Neregistrovaný Přihlásit Registrovat

Přidat článek mezi oblíbenéZasílat nové komentáře e-mailem MikroTik jako SOHO router - 9 - tipy

Různé tipy a triky - článek se bude postupně doplňovat

Tip 1. Jak zajistit, aby zařízení v síti mělo statickou adresu

Jedna možnost je natvrdo nastavit IP adresu přímo na tom zařízení - to je ta horší možnost.
A jaká je ta lepší? Zařídit to přímo na routeru.
Proč je to lepší? Zařízení zůstane v režimu přidělování adres. Pokud jde např. o notebook, který přenášíte z domu do práce, nastavení pevné IP adresy není realizovatelné.
Další výhodou je to, že když chcete IP adresu změnit, tak ji změníte rovnou na routeru a na zařízení nemusíte vůbec chodit.

Jak to funguje?
V okamžiku, kdy zařízení dostává od routeru IP adresu, tak se do tabulky vypůjčených adres zaregistruje i MAC adresa zařízení. Adresa je propůjčena na nějakou dobu, třeba na 30 minut. Po té době se zapůjčení prodlouží atd. Znamená to, že když zařízení odpojíme a připojíme další den, dostane jinou (volnou) adresu.

Rozsah DHCP serveru mám nastavený "pouze" na 192.168.xxx.200 - 192.168.xxx.250.
Neznámá zařízení dostanou IP adresu pouze v tomto rozsahu.
Známá mají přidělenu statickou adresu na začátku rozsahu + mám ještě dopsaný komentář o jaké zařízení jde.
Přiřazování statických adres umožňuje i další vychytávku - seskupit si podobná zařízení podle adres do skupin.

Jak nastavit statickou IP adresu?
Dynamická adresa má na začátku příznak "D". Pokud ji rozkliknu, nejde nic editovat, ale můžu z ní udělat statickou kliknutím na Make static (je to možné i přes pravou myš).
V tu chvíli se adresa spolu s MAC adresou zaregistruje v systému (ve světě Windows serveru je to Rezervace). Po rozkliknutí je možné adresu změnit, dopsat poznámku atd. Při příštím připojení dostane zařízení vždy tuto adresu.

Tip 2. Jak přistupovat k zařízením v síti přes jméno místo IP adresy

Jednou možností je upravit si lokální hosts soubor na počítači, ale tím vyřešíte pouze jednoho klienta.
Druhou možností je udělat to rovnou na routeru. Budeme předpokládat doménu (suffix) "lan", takže zařízení se budou jmenovat např. NAS.lan.
V obou případech je podmínkou, aby zařízení mělo pevnou IP adresu (viz tip 1).
Ještě si to upravíme tak, abychom to .lan nemuseli psát a router to doplnil (na pozadí) za nás
vždy budu uvádět jak to naklikat a jak to provést příkazem v terminálu

1. přidáme doménu (suffix) v nastavení DHCP, např. lan
menu IP / DHCP server / Networks - doplnit "lan" jako domain min. k základnímu rozsahu routeru

/ip dhcp-server network set [find] domain=lan

2. vytvoříme si seznam zařízení, na které budeme chtít přistupovat přes jméno
menu IP / DNS, vpravo nahoře kliknout na Static
Podmínkou je, že budeme mít povoleno Allow remote requests v menu IP/DNS.
přidáme záznam: name: nas.lan, type: A, ip address: 192.168.xxx.xxx (za xxx.xxx si doplňte skutečnou adresu)

/ip dns static add name=nas.lan address=192.168.xxx.xxx

Bude třeba obnovit IP adresu na počítači, např. spuštěním příkazů (command okno jako správce):

ipconfig /release
ipconfig /renew

po příkazu:

ipconfig /all

by mělo být vidět u adapteru:
Connection-specific DNS Suffix: lan

Teď můžeme vyzkoušet, zda jsme byli úspěšní:

ping nas.lan   
ping nas

první příkaz projde vždy, druhý pokud se nám to podařilo

Tip 3 - světýlka

Pokud vám v noci vadí, že ledky na routeru moc svítí - na hAP ax2 jsou to hlavně ty stavové u napájení, je možné je vypnout. Osobně nastavuju vypnutí po hodině.
Najdete to v menu System / LEDs. Přes settings vpravo nahoře nastavíte třeba vypnout po hodině.

