Neregistrovaný Přihlásit Registrovat

Přidat článek mezi oblíbenéZasílat nové komentáře e-mailem MikroTik router 11 - tipy

Různé tipy a triky - článek se bude postupně doplňovat

Tip 1. Jak zajistit, aby zařízení v síti mělo statickou adresu

Jedna možnost (ta horší) je natvrdo nastavit IP adresu přímo na konkrétním zařízení.
A to lepší řešení? Zařídit to přímo na routeru.
Proč je to lepší? Zařízení zůstane v režimu automatického přidělování adres (DHCP). Pokud jde např. o notebook, který přenášíte z domu do práce, nastavení pevné IP adresy není realizovatelné.
Další výhodou je, že když chcete IP adresu změnit, tak ji změníte rovnou na routeru a na zařízení nemusíte vůbec sáhnout. Zařízení dostane příště od routeru novou adresu.

Jak to funguje?
V okamžiku, kdy zařízení žádá router o IP adresu, tak se do tabulky zapůjčených adres zaregistruje i MAC adresa zařízení. Adresa je zapůjčena na nějakou dobu (nastaveno na DHCP serveru), třeba na 30 minut. Po té době se zápůjčka prodlouží až do doby, než se zařízení odpojí. Když zařízení připojíme další den, dostane jinou (volnou) adresu.

Rozsah přidělovaných adres na DHCP serveru mám nastavený "pouze" na 192.168.xxx.200 - 192.168.xxx.250.
Neznámá zařízení dostanou IP adresu v tomto rozsahu.
Ta známá mají přidělenu statickou adresu na začátku rozsahu, mám ještě dopsaný komentář o jaké zařízení jde.
Přiřazování statických adres umožňuje i další vychytávku - seskupit si podobná zařízení podle adres do skupin.

Jak nastavit statickou IP adresu?
Dynamická adresa má na začátku příznak "D". Pokud řádek rozkliknu, nejde nic editovat, ale můžu z ní udělat statickou kliknutím na Make static (je to možné i přes pravou myš).
V tu chvíli se adresa spolu s MAC adresou zaregistruje v seznamu adres (ve světě Windows serveru je to Rezervace). Po následujícím rozkliknutí je možné adresu změnit, dopsat poznámku atd. Při příštím připojení dostane zařízení vždy tuto adresu.

Tip 2. Jak přistupovat k zařízením v síti přes jméno místo IP adresy

První možností je upravit si lokální hosts soubor na počítači, ale tím si to vyřešíte pouze na tom konkrétním počítači.
Druhou možností je udělat to rovnou na routeru a spravovat centrálně.
Budeme předpokládat doménu (suffix) ".lan", takže zařízení se budou jmenovat např. NAS.lan.
V obou případech je podmínkou, aby zařízení mělo pevnou IP adresu (viz tip 1).
Následně upravíme konfiguraci tak, abychom ".lan" nemuseli psát a router to doplnil na pozadí za nás.
Vždy budu uvádět jak to naklikat a jak to provést příkazem v terminálu.

1. přidáme doménu (suffix) v nastavení DHCP, např. lan
menu IP / DHCP server / Networks - doplnit "lan" jako domain k základnímu rozsahu routeru

/ip dhcp-server network set [find] domain=lan

2. vytvoříme si seznam zařízení, na které budeme chtít přistupovat přes jméno
Podmínkou je, že budeme mít povoleno Allow remote requests v menu IP/DNS.
menu IP / DNS, vpravo nahoře vybrat kartu Static
přidáme záznam: name: nas.lan, type: A, ip address: 192.168.xxx.xxx (za xxx.xxx si doplňte skutečnou adresu)

/ip dns static add name=nas.lan address=192.168.xxx.xxx

Aby se změny v DHCP serveru projevily, bude třeba obnovit IP adresu na počítači, např. spuštěním příkazů (command okno jako správce):

ipconfig /release
ipconfig /renew

nebo to vyřešte odpojením od počítačové sítě (vytažení káblíku nebo odpojení wifi) a opětovným připojením

po příkazu:

ipconfig /all

by mělo být vidět u adapteru:
Connection-specific DNS Suffix: lan

Teď můžeme vyzkoušet, zda jsme byli úspěšní:

ping nas.lan   
ping nas

první příkaz projde vždy, druhý pokud se nám vše podařilo

Tip 3 - světýlka

Pokud vám v noci vadí, že ledky na routeru moc svítí - na hAP ax2 jsou to hlavně ty stavové u napájení, je možné je vypnout. Osobně nastavuju vypnutí po hodině.
Najdete to v menu System / LEDs. Přes settings vpravo nahoře nastavíte třeba vypnout po hodině.

