Архив метки: Mikrotik

Сервер логов Rsyslog+Loganalyzer на ОС Ubuntu20.

На этой странице представлено описание установки и настройки сервера для централизованного сбора логов с оборудования в локальной сети.

Rsyslog – это высокопроизводительный сервер логов на Linux с возможностью сохранять информацию в базу данных. Поставляется вместе с пакетами Ubuntu20. Официальный сайт.

Loganalyzer – это веб-интерфейс для доступа к базе данных логов от Rsyslog. Через него можно просматривать и анализировать сообщения логов. Официальный сайт.

Все это ПО распространяется бесплатно.

Логи поступают от различного сетевого оборудования внутри локальной сети.

От Интернета сеть отделена сетевым экраном и считается условно безопасной. Вопросы информационной безопасности в описании не рассматриваются, но обязательны.

Сервер установлен на ПК(не ВМ) со следующими параметрами:

Процессор: Intel Core I5-3450 3.1ГГцх4.

ОЗУ: 8Гб.

HDD: 2Tb.

Сетевая карта 1Гбит/сек.

Сервер подключен в сеть, ему раздается IP-адрес по DHCP с доступом к Интернету.

Установка ОС.

Скачиваем Ubuntu 20. Desktop image с графическим интерфейсом.

Создаем установочную флэшку и переносим скачанный образ на нее.

Подготовка установочной флэшки.

Создание происходит с помощью ПО Rufus. Выбираем флэшку, скачанный образ Ubuntu, нажимаем кнопку «Старт».

Возможно, появится сообщение о загрузке необходимых данных. Нажимаем ДА.

Режим записи – Записать в ISO-образ режиме. ОК.

Следует учитывать, что все данные на флэшке будут уничтожены. Подтверждаем это.

Через пару минут флэшка готова.

С использованием созданной флэшки устанавливаем операционную систему.

Установка ОС Ubuntu20 — кратко.

Загружаемся с установочной флэшки.

Выбираем – Try or Install Ubuntu.

Далее откроется мастер установки.

Выбраны следующие параметры:

Install Ubuntu – установить Ubuntu.

English – язык системы.

Keyboard layout – English – язык клавиатуры.

Normal installation – тип установки – нормальная.

Download updates while installing Ubuntu – загрузить обновления вовремя установки (если подключен Интернет).

Erase disk and install Ubuntu – стереть диск и установить Ubuntu (все данные с диска удаляются!).

Where are you – выбираем часовой пояс.

Who are you – имя ПК, логин, пароль.

После установки вытаскиваем из ПК флэшку и нажимаем кнопку «Ввод» на клавиатуре.

Система установлена. Вводим указанный ранее логин и пароль и попадаем на рабочий стол.

Компьютер подключен в сеть. IP-адрес присвоился по DHCP.

Запускаем терминал Ctrl+Alt+T.

Входим с правами root.

<br />
sudo su — root

1	sudo su — root

Вводим пароль админа. Ввод пароля не отображается.

Далее все действия в терминале выполняются с правами root!

В командах ниже это ни как не обозначено (например $ или sudo перед командой).

Настраиваем удаленный доступ к серверу.

Настройка удаленного доступа.

Работы будут выполняться в локальной сети. Подключение будет происходить от ПК с Windows 10 к ПК с Ubuntu 20 по этому решено воспользоваться протоколом RDP.

Запускаем терминал.

Вводим команды.

<br />
apt install xrdp -y

1	apt install xrdp —y

(-y = yes подтверждение установки)

Проверка статуса

<br />
systemctl status xrdp

1	systemctl status xrdp

Подключаемся по RDP из Windows на IP-адрес ПК с Ubuntu.

Предварительно пользователь на Ubuntu должен выйти из системы, чтоб удаленный пользователь из Windows вошел.

Переходим на ПК с Windows.

Пуск >> Все программы >> Стандартные — Windows >> Подключение к удаленному рабочему столу.

Или через командную строку:

Win+R >> mstsc.

Вводим IP-адрес.

Вводим логин-пароль (без указания домена).

Попадаем на рабочий стол Ubuntu.

Если дополнительно появится окно аутентификации, то нужно ввести пароль и подтвердить 2 раза (или нажать отмену).

