MikroTik jako SOHO router - 2 - vzdálený přístup

Jan Fiala, 22.06.2013 01:00, Hardware, 22 odpovědí (35898 zobrazení)

V minulé kapitole jsme si ukázali, jak je možné jednoduše nakonfigurovat route MikroTik RouterBOARD RB951G-2HnD pomocí několika kliknutí. V této kapitole nakonfigurujeme router tak, abychom ho mohli spravovat přes internet a naučíme se nastavit přesměrování portu (port forwarding).

Protože si budeme více hrát s jednotlivými nastaveními, podíváme se nejprve, co rozhraní rozhraní umožňuje, abychom se co nejvíc vyvarovali chyb.

4. Safe mode - bezpečný režim

Vlevo nahoře (ve webovém rozhraní vlevo dole v menu) najdete tlačítko Safe mode
Při aktivním bezpečném režimu, jsou k dispozici tlačítka Undo a Redo. Pokud se vám něco nepodaří, budete se moci snadno vrátit.

5. Zálohování konfigurace

Konfiguraci si můžete kdykoliv zazálohovat na diskový prostor routeru, případně pak uložit na disk do PC.
Záloha i obnova se provádí na kartě Files.
Kliknutím na tlačítko Backup provedete zálohu konfigurace, která je označena datem a časem vytvoření. Máte pak k dispozici více záloh a ke kterékoliv se můžete vrátit. Pokud si takto vytvořenou zálohu rozkliknete, uvidíte tlačítko Restore, pomocí kterého můžete celou konfiguraci vrátit zpět. Po obnovení zálohy dojde k restartu routeru (tohle je jediné místo, na které jsem narazil, které restart potřebuje), budete muset čekat necelých 10s, než router naběhne. Zálohu je možné po rozkliknutí smazat tlačítkem Remove.

http://pc.poradna.net/file/view/14430-jf03bm-00051        7-png

6. Vzdálený přístup k administraci a odpověď na ping

V základním stavu není vzdálený přístup povolen a ani si na náš router nepingneme. Změny provedeme na kartě IP / Firewall na záložce Filter rules. Tlačítkem + (případně Add new ve webovém rozhraní) přidáme nové pravidlo. Nová pravidla se uloží na konec, takže je prostě chytneme a přetáhneme nahoru před pravidla výchozí konfigurace (default configuration), která necháme na konci.

6.1. PING (zvnějšku zaslaný požadavek na ping)
Chain: input
Protokol: 1 (icmp)
Action: accept

6.2. Administrace z internetu ze všech adres pomocí internetového prohlížeče
Chain: input
Protocol: 6(tcp)
Dst.Port: 80
Action: accept

6.3. Administrace z internetu z konkrétní adresy pomocí internetového prohlížeče
Chain: input
Src.Address: 46.33.102.63
Protocol: 6(tcp)
Dst.Port: 80
Action: accept

http://pc.poradna.net/file/view/14431-jf03bm-00051        8-png

6.4 Administrace z internetu pomocí Winbox
Pravidlo je stejné jako 6.2 nebo 6.3, pouze port se mění z 80 na 8291

Pravidel můžete mít libovolné množství, není nutné filtrovat jen podle konkrétní adresy, ale můžete filtrovat podle rozsahu adres apod.

7. Port forwarding - přístup z internetu na konkrétní počítač ve vnitřní síti

Scénář: potřebuju z internetu přistoupit pomocí Remote desktop na konkrétní počítač v lokální síti. Remote desktop používá TCP port 3389. Abych si síť trošku více chránil, budu z internetu přistupovat na port 13389. Různé vnější porty nám umožňují přistoupit na stejný port různých počítačů uvnitř sítě.

7.1 Rezervace IP adresy
Abychom mohli na konkrétní počítač přistupovat, budeme potřebovat pro něj rezervovat stálou IP adresu (DHCP server mu přidělí vždy jenu konkrétní adresu). Nejprve tedy provedeme rezervaci.
Na kartě IP / DHCP server na záložce Leases vidíme seznam zapůjčených adres. Najdeme v seznamu počítač, označíme jej (nebo rozklikneme) a stiskneme tlačítko Make static. Tím zajistíme, že počítač bude mít přidělenu vždy stejnou adresu.

