Artykul

Mikrotik - RouterOS, firewall, VPN, QoS, routing, SDN

Routery Mikrotik to zaawansowane urządzenia sieciowe, które dzięki systemowi operacyjnemu RouterOS oferują szerokie możliwości konfiguracji i dostosowania do różnych scenariuszy sieciowych. Niezależnie, czy budujesz sieć domową, czy konfigurowujesz skomplikowa

30.11.2024 5 min czytania import
Administracja siecia i konfiguracja routera

Routery Mikrotik to zaawansowane urządzenia sieciowe, które dzięki systemowi operacyjnemu RouterOS oferują szerokie możliwości konfiguracji i dostosowania do różnych scenariuszy sieciowych. Niezależnie, czy budujesz sieć domową, czy konfigurowujesz skomplikowaną infrastrukturę korporacyjną, Mikrotik pozwala na pełną kontrolę nad każdym aspektem sieci.

W tym artykule przybliżymy Ci podstawowe funkcje Mikrotików, pokażemy, jak skonfigurować kluczowe elementy oraz wskażemy użyteczne wskazówki, które mogą pomóc w codziennej administracji.

Dlaczego warto wybrać Mikrotik?

  • Wszechstronność: RouterOS wspiera m.in. routing, NAT, VPN, firewall, QoS, i wiele innych funkcji.
  • Elastyczność: Możesz skonfigurować urządzenie za pomocą interfejsu graficznego (Winbox, WebFig), CLI (terminal) lub API.
  • Cena: Mikrotiki są znacznie tańsze od urządzeń o podobnych możliwościach konkurencji, takich jak Cisco czy Juniper.
  • Rozbudowana społeczność: Mnóstwo dokumentacji, forów i gotowych przykładów konfiguracji.

Podstawowe funkcje Mikrotików

1. Routing i NAT

Routery Mikrotik wspierają dynamiczne protokoły routingu, takie jak OSPF, BGP, czy RIP. Dzięki temu można ich używać w zaawansowanych topologiach sieciowych.

Przykład konfiguracji NAT (Source NAT):

/ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade

Powyższa komenda umożliwia dostęp do Internetu dla urządzeń w lokalnej sieci, maskując ich adresy IP.

2. Firewall

Firewall w Mikrotiku jest kluczowym elementem bezpieczeństwa. Możesz definiować reguły filtrowania ruchu, aby blokować niepożądane połączenia lub ograniczać dostęp do określonych zasobów.

Przykład blokowania dostępu do określonego adresu IP:

/ip firewall filter add chain=forward src-address=192.168.1.0/24 dst-address=8.8.8.8 action=drop

3. VPN

1. Przygotowanie infrastruktury

Załóżmy, że mamy dwie lokalizacje:

  • Lokalizacja A (Mikrotik_A): WAN: 192.168.100.1/24
  • LAN: 10.10.10.0/24
  • Lokalizacja B (Mikrotik_B): WAN: 192.168.200.1/24
  • LAN: 10.20.20.0/24

Chcemy zestawić tunel IPsec pomiędzy tymi lokalizacjami, aby urządzenia w sieciach LAN mogły się komunikować.

2. Kroki konfiguracji

Krok 1: Konfiguracja Proposal

Proposal określa algorytmy szyfrowania i uwierzytelniania dla tunelu IPsec.

Na obu routerach dodajemy taki sam Proposal:

/ip ipsec proposal add name=CM_PROPOSAL auth-algorithms=sha256 enc-algorithms=aes-256-cbc pfs-group=modp2048

Wyjaśnienie parametrów:

  • auth-algorithms=sha256 – Algorytm uwierzytelniania pakietów (np. SHA256).
  • enc-algorithms=aes-256-cbc – Algorytm szyfrowania danych (np. AES-256).
  • pfs-group=modp2048 – Perfect Forward Secrecy (grupa DH – im większa liczba, tym bezpieczniej, ale wolniej).

Krok 2: Konfiguracja Peer

Peer definiuje, z kim nawiązywane jest połączenie.

Na Mikrotik_A:

/ip ipsec peer add address=192.168.200.1/32 exchange-mode=ike2 secret=MojeSuperHaslo profile=CM_PROFILE

Na Mikrotik_B:

/ip ipsec peer add address=192.168.100.1/32 exchange-mode=ike2 secret=MojeSuperHaslo profile=CM_PROFILE

Wyjaśnienie parametrów:

  • address=... – Adres publiczny drugiego routera.
  • exchange-mode=ike2 – Wersja IKE (IKEv2 jest bardziej nowoczesna i bezpieczna).
  • secret=... – Wspólne hasło PSK (Pre-Shared Key).
  • profile=CM_PROFILE – Odniesienie do profilu IPsec, który skonfigurujemy za chwilę.

