Professional Documents
Culture Documents
(MTCNA)
1
Bemutatkozás
• Barta Gergely
• Accesspoint Kft.
• Hálózati Mérnök – Pre/Post Sales Support,
Hálózat tervezés
• 10 év az internetszolgáltatásban, több év
támogatói tapasztalat
2
A tanfolyam tartalma
4
MikroTik Certified tanfolyamok
Bevezető MTCNA
MTCINE
További információk:
http://accesspoint.hu - Tanfolyamok 5
Témakörök
1. Bevezetés
2. DHCP
3. Bridging
4. Routing
5. Wireless
6. Firewall
6
Témakörök
7. QoS
8. Tunnels
9. Egyéb eszközök
• Vészkijáratok
• Mosdó helye
• Étkezés és ivás a tanteremben
• Telefonok
• Mit kaptok, és milyen formában kérjük vissza
9
Vizsga
• Online
• Angol nyelven
• 60% szükséges
• 50-59% második lehetőség
• MikroTik.com regisztráció
• Próba vizsga
• Certificate – 3 évig érvényes
10
Bemutatkozás
• Név – cég
• Beosztás
• Hálózati ismeretek
• MikroTik ismeretek
• Mit vársz a tanfolyamtól?
• A te számod, kérlek jegyezd le!
11
Certified Network Associate
(MTCNA)
Modul 0
Hálózati alapok
12
ISO-OSI - TCP/IP
Viszony / Session
13
MAC cím
• Hálózati eszközök interfészeinek egyedi fizikai
címe.
• Gyártó által meghatározott, egyedi. MikroTik
esetén minden interfész külön MAC címmel
rendelkezik.
• Egy hálózati szegmensen (LAN) belüli
kommunikáció esetén ez alapján történik a
kerettovábbítás
• 12 hexadecimális szám - 02:DE:AD:04:BE:EF 14
IP cím
• Egyedi hálózati azonosító, amelyet az Internet
Protocol segítségével kommunikáló számítógépek
egymás azonosítására használnak.
• Logikai cím, felhasználó által beállítva.
• 32 bit:
11000000.10101000.00000001.00000001
• Olvasható formában: 192.168.1.1
15
IP cím
• Publikus – privát tartományok
• Privát IP tartományok:
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
169.254.0.0/16
16
Alhálózatok
• IP tartományok felosztása kisebb részekre,
alhálózatokra
• A hálózati maszk határozza meg az alhálózat
méretét
• „Maszkolás”
maszk: 1111111.11111111.11111111.00000000
IP cím: 1000000.10101000.00000001.00000001
hálózat: 1100000.10101000.00000001.00000000
18
Certified Network Associate
(MTCNA)
Modul 1
Bevezetés
19
A MikroTikről
• Router szoftver és hardver gyártás
• Széles felhasználási terület
Internet szolgáltatók
Cégek
Egyéni felhasználók
• Küldetés: Internet és hálózati technológiát
szállítani gyorsabban, hatékonyabban és elérhető
áron, szélesebb felhasználási körökbe.
20
A MikroTikről
• 1996: alapítás, Lett vállalat rigai központtal
• 1997: RouterOS software, x86 (PC)
• 2002: Első RouterBOARD
• 2006: Első MikroTik User Meeting (MUM)
• 2015: Legnagyobb MUM, Indonézia, 2500+
21
MikroTik RouterOS
• A MikroTik RouterOS a MikroTik
RouterBOARD hardverek operációs rendszere.
• Telepíthető x86 alapú PC-kre és virtuális gépekre
is.
• A RouterOS egy Linux kernel alapú operációs
rendszer (zárt forráskóddal), mely hálózati
funkciók széles körét nyújtja, és egyszerűen
kezelhető.
22
RouterOS funkciók
• 802.11 a/b/g/n/ac támogatás
• Tűzfal / sávszélesség szabályzás
• Pont-Pont és VPN tunelek (PPTP, PPPoE, SSTP,
OpenVPN, IPSec…)
• DHCP / Proxy / HotSpot / DNS
• OSPF / BGP routing protokollok
• MPLS
• Stb… 23
MikroTik RouterBOARD
• A MikroTik által gyártott hardvercsalád.
• Mindegyiken RouterOS fut.
• Széles termékpaletta: az otthoni routerektől a
szolgáltatói gerinc berendezésekig.
• Többmillió RouterBOARD üzemel a napjainkban.
24
MikroTik RouterBOARD
• Integrált megoldások – ready to use
• Alaplapok – speciális igényekre
• Kül-, és beltéri dobozok
• Kiegészítők – wireless, SFP, 3G, LTE, tápok, PoE,
antennák
25
Első kapcsolódás
• Null modem kábel
• Ethernet kábel
• WiFi
Ethernet
WiFi
Null Modem
26
Első kapcsolódás
• WinBox - http://www.mikrotik.com/download
• WebFig
• SSH
• Telnet
• Terminal emulator soros port esetén
27
WinBox
• Alapértelmezett IP cím (LAN): 192.168.88.1
• Bejelentkezés: admin / „semmi”
28
MAC WinBox
• Csatlakozzatok a routerhez WinBox-al, IP címmel
és nézzétek meg az ablak fejlécét
29
MAC WinBox
• Tiltsátok le az IP címet (bridge)
• Próbáljatok csatlakozni IP címmel
• Próbáljatok csatlakozni MAC WinBox-al
30
MAC WinBox
• Engedélyezzétek az IP címet (bridge)
• Lépjetek be IP címmel a routerbe
31
WebFig
• Internetböngésző – http://192.168.88.1
32
WebFig
• Internetböngésző – http://192.168.88.1
33
Quick Set
• Alapbeállítások egy ablakban.
• WinBoxból és WebFigből is elérhető.
• Különböző tipikus beállítások közül
választhatunk.
• Óvatosan a használatával, minden beállítást felülír!
34
Quick Set
35
Alapértelmezett / üres beállítás
• Eszközönként eltérő alapbeállítások.
• https://wiki.mikrotik.com/wiki/Manual:Default_Configurations
36
Command Line Interface – CLI
• Soros port, Telnet, SSH és New Terminal esetén
37
Command Line Interface – CLI
• <tab> - parancs kiegészítése
• Dupla <tab> - lehetséges parancsok kiírása
• „?” – help
• <↑>, <↓> - előző parancsok visszanézése
38
Command Line Interface – CLI
• Hierarchikus felépítés (hasonló a WinBox-hoz)
• http://wiki.mikrotik.com/wiki/Manual:Console
39
Internet hozzáférés
Előadó
laptop
router
Internet
192.168.88.1
40
Laptop - Router
• Kössétek össze a laptopot a router velamelyik
LAN portjával (2-5)
• Tiltsátok le a laptopon a WiFit.
• A laptop kérjen automatikusan IP címet (DHCP)
41
Router - Internet
• Az internet, az előadói router wireless
interfészén keresztül lesz elérhető.
Előadó
laptop
router
Internet
192.168.88.1 42
Router - Internet
• Wireless interfész eltávolítása a bridge-ből
• DHCP kliens beállítása a wireless interfészen
• Wireless security profile beállítása
• Wireless interfész beállítása station módba
• NAT masquerade konfigurálása
43
Router - Internet
• Wireless interfész eltávolítása a bridge-ből
44
Router - Internet
• DHCP kliens beállítása a wireless interfészen
45
Router - Internet
• Wireless security profile beállítása
46
Router - Internet
• Wireless interfész beállítása station módba
48
NAT
• Masquerade használható a privát címek
publikusra átfordítására.
