RouterOS: Настройка системы
Добавлено: 29 ноя 2024, 20:43Оглавление
Темы
Управление оборудованием MikroTik
Начальная настройка
Настройка портов Ethernet
Создание моста
Создаём interface-list'ы
Назначение IPv4 и IPv6 адресов и задание маршрутов
Идентичность для устройства
Настраиваем пользователей
Добавляем SSH ключ
DHCP-Server
DNS-Server для локальной сети
Ограничиваем и отключаем неиспользуемые сервисы
Временная зона, NTP Client и Server для локальной сети
Доступ к роутеру по SMB/CIFS
Отключаем неиспользуемые сервисные порты
Ограничения для mac-server и mac-winbox
Ограничение MNDP локальной сетью
Подключаемся к Radius Server
Графики статистики
Обновление RouterOS
Дополнительные материалы
RouterOS: Настройка Firewall
Управление оборудованием MikroTik
Управление осуществляется при помощи нескольких инструментов:
Для начала скачиваем WinBox с сайта MikroTik для Linux или под нужную Вам иную операционную систему необходимой разрядности. Если на рабочей станции, с которой планируется осуществлять управление, включен firewall, то нужно открыть udp source-port 20561 и tcp 8291 port для работы с протоколом MikroTik Neighbor Discovery Protocol MNDP. Этот шаг очень важен и даёт возможность находить соседние устройства (Neighbor) и подключаться по MAC-адресам.
Поскольку в дистрибутиве Fedora нет готового пакета для установки MAC-Telnet, то скачиваем исходники с github и собираем программу своими силами
Открываем доступ по mndp (Mikrotik Neighbor Discovery Protocol) для обнаружения устройств в сети. Для установления подключения по MAC-адресу в Winbox и mactelnet нужно открыть порт источника udp 20561.
Перечислю список портов используемых при управлении оборудованием MikroTik:
Начальная настройка
При помощи WinBox подключаемся к устройству по MAC-адресу с именем admin и пустым паролем. Первое что будет предложено это ознакомиться с лицензией:
Рекомендую пропустить просмотр лицензии так как она очень длинная и на её пролистывание уходит слишком много времени. Далее будет предложено поменять пароль, устанавливаем новый пароль. Далее переходим IP => Addresses и настраиваем IP адрес на интерфейсе к которому подключились проводом. Это пожалуй два желательных действия которые нужно сделать для обеспечения доступа по SSH.
Если подключились сразу утилитой mactelnet то можно приступить к полной настройке устройства
Вся дальнейшая работа по настройке маршрутизатора будет проходить в Command Line Interface по протоколу SSH или MAC-Telnet.
Настройка портов Ethernet
Установим скорость и дуплекс на всех интерфейсах, а так же зададим соответствующие комментарии
Если требуется изменить MAC адреса, то воспользуемся следующей командой:
Создание моста
Создаём МОСТ с admin-mac взятом с интерфейса ether2
Создаём interface-list'ы
Теперь распределим доступные интерфейсы по interface-list'ам
Назначение IPv4 и IPv6 адресов и задание маршрутов
&&&Задаем адрес, шлюз IPv4 и IPv6
В выше описанном примере IPv6 назначен интерфейсу смотрящему в локальную сеть статически как обычному хосту, без анонсирования префикса.
В качестве очередного примера приведу настройку IPv6 от туннельного брокера. Hurricane Electric предоставляет готовые к использованию команды для RouterOS в разделе "Примеры конфигураций":
Эти команды настроят сам туннель - маршрутизатор сможет подключаться к узлам IPv6, но конечные пользовательские устройства (компьютеры, планшеты, телефоны) еще не будут иметь возможности подключения к IPv6.
Чтобы иметь возможность назначать IPv6-адреса своим клиентам, вы должны добавить маршрутизируемый IPv6-префикс к своему внутреннему интерфейсу (по умолчанию bridge1).
Включите рекламу DNS-сервера через сетевое обнаружение
После этого включите IPv6 на устройстве, и у вас должно появиться подключение IPv6. http://ipv6-test.com можно использовать для проверки подключения IPv6.
