңыз да, не өзге желі құрылғыларымен (мысалы: Cisco, Fortinet, Juniper) жұмыс істеген болсаңыз онда әр компанияның өзіне тән ерекше терминдер, технологиялар және атаулар мен ережелер бар екенін байқаймыз. Желі негіздері және протоколдар мен ашық стандарттар бір әрине. Бірақ әр компанияның өзіндік айырмашылықтарын да көреміз.

Бұл бөлімде MikroTik-ке тән кейбір ұғымдарды танысып, олардың функцияларын көрейік

Интерфейстер

SOHO ортасына арналған көптеген RouterOS құрылғыларында бірінші Ethernet интерфейсі (ether1) Wide Area Network (WAN) порты ретінде конфигурацияланған. ether2 және одан кейінгі Ethernet порттары Жергілікті желіге (LAN) кіру үшін алдын ала конфигурацияланған. Конфигурацияның бұл түрі MikroTik кішігірім филиалдар мен үй кеңселерінде іске қосуға және бірден жұмыс жасап кетуіне мүмкіндік береді. MikroTik Switch Chip құжаттамасы әрбір үлгі үшін нақты әдепкі конфигурацияны көрсетеді. Кәсіпорындар мен қызмет жеткізуші провайдерлерге арналған үлкенірек құрылғыларда әдепкі конфигурация аз немесе мүлдем жоқ. Бұл құрылғыларда көбірек ерекше, жоғарғы деңгейдегі желі конфигурациясы жүзеге асырылады деп күтілуде.

Динамикалық адрестер

RouterOS құрылғыларының көпшілігі бірінші Ethernet интерфейсінде DHCP клиентімен және басқаларында жұмыс істейтін DHCP серверімен конфигурацияланады. Үлкенірек құрылғыларда бұл әдепкі конфигурациялар болмауы мүмкін, бірақ оларды жасау көп уақытты қажет етпейді.

WAN DHCP Client

DHCP клиенті RouterBOARD құрылғыларында әдепкі бойынша ether1 арқылы жұмыс істейді, жоғары ағындық қызмет провайдерінен динамикалық IP мекенжайын сұрайды. Үйдегі пайдаланушылардың көпшілігі және кәдімгі іскерлік кең жолақты қосылымдар үшін бұл маршрутизаторды ISP-ке қосу үшін қажет жалғыз конфигурация.

Winbox ішінде IP DHCP Client > DHCP Client астында орналасқан. Маршрутизатордың өзі DNS сұрауы және LAN клиенттері үшін жергілікті кэштеу сервері ретінде жұмыс істеуі үшін «Per DNS пайдалану» опциясы «иә» күйіне орнатылған. «Әдепкі маршрутты қосу» опциясы да «иә» күйіне орнатылған, себебі ол жоғары ағынды ISP қосылымы жалғыз шығыс қосылым болып табылады деп есептеледі.

LAN DHCP Server

DHCP сервері RouterBOARD маршрутизаторларының көпшілігінде әдепкі бойынша жұмыс істейді, шлюз ретінде 192.168.88.0/24 желісіндегі IP мекенжайларын 192.168.88.1 арқылы тағайындайды. Маршрутизатор өзін кэштеу DNS сервері ретінде пайдаланады және әдепкі бойынша 192.168.88.1 мекенжайын жергілікті DNS сервері ретінде тағайындайды. ether2 арқылы ether5 және сымсыз LAN (WLAN) интерфейстерінің барлығы біріктірілген, бұл кішігірім маршрутизаторларды айтарлықтай кілтке айналдырады.

VM ретінде іске қосылған CHR даналарында әдепкі DHCP сервері іске қосылмаған және жергілікті 192.168.88.1/24 мекенжайы тағайындалмағанын ескеру қажет.

Firewall

Көптеген RouterBOARD құрылғылары желіге қосылғаннан кейін оларды қорғау үшін бірқатар брандмауэр ережелері бар. Олар құрылғыны сырттан келетін жалған қосылымдардан қорғай алады, дегенмен күрделі әдепкі құпия сөздің болмауы әлі де осалдықты тудырады. CHR даналарында конфигурацияланған әдепкі брандмауэр ережелері мүлде жоқ. Әдепкі брандмауэр ережелері бар құрылғыларда келесі бөлімдер рұқсат етілген трафикке шолу жасайды.

Forward Traffic

Әдепкі бойынша, қосылымдарға әдепкі NAT маскарад ережесі арқылы маршрутизатор арқылы шығуға рұқсат етіледі. Бұл трафик сымды және сымсыз барлық жергілікті желілерден рұқсат етіледі. Орнатылған шығыс қосылымының бөлігі болып табылмайтын WAN портына кіретін трафик зиянкестің ішкі желілерге трафикті бұрмалауын болдырмау үшін жойылады.

Input Traffic

Бұрын шығыс қосылмаған WAN портындағы кіріс қосылымдар бұғатталған. Бұл портты сканерлеуді және барлаудың басқа түрлерінің сәтті болуын тоқтатады. Маршрутизаторға ішкі желілерден қосылуға рұқсат етіледі, бұл желі әкімшілеріне Winbox, SSH, т.б. арқылы оңай қол жеткізуге мүмкіндік береді. Дегенмен, бір ерекшелік Интернетті басқару хабарының протоколы (ICMP) трафигі үшін әдепкі брандмауэр ережелерінде жасалған, бұл кез келген адамға ICMP Echo (ping) жіберуге мүмкіндік береді. ) құрылғыға. Бұл маршрутизаторды жүктеу немесе ақаулықтарды жою үшін пайдалы болуы мүмкін болса да, PCI-DSS сияқты сәйкестік стандарттары сыртқы хосттардан мұндай қосылымдарға рұқсат бермейді.

Output Traffic

Әдепкі бойынша қосылымдарға маршрутизатордың өзінен DNS және NTP серверлері сияқты жоғары ағындық ресурстарға шығуға рұқсат етіледі. Шығыс тізбегіне сәйкес келетін трафик үшін әдепкі бойынша белсенді сүзу конфигурацияланбайды

NAT

Маршрутизатор NAT трафигі әдепкі бойынша ether1 интерфейсі арқылы Интернетке шығатын болады. Барлық трафик жалпыға ортақ бағытталатын мекенжайдан, статикалық түрде тағайындалған немесе ISP тағайындаған динамикалық IP мекенжайынан шыққан болып көрінеді.

IP Services

RouterOS даналары қораптан шыққан бірқатар қызметтерді іске қосады. Бұл маршрутизаторларды өте қолжетімді етеді, бірақ сонымен бірге қауіпсіздікке әсер етуі мүмкін. Өндіріс құрылғысында HTTP Secure (HTTPS) және SSH сияқты қауіпсіз протоколдар пайдасына Hypertext Transfer Protocol (HTTP) және FTP сияқты қауіпсіз емес протоколдар болуы керек. Төменгі кестеде RouterOS іске қосатын маршруттау протоколдарынан басқа желі қызметтері берілген. Көптеген қызметтер әдепкі бойынша қосылады және құрылғыларды қорғау үшін кейбір қызметтерді кесу қажет.