Masquerade
Internet
49
Router - Internet
• Masquerade action beállítása a wireless
interfészre
50
Kapcsolat ellenőrzése
• A laptopról pingeljétek a www.mikrotik.com-ot
51
Hibakeresés
• A router tudja pingelni az AP-t?
• A router tudja pingelni a 8.8.8.8 címet?
• Működik a DNS a routeren?
• A laptop tudja pingelni a 8.8.8.8 címet?
• Működik a DNS a laptopon?
• Működik a NAT-olás?
52
RouterOS Releases
• Long term – csak javítások, új funkciók nélkül
• Stable – javítások + új funkciók
• Beta– legfrissebb verzió
53
RouterOS frissítése
• A legegyszerűbb mód:
54
RouterOS frissítése
• Szoftver letöltés: http://www.mikrotik.com/download
• Ellenőrizzük a router cpu architektúráját
• Feltöltés a routerre (drag-and-drop, FTP, WebFig)
• Reboot
55
Packages
• Az egyes funkciókat külön csomagok
tartalmazzák
56
Packages
• Az egyes funkciókat külön csomagok
tartalmazzák
Csomag Funkció
advanced-tools Netwatch, wake-on-LAN, Ip scan
dhcp DHCP kliens és server
hotspot HotSpot captive portal server
ipv6 IPv6 támogatás
ppp PPP, PPTP, L2TP, PPPoE kliensek és serverek
routing Dinamikus routing: RIP, BGP, OSPF
security Secure WinBox, SSH, Ipsec
system Alap funkciók: statikus routing, tűzfal, bridge, stb.
wireless-cm2
https://wiki.mikrotik.com/wiki/Manual:System/Packages 57
Packages
• Minden CPU architektúrához tartozik egy „Main
package” és egy „Extra packages”
• A main tartalmaz minden általánosan használt
csomagot (wireless, dhcp, ppp, routing, stb.)
• Egyéb csomagokat az extra tartalmaz (gps, ntp,
ups, user-manager)
58
Csomagok kezelése
• Tiltsátok le a wireless csomagot
• Indítsátok újra a routert
• Ellenőrizzétek az interfész listát
• Engedélyezzétek a wireless csomagot
• Indítsátok újra a routert
59
Csomagok kezelése
• Nézzétek meg a WinBox System menüjét,
keressetek NTP szervert.
• Töltsétek le a megfelelő Extra Packages-t
• Telepítsétek fel az ntp csomagot
• Ellenőrizzétek a System menüt
60
RouterBOOT
• A firmware felelős a RouterOS betöltéséért
RouterBOARD eszközökön
• Szoftver frissítés tartalmazza az újabb verziót, de
nem frissül automatikusan
• Az aktuális verzió ellenőrizhető és frissíthető
• Main és Backup FW
61
RouterBOOT
62
Router Identity
• A router neve. Különböző helyeken jelenik meg.
• Érdemes elnevezni minden routert.
63
Router Identity
• Állítsátok be a routerek nevét:
• „sorszám”_”név”
• 14_MintaAladár
• Nézzétek meg a WinBox fejlécét
64
RouterOS felhasználók
• Alapértelmezett felhasználó: admin, csoportja: full
• További csoportok: read and write
• Egyedi csoportok létrehozása lehetséges a
pontosabb jogkörök kiosztása végett.
65
RouterOS felhasználók
• Adjatok hozzá egy felhasználót a routerhez full
jogosultsággal (jegyezzétek fel a nevet és a
jelszót)
• Lépjetek be az új felhasználóval
• Az admin felhasználó csoportját állítsátok read-re
• Lépjetek be az admin-nal és próbáljatok bármit
állítani
66
RouterOS Services
• A routeren futó szolgáltatások
• A nem használtak letilthatók
• Korlátozások (available from)
• Az alapértelmezett portoktól el lehet térni.
67
RouterOS Services
• Változtassátok meg a www szolgáltatás portját
8080-ra
• Ellenőrizzétek a böngészőben
http://192.168.88.1:8080
68
Konfiguráció mentés
• Bináris mentés - .backup
Beállítás visszaállítása ugyanazon a routeren
• Konfiguráció export - .rsc
Beállítások átvitele másik routerre
69
Bináris mentés
• A WinBox Files menüjében lehet létrehozni,
illetve visszaállítani.
• Bináris formátumú, titkosított.
• Teljes konfigurációt tartalmazza (jelszavakat is).
70
Konfiguráció export
• A kimentett file (.rsc) egy scriptet tartalmaz ami
visszatölthető a legtöbb routerbe.
• Szerkeszthető szöveges file.
• Csak a gyáritól eltérő változásokat tartalmazza
(kivéve „verbose”)
• „export” parancs indítja CLI-ből.
• Az egész konfiguráció, vagy csak részei menthető.
• User jelszavakat nem tartalmazza. 71
Konfiguráció export
72
Konfiguráció import
• Az export file kézzel szerkeszthető
• Másik (típusú) RouterBOARD-ra át lehet vinni a
beállításokat.
• Visszaállítás az /import paranccsal.
73
Mentések archiválása
• Miután létrehoztuk a mentést, másoljuk egy
megbízható helyre
- FTP
- WebFig
- WinBox (drag-and-drop)
74
Reset Configuration
• Gyári beállítások visszaállítása
75
Reset Configuration
• Fizikai reset gomb:
• Backup RouterBOOT loader (FW)
• Beállítások törlése
• CAPs mód bekapcsolása (Controlled AP)
• Netinstall indítása
76
Netinstall
• RouterOS telepítésére és újratelepítésére.
• Közvetlen L2 kapcsolat szükséges.
• Első ethernet portra kell csatlakozni (kivéve CCR
és RB1100 – utolsó)
• Windowson futtatható
• Letölthető a MikroTik weboldalról.
77
Netinstall
78
Konfiguráció mentés
• Készítsetek .backup (bináris) mentést.
• Másoljátok át a laptopra.
• Töröljétek a .backup állományt a routerről.
• Állítsátok a routert gyári beállításra.
• Másoljátok a .backup file-t a routerre.
• Állítsátok vissza a konfigurációt a mentésből.
79
RouterOS licencek
• Minden RouterBOARD licencel érkezik.
• Különböző szintek vannak
• Időben bármeddig frissíthető.
• x86 telepítés esetén külön licenc vásárolható
80
RouterOS licencek
81
RouterOS licencek
82
További Információk
• wiki.mikrotik.com – RouterOS dokumentáció és
példák
• forum.mikrotik.com – RouterOS felhasználók
fóruma
• mum.mikrotik.com – MikroTik User Meeting
• support@mikrotik.com
83
Certified Network Associate
(MTCNA)
Modul 2
DHCP
84
DHCP
• Dynamic Host Configuration Protocol
• IP címek (és egyéb hálózati beállítások)
kiosztására használható helyi hálózaton.
• Csak megbízható hálózat esetén használjuk.
• Egy broadcast domainen belül működik (nem
lehet router a szerver és a kliens között).
• A RouterOS tartalmazza a klienst és a szervert
is.
85
DHCP kliens
• IP cím, hálózati maszk, gateway, DNS szerver cím
automatikus lekérésére használható.
• SOHO routerek esetén a RouterOS alapbeállítás
tartalmazza a DHCP klienst az első ethernet
porton.