Идентичность для устройства
Настройка идентичности помогает сделать управление сетью более организованным и удобным. Это позволяет администраторам, назначив уникальное имя (идентификатор) маршрутизатору или другому устройству MikroTik в сети, проще идентифицировать устройство при его настройке, разборе журналов событий. Строка может быть любой, но удобней если она будет совпадать с доменным именем устройства
Настраиваем пользователей
Если Вы намерены использовать Radius-сервер для аутентификации пользователей, то создавать локальных пользователей не нужно. Из-за предосторожности всё же рекомендую создать встроенную учетную запись с произвольным именем и сложным паролем, а встроенного admin'а отключить или удалить.
Отключаем пользователя admin
Или удаляем его
Добавляем SSH ключ
Для авторизации ssh по ключу передаем его на роутер. Создав нового пользователя на предыдущем шаге используем его для передачи ключа на роутер
Затем импортируем переданный ключ на роутере и задаём предпочтительный тип (Ed25519) для ключа.
Смотрим полученный результат
С целью упрощения использования SSH рекомендую использовать файл настройки SSH-клиента ~/.ssh/config, где можно указать параметры для подключения.
DHCP- Server
Создадим пул IP адресов, сервер, сеть и укажем передаваемые параметры для выдачи клиентам локальной сети 10.10.10.0/24
DNS-Server для локальной сети
DNS-сервер (Domain Name System) играет ключевую роль в локальной сети по нескольким причинам:
Опция allow-remote-requests вывешивает 53 порт на все интерфейсы (кэширующий dns-сервер). Нужно прикрыть 53 порт на внешнем интерфейсе в Firewall
Настраиваем doh DNS сервера от Google
Статические записи для google DNS были добавлены для установки связи с doh-server, так как не указаны сервера работающие по незащищённому 53 порту. Запись type=FWD направляет все запросы к хостам в домене free-adm.ru на авторитетный сервер отвечающий за зону.
Убираем все DNS-серверы не относящиеся к DOH:
для CloudFlare (1.1.1.1):
Нам здесь уже не нужны статические записи DNS, как для google, поскольку в ссылке используется IP адрес, а не имя как для google.
Ограничиваем и отключаем неиспользуемые сервисы
Выставляем ограничение на службы и Отключаем неиспользуемые сервисы
Временная зона, NTP Client и Server для локальной сети
Устанавливаем временную зону
Настраиваем NTP client и NTP server
Вывод текущей даты, времени и временной зоны
Доступ к роутеру по SMB/CIFS
Активируем доступ к выделенной папке по протоколу SMB/CIFS
смена пароля для пользователя
Отключаем неиспользуемые сервисные порты
Отключение неиспользуемых сервисных портов в MikroTik является важной практикой в области безопасности. Вот несколько причин, почему это рекомендуется:
Ограничения для MAC-server и MAC-winbox
Ограничиваем mac-server и mac-winbox списком интерфейсов, и отключаем mac-ping
Ограничение MNDP локальной сетью
Ограничение MNDP (MikroTik Neighbor Discovery Protocol) в локальной сети может быть обосновано несколькими причинами, связанными с безопасностью, производительностью и управляемостью сети. Вот некоторые из основных аспектов:
Ограничиваем область видимости для протокола MNDP локальной сетью
Подключаемся к Radius Server
Подключаемся к Radius Server для авторизации на устройстве
Графики статистики
Настраиваем отображение статистики по сетевым интерфейсам, а так же по загрузке CPU, RAM и Disk
Обновление системы RouterOS
Можно выбрать ветку из которой будет производиться обновление
Проверить наличие обновление
Установить обновление
Обновление аппаратной прошивки
Проверить наличие обновлений аппаратной прошивки:
Установить обновления аппаратной прошивки в случае ее наличия:
Перезагрузить маршрутизатор.