Существуют другие альтернативные варианты удаленного доступа, например с использованием AnyDesk и подобных программ.

AnyDesk скачивается через браузер с официального сайта и устанавливается через менеджер установок (Software install).

Перед дальнейшей установкой желательно выполнить обновление.

Обновляем систему.

<br />
apt-get update

1	apt—get update

<br />
apt-get upgrade

1	apt—get upgrade

После второй команды начнется обновление всех установленных пакетов. Это может происходить продолжительное время.

Установка Rsyslog.

Для работы Rsyslog потребуются следующие компоненты:

Apache

PHP

MYSQL

Loganalyzer

Установка Apache2.

Устанавливаем apach2 и модуль работы с php.

<br />
apt-get install apache2 -y

1	apt—get install apache2 —y

<br />
apt-get install libapache2-mod-php -y

1	apt—get install libapache2—mod—php —y

Включаем автозапуск.

<br />
systemctl enable apache2

1	systemctl enable apache2

Запускаем службу

<br />
systemctl start apache2

1	systemctl start apache2

Проверяем статус

<br />
systemctl status apache2

1	systemctl status apache2

Active (running) – значит работает.

Можно посмотреть страницу приветствия перейдя в браузере по адресу:

<br />
http://localhost

1	http://localhost

Установка PHP.

Информация о пакете php.

<br />
apt show php

1	apt show php

(текущая версия 7.4)

Можно посмотреть какие есть модули.

<br />
apt-cache search php7.4

1	apt—cache search php7.4

Установка.

<br />
apt-get install php7.4

1	apt—get install php7.4

Установка дополнительных модулей.

Для работы, ускорения и прочих особенностей выбраны сл. модули.

<br />
apt-get install php7.4-mysql

1	apt—get install php7.4—mysql

(работа с bd mysql)

<br />
apt-get install php7.4-curl

1	apt—get install php7.4—curl

(библиотека для передачи через протоколы http https)

<br />
apt-get install php7.4-xml

1	apt—get install php7.4—xml

(взаимодействие с xml)

<br />
apt-get install php7.4-gd

1	apt—get install php7.4—gd

(работа с графикой, без этого модуля не отображаются диаграммы статистики)

Эти два модуля возможно уже присутствуют.

<br />
apt-get install php7.4-json

1	apt—get install php7.4—json

(сериализация объектов в текст )

<br />
apt-get install php7.4-opcache

1	apt—get install php7.4—opcache

(кэш кода php для ускорения обработки большого кол-ва запросов)

Проверка работы php.

В командной строке создаем файл info.php с помощью редактора vi.

<br />
vi /var/www/html/info.php

1	vi /var/www/html/info.php

Содержание файла

<br />
<?php phpinfo(); ?>

1	<?php phpinfo(); ?>

Выходим из редактора vi — нажимаем кнопку Esc

Затем пишем в командной строке.

<br />
:wq

:wq

(сохранить и закрыть)

Можно создать этот файлик вручную если не получается через редактор в терминале.

В браузере проверяем ссылку.

<br />
http://localhost/info.php

1	http://localhost/info.php

Если видим эту страницу, значит все сделано правильно и php работает.

Установка MYSQL.

<br />
apt-get install mysql-server -y

1	apt—get install mysql—server —y

Модуль для Rsyslog

<br />
apt-get install rsyslog-mysql -y

1	apt—get install rsyslog—mysql —y

В появившемся сообщении нажимаем <No> создадим БД позже.

Добавление в автозагрузку и старт

<br />
systemctl enable mysql

1	systemctl enable mysql

<br />
systemctl start mysql

1	systemctl start mysql

Проверка версии mysql

<br />
mysqld —version

1	mysqld —version

Результат.

<br />
/usr/sbin/mysqld  Ver 8.0.30-0ubuntu0.20.04.2 for Linux on x86_64 ((Ubuntu))

1	/usr/sbin/mysqld Ver 8.0.30—0ubuntu0.20.04.2 for Linux on x86_64 ((Ubuntu))

Проверка статуса mysql

<br />
systemctl status mysql.service

1	systemctl status mysql.service

Результат.

После всех установок нужно перезапустить веб-сервер

<br />
systemctl restart apache2

1	systemctl restart apache2

Установка RSYSLOG.