86
DHCP kliens
87
DNS
• Alapértelmezett beállítás szerint a DHCP kliens
lekéri a DNS szerver címet.
• Lehetőség van kézzel hozzáadni, ha további
szervereket szeretnénk használni, vagy ha a
DHCP nincs használatban.
88
DNS
• RouterOS-ben lehetőség van statikus DNS
bejegyzések felvételére.
• Alapértelmezett beállításban van egy DNS A
rekord router névvel, ami a 192.168.88.1-re
mutat.
89
DHCP Server
• IP címek automatikus kiosztása DHCP kliensek
részére.
• Az interfésznek, amelyiken a DHCP szerver fut
kell lennie IP címnek.
• Beállítható a „DHCP SETUP” varázslóval.
90
DHCP Server
• Kapcsolódjatok újra a routerhez MAC címmel.
91
DHCP Server
• El fogjuk távolítani a meglévő DHCP szervert, és
egy újat hozunk létre.
• A belső hálózat ezután a 192.168.x.0/24 lesz
(ahol X a sorszámotok).
• Bridge használata esetén mindig a bridge-re kell
tenni a DHCP szervert, nem a bridge portra.
92
DHCP Server
• DHCP Server és DHCP Network törlése
93
DHCP Server
• IP Pool törlése
94
DHCP Server
• IP Address törlése
95
DHCP Server
• Adjátok hozzá a 192.168.x.1/24 címet a bridge
interfészhez
96
DHCP Server
1. 2.
3. 4.
!!!
5. 6.
97
DHCP Server
• Kérjetek új IP címet a laptopotokkal
• Kapcsolódjatok újra a routerhez az új IP címén
(192.168.x.1)
• Ellenőrizzétek az Internet kapcsolatot
98
DHCP Server
• A DHCP Server Setup varázsló létrehozott egy
új IP Pool-t és egy DHCP Server-t.
99
DHCP Static Lease
• Lehetőség van rá hogy egy adott gépnek (MAC
cím alapján) mindig ugyanazt a címet ossza a
DHCP szerver.
• A DHCP szerver csak statikus címekkel is
működhet (IP pool nélkül).
100
DHCP Static Lease
101
DHCP Static Lease
• Tegyétek statikussá a laptopotok lease
bejegyzését
• Módosítsátok a bejegyzést, hogy a laptop mindig a
192.168.x.123 címet kapja
• Kérjetek új címet a laptoppal
• Állítsátok a DHCP Address Pool-t static-onlyra
• Kérjétek meg a szomszédotokat hogy
csatlakoztassa a laptopját a ti routeretekhez
Kapott IP címet? 102
ARP
• Address Resolution Protocol
• Az eszközök IP címét (L3) és MAC címét (L2)
rendeli össze
• Normál esetben automatikus folyamat, de
beállítható statikusan is, ha az adott helyzetben a
biztonsági követelmények ezt kívánják.
103
ARP tábla
• Nyilvántartja, hogy milyen MAC címhez milyen IP
cím tartozik és hogy melyik interfészen érhető el.
104
Statikus ARP
• A biztonság növelése érdekében ARP bejegyzések
kézzel is felvehetők.
• Az interfész beállítható reply-only módba (csak az
ARP táblában szereplő párosokra válaszol).
• A routerre csatlakozó kliensek más IP címet
beállítva nem tudnak a hálózaton kommunikálni.
105
Statikus ARP
106
DHCP és ARP
• A DHCP szerver beállítható, hogy automatikusan
vegyen fel ARP bejegyzéseket.
• Statikus címbérlet és ARP reply-only módot
használva növelhetjük a hálózat biztonságát,
miközben a felhasználók kezelése egyszerű
marad.
107
DHCP és ARP
108
Static ARP
• Állítsd a laptopod ARP bejegyzését statikusra a
routerben
• A bridge interfészt állítsd reply-only -ra
• Engedélyezd az „Add ARP For Leases” funkciót a
DHCP szerverben
• Távolítsd el az első pontban felvett statikus ARP
bejegyzést.
• Van internet?
109
Static ARP
• Kérj címet a laptopoddal a DHCP szervertől
• Van internet?
• Csatlakozz a routerhez és nézd meg az ARP
táblát
110
Certified Network Associate
(MTCNA)
Modul 3
Bridging
111
Bridge
• Bridge-ek OSI Layer 2 eszközök
• Hagyományosan két különböző (vagy hasonló)
technológiájú szegmens összekapcsolására
használták.
112
Bridge
• A bridge-eket kisebb ütközési tartományok
létrehozására is használták.
• A cél az volt, hogy növeljék a teljesítményt az
alhálózat méretének csökkentésével. Főleg a
switchek megérkezése előtt volt jelentős
hasznuk.
• A switchek több portos bridge-ként működnek.
• Minden port EGY eszköz ütközési tartománya.
113
Bridge
• Minden számítógép képes kommunikálni
egymással.
• Mindegyiknek várnia kell amíg egyikük sem küld
adatot, mielőtt elkezdhetne forgalmazni.
(1 ütközési tartomány)
LAN1
(ethernet hub)
114
Bridge
• Továbbra is minden számitógép képes egymással
kommunikálni.
• De már a felére csökkent az ütközési tartomány
mérete.
LAN1 LAN2
(ethernet (ethernet
hub) hub)
115
Bridge
• A RouterOS-ben a bridge szoftveresen van
megoldva.
• Ethernet, wireless, SFP és tunnel interfészek
adhatók egy bridgehez.
• Alapbeállításban a SOHO routereken a wireless
interfész az ether2-3-4-5 portokkal van egy
bridge-ben.
• Ethernet és SFP portokon alapértelmezésben a
HW-offload be van kapcsolva. (Switch Chip) 116
Bridge
• HW-Offload kikapcsolt állapotában a CPU kezeli
a portok közti kommunikációt.
• Nagyobb befolyásunk van ilyenkor a forgalomra –
lehetőség van IP firewall használatára a bridge
portjai között.
117
Wireless Bridge
• A 802.11 protokoll limitációi miatt wireless kliens
(mode: station) nem támogatja a bridgelést.
• A RouterOS több egyéb módot használ, hogy ezt
a korlátot leküzdjük.
• station bridge – RouterOS és RouterOS
• station pseudobridge – RouterOS és bármi
• station wds (Wireless Distribution System) –
RouterOS és RouterOS
118
Wireless Bridge
• A station bridge használatához az AP-n be kell
kapcsolni a „Bridge Mode”-ot.
119
Bridge
• Az ethernet és wireless interfészek összebridge-
elésével egy nagy hálózatot fogunk létrehozni.
• Minden laptop ugyanabban a hálózatban lesz.
• Készítsetek mentést a routerről előtte!
120
Bridge
• A wireless módot állítsátok át station bridge-re
121
Bridge
• Tiltsátok le a DHCP szervert
122
Bridge
• Adjátok hozzá a wireless interfészt a bridge-hez
123
Bridge
• Kérjetek új címet a laptopotokkal
• Az előadó routerétől kell címet kapnotok.
• Pingeljétek meg a szomszédotok laptopját (tűzfal)
• Állítsátok vissza a gyakorlat elején létrehozott
mentést
124
Bridge Firewall
• RouterOS bridge interfészek támogatják a tűzfal
kezelését.
• Az a forgalom ami keresztülmegy a bridge-en,
feldolgozásra kerülhet a tűzfalban.
• Engedélyezéshez: Bridge → Settings → Use IP
Firewall.