Темы
Управление оборудованием MikroTik
Начальная настройка
Настройка портов Ethernet
Создание моста
Создаём interface-list'ы
Назначение IPv4 и IPv6 адресов и задание маршрутов
Идентичность для устройства
Настраиваем пользователей
Добавляем SSH ключ
DHCP-Server
DNS-Server для локальной сети
Ограничиваем и отключаем неиспользуемые сервисы
Временная зона, NTP Client и Server для локальной сети
Доступ к роутеру по SMB/CIFS
Отключаем неиспользуемые сервисные порты
Ограничения для mac-server и mac-winbox
Ограничение MNDP локальной сетью
Подключаемся к Radius Server
Графики статистики
Обновление RouterOS
Дополнительные материалы
RouterOS: Настройка Firewall
Управление оборудованием MikroTik
Управление осуществляется при помощи нескольких инструментов:
- WinBox — утилита, позволяющая администрировать устройства MikroTik со встроенной операционной системой RouterOS и вести наблюдение за их работой. Данная утилита доступна под операционные системы Windows, MacOS и с недавних пор Linux
- WebFig — веб-интерфейс для доступа к настройкам RouterOS, который используется как альтернатива утилите WinBox. WebFig и WinBox имеют схожие интерфейсы и позволяют получить доступ к большинству возможностей RouterOS. Для использования веб-интерфейса нужен только браузер с поддержкой JavaScript. Поддерживает работу по протоколам как HTTP так и HTTPS
- SSH — стандартный способ настройки поддерживается и оборудованием MikroTik. Именно этот способ управления будет основным в этой серии заметок
- Telnet — так же доступен, но не рекомендован к использованию в боевых условиях из-за своей небезопасности (рекомендуется отключать при начальной настройке)
Для начала скачиваем WinBox с сайта MikroTik для Linux или под нужную Вам иную операционную систему необходимой разрядности. Если на рабочей станции, с которой планируется осуществлять управление, включен firewall, то нужно открыть udp source-port 20561 и tcp 8291 port для работы с протоколом MikroTik Neighbor Discovery Protocol MNDP. Этот шаг очень важен и даёт возможность находить соседние устройства (Neighbor) и подключаться по MAC-адресам.
Поскольку в дистрибутиве Fedora нет готового пакета для установки MAC-Telnet, то скачиваем исходники с github и собираем программу своими силами
- Код: выделить все
wget http://github.com/haakonnessjoen/MAC-Telnet/tarball/master -O mactelnet.tar.gz
tar zxvf mactelnet.tar.gz
cd haakonness*/
./autogen.sh
make all install
Открываем доступ по mndp (Mikrotik Neighbor Discovery Protocol) для обнаружения устройств в сети. Для установления подключения по MAC-адресу в Winbox и mactelnet нужно открыть порт источника udp 20561.
- Код: выделить все
firewall-cmd --add-service=mndp --permanent
firewall-cmd --add-source-port=20561/udp --permanent
firewall-cmd --reload
Перечислю список портов используемых при управлении оборудованием MikroTik:
- Код: выделить все
5678/udp - Mikrotik Neighbor Discovery Protocol
8291/tcp - Winbox GUI
20561/udp - MAC Winbox GUI (source-port)
6343/tcp - Default OpenFlow port
8080/tcp - HTTP Web Proxy
8728/tcp - API
8729/tcp - API-SSL
Начальная настройка
При помощи WinBox подключаемся к устройству по MAC-адресу с именем admin и пустым паролем. Первое что будет предложено это ознакомиться с лицензией:
- Код: выделить все
Do you want to see the software license? [Y/n]: n
Рекомендую пропустить просмотр лицензии так как она очень длинная и на её пролистывание уходит слишком много времени. Далее будет предложено поменять пароль, устанавливаем новый пароль. Далее переходим IP => Addresses и настраиваем IP адрес на интерфейсе к которому подключились проводом. Это пожалуй два желательных действия которые нужно сделать для обеспечения доступа по SSH.
Если подключились сразу утилитой mactelnet то можно приступить к полной настройке устройства
Вся дальнейшая работа по настройке маршрутизатора будет проходить в Command Line Interface по протоколу SSH или MAC-Telnet.
