Pokazali vam bomo, kako lahko v parih korakih enostavno skonfiguriramo Mikrotik usmerjevalnik za dostop do interneta.
Koraki bodo naslednji:
- Dostop do usmerjevalnika Mikrotik
- Osnovne nastavitve
- Nastavitve WAN
- Nastavitve LAN
- Nastavitve Firewall
Shema omrežja na koncu:
Spremenjene nastavitve bodo na slikah obarvane z modro.
1. Dostop do usmerjevalnika Mikrotik
Večino nastavitev bomo nastavljali v namenskem programu za konfiguracijo Mikrotik RouterOS – Winbox.
Najdete ga na naslovu http://www.mikrotik.com/download/winbox.exe
Lahko ga tudi snamete direktno iz Mikrotik Usmerjevalnika tako, da se z internetnim brskalnikom povežete nanj http://192.168.88.1/
Na usmerjevalnik se lahko povežete na dva načina:
- Preko IP naslova:
V tem primeru morate imeti na računalniku nastavljen IP naslov iz istega omrežja kot router – Privzet naslov je 192.168.88.1.
Nato zaženete Winbox, izberete … in če najde vaš router, kliknete na IP naslov in Connect.
- Drugi način pa je preko Mac naslova. V tem primeru NE potrebujemo na računalniku IP naslov iz istega omrežja, potrebujemo le OSI Layer 2 povezavo do routerja. Ta način je zelo uporaben in dokaj edinstven za usmerjevalnike Mikrotik.Tokrat namesto na IP naslova le kliknete MAC Address, lahko pa ga tudi sami vpišete v primeru ga ne najde avtomatsko.
Privzeto uporabniško ime za povezavo na router je admin in brez gesla.
2. Osnovne nastavitve:
Na začetku so priporočljive nastavitve “osnovne higiene”.
- Nastavimo administrativno geslo, saj ne želimo, da lahko kdorkoli dostopa do routerja.
System -> Users -> Users -> admin
- Nastavimo avtomatsko posodabljanje časa s pomočjo NTP strežnika (uporabili bomo kar od Arnesa), saj točen čas pride še kako prav pri prebiranju logov in odpravljanju težav:
System -> Clock -> Manual Time Zone
System -> SNTP client
- Spremenimo ime usmerjevalnika (hostname):
System -> identity
3. Nastavitve WAN
Tu bomo nastavili povezavo z internetom.
Najprej ustrezno poimenujemo vmesnik (interface,port), ki je priključen v smeri proti internetu (na modem, switch,…). To nam bo pomagalo v nadaljne, za lažjo prepoznavo WAN vmesnika.
Interface -> Interface -> ether1 -> General
Opisali bomo tri različne načine dostopa:
- Dostop preko protokola PPPoE:
Interface -> Interface -> + -> PPPoE Client
Napišemo ime in izberemo interface ether1 – WAN.
PPPoE Client -> General
V naslednjem koraku vnesemo uporabniške podatke, ki smo jih dobili od internetnega ponudnika in izberemo peer DNS (to pomeni da želimo dobiti DNS strežnike od ISP).
PPPoE Client -> Dial Out
Če se je povezava uspešno vzpostavila, bi morali že dobiti Javni IP.
IP -> Adressess
- Dostop z DHCP (dinamični IP):
Na WAN vmesniku vključimo DHCP klient
IP -> DHCP Client -> DHCP
Sedaj bi se moral kot pri prejšnjem načinu, pokazati nov dinamični IP naslov (IP->Addresses).
- Dostop s statičnim IP naslovom:
IP -> Adresses -> +
Ne pri pisanju IP naslova ne smemo na koncu napisati še maske omrežja (v tem primeru /22). Iz maske potem tudi sam pridobi Network naslov, zato nam ga ni potrebno pisati.
V tem primeru moramo dodati tudi privzeto pot (default route):
IP -> Routes -> Routes -> +
In na koncu še DNS strežnike:
IP -> DNS
4. Nastavitve LAN
Sedaj bomo nastavili lokalno omrežje, kjer bomo za dodeljevanje IP naslovov uporabili protokol DHCP. Ustvarili bomo tudi bridge, s katerim bomo več portov skupaj vključili v lokalno omrežje.
- Dodamo nov Bridge:
Bridge -> Bridge -> + -> General
Nov Bridge poimenujemo LAN. Priporočljivo je tudi, da vključimo protokol RSTP (Rapid Spanning Tree Protocol), ki nas bo ščitil pred zankami v omrežju.
Razdelek STP
- Nato dodamo IP na ta Bridge, ki bo tudi gateway za lokalno mrežo:
IP -> Adresses
V večini primerov imajo Mikrotik usmerjevalniki v default konfiguraciji že dodan zgornji IP naslov, v tem primeru le spremenimo interface v LAN.
- Omogočimo DHCP strežnik za LAN omrežje. V ta namen bomo uporabili kar vgrajeni Wizard, kjer v večini samo poklikamo next.
IP -> DHCP Server -> DHCP -> DHCP Setup
Izberemo LAN za DHCP Server Interface in izberemo Next in izpolnimo še:
DHCP Address Space: 192.168.88.0/24 (to predlaga že sam, na podlagi IP naslova, ki smo ga določili v prejšnjem koraku.)
Gateway For DHCP Network: 192.168.88.1
Addresses to Give Out: 192.168.88.10-192.168.88.254 (določimo katere IP naslove lahko podeljuje)
DNS Servers: Tukaj IP naslove DNS strežnikov ali LAN IP tega routerja
Lease Time: 3d 00:00:00
Če ste kot DNS strežnik vnesli IP routerja, potem morate še dovoliti, da lahko klienti sprašujejo lokalno:
IP -> DNS
Vnesete ustrezne DNS strežnike (če jih niste pridobili že dinamično preko PPPoE ali DHCP Client) in izberete Allow Remote Requests.
5. Nastavitve Firewall
Tukaj bomo nastavili NAT pravilo, ki bo omogočalo translacijo med javnim IP naslovom in lokalnimi.
IP -> Firewall -> NAT -> + -> General
Tukaj pod Src. Address vnesemo omrežje LAN in izberemo Out. Interface ether1 – WAN, da bo ta translacija delovala le v smeri proti internetu in ne v ostalo.
Nato še pod Action izberemo Action=Masquerade, kar pomeni da bo prevedel v IP, ki se nahaja na izhodnem vmesniku, v našem primeru IP, ki je na ether1-WAN.
New NAT Rule -> Action
Na koncu je zelo pomembno, da naredimo še Firewall, ki bo ščitil naš router pred zunanjimi vdori!
O tem pa kaj več drugič…