Настройка и использование гостевой сети Wi-Fi

Преимущества гостевой сети WiFi

Гостевая сеть предоставляет пользователям доступ к более крупной сети другого пользователя с ограниченным разрешением. Они часто управляются предприятиями, но стали чаще встречаться и в домашних сетях. В домашней сети гостевая сеть представляет собой локальную сеть ( подсеть ), управляемую одним и тем же маршрутизатором, который управляет своей основной локальной сетью.

Сети гостей улучшают безопасность сети. Например, с домашней гостевой сетью вы можете предоставить друзьям доступ к вашему интернет-соединению, не разделяя ваш пароль Wi-Fi, а также строго ограничивать, какую информацию в вашей домашней сети они могут видеть. Они также сохраняют основную сеть защищенной от сетевых червей, которые в противном случае могут быть распространены на другие компьютеры, если посетитель подключается к зараженному устройству.

Поддерживает ли ваш маршрутизатор гостевую сеть?

Только маршрутизаторы бизнес-класса и некоторые виды домашних маршрутизаторов имеют встроенные возможности гостевой сети. Иногда вы должны проверить веб-сайт производителя и документацию, чтобы узнать, делают ли вы это. Кроме того, войдите в административный интерфейс маршрутизатора и найдите соответствующие параметры меню. Большинство из них имеют раздел конфигурации гостевой сети, за некоторыми исключениями:

  • Маршрутизаторы D-Link обычно называют это «гостевой зоной»

  • Linksys также поддерживает инструмент «Гостевой доступ» через интерфейс удаленного управления Linksys Smart Wi-Fi

Некоторые маршрутизаторы поддерживают только одну гостевую сеть, в то время как другие могут одновременно запускать несколько из них. Двухдиапазонные беспроводные маршрутизаторы часто поддерживают два — один на частоте 2,4 ГГц и один на частоте 5 ГГц. Хотя нет практической причины, по которой человеку требуется больше, чем по одной группе, некоторые беспроводные маршрутизаторы Asus RT обеспечивают до шести гостевых сетей.

Когда гостевая сеть активна, ее устройства работают с отдельным диапазоном IP-адресов, чем у других устройств. Маршрутизаторы Linksys, например, резервируют диапазоны адресов 192.168.3.1-192.168.3.254 и 192.168.33.1-192.168.33.254 для своих гостей.

Как настроить гостевую сеть Wi-Fi

Следуйте этим основным шагам, чтобы настроить гостевую сеть дома:

  1. Войдите в интерфейс администратора и активируйте функцию гостевой сети. Домашние маршрутизаторы отключены по умолчанию и обычно предоставляют возможность включения / выключения.

  2. Подтвердите имя сети. Гостевые сети на домашних беспроводных маршрутизаторах работают с использованием другого SSID, чем основная сеть маршрутизатора. Некоторые домашние маршрутизаторы автоматически определяют имя гостевой сети как имя первичной сети с суффиксом «-guest», в то время как другие позволяют вам выбирать свое имя.

  3. Включить или отключить трансляцию SSID. Маршрутизаторы обычно поддерживают широковещательную рассылку SSID, что позволяет найти их сетевое имя на устройствах, которые сканируются для ближайших сетей Wi-Fi. Отключение трансляции скрывает имя от сканирования устройства и требует, чтобы гости вручную настраивали свои подключения. Некоторым людям нравится отключать передачу SSID для гостевых сетей, чтобы избежать того, чтобы их домохозяйство увидело два разных имени. (Если маршрутизатор имеет гостевую сеть, он может передавать два имени, один для основной сети и один для гостя).

  4. Введите настройки безопасности Wi-Fi. Домашние маршрутизаторы поддерживают различные пароли безопасности (или ключи или кодовые фразы) между гостевой и основной сетями. Например, некоторые маршрутизаторы Linksys используют специальный пароль по умолчанию для «гостя» для входа в свои гостевые сети. Измените настройки по умолчанию и выберите пароли, которые достаточно легки, чтобы запоминать и делиться с друзьями, но не слишком легко для гадательных соседей угадать.

  5. Включите другие параметры безопасности по мере необходимости. Домашние маршрутизаторы могут ограничить доступ гостевой сети к Интернету или локальным ресурсам домашней сети (файловым ресурсам и принтерам). Некоторые маршрутизаторы разрешают только гостевой доступ к Интернет-соединению, а не к локальной сети, в то время как другие делают это опцией. Если у вашего маршрутизатора есть опция, подумайте о том, чтобы позволить гостям путешествовать по Интернету. Например, некоторые маршрутизаторы Netgear предоставляют флажку для администраторов: «Разрешать посетителям видеть друг друга и получать доступ к моей локальной сети» — при условии, что этот флажок не отмечен, блокирует их доступ к локальным ресурсам, но все же позволяет им подключаться к сети через общее интернет-соединение.

