MikroTik Configuration Methods
Więcej miejsc do posłuchania:
Link do artykułu.
0:00 Wprowadzenie
0:11 Skorzystanie z Kabla Konsolowego
7:31 Instalacja Winboxa z Poziomu Konsoli
14:24 Restart Konfiguracji
17:30 Podsumowanie
Transkrypcja
Cześć, kontynuując tematy związane z MikroTikiem w dzisiejszym odcinku pokażę, w jaki sposób można konfigurować router MikroTik. Zapraszam.
Jednym ze sposobów konfiguracji routera MikroTik jest skorzystanie z kabla konsolowego. W EVE-NG takie połączenie można zasymulować uruchamiając router MikroTik, ponownie na niego klikając a następnie Otwórz. Zostanie zestawiona sesja Telnet, która symuluje połączenie konsolowe. Domyślnym loginem jest admin, bez hasła. Tutaj przy prośbie o przeczytanie warunków licencji możemy nacisnąć “nie”. Wpisujemy nowe hasło dla routera MikroTik, ponownie wpisujemy nowe hasło i już mamy dostęp do panelu konfiguracyjnego. Jest to taka pierwsza podstawowa metoda konfiguracji z wykorzystaniem konsoli. Teraz co chcemy zrobić, to sprawdzić adres IP, przez który moglibyśmy podłączyć się z zewnątrz. Poleceniem ip/address/print możemy wypisać adresy IP, które są przypisane do interfejsów sieciowych w MikroTiku. W tym przypadku nic nie zostało wypisane z tego względu, że jeszcze do routera MikroTik nie podłączyliśmy żadnego interfejsu sieciowego. Sprawdźmy jaki jest domyślny adres IP w domyślnej konfiguracji systemowej. Jest to konfiguracja stosowana w sytuacji, gdy MikroTik jest jedynym podstawowym routerem w naszej sieci. Taką konfigurację możemy sprawdzić poleceniem system/default-configuration/print. Po naciśnięciu klawisza enter zostanie wypisana konfiguracja. Już w pierwszej linii mamy wskazany adres IP 192.168.88.1 z maską 24 bitową, który jest na interfejsie ether1. Domyślnie widać, że ten interfejs jest podniesiony. Tutaj możemy też wyczytać, że ta konfiguracja by miała zastosowanie po pięciu sekundach od uruchomienia routera. Gdy nic by się więcej nie działo. Tutaj mamy właśnie notatkę, że ten skrypt nie zostałby wykonany gdy w sieci jest dostępny m.in. serwer DHCP. Czyli router MikroTik nasłuchuje serwera DHCP, aby przydzielić dynamicznie odpowiednią konfigurację z tego serwera. Teraz jest sprawdzana konfiguracja jaka jest otrzymywana z serwera DHCP. Tutaj aktualnie po wykonaniu polecenia ip/dhcp-client/print jest wypisany interfejs ether1 z informacją, że szuka serwera DHCP, który mógłby mu dać konfigurację. Teraz zostanie wyłączony router MikroTik poleceniem system/shutdown. Naciskamy Y I enter. Router został wyłączony. Teraz dodamy interfejs sieciowy. Naciskamy Add new object, następnie Network, z listy Type wybieramy typ interfejsu Management(Cloud0). Jest to przypisanie interfejsu fizycznego EVE-NG do maszyny wirtualnej. Dzięki temu będziemy mogli się do niej podłączyć tak jakby to było urządzenie fizyczne w naszej sieci. Nie będziemy musieli już emulować połączenia konsolowego. Teraz łączymy interfejsy sieciowe: Interfejs eth1 z MikroTika podłączamy do naszej sieci. Uruchamiamy ponownie router MikroTik. Teraz połączymy się ponownie konsolą, aby sprawdzić jaki adres dostał router. Login admin tutaj już jest z nowym hasłem. Poleceniem ip/address/print wyświetlamy wszystkie adresy IP przypisane do jakiegokolwiek interfejsu. Tutaj widać, że mamy na interfejsie ether1 przypisany adres IP 10.253.253.103 z maską 24 bitową. Kilka odcinków wcześniej był instalowany serwer DHCP w VLANie 253. Właśnie z tego VLANu ten router MikroTik, od tamtego konkretnego serwera DHCP otrzymał konfigurację. Wskazuje na to też ta litera D. Że jest to adres od serwera