fbpx

Mikro Data Center w 7 krokach – cz. 1 (konfiguracja Mikrotik)

W tym artykule zajmę się nowym komponentem mojej sieci. Zacznę tworzyć Mikro Data Center, gdzie będę w przyszłości umieszczał centralne systemy serwerowe.

Artykuł w formie video zobaczysz TUTAJ 🙂

Żeby było zgodnie ze sztuką, zaprojektowałem strefę DMZ i oczywiście dwutorowe połączenie, aby wyeliminować konsekwencje ewentualnej awarii jednego z nich.

Na tej bazie w kolejnych artykułach będę mógł pokazać implementację FreeRadiusa – także zapraszam.

Cały proces rozpisałem sobie na 7 etapów:

  1. Zaplanowanie adresacji
  2. Umieszczenie 2 routerów brzegowych WAN-DMZ
  3. Dodanie 2 routerów wewnętrznych DMZ-Internal
  4. Konfiguracja VRRP
  5. Spięcie tuneli WireGuard
  6. Konfiguracja OSPFa
  7. Ustalenie reguł dla firewalla

Dziś zajmę się trzema pierwszymi krokami.

Topologia

Poniżej przedstawiam dokładniej topologię sieci, na której startuję z pracą.

Wstępna topologia sieci

Rozpoczynam od dodania dwóch gateway’ów – MT1-DC-DMZ oraz MT2-DC-DMZ.

Mikronik MT2-DC-DMZ- tworzenie

Następnie łączę je z siecią WAN.

Dodawanie połączenia dla MT1-DC-DMZ

W konsekwencji powyższych operacji stan mojej sieci wygląda już inaczej:

Nowe mikrotiki

Kolejne działanie to dodanie adresacji IP do interfejsu WAN. Będzie to 10.140.0.0/24. Dlaczego 24?
W związku z tym, że w moim data center planuję więcej podsieci, już z tą myślą wybieram szerszą maskę. Dla kolejnych wewnętrznych sieci będę przydzielał z trzeciego oktetu.

Adresacja IP 10.140.0.2/24

Przechodzę teraz do dalszej rozbudowy – stworzę na razie tylko jedną wewnętrzną sieć DC.

Dodam także dwa kolejne mikrotiki, które będą z nią łączyć – MT3-DC i MT4-DC.

Sieć DC oraz mikrotiki MT3-DC oraz MT4-DC

Wszystkie 4 dodane mikrotiki wymagają teraz ustalenia adresacji.
Każdy z nich pełni tutaj jednocześnie rolę firewalla i routera dla wszystkich zdefiniowanych stref (WAN, DMZ-DC i wewnętrzna strefa DC).

Adresacja dla nowych mikrotików

Tak to sobie zaplanowałem, więc do działam.
Uruchamiam wszystkie 4 mikrotiki i po kolei odpowiednio je konfiguruję.

Pierwszy, drugi, trzeci, czwarty…

Na każdym na początku jest wymuszenie nadania hasła. Następnie można przejść już do właściwych czynności – nadanie adresu IP zewnętrznego, wewnętrznego.
Każdemu z mikrotików nadam też czytelną nazwę, aby ułatwić sobie przeprowadzanie kolejnych konfiguracji.

MT1-DC-DMZ

Adres IP dla sieci zewnętrznej chcę mieć tutaj 10.253.253.112/24.
Zmieniam więc adres przyjęty z automatu pochodzący z DHCP (a było to 10.253.253.102/24).
Dodaję też gateway, serwer DNS.

Z kolei dla sieci wewnętrznej będę chciał mieć adres: 10.140.0.112/24

Nadaję także ustrukturyzowaną nazwę MT1-DC-DMZ.

Konfiguracja MT1-DC-DMZ (WebFig)

Konieczna okazuje się też tu ręczna zmiana na konsoli interfejsu i adresu IP – został dopisany ether 2 i adres 10.140.0.112 a powinen być ether 1 i 10.253.253.112

Po tej zmianie wszystko działa prawidłowo – udane zapingowanie adresu 10.253.253.254 to potwierdza.

Udane pingowanie 10.253.253.254

Teraz pora adres IP wewnętrzny.

Dodawanie nowego adresu IP – MT1-DC-DMZ
Konfigurowanie nowego adresu IP – MT1-DC-DMZ

Mamy już oba adresy skonfigurowane.

