Routery Mikrotik to zaawansowane urządzenia sieciowe, które dzięki systemowi operacyjnemu RouterOS oferują szerokie możliwości konfiguracji i dostosowania do różnych scenariuszy sieciowych. Niezależnie, czy budujesz sieć domową, czy konfigurowujesz skomplikowaną infrastrukturę korporacyjną, Mikrotik pozwala na pełną kontrolę nad każdym aspektem sieci.
W tym artykule przybliżymy Ci podstawowe funkcje Mikrotików, pokażemy, jak skonfigurować kluczowe elementy oraz wskażemy użyteczne wskazówki, które mogą pomóc w codziennej administracji.
Dlaczego warto wybrać Mikrotik?
- Wszechstronność: RouterOS wspiera m.in. routing, NAT, VPN, firewall, QoS, i wiele innych funkcji.
- Elastyczność: Możesz skonfigurować urządzenie za pomocą interfejsu graficznego (Winbox, WebFig), CLI (terminal) lub API.
- Cena: Mikrotiki są znacznie tańsze od urządzeń o podobnych możliwościach konkurencji, takich jak Cisco czy Juniper.
- Rozbudowana społeczność: Mnóstwo dokumentacji, forów i gotowych przykładów konfiguracji.
Podstawowe funkcje Mikrotików
1. Routing i NAT
Routery Mikrotik wspierają dynamiczne protokoły routingu, takie jak OSPF, BGP, czy RIP. Dzięki temu można ich używać w zaawansowanych topologiach sieciowych.
Przykład konfiguracji NAT (Source NAT):
/ip firewall nat
add chain=srcnat out-interface=ether1 action=masquerade
Powyższa komenda umożliwia dostęp do Internetu dla urządzeń w lokalnej sieci, maskując ich adresy IP.
2. Firewall
Firewall w Mikrotiku jest kluczowym elementem bezpieczeństwa. Możesz definiować reguły filtrowania ruchu, aby blokować niepożądane połączenia lub ograniczać dostęp do określonych zasobów.
Przykład blokowania dostępu do określonego adresu IP:
/ip firewall filter
add chain=forward src-address=192.168.1.0/24 dst-address=8.8.8.8 action=drop
3. VPN
1. Przygotowanie infrastruktury
Załóżmy, że mamy dwie lokalizacje:
Lokalizacja A (Mikrotik_A):
- WAN: 192.168.100.1/24
- LAN: 10.10.10.0/24
Lokalizacja B (Mikrotik_B):
- WAN: 192.168.200.1/24
- LAN: 10.20.20.0/24
Chcemy zestawić tunel IPsec pomiędzy tymi lokalizacjami, aby urządzenia w sieciach LAN mogły się komunikować.
2. Kroki konfiguracji
Krok 1: Konfiguracja Proposal
Proposal określa algorytmy szyfrowania i uwierzytelniania dla tunelu IPsec.
Na obu routerach dodajemy taki sam Proposal:
/ip ipsec proposal
add name=CM_PROPOSAL auth-algorithms=sha256 enc-algorithms=aes-256-cbc pfs-group=modp2048
Wyjaśnienie parametrów:
auth-algorithms=sha256
– Algorytm uwierzytelniania pakietów (np. SHA256).enc-algorithms=aes-256-cbc
– Algorytm szyfrowania danych (np. AES-256).pfs-group=modp2048
– Perfect Forward Secrecy (grupa DH – im większa liczba, tym bezpieczniej, ale wolniej).
Krok 2: Konfiguracja Peer
Peer definiuje, z kim nawiązywane jest połączenie.
Na Mikrotik_A:
/ip ipsec peer
add address=192.168.200.1/32 exchange-mode=ike2 secret=MojeSuperHaslo profile=CM_PROFILE
Na Mikrotik_B:
/ip ipsec peer
add address=192.168.100.1/32 exchange-mode=ike2 secret=MojeSuperHaslo profile=CM_PROFILE
Wyjaśnienie parametrów:
address=...
– Adres publiczny drugiego routera.exchange-mode=ike2
– Wersja IKE (IKEv2 jest bardziej nowoczesna i bezpieczna).secret=...
– Wspólne hasło PSK (Pre-Shared Key).profile=CM_PROFILE
– Odniesienie do profilu IPsec, który skonfigurujemy za chwilę.
Krok 3: Konfiguracja Profile
Profil definiuje szczegóły dotyczące polityki IKE.
