IT a bezpečnost bez starostí

Mikrotik - konfigurační tipy, díl 2.

Výhodami Mikrotiku jsou jeho široké možnosti nastavení, množství funkcí a jednotný operační systém napříč celým portfoliem (myšleno RouterBoard a RouterOS). Jeho přednosti mohou být zároveň i jeho slabinou. Hlavně pro nezkušené uživatele, kteří často tápou ve všech těch možnostech a terminologii. Ve své praxi se setkávám nastaveními, které nejsou zcela správná nebo nefungují tak, jak si zákazníci myslí a také existují zajímavá nastavení, o kterých ani nevědí. Na pár z nich se dnes podíváme. 

Co nás čeká:

  • NTP, synchronizace času
  • Bridge - z routeru switch
  • DHCP, server i klient
  • Wi-Fi
  • Vypnutí nepotřebných služeb, bezpečnost
  • Zapnutí statistických grafů
  • Nastavení emailu pro odesílání emailových notifikací

V příkladech budu vždy uvažovat malý 5-portový Mikrotik s následujícím využitím portů. Níže uvedené je zatím rychlý soupis z různých mých konzultací u zákazníků a potřeboval by zrevidovat. Pokud narazíte na chybu, nebojte se mě kontaktovat.

ether1   – uplink od ISP
ether2-5 – LAN porty v bridge
wlan1    – Wi-Fi interface 2 Ghz
wlan2    – Wi-Fi interface 5 Ghz

Všechny uvedené příklady budou pouze textově aplikovatelné do terminálu. Ten spustíte ve WinBoxu jako "New Terminal". Pokud jste zvyklý vše zadávat v GUI WinBoxu, tak vězte, že lze z příkazů vše krásně vykoukat. Například sekvence /ip firewall filter vlastně říká, jak se k tomuve WinBoxu doklikat a to v levém menu "IP-Firewall" a záložka Filter Rules. Stejně tak parametr "action=accept" je na tabu "Action" a pod.

NTP, synchronizace času

Network Time Protocol slouží pro synchronizaci času počítačů. NTP musí být povolené na firewallu, kde se jedná o řetězec input (do routeru), pak jej zadáme v systému abychom s ním mohli operovat v DHCP serveru pro koncové stanice. Pokud chci použít DNS názvy NTP serverů, musím mít nastavené systém DNS.

Veřejné NTP servery

Serverů je obrovské množství, osobně bych vybíral z těchto níže uvedených. Pokud můžete, je vhodné vždy zadat více jak jeden NTP server pro případ jeho nedostupnosti. Platí pak obecná podmínka, že počet NTP serverů by měl být vždy lichý. To z důvodu aby nedošlo k "patu" v určení, kdo má správný čas. 

NTP pool project
server 0.cz.pool.ntp.org
server 1.cz.pool.ntp.org
server 2.cz.pool.ntp.org
server 3.cz.pool.ntp.org

Cesnet
tik.cesnet.cz
tak.cesnet.cz

Západočeská univerzita
clock1.zcu.cz
clock2.zcu.cz

České vysoké učení technické
ntp1.sh.cvut.cz
ntp2.sh.cvut.cz
ntp3.sh.cvut.cz

1. Povolíme NTP aby prošlo firewallem na Mikrotik, proto chain input

/ip firewall filter
add action=accept chain=input comment="accept NTP from inet" in-interface=ether1 protocol=udp src-port=123


2. Nastavíme Mikrotik jako NTP client, tedy aby si on synchronizoval čas s NTP serverem v internetu

/system ntp client
set primary-ntp=195.113.144.201 secondary-ntp=89.221.214.130 server-dns-names=tik.cesnet.cz,0.cz.pool.ntp.org


3. Nyní můžeme nastavit NTP i pro naše DHCP klienty přidáním do DHCP serveru

/ip dhcp-server network
add address=10.0.0.0/24 dns-server=10.0.0.1 domain=local gateway=10.0.0.1 ntp-server=195.113.144.201,195.113.144.238


4. S tím souvisí samotné povolení dotazování se našeho DNS serveru na Mikrotiku. Aby vůbec Mikrotik reagoval na DNS dotazy, musíme povolit volbu "remote request" v konfiguraci DNS. Tato volba však otevře možnost se dotazovat pro všechny kdo se dotáží, lze toho zneužít i z internetu. Takže z internetu to na firewallu zase zakážeme a necháme tuhle možnost jen pro naše klienty z vnitřní sítě. Ve firewall pravidle navíc nechávám zapnutou možnost logování do Logu, kde si pak můžete zkontrolovat, zda to na Vás někdo "zkusil". Protože DNS běhá na UDP i TCP, musíme vytvořit pravidla dvě. 