DHCP. Sprawdźmy jeszcze stan klienta DHCP. Poleceniem ip/dhcp-client/print tym razem widzimy informację, że klient DHCP otrzymał od serwera adres 10.253.253.103 z maską 24 bitową. Posiada trasę domyślną, że jest to trasa domyślna dla routera. W konfiguracji też otrzymał konfigurację DNS. Wszystko to jest na interfejsie 1. Teraz korzystając z tego adresu IP, który wyczytaliśmy z konfiguracji routera MikroTik podłączymy się z tym routerem. Tak wygląda panel logowania do routerów, do systemu RouterOS w wersji 7.2. WebFig to jest ta aplikacja MikroTika webowa, z której też można konfigurować router MikroTik. Ten panel jest drugą metodą konfiguracji. Kolejną jest WinBox widoczny tutaj na liście przydatnych linków. Ten link od razu umożliwia pobranie programu WinBox. Nie trzeba go szukać nigdzie w Internecie. Link też jest dostępny na stronie MikroTik. Tutaj mamy obok link otwierający konsolę Telnet-ową. Widzimy, że tutaj jest od razu wypełniony adres IP naszego routera. Nie będzie to połączenie symulowane, tylko jak w przypadku EVE-NG, zobaczmy. Po kliknięciu w to łącze widzimy taki komunikat jak w przypadku EVE-NG, ale dostajemy się bezpośrednio do routera. Dane logowania są takie same. Mamy konsolę Telnet-ową. Na grafie możemy zobaczyć, jak wygląda ruch sieciowy przechodzący przez nasz router MikroTik. Teraz nie mamy tutaj żadnego wykresu, bo router jest świeżo zainstalowany i nie przechodzą przez niego żadne pakiety. Więc tak, WinBoxa możemy zainstalować klikając właśnie w łącze WinBox a następnie ten plik, który się pobierze na dysk.
Ja osobiście preferuję inną metodę, dlatego tutaj anulujemy pobieranie i otworzę tutaj teraz Terminal systemu Windows jako Administrator. Mamy PowerShell. Do instalacji WinBoxa z poziomu konsoli będzie potrzebny manager pakietów Chocolatey. W artykule na blogu umieszczę tzw. one-liner którym będzie można zainstalować Chocolatey i od razu zainstalować WinBox-a wykorzystując właśnie ten manager pakietów. A więc jeśli masz już zainstalowany Chocolatey to wykonaj polecenie choco install winbox -y. To jest oficjalna paczka opublikowana w repozytorium Chocolatey przez firmę MikroTik. I WinBox został zainstalowany. Możemy zamknąć terminal od razu, aby porównać ustawienia z poziomu WinBox-a i z poziomu webUI zaloguję się do WebFiga. Tutaj mamy podstawową konfigurację. A WinBox jest dostępny od razu w menu Start. Trzeba zezwolić na ruch na Firewallu dla WinBox-a. Następnie przejść do zakładki Neighbors. W tym miejscu WinBox powinien wykryć dostępne w sieci urządzenia MikroTika. Jeżeli nie ma to trzeba nacisnąć Refresh i będzie dostępny tutaj na liście ten konkretny MikroTik. Gdyby router nie został podłączony w EVE-NG w taki sposób jak właśnie tym linkiem, to tutaj to urządzenie by nie było widoczne, więc trzeba o tym pamiętać. Mógłby też być problem z dostępem do urządzenia, gdyby urządzenie fizyczne, chodzi w tym przypadku o komputer, nie było też dostępne w tej sieci. W jednym z poprzednich odcinków był konfigurowany dostęp przez Access Point Aruby. Właśnie tą metodą się łączę z VLANem 253. Ale w tym przypadku połączenie przez OpenVPN też powinno zadziałać. A więc aby się połączyć z routerem naciskamy dwukrotnie na router na liście. Zostanie wpisany jego adres MAC w polu Connect To. Domyślny login admin. Po naciśnięciu Connect, jeśli hasło by było poprawne a zostało już ustawione inne nastąpiłoby połączenie. Mamy tutaj komunikat właśnie, że hasło albo nazwa użytkownika jest niepoprawne. Wpisujemy hasło, które podaliśmy na routerze MikroTik, naciskamy Connect i trwa łączenie.