Na obu routerach:
/ip ipsec profile
add name=CM_PROFILE hash-algorithm=sha256 encryption-algorithm=aes-256 dh-group=modp2048 lifetime=1h
Wyjaśnienie parametrów:
hash-algorithm=sha256
– Algorytm hashujący dla IKE.encryption-algorithm=aes-256
– Algorytm szyfrowania dla IKE.dh-group=modp2048
– Grupa DH używana w negocjacjach kluczy.lifetime=1h
– Czas ważności klucza szyfrującego (1 godzina).
Krok 4: Konfiguracja Identities
Identity określa metodę uwierzytelniania.
Na obu routerach:
/ip ipsec identity
add peer=CM_PEER auth-method=pre-shared-key secret=MojeSuperHaslo
Wyjaśnienie parametrów:
peer=CM_PEER
– Oznacza nazwę skonfigurowanego peer’a.auth-method=pre-shared-key
– Metoda uwierzytelniania (tu: PSK).secret=...
– Klucz PSK taki sam jak w Peer.
Krok 5: Konfiguracja Policy
Policy definiuje, które sieci są tunelowane przez IPsec.
Na Mikrotik_A:
add src-address=10.10.10.0/24 dst-address=10.20.20.0/24 sa-dst-address=192.168.200.1 sa-src-address=192.168.100.1 tunnel=yes proposal=CM_PROPOSAL
Na Mikrotik_B:
add src-address=10.20.20.0/24 dst-address=10.10.10.0/24 sa-dst-address=192.168.100.1 sa-src-address=192.168.200.1 tunnel=yes proposal=CM_PROPOSAL
Wyjaśnienie parametrów:
src-address=...
– Lokalna sieć LAN.dst-address=...
– Zdalna sieć LAN.sa-dst-address=...
– Publiczny adres IP zdalnego routera.sa-src-address=...
– Lokalny adres publiczny.tunnel=yes
– Włączenie trybu tunelowego.proposal=CM_PROPOSAL
– Odniesienie do propozycji IPsec.
Krok 6: Reguły firewall
Dodaj reguły, które pozwolą na ruch IPsec.
Na obu routerach:
/ip firewall filter
add chain=input protocol=udp port=500,4500 action=accept comment="Allow IKE traffic"
add chain=input protocol=ipsec-esp action=accept comment="Allow IPsec ESP"
3. Testowanie połączenia
- Na obu routerach sprawdź status połączenia:
/ip ipsec active-peers
- Upewnij się, że polityki są aktywne:
/ip ipsec installed-sa
Jeśli tunel jest poprawnie skonfigurowany, urządzenia z sieci 10.10.10.0/24 powinny móc komunikować się z urządzeniami w sieci 10.20.20.0/24.
4. Quality of Service (QoS)
QoS pozwala zarządzać priorytetami ruchu w sieci. Możesz ograniczać przepustowość lub przydzielać wyższy priorytet krytycznym usługom, takim jak VoIP czy strumieniowanie wideo.
Przykład prostego ograniczenia przepustowości:
/queue simple
add max-limit=10M/10M target=192.168.1.100/32
Krok po kroku: Konfiguracja sieci domowej
- Podłącz Mikrotika do sieci – port
ether1
ustaw jako WAN, a pozostałe jako LAN. - Skonfiguruj adres IP dla WAN:
/ip address
add address=192.168.0.2/24 interface=ether1 - Ustaw DHCP dla LAN:
/ip pool
add name=dhcp_pool ranges=192.168.1.2-192.168.1.254
/ip dhcp-server
add address-pool=dhcp_pool interface=bridge1 name=dhcp1
/ip dhcp-server network
add address=192.168.1.0/24 gateway=192.168.1.1 - Dodaj NAT dla Internetu:
/ip firewall nat
add chain=srcnat out-interface=ether1 action=masquerade
Wskazówki dla administratora
- Backup konfiguracji: Regularnie twórz kopie zapasowe:
/export file=myconfig
- Monitorowanie ruchu: Włącz
Torch
lubTraffic Flow
, aby analizować przepływ danych. - Aktualizacje: RouterOS regularnie otrzymuje aktualizacje. Sprawdź ich dostępność:
/system package update
check-for-updates
Mikrotiki to urządzenia, które przy odpowiedniej wiedzy mogą zastąpić znacznie droższe rozwiązania. Rozpocznij od podstaw, testuj różne scenariusze w bezpiecznym środowisku, np. GNS3, i rozwijaj swoje umiejętności. Jeśli chcesz zgłębić konkretne tematy, daj znać – pomogę Ci!