  6. Подтвердите максимальное количество разрешенных гостей. Домашние маршрутизаторы часто устанавливают настраиваемый предел количества подключений к сети гостя. (Обратите внимание, что этот параметр представляет собой несколько устройств, а не людей.) Установите этот предел на низкое число, если вас беспокоит слишком много посетителей, которые прыгают в ваше интернет-соединение одновременно.

Использование гостевой сети

Присоединение к домашней гостевой беспроводной сети работает так же, как подключение к общедоступной точке доступа Wi-Fi . Член домохозяйства должен указать имя сети (в частности, если они не используют широковещательную передачу SSID) и предоставить пароль безопасности при условии, что он включил его. Наиболее распространенной причиной сбоев сетевого подключения к гостя является использование неправильных паролей — обратите особое внимание на правильность их ввода.

Будьте вежливы и попросите, прежде чем пытаться присоединиться к кому-то гостевой сети. Если вы планируете активно использовать подключение к Интернету, заранее сообщите владельцам домовладельцев. Некоторые домашние маршрутизаторы позволяют администратору установить лимит времени на то, как долго гостевое устройство может оставаться на связи. Если ваше гостевое соединение внезапно перестает работать, обратитесь к домовладельцу, поскольку это может быть проблемой только на гостевой стороне сети, о которой они не знают.

https://www.youtube.com/watch?v=B7iedUBBN4Q



2018-10-18T10:56:00
Вопросы читателей

Настройка, прокачка, запуск и автоматизация OpenVAS на Kali Linux

Пользователи часто запрашивают дополнение сканеров уязвимостей в Kali, в первую очередь те, которые начинаются с «N», но из-за ограничений лицензирования мы не включаем их в дистрибутив.

К счастью, Kali включает в себя очень способный OpenVAS, который является бесплатным и c открытым исходным кодом.

Хотя мы вкратце рассмотрели OpenVAS в прошлом, мы решили посвятить более тщательную публикацию о том, как настраивать, запускать и автоматизировать OpenVAS на Kali Linux.

Это просто потому, что сканеры уязвимостей часто имеют слабую репутацию, прежде всего потому, что их роль и цель неправильно поняты.

Сканеры Vulnerabilty сканируют уязвимости – но они не являются волшебными машинами эксплойта и должны быть одним из многих источников информации, используемых в оценке безопасности.

Слепой запуск сканера уязвимостей на цель почти наверняка закончится разочарованием и горем, с десятками (или даже сотнями) результатов низкого уровня или неинформативных результатов.

Системные Требования

Основная жалоба, которую получают о OpenVAS (или любом другом сканере уязвимостей), можно резюмировать как «она слишком медленная и сбойная и не работает, и это плохо, и очень плохо».

Почти во всех случаях медленность и / или сбои связаны с недостаточными системными ресурсами.

OpenVAS имеет десятки тысяч сигнатур, и если вы не дадите вашей системе достаточного количества ресурсов, особенно оперативной памяти, вы окажетесь в мире страданий.

Для некоторых коммерческих сканеров уязвимостей требуется как минимум 8 ГБ ОЗУ и рекомендуется еще больше.

OpenVAS не требует около такого объема памяти, но чем больше вы можете предоставить ему, тем более плавно система сканирования будет работать.

Для этого урока  наша виртуальная машина Kali имеет 3 процессора и 3 ГБ оперативной памяти, что обычно достаточно для сканирования небольшого количества хостов одновременно.

Начальная установка OpenVAS в Кали

У OpenVAS много движущихся частей, и настройка вручную может быть проблемой.

К счастью, Kali содержит простую в использовании утилиту под названием «openvas-setup», которая занимается настройкой OpenVAS, загрузкой сигнатур и созданием пароля для пользователя admin.

Эта первоначальная настройка может занять довольно много времени, даже при быстром подключении к Интернету, можно просто сидеть сложа руки.

В конце настройки будет отображаться автоматически созданный пароль для пользователя admin.

Обязательно сохраните этот пароль где-нибудь в безопасности.

root@kali:~# openvas-setup

ERROR: Directory for keys (/var/lib/openvas/private/CA) not found!

ERROR: Directory for certificates (/var/lib/openvas/CA) not found!

ERROR: CA key not found in /var/lib/openvas/private/CA/cakey.pem

ERROR: CA certificate not found in /var/lib/openvas/CA/cacert.pem

ERROR: CA certificate failed verification, see /tmp/tmp.7G2IQWtqwj/openvas-manage-certs.log for details. Aborting.ERROR: Your OpenVAS certificate infrastructure did NOT pass validation.