Проверяем какой Rsyslog уже есть в UBUNTU

<br />
apt list -a rsyslog

1	apt list —a rsyslog

Создадим базу данных для логов с названием rsyslog.

Заходим в mysql с правами root.

<br />
mysql -u root

1	mysql —u root

(пароля нет)

Далее создаем БД с названием rsyslog.

<br />
create database rsyslog;

1	create database rsyslog;

Создаем пользователя для доступа к базе данных.

Имя пользователя любое, например syslogmaster.

Пароль – password.

<br />
create user syslogmaster@localhost identified by ‘password’;

1	create user syslogmaster@localhost identified by ‘password’;

Назначаем привилегии.

<br />
grant all privileges on rsyslog.* to syslogmaster@localhost;

1	grant all privileges on rsyslog.* to syslogmaster@localhost;

Перечитываем конфигурацию.

<br />
flush privileges;

1	flush privileges;

Выходим.

<br />
exit;

exit;

Импорт схемы для БД.

<br />
mysql -u syslogmaster -D rsyslog -p < /usr/share/dbconfig-common/data/rsyslog-mysql/install/mysql

1	mysql —u syslogmaster —D rsyslog —p < /usr/share/dbconfig—common/data/rsyslog—mysql/install/mysql

(-u -юзер, -D-бд, -p-пароль)

вводим пароль password

Если не выполнить эту настройку, то в БД не создадутся таблицы.

Просмотр содержания БД.

Можно посмотреть базу данных и пользователя соответствующими командами:

<br />
mysql -u root

1	mysql —u root

(вход в mysql)

<br />
select user from mysql.user;

1	select user from mysql.user;

(список пользователей)

<br />
show databases;

1	show databases;

(список баз данных)

Содержание БД rsyslog.

Выбираем БД.

<br />
use rsyslog;

1	use rsyslog;

Вводим команду чтоб показать таблицы.

<br />
show tables;

1	show tables;

<br />
exit;

exit;

Изменим конфигурацию rsyslog в файле rsyslog.conf, чтоб он слушал UDP и TCP 514 порт.

Переходим в редактор vi. Выбираем файл.

<br />
vi /etc/rsyslog.conf

1	vi /etc/rsyslog.conf

Стрелками спускаемся до нужной строки и удаляем # (которая означает начало комментария).

Раcкомментируем строки как на картинке:

Выходим из редактора vi

Нажимаем Esc, затем:

<br />
:wq

:wq

(сохранить и закрыть)

Настроим отправку логов в базу данных.

Отредактируем файл mysql.conf через редактор vi.

<br />
vi /etc/rsyslog.d/mysql.conf

1	vi /etc/rsyslog.d/mysql.conf

Изменим имя БД, пользователя и его пароль, см картинку.

Наводим на букву в строке, нажимаем i, редактируем, нажимаем Esc. Идем дальше…

Удаление пустых строк быстрое нажатие dd.

Если что-то неправильно введено, то нужно выйти без сохранения с помощью команды:

<br />
:q!

:q!

Выходим из редактора vi

Esc

<br />
:wq

:wq

(сохранить и закрыть)

Перезапускаем rsyslog

<br />
systemctl restart rsyslog

1	systemctl restart rsyslog

Проверка статуса Rsyslog

<br />
systemctl status rsyslog

1	systemctl status rsyslog

Установка Loganalyzer.

Подготовка БД.

Создаем базу данных для Loganalyzer, так ее и назовем.

<br />
mysql -u root

1	mysql —u root

<br />
create database loganalyzer;

1	create database loganalyzer;

(все буквы нижнего регистра)

База нужна в основном для пользователей.

Создаем пользователя для БД.

<br />
create user logan@localhost identified by ‘password’;

1	create user logan@localhost identified by ‘password’;

Назначаем привилегии.

<br />
grant all privileges on loganalyzer.* to logan@localhost;

1	grant all privileges on loganalyzer.* to logan@localhost;

Перечитываем конфигурацию.

<br />
flush privileges;

1	flush privileges;

Выходим.

<br />
exit;

exit;

Установка приложения Loganalyzer.

Скачиваем и устанавливаем.

Переходим во временную папку.