125
Certified Network Associate
(MTCNA)
Modul 4
Routing
126
Routing
• A routing az ISO OSI 3. rétegében végzett
művelet.
• A routing határozza meg, hogy a forgalom merre
kerül továbbításra.
• Különböző alhálózatok egymás közötti
kommunikációját teszi lehetővé.
127
Routing
• Dst. Address: hálózat amit el szeretnénk érni.
• Gateway: A következő router IP címe amin
keresztül elérjük a kívánt tartományt.
128
Új Statikus Route
129
Routing
• Check gateway – 10 másodpercenként ellenőrzi
az átjáró elérhetőségét. ICMP request (ping) vagy
ARP request formájában.
• Ha több route szabály ugyanazt az átjárót
használja, és valamelyiknél be van kapcsolva a
Check gateway opció, akkor az összes sor
működésére hatással van.
130
Routing
• Ha egy címre több átjáró is vonatkozik, akkor a
szűkebb tartománnyal ellátott (precízebb) lesz
használatban.
• Dst: 192.168.90.0/24, gw: 10.10.10.10
• Dst: 192.168.90.128/25, gw: 10.11.12.13
• Ha egy csomag a 192.168.90.135 felé tart
akkor a 10.11.12.13 lesz használva
131
Alapértelmezett Átjáró (def.gw)
• Alapértelmezett átjáró (Default gateway): az
összes ismeretlen hálózatba küldendő forgalom
ide fog menni.
• 0.0.0.0/0 a jelölése
132
Alapértelmezett Átjáró
• Jelenleg az alapértelmezett átjáró a routerekben
automatikusan van konfigurálva a DHCP-kliens
által.
• Kapcsoljátok ki az „Add Default Route” opciót a
DHCP-kliensben.
• Van internet?
133
Alapértelmezett Átjáró
• Adjátok hozzá manuálisan az alapértelmezett
átjárót (eloado-ap – 172.16.0.254)
• Van újra internet?
134
Dinamikus Route-ok
• Route-ok DAC flagekkel automatikusan kerültek
hozzáadásra.
• DAC route-ok az IP cím beállításokból erednek.
135
Route Flag-ek
• X – Disabled : Letiltott route. Nincs hatással a
routing döntésre.
• A – Active : Aktív route. Routing döntés
figyelembe véve.
• D – Dynamic : Dinamikusan létrejövő route.
• C – Connected : Az IP alhálózatok által létrejövő
route.
• S – Static : „Kézzel” létrehozott route.
136
Statikus route-olás
• A cél hogy a szomszéd laptopját meg tudjátok
pingetni.
• Statikus route-okat fogunk használni ennek az
eléréséhez.
• Cseréljetek információt a szomszéddal:
• A wireless interfész IP címe
• Az alhálózat amit a belső hálózatán használ
(192.168.x.0/24)
137
Statikus route-olás
• Adjatok hozzá egy új route szabályt
• Dst. Address: a szomszédod helyi hálózatata
(192.168.x.0/24)
• Gateway: A szomszédod wireless interfészének
címe
• Pingeljétek meg a szomszédotok laptopját (tűzfal)
138
Statikus route-olás
• Álljatok 3-as csoportokba
• „A” router vegyen fel statikus route-ot „C” belső
hálózatára „B” routeren keresztül
• „B” router vegyen fel statikus route-ot „C” belső
hálózatára
• „A” laptop pingesse meg „C” laptopot
139
Statikus route-olás
Készítsetek
„A” útvonalat A-tól C-ig,
B-n keresztül!
Előadó
Internet
„B”
„C”
140
Statikus Route-olás
• Egyszerűen konfigurálható kis és nem nagyon
változó hálózaton.
• Alig igényel erőforrást. (memória, CPU)
• Nehezen skálázható.
• Kézi beállítás szükséges
minden esetben ha új
alhálózat kerül a
hálózatunkba.
141
Route-olás Összefoglaló
• Nézzük az alábbi példát:
Internet
172.22.0.18/30
172.22.0.17/30
10.0.0.1/30
10.0.0.2/30
router-1 router-2
10.1.1.0/24 10.1.2.0/24
10.1.1.201/24 10.1.2.200/24
10.1.1.200/24
142
Route-olás Összefoglaló
• Feladat:
Tegyük fel, hogy a IP címek megfelelően vannak
beállítva a routereken. Milyen route-okat kell
felvenni az egyes routereken, hogy mindkét
alhálózat teljes kommunikációja megvalósuljon?
143
Certified Network Associate
(MTCNA)
Modul 5
Wireless
144
Wireless
• Kétirányú kommunikáció megvalósítása a
„levegőn” keresztül.
• Elektromágneses hullámok.
• Frekvenciák: 2.4GHz, 5GHz, 24GHz, 11GHz, 18…
• A RouterOS teljes mértékben támogatja az IEEE
802.11a/n/ac (5GHz) és 802.11b/g/n (2.4GHz)
szabványokat
145
Wireless Szabványok
146
2.4 Ghz
149
802.11 ac
• 5 GHz, 20/40/80/160 csatornák
• 8 stream
• Beamforming, MUMIMO
150
MIMO – HT chain
• Az interfész által használt streamek.
• Antenna kimenetek.
• 802.11n-ben és 802.11ac-ban használható.
• Befolyásolják a sávszélességet.
151
Országok Szabályozásai
• Váltsatok „Advanced Mode”-ra és válasszátok ki
Magyarországot
152
Országok Szabályozásai
153
Radio Name
154
Radio Name
155
Tx Power
156
Tx Power
157
Vételi Érzékenység
• Rx Sensitivity
• Az a legalacsonyabb jelerősség ahol még képes
detektálni a jelet.
• Alacsonyabb érték esetén, gyengébb jelszint is
elégséges.
• Az eszközök adatlapján szereplő érték.
• Modulációfüggő!
158
Vezeték Nélküli Hálózat
159
Wireless Station
• Wireless station a hálózatok kliense (laptop,
telefon, router)
• RouterOS-ben a wireless mode: station
160
Wireless Station
• Mode = station
• Band
• SSID
• Frequency mezőt
nem szükséges
kitölteni klienshez.
scan-list
161
Biztonság
• Csak WPA (WiFi Protected Access) vagy WPA2
használata ajánlott.
• WPA-PSK vagy WPA2-PSK.
162
Biztonság
• WPA-Personal (WiFi Protected Access)
• Másnéven WPA-PSK, kis irodai és otthoni
felhasználásra.
• Nem szükséges authentikációs szerver.
• A kliens-AP authentikáció 256 bites kulcson
alapul, amit az előre megosztott kulcsból (PSK)
generálnak.
• AES-CCM titkosítás.
163
Biztonság
• WPA-Enterprise
• Másnéven WPA-802.1X, vállalati hálózatokhoz.
• EAP authentikációt használ.
• RADIUS szerver szükséges.
• Bonyolultabb beállítás, de plusz funkciók
érhetők el a RADIUSnak köszönhetően.
164
Biztonság
• WPA és WPA2
egyszerre is
beállítható.
• Mindig használjunk
kellően erős
jelszót!
165
Connect List
• Connect list (station módban)
Jelerősség, MAC cím,
biztonsági beállítások, stb.
alapján priorizálni lehet,
hogy a kliens melyik
AP-hoz csatlakozhat.
• A szabályok feldolgozása
sorrendben történik.
• Csak az első egyező szabály kerül alkalmazásra.
