MikroTik - Router OS

  1. можливості MikroTik
  2. Ліцензія.
  3. Установка.
  4. Утиліти конфігурації Webbox і Winbox
  5. висновки

Стаття надрукована в журналі

Статті вже більше року, але моє останнє знайомство з MikroTik десь пів року назад показало, що мало що в ній змінилося, принаймні зовні. Тому для уявлення про її можливості цього досить. І потрібно оповіді, що багато хто спробував його в роботі згодні з моєю думкою і часто порівнюють інші дистрибутиви саме з MikroTik.

Типовою завданням стоїть перед системним адміністратором є організація спільного доступу в Інтернет і облік трафіку. Не дивлячись на простоту визначення, при більш детально підході вони розпадаються на сотні подзадач повноцінно впоратися з якими під силу далеко не кожному. Сьогодні розроблено досить інструментів, що дозволяють спростити рішення цієї задачі як повністю, так і окремих її ділянок. Серед програмних рішень це різні утиліти для аналізу журналів і виведення результатів, графічні інтерфейси до програм настройки мережі, сервісів і брандмауера, VPN, системи захисту та інше. Особливою популярністю у адміністраторів користуються спеціалізовані дистрибутиви, побудовані на базі GNU / Linux, або різних BSD систем [2,3,4], які дозволяють перетворити старий системний блок в надійний маршрутизатор. Вообщем все дистрибутиви чимось схожі, той же Linux тільки маленький, відрізняються складом додатків, можливістю поновлення, наявністю специфічних утиліт для спрощення їх налаштування. Дистрибутив GNU / Linux MikroTik (http://www.mikrotik.com/) про який піде мова, не схожий ні на один з тих, з якими доводилося раннє мати справу автору.

можливості MikroTik

Чесно кажучи дізнався про MikroTik випадково на всіх профільних Інтернет проектах інформація про MikroTik відсутня. Тепер же після півроку експлуатації можна відзначити стабільну роботу сервера. За цей період жодного разу не знадобилося перезавантажувати сервер. Для організації доступу в Інтернет мережі з сотні користувачів використовувався старий системний блок з встановленим пентіум 233 з 128 Мб оперативної пам'яті і жорстким диском на 2 Гб. Максимальне завантаження процесора становила всього 25%, використовувана пам'ять не перевищила значення 40 Мб, а жорсткий диск заповнений на 50 Мб. Раз вже зайшла мова про системні вимоги то в офіційних інструкціях вони ще нижче зазначених вище: частота процесора від 100Мгц, ОЗУ 32 Мб (рекомендується від 64 Мб), жорсткий диск від 64 Мб.Кроме системних вимог здивували і воістину багаті можливості, укупі з легкістю настройки і адміністрування. Наведу лише невелику частину з можливостей дистрибутива:

- міжмережевий екран і NAT -Повноцінне фільтрація пакетів, source і destination NAT, класифікація пакетів по МАС, IP, портам, опцій протоколів, інтерфейсів, внутрішнім маркованих пакетів, вмісту, P2P фільтрація. Підтримка мостів між інтерфейсами з фільтрацією пакетів.

- маршрутизація - статична, multi-path, на основі політик (спільно з фаєрволом), динамічна маршрутизації: RIP v1 / v2, OSPF v2, BGP v4;

- управління якістю облуговування - маркування по IP, мережі і підмережі, порту; управління смугою пропускання, завдання швидкості та інше.

- повноцінний HotSpot - створення plug & play точок колективного користування Інтернет з аутентифікацією на RADIUS сервері, з контролем роботи в реальному часі, завданням швидкості, об'єму, часу роботи клієнта, створення walled-garden захищених зон.

- підтримка різних Point-to-Point протоколів - PPTP, PPPoE і L2TP з підтримкою RADIUS, PAP, CHAP, MSCHAPv1 і v2 протоколів аутентифікації; MPPE шифрування; компресії і дозвону на вимогу для PPPoE.