<br />
cd /tmp

cd /tmp

Скачиваем последнюю актуальную версию ПО.

<br />
wget http://download.adiscon.com/loganalyzer/loganalyzer-4.1.12.tar.gz

1	wget http://download.adiscon.com/loganalyzer/loganalyzer-4.1.12.tar.gz

Распаковываем архив.

<br />
tar -xzvf loganalyzer-4.1.12.tar.gz

1	tar —xzvf loganalyzer—4.1.12.tar.gz

Возврат в корень.

<br />
cd

Создаем папку для Loganalyzer в apach2

<br />
mkdir /var/www/html/loganalyzer

1	mkdir /var/www/html/loganalyzer

Копируем из временной папки в созданную

<br />
cp -r /tmp/loganalyzer-4.1.12/src/* /var/www/html/loganalyzer

1	cp —r /tmp/loganalyzer—4.1.12/src/* /var/www/html/loganalyzer

Создаем файл конфигурации.

Переходим в папку.

<br />
cd /var/www/html/loganalyzer

1	cd /var/www/html/loganalyzer

Создаем пустой файл конфигурации.

<br />
touch config.php

1	touch config.php

Меняем владельца.

<br />
chown www-data:www-data config.php

1	chown www—data:www—data config.php

(www-data:www-data это пользователь и группа которой мы даем права на файл config.php)

Задаем права на чтение и запись для config.php .

<br />
chmod 666 config.php

1	chmod 666 config.php

Цифра 6 означает права на чтение и запись.

6 – для владельца.

6 – для группы.

6 – для пользователя.

Возвращаемся в корень.

<br />
cd

Меняем владельца всех файлов в папке на www-data

<br />
chown www-data:www-data -R /var/www/html/loganalyzer/

1	chown www—data:www—data —R /var/www/html/loganalyzer/

(-R указывается чтоб применилось для всех вложенных объектов)

Теперь переходим в браузере по адресу

<br />
http://localhost/loganalyzer

1	http://localhost/loganalyzer

Видим страницу.

Если ничего не открылось нужно перезапустить все службы и попробовать еще раз (или перезагрузить ПК).

Проверить все статусы и файлы конфигурации, сверится с эталоном настроек из описания выше.

Нажимаем на ссылку Click here to Install Adiscon LogAnalyzer.

На первом шаге просто нажимаем Next.

Шаг 2 — проверка разрешения файла – перезаписываемый (Writeable).

Шаг 3 — вводим данные для БД. В данном случае это база loganalyzer.

Пользователь logan, пароль password (создан ранее). Нажимаем Next.

Может возникнуть ошибка при неправильном вводе логина-пароля. Вводим правильно.

Шаг 4 — нажимаем Next.

Шаг 5 — проверка SQL, нажимаем Next.

Шаг 6 — создание аккаунта администрирования. Пользователь может быть любой. Пароль придумываем. Нажимаем Next.

На следующем шаге 7 указываем источник логов – это база rsyslog. Вводим логин и пароль для этой базы.

Название таблицы — SystemEvents (с учетом регистра букв).

Настройка завершена.

Нажимаем кнопку Finish.

Проверяем.

Логи от разных устройств начали приходить. Они были предварительно настроены на IP-адрес этого сервера логов.

К веб-интерфейсу можно подключатся по IP-адресу с других компьютеров, например так:

<br />
http://192.168.5.120/loganalyzer/

1	http://192.168.5.120/loganalyzer/

Следует помнить про информационную безопасность и разрешить доступ к серверу логов только с доверенных адресов.

В процессе настроек могут появиться некоторые ошибки.

Syslog file is not readable, read access may be denied.

Решается эта проблема добавлением строчки в файле конфигурации

Открываем редактор vi в терминале

<br />
vi /etc/group

1	vi /etc/group

Добавляем в самом низу строчку

<br />
adm:x:4:www-data

1	adm:x:4:www—data

Выходим с сохранением.

<br />
:wq

:wq

Перезапускаем apach2.

<br />
systemctl restart apache2

1	systemctl restart apache2

Could not find the configured database.

Ошибка связана с несоответствующей базой данных указанной в шаге №7.

Переходим в Admin Center >> Sources и редактируем настройку БД.

Проверяем или изменяем параметры.

LogAnalyzer is already configured.