Dodane adresy IP – MT1-DC-DMZ

Te same czynności powtórzę dla kolejnego mikrotika.

MT2-DC-DMZ

Adresy IP – MT2-DC-DMZ

Następnie przechodzę do dwóch ostatnich mikrotików – trzeciego i czwartego.

Mimo pierwotnych planów, ostatecznie zmieniłem decyzję i uznałem, że nie będę na nich konfigurował statycznej trasy routingu, bo docelowo w tej strefie będę konfigurował OSPF.

Ograniczę się tu tylko teraz do adresów IP i nadania im ustrukturyzowanych nazw.
Każdorazowo sprawdzę czy lokalnie się one komunikują.


W tym przypadku nie mogę zmian zaprowadzić przez serwer www, bo nie mam ustalonych tras routingu. Korzystam zatem z konsoli. 

Mikrotik 3 – MT3-DC

Dodanie adresu IP – MT3-DC
Prawidłowe pingowanie – MT3-DC
Zmiana nazwy – MT3-DC

Mikrotik 4 – MT4-DC

Dodanie adresu IP – MT4-DC
Prawidłowe pingowanie – MT4-DC
Ustalenie nazwy – MT4-DC

Bridge: MT1-DC-DMZ a MT2-DC-DMZ

Moim celem jest skomunikowanie wzajemne wszystkich czterech mikrotików a nie tylko pojedynczych par. W tym celu zrobię połączenie L2 i bridge między pierwszym i drugim.

Zaczynam od wyłączenia obu mikrotików i stworzenia między nimi połączenia.

Dodawanie połączenia między MT1-DC-DMZ a MT2-DC-DMZ

Tworzę nowy bridge na MT1-DC-DMZ.

Dodawanie bridge’a – MT1-DC-DMZ

Dodaję do niego porty (eth3 i eth 2).

Porty na bridge’u – MT1-DC-DMZ

Następnie przypisuję adres IP.

Te same operacje wykonuję na MT2-DC-DMZ.

Nowy bridge – MT2-DC-DMZ
Porty – MT2-DC-DMZ
Adresacja – MT2-DC-DMZ

Dla zainteresowanych – więcej na temat bridge’y i ich tworzenia omówione zostało w filmie 22T20 Bridgowanie interfejsów [Konfiguracja MikroTik].

Tymczasem wróćmy do dzisiejszego tematu i już na sam koniec zróbmy finalny sprawdzian jak to zadziała, czyli czy faktycznie mam już komunikację mikrotika 1 i 2 zarówno z mikrotikiem 3 jak i 4?

Tak, zapingowanie potwierdza – wszystko działa zgodnie z założeniem.

MT1-DC-DMZ pingowanie do 10.140.0.118 oraz 10.140.0.121
MT2-DC-DMZ pingowanie do 10.140.0.118 oraz 10.140.0.121

Jeśli chcesz zobaczyć jak krok po kroku przebiegała powyższa konfiguracja zapraszam do obejrzenia filmu na YouTube – 22T45 7 Kroków Utworzenia Mikro Data Center [konfiguracja Mikrotik] cz.1.
Możesz w nim zobaczyć, na jakie problemy w międzyczasie natrafiałem i prześledzić razem ze mną sposób ich naprawiania.

Oczywiście dalsze etapy tworzenia mojego mini data center w kolejnym artykule i kolejnym filmie na naszym kanale na YouTube, do których już teraz zapraszam.

Natomiast, jeśli już dziś chciałbyś więcej dowiedzieć się o wspomnianym przez mnie na wstępie Radiusie, zachęcam do wysłuchania podkastu na ten temat – Podkast 22T45 Jak Działa Radius Serwer?


Kliknij w obrazek, aby przejść do zapisu na warsztaty

Autor: Darek Koralewski

Od początku swojej kariery, czyli od 2004 roku, zajmuję się sieciami komputerowymi ze szczególnym uwzględnieniem ich bezpieczeństwa oraz sieciami programowalnymi. Mam na swoim koncie całą listę certyfikatów różnych producentów, dwa najważniejsze to te poświadczające najwyższy poziom wiedzy eksperckiej z zakresu rozwiązań Aruba ClearPass ACCX#901 oraz z projektowania sieci opartych o rozwiązania Aruba ACDX#1255. Więcej informacji możesz znaleźć na moich portalach społecznościowych.