Mikrotik
Полное администрирование Mikrotik
Ниже короткие записи. Не забыть выгрузки настроек туда положить. Firewall Лицензирование IPSec Защита Asterisk Есть мегакрутой сайт, где можно посмотреть все подробно http://mikrotik.vetriks.ru/wiki/ Аналогично будем выполнять задачи с Cisco. Так как Циски я знаю гораздо лучше,чем Mikrotik,думаю там дОльше будет пробел. Сразу говорю, все настройки будут производиться через командную строку. Ибо в графике там черт ногу сломит. Ни хрена непонятно
Содержание
Настроим сеть
НАСТРОЙКИ ИЗНАЧАЛЬНЫЕ ЗАВОДСКИЕ НАХЕР!!!!
Это обязательное условие. Иначе заколебетесь разбираться, что же не так делаете)
Дадим название роутеру
system identity set name=PROVIDER
Соберем три филиала в один
| Описание сети по филиалам | |||||||
|---|---|---|---|---|---|---|---|
| Сеть | Маска | Внешний адрес | Шлюз Провайдера | DNS первичный(для локальных сетей) | DNS вторичный(для локальных сетей) | Адрес для туннеля | |
| Москва | 192.168.10.0 | 255.255.255.0 | 10.25.0.2 | 10.25.0.1 | 192.168.10.10 | 192.168.20.10 | 1.1.1.1/252 2.2.2.1/252 |
| Санкт-Петербург | 192.168.20.0 | 255.255.255.0 | 10.25.1.1 | 10.25.1.2 | 192.168.10.10 | 192.168.20.10 | 1.1.1.2/252 |
| Казань | 192.168.30.0 | 255.255.255. | 10.25.3.1 | 10.25.3.2 | 192.168.10.10 | 192.168.20.10 | 2.2.2.2/252 |
Делается так. Входим в терминал микротика и пишем
ip addaress add address=192.168.10.1 network 192.168.10.0 netmask 255.255.25.0 interface=ether2 broadcast=192.168.10.255
network broadcast можно не писать. Вставляется автоматически. Во всяком случае, должно)
Аналогично по всем портам и устройствам
Поднимем SSH
Дурной тон использовать графическую оболочку). Да и заметил, что когда работаешь в командной строке, наблюдающие коллеги и руководство( что очень важно ) с бОльшим уважением и трепетом начинают смотреть))
Поднимать ничего не надо. По умолчанию включен. Можно через винбокс включить, если каким-то чудом выключен. Но это возможно только в тех организациях, где уже есть человек, который шарит в этих делах)
Доступ наружу
Маршрут по умолчанию
Часто забывают это сделать админы. потом пыхтят.
ip route add gateway=10.25.0.1 dst-address=0.0.0.0/0
Теперь наружние адреса доступны. Не спешить с именами). DNS То еще не настроен
Включить NAT(masquerade)
ip firewall nat add chain=srcnat action=masquerade out-interface=ether1
Пробрасываем порт для SSH к маршрутизатора филиала
ip firewall nat add action=netmap chain=dstnat dst-port=5556 in-interface=ether1 protocol=tcp to-addresses=10.2.1.2 to-ports=22
DHCP сервер
Пусть будет для Москвы
набираем setup и дальше все понятно).
[admin@MikroTik] ip dhcp-server> setup
GRE Tunnel
interface gre add name=MSKtoSPB remote-address=10.25.1.2 local-address=10.25.0.2
Маршрутизация Static, OSPF2
ip route add dst-address=192.168.10.0/24 gateway=172.16.1.2 Статические маршруты в обе стороны сделать. Но это не наш путь. Будем делать динамический
routing ospf network add network=172.16.0.0/30 area=backbone - Делаем на каждом интерфейсе, между которыми требуется маршрутизация
IPSEC
ip ipsec peer add address=10.25.1.2/32 auth-method=pre-shared-key secret="Password" peer- адрес удаленного маршрутизатора
ip ipsec policy add src-address=192.168.10.0/24 src-port=any dst-address=192.168.20.0/24 dst-port=any sa-src-address=10.25.0.2 sa-dst-address=10.25.1.2 tunnel=yes action=encrypt proposal=default
проверяем
/ip ipsec
remote-peers print
installed-sa print
Firewall
https://tvoi-setevichok.ru/setevoe-oborudovanie/firewall-na-mikrotik-bazovaya-nastroyka-bezopasnosti.html Можно здесь посмотреть минимальные настройки