Если в процессе настроек страница зависла и потом открылось начало настроек. Клик на ссылку не реагирует.

Нужно удалить файл config.php и начать настройку заново.

/var/www/html/loganalyzer/config.php

Белая страница

Ошибка – белая страница после определенного шага.

Смотрим лог в apache2 /var/log/apache2/error.log

Часто такая ошибка связана с неправильной работой PHP. Возможна несовместимость версий Loganalyzer и php или mysql.

Проверяем версии, устанавливаем php другой версии. Выполняем настройку сначала.

С php8.1 на Ubuntu22, Loganalyzer 4.1.12 не работает.

Краказябры в логах на кириллице

Чтоб не получить краказябры, нужно указать кодировку utf8 в административном центре Loganalyzer.

Так же нужно проверить кодировку БД mysql. Она тоже должна быть utf8.

Проверка кодировки БД.

<br />
mysql -u root

1	mysql —u root

<br />
use rsyslog;

1	use rsyslog;

<br />
show tables;

1	show tables;

Результат вывода таблиц.

<br />
SystemEvents<br />
SystemEventsProperties

1 2	SystemEvents SystemEventsProperties

Просмотр.

<br />
show full columns from SystemEvents;

1	show full columns from SystemEvents;

Если не удобно работать с БД mysql через командную строку, то можно воспользоваться веб-интерфейсом phpMyAdmin.

Установка phpMyAdmin

Установка phpMyAdmin

<br />
apt-get install phpmyadmin -y

1	apt—get install phpmyadmin —y

Модуль для работы с utf8.

<br />
apt-get install php-mbstring -y

1	apt—get install php—mbstring —y

Проверяем страницу входа.

<br />
http://localhost/phpmyadmin

1	http://localhost/phpmyadmin

Удаление (при необходимости).

<br />
apt-get purge phpmyadmin -y

1	apt—get purge phpmyadmin —y

Чтоб иметь доступ к всем БД проще создать нового пользователя и задать ему необходимые привилегии, чем пытаться настроить пользователя root.

Входим в mysql

<br />
mysql -u root

1	mysql —u root

Выбираем БД.

<br />
use phpmyadmin;

1	use phpmyadmin;

Создаем пользователя для доступа к БД.

Имя пользователя любое, например phplocal.

Пароль – password.

<br />
create user phplocal@localhost identified by ‘password’;

1	create user phplocal@localhost identified by ‘password’;

(password — для примера, в реальности сложный пароль из букв разного регистра, цифр и спец.символов).

Назначаем привилегии root чтоб видеть все БД.

<br />
grant all privileges on *.* to ‘phplocal’@’localhost’ with grant option;

1	grant all privileges on . to ‘phplocal’@‘localhost’ with grant option;

Перечитываем конфигурацию.

<br />
flush privileges;

1	flush privileges;

Выходим.

<br />
exit;

exit;

Заходим через любой браузер.

<br />
http://localhost/phpmyadmin

1	http://localhost/phpmyadmin

Вводим параметры созданного ранее пользователя.

Видим все БД и можем с ними работать.

Отправка логов на сервер.

Чтоб логи приходили на сервер с различных сетевых устройств нужно на этих устройствах выполнить настройку. Для примера представлена краткая настройка некоторого оборудования. Принцип везде примерно одинаковый. Нужно указать IP-адрес сервера логов и порт на котором Rsyslog принимает сообщения.

Отправка логов на сервер из сетевого хранилища QSAN.

Control Panel >> Notification >> Syslog.

Галочками можно указать какие типы событий отправлять на сервер логов.

Device можно изменить на Local 0.

Сохраняем настройку.

Отправка логов на сервер из сетевого хранилища QNAP D2 D4.

В зависимости от версии прошивки в NAS настройка может выполнятся из QuLog Center.

Отправка логов на сервер из сетевого экрана Kerio Control.

На вкладке журналов выбираем нужный тип логов.

Далее на поле где сообщения правой кнопкой мыши выбираем из меню настройку логов (Log Settings).

На вкладке внешнего логирования активируем галочкой отправку логов на Syslog-сервер и указываем его IP-адрес.

Отправка логов на сервер из роутера MikroTik.