7.2 Vytvoření pravidla pro port forwarding
Chci přesměrovat venkovní port 13389 na vnitřní port 3389 na konkrétní počítač.
Karta IP / Firewall, záložka NAT - přidat pravidlo
Chain: dtsnat
Protocol: 6(tcp)
Dst.Port: 13389
Action: dst-nat
To Address: IP adresa počítače
To Ports: 3389

http://pc.poradna.net/file/view/14432-jf03bm-00051        9-png

8. Nastavení časového serveru

Nastavení provedeme na kartě System / SNTP client
Stačí na kartě zaškrtnout Enabled (povlit SNTP klienta), předvyplněné hodnoty můžeme ponechat. Od této chvíle si router bude udržovat správný čas.

http://pc.poradna.net/file/view/14433-jf03bm-00052        0-png

9. Grafy provozu

Protože náš router poskytuje grafy provozu, ukážeme si např. jak sledovat vytížení naší internetové linky.
Karta Tools / Graphing
Chceme sledovat rozhraní, půjdeme na záložku Interface rules. Přidáme nové pravidlo, vybereme rozhraní internetu a potvrdíme. Pokud necháte Interfaces: all, budete mít pak na výběr ze všech rozhraní.
Kromě rozhraní je možné sledovat zdroje (vytížení procesoru, místo na disku a paměť). Podobně jako pro sledování rozhraní přidáme pravidlo, tentokrát na záložce Resource Rules.
Grafy najdete po zadání adresy routeru do prohlížeče dole na odkazu Graphs.

http://pc.poradna.net/file/view/14434-jf03bm-00052        1-png

A takto pak vypadá část grafického zobrazení provozu v prohlížeči:

http://pc.poradna.net/file/view/14435-jf03bm-00052       2-png

Přehled kapitol

Kapitola první - základní nastavení routeru a připojení vnitřní sítě k internetu
Kapitola druhá - vzdálený přístup pro správu a pravidla pro přesměrování portů
Kapitola třetí - wifi síť pro návštěvníky
Kapitola čtvrtá - více routerů v síti
Kapitola pátá - wifi roaming

Odpovědět


PředmětAutorDatum
Re: MikroTik jako SOHO router - 2 - vzdálený přístup L-Core22.06.2013 10:12
Re: MikroTik jako SOHO router - 2 - vzdálený přístup Jan Fiala22.06.2013 14:51
Re: MikroTik jako SOHO router - 2 - vzdálený přístup L-Core22.06.2013 23:32
Re: MikroTik jako SOHO router - 2 - vzdálený přístup Jan Fiala23.06.2013 08:29
Re: MikroTik jako SOHO router - 2 - vzdálený přístup mif22.06.2013 13:59
Re: MikroTik jako SOHO router - 2 - vzdálený přístup Jan Fiala22.06.2013 14:54
Re: MikroTik jako SOHO router - 2 - vzdálený přístup L-Core22.06.2013 23:37
Re: MikroTik jako SOHO router - 2 - vzdálený přístup Jan Fiala23.06.2013 08:33
Re: MikroTik jako SOHO router - 2 - vzdálený přístup bububububu24.06.2013 08:41
Re: MikroTik jako SOHO router - 2 - vzdálený přístup Jan Fiala24.06.2013 10:02
Re: MikroTik jako SOHO router - 2 - vzdálený přístup fleg24.06.2013 14:14
Re: MikroTik jako SOHO router - 2 - vzdálený přístup bububububu25.06.2013 06:08
Re: MikroTik jako SOHO router - 2 - vzdálený přístup fleg25.06.2013 20:01
Re: MikroTik jako SOHO router - 2 - vzdálený přístup bububububu26.06.2013 11:28
Re: MikroTik jako SOHO router - 2 - vzdálený přístup fleg26.06.2013 14:33
Re: MikroTik jako SOHO router - 2 - vzdálený přístup ms-fiala27.06.2013 16:36
Re: MikroTik jako SOHO router - 2 - vzdálený přístup Jan Fiala27.06.2013 18:17
Re: MikroTik jako SOHO router - 2 - vzdálený přístup ms-fiala27.06.2013 19:47
Re: MikroTik jako SOHO router - 2 - vzdálený přístup fleg03.07.2013 12:24
Re: MikroTik jako SOHO router - 2 - vzdálený přístup L-Core24.06.2013 19:59
Re: MikroTik jako SOHO router - 2 - vzdálený přístup truhlik07.06.2016 17:53
Re: MikroTik jako SOHO router - 2 - vzdálený přístup poslednítruhlik07.06.2016 17:55

Re: MikroTik jako SOHO router - 2 - vzdálený přístup

Moderátor L-Core, 22.06.2013 10:12
Konfiguraci si můžete kdykoliv zazálohovat na diskový prostor routeru, případně pak uložit na disk do PC.
Tomuhle nerozumím. Z popisu prodejce, například tady, se o žádném diskovém prostoru nepíše, jen o 64MB RAM. Nebo je tím myšlen HDD/fleška v USB?

