POLIGON-SRV – Projektowanie stron www i usługi IT

Routery Mikrotik to zaawansowane urządzenia sieciowe, które dzięki systemowi operacyjnemu RouterOS oferują szerokie możliwości konfiguracji i dostosowania do różnych scenariuszy sieciowych. Niezależnie, czy budujesz sieć domową, czy konfigurowujesz skomplikowaną infrastrukturę korporacyjną, Mikrotik pozwala na pełną kontrolę nad każdym aspektem sieci.

W tym artykule przybliżymy Ci podstawowe funkcje Mikrotików, pokażemy, jak skonfigurować kluczowe elementy oraz wskażemy użyteczne wskazówki, które mogą pomóc w codziennej administracji.


Dlaczego warto wybrać Mikrotik?

  1. Wszechstronność: RouterOS wspiera m.in. routing, NAT, VPN, firewall, QoS, i wiele innych funkcji.
  2. Elastyczność: Możesz skonfigurować urządzenie za pomocą interfejsu graficznego (Winbox, WebFig), CLI (terminal) lub API.
  3. Cena: Mikrotiki są znacznie tańsze od urządzeń o podobnych możliwościach konkurencji, takich jak Cisco czy Juniper.
  4. Rozbudowana społeczność: Mnóstwo dokumentacji, forów i gotowych przykładów konfiguracji.

Podstawowe funkcje Mikrotików

1. Routing i NAT

Routery Mikrotik wspierają dynamiczne protokoły routingu, takie jak OSPF, BGP, czy RIP. Dzięki temu można ich używać w zaawansowanych topologiach sieciowych.

Przykład konfiguracji NAT (Source NAT):

 
/ip firewall nat
add chain=srcnat out-interface=ether1 action=masquerade

Powyższa komenda umożliwia dostęp do Internetu dla urządzeń w lokalnej sieci, maskując ich adresy IP.


2. Firewall

Firewall w Mikrotiku jest kluczowym elementem bezpieczeństwa. Możesz definiować reguły filtrowania ruchu, aby blokować niepożądane połączenia lub ograniczać dostęp do określonych zasobów.

Przykład blokowania dostępu do określonego adresu IP:

 
/ip firewall filter
add chain=forward src-address=192.168.1.0/24 dst-address=8.8.8.8 action=drop

3. VPN

1. Przygotowanie infrastruktury

Załóżmy, że mamy dwie lokalizacje:

  • Lokalizacja A (Mikrotik_A):

    • WAN: 192.168.100.1/24
    • LAN: 10.10.10.0/24
  • Lokalizacja B (Mikrotik_B):

    • WAN: 192.168.200.1/24
    • LAN: 10.20.20.0/24

Chcemy zestawić tunel IPsec pomiędzy tymi lokalizacjami, aby urządzenia w sieciach LAN mogły się komunikować.


2. Kroki konfiguracji

Krok 1: Konfiguracja Proposal

Proposal określa algorytmy szyfrowania i uwierzytelniania dla tunelu IPsec.

Na obu routerach dodajemy taki sam Proposal:

 
/ip ipsec proposal
add name=CM_PROPOSAL auth-algorithms=sha256 enc-algorithms=aes-256-cbc pfs-group=modp2048


Wyjaśnienie parametrów:

  • auth-algorithms=sha256 – Algorytm uwierzytelniania pakietów (np. SHA256).
  • enc-algorithms=aes-256-cbc – Algorytm szyfrowania danych (np. AES-256).
  • pfs-group=modp2048 – Perfect Forward Secrecy (grupa DH – im większa liczba, tym bezpieczniej, ale wolniej).

Krok 2: Konfiguracja Peer

Peer definiuje, z kim nawiązywane jest połączenie.

Na Mikrotik_A:

 
/ip ipsec peer
add address=192.168.200.1/32 exchange-mode=ike2 secret=MojeSuperHaslo profile=CM_PROFILE

Na Mikrotik_B:

 
/ip ipsec peer
add address=192.168.100.1/32 exchange-mode=ike2 secret=MojeSuperHaslo profile=CM_PROFILE


Wyjaśnienie parametrów:

  • address=... – Adres publiczny drugiego routera.
  • exchange-mode=ike2 – Wersja IKE (IKEv2 jest bardziej nowoczesna i bezpieczna).
  • secret=... – Wspólne hasło PSK (Pre-Shared Key).
  • profile=CM_PROFILE – Odniesienie do profilu IPsec, który skonfigurujemy za chwilę.

Krok 3: Konfiguracja Profile

Profil definiuje szczegóły dotyczące polityki IKE.