Mamy dostęp do interfejsu WinBoxa. Możemy sobie zobaczyć interfejsy, jaki ruch przez nie przechodzi. Tutaj jak widać pozycje są podobne do poleceń, które wpisywało się na routerze MikroTik, np IP > Addresses. Wyświetla właśnie wszystkie adresy IP, które są na routerze MikroTik podobnie jak ta sama komenda, z poziomu terminala, którą pokazywałem na początku filmu. W IP > DHCP Client jest właśnie widoczny przydzielony adres IP z serwera DHCP i co ciekawe jest też pokazana informacja o pozostałym czasie dzierżawy. To samo co jest w WinBox-ie też jest w WebFig-u w menu po lewej stronie. Np IP Addresses, DHCP Client. Tryb bezpieczny jest to taka funkcjonalność MikroTika, po której włączeniu zabezpieczamy się przed tym, że utracimy dostęp do routera. Jest to szczególnie właśnie przydatne, gdy łączymy się po adresie IP a nie bezpośrednio kablem konsolowym. Jeżeli ta opcja nie byłaby wcześniej włączona i zostalibyśmy odcięci od routera, to nie moglibyśmy w łatwy sposób się do niego z powrotem podłączyć. Jeśli ta opcja jest załączona tak jak teraz i byśmy wykonali jakąś komendę, która spowoduje, że utracimy dostęp. Np. zmienilibyśmy adres IP na taki, który jest w zupełnie innej sieci i odłączyłoby nas od routera, to wszystkie ustawienia, które były wprowadzane od momentu załączenia tej opcji zostałyby cofnięte i byśmy mogli się ponownie podłączyć do routera. Dlatego z tego względu też trzeba pamiętać, że jeżeli korzystamy z tej opcji i już po skonfigurowaniu wszystko nadal działa, nadal jesteśmy podłączeni, to przed rozłączeniem sesji wcześniej trzeba wyłączyć tą opcję, aby nie doszło do skasowania wprowadzonych w tym czasie ustawień. Tutaj wyświetlił się błąd z tego względu, że ta opcja już jest włączona u innego użytkownika. A w zasadzie na innej sesji w ramach tego samego urządzenia. Widząc coś takiego możemy też być pewni, że ktoś już pracuje na routerze i jakiekolwiek działanie przy próbie działania w trybie bezpiecznym spowodowałoby prawdopodobne odcięcie jednej ze stron od konfiguracji. Dlatego właśnie nie można dwa razy włączyć tego trybu. Np. tutaj wyłączamy ten tryb. W tym miejscu można to zrobić. Warto też zostawić włączoną opcję Hide Passwords, nie będą wtedy wyświetlane jawnie hasła podczas konfiguracji.
Możemy zresetować konfigurację. Ustawienia resetu MikroTika do ustawień fabrycznych są następujące: Keep users zachowuje użytkowników, klucze SSH i inne dane dostępowe. CAPS Mode – po zaznaczeniu tej opcji router będzie szukał serwera CAPsMAN. Zaznaczenie opcji No Default Configuration spowoduje, że nie będzie ładowana domyślna konfiguracja z pliku, który pokazałem na początku i Do Not Backup – ta opcja oznacza, że nie będzie tworzony Backup przed przywróceniem ustawień fabrycznych. W innym przypadku byłby tworzony taki Backup i byłaby możliwość jego przywrócenia. Tutaj możemy wpisać nazwy skryptów, poleceń, które mają zostać wykonane po resecie. Naciskamy Reset Configuration. Jesteśmy zapytani czy na pewno chcemy przywrócić ustawienia fabryczne i uruchomić ponownie router. Wybieramy Yes. Za chwilę router straci połączenie z WinBox-em i spróbuje się połączyć automatycznie. Mamy komunikat o błędnym haśle. Musimy usunąć hasło, bo po przywróceniu ustawień fabrycznych nie mamy zachowanego hasła. Ten formularz może nas trochę wprowadzić w błąd, bo w tym przypadku nadal nie mamy hasła. Trzeba wypełnić tylko pole New Password i Confirm Password. Naciskamy Change Now. Hasło zostało ustawione. Adres IP został przydzielony ten sam, z serwera DHCP. Mamy też możliwość otworzenia terminala w WinBox-ie. Bardzo wygodne rozwiązanie. Ten sam terminal jest też dostępny z poziomu przeglądarki. Widać, że WinBox ma w pamięci jeszcze puste hasło. Dodamy teraz kilka elementów do Dashboard-u. Tu jak widać można dostosowywać sobie do własnych potrzeb. Błędna godzina może być związana z godziną, którą dostarcza EVE-NG lub błędnie ustawioną strefą czasową. Bo nie konfigurowaliśmy jeszcze ani strefy ani żadnych innych rzeczy związanych z regionem. Traffic nadal pusty. Jak widać WebFig i WinBox nie odbiegają od siebie funkcjonalnością.
Mam nadzieję, że ten poradnik był dla Ciebie pomocny. Daj znać w komentarzu, jaki sposób konfiguracji jest dla Ciebie najwygodniejszy. Do następnego razu.