/ip dns
set allow-remote-requests=yes cache-max-ttl=1d servers=193.17.47.1,185.43.135.1

/ip firewall filter
add action=drop chain=input  dst-port=53 in-interface=ether1  log=yes log-prefix=DNS_INET _ protocol=udp 
add action=drop chain=input dst-port=53 in-interface=ether1 log=yes  log-prefix=DNS_INET_ protocol=tcp

Bridge - z routeru switch

Mikrotik je router. Doma nám ale stačí routovat pouze mezi vnitřní sítí a internetem, takže by se nám hodilo si z něj na vnitřní straně udělat spíše switch. K tomu slouží právě bridge. Do něj dáme všechny své LAN porty (2-5) a můžeme i Wi-Fi interface. Níže je vzor, jak by mohl vypadá běžný bridge a parametry kolem něm.

1. vytvoříme si bridge s názvem bridge-LAN

/interface bridge
add arp=proxy-arp auto-mac=no name=bridge-LAN 


2. Můžeme si pro přehlednost pojmenovat fyzické porty

/interface ethernet
set [ find default-name=ether1 ] comment="UPLINK ISP"
set [ find default-name=ether2 ] comment="Switch LAN"
set [ find default-name=ether3 ] comment="NAS server"
set [ find default-name=ether4 ] comment="IPCam" 


3. Do bridge namapujeme LAN porty a oba Wi-Fi adaptéry

/interface bridge port
add bridge=bridge-LAN comment=LAN interface=ether2
add bridge=bridge-LAN comment=LAN interface=ether3
add bridge=bridge-LAN comment=LAN interface=ether4
add bridge=bridge-LAN comment=LAN interface=ether5
add bridge=bridge-LAN comment="WIFI 2Ghz" interface=SSID24
add bridge=bridge-LAN comment="WIFI 5Ghz" interface=SSID5


4. Na bridge posadíme IP adresu, bude se jednat o IP adresu pro přístup na management Mikrotiku, dále to bude pro naše klienty DHCP server, DNS server a výchozí brána do internetu.

/ip address
add address=10.0.0.1/24 interface=bridge-LAN network=10.0.0.0 

DHCP, server i client

1. Vytvoříme IP pool, tedy rozsah IP adres, ze kterého budeme přidělovat klientům IP adresu. A vytvoříme parametry sítě, kterou budeme klientů nabízet. Mikrotik zde bude bránou, DNS serverem a bude propagovat i NTP servery.

/ip pool
add name=DHCP-LAN ranges=10.0.0.200-10.0.0.239

/ip dhcp-server network
add address=10.0.0.0/24 dns-server=10.0.0.1 domain=local gateway=10.0.0.1 ntp-server=195.113.144.201,195.113.144.238

/ip dhcp-server
add address-pool=DHCP-LAN disabled=no interface=bridge-LAN lease-time=30m name=DHCP-LAN 


2. Zde je ukázka statické rezervace IP adresy na DHCP. Tedy klient čeká na adresu z DHCP serveru, ale dostává stále tu samou rezervovanou. client-is je 1:mac:adresa:, ale myslím, že se zadávat nemusí. Doplní se tam sama aktivnímu klientovi.

/ip dhcp-server lease 
add address=10.0.0.10 client-id=1:6c:88:14:af:cb:f8  comment="NOTEBOOK" mac-address=6C:88:14:AF:CB:F8 server=DHCP-LAN


3. Pokud Mikrotik má dělat i DNS server, musíme to na něm povolit a nasměrovat ho na některý z veřejných DNS serverů, v ukázce jsou veřejné DNS servery nic.cz.

/ip dns
set allow-remote-requests=yes cache-max-ttl=1d servers=193.17.47.1,185.43.135.1


4. Takto vypadá zase statický záznam v DNS serveru. Pokud klient používá jako DNS server Mikrotika, tak může například zadat ipc1.local a otevře se mu IP kamera na vnitřní IP adrese 10.0.0.101.