See messages above for details.

Generated private key in /tmp/tmp.PerU5lG2tl/cakey.pem.

Generated self signed certificate in /tmp/tmp.PerU5lG2tl/cacert.pem.

...

/usr/sbin/openvasmd

User created with password 'xxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxx'.

Работа с ошибками установки

Иногда скрипт «openvas-setup» будет отображать ошибки в конце загрузки NVT, аналогичные приведенным ниже.

(openvassd:2272): lib kb_redis-CRITICAL **: get_redis_ctx: redis connection error: No such file or directory

(openvassd:2272): lib kb_redis-CRITICAL **: redis_new: cannot access redis at '/var/run/redis/redis.sock'

(openvassd:2272): lib kb_redis-CRITICAL **: get_redis_ctx: redis connection error: No such file or directory

openvassd: no process found

Если вам посчастливилось столкнуться с этой проблемой, вы можете запустить «openvas-check-setup», чтобы узнать, какой компонент вызывает проблемы.

В этом конкретном случае мы получаем следующее из скрипта:

...

ERROR: The number of NVTs in the OpenVAS Manager database is too low.

FIX: Make sure OpenVAS Scanner is running with an up-to-date NVT collection and run 'openvasmd --rebuild'.

...

Скрипт «openvas-check-setup» обнаруживает проблему и даже предоставляет команду для запуска (надеюсь) решения этой проблемы.

После восстановления коллекции NVT рекомендуется пройти все проверки.

root@kali:~# openvasmd --rebuild

root@kali:~# openvas-check-setup

openvas-check-setup 2.3.7

Test completeness and readiness of OpenVAS-9

...

It seems like your OpenVAS-9 installation is OK.

...

Управление пользователями OpenVAS

Если вам нужно (или хотите) создать дополнительных пользователей OpenVAS, запустите ‘openvasmd’ с параметром -create-user, который добавит нового пользователя и отобразит случайно сгенерированный пароль.

root@kali:~# openvasmd --create-user=dookie

User created with password 'yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyy'.

root@kali:~# openvasmd --get-users

admin

dookie

К счастью, изменение паролей пользователей OpenVAS легко осуществляется с помощью опции «openvasmd» и «new-password».

root@kali:~# openvasmd --user=dookie --new-password=s3cr3t

root@kali:~# openvasmd --user=admin --new-password=sup3rs3cr3t

Запуск и остановка OpenVAS

Сетевые службы по умолчанию отключены в Kali Linux, поэтому, если вы не настроили OpenVAS для запуска при загрузке, вы можете запустить необходимые службы, запустив «openvas-start».

root@kali:~# openvas-start

Starting OpenVas ServicesПосле того, как у вас есть список хостов, вы можете импортировать их в разделе «Цели» в меню «Конфигурация».

Когда службы завершают инициализацию, вы должны найти TCP-порты 9390 и 9392, которые прослушивают ваш loopback-интерфейс.

root@kali:~# ss -ant

State Recv-Q Send-Q Local Address:Port Peer Address:Port

LISTEN 0 128 127.0.0.1:9390 *:*

LISTEN 0 128 127.0.0.1:9392 *:*

Из-за нагрузки на системные ресурсы вы, вероятно, захотите остановить OpenVAS, когда вы закончите использовать его, особенно если вы не используете специальную систему для сканирования уязвимостей.

OpenVAS можно остановить, запустив «openvas-stop».

root@kali:~# openvas-stop

Stopping OpenVas Services

Использование Greenbone Security Assistant

Greenbone Security Assistant – это веб-интерфейс OpenVAS, доступный на вашем локальном компьютере (после запуска OpenVAS) на https://localhost: 9392.

После принятия самозаверенного сертификата вам будет представлена страница входа в систему и после аутентификации вы увидите основную панель.

Настройка учетных данных

Сканеры уязвимостей обеспечивают наиболее полные результаты, когда вы можете предоставить механизму сканирования учетные данные для использования на сканируемых системах.

OpenVAS будет использовать эти учетные данные для входа в сканированную систему и выполнения подробного перечисления установленного программного обеспечения, патчей и т. д.

Вы можете добавить учетные данные через запись «Credentials» в меню «Configuration».

Конфигурация цели

OpenVAS, как и большинство сканеров уязвимостей, может сканировать удаленные системы, но это сканер уязвимостей, а не сканер портов.