166
Connect List
• Ha a „Default Authenticate” opció be van
kapcsolva, és egyik szabály sem illeszkedik, akkor
a kliens a legjobb jelszintű AP-hoz próbál
csatlakozni. Amennyiben ki van kapcsolva, akkor
nem csatlakozik semmihez.
167
Connect List
• Jelenleg a routered csatlakozik az Előadó AP-hoz.
• Hozz létre egy szabályt, hogy tiltva legyen ez a
csatlakozás.
168
Access Point
• Mode = ap-bridge
• Band
• Frequency
• SSID
• Security Profile
169
WPS
• WiFi Protected Setup
• Kényelmes WiFi hozzáférés, jelszó megadása
nélkül.
• A RouterOS támogatja a WPS accept (AP) és
WPS client (station) módokat.
170
WPS Accept
• A WPS accept gomb használatával egyszerűen
engedélyezhető a vendég hozzáférés a
vezetéknélküli hálózathoz.
• A gomb megnyomása után 2 percig engedélyezett
a csatlakozás az AP-hoz.
• Minden új eszköz csatlakozásakor meg kell
nyomni a gombot.
171
WPS Accept
• Eszközönként csak egyszer kell elvégezni.
• Minden RouterOS eszköz rendelkezik
virtuális WPS gombbal, néhány pedig
fizikaival is.
• A gombot le lehet tiltani.
• RouterOS nem támogatja a WPS-PIN
módon történő csatlakozást.
172
Access Point
• Készíts egy új security profile-t, amit az AP-n
használtok majd.
• A wireless interfészt állítsd ap bridge módba, az
SSID-t pedig állítsd be XY_TeNeved-re, válaszd
ki a fent létrehozott security profile-t.
• Kapcsold ki a DHCP klienst a wireless
interfészen.
173
Access Point
• Add hozzá a wireless interfészt a bridge-hez.
• Húzz ki az ethernet kábelt a laptopodból.
• Csatlakozz a routerhez vezeték nélkül.
• Lépje be WinBox-al a routerbe, és nézd meg a
regisztrációs táblát.
• Ha kész vagy, állíts vissza mindent az előző
beállításra.
174
Snooper
• A segítségével áttekintést kapunk a
környezetünkben lévő wireless hálózatokról.
• Használata közben a wireless interfész
lecsatlakozik.
• Használható a megfelelő csatorna kiválasztásához.
175
Snooper
176
Registration Table
• Megtekinthető minden vezeték nélküli kapcsolat.
• AP esetén minden felcsatlakozott kliens.
• Station esetén az AP amihez kapcsolódva van.
177
Access List
• MAC cím szűrés és kliens
kapcsolatok korlátozása AP
oldalon.
• AP oldalon fel kell venni egy
bejegyzést az Access Listbe.
A Registration fülön lévő
bejegyzés átmásolható
(Copy to Access list), vagy
kézzel felvihető.
178
Access List
• A korlátozás mellett a
kapcsolat paramétereinek
beállítása is lehetséges.
• A szabályok sorrendben
kerülnek értékelésre
• Csak az első egyezés lesz
érvényes
• Ha a „Default Authenticate” opció ki van
kapcsolva, és nincs egyezés, akkor a kapcsolat
elutasításra kerül. 179
Default Authenticate
180
Default Forward
• A kliensek közti kommuni-
kációt engedélyezhetjük
vagy tilthatjuk.
• Alapértelmezésben be van
kapcsolva.
• A beállítás felülbírálható
kliensenként az Access List-
ben.
181
Certified Network Associate
(MTCNA)
Modul 6
Tűzfal
182
Tűzfal
• Hálózatbiztonsági rendszer, sorompóként
működik két vagy több hálózat között.
• Szabályokkal működik, melyek ellenörzése
sorrendben történik, az első találatig.
• A RouterOS tűzfal szabályok a Filter és NAT
szekciókban vannak.
• Filter: csomagszűrés
• NAT: Network Address Translation -
címfordítások 183
Tűzfal szabályok
• If-Then elven működnek.
• A szabályok chain-ekbe vannak rendezve.
• Vannak előre definiált chain-ek
• Lehetőség van saját chain létrehozására.
184
Tűzfal Filter
• 3 alapértelmezett chain van:
• Input (a routernek jövő forgalom)
• Output (a routerről kimenő forgalom)
• Forward (a routeren átmenő forgalom)
input output
Internet
forward
185
Filter Action
• Minden szabályhoz tartozik egy action –
megmondja mi történjen az egyező csomagokkal.
• accept – elfogadja a csomagot, nem történik
további vizsgálat.
• drop vagy reject – a csomag eldobásra kerül,
nem történik további vizsgálat
• jump / return – átugrás / visszatérés felhasználó
által definiált chain-be.
186
Filter Action
187
Filter Chain
input input
Internet
189
Chain: input
• Üritsd ki a Filter listát (ha nem üres)
• Vegyél fel egy accept szabályt az input chain-be,
a laptopod IP címével
(src-address = 192.168.x.123)
• Adj hozzá egy drop szabályt a bridge interfészre
minden más csomagra.
190
Chain: input
191
Chain: input
• Állíts be a laptopnak statikus IP címet:
192.168.x.199, DNS és Átjáró: 192.168.x.1
• Zárd be a WinBox-ot
• Próbálj visszacsatlakozni a routerhez
• Próbálj csatlakozni az internethez
192
Chain: input
• Az internet felé tartó forgalmat a forward chain
szabályozza, de weboldalak mégsem töltődnek be.
• Miért?
193
Chain: input
• A laptop a routert használja DNS feloldásra.
• Csatlakozz MAC WinBox-al a routerhez.
• Adj hozzá egy accept input szabályt a bridge-
re, ami engedi a DNS kéréseket (port: 53/udp),
és helyezd el a drop szabály előtt
• Próbálj csatlakozni az internethez
194
Chain: input
• Állítsd vissza a laptopodat dinamikus IP kérésre
(DHCP)
• Csatlakozz a routerhez
• Töröld ki az imént hozzáadott szabályokat
195
Chain: forward
• A routeren áthaladó forgalmat kezeli.
• A klienseink és az internet közti, illetve a kliensek
közti forgalmat szabályozhatjuk vele.
Internet
forward
196
Chain: forward
• Alapértelmezésben a belső forgalom a kliensek
között engedélyezve van.
• A kliensek és az internet közti sincs tiltva.
197
Chain: forward
• Adj hozzá drop forward szabályt a filterhez
mely tiltja a http (80/tcp) forgalmat.
• Portok hozzáadásánál a protokolt is ki kell
választani.
198
Chain: forward
• Próbáld megnyitni a www.mikrotik.com oldalt
• Próbáld megnyitni a routered WebFig felületét
http://192.168.x.1
• Mi okozza a tapasztaltakat?
199
Gyakran Használt Portok
Port Szolgáltatás
80 / tcp HTTP
443 / tcp HTTPS
22 / tcp SSH
23 / tcp Telnet
20,21 / tcp FTP
8291 / tcp WinBox
5678 / udp MikroTik Neighbor Discovery
20561 / udp MAC WinBox
200
Address List
• Az address list, IP címek listája
• Filter szabályok egyszerűsítésére használhatóak:
-100 IP cím blokkolására létrehozhatunk 100
filter szabályt, vagy egy listát melynek 100 eleme
van, és a szabály erre a listára hivatkozik.