Krok 3: Konfiguracja Profile

Profil definiuje szczegóły dotyczące polityki IKE.

Na obu routerach:

/ip ipsec profile add name=CM_PROFILE hash-algorithm=sha256 encryption-algorithm=aes-256 dh-group=modp2048 lifetime=1h

Wyjaśnienie parametrów:

  • hash-algorithm=sha256 – Algorytm hashujący dla IKE.
  • encryption-algorithm=aes-256 – Algorytm szyfrowania dla IKE.
  • dh-group=modp2048 – Grupa DH używana w negocjacjach kluczy.
  • lifetime=1h – Czas ważności klucza szyfrującego (1 godzina).

Krok 4: Konfiguracja Identities

Identity określa metodę uwierzytelniania.

Na obu routerach:

/ip ipsec identity add peer=CM_PEER auth-method=pre-shared-key secret=MojeSuperHaslo

Wyjaśnienie parametrów:

  • peer=CM_PEER – Oznacza nazwę skonfigurowanego peer’a.
  • auth-method=pre-shared-key – Metoda uwierzytelniania (tu: PSK).
  • secret=... – Klucz PSK taki sam jak w Peer.

Krok 5: Konfiguracja Policy

Policy definiuje, które sieci są tunelowane przez IPsec.

Na Mikrotik_A:

/ip ipsec policy

add src-address=10.10.10.0/24 dst-address=10.20.20.0/24 sa-dst-address=192.168.200.1 sa-src-address=192.168.100.1 tunnel=yes proposal=CM_PROPOSAL

Na Mikrotik_B:

/ip ipsec policyadd src-address=10.20.20.0/24 dst-address=10.10.10.0/24 sa-dst-address=192.168.100.1 sa-src-address=192.168.200.1 tunnel=yes proposal=CM_PROPOSAL

Wyjaśnienie parametrów:

  • src-address=... – Lokalna sieć LAN.
  • dst-address=... – Zdalna sieć LAN.
  • sa-dst-address=... – Publiczny adres IP zdalnego routera.
  • sa-src-address=... – Lokalny adres publiczny.
  • tunnel=yes – Włączenie trybu tunelowego.
  • proposal=CM_PROPOSAL – Odniesienie do propozycji IPsec.

Krok 6: Reguły firewall

Dodaj reguły, które pozwolą na ruch IPsec.

Na obu routerach:

/ip firewall filter add chain=input protocol=udp port=500,4500 action=accept comment="Allow IKE traffic" add chain=input protocol=ipsec-esp action=accept comment="Allow IPsec ESP"

3. Testowanie połączenia

  • Na obu routerach sprawdź status połączenia: /ip ipsec active-peers
  • Upewnij się, że polityki są aktywne: /ip ipsec installed-sa

Jeśli tunel jest poprawnie skonfigurowany, urządzenia z sieci 10.10.10.0/24 powinny móc komunikować się z urządzeniami w sieci 10.20.20.0/24.

4. Quality of Service (QoS)

QoS pozwala zarządzać priorytetami ruchu w sieci. Możesz ograniczać przepustowość lub przydzielać wyższy priorytet krytycznym usługom, takim jak VoIP czy strumieniowanie wideo.

Przykład prostego ograniczenia przepustowości:

/queue simple add max-limit=10M/10M target=192.168.1.100/32

Krok po kroku: Konfiguracja sieci domowej

  • Podłącz Mikrotika do sieci – port ether1 ustaw jako WAN, a pozostałe jako LAN.
  • Skonfiguruj adres IP dla WAN: /ip address add address=192.168.0.2/24 interface=ether1
  • Ustaw DHCP dla LAN: /ip pool add name=dhcp_pool ranges=192.168.1.2-192.168.1.254 /ip dhcp-server add address-pool=dhcp_pool interface=bridge1 name=dhcp1 /ip dhcp-server network add address=192.168.1.0/24 gateway=192.168.1.1
  • Dodaj NAT dla Internetu: /ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade

Wskazówki dla administratora

  • Backup konfiguracji: Regularnie twórz kopie zapasowe: /export file=myconfig
  • Monitorowanie ruchu: Włącz Torch lub Traffic Flow, aby analizować przepływ danych.
  • Aktualizacje: RouterOS regularnie otrzymuje aktualizacje. Sprawdź ich dostępność: /system package update check-for-updates

Mikrotiki to urządzenia, które przy odpowiedniej wiedzy mogą zastąpić znacznie droższe rozwiązania. Rozpocznij od podstaw, testuj różne scenariusze w bezpiecznym środowisku, np. GNS3, i rozwijaj swoje umiejętności. Jeśli chcesz zgłębić konkretne tematy, daj znać – pomogę Ci!

WordPress import
Wroc do bloga