Настройка портов Ethernet
Установим скорость и дуплекс на всех интерфейсах, а так же зададим соответствующие комментарии
- Код: выделить все
/interface ethernet {
set [ find default-name=ether1 ] advertise=100M-baseT-full comment="WAN PORT" disable-running-check=no
set [ find default-name=ether2 ] advertise=100M-baseT-full comment="On Bridge" disable-running-check=no
set [ find default-name=ether3 ] advertise=100M-baseT-full comment="On Bridge" disable-running-check=no
}
Если требуется изменить MAC адреса, то воспользуемся следующей командой:
- Код: выделить все
/interface/ethernet set ether1 mac-address=01:23:45:67:89:00
Создание моста
Создаём МОСТ с admin-mac взятом с интерфейса ether2
- Код: выделить все
:global BridgeName "bridge1"
:global SourceInterface "ether2"
:global AdminMac [/interface ethernet get [find where name=$SourceInterface] mac-address]
/interface bridge add admin-mac=$AdminMac auto-mac=no comment="LAN Bridge" name=$BridgeName
/interface bridge port add bridge=$BridgeName interface=$SourceInterface
/interface bridge port add bridge=$BridgeName interface=ether3
# удаляем за собой переменные
:set sourceInterface
:set BridgeName
:set AdminMac
Создаём interface-list'ы
Теперь распределим доступные интерфейсы по interface-list'ам
- Код: выделить все
/interface list {
add comment=ISP name=WAN_IF
add comment="Local NetWork" name=LAN_IF
}
/interface list member {
add comment=ISP interface=ether1 list=WAN_IF
add comment="Local NetWork" interface=bridge1 list=LAN_IF
}
Назначение IPv4 и IPv6 адресов и задание маршрутов
&&&Задаем адрес, шлюз IPv4 и IPv6
- Код: выделить все
/ip/address add address=195.0.1.14/24 comment="WAN IPv4 Address" interface=ether1 network=195.0.1.0
/ip address add address=10.10.10.254/24 comment="LAN IPv4 Address" interface=bridge1 network=10.10.10.0
/ipv6/address add address=2000:2cc0:13b1:3333::14 advertise=no interface=ether1
/ip/route add check-gateway=ping comment="Default Gateway to ISP IPv4" disabled=no dst-address=0.0.0.0/0 gateway=195.0.1.254 routing-table=main suppress-hw-offload=no
/ipv6/route add check-gateway=ping comment="Default Gateway to ISP IPv6" disabled=no distance=1 dst-address=::/0 gateway=2000:2cc0:13b1:3333::1 routing-table=main scope=30 suppress-hw-offload=no target-scope=10
Примечание: При некоторых условиях доступ по MAC-адресу к сброшенному устройству невозможен. У меня эта ситуация возникла из-за работы RouterOS на виртуальной машине VirtualBox. WinBox на хостовой машине (linux) выдавал сообщение об ошибке "ERR: Could not connect, MacConnection syn timeout." Доступ был получен по link local address ipv6. Эта же проблема отсутствовала при попытке подключиться с гостевой системы Windows
В выше описанном примере IPv6 назначен интерфейсу смотрящему в локальную сеть статически как обычному хосту, без анонсирования префикса.
В качестве очередного примера приведу настройку IPv6 от туннельного брокера. Hurricane Electric предоставляет готовые к использованию команды для RouterOS в разделе "Примеры конфигураций":
- Код: выделить все
/interface 6to4 add comment="Hurricane Electric IPv6 Tunnel Broker" disabled=no \
local-address=194.105.56.170 mtu=1280 name=sit1 remote-address=216.66.80.90
/ipv6 route add comment="" disabled=no distance=1 dst-address=2000::/3 gateway=2001:470:27:37e::1 scope=30 target-scope=10
/ipv6 address add address=2001:470:27:37e::2/64 advertise=no disabled=no eui-64=no interface=sit1
Эти команды настроят сам туннель - маршрутизатор сможет подключаться к узлам IPv6, но конечные пользовательские устройства (компьютеры, планшеты, телефоны) еще не будут иметь возможности подключения к IPv6.
Чтобы иметь возможность назначать IPv6-адреса своим клиентам, вы должны добавить маршрутизируемый IPv6-префикс к своему внутреннему интерфейсу (по умолчанию bridge1).
- Код: выделить все
/ipv6 address add address=2001:470:28:37e:: interface=bridge-local advertise=yes
Включите рекламу DNS-сервера через сетевое обнаружение
- Код: выделить все
/ipv6 nd set [ find default=yes ] advertise-dns=yes
После этого включите IPv6 на устройстве, и у вас должно появиться подключение IPv6. http://ipv6-test.com можно использовать для проверки подключения IPv6.
Идентичность для устройства
Настройка идентичности помогает сделать управление сетью более организованным и удобным. Это позволяет администраторам, назначив уникальное имя (идентификатор) маршрутизатору или другому устройству MikroTik в сети, проще идентифицировать устройство при его настройке, разборе журналов событий. Строка может быть любой, но удобней если она будет совпадать с доменным именем устройства
- Код: выделить все
/system/identity set name=ros.test.ru
Настраиваем пользователей
Если Вы намерены использовать Radius-сервер для аутентификации пользователей, то создавать локальных пользователей не нужно. Из-за предосторожности всё же рекомендую создать встроенную учетную запись с произвольным именем и сложным паролем, а встроенного admin'а отключить или удалить.