• A listák tartalmazhatnak:
- Speciális jogokkal rendelkező admin címeket
- Támadókat
- Bármit amire csak szükségünk van
201
Address List
• Kézzel és automatikusan (add src/dst to address
list action) is felvehetők IP címek a listákra.
• Véglegesen vagy akár csak bizonyos időtartamra
is felkerülhetnek a listákra.
• IP címet, IP tartományt, vagy akár egész
alhálózatot is felvehetünk a listákra.
202
Address List
203
Address List
• A General fülön egyesével történő hozzáadás
helyett, az Advanced fülön kiválaszthatjuk a
szabályhoz szükséges listát (src vagy dst).
204
Address List
• Firewall action segítségével automatikusan
adhatunk IP címeket a listákhoz.
• Véglegesen, vagy csak egy időre.
205
Address List
• Hozz létre egy address list-et, engedélyező IP
címekkel, figyelj rá hogy a laptopod címe rajta
legyen
• Adj hozzá accept input filter szabályt a bridge
interfészre, a WinBox portjára a fenti address
listtel
• Hozz létre egy drop input szabályt a WinBox
portjára
206
Tűzfal Logolás
• Régebbi verziókban log actionre volt szükség.
• Most már minden szabály logolható is.
• Amennyiben egy csomagra alkalmazva van az
adott szabály, akkor keletkezik egy log bejegyzés a
megadott előtaggal.
• Hibakeresésnél hasznos, de óvatosan kell bánni a
használatával. (Memória vagy Tárterület igényes,
írási ciklusok).
207
Tűzfal Logolás
208
Tűzfal Logolás
• Kapcsold be a logolást az előző gyakorlatban
(address-list) létrehozott DROP szabályon
• Változtasd meg a laptopod IP címét
• Próbálj visszacsatlakozni WinBox-al
• Változtasd vissza az IP címed
• Csatlakozz a routerhez, és nézd meg a log
bejegyzéseket
209
NAT
• Network Address Translation: az IP csomag
forrás-, vagy célcímének módosítása.
• Két típusa van a „source NAT” és a „destination
NAT”.
• Általános használata a belső hálózat privát IP
címeinek átfordítása a router publikus IP-jére
(src-nat)
• Másik általános használata a belső hálózaton lévő
szerverhez való hozzáférés biztosítása az Internet
felől (dst-nat) 210
NAT
SRC-NAT
Privát hoszt
Publikus szerver
211
NAT
Új cél cím
Cél cím
DST-NAT
Internet
Szerver a
privát hálózaton
Publikus hoszt
212
NAT
• A tűzfal srcnat és dstnat chainjét használjuk a
NAT funkciók megvalósítására.
• Ugyanúgy, ahogy a Filter szabályok, a NAT
szabályok is If-Then alapon működnek
• A szabályok sorrendben kerülnek kiértékelésre,
az első illeszkedő lép életbe.
213
Dst NAT
Új cél cím
Cél cím
192.168.1.2:80
159.148.147.196:80
DST-NAT
Internet
Web szerver
192.168.1.2
Publikus hoszt
214
Dst NAT
215
Redirect
• A dst-nat speciális esete.
• Ez az action átirányítja a csomagot magára a
routerre.
• Transzparens proxy létrehozására használható.
(pl.: DNS, HTTP)
216
Redirect
Cél cím
Beállított DNS szerver:53
Új cél cím
Redirect
Router:53
DNS Cache
217
Redirect
• Hozz létre egy dstnat redirect szabályt amivel
minden http forgalmat (tcp/80) átirányít a
routerre
• Próbáld meg megnyitni a www.accesspoint.hu
weboldalt
• Próbáld megnyitni a www.mikrotik.com oldalt
• Tiltsd le a szabályt ha készen vagy
218
Src NAT
219
Src NAT
• A masquerade kicseréli a csomagok forrás IP
címét a routing által meghatározott címre.
• Tipikusan az internet felé menő csomagok forrás IP címét
kicseréli a WAN interfész címére. Ez ahhoz szükséges hogy a
visszajövő csomagok visszataláljanak.
220
NAT Helper
• Néhány protokollnak úgynevezett NAT Helperre
van szüksége a helyes működéshez NAT-olt
hálózaton.
221
Connection Tracking
• Információt tart nyilván minden aktív
kapcsolatról.
222
Connection Tracking
• Ha letiltjuk a connection tracking-et, akkor az
alábbi funkciók nem fognak működni:
• NAT
• Tűzfal
• connection-bytes connection-mark
• connection-type connection-state
• connection-limit connection-rate
• Layer7-protocol p2p
• new-connection-mark tarpit
Invalid Established
New Related
225
Connection Tracking Állapotai
• Erőforrást tudunk spórolni ha pár szabályt a
tűzfalunk elejére teszünk:
• Dobjunk el minden INVALID csomagot
• Fogadjunk el minden ESTABLISHED és
RELATED csomagot
• Így csak a NEW állapotú csomagokat fogjuk
vizsgálni.
226
FastTrack
• Egy módszer a routeren átmenő folyamok
gyorsítására.
• Established és Related forgalmak jelölhetők meg
FastTrackre.
• Ezek a csomagok kikerülik a tűzfalat, a connection
trackinget, a queue-kat és az IPSec-et.
• Jelenleg csak TCP és UDP protokollok
támogatottak.
227
FastTrack
FT nélkül FT-vel
360Mbps 890Mbps
Total CPU: 100% Total CPU: 86%
44% CPU a tűzfal processen 6% CPU a tűzfal processen
* RB2011-en tesztelve, 1 TCP stream-el.
Modul 7
QoS
229
Quality of Service
• QoS a rendelkezésre álló sávszélesség ésszerű
elosztása, nem egyszerűen az egyes eszközök
sávszélességének korlátozása.
• A QoS képes priorizálni a forgalmat. Előnyben
részesíthetők pl.:
• Kritikus alkalmazások
• Érzékeny forgalom, mint a hang vagy a videó
230
Sebesség Korlátozás
• A befelé jövő forgalmat közvetlenül kezelni nem
tudjuk.
• De lehetőség van indirekt módon kezelni,
csomagok eldobásával.
• A TCP alkalmazkodik a kapcsolat sebességéhez.
231
Simple Queue
• A simple queue a sávszélesség korlátozásának
egyszerű módja. Tudjuk vele korlátozni a:
• Kliens(ek) letöltési sebességét
• Kliens(ek) feltöltési sebességét
• Kliens(ek) aggregált forgalmát
232
Simple Queue
Kliens meghatározása
233
Target
• A target paraméter jelöli, hogy mire kell
alkalmazni az adott simple queue-t.
• A targetet kötelező megadni. Lehet pl. :
• IP cím
• Alhálózat
• Interfész
• A queuek sorrendje fontos. A csomagok minden
szabályon végigmennek, amíg egyezés nincs. 234
Destination
• A „target” forgalmának cél IP címei, vagy
• Az interfész amin keresztül a „target” forgalma
kimegy.
• Nem kötelező megadni.
• A queue hatályának szűkítésére használható.
235
Simple Queue
• Állíts be a laptopodra sebesség korlátot
(192.168.x.123)
• A feltöltési sebességet 128k, a letöltési
sebességet 256k értékre korlátozd
• Nyisd meg a www.mikrotik.com/download oldalt
és töltsd le a legfrissebb RouterOS verziót
• A WinBoxban figyeld meg a letöltés sebességét
236
Garantált Sávszélesség
• Van lehetőség egy minimum sávszélesség
beállítására, amit a kliens mindig megkap.