/ip dns static 
add address=192.168.1.100 name=intranet.cz ttl=1h
add address=192.168.88.1 name=router.lan
add address=10.0.0.101 name=ipc1.local


5. A naopak pokud chcete, aby si Mikrotik "líznul" IP adresu od poskytovatele, musíte jej  nastavit jako DHCP klienta. V příkladu si bere jen IP, ne DNS. Pro příklad přidávám ještě konfiguraci povolení DNS serveru na Mikrotiku, nastavení DNS serverů v internetu a ukázku statických rezervací na DNS serveru  na Mikrotiku.

/ip dhcp-client
add disabled=no interface=ether1 use-peer-dns=no

Wi-Fi

1. Vytvoříme si nejdříve security profil pro Wi-Fi, v něm je WPA2 heslo, které si změňte. Zde je "Heslowifi"

/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk eap-methods="" management-protection=allowed mode=dynamic-keys name=WiFi-heslo supplicant-identity="" wpa2-pre-shared-key=Heslowifi


2. Nakonfigurujeme si SSID (název sítě) a jeho parametry, heslo bude mapováno ze security profilu, vypneme WPS, v tomto vzoru je nastavena šířka kanálu 20 Mhz. Teoreticky to ubírá rychlost, ale v běžné zástavě zarušené to funguje lépe a obecně běžný uživatel rozdíl neregistruje.

/interface wireless
set [ find default-name=wlan1 ] antenna-gain=0 band=2ghz-g/n country=czech republic disabled=no distance=indoors frequency=auto installation=indoor mode=ap-bridge name=WiFi-doma security-profile=WiFi-heslo ssid=WiFi-doma station-roaming=enabled wireless-protocol=802.11 wps-mode=disabled
set [ find default-name=wlan2 ] antenna-gain=0 band=5ghz-n/ac country=czech republic disabled=no distance=indoors frequency=auto installation=indoor mode=ap-bridge name=WiFi-doma-5G security-profile=Hrosikov ssid=WiFi-doma-5G station-roaming=enabled wireless-protocol=802.11 wps-mode=disabled

Vypnutí nepotřebných služeb, bezpečnost

O tomhle jsem se zmiňoval v předešlých tipech. Nicméně se setkávám se stále více Mikrotiky na veřejné IP adresy, které tyhle služby mají zapnuté a dostupné z internetu. Jako bezpečnostní doporučení je to vypnout.

/ip service
set telnet disabled=yes 
set ftp disabled=yes
set ssh address=10.0.0.0/8 
set api disabled=yes
set api-ssl disabled=yes

Zapnutí statistických grafů

Mikrotik dokáže dělat i základní grafy vytížení CPU, paměti a rychlosti na portech. Zapnutí se provede takto.

/tool graphing interface
add interface=all store-on-disk=yes

/tool graphing resource
 add allow-address=10.0.0.0/24 store-on-disk=yes


Grafy jsou pak dostupné na IP adrese Mikrotiku, například http://10.0.0.1/graphs

Nastavení emailu pro odesílání emailových notifikací

1. Nejdříve nakonfigurujeme SMTP pro odesílání emailů. V příkladu máme emailovou doménu "poskytovatel.cz". Přesné parametry nastavení Vám dá poskytovatel emailových služeb. Potřebujete jméno, heslo, port a typ šifrování.

/tool e-mail
set address=smtp.poskytovatel.cz from=mikrotik@poskytovatel.cz port=587 start-tls=yes password=********** user=mikrotik@poskytovatel.cz


2. V systémovém logu nastavíme, na který email se má odeslat notifikace a celé to pak použijeme dále

/system logging action
add email-to=muj.email@poskytovatel.cz name=email target=email


3. Poté nastavíme při jaké události se email má odeslat. V příkladu je odeslání emailu při jakékoliv hlášce v logu, která má severitu critical a odešle se s prefixem v předmětu emailu. 

/system logging
add action=email prefix=>MIKROTIK< topics=critical

Pozor, do severity critical patří třeba i pokus o neúspěšné přihlášení se do mikrotiku, tedy pokud zadáte špatně heslo, přijde Vám o tom email, který bude vypadat asi takto:

system,error,critical >MIKROTIK<: login failure for user admin from 31.32.33.34 via winbox

 

>> Líbil se Vám článek? Ohodnoťte mě <<

 

Kategorie