System >> Logging >> Actions

В правиле remote указываем IP-адрес сервера логов и порт с которым он работает

На вкладке Rules выбираем тип логов для отправки.

Отправка логов на сервер из ПК с ОС Windows.

Самый простой и бесплатный способ – Event Log to Syslog. Приложение в виде службы отправляет логи по указанному IP-адресу.

Скачиваем архив последней версии для обычного размера пакетов, без LP.

Распаковываем в папку C:WindowsSystem32

Запускаем через cmd с правами админа и с указанием IP-адреса сервера.

<br />
evtsys.exe -i -h 192.168.5.120

1	evtsys.exe —i —h 192.168.5.120

Запускаем службу.

<br />
net start evtsys

1	net start evtsys

Проверяем в службах режим запуска и состояние.

Подробную настройку для отправки конкретных типов логов, можно посмотреть в файле PDF который, находится в архиве вместе с программой.

Изменение параметров можно выполнить в реестре

<br />
HKEY_LOCAL_MACHINESOFTWAREECNEvtSys3.0

1	HKEY_LOCAL_MACHINESOFTWAREECNEvtSys3.0

Отправка логов на сервер из ПК с ОС Ubuntu.

На ПК должен быть предварительно установлен и настроен Rsyslog.

Создаем файл конфигурации в папке rsyslog.d через vi редактор.

<br />
vi /etc/rsyslog.d/log.conf

1	vi /etc/rsyslog.d/log.conf

Указываем в этом файле сервер логов и порт.

<br />
*.* @@192.168.5.120:514

1	. @@192.168.5.120:514

Выходим из редактора vi

Esc

<br />
:wq

:wq

(сохранить и закрыть)

Перезапускаем rsyslog

<br />
systemctl restart rsyslog

1	systemctl restart rsyslog

Все логи начнут передаваться на указанный IP-адрес. Можно выбрать конкретные типы логов для отправки.

Альтернативный вариант — отправка через модуль omfwd.

Отправка логов на сервер из управляемого коммутатора.

Коммутатор TL-SG3428XMP

Настройка находится в Maintenance >> Remote Logs.

Указываем IP-адрес сервера логов, порт по умолчанию 514.

Severity — уровень серьезности. Чем он ниже, тем серьезнее событие. (см. описание протокола Syslog)

Status — Enable.

Коммутатор GS1900-24.

Configuration >> Management >> Syslog >> Remote.

Тут то же самое. Указываем IP-адрес, порт, Severity и Facility (идентификатор источника сообщения).

Сохраняем настройку.

Отключение локальных логов.

На сервере логов запускаем терминал Ctrl+Alt+T.

Входим с правами root.

<br />
sudo su — root

1	sudo su — root

Пароль.

Переходим в папку.

<br />
cd /etc/rsyslog.d/

1	cd /etc/rsyslog.d/

Создаем файл.

<br />
touch 10-filter.conf

1	touch 10—filter.conf

Имя файла должно быть таким, чтоб он располагался выше чем файл с именем 50-deafault.conf

Отредактируем файл через редактор vi.

<br />
vi /etc/rsyslog.d/10-filter.conf

1	vi /etc/rsyslog.d/10—filter.conf

Копируем туда строчку.

<br />
:fromhost, isequal, «LOGSERVER» stop

1	:fromhost, isequal, «LOGSERVER» stop

Синтаксис.

:property, [!]compare-operation, «value»

[свойство] [операция] [значение]

:fromhost — с хоста

isequal — сравнение

LOGSERVER — имя хоста

stop — остановить

Выходим.

<br />
:wq

:wq

Возвращаемся в корень.

<br />
cd

Перезапускаем Rsyslog.

<br />
systemctl restart rsyslog

1	systemctl restart rsyslog

Проверяем статус Rsyslog.

<br />
systemctl status rsyslog

1	systemctl status rsyslog

В результате логи с самого сервера логов перестали появляться в Loganalizer.

Фильтровать можно не только по имени, но так же по IP-адресу, источнику, тэгу и другим параметрам. Подробнее в документации на rsyslog.

2022-10-21T16:22:06

Настройка ПО

WireGuard Site to Site VPN Between MikroTik RouterOS 7

WireGuard is a free, open source, secure and high-speed modern VPN solution. WireGuard is extremely easy to implement but utilizes state-of-the-art cryptography. WireGuard can be used as either Client-Server VPN technology or Site to Site VPN technology.