- Код: выделить все
/user/add name=UserAdmin password=123456 group=full
Отключаем пользователя admin
- Код: выделить все
/user/disable admin
Или удаляем его
- Код: выделить все
/user/remove admin
Добавляем SSH ключ
Для авторизации ssh по ключу передаем его на роутер. Создав нового пользователя на предыдущем шаге используем его для передачи ключа на роутер
- Код: выделить все
scp .ssh/id_route.pub UserAdmin@ros:
ssh ros
Затем импортируем переданный ключ на роутере и задаём предпочтительный тип (Ed25519) для ключа.
- Код: выделить все
/user/ssh-keys import user=UserAdmin public-key-file=id_route.pub
/user/ssh-keys print
/ip/ssh set host-key-type=ed25519
Смотрим полученный результат
- Код: выделить все
/ip/ssh print
С целью упрощения использования SSH рекомендую использовать файл настройки SSH-клиента ~/.ssh/config, где можно указать параметры для подключения.
- Код: выделить все
Host ros
HostName ros.free-adm.ru
User UserAdmin
IdentityFile /home/user/.ssh/mt_ed25519.pem
IdentitiesOnly=yes
DHCP- Server
Создадим пул IP адресов, сервер, сеть и укажем передаваемые параметры для выдачи клиентам локальной сети 10.10.10.0/24
- Код: выделить все
/ip pool add comment="ranges addesses for Lan" name=dhcp_pool0 ranges=10.10.10.100-10.10.10.253
/ip dhcp-server add address-pool=dhcp_pool0 comment="Server For Lan" interface=bridge1 lease-time=1d name=dhcp1
/ip dhcp-server network add address=10.10.10.0/24 comment="Network config for Lan" dns-server=10.10.10.254 domain=test.ru \
gateway=10.10.10.254 ntp-server=10.10.10.254
DNS-Server для локальной сети
DNS-сервер (Domain Name System) играет ключевую роль в локальной сети по нескольким причинам:
- Преобразование имен в IP-адреса: DNS позволяет пользователям использовать понятные имена (например, http://www.example.com) вместо числовых IP-адресов (например, 192.168.1.1). Это упрощает доступ к ресурсам в сети, особенно для пользователей, не знакомых с IP-адресацией.
- Упрощение управления сетью: В больших локальных сетях может быть много устройств с различными IP-адресами. DNS позволяет администраторам легко управлять именами устройств, что упрощает процесс администрирования и мониторинга.
- Локальные ресурсы: DNS-сервер может быть настроен для обслуживания локальных доменных имен, что позволяет пользователям в сети легко находить и подключаться к локальным ресурсам (например, принтерам, серверам и другим устройствам) без необходимости запоминать IP-адреса.
- Кэширование: DNS-серверы могут кэшировать результаты запросов, что ускоряет доступ к часто используемым ресурсам и снижает нагрузку на внешние DNS-сервисы. Это может значительно улучшить производительность сети.
- Управление доступом: С помощью DNS можно реализовать различные механизмы управления доступом, включая фильтрацию по доменным именам и перенаправление запросов на определенные IP-адреса в зависимости от нужд организации.
- Упрощение сетевых настроек: В локальных сетях с DHCP (Dynamic Host Configuration Protocol) DNS-сервер может автоматически обновлять записи о новых устройствах, что облегчает настройку и уменьшает вероятность ошибок.
- Поддержка служб: Многие сетевые службы, такие как электронная почта, веб-серверы и другие приложения, зависят от DNS для корректной работы. DNS обеспечивает необходимую инфраструктуру для правильного функционирования этих служб.
