• Настройка оборудования Mikrotik на работу с несколькими провайдерами. Резервирование канала (Failover), балансировка нагрузки каналов (Load Balancing)

    Для нормальной и бесперебойной работы любой организации, является организация подключения двух и более интернет-провайдеров к сетевому оборудованию.

     

    В случае выхода из строя одного интернет-провайдера, его всегда подстрахует резервный, тем самым у нас не будет простоя в работе.

     

    Рассмотрим на примере как можно организовать отказоустойчивую систему на сетевом оборудовании Mikrotik.

     

    Резервирование каналов (Failover)

    К оборудованию Mikrotik подключены 2 провайдера ISP1, ISP2, и локальная сеть 10.1.1.0/24, необходимо при падении основного интернет-канала ISP1 автоматически переключиться на резервный ISP2.

     

    Создаем Bridge интерфейсы ISP1, ISP2, под интернет провайдеров:

    /interface bridge add name=ISP1
    /interface bridge add name=ISP2

     

    Связываем Bridge интерфейсы ISP1, ISP2 с портами ether1, ether2:

    /interface bridge port add interface=ether1 bridge=ISP1
    /interface bridge port add interface=ether2 bridge=ISP2

     

    Добавляем сети провайдеров:

    /ip address add address=10.10.10.1/24 interface=ISP1
    /ip address add address=20.20.20.2/24 interface=ISP2

     

    Создаем настройки NAT на интерфейсах провайдера:

    /ip firewall nat add action=masquerade chain=srcnat out-interface=ISP1
    /ip firewall nat add action=masquerade chain=srcnat out-interface=ISP2

     

    Создаем правила маркировки пакетов mangle для первого провайдера ISP1:

    /ip firewall mangle add chain=input dst-address=10.10.10.1 in-interface=ISP1 action=mark-connection new-connection-mark=ISP1-Connection-In
    /ip firewall mangle add chain=output connection-mark=ISP1-Connection-In action=mark-routing new-routing-mark=ISP1-Connection-Out passthrough=no
    /ip firewall mangle add chain=forward in-interface=ISP1 action=mark-connection new-connection-mark=ISP1-Connection-Forward passthrough=no

     

    Создаем правила маркировки пакетов mangle для второго провайдера ISP2:

    /ip firewall mangle add chain=input dst-address=20.20.20.2 in-interface=ISP2 action=mark-connection new-connection-mark=ISP2-Connection-In
    /ip firewall mangle add chain=output connection-mark=ISP2-Connection-In action=mark-routing new-routing-mark=ISP2-Connection-Out passthrough=no
    /ip firewall mangle add chain=forward in-interface=ISP2action=mark-connection new-connection-mark=ISP2-Connection-Forward passthrough=no

    Читать далее…

    БесполезноСлабоватоПриемлемоОтличноПревосходно (8 голос(ов), в среднем: 5,00 из 5)
    Загрузка...
  • Настройка связи между оборуданием Mikrotik. Сегментация сети VLAN на оборудование Mikrotik.

    На примере рассмотрим, как настроить связь между оборудованием Mikrotik. Выполнить сегментацию сети VLAN между оборудованием Mikrotik.

     

    Имеется главный роутер Mikrotik-Router, который необходимо связать с дополнительным Mikrotik-Switch. С дополнительного Mikrotik-Switch настроить доступ в основную локальную сеть (10.5.5.0/24) и доступ VLAN сеть (172.20.22.0/24). Схема подключения сети:

     

     

     

    Настройка соединения между оборудованием

    Создаем BridgeSwitches интерфейс, для LAN соединения:

    /interface bridge add name=BridgeSwitches

     

    Связываем интерфейс ether1 с BridgeSwitches соединением:

    /interface bridge port add interface=ether1 bridge=BridgeSwitches

     

    Читать далее…

    БесполезноСлабоватоПриемлемоОтличноПревосходно (1 голос(ов), в среднем: 5,00 из 5)
    Загрузка...
  • Настройка VLAN (Virtual Local Area Network) на сетевом оборудовании Mikrotik. Разделение локальной сети с помощью VLAN.

    VLAN (Virtual Local Area Network) позволяет в коммутаторах или роутерах создать несколько виртуальных локальных сетей на одном физическом сетевом интерфейсе. Простой и удобный способ разделения трафика между клиентами или базовыми станциями, использование VLAN.

     

    Технология VLAN заключается в том, что к сетевому кадру (2-й уровень) прибавляется дополнительный заголовок tag, который содержит служебную информацию и VLAN ID. Значения VLAN ID могут быть от 1 — 4095. При этом 1 зарезервирована как VLAN по умолчанию.

     

    При работе с VLAN важно понимать, что такое тегированный и нетегированный трафик. Тегированный трафик (с идентификатором влана) в основном идет между коммутаторами и серверами. Обычные же компьютеры (особенно под управлением ОС Windows) не понимают тегированный трафик. Поэтому на тех портах, которые смотрят непосредственно на рабочие станции или в сеть с неуправляемым коммутатором, выдается нетегированный трафик. Т.е. от сетевого кадра отрезается тег. Это также происходит, если на порту настроен VLAN ID = 1.

     

    Также существует понятие, как trunk (Транк). Транком называют порты коммутатора, по которым идет трафик с разными тегами. Обычно транк настраивается между коммутаторами, чтобы обеспечить доступ к VLAN с разных коммутаторов.

     

    Роутеры и коммутаторы Mikrotik поддерживают до 250 VLANs на одном Ethernet интерфейсе. Создавать VLAN его можно не только на Ethernet интерфейсе, но и на Bridge, и даже на туннеле EoIP. VLAN может быть построен в другом VLAN интерфейсе, по технологии “Q-in-Q”. Можно делать 10 и более вложенных VLAN, только размер MTU уменьшается с каждым разом на 4 байта.

     

    Разберем использование VLAN на примере. Задача:

    • Создать VLAN для HOTSPOT (172.20.22.0/24)
    • Создать VLAN для VIOP-телефонии (172.21.22.0/24)
    • Изолировать сети 172.20.22.0/24, 172.21.22.0/24 друг от друга и от доступа в сеть 10.5.5.0/24
    • Назначить Ether2 порт, на работу в сети 172.20.22.0/24 (VLAN)
    • Назначить Ether3, Ether4 на работу в сети 172.21.22.0/24 (VLAN)

     

     

     

    Исходные данные:

    • Интернет на Ether1, назначен на Brigde интерфейс — Ethernet
    • Локальная сеть (10.5.5.0/24), назначена на Brigde интерфейс — LAN

    Читать далее…

    БесполезноСлабоватоПриемлемоОтличноПревосходно (8 голос(ов), в среднем: 4,88 из 5)
    Загрузка...
  • Сетевая безопасность оборудования Mikrotik. Базовая настройка Firewall.

    По умолчанию, Firewall роутеров Mikrotik разрешает все подключения. Поэтому целесообразно обезопасить роутер и локальную сеть от несанкционированного доступа из интернета. В качестве примера будет рассмотрена основная/базовая настройка Firewall.

     

    Исходные данные:

    • Локальная сеть — 10.5.5.0/24
    • Интернет (Bridge соединение) — Ethernet

     

    Правила начинают работать от первого к последнему. Поэтому сначала размещаем разрешающие правила, а затем запрещающие. Так же при удаленной настройке Firewall учтите, что внесенные изменения применяются сразу же, поэтому есть шанс заблокировать самих себя.

     

    Определения назначения основных цепочек
    • Цепочка INPUT — Действия с пакетами, которые направляются в роутер. То есть адресованы именно на адрес роутера и дальше не пойдут.
    • Цепочка FORWARD — Действия с пакетами, проходящими через роутер. То есть пакеты посылаются какому-то адресату от какого-то адресата и через роутер проходят по пути следования. Например, когда ваш локальный компьютер хочет открыть какой либо сайт.
    • Цепочка OUTPUT — Действия с пакетами, источником которых является сам роутер.

    Читать далее…

    БесполезноСлабоватоПриемлемоОтличноПревосходно (Еще нет оценок)
    Загрузка...
  • Настройка роутера Mikrotik RB951Ui-2HnD

    Разберем на примере как выполнить базовую настройку роутера Mikrotik RB951Ui-2HnD с нуля, а так же настроим работу точки доступа Wi-Fi на нем. Настраивать роутер будем с помощью утилиты управления устройствами MikrotikWinbox. Скачиваем ее с оф. сайта.

     

    Подготовка роутера

    Подключаем роутер к ПК в любой порт кроме первого (иначе мы не увидим роутер). Запускаем WinBox, открываем вкладку Neighbors и видим наш роутер, подключаемся к нему по MAC адресу. По-умолчанию учетная запись admin не имеет пароля. Выбираем роутер и нажимаем Connect.

    Читать далее…

    БесполезноСлабоватоПриемлемоОтличноПревосходно (1 голос(ов), в среднем: 5,00 из 5)
    Загрузка...
  • Проброс портов на Mikrotik RB201 1UiAS-RM

    Сейчас разберем как пробросить порт на оборудовании Mikrotik RB201 1UiAS-RM. А в частности рассмотрим на примере если нужен доступ по RDP к рабочей станции из вне, т.е. используя не VPN подключение, а просто путем подключения к внешнему IP-адресу вашего интернета на заданный порт.

     

    Запускаем Winbox и подключаемся к роутеру. Переходим IPFirewall во вкладку Filter Rules. Создадим правило разрешающее принимать запросы из вне на указанные порты. Нажимаем кнопку «+«.

     

    Вкладка General

    поле Chain - указываем input
    поле Protocol - указываем 6 (tcp)
    поле Dst. Port - указываем 3389

    Читать далее…

    БесполезноСлабоватоПриемлемоОтличноПревосходно (1 голос(ов), в среднем: 5,00 из 5)
    Загрузка...
  • Автоматизация создания бекапов с устройств Mikrotik на Linux

    Создавать бекапы оборудования Mikrotik будем с помощью Bash-скрипта на Ubuntu 14.04 Trusty Tahr. Входе выполнения скрипта, будет осуществлен прозрачный вход на оборудование Mikrotik (как настроить прозрачное подключение к Mikrotik по SSH, читаем тут). Так же бекапы будем хранить на сетевом ресурсе, поэтому в примере скрипта будет выполнено монтирование сетевого диска.

     

    Предполагается создание бекапа не одного устройства Mikrotik, поэтому подготовим заранее текстовый файл со списком IP-адресов всех устройств Mikrotik, которых хотим делать бекап.

    nano adress_mikrotik
    192.168.1.4
    192.168.1.5
    192.168.1.6
    192.168.1.7

    Создаем файл скрипта:

    nano backup_mikrotik

    Читать далее…

    БесполезноСлабоватоПриемлемоОтличноПревосходно (Еще нет оценок)
    Загрузка...
  • Прозрачное подключение по SSH к Mikrotik из Ubuntu server 14.04.5 LTS

    Для того чтобы подключатся по SSH к оборудованию Mikrotik и при этом не вводя каждый раз пароль нужно с генерировать DSA key в системе из которой мы собственно собираемся подключатся по SSH на Mikrotik и затем импортировать с генерированный ключ на сам Mikrotik.

    Использование такой авторизации будет полезным если вы решите написать какой либо скрипт выполняющий определенные действия на оборудовании. И выполнятся эта команда будет одной строчкой и без запроса каких либо паролей

     

    Генерируем ключ командой

    ssh-keygen -t dsa

     

    При генерации ключа, будет задан ряд вопросов (Т.к. мы делаем прозрачную авторизацию, то пароль на ключ не задаем)

    Читать далее…

    БесполезноСлабоватоПриемлемоОтличноПревосходно (Еще нет оценок)
    Загрузка...
  • Добавление и базовая настройка Wi-Fi HOTSPOT на оборудовании Mikrotik

    Рассмотрим как организовать Wi-Fi HOTSPOT на оборудовании Mikrotik и выполнить базовую его настройку. В примере будет показано как настроить пользование интернетом в течении ограниченного времени и с ограничением по скорости, а так же как обезопасить локальную сеть от сети HOTSPOT.

     

    Подготовка локальной сети для HOTSPOT

    Переходим в Bridge. Вкладка Bridge (1), добавляем новое Bridge соединение (2), именуем его прим. bridgeWifiFree (3).

    Читать далее…

    БесполезноСлабоватоПриемлемоОтличноПревосходно (Еще нет оценок)
    Загрузка...
  • Как восстановить прошивку на оборудовании Mikrotik RB951G-2HnD в случае сбоя его.

    После внезапного перепада напряжения в сети 220w, перестала работать точка доступа Wi-Fi Mikrotik RB951G-2HnD. На самой точке присутствует только индикация подключенного питания, индикации подключения ее к LAN сети нет, так же точка не видится через Windox, не пингуется, на нее невозможно зайти обычным способом.

    По всей видимости слетела прошивка на самой точке доступа и нам нужно принудительно загрузить прошивку на нее. У Mikrotik на этот случай есть специальное приложение Netinstall, скачать его можно бесплатно с официального сайта тут и там же скачиваем последнюю прошивку для нашей точки доступа.

     

    Приготовления к восстановлению

    Восстановление будем производить с помощью ПО Netinstall (скачиваем с официального сайта). Там же скачиваем прошивку которую будем загружать на восстанавливаемый Mikrotik.

    Для Mikrotik RB951G-2HnD нужно скачивать MIPSBE прошивку и желательно скачивать только с пометкой Current (Текущая)

     

    Читать далее…

    БесполезноСлабоватоПриемлемоОтличноПревосходно (1 голос(ов), в среднем: 5,00 из 5)
    Загрузка...
© IT-блог Жаконды All Rights Reserved.
Яндекс.Метрика