From the RouterOS 7, MikroTik introduces WireGuard VPN as their native package. So, who are using RouterOS 7 can use WireGuard VPN and can implement both client-server and site to site VPN with WireGuard free VPN server.

In my previous article, I discussed how to configure client-server free VPN server with WireGuard and how to connect windows client with WireGuard VPN. In this article, I am going to show how to setup a site-to-site WireGuard VPN between two MikroTik RouterOS 7.

Site to Site WireGuard VPN Network Diagram

In this article, we are going to implement a site-to-site VPN like the following image where two offices are connected over WireGuard site to site VPN service.

Site to Site Wiregurard VPN

Note: in the above diagram, we are using private IP addresses in public interface for demo purpose. In live network, you should replace these IP Addresses with your public IP Addresses.

Site to Site WireGuard VPN Configuration in RouterOS 7

According to the above network diagram, we will now configure site to site WireGuard VPN in MikroTik RouterOS. But before going to start WireGuard VPN, you should have RouterOS 7 basic configuration which includes WAN, LAN, DNS, Gateway and Masquerade setup.

If you are new in MikroTik RouterOS, feel free to study another article about how to configure MikroTik RouterOS 7 first time and complete WAN, LAN, DNS and other Setup and then follow our WireGuard configuration steps.

If you have existing network and RouterOS 7 is running there, don’t forget to replace my demo IP information according to your existing one. You just follow my steps keeping your existing IP information.

We will now do configurations those are required for WireGuard configuration. For WireGuard configuration we need to do enabling WireGuard, Creating Peers, assigning IP address in WireGuard virtual interface and doing routing over virtual interface to communicate among LAN devices.

Enabling WireGuard in MikroTik RouterOS

WireGuard package is installed by default in MikroTik RouterOS 7. So, you will get a WireGuard menu item in Winbox by default. To enable WireGuard in R1 Router, do the following steps.

Login to R1 Router of Office 1 with Winbox using full access user credentials.
Click on WireGuard menu item from Winbox menu bar. WireGuard window will appear.
Click on PLUS SIGN (+) to create a new WireGuard interface. New Interface window will appear.
Put an interface name in Name input field or you can keep the default name wireguard1.
Click Apply button. Public Key and Private Key will be generated as soon as you click the Apply button. The Public Key will be required when WireGuard Peer will be created in R2 Router (Office 2 Router).
Click OK button.

Similarly, enable WireGuard in R2 Router of Office 2 Router and create a new WireGuard interface. Your configurations will look like the following image.

Enabling WireGuard in RouterOS 7

Assigning IP Address on WireGuard Virtual Interface

After enabling WireGuard in RouterOS 7, a new virtual interface will be created in each Router. We will now assign IP address in each WireGuard interface so that both interfaces can communicate with each other after establishing WireGuard tunnel.

To assign IP address on WireGuard virtual interface in R1 Router, issue the following steps.

From Winbox, go to IP > Addresses menu item. Address List window will appear.
Click on PLUS SIGN (+) to add new address. New Address window will appear.
Put an IP address (in this article: 10.10.10.1/30) that you to assign for WireGuard VPN tunnel in Address input field.
Choose WireGuard interface (in this article: wireguard1) from Interface dropdown menu.
Click Apply and OK button.

Similarly, add the second IP address on the WireGuard virtual interface of R2 Router at office 2. According to the above diagram, the second router’s IP will be 10.10.10.2/30.

Creating WireGuard Peers Between Two RouterOS

After assigning IP addresses on WireGuard virtual interface, we will now configure peers in both Routers. To create peers in R1 Router of office1, issue the following steps.