/system leds settings set all-leds-off=after-1h

Tip 4 - seznam IP adres

V předchozím článku jsem se zmiňoval o tom, že některá pravidla na firewallu omezuju pouze na vybraný seznam adres. Takto můžete např. servisní firmě povolit přístup na váš měnič/kotel/telepelné čerpadlo "zvenku", bez toho, že byste se báli, že se na něj dostane někdo cizí.
K tomu slouží seznamy adres, které najdete v menu IP / Firewall jako Address List

Funguje to tak, že vytvoříte seznam ve tvaru: komentář, jméno, adresa.
Pokud potřebujete pod jedním jménem víc adres, jednoduše přidáte víc řádků se stejným jménem. Do komentáře si pak můžete popsat o co jde.
Adresu můžete zadávat i jako rozsah 192.168.139.100-192.168.139.109 nebo seznam, oddělený čárkou (pak to ztrácí přehlednost).

/ip firewall address-list
add address=85.207.123.123  list=povolene comment="Práce 1" 
add address=160.218.123.123 list=povolene comment="Telefon" 
add address=46.33.123.123   list=povolene comment="Práce 2" 
add address=188.175.123.123 list=servis   comment="Firma"
add address=188.175.123.123 list=servis   comment "Technik"

Jak vidíte, v příkladu jsou 2 seznamy adres "povolene" a "servis"
Seznam "povolene" použijeme v následujícím tipu ohledně firewallu
Seznam "servis" je použit ve firewallu v části NAT (přesměrování portu), kde je pravidlo pro přístup zvenku na zařízení (IP a port) omezeně pouze ze 2 IP adres. Navíc to pravidlo můžete mít zakázané a povolit jej na vyžádání, když budete chtít technika do sítě pustit.

Tip 5 - jednoduchý a přehledný firewall

Současný Fasttrack firewall na Mikrotiku je taková černá díra. Z těch pravidel obyčejný člověk nepochopí, jak se to chová a často pak bojuje a zjišťuje, proč něco nejde.
Fasttrack funguje tak, že jakmile nové spojení projde pravidly firewallu, jeho další packety zachytí Fasttrack pravidlo (první pravidlo) a už se dál nevyhodnocují.
Výhodou Fasttrack je rychlejší komunikace přes firewall, nevýhodou je nepřehlednost firewallu, nefunkčnost front (queues) a s tím související nefunkční omezování rychlostí pro zařízení/porty apod.
Ruku na srdce, v domácích podmínkách se to zhoršení výkonu neprojeví, protože nemáte ve firewallu stovky pravidel a neobsluhujete současně desítky zařízení.

Osobně doporučuji vrátit se ke klasickému jednoduchému (přehlednému) firewallu.

Základnem jsou 2 pravidla. Tentokrát to dám rovnou jako kód, protože z něj je jasné nastavení jednotlivých pravidel:

/ip firewall filter
add action=accept chain=input comment="Moje předposlední: akceptovat sestavene" connection-state=established,related
add action=drop chain=input comment="Moje poslední: drop zbytek" in-interface=ether1

První pravidlo povolí komunikaci, kterou jste zahájili z vnitřní sítě.
Druhé pravidlo zahodí všechny ostatní nelegitimní pokusy z internetu.

Po spuštění v terminálu se vám na konci objeví 2 nová pravidla. Obě si označte a přesuňte úplně na začátek.
Zbytek pravidel označte a zakažte.
Mikrotik nepotřebuje po každé změně konfigurace restart, takže jste plynule přešli na novou konfiguraci firewallu.

Pokud budete potřebovat povolit další služby (porty) - třeba správu routeru zvenku z WinBoxu pro případ, kdy by nefungoval WireGuard (doporučuju striktně omezit na konkrétní IP adresy), případně PING apod. pak si jednoduše přidejte pravidla a přesuňte je úplně nahoru.

/ip firewall filter
add action=accept chain=input comment="Moje: Ping" protocol=icmp
add action=accept chain=input comment="Moje: WinBox zvenku" dst-port=8291 protocol=tcp src-address-list=povolene

V pravidlech používám jen přístup na WinBox zvenku a pravidlo pro WireGuard.

Když si na posledním pravidle, které zahazuje pokusy o přístup z internetu zapnete logování (záložka Action, zaškrtnout LOG), pak v logu uvidíte, kdo se snaží do vašeho routeru dostat a na jaké porty. Pokud máte veřejnou IP adresu, pak těch pokusů je opravdu hodně.

Článek navazuje na seriál Mikrotik jako domácí router
Další kapitoly:
8 - hlídání zařízení v síti
9 - Wireguard VPN
10 - upgrade routeru
11 - tipy

Předmět Autor Datum
Nenašly se žádné komentáře.

Zpět na články Přidat komentář k článku Nahoru