Вместо того, чтобы полагаться на сканер уязвимостей для идентификации хостов, вы значительно упростите свою жизнь с помощью специализированного сетевого сканера, такого как Nmap или Masscan, и импортируйте список целей в OpenVAS.

root@kali:~# nmap -sn -oA nmap-subnet-86 192.168.86.0/24

root@kali:~# grep Up nmap-subnet-86.gnmap | cut -d " " -f 2 > live-hosts.txt

После того, как у вас есть список хостов, вы можете импортировать их в разделе «target» в меню «Configuration».

Конфигурация сканирования

Перед запуском сканирования уязвимостей вы должны точно настроить Scan Config/,

Это можно сделать в разделе “Scan Configs” в меню “Config”.

Вы можете клонировать любую конфигурацию сканирования по умолчанию и редактировать ее параметры, отключая любые службы или проверки, которые вам не нужны.

Если вы используете Nmap для проведения предварительного анализа ваших целевых объектов, вы можете сэкономить время сканирования уязвимости.

Конфигурация задачи

Ваши учетные данные, цели и конфигурации сканирования настроены таким образом, что теперь вы готовы собрать все вместе и запустить сканирование уязвимостей.

В OpenVAS сканирование уязвимостей проводится как «tasks».

Когда вы настраиваете новую задачу, вы можете дополнительно оптимизировать сканирование путем увеличения или уменьшения одновременных действий, которые происходят.

С нашей системой с 3 ГБ оперативной памяти мы скорректировали наши настройки задач, как показано ниже.

Благодаря нашим более точно настроенным параметрам сканирования и целевому выбору результаты нашего сканирования намного полезнее.

Автоматизация OpenVAS

Одной из менее известных функций OpenVAS является интерфейс командной строки, с которым вы взаимодействуете с помощью команды «omp».

Его использование не совсем интуитивно, но мы не единственные поклонники OpenVAS, и мы столкнулись с несколькими базовыми скриптами, которые вы можете использовать и расширить сканирование для автоматизации OpenVAS.

Первый – openvas-automate.sh от mgeeky, полуинтерактивный скрипт Bash, который предлагает вам тип сканирования и заботится обо всем остальном.

Конфигурации сканирования жестко закодированы в сценарии, поэтому, если вы хотите использовать свои настроенные конфиги, их можно добавить в разделе «targets».

root@kali:~# apt -y install pcregrep

root@kali:~# ./openvas-automate.sh 192.168.86.61:: OpenVAS automation script.

mgeeky, 0.1[>] Please select scan type:

1. Discovery

2. Full and fast

3. Full and fast ultimate

4. Full and very deep

5. Full and very deep ultimate

6. Host Discovery

7. System Discovery

9. Exit



--------------------------------

Please select an option: 5



[+] Tasked: 'Full and very deep ultimate' scan against '192.168.86.61'

[>] Reusing target...

[+] Target's id: 6ccbb036-4afa-46d8-b0c0-acbd262532e5

[>] Creating a task...

[+] Task created successfully, id: '8e77181c-07ac-4d2c-ad30-9ae7a281d0f8'

[>] Starting the task...

[+] Task started. Report id: 6bf0ec08-9c60-4eb5-a0ad-33577a646c9b

[.] Awaiting for it to finish. This will take a long while...



8e77181c-07ac-4d2c-ad30-9ae7a281d0f8 Running 1% 192.168.86.61

Мы также наткнулись на сообщение в блоге по code16, которое представляет и объясняет их скрипт Python для взаимодействия с OpenVAS.

Подобно скрипту Bash выше, вам нужно будет внести некоторые изменения в скрипт, если вы хотите настроить тип сканирования.

root@kali:~# ./code16.py 192.168.86.27

------------------------------------------------------------------------------

code16

------------------------------------------------------------------------------

small wrapper for OpenVAS 6[+] Found target ID: 19f3bf20-441c-49b9-823d-11ef3b3d18c2

[+] Preparing options for the scan...

[+] Task ID = 28c527f8-b01c-4217-b878-0b536c6e6416

[+] Running scan for 192.168.86.27

[+] Scan started... To get current status, see below:zZzzZzzZzzZzzZzzZzzZzzZzzZzzZzzZzzZzzZzzZzzZzzZzzZzzZzzZzzZzzZzzZzzZzzZzzZzz

...

zZzzZzzZzzZzzZzzZzzZzzZzzZzzZzzZzzZzzZzzZzzZzzZzzZzzZzzZzzZzzZzzZzzZzzZzzZzz



[+] Scan looks to be done. Good.

[+] Target scanned. Finished taskID : 28c527f8-b01c-4217-b878-0b536c6e6416

[+] Cool! We can generate some reports now ... :)

[+] Looking for report ID...