• A maradék elérhető sávszélesség kerül elosztásra
„first-come-first-served” alapon.
• Beállítása a Limit-at paraméterrel lehetséges.
237
Garantált Sávszélesség
238
Garantált Sávszélesség
• Nézzünk egy példát:
• Teljes sávszélesség: 10Mbps
• 3 kliens, mindegyik garantált sávszélességgel
• A maradék elérhető sebesség elosztva a
kliensek között
239
Garantált Sávszélesség
Garantált Pillanatnyi
sebesség sebesség
240
Burst
• A Burst megengedi a felhasználóknak hogy egy
rövid időre nagyobb sávszélességet kapjanak, mint
amit a „max-limit” megenged.
• Olyan forgalom gyorsítására használható, ami
nem folyamatos sávszélességet igényel, pl.: HTTP.
• A folyamatos letöltésnél a „max-limit” érték lesz
érvényes.
241
Burst
242
Burst
• Burst limit – maximális le/feltöltési sebesség ami
elérhető a burst alatt.
• Burst time – idő (mp), ami alatt az átlagos
sebességet számolja a routert (NEM a burst
ideje).
• Burst threshold – Ha az átlagos sebesség átlépi
ezt a sebességet (mindkét irányból), akkor
kapcsolja a router a burst-öt ki vagy be.
243
Burst
244
Burst
• A korábban létrehozott queue szabályt
módosítsd a következők szerint:
• burst-limit=4M (Le-, és feltöltésnél)
• burst-threshold=2M (Le-, és feltöltésnél)
• burst-time=16 (Le-, és feltöltésnél)
245
Burst
• Nyisd meg a www.mikrotik.com oldalt. A
weboldal gyorsan fog betöltődni
• Töltsd le a legfrissebb RouterOS-t, és figyeld meg
a sebességet.
• A letöltés sebességét pl. a torch eszközzel tudod
ellenőrizni
246
Per Connection Queuing
• Queue típus – alkalmazható simple queue-ban.
• A PCQ több felhasználó forgalmának korlátozása
dinamikusan, egy egyszerű beállítással.
• A paraméterek beállítása után a PCQ algoritmus
felosztja a forgalmat sub-streamekre és
mindegyikre ugyanazt a szabályt akalmazza.
247
Per Connection Queuing
• A pcq-rate határozza meg a queue típus
megengedett adatsebességét
• A classifier határozza meg, hogy mi alapján
kerüljenek alkalmazásra a korlátozások.
Történhet forrás IP cím, cél IP cím, forrás port,
vagy cél port szerint. Ennek segítségével
korlátozni tudjuk egyes felhasználók, vagy
alkalmazások (HTTP) forgalmát.
248
PCQ Példa
• A cél hogy minden kliens sávszélessége 1Mbps
letöltési és 1Mbps feltöltési sebességre legyen
korlátozva.
• Készíteni kell 2 új queue típust:
• Egyet Dst Address-re (letöltés)
• Egyet Src Address-re (feltöltés)
• A LAN és WAN interfészekre queue-t kell
felvenni.
249
PCQ Példa
250
PCQ Példa
251
PCQ Példa II.
252
PCQ Példa III.
253
Certified Network Associate
(MTCNA)
Modul 8
Tunnelek
254
Point-to-Point Protocol
• Point-to-Point Protocol (PPP) segítségével tunnelt
(közvetlen kapcsolatot) hozhatunk létre két
végpont között.
• PPP tartalmazhat kapcsolódási hitelesítést
(authentication), titkosítást (encryption), és
tömörítést (compression).
• A RouterOS sok PPP tunnel típust támogat, pl:
PPPoE, SSTP, PPTP, stb.
255
PPPoE
• A Point-to-Point Protocol over Ethernet egy
layer 2 protokoll, melyek leggyakrabban a
hálózathoz való hozzáféréshez használnak.
• Támogat hitelesítést, titkosítást, tömörítést.
• Tipikusan a PPPoE használható arra, hogy
klienseinknek IP címet osszunk ki.
256
PPPoE
• A legtöbb asztali operációs rendszer rendelkezik
beépített PPPoE kliensel.
• A RouterOS-ben a PPPoE kliens és szerver
(access concentrator) is megtalálható.
257
PPPoE
258
PPPoE
• Ha több PPPoE szerver található ugyanabban a
broadcast domainben, akkor a service name
paraméterrel állíthatjuk, hogy melyikhez
szeretnénk csatlakozni.
• Ellenkező esetben a kliens ahhoz próbál
csatlakozni amelyik először válaszol.
259
PPPoE
• Az Előadó AP-n készül egy PPPoE szerver.
• Tiltsd le a routeredben a DHCP klienst
• Állits be PPPoE csatlakozást a routeredben az
Előadó AP felé
• Felhasználónév: mtcna
• Jelszó: mtcna
• Ellenőrizd a PPPoE kliens státuszát
260
PPPoE
• Ellenőrizd az internetkapcsolatot
• Tíltsd le a PPPoE kliens interfészt
• Engedélyezd a korábban tiltott DHCP klienst
261
IP Pool
• IP címet tartományát tartalmazza, melyekből a
router oszthat a különféle szolgáltatások
használatakor.
• Nem csak a DHCP, hanem a PPP és a HotSpot is
használja.
• A szabad címek kiválasztása a poolból
automatikusan történik.
262
IP Pool
263
PPP Profile
• A PPP Profilok határoznak meg szabályokat,
melyeket a PPP szerver érvényesít a klienseire.
• Jó módszer ha ugyanazt a beállítást kell
alkalmaznunk több kliensre.
264
PPP Profile
265
PPP Secret
• Helyi PPP felhasználó adatbázis
• Felhasználónév, jelszó és egyéb felhasználó
specifikus beálltásokra szolgál.
• Amit itt nem állítunk be, az az aktuális profilból
kerül alkalmazásra.
• Ha egy paraméter a profilban is és a secretben is
definiálva van, akkor a secretben lévő lesz
érvényes.
266
PPP Secret
267
PPPoE Szerver
• PPPoE szerver egy interfészen fut.
• Nem lehet olyan interfészen, ami bridge tagja.
• Vagy ki kell venni az interfészt a bridgeből, vagy a
bridgere kell konfigurálni a PPPoE szervert.
• Biztonsági okokból nem javasolt a PPPoE szerver
interfészének IP címet adni.
268
PPPoE Szerver
269
PPP Státusz
• Információ a pillanatnyilag aktív PPP
felhasználókról.
270
Point-to-Point címzés
• PPP kapcsolat felépítésekor a szerver és kliens
/32 IP címeket vesznek fel.
• A network address ilyenkor a tunnel másik végén
található IP cím.
271
Point-to-Point címzés
• Az alhálózati maszk nem releváns PPP címzésnél.
• PPP címzés használatakor 2 IP címet
megspórolunk.
• Ha a PPP címzést az ellenoldali eszköz nem
támogatja, akkor /30-as címzést kell használni.
272
PPPoE Szerver
• A router egyik, nem használt (pl. eth5)
interfészére fogunk PPPoE szervert beállítani.
