Jak nastavit mikrotik

Z Czela.net
Přejít na: navigace, hledání

Jak nastavit Mikrotik na PC či Routerboardu pro czelu i domaci potrebu.

Nabootujeme Mikrotik a pokud nam xkrat po sobe pri staru nezapipa (znacici tovarni nastaveni) tak ho idealne vyresetujeme - Najit tlacitko/piny, vypnout napajeni, zmackout, zapojit napajeni a cca 10s podrzet dokud nezapipa.

Pro pripojeni je vhodne pouzit Winbox (da se stahnout z kazdeho zarizeni), pripadne z Mikrotik.com.
Hardcore jedinci urcite nepohrdnou seriovou konzoli - 115200bps,8,N,1

Ovladani pres konzoli je naprosto specificke a winbox dela pouze grafickou nadstavbu ktera ne vzdy umoznuje plne nastaveni.

/interface ethernet set [ finf default-name-ether3 ] master-port=ether2 set [ find default-name=ether4 ] master-port=ether2 set [ find default-name=ether5 ] master-port=ether2

Nektera zarizeni maji switch chip, zde je jeho nejjednodussi pouziti. Proste rikame ze port 3,4 a 5 se ridi nastaveni na portu 2. Provoz mezi vyjmenovanymy porty je pak relativne nerizeny a rychlost nam nedegraduje CPU/sbernice.

/ip pool add name=pool1 ranges=192.168.88.100-192.168.88.200

Pool = bazen adres ze kterych lze brat pro ruzne ucely. Tenhle zrovna pouzujem nasledne pro DHCP server.

/ip dhcp-server add address-pool=pool1 authoritative=yes disabled=no interface=ether2 name=server1

Aby jsme nemuseli na vsech zarizenich zadavat IPcka a zbytek rucne, vyuzijem DHCP server. Bude nam naslouchat na ether2, bude autoritativni (tedy ten co tu veli), rozsah pro neznama zarizeni je pool1 a jmenuje se server1. Standardne je tam autoritativni s prodlevou 2s protoze autori ocekavaji ze jsme jantari a zapojime to spatne do zive site, cimz nektere pocitace muzem zblbnout. Tady bohuzel plati ze se ptame vsech a rychlejsi odpoved berem jako platnou. Cas zapujcky je standardnich 10m, pokud chceme jiny pouzijem parametr lease-time=, rozu mi to formatu dd hh:mm:ss, ale i treba 1h.

/ip address add address=192.168.88.1/24 interface=ether2 network=192.168.88.0

Adresu/y vnitrni site od nikud nedostanem, proto ji musime mit rucne nastavenu. Muzeme si stejnym stylem nastavit i vnejsi a nebo vyuzijem dhcp-clienta.

/ip dhcp-client add add-default-route=yes default-route-distance=0 interface=ether1 use-peer-dns=yes use-peer-ntp=yes

Protoze jsme tu IP/masku atd. nevedeli, tak si to nechame pridelit. Zuzitkujem navic vsechno cemu rozumime - NTP pro presny cas, DNS pro preklad adres, branu pro smerovani provozu i s metrikou.

/ip dhcp-server network add address=192.168.88.0/24 dns-server=192.168.88.1 gateway=192.168.88.1 netmask=24 ntp-server=10.93.0.2,10.93.0.1

Aby DHCP-Server vedel co ze to prideluje, tak mu to musime nadefinovat. Tedy adresu site, DNS server(y), branu do netu, masku a v mem pripade i NTP servery. Zarizeni ktera tento rozsireny parametr podporuji si samy seridi cas a odpada rucni stelovani.

/ip dns set allow-remote-requests=yes servers=10.93.0.1,10.93.0.2

Tak timhle reknem odkud ze si to ma brat DNS zaznamy pro sve sluzby a allow-remote-requests umozni i ostatnim sdilet DNS cache. Bacha na to, je potreba si ohlidat ve firewallu kdo vsechno smi k zaznamum pristupovat. Je nepekne mit router vyuzivany pro DDOS utoky a jeste navic vytizeny na 100%.

/ip dns static add address=192.168.88.1 name=router

Prednastaveny DNS zaznam. Clovek si pak nemusi pamatovat jakou ze to ma jeho router vnitrni IP. Da se to aplikovat na kamery "add address=10.93.88.2 name=kamera" a dalsi.

/ip firewall nat add action=masquerade chain=srcnat out-interface=ether1

Klasicke NATovaci pravidlo kdy veskeremu odchozimu provozu na ether1 je zmenena zdrojova IP za tu wanovou.

/ip route add check-gateway=ping distance=1 gateway=10.93.xxx.yyy

Pri domacim pouziti nepouzivame OSPF a bud tento zaznam dostaneme z DHCP, nebo si ho staticky nadefinujem sami. V mem pripade jeste s parametrem check-gateway ktery pomaha setrit cas pri hledani problemu.

/ip upnp set enabled=yes show-dummy-rule=no /ip upnp interfaces add interface=ether2 type=internal add interface=ether1 type=external

UPnP neboli automaticke mapovani portu pro NAT. Uzitecne pokud ma clovek verejnou.

/system clock set time-zone-autodetect=no time-zone-name=Europe/Prague

Rikame ze jsme v Evrope - Praze aby jsme meli spravny casovy posun a ohlida to prechod mezi SEC a SELC.

/system ntp client set enabled=yes primary-ntp=10.93.0.2 secondary-ntp=10.93.0.1

Protoze mikrotiky nemaji narozdil od pocitacu baterku pro udrzeni casu, je potreba si o cas co nejrychleji pozadat NTP servery. V nasem pripade jsou to stejne stroje jako DNSka, jen s tim rozdilem ze v opacnem poradi, protoze 0.2 je fyzicky stroj ktery bude mit mensi rozptyl nez virtual. Muzeme pouzivat i jine verejne servery, ale kdyz je zacne pouzivat cela sit v rychlem intervalu to pro ne bude DDOS utok. My si nase servery kdyz tak osetrime/posilime.

Osobní nástroje
Jmenné prostory
Varianty
Akce
Navigace
Nástroje