[+] Found report ID : 5ddcb4ed-4f96-4cee-b7f3-b7dad6e16cc6

[+] For taskID : 28c527f8-b01c-4217-b878-0b536c6e6416



[+] Preparing report in PDF for 192.168.86.27



[+] Report should be done in : Report_for_192.168.86.27.pdf

[+] Thanks. Cheers!

 



2018-10-18T09:42:08
Аудит ИБ

Всё о USB-адаптере Wi-Fi TP-LINK TL-WN725N

В мире современных технологий люди всё больше отказываются от физических носителей и проводных технологий, отдавая предпочтение интернету и беспроводным сетям. Но что делать, если у вас стационарный компьютер, а из него ещё и необходимо сделать точку доступа для всей квартиры? В таком случае можно воспользоваться встраиваемым адаптером, например, TP-LINK TL-WN725N.
Читать

Автоматика для ворот: выбираем устройства для установки без помощи других

Для надежной защиты частной территории и гаражей никак нельзя без автоматических ворот. Ведь верно, использовать автоматические устройства гораздо элементарнее и удобнее, чем крупные, тяжелые приспособления. 70% людей отдают предпочтение именно дистанционным системам. Кроме того, множество хозяев предпочитает устанавливать автоматику для ворот без помощи других. В принципе, в этом нет ничего сложного и необычного, главное – правильно подобрать приборы. Читать

Описание кодов ошибок VPN

Виртуальная частная сеть (VPN) делает защищенные подключения, называемые VPN-туннелями между локальным клиентом и удаленным сервером, обычно через Интернет. VPN может быть сложно настроить и продолжать работать из-за использования специализированных технологий.

При сбое подключения VPN клиентская программа сообщает сообщение об ошибке, обычно включающее номер кода. Существует сотни различных кодов ошибок VPN, но в большинстве случаев появляются только некоторые.

Для многих ошибок VPN требуются стандартные процедуры устранения неполадок в сети:

  • Убедитесь, что компьютер, на котором запущен клиент VPN, подключен к Интернету (или другой глобальной сети ), и что доступ к внешней сети работает.

  • Убедитесь, что VPN-клиент имеет правильные сетевые настройки, необходимые для работы с целевым VPN-сервером.

  • Временно отключите брандмауэр локальной сети, чтобы определить, вмешивается ли это в VPN-связь. Для некоторых типов VPN требуется, чтобы определенные сетевые порты были открыты.

Ниже вы найдете более конкретные способы устранения неполадок:

Ошибка VPN 800

«Невозможно установить соединение» — клиент VPN не может связаться с сервером. Это может произойти, если VPN-сервер неправильно подключен к сети, сеть временно отключена или сервер или сеть перегружены трафиком. Ошибка также возникает, если клиент VPN имеет неправильные настройки конфигурации. Наконец, локальный маршрутизатор может быть несовместим с типом используемого VPN и требует обновления прошивки маршрутизатора .

Ошибка VPN 619

«Подключение к удаленному компьютеру невозможно установить». Проблема конфигурации брандмауэра или порта предотвращает создание VPN-клиента VPN, даже если сервер может быть достигнут.

Ошибка VPN 51

«Не удается связаться с подсистемой VPN» — клиент Cisco VPN сообщает об этой ошибке, когда локальная служба не запущена или клиент не подключен к сети. Возобновление службы VPN и / или устранение неполадок локального сетевого подключения часто устраняет эту проблему.

Ошибка VPN 412

«Удаленный одноранговый узел больше не отвечает». Клиент Cisco VPN сообщает об этой ошибке, когда активное VPN-соединение падает из-за сбоя сети или когда межсетевой экран препятствует доступу к требуемым портам.

Ошибка VPN 721

«Удаленный компьютер не ответил» — Microsoft VPN сообщает об этой ошибке при невозможности установить соединение, аналогично ошибке 412, сообщенной клиентами Cisco.

Ошибка VPN 720

«Протоколы управления PPP не настроены». В Windows VPN эта ошибка возникает, когда клиент не имеет достаточной поддержки протокола для связи с сервером. Для устранения этой проблемы необходимо определить, какие протоколы VPN сервер может поддерживать и устанавливать соответствующий на клиентском компьютере с помощью панели управления Windows.

Ошибка VPN 691

«Доступ запрещен, потому что имя пользователя и / или пароль недопустимы в домене» — при попытке аутентификации в Windows VPN пользователь может ввести неправильное имя или пароль. Для компьютеров, принадлежащих к домену Windows, также должен быть правильно указан домен входа в систему.

