Mikrotik

Материал из ciberhelp
Перейти к: навигация, поиск

Полное администрирование Mikrotik

Ниже короткие записи. Не забыть выгрузки настроек туда положить.
Firewall
Лицензирование
IPSec
Защита Asterisk
Есть мегакрутой сайт, где можно посмотреть все подробно
http://mikrotik.vetriks.ru/wiki/
Аналогично будем выполнять задачи с Cisco. Так как Циски я знаю гораздо лучше,чем Mikrotik,думаю там дОльше будет пробел.
Сразу говорю, все настройки будут производиться через командную строку. Ибо в графике там черт ногу сломит. Ни хрена непонятно

Настроим сеть

НАСТРОЙКИ ИЗНАЧАЛЬНЫЕ ЗАВОДСКИЕ НАХЕР!!!!
Это обязательное условие. Иначе заколебетесь разбираться, что же не так делаете)

Дадим название роутеру

system identity set name=PROVIDER
Соберем три филиала в один

Описание сети по филиалам
Сеть Маска Внешний адрес Шлюз Провайдера DNS первичный(для локальных сетей) DNS вторичный(для локальных сетей) Адрес для туннеля
Москва 192.168.10.0 255.255.255.0 10.25.0.2 10.25.0.1 192.168.10.10 192.168.20.10 1.1.1.1/252 2.2.2.1/252
Санкт-Петербург 192.168.20.0 255.255.255.0 10.25.1.1 10.25.1.2 192.168.10.10 192.168.20.10 1.1.1.2/252
Казань 192.168.30.0 255.255.255. 10.25.3.1 10.25.3.2 192.168.10.10 192.168.20.10 2.2.2.2/252

Делается так. Входим в терминал микротика и пишем
ip addaress add address=192.168.10.1 network 192.168.10.0 netmask 255.255.25.0 interface=ether2 broadcast=192.168.10.255
network broadcast можно не писать. Вставляется автоматически. Во всяком случае, должно)
Аналогично по всем портам и устройствам

Поднимем SSH

Дурной тон использовать графическую оболочку). Да и заметил, что когда работаешь в командной строке, наблюдающие коллеги и руководство( что очень важно ) с бОльшим уважением и трепетом начинают смотреть))
Поднимать ничего не надо. По умолчанию включен. Можно через винбокс включить, если каким-то чудом выключен. Но это возможно только в тех организациях, где уже есть человек, который шарит в этих делах)

Доступ наружу

Маршрут по умолчанию

Часто забывают это сделать админы. потом пыхтят. ip route add gateway=10.25.0.1 dst-address=0.0.0.0/0
Теперь наружние адреса доступны. Не спешить с именами). DNS То еще не настроен

Включить NAT(masquerade)

ip firewall nat add chain=srcnat action=masquerade out-interface=ether1

Пробрасываем порт для SSH к маршрутизатора филиала

ip firewall nat add action=netmap chain=dstnat dst-port=5556 in-interface=ether1 protocol=tcp to-addresses=10.2.1.2 to-ports=22

DHCP сервер

Пусть будет для Москвы
набираем setup и дальше все понятно).
[admin@MikroTik] ip dhcp-server> setup

GRE Tunnel

interface gre add name=MSKtoSPB remote-address=10.25.1.2 local-address=10.25.0.2

Маршрутизация Static, OSPF2

ip route add dst-address=192.168.10.0/24 gateway=172.16.1.2 Статические маршруты в обе стороны сделать. Но это не наш путь. Будем делать динамический

routing ospf network add network=172.16.0.0/30 area=backbone - Делаем на каждом интерфейсе, между которыми требуется маршрутизация

IPSEC

ip ipsec peer add address=10.25.1.2/32 auth-method=pre-shared-key secret="Password" peer- адрес удаленного маршрутизатора
ip ipsec policy add src-address=192.168.10.0/24 src-port=any dst-address=192.168.20.0/24 dst-port=any sa-src-address=10.25.0.2 sa-dst-address=10.25.1.2 tunnel=yes action=encrypt proposal=default

проверяем
/ip ipsec
remote-peers print
installed-sa print

Firewall

https://tvoi-setevichok.ru/setevoe-oborudovanie/firewall-na-mikrotik-bazovaya-nastroyka-bezopasnosti.html Можно здесь посмотреть минимальные настройки