- тунелі - IPIP, EoIP (Ethernet over IP)

А ще підтримка IPSec, FTP і HTTP / HTTPS кешуючий проксі сервер, DHCP сервер і клієнти, клієнт і сервер Network Time Protocol, Bonding, журнал роботи роботи брандмауера, дій користувача й поводження системи, генерація простих звітів. Передбачена можливість настройки GPRS з'єднання. Але найцікавіше, що розмір дистрибутива трохи більше 14 Мб.

Ліцензія.

MikroTik не є повністю вільним продуктом і за всі його можливості доведеться заплатити. Без ліцензії встановлений сервер пропрацює рівно 24 години (при виключенні відлік часу зупиняється). Після закінчення цього протягом або буде потрібно ввести ключ, або перевстановити систему. Отриманий ключ дозволяє використовувати MikroTik протягом необмеженого часу. На даний момент є 6 рівнів ліцензії. Рівень 0 означає робота без ліцензії. Ліцензія рівня 1 або SOHO надається безкоштовно і має обмеження за кількістю максимальних з'єднань PPTP, PPPoE, Queues, NAT, EoIP і DHCP, в цьому випадку також відключена підтримка бездротових пристроїв, веб-кеша і Radius-клієнта, немає технічної підтримки і неможливо оновлення дистрибутива . Варто особливо відзначити, що ліцензія прив'язана до Software ID, його значення адміністратор отримає під час установки системи. При цьому Software ID (і відповідно і ключ ліцензії) зміниться тільки при установці дистрибутива на інший жорсткий диск, при заміні решти устаткування маршрутизатора або додаванні нового обладнання, новий ключ отримувати не доведеться. Вартість інших рівнів ліцензування коливається від 45 до 250 у.о.

Установка.

На момент написання статті актуальною була версія 2.9.14, про яку й піде мова далі, хоча з часу версії 2.8 процес установки не змінився, збільшилася тільки кількість доступних пакетів. Встановити систему можна трьома способами:

- за допомогою завантажувального CD

- з дискет (DiskMaker)

- і через мережу (завантажившись за допомогою флоппі, або мережева карта з підтримкою завантаження по мережі PXE або EtherBoot)

Крім того, на сайті доступний архів який за допомогою програми PhysDiskWrite для Windows, або dd в Unix необхідно перенести на CompactFlash. Перший варіант є найпростішим і поширеним (крім покупки встановленого), його і будемо розглядати. Беремо з сайту архів містить ISO образ, розпаковуємо, записуємо, виставляємо завантаження з CD-ROM в BIOS і завантажується. Ніяких опцій по час завантаження не передбачено, на першому екрані користувачеві пропонується вибрати програми. Тут все просто переміщаємося за допомогою стрілок (або клавіш p - n) наводимо на потрібну програму і вибираємо його за допомогою пробілу. При наведенні на пункт внизу екрана видається коротке пояснення, і в дужках вказуються залежності, system є обов'язковим до установки. Натискання на "а" призведе до вибору всіх пунктів, "m" - встановить тільки мінімальний набір. Після вибору натискаємо на "i" (install) і відбувається власне установка. Жорсткий диск буде розмічений автоматично, всі дані будуть знищені, хоча вам буде запропоновано зберегти попередню конфігурацію MikroTik. Що дуже корисно, так як SOHO ліцензія не підтримує оновлень, а так є можливість зберегти всі налаштування при повному відновленні системи. Зверніть увагу, що всі версії MikroTik до 2.8 не підтримують більше одного жорсткого диска. У нових версіях другий диск використовується тільки для кешування веб-сторінок. Після розпакування додатків отримаєте повідомлення про необхідність натиснути Enter для перезавантаження. Ось і власне і все. Після установки CD-ROM можна відключити.