• Vedd ki az eth5-öt a bridge-ből
• Ellenőrizd hogy nincs-e IP címe
273
PPPoE Szerver
• Hozd létre a következőket: IP Pool, PPP profile
és PPP secret melyek a PPPoE szerverhez
szükségesek
• Hozd létre a PPPoE szervert
• Állíts be a laptopodon PPPoE klienst
• Kábelen csatlakoztasd a laptopodat a router
PPPoE portjához
274
PPPoE Szerver
• Csatlakozz a PPPoE szerverhez
• Ellenőrizd az internetkapcsolatot
• Csatlakozz a routerhez IP vagy MAC WinBox
segítségével, és ellenőrizd a PPP státuszt
• Bontsd le a PPPoE kapcsolatot, és a laptopoddal
csatlakozz a korábban használt porthoz a
routeren
275
PPTP
• Point-to-Point Tunneling Prototol (PPTP) egy
titkosított csatornát hoz létre IP felett.
• Helyi hálózatok biztonságos összekötésére
használható az Interneten keresztül.
• A RouterOS tartalmazza a PPTP klienst és a
PPTP szervert is.
276
PPTP
• TCP 1723-as portot használ és 47-es IP protocolt
(GRE – Generic Routing Encapsulation).
• NAT helperre van szükség ha NATolt hálózat
mögött használjuk.
277
PPTP Tunnel
Internet
Tunnel
278
PPTP Kliens
279
PPTP Kliens
• Az Add default Route bekapcsolásával minden
forgalom a PPTP csatornába terelhető.
• Statikus route-ok használatával irányíthatunk
forgalmat a csatornába.
• FIGYELEM! A PPTP már nem számít elég
biztonságosnak.
• Helyette ajánlott az SSTP, OpenVPN vagy IPSec.
280
PPTP Szerver
• A QuickSet ablakban bekapcsolható a VPN
Access pont alatt.
281
SSTP
• A Secure Socket Tunneling Protocol (SSTP)
titkosított csatornát hoz létre IP felett.
• TCP 443-as portot használ (HTTPS)
• RouterOS támogatja az SSTP szervert és a
klienst is.
• SSTP kliens Windows Vista SP1 illetve későbbi
rendszerekben megtalálható.
• Nyilt forráskódú kliens és szerver változatok
léteznek Linux rendszerekre. 282
SSTP Kliens
283
SSTP Kliens
• Az Add default Route bekapcsolásával minden
forgalom a SSTP csatornába terelhető.
• Statikus route-ok használatával irányíthatunk
forgalmat a csatornába.
• Két RouterOS eszköz között nem szükséges SSL
certificate
• Ha Windows-al szeretnénk csatlakozni akkor
érvényes certificate szükséges hozzá.
284
PPTP/SSTP
• Dolgozzatok párokban
• Az egyik routeren hozzatok létre PPTP és SSTP
szervert – a másikon PPTP és SSTP klienseket
• Használjátok a korábban létrehozott IP poolt, PPP
profilet és PPP secretet a szerverhez
• A kliensel csatlakozzatok a szerverhez
285
PPTP/SSTP
• Ellenőrizzétek a tűzfal szabályokat
• PPTP – TCP 1723 – GRE
• SSTP – TCP 443
• Pingessétek meg a szomszéd laptopját
• Miért nem válaszol?
286
PPTP/SSTP
• Vegyetek fel statikus routeokat a szomszéd
hálózatába, állítsátok a PPP kliens interfészt
átjárónak
• Pingessétek a szomszéd laptopját
287
PPP
• A részletesebb információt a PPPoE, PPTP, SSTP
és egyéb tunnelekről, szerver és kliens
megoldásokról az MTCRE és az MTCINE
tanfolyamok tartalmaznak.
288
Certified Network Associate
(MTCNA)
Modul 9
Egyéb
289
RouterOS Eszközök
• A RouterOS
különböző
alkalmazásokat,
eszközöket tartalmaz,
amelyekkel a router
menedzselését és
monitorozását
hatékonyabbá tehetjük,
valamint segítenek a
hibakeresésben.
290
E-mail
• E-maileket küldhetünk
a routerből.
• Például konfiguráció
mentést.
291
Netwatch
• Egy hoszt
elérhetőségét vizsgálja.
• ICMP echo request
(PING) elküldésével.
• Egy scriptet
futtathatunk ha
elérhetetlenné vagy
elérhetővé válik.
292
Ping
• Hoszt elérhetőségét
vizsgálhatjuk. (ICMP)
• Round trip time
ellenőrzése.
• Lehetőség van forrás
interfész vagy IP cím
megadására.
293
Traceroute
• Hálózatdiagnosztik
ai eszköz amivel
ellenőrizhetjük a
csomag útvonalát
a cél felé.
• ICMP vagy UDP
protokoll.
294
Profile
• Megmutatja a
RouterOS futó
folyamatainak a CPU
használatát.
295
Interfész Forgalmi Adatok
• Valós idejű forgalmi
adatok.
• Minden interfész
adatai megtekinthető
az interfész ablak
Traffic fülén.
296
Torch
• Valós idejű forgalom analízis.
• Megnézhetjük az interfészen keresztülhaladó
csomagokat.
• Szűrhetünk IP protokoll, forrás/cél cím, portszám,
stb. szerint.
297
Torch
298
Grafikonok
• A RouterOS tudja gyűjteni az interfészeken vagy
queue-kon áthaladó forgalmi statisztikákat.
• CPU, memória és disk használatot.
• Minden adatnak 4 grafikonja tárolódik:
• Napi, heti, havi, éves
299
Grafikonok
300
Grafikonok
• http://router_ip/graphs
301
Grafikonok
302
Grafikonok
• Engedélyezzétek az interface, queue és resource
grafikonokat
• Töltsetek le egy nagyobb file-t az internetről
• Nézzétek meg a grafikonokat
303
SNMP
• Simple Network Management Protocol.
• Hálózati eszközök monitorozására és
menedzselésére használt általános protokoll.
• A RouterOS támogatja az SNMP v1, v2 és v3
verziókat.
• SNMP írási lehetőségek csak néhány beállításra
használhatók.
304
SNMP
305
The Dude
• MikroTik által fejlesztett alkalmazás ami nagyban
segíti nagyobb hálózatok karbantartását.
• Automatikus felderítés és térképes megjelenítés.
• Szolgáltatások monitorozása és riasztások
küldése.
• Ingyenes!
306
The Dude
• SNMP, ICMP, DNS és TCP alaú monitorozás
támogatása.
• Szerver – Kliens rendszer,
• A szerver oldal RouterOS alatt fut (CCR,CHR
vagy x86)
• Kliens program Windows alatt (Linux és OS X
alatt Wine segítségével.)
307
The Dude
308
The Dude
309
Support Output File
• Ha segítséget szeretnénk kérni ismerősünktől
vagy a MikroTik Supporttól, akkor
legenerálhatunk egy support output filet.
• Ennek elküldésével hozzáférés megadása nélkül
egyszerűen átadható minden információ.
310
Support Output File
• Hardware hiba esetén automatikusan is
generálódik egy autosupout-rif.
• Watchdog folyamat inditja.
• A support output file minden információt
tartalmaz a rendszer aktuális állapotáról
(konfiguráció, statisztikai adatok, logok, stb).
• Mi is megnyithatjuk:
https://mikrotik.com/client/supout
311
Log
• Alapbeállítás esetén a
RouterOS loggol
bizonyos eseményeket.
• Ezek a memóriában
tárolódnak.
• Lehetőség van ezeket
diszkre menteni,
• Vagy távoli syslog
szerverre küldeni 312
Log
• Részletesebb loggolást
is beállíthatunk új
szabály felvételével.
• A topikok ÉS
kapcsolatban vannak!
313
Köszönöm a figyelmet,
Sok sikert a vizsgához!
314