↑ Odpovědět


Re: MikroTik jako SOHO router - 2 - vzdálený přístup

Administrátor Jan Fiala, 22.06.2013 14:51
Ten router má uvnitř kromě RAM i 128MB disk. Tam je uložena konfigurace, skiny (úpravy uživatelského rozhraní), zálohy, ...
Všichni chtějí vaše dobro. Nedejte si ho vzít!

↑ ← Odpovědět


Re: MikroTik jako SOHO router - 2 - vzdálený přístup

Moderátor L-Core, 22.06.2013 23:32
Tady: http://www.czc.cz/mikrotik-routerboard-rb751g-2hnd /102323/produkt zase píšou

Technické parametry:
RAM [MB]: 64
NAND [MB]: 64
A kousek níže, ve Specifikace:
NAND: 64MB
..
RAM: 32 MB SDRAM
Mají v tom hokej.

Pošli mi, prosím, třeba na SZ, ke jsi to kupoval ty. 128 je 128 :-p

↑ ← Odpovědět


Re: MikroTik jako SOHO router - 2 - vzdálený přístup

Administrátor Jan Fiala, 23.06.2013 08:29
Ve specifikacich jsem to nenasel, alw WinBox ukazuje 128MB. Nacpal jsem tam 3x15MB soubor, abych to proveril v praxi a výsledek je na prilozenem screenshotu:

14525-jf03bm-000533-png

Jinak soubory je mozne tam nahravaty pres FTP, WinSCP nebo pro lenochy prostym pretazenim do formulare Files ve WinBoxu
Všichni chtějí vaše dobro. Nedejte si ho vzít!

↑ ← Odpovědět


Re: MikroTik jako SOHO router - 2 - vzdálený přístup

Moderátor mif, 22.06.2013 13:59
Mno, doporučíš to pro normálního Frantu? Je to lepší a rychlejší, než SOHO "tépélinky" :-)?
Temeritas est damnare, quod nescias

↑ Odpovědět


Re: MikroTik jako SOHO router - 2 - vzdálený přístup

Administrátor Jan Fiala, 22.06.2013 14:54
Já jsem v tomto směru taky normální Franta. A právě proto jsem napsal tyhle články. Vše jsem se učil za pochodu z internetu a než jsem to zapomněl, tak jsem to sepsal, částečně i z pohodlnosti, abych to nemusel příště hledat :-)
A ano, je to rychlejší než TP-Linky a mnohem, mnohem stabilnější.
Všichni chtějí vaše dobro. Nedejte si ho vzít!

↑ ← Odpovědět


Re: MikroTik jako SOHO router - 2 - vzdálený přístup

Moderátor L-Core, 22.06.2013 23:37
Mně se zdá jako největší přednost možnost vytváření několikerých (na sobě nezávislých) sítí. Domácí metalická (4xGbit LAN), vedle toho wifi pro návštěvy. Včetně QoS.

Po 8 letech s Barikádou sice mohu skládat státní zkoušky z flagelantství, ale od sítě očekávám raději jiné věci.

↑ ← Odpovědět


Re: MikroTik jako SOHO router - 2 - vzdálený přístup

Administrátor Jan Fiala, 23.06.2013 08:33
Jinak ten QOS si muzes nastavit na jakykoliv port nebo IP (vnitrni, vnejsi) nebo port nebo typ prenosu, ...
Krome omezeni muzes nastavit, kdy bude dostupne, takze omezeni muzes pres noc zrusit.
Napr. omezis detem pres den rychlost, protoze potrebujes pracovat a v noci jim to povolis.
Jde s tim delat cokoliv a vzajemne vse kombinovat...
Proste mám novou hracku :-)
Všichni chtějí vaše dobro. Nedejte si ho vzít!

↑ ← Odpovědět


Re: MikroTik jako SOHO router - 2 - vzdálený přístup

bububububu [82.145.208.xxx], 24.06.2013 08:41
to ale neni zalezitost "krabicky", ale firmwre/os, napr. s openwrt mas vetsi moznosti a svobodu nez s routeros

↑ ← Odpovědět


Re: MikroTik jako SOHO router - 2 - vzdálený přístup

Administrátor Jan Fiala, 24.06.2013 10:02
S OpenWrt mas mozna stejne moznosti jako s Router OS. Ale pokud OpenWrt das do hardware (krabicky), ktera neni vykonove ani stabilitou nic moc, tak ti OpenWrt nepomuze.
Všichni chtějí vaše dobro. Nedejte si ho vzít!

↑ ← Odpovědět


Re: MikroTik jako SOHO router - 2 - vzdálený přístup

Administrátor fleg, 24.06.2013 14:14
To nie je celkom pravda. OpenWRT nedosahuje moznosti Router OS a uz vobec neponuka take odladene riesenia ako je odladena platforma RB+Router OS.
Nakoniec o tom svedci aj fakt, ze polovica sieti na sk/cz bezi na Mikrotikoch a druah polovica na amerikanskych jubiki.
http://pc.poradna.net/i/support/

↑ ← Odpovědět


Re: MikroTik jako SOHO router - 2 - vzdálený přístup

bububububu [82.145.208.xxx], 25.06.2013 06:08
to proto, ze klikatko v "kvalitnim" zarizeni zvladne i opice, je videt, ze jsi wrt nevidel ani z rychliku

↑ ← Odpovědět


Re: MikroTik jako SOHO router - 2 - vzdálený přístup

Administrátor fleg, 25.06.2013 20:01
Si asi jediny, co ocenuje tento system a vsetci ostatni su ignoranti. Btw kolko userov spravujes na svojom routri zalozenom na wrt? Kolko routrov vobec spravujes?
http://pc.poradna.net/i/support/

↑ ← Odpovědět


Re: MikroTik jako SOHO router - 2 - vzdálený přístup

bububububu [82.145.208.xxx], 26.06.2013 11:28
to se tezko pocita, protoze se v nich obden neprehrabuji, vsechny co jsem nasadil bezi a nevim ze bezi a u nekterych uz ani nevim kde bezi, a to proto ze to bezi a netreba se v tom vecne vrtat aby to bezelo, proto o tom moc neuslisis

↑ ← Odpovědět


Re: MikroTik jako SOHO router - 2 - vzdálený přístup

Administrátor fleg, 26.06.2013 14:33
Stacili aspon ake take cisla, pretoze na Mikrotikoch realne prevadzkujem viacero sieti >100 uzivatelmi a tie RBecka nerobia zdaleka len routing.
http://pc.poradna.net/i/support/

↑ ← Odpovědět


Re: MikroTik jako SOHO router - 2 - vzdálený přístup

ms-fiala [94.112.112.xxx], 27.06.2013 16:36
ja mam doma atomovou desku s OpenWrt, bezi na tom samba, lpr, dlna, vpn, ftp a naprosta spokojenost, ze srandy jsem tam dal i dvb-t tuner a streamuji do site, naveseno 6 PC, 2x tisk, uptime 16:34:19 up 286 days, 14:16, 1 user, load average: 0.12, 0.05, 0.00

↑ ← Odpovědět


Re: MikroTik jako SOHO router - 2 - vzdálený přístup

Administrátor Jan Fiala, 27.06.2013 18:17
No vidíš jak jsi šikovný.
Pak ještě můžeš srovnat, na kolik tě vyšla deska + zdroj + nějaký disk (třeba SD karta) + WiFi... a porovnat spotřebu.
Ale tohle téma není o měření ptáků a dohadování se, jestli je lepší OpenWrt nebo Mikrotik. Je to čistě jen o představení Mikrotik RouterBoard (krabičky) jako alternativy k všem těm (často i mnohem dražším) domácím routerům a ukázat lidem, že se základními znalostmi budou schopni si router nastavit.
Všichni chtějí vaše dobro. Nedejte si ho vzít!

↑ ← Odpovědět


Re: MikroTik jako SOHO router - 2 - vzdálený přístup

ms-fiala [94.112.112.xxx], 27.06.2013 19:47
vyslo to levneji nez mikrotik+nas na 4 disky a nejsem omezen vuli vyrobce, jestli mi da novy firmware bez chyb :)

↑ ← Odpovědět


Re: MikroTik jako SOHO router - 2 - vzdálený přístup

Administrátor fleg, 03.07.2013 12:24
Porovnavas neporovnatelne ako vykonom tak zameranim.
Tvoj server mozes porovnavat napriklad s microservermi od HP a nie s Mikrotikom, ktoreho funkcia je uplne ina.
A ver tomu, ze ta to lacnejsie nevyslo, pretoze si si zdaleka nekupil to iste (mas tam wifi napriklad?).
http://pc.poradna.net/i/support/

↑ ← Odpovědět



Re: MikroTik jako SOHO router - 2 - vzdálený přístup

truhlik [85.216.235.xxx], 07.06.2016 17:53
Tak som povolil pristup z webu (aspon docasne), aj na port 80 - cez web, aj port 8278 - aplikacia android. Je mi jasne , ze je to potencionalna diera do systemu, a chcem sa spytat, ako to co najlepsie osetrit.

↑ Odpovědět


Re: MikroTik jako SOHO router - 2 - vzdálený přístup poslední

truhlik [85.216.235.xxx], 07.06.2016 17:55
bohuzial, nemozem to obmedzit na pristup len z jednej IP . . . kvoli operatorovi, a ani z prace . . .

↑ ← Odpovědět


TOPlist