/system leds settings set all-leds-off=after-1h

Tip 4 - seznam IP adres

V předchozím článku jsem se zmiňoval o tom, že některá pravidla na firewallu omezuju pouze na vybraný seznam adres. Takto můžete např. servisní firmě povolit přístup na váš měnič/kotel/telepelné čerpadlo "zvenku", bez toho, že byste se báli, že se na něj dostane někdo cizí.
K tomu slouží seznamy adres, které najdete v menu IP / Firewall jako Address List

Funguje to tak, že vytvoříte seznam ve tvaru: komentář, jméno, adresa.
Pokud potřebujete pod jedním jménem víc adres, jednoduše přidáte víc řádků se stejným jménem. Do komentáře si pak můžete popsat o co jde.
Adresu můžete zadávat i jako rozsah 192.168.139.100-192.168.139.109 nebo seznam, oddělený čárkou (pak to ztrácí přehlednost).

/ip firewall address-list
add address=85.207.123.123  list=povolene comment="Práce 1" 
add address=160.218.123.123 list=povolene comment="Telefon" 
add address=46.33.123.123   list=povolene comment="Práce 2" 
add address=188.175.123.123 list=servis   comment="Firma"
add address=188.175.123.123 list=servis   comment "Technik"

Jak vidíte, v příkladu jsou 2 seznamy adres "povolene" a "servis"
Seznam povolených použijeme v následujícím tipu ohledně firewallu
Seznam "servis" je pak použit ve firewallu v části NAT (přesměrování portu), kde je pravidlo pro přístup zvenku na zařízení (IP a port) omezeně pouze ze 2 IP adres. Navíc to pravidlo můžete mít zakázané a povolit jej na vyžádání.

Tip 5 - jednoduchý a přehledný firewall

Současný Fasttrack firewall na Mikrotiku je taková černá díra. Z těch pravidel obyčejný člověk nepochopí, jak se to chová a často pak bojuje a zjišťuje, proč něco nejde.
Fasttrack funguje tak, že jakmile nové spojení projde pravidly firewallu, jeho další packety zachytí Fasttrack pravidlo (první pravidlo) a už se dál nevyhodnocují.
Výhodou Fasttrack je rychlejší komunikace přes firewall, nevýhodou je nepřehlednost firewallu, nefunkčnost front (queues) a s tím související omezování rychlostí pro zařízení/porty apod.
Ruku na srdce, v domácích podmínkách se to zhoršení výkonu neprojeví, protože nemáte ve firewallu stovky pravidel a neobsluhujete současně desítky zařízení.

Osobně doporučuji vrátit se ke klasickému jednoduchému (přehlednému) firewallu.

Základnem jsou 2 pravidla. Tentokrát to dám rovnou jako kód, protože z něj je jasné nastavení jednotlivých pravidel:

/ip firewall filter
add action=accept chain=input comment="Moje předposlední: akceptovat sestavene" connection-state=established,related
add action=drop chain=input comment="Moje poslední: drop zbytek" in-interface=ether1

První pravidlo povolí komunikaci, kterou jste zahájili z vnitřní sítě.
Druhé pravidlo zahodí všechny ostatní nelegitimní pokusy z internetu.

Po spuštění v terminálu se vám na konci objeví 2 nová pravidla. Obě si označte a přesuňte úplně na začátek.
Zbytek pravidel označte a zakažte.
Mikrotik nepotřebuje po každé změně konfigurace restart, takže jste plynule přešli na novou konfiguraci firewallu.

Pokud budete potřebovat povolit další služby (porty) - třeba správu routeru zvenku z WinBoxu pro případ, kdy by nefungoval WireGuard (doporučuju striktně omezit na konkrétní IP adresy), případně PING apod. pak si jednoduše přidejte pravidla a přesuňte je úplně nahoru.

/ip firewall filter
add action=accept chain=input comment="Moje: Ping" protocol=icmp
add action=accept chain=input comment="Moje: WinBox zvenku" dst-port=8291 protocol=tcp src-address-list=povolene

V pravidlech jen přístup na WinBox zvenku a pravidlo pro WireGuard.

Když si na posledním pravidle, které zahazuje pokusy o přístup z internetu zapnete logování (záložka Action, zaškrtnout LOG), pak v logu uvidíte, kdo se snaží do vašeho routeru dostat a na jaké porty. Pokud máte veřejnou IP adresu, pak těch pokusů je opravdu hodně.

Článek navazuje na seriál Mikrotik jako SOHO router

Předmět Autor Datum
Nenašly se žádné komentáře.

Zpět na články Přidat komentář k článku Nahoru