Тепер доступ до сервера можна отримати різними способами: локальна консоль, термінал підключений до COM-порту (9600 біт / с, 8 біт дані, 1 стоповий, апаратне керування потоком RTS / CTS), telnet, SSH, MikroTik MAC Telnet, веб-інтерфейс Webbox і графічна утиліта Winbox. Початкові налаштування здійснюються виключно за допомогою локальної консолі. Для реєстрації використовуємо логін: admin з порожнім паролем. Після чого буде виведено наступне повідомлення, в останньому рядку якого вам буде показаний необхідний для реєстрації software ID, в моєму випадку це 4NHQ-GWN. Тепер заходимо на сайт проекту і в правому верхньому куті, підписаному як "Account Server" вибираємо "New", заповнюємо дані і чекаємо підтвердження реєстрації електронною поштою. Після чого реєструється в системі, вводимо software ID і на вашу електронну адресу прийде ліцензійний ключ. В даному випадку використовувалася безкоштовна SOHO ліцензія, при необхідності потім завжди можна підняти рівень ліцензування.

Рядок запрошення показує ім'я маршрутизатора і рівень меню.

[Admin @ MikroTik]>

Спробувавши роботу ряду звичних юніксовскіх утиліт на зразок ifconfig, netstat, ping можна виявити, що є присутнім тільки остання з них. Всі пункти меню можна дізнатися, натиснувши два рази табуляцію.

[Admin @ MikroTik]> certificate import log ppp redo special-login undo driver interface password queue routing system user export ip ping quit setup test-bridge file isdn-channels port radius snmp tool

Набираємо в рядку запрошення потрібний пункт. Наприклад, для установки IP-адреси інтерфейсу набираємо ip.

[Admin @ MikroTik]> ip [admin @ MikroTik] ip> Табуляция підказує такі рівні, або команди. [Admin @ MikroTik] ip> address [admin @ MikroTik] ip address> add address: 192.168.0.1/24 interface: ether1

Зверніть увагу, що адреса вводиться разом з мережевою маской.Так як на маршрутизаторі варто кілька мережевих карт, то підібрати інтерфейс можна експериментальним шляхом, або краще зайти в меню driver і набравши print переглянути їх порядок. Команди можна набирати повністю, не переходячи в підміню. Наприклад, те ж саме, тільки однією командою, буде виглядати так.

[Admin @ MikroTik]> / ip address add address 192.168.0.1/24 interface ether1

[Admin @ MikroTik]> / ip address add address 192.168.1.100/24 ​​interface ether2

Щоб повернутися на рівень вгору необхідно набрати дві точки. Для зручності мережних інтерфейсів можна дати більш зрозумілі назви.

[Admin @ MikroTik] interface> set ether1 name = Local; set ether2 name = PublicТеперь ether1 буде називатися Local, а ether2 - Public. І не забуваємо додати шлюз.

[Admin @ MikroTik] ip route> add gateway = 192.168.1.100 / 24

Так, щоб вимкнути або перезавантажити комп'ютер необхідно перейти в меню system і набрати shutdown або reboot.

З командами розібратися легко, але знадобляться вони тільки при вилученому керуванні за допомогою ssh або telnet. Для початкового налаштування краще скористатися скриптом setup і налаштувати тільки внутрішній інтерфейс, решту настройку виробляти віддалено за допомогою більш наочних утиліт Webbox і Winbox.

І не забуваємо змінити пароль адміністратора.

[Admin @ MikroTik]> password

old password:

new password: ************

retype new password: ************

Утиліти конфігурації Webbox і Winbox

Для виклику утиліти Webbox досить набрати в веб-браузері IP адреса маршрутизатора.

тут же можна переглянути графіки завантаження.

Зареєструвавшись у верхній частині вікна можна отримати доступ до деяких налаштувань системи, інформації про роботу маршрутизатора, вивести прості звіти.

З першої сторінки можна завантажити утиліту Winbox, яка надає великі можливості по конфігурації системи.