From Winbox, click on WireGuard menu item and then click on Peers tab.
Click on PLUS SIGN (+). New WireGuard Peer window will appear.
Choose WireGuard interface (wireguard1) from Interface dropdown menu.
Put the Public Key that was generated at R2 Router when WireGuard was enabled, in Public Key input field.
Put the Public IP address (For demo purpose, in this article: 172.26.0.2) of R1 Router in Endpoint input field.
If you don’t change the port number (default is 13231), no need to change the Endpoint Port but if you change, put the listen port of R1 Router in Endpoint Port input field.
Put the IP blocks (in this article: 10.10.10.0/30 for tunnel interface and 192.168.26.0/24 LAN IP Block of R2 Router) those will be passed over WireGuard VPN Tunnel in Allowed Address input field. If you want to allow all IP addresses, put 0.0.0.0/0 in this field.
In Persistent Keepalive input, put a time value in seconds (for 10 second: 00:00:10) when the tunnel will be checked and keep lived.
Click Apply and OK button.

Peer Configuration R1 Router

Similarly, create peer in R2 Router and information accordingly. Be careful to put Public Key, Endpoint and Endpoint Port of R1 Router. Also be careful to put IP block of R2 Router’s LAN block. The configuration should be like the following image.

Peer Configuration in R2 Router

Static Routing Configuration Between RouterOS

At the last step of site-to-site WireGuard VPN configuration, we will configure static routing between R1 and R2 Router so that R1 Router’s LAN can access R2 Router’s LAN and vice versa.

To configure static routing in R1 Router, do the following steps.

From Winbox, go to IP > Routes menu item. Route List window will appear.
Click PLUS SIGN (+) to add new route. New Route window will appear.
In Dst. Address input field, put the LAN IP block (in this article: 192.168.26.0/24) of R2 Router.
Put the IP address (10.10.10.2) assigned on WireGuard interface of R2 Router in Gateway input field.
Click Apply and OK button.

Static Routing Configuration in R1 Router

Similarly, configure static routing in R2 Router and put the LAN IP block (in this article: 192.168.25.0/24) of R1 Router and WireGuard interface IP address (10.10.10.1) of R1 Router.

How to configure site to site WireGuard VPN between two RouterOS has been discussed in this article. I hope, you will now be able to configure site to site WireGuard VPN in MikroTik RouterOS. However, if you face any issue to configure site to site WireGuard VPN in MikroTik RouterOS, feel free to discuss in comment or contact me from Contact page. I will try my best to stay with you.

2022-09-29T10:13:13

MikroTik Router Tutorials & Guides

MikroTik – отправка логов на внешний сервер.

Логи от разных устройств в локальной сети собираются в одном месте, на сервере логов, чтоб их было удобно анализировать. Одно из таких устройств – роутер микротик. Выполним настройку отправки логов на сервер и проверим результат.

Настройка выполняется на роутере RB750Gr3 c прошивкой v6.49 через WinBox.

Освоить MikroTik Вы можете с помощью онлайн-куса
«Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Настройка отправки логов.

IP-адрес сервера логов.

Подключаемся к роутеру, в боковом меню переходим в System >> Logging >> Actions.

Выбираем строчку: remote

Remote Address: 192.168.5.15 — адрес сервера логов в локальной сети.

Удаленный порт 514 не изменяем, потому что, как правило, syslog протокол передается по этому порту в большинстве серверов логов.

ОК для сохранения настройки.

Через командную строку терминала:

/system logging action set 3 remote=192.168.5.15

1

/system logging action set 3 remote=192.168.5.15

Правило отправки логов.

Переходим на вкладку правил System >> Logging >> Rules

Создаем новое правило нажав +

Topics: !debug – все темы кроме debug (! – означает отрицание).

Action: remote — настроенное ранее действие отправки логов на удаленный сервер.

OK.

Через командную строку терминала:

/system logging add action=remote topics=!debug

1

/system logging add action=remote topics=!debug

debug не выбран потому что он создает много мешающих логов калькуляций. Можно исключить другие не используемые логи. Можно выбрать конкретные логи, которые хотим просматривать.

Если выбрать в одном правиле три темы, то лог будет отправлен только при выполнении всех трех событий одновременно.

Чтоб отправлялись логи с содержанием хотя бы одной темы, для каждой темы нужно создавать отдельное правило.

Чтоб не летело множество debug логов из какой-нибудь конкретной темы, например PPP хотим мониторить, нужно исключить debug из этой темы.

Проверка приема логов.

Для проверки необходим сервер логов, подключенный в локальную сеть. Одно из быстрых и бесплатных решений для Windows – Syslog Watcher.

Недостаток бесплатной версии Syslog Watcher – