sojkovi.info

Aktualizace bootloaderu je velmi jednoduchá. Celé to zvládneme dvěma příkazy.

Když se podíváte do logu mikrotiku, nebo ssh serveru za mikrotikem určitě tam uvídíte, jedno neplatné heslo za druhým. Tady si ukážeme pár pravidel firewallu, kterými se velké časti těchto útoků zbavíme. Princip je jednoduchý mikrotik vytvoří dynamický addess list zakázaných IP. Prostě blacklist na kterém bude adresa stanovenou dobu.
Ještě bych chtěl upozornit na pořadí pravidel, až budete něco zkoušet dejte si někam nahoru nad DROP pravidlo, které povoluje připojení k winboxu, nebo ssh na mikrotik. Mohlo by se stát že se do něj ze své IP deset dní nedostanete. Tato pravidla by ale měla být někde nad pravidly, která povolují to co chcete chránit.
A ještě jedna poznámka chain input chrání mikrotik, chain forward chrání to za mikrotikem.

Tady je pár poznámek jak pustit na internet jen některé počítače. Já používám dva způsoby. U počítačů, které mají pevnou IP používám Addess List a k němu maškarádu. Druhý způsob je pravidlo, které označuje packety podle MAC adresy a zase je k němu maškaráda.

Mikrotik uměl a umí spoustu VPNek, často byl ale problém jak projít přes firewall. Řešením bylo třeba prohnat OpenVPN po portu 443. Znamenalo to nainstalovat do windows klienta a následovalo trochu konfigurování, které mohlo některým dělat problémy. Windows 7, Vista a 2008 už mimo PPTP a L2TP umí SSTP, který přes firewall projde. Klienta ve Windows nastavíme za méně než deset minut. O Linuxu nemá cenu se zmiňovat, to je jiná liga a tam není nic nemožné. Tady si ukážeme jak nastavit na mikrotiku SSTP server v konfiguraci Remote Client a pak také Site-to-Site.

Mikrotik nemá žádnou baterii, proto si musí seřídit čas z nějakého ntp serveru.

Nastavení firewallu je dost obsáhlá kapitola na několik článků. Tady uvedu jen základní nastavení.

Mikrotik si můžete v nastavení síťového adaptéru dát jako jeden z DNS serverů. Mikrotik funguje jako DNS cache a můžeme si říkat, že při dotazu na dns server budeme mít rychlejší odezvu a ušetříme nějaký ten kilobajtík provozu. Vzhledem ke kvalitě dnešního připojení k internetu jsou tyto výhody zanedbatelné. Hlavní výhoda je spíše v jednoduchosti nastavení sítě.

Nastavení mikrotiku, aby vytvářel ADSL spojení.
/interface pppoe-client add name=ADSL interface=01_Vnejsi service-name=br_8_48 user=O2 password=O2 disabled=no dial-on-demand=yes add-default-route=yes use-peer-dns=yes

Měl jsem problém se zobrazováním některých stránek. Nakonec jsem zjistil, že je problém v nastavení mikrotiku. Je třeba mít v ppp profilu nastaveno change tcp mss.
/ppp profile set default change-tcp-mss=yes

Přidání DHCP klienta.
Nastavil jsem default route distance, protože je to wifi a já chci upřednostnit ADSL
/ip dhcp-client add interface=05_Klient default-route-distance=10 disabled=no

Nejdříve si vytvořím pool - rozsah přidělovaných adres.
/ip pool add name=Vnitrni ranges=192.168.0.11-192.168.0.31

Nastavím síť.
/ip dhcp-server network add address=192.168.0.0/24 gateway=192.168.0.1 netmask=24 dns-server=192.168.0.1

Vytvořím a spustím DHCP server.
/ip dhcp-server add interface=Vnitrni address-pool=Vnitrni name=Vnitrni lease-time=8h disabled=no

Nastavení statického záznamu.
/ip dhcp-server lease add address=192.168.0.31 disabled=no mac-address=00:15:AF:CF:6F:3C server=Vnitrni