На відміну від Webbox Winbox може працювати по захищеному каналу, для чого при установці потрібно вибрати пакет security. Режим можна визначити тому з яким портом відбувається робота. У разі незахищеною роботи використовується 8290 TCP порт і 8291 в разі шифрованого з'єднання. Всі настройки зручно зібрані по окремим пунктам меню та зрозумілі, додаткові опції згорнуті і не заважають.

При кожному з'єднанні з Winbox вам будуть нагадувати про необхідність введення ліцензійного ключа і залишився часу, тому краще зробити це відразу. Для настройки другого інтерфейсу заходимо в IP - Addresses і вводимо його IP адреса.

У моєму випадку необхідно було налаштувати PPPoE підключення до провайдера послуг Інтернет. Для цього заходимо в пункт PPP у вкладці Interfaces, натискаємо на "+" вибираємо "PPPoE Client", далі заповнюємо всі необхідні поля і натискаємо кнопку «OK». Якщо все введено правильно підключення запрацює що можна тут же перевірити, клікнувши на імені і перейшовши за тим на вкладку «Traffic». Хоча, набивши руку можна ввести це все і через ssh. наприклад:

[Admin @ MikroTik]> / interface pppoe-client add name = pppoe-user-grinder user = grinder password = 1234567 interface = Public service-name = internet disabled = no dial-on-demand = yes

І знову ж таки нагадую, що при наборі практично всіх параметрів користуйтеся табуляцією, це прискорює і спрощує набір.

Брандмауер свіжовстановленому MikroTik маршрутизатора не містить вбудованих правил, тому якщо просканувати його nmap, то можна виявити, що з зовнішньої мережі можна отримати доступ до багатьох зайвим сервісів. Тому наступним обов'язковим кроком необхідно налаштувати фільтрацію пакетів, в першу чергу заборонивши доступ до ftp, telnet і www.

Для настройки правил брандмауера переходимо в IP - Firewall і у вкладці "Filter Rules" прописуємо правила забороняють підключення до портів 21, 23, 80, 137-139 і 445 с зовнішніх адрес і у вкладці NAT дозволяємо маськарадінг для внутрішніх клієнтів.

Крім дистрибутива MikroTik на сайті проекту можна знайти і ще ряд додаткових утиліт, які будуть корисні в роботі. Наприклад, MikroTik Bandwidth Test дозволяє оцінити пропускну здатність каналу, Traffic Counter подскітивать трафік, MT Syslog Daemon демон syslog для Windows систем, Log Downloader - збереження журналів на іншому комп'ютері, Dude - утиліта моніторингу та побудови карт мереж і деякі інші. Крім того, комплект мережевих утиліт входять до комплект MikroTik можна запускати як за допомогою Winbox, або ssh.

висновки

Ретельність опрацювання, продуманість налаштувань MikroTik викликає тільки позитивні емоції. Не дивлячись на деяку незвичність спочатку, дуже швидко освоюється і далі працюєш без труднощів. А хороша документація, форум проекту і набір утиліт тільки допомагають в цьому. В принципі один такий маршрутизатор цілком здатний вирішити всі стандартні завдання за поданням доступу для невеликої та середньої мережі і їх захисту. Якщо версії SOHO буде недостатньо, то можна або придбати ліцензію, або спробувати розбити мережу на більш дрібні фрагменти.

посилання:

1. Сайт проекту http://www.mikrotik.com/

2. Яремчук С. Роутер без диска - Журнал "Системний адміністратор", № 9, 2004 г. - 8 - 9 с.

3. Яремчук С. Маленький лінукс як firewall - Журнал "Системний адміністратор", № 9, 2003 г. - 24 - 32 с.

4. Яремчук С. Мережевий поліцейський - Журнал "Системний адміністратор", № 1, 2005 - 42 - 45 с.

5. Утиліта PhysDiskWrite http://www.m0n0.ch/wall/

Новости
Слова жизни
Фотогалерея