Ошибки VPN 812, 732 и 734

«Соединение было предотвращено из-за политики, настроенной на вашем сервере RAS / VPN». — В Windows VPN, пользователь, пытающийся аутентифицировать соединение, может иметь недостаточные права доступа. Сетевой администратор должен решить эту проблему, обновив разрешения пользователя. В некоторых случаях администратору может потребоваться обновить поддержку протокола MS-CHAP (протокол аутентификации) на VPN-сервере. Любой из этих трех кодов ошибок может применяться в зависимости от используемой сетевой инфраструктуры.

Ошибка VPN 806

«Установлена ​​связь между вашим компьютером и VPN-сервером, но соединение VPN не может быть завершено». — Эта ошибка указывает, что межсетевой экран маршрутизатора предотвращает трафик VPN-трафика между клиентом и сервером. Чаще всего это TCP-порт 1723, который является проблемой и должен быть открыт соответствующим сетевым администратором.

https://www.youtube.com/watch?v=q70CqhqUa60



2018-10-17T12:36:55
Вопросы читателей

OSPF Mikrotik. Полная инструкция по настройки OSPF на Микротик

OSPF (англ. Open Shortest Path First) — протокол динамической маршрутизации, основанный на технологии отслеживания состояния канала (link-state technology) и использующий для нахождения кратчайшего пути алгоритм Дейкстры.  В статье подробно рассмотрены различные  настройки OSPF на маршрутизаторах Mikrotik. Вся конфигурация  будет производится через GUI Winbox.

Настройка OSPF c одной областью

Рассмотрим,  как настроить сеть OSPF c одной областью. Предположим, у нас есть следующая схема.

В примере сеть  состоит из трех маршрутизаторов mikrotik, соединенных вместе одним адресным пространством  10.10.1.0/24, и каждый маршрутизатор имеет еще по одной подключенной сети.

В этом примере на маршрутизаторах настроены следующие IP-адреса:

R1

Ether1-10.10.1.1/30

Ether2-10.10.1.5/30

Ether3-210.13.1.0/28

R2

Ether1-10.10.1.6/30

Ether2-10.10.1.9/30

Ether3-172.16.1.0/16

R3

Ether1-10.10.1.2/30

Ether2-10.10.1.10/30

Ether3-192.168.1.0/24

Конфигурация  OSPF осуществляется следующими основными шагами

  1. Настроить router-id

  2. Конфигурация области

  3. Конфигурация сети

Настройка router-id

Настраиваем маршрутизатор Микротик  R1

Переходим в меню Routing – OSPF вкладка  Instances. Здесь должен быть уже созданный экземпляр default , если его нет, то создаем.

Аналогично создаем экземпляры на всех остальных маршрутизаторах.

В консоли эти команды такие

R1:

[admin@MikroTikR1] /routing ospf instance> add name=default



R2:

[admin@MikroTikR2] /routing ospf instance> add name=default



R3:

[admin@MikroTikR3] /routing ospf instance> add name=default

Как видно, router-id равен 0.0.0.0, это означает, что маршрутизатор будет использовать один из IP-адресов роутера  в качестве идентификатора маршрутизатора. В большинстве случаев рекомендуется настроить loopback интерфейс как идентификатор маршрутизатора. IP-адрес Loopback интерфейса является виртуальным, программным адресом, который используется для идентификации маршрутизатора в сети. Преимущества в том, что loopback-адрес всегда активен  и не может быть недоступен как физический интерфейс. Протокол OSPF использует его для связи между маршрутизаторами, идентифицированными  router-id.

Настроим loopback, для этого заходим в меню interfaces т  добавляем новый интерфейс, выбираем bridge

Делаем настройки как показаны на рисунке.

Напишем только имя loopback после чего нажимаем OK.

Следующим шагом, настраиваем ip адрес на интерфейсе. Для роутера R1 настроим ip 10.255.255.1/32

Настраиваем router-id как loopback. Для этого идем в routing — ospf, вкладка instance/ Выбираем наш экземпляр default,  В поле router-id, вписываем ip адрес loopback интерфейса,  10.255.255.1

Аналогичные настройки делаем на остальных маршрутизаторах R2 и R3

Консоль

[admin@MikroTikR1] /interface bridge> add name=loopbackip address add address=10.255.255.1/32 interface=loopback /routing ospf instance> set 0 router-id=10.255.255.1

Настройка области OSPF

Переходим к конфигурации  области. Область backbone уже создана и дополнительной настройки не требуется.