Na obu routerach:

 
/ip ipsec profile
add name=CM_PROFILE hash-algorithm=sha256 encryption-algorithm=aes-256 dh-group=modp2048 lifetime=1h


Wyjaśnienie parametrów:

  • hash-algorithm=sha256 – Algorytm hashujący dla IKE.
  • encryption-algorithm=aes-256 – Algorytm szyfrowania dla IKE.
  • dh-group=modp2048 – Grupa DH używana w negocjacjach kluczy.
  • lifetime=1h – Czas ważności klucza szyfrującego (1 godzina).

Krok 4: Konfiguracja Identities

Identity określa metodę uwierzytelniania.

Na obu routerach:

 
/ip ipsec identity
add peer=CM_PEER auth-method=pre-shared-key secret=MojeSuperHaslo


Wyjaśnienie parametrów:

  • peer=CM_PEER – Oznacza nazwę skonfigurowanego peer’a.
  • auth-method=pre-shared-key – Metoda uwierzytelniania (tu: PSK).
  • secret=... – Klucz PSK taki sam jak w Peer.

Krok 5: Konfiguracja Policy

Policy definiuje, które sieci są tunelowane przez IPsec.

Na Mikrotik_A:

/ip ipsec policy
add src-address=10.10.10.0/24 dst-address=10.20.20.0/24 sa-dst-address=192.168.200.1 sa-src-address=192.168.100.1 tunnel=yes proposal=CM_PROPOSAL

Na Mikrotik_B:

/ip ipsec policy
add src-address=10.20.20.0/24 dst-address=10.10.10.0/24 sa-dst-address=192.168.100.1 sa-src-address=192.168.200.1 tunnel=yes proposal=CM_PROPOSAL

Wyjaśnienie parametrów:

  • src-address=... – Lokalna sieć LAN.
  • dst-address=... – Zdalna sieć LAN.
  • sa-dst-address=... – Publiczny adres IP zdalnego routera.
  • sa-src-address=... – Lokalny adres publiczny.
  • tunnel=yes – Włączenie trybu tunelowego.
  • proposal=CM_PROPOSAL – Odniesienie do propozycji IPsec.

Krok 6: Reguły firewall

Dodaj reguły, które pozwolą na ruch IPsec.

Na obu routerach:

 
/ip firewall filter
add chain=input protocol=udp port=500,4500 action=accept comment="Allow IKE traffic"
add chain=input protocol=ipsec-esp action=accept comment="Allow IPsec ESP"


3. Testowanie połączenia

  • Na obu routerach sprawdź status połączenia:
     
    /ip ipsec active-peers
  • Upewnij się, że polityki są aktywne:
     
    /ip ipsec installed-sa


Jeśli tunel jest poprawnie skonfigurowany, urządzenia z sieci 10.10.10.0/24 powinny móc komunikować się z urządzeniami w sieci 10.20.20.0/24.


4. Quality of Service (QoS)

QoS pozwala zarządzać priorytetami ruchu w sieci. Możesz ograniczać przepustowość lub przydzielać wyższy priorytet krytycznym usługom, takim jak VoIP czy strumieniowanie wideo.

Przykład prostego ograniczenia przepustowości:

 
/queue simple
add max-limit=10M/10M target=192.168.1.100/32


Krok po kroku: Konfiguracja sieci domowej

  1. Podłącz Mikrotika do sieci – port ether1 ustaw jako WAN, a pozostałe jako LAN.
  2. Skonfiguruj adres IP dla WAN:
     
    /ip address
    add address=192.168.0.2/24 interface=ether1

  3. Ustaw DHCP dla LAN:
     
    /ip pool
    add name=dhcp_pool ranges=192.168.1.2-192.168.1.254
    /ip dhcp-server
    add address-pool=dhcp_pool interface=bridge1 name=dhcp1
    /ip dhcp-server network
    add address=192.168.1.0/24 gateway=192.168.1.1

  4. Dodaj NAT dla Internetu:
     
    /ip firewall nat
    add chain=srcnat out-interface=ether1 action=masquerade


Wskazówki dla administratora

  • Backup konfiguracji: Regularnie twórz kopie zapasowe:
     
    /export file=myconfig
  • Monitorowanie ruchu: Włącz Torch lub Traffic Flow, aby analizować przepływ danych.
  • Aktualizacje: RouterOS regularnie otrzymuje aktualizacje. Sprawdź ich dostępność:
     
    /system package update
    check-for-updates


Mikrotiki to urządzenia, które przy odpowiedniej wiedzy mogą zastąpić znacznie droższe rozwiązania. Rozpocznij od podstaw, testuj różne scenariusze w bezpiecznym środowisku, np. GNS3, i rozwijaj swoje umiejętności. Jeśli chcesz zgłębić konkretne tematy, daj znać – pomogę Ci!