MikroTik jako SOHO router - 2 - vzdálený přístup

Protože si budeme více hrát s jednotlivými nastaveními, podíváme se nejprve, co rozhraní rozhraní umožňuje, abychom se co nejvíc vyvarovali chyb.

4. Safe mode - bezpečný režim

Vlevo nahoře (ve webovém rozhraní vlevo dole v menu) najdete tlačítko Safe mode
Při aktivním bezpečném režimu, jsou k dispozici tlačítka Undo a Redo. Pokud se vám něco nepodaří, budete se moci snadno vrátit.

5. Zálohování konfigurace

Konfiguraci si můžete kdykoliv zazálohovat na diskový prostor routeru, případně pak uložit na disk do PC.
Záloha i obnova se provádí na kartě Files.
Kliknutím na tlačítko Backup provedete zálohu konfigurace, která je označena datem a časem vytvoření. Máte pak k dispozici více záloh a ke kterékoliv se můžete vrátit. Pokud si takto vytvořenou zálohu rozkliknete, uvidíte tlačítko Restore, pomocí kterého můžete celou konfiguraci vrátit zpět. Po obnovení zálohy dojde k restartu routeru (tohle je jediné místo, na které jsem narazil, které restart potřebuje), budete muset čekat necelých 10s, než router naběhne. Zálohu je možné po rozkliknutí smazat tlačítkem Remove.

6. Vzdálený přístup k administraci a odpověď na ping

V základním stavu není vzdálený přístup povolen a ani si na náš router nepingneme. Změny provedeme na kartě IP / Firewall na záložce Filter rules. Tlačítkem + (případně Add new ve webovém rozhraní) přidáme nové pravidlo. Nová pravidla se uloží na konec, takže je prostě chytneme a přetáhneme nahoru před pravidla výchozí konfigurace (default configuration), která necháme na konci.

6.1. PING (zvnějšku zaslaný požadavek na ping)
Chain: input
Protokol: 1 (icmp)
Action: accept

6.2. Administrace z internetu ze všech adres pomocí internetového prohlížeče
Chain: input
Protocol: 6(tcp)
Dst.Port: 80
Action: accept

6.3. Administrace z internetu z konkrétní adresy pomocí internetového prohlížeče
Chain: input
Src.Address: 46.33.102.63
Protocol: 6(tcp)
Dst.Port: 80
Action: accept

6.4 Administrace z internetu pomocí Winbox
Pravidlo je stejné jako 6.2 nebo 6.3, pouze port se mění z 80 na 8291

Pravidel můžete mít libovolné množství, není nutné filtrovat jen podle konkrétní adresy, ale můžete filtrovat podle rozsahu adres apod.

7. Port forwarding - přístup z internetu na konkrétní počítač ve vnitřní síti

Scénář: potřebuju z internetu přistoupit pomocí Remote desktop na konkrétní počítač v lokální síti. Remote desktop používá TCP port 3389. Abych si síť trošku více chránil, budu z internetu přistupovat na port 13389. Různé vnější porty nám umožňují přistoupit na stejný port různých počítačů uvnitř sítě.

7.1 Rezervace IP adresy
Abychom mohli na konkrétní počítač přistupovat, budeme potřebovat pro něj rezervovat stálou IP adresu (DHCP server mu přidělí vždy jenu konkrétní adresu). Nejprve tedy provedeme rezervaci.
Na kartě IP / DHCP server na záložce Leases vidíme seznam zapůjčených adres. Najdeme v seznamu počítač, označíme jej (nebo rozklikneme) a stiskneme tlačítko Make static. Tím zajistíme, že počítač bude mít přidělenu vždy stejnou adresu.

7.2 Vytvoření pravidla pro port forwarding
Chci přesměrovat venkovní port 13389 na vnitřní port 3389 na konkrétní počítač.
Karta IP / Firewall, záložka NAT - přidat pravidlo
Chain: dtsnat
Protocol: 6(tcp)
Dst.Port: 13389
Action: dst-nat
To Address: IP adresa počítače
To Ports: 3389

8. Nastavení časového serveru

Nastavení provedeme na kartě System / SNTP client
Stačí na kartě zaškrtnout Enabled (povlit SNTP klienta), předvyplněné hodnoty můžeme ponechat. Od této chvíle si router bude udržovat správný čas.

9. Grafy provozu

Protože náš router poskytuje grafy provozu, ukážeme si např. jak sledovat vytížení naší internetové linky.
Karta Tools / Graphing
Chceme sledovat rozhraní, půjdeme na záložku Interface rules. Přidáme nové pravidlo, vybereme rozhraní internetu a potvrdíme. Pokud necháte Interfaces: all, budete mít pak na výběr ze všech rozhraní.
Kromě rozhraní je možné sledovat zdroje (vytížení procesoru, místo na disku a paměť). Podobně jako pro sledování rozhraní přidáme pravidlo, tentokrát na záložce Resource Rules.
Grafy najdete po zadání adresy routeru do prohlížeče dole na odkazu Graphs.

A takto pak vypadá část grafického zobrazení provozu v prohlížeči:

Přehled kapitol

Kapitola první - základní nastavení routeru a připojení vnitřní sítě k internetu
Kapitola druhá - vzdálený přístup pro správu a pravidla pro přesměrování portů
Kapitola třetí - wifi síť pro návštěvníky
Kapitola čtvrtá - více routerů v síti
Kapitola pátá - wifi roaming
Kapitola šestá - plánované vypnutí/zapnutí WiFi
Kapitola sedmá - omezení WiFi pro zařízení v daném čase
Kapitola osmá - hlídání zařízení s notifikací mailem

Mikrotik HAP Lite a nedostatek místa pro update