«Обратите внимание что область backbone area-id должна быть 0.0.0.0»

Настройка Сети

Открываем меню Routing-OSPF вкладка Network,  Нажимаем кнопку добавить

В поле Network, прописываем сеть, Area выбираем backbone. Для роутера R1 прописываем адресацию в соответствии со схемой 10.10.1.0/30, 210.13.1.0/28 и 10.10.1.4/30. В результате должна получиться следующая картина

Консоль

[admin@MikroTikR1] /routing ospf network> add network=210.13.1.0/28 area=backbone

[admin@MikroTikR1] /routing ospf network> add network=10.10.1.0/30 area=backbone

[admin@MikroTikR1] /routing ospf network> add network=10.10.1.4/30 area=backbone

В принципе,  для префиксов 10.10.1.0/30 и 10.10.1.4.30 можно было прописать 10.10.1.0/24, тогда получилось бы так

Аналогично настраиваем R2

R3

 

Консоль

R2:

[admin@MikroTikR2] /routing ospf network> add network=172.16.1.0/16 area=backbone

[admin@MikroTikR2] /routing ospf network> add network=10.10.1.0/24 area=backbone



R3:

[admin@MikroTikR3] /routing ospf network> add network=192.168.1.0/24 area=backbone

[admin@MikroTikR3] /routing ospf network> add network=10.10.1.0/24 area=backbone

На этом конфигурация  OSPF завершена. Если все сделано правильно, то на вкладке OSPF  Interfaces должны появиться интерфейсы, а на вкладке Routes маршруты.

многозонная конфигурация OSPF

Настроим OSPF c несколькими областями как показано на рисунке.

Главной считается корневая (backbone area), имеющая номер 0 именно с ней мы работаем, когда настраиваем OSPF для одной зоны. В случае использования нескольких зон, использование корневой зоны обязательно, остальные же зоны подключаются к ней и называются regular area. Это означает, что мы имеем двухуровневую иерархию: корневая зона и все остальные.

Настраиваем экземпляры и ip адреса как делали это выше. Дальше нам нужно создать области.

Для маршрутизатора R1. Заходим в Routing-OSPF вкладка Areas, нажимаем кнопку добавить и добавляем новую область area1 c Area ID 0.0.0.1

Настраиваем префиксы в соответствии с нашей схемой

Область backbone

Область Area1

Должно получиться следующее

Консоль

/routing ospf area> add name=area1 area-id=0.0.0.1

/routing ospf area> ..

/routing ospf> network

/routing ospf network> add network=10.0.1.0/24 area=backbone

/routing ospf network> add network=10.1.1.0/30 area=area1

Конфигурация маршрутизатора R2

 

По такой же схеме настраиваем R3,R4.

Консоль

R2:

/routing ospf area> add name=area2 area-id=0.0.0.2

/routing ospf area>..

/routing ospf> network

/routing ospf network> add network=10.0.1.0/24 area=backbone

/routing ospf network> add network=10.1.2.0/30 area=area2



R3:

/routing ospf area> add name=area1 area-id=0.0.0.1

/routing ospf area> ..

/routing ospf> network

/routing ospf network> add network=10.1.1.0/30 area=area1



R4:

/routing ospf area> add name=area2 area-id=0.0.0.2

/routing ospf area> ..

/routing ospf> network

/routing ospf network> add network=10.1.2.0/30 area=area2

Настройка маршрутов

После настройки всех роутеров проверим таблицу маршрутизации. Подключимся к роутеру R3 и дадим команду в консоли

ip route print

Вывод будет

[admin@R3] > ip route print

Flags: X - disabled, A - active, D - dynamic,

C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,

B - blackhole, U - unreachable, P - prohibit

 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE

 1 ADo  10.0.1.0/24                        10.1.1.1           110

 2 ADC  10.1.1.0/30         10.1.1.2       ether1             110    

 3 ADo  10.1.2.0/30                        10.1.1.1           110       

 4 ADC  192.168.1.0/24      192.168.1.1    ether2             0

Как видно, удаленные сети 172.16.0.0/16 и 192.168.2.0/24 не входят в таблицу маршрутизации, поскольку они не распространяются OSPF. Функция перераспределения позволяет различным протоколам маршрутизации обмениваться информацией о маршрутизации, что позволяет, например, перераспределять статические или связанные маршруты в OSPF. В нашей настройке нам необходимо перераспределить подключенную сеть. Нам нужно добавить следующую конфигурацию на маршрутизаторах R1, R2 и R3.

Заходим в меню Routing – OSPF, вкладка instance, кликаем 2 раза экземпляру default b меняем Redistribute Connected Routes на as type 1

Или даем команду в консоли

[admin@R3] /routing ospf instance> set 0 redistribute-connected=as-type-1

Теперь проверьте маршрутизатор R3, чтобы узнать, установлены ли в таблице маршрутизации маршруты 192.168.2.0/24 и 172.16.0.0/16.