Опция allow-remote-requests вывешивает 53 порт на все интерфейсы (кэширующий dns-сервер). Нужно прикрыть 53 порт на внешнем интерфейсе в Firewall
- Код: выделить все
/ip dns set allow-remote-requests=yes cache-max-ttl=10m servers=195.0.1.254,2000:2cc0:13b1:3333::1
Настраиваем doh DNS сервера от Google
- Код: выделить все
/tool fetch url=https://curl.se/ca/cacert.pem
/certificate import file-name=cacert.pem passphrase=""
/ip dns set allow-remote-requests=yes cache-max-ttl=10m use-doh-server=https://dns.google/dns-query verify-doh-cert=yes
/ip/dns/static {
add address=8.8.8.8 comment="For doh-server" name=dns.google type=A
add address=8.8.4.4 name=dns.google type=A
add address=2001:4860:4860::8888 name=dns.google type=AAAA
add address=2001:4860:4860::8844 name=dns.google type=AAAA
add comment="forward requests to an authoritative server" forward-to=2000:2cc0:13b1:3333::3 match-subdomain=yes name=free-adm.ru type=FWD
add forward-to=195.0.1.3 match-subdomain=yes name=free-adm.ru type=FWD
}
Статические записи для google DNS были добавлены для установки связи с doh-server, так как не указаны сервера работающие по незащищённому 53 порту. Запись type=FWD направляет все запросы к хостам в домене free-adm.ru на авторитетный сервер отвечающий за зону.
- Код: выделить все
/ip dns set servers=""
Убираем все DNS-серверы не относящиеся к DOH:
для CloudFlare (1.1.1.1):
- Код: выделить все
/tool fetch url=https://cacerts.digicert.com/DigiCertGlobalRootCA.crt.pem
/certificate import file-name=DigiCertGlobalRootCA.crt.pem passphrase=""
/ip dns set allow-remote-requests=yes cache-max-ttl=10m use-doh-server=https://1.1.1.1/dns-query verify-doh-cert=yes
/ip dns set servers=""
Нам здесь уже не нужны статические записи DNS, как для google, поскольку в ссылке используется IP адрес, а не имя как для google.
Ограничиваем и отключаем неиспользуемые сервисы
Выставляем ограничение на службы и Отключаем неиспользуемые сервисы
- Код: выделить все
/ip service {
set telnet disabled=yes
set api disabled=yes
set api-ssl disabled=yes
set ftp address=195.0.1.3/32,2000:2cc0:13b1:3333::3/128
set www address=2000:2cc0:13b1:3333::/64,195.0.1.0/24
set ssh address=195.0.1.0/24,2000:2cc0:13b1:3333::/64
set www-ssl address=2000:2cc0:13b1:3333::/64,195.0.1.0/24 disabled=no
set winbox address=195.0.1.0/24,2000:2cc0:13b1:3333::/64
}
Временная зона, NTP Client и Server для локальной сети
Устанавливаем временную зону
- Код: выделить все
/system clock set time-zone-autodetect=no time-zone-name=Europe/Moscow
Настраиваем NTP client и NTP server
- Код: выделить все
/system/ntp/client set enabled=yes
/system/ntp/client servers add address=194.190.168.1
/system/ntp/server set enabled=yes manycast=yes use-local-clock=yes
Вывод текущей даты, времени и временной зоны
- Код: выделить все
/system/clock print
Доступ к роутеру по SMB/CIFS
Активируем доступ к выделенной папке по протоколу SMB/CIFS
- Код: выделить все
/ip/smb/users add name=serg password=newpassword
/ip/smb set enabled=yes interfaces=bridge1
/ip/smb/shares set [ find default=yes ] directory=sata1 disabled=no
смена пароля для пользователя
- Код: выделить все
/ip/smb/user set [find name="serg"] password=MSpaSSwd
Отключаем неиспользуемые сервисные порты
Отключение неиспользуемых сервисных портов в MikroTik является важной практикой в области безопасности. Вот несколько причин, почему это рекомендуется:
- Снижение поверхности атаки: Каждый открытый порт представляет собой потенциальную уязвимость. Отключая неиспользуемые порты, вы уменьшаете количество возможных точек входа для злоумышленников, что снижает риск успешной атаки.
- Защита от несанкционированного доступа: Открытые сервисные порты могут быть использованы для несанкционированного доступа к устройству. Если вы не используете определенные службы, их лучше отключить, чтобы предотвратить возможность доступа через них.
- Уменьшение нагрузки на устройство: Открытые порты могут генерировать ненужный трафик и увеличивать нагрузку на устройство. Отключение неиспользуемых сервисов помогает оптимизировать производительность устройства.