[admin@R3] > ip route print 

Flags: X - disabled, A - active, D - dynamic, 

C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, 

B - blackhole, U - unreachable, P - prohibit 

 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE

 1 ADo  10.0.1.0/24                        10.1.1.1           110

 2 ADC  10.1.1.0/30         10.1.1.2       ether1             110     

 3 ADo  10.1.2.0/30                        10.1.1.1           110

 4 ADo  172.16.0.0/16                      10.1.1.1           110       

 5 ADC  192.168.1.0/24      192.168.1.1    ether2             0 

 6 ADo  192.168.2.0/24                     10.1.1.1           110

Настройка OSPF в NBMA сетях

NBMA ( Non-Broadcast Multiple Access)  сеть с множеством (больше двух) устройств  без широковещания, в которой не работает протокол ARP, так как в ней отключена широковещательная передача данных. В таких сетях вместо протокола ARP используется протокол NARP. Примером таких сетей является NBMA — Frame Relay.

Бывают ситуации когда для настройки OSPF предпочтительными являются сети  NMBA  например

  • в беспроводных сетях доставка мультикастовых пакетов не всегда надежна и использование multicast здесь может создать проблемы стабильности OSPF;

  • использование мультикастовой передачи может быть неэффективным в сетях с мостовой или ячеистой топологии (т. е. широковещательных доменах с большим уровнем 2)

Приступим к настройки по данной схеме

R1. Создаем экземпляр

Настраиваем ip адрес на интерфейсе

По аналогии делаем настройки на R2,R3,R4. Только router-id и ip адрес у каждого будет свой.

На R2

router-id=0.0.0.2

ip=10.1.1.2/24

На R3

router-id=0.0.0.3

ip=10.1.1.3/24

 

На R4

router-id=0.0.0.4

ip=10.1.1.4/24

В консоли

На R1 

/routing ospf instance add name=ospf1 router-id=0.0.0.1

/ip address add address=10.1.1.1/24 interface=ether1 network=10.1.1.0



На R2

/routing ospf instance add name=ospf1 router-id=0.0.0.2

/ip address add address=10.1.1.2/24 interface=ether1 network=10.1.1.0



На R3

/routing ospf instance add name=ospf1 router-id=0.0.0.3

/ip address add address=10.1.1.3/24 interface=ether1 network=10.1.1.0



На R4

/routing ospf instance add name=ospf1 router-id=0.0.0.4

/ip address add address=10.1.1.4/24 interface=ether1 network=10.1.1.0

В примере только маршрутизаторам C и D разрешено назначать маршруты.

Следующим шагом настраиваем префикс  10.1.1.0/24 в backbone. Заходим на вкладку Networks и нажимаем кнопку добавить, добавляем сеть.

Далее заходим на вкладку NBMA neighbor жмем добавить, и создаем четыре  правила

Делаем аналогично для адреса 10.1.1.1 и 10.1.1.2 priority=0, а для адресов 10.1.1.3 и 10.1.1.4 priority=1

В итоге должно получиться следующее

Обратите внимание, что у адресов 10.1.1.3 и 10.1.1.4, т.е маршрутизаторов R3 и R4 Priority = 1.

То же самое через консоль

routing ospf network add network=10.1.1.0/24 area=backbone

routing ospf nbma-neighbor add address=10.1.1.1 priority=0

routing ospf nbma-neighbor add address=10.1.1.2 priority=0

routing ospf nbma-neighbor add address=10.1.1.3 priority=1

routing ospf nbma-neighbor add address=10.1.1.4 priority=1

Эти же настройки делаем на остальных трех роутерах.

Настраиваем приоритеты на роутерах A и B. Добавляем новый интерфейс

Interface – интерфейс для OSPF

Priority = 0

Network Type ставим nbma

Консоль

routing ospf interface add interface=ether1 network-type=nbma priority=0

На маршрутизаторах C, D (они могут стать назначенным маршрутизатором):

Консоль

routing ospf interface add interface=ether1 network-type=nbma priority=1

На этом настройка OSPF завершена.

Обучающий курс по настройке MikroTik

Нужно разобраться с MikroTik, но не определились с чего начать? В курсе «Настройка оборудования MikroTik» все по порядку. Подойдет и для начала работы с этим оборудованием, и для того, чтобы систематизировать знания. Это видеокурс из 162 уроков и 45 лабораторных работ, построен на официальной программе MTCNA. Проходить можно, когда удобно и пересматривать по необходимости – материалы курса выдаются бессрочно. Также есть 30 дней на личные консультации с автором. На пробу выдают 25 уроков бесплатно, заказать их можно на странице курса.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.



2018-10-17T12:32:14
Микротик