- Упрощение управления: Чем меньше сервисов и портов открыто, тем проще управлять устройством и отслеживать его состояние. Это также облегчает диагностику и мониторинг.
- Соответствие стандартам безопасности: Многие организации и стандарты безопасности (например, PCI DSS) требуют отключения неиспользуемых сервисов и портов как часть политики безопасности.
- Защита от уязвимостей: Некоторые сервисы могут иметь известные уязвимости, которые могут быть использованы злоумышленниками. Отключение этих сервисов помогает защитить устройство от атак, использующих эти уязвимости.
- Код: выделить все
/ip/firewall/service-port {
set tftp disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
}
Ограничения для MAC-server и MAC-winbox
Ограничиваем mac-server и mac-winbox списком интерфейсов, и отключаем mac-ping
- Код: выделить все
/tool mac-server set allowed-interface-list=LAN_IF
/tool mac-server mac-winbox set allowed-interface-list=LAN_IF
/tool mac-server ping set enabled=no
Ограничение MNDP локальной сетью
Ограничение MNDP (MikroTik Neighbor Discovery Protocol) в локальной сети может быть обосновано несколькими причинами, связанными с безопасностью, производительностью и управляемостью сети. Вот некоторые из основных аспектов:
- Безопасность:
- Уязвимости: MNDP может быть использован злоумышленниками для получения информации о вашей сети, включая типы устройств, их IP-адреса и другие параметры. Ограничение MNDP на локальную сеть помогает предотвратить утечку этой информации за пределы защищенной среды.
- Атаки: Если MNDP доступен извне, это может создать возможности для атак, таких как подделка соседей или атаки "человек посередине" (MITM).
- Производительность:
- Избыточный трафик: MNDP генерирует дополнительный сетевой трафик. Если протокол не ограничен, он может привести к увеличению нагрузки на сеть, особенно в больших или перегруженных сетях. Ограничение его использования может помочь снизить ненужный трафик и улучшить общую производительность сети.
- Управляемость:
- Контроль доступа: Ограничение MNDP только на локальную сеть позволяет администраторам лучше контролировать, какие устройства могут взаимодействовать друг с другом. Это упрощает управление сетью и позволяет избежать случайных конфликтов или проблем с конфигурацией.
- Упрощение диагностики: При ограничении MNDP локальной сетью администраторы могут легче отслеживать и диагностировать проблемы, поскольку все взаимодействия происходят в пределах контролируемой среды.
- Соблюдение нормативных требований:
- В некоторых случаях организации могут быть обязаны соблюдать определенные стандарты безопасности и защиты данных. Ограничение MNDP локальной сетью может помочь в соблюдении таких требований, предотвращая ненадлежащий доступ к сетевым устройствам.
- Изоляция сетевых сегментов:
- - В больших сетях может быть полезно изолировать различные сегменты сети для повышения безопасности и управления. Ограничение MNDP на локальную сеть помогает обеспечить, чтобы устройства в разных сегментах не могли обнаруживать друг друга ненадлежащим образом.
Ограничиваем область видимости для протокола MNDP локальной сетью
- Код: выделить все
/ip/neighbor/discovery-settings/set discover-interface-list=LAN
Подключаемся к Radius Server
Подключаемся к Radius Server для авторизации на устройстве
- Код: выделить все
/radius add address=195.0.1.3 secret=password comment="Login Radius Server" service=login src-address=195.0.1.14
/user/aaa set default-group=full use-radius=yes
Графики статистики
Настраиваем отображение статистики по сетевым интерфейсам, а так же по загрузке CPU, RAM и Disk
- Код: выделить все
/tool graphing interface {
add interface=ether1
add interface=bridge1
}
/tool graphing resource add
Обновление системы RouterOS
Можно выбрать ветку из которой будет производиться обновление
- development
- long-term
- stable
- testing
- Код: выделить все
/system package update/set channel=stable
Проверить наличие обновление
- Код: выделить все
/system package update/check-for-updates
Установить обновление
- Код: выделить все
/system package update/install
Обновление аппаратной прошивки
Проверить наличие обновлений аппаратной прошивки:
- Код: выделить все
/system/routerboard/print
Установить обновления аппаратной прошивки в случае ее наличия:
- Код: выделить все
/system/routerboard/upgrade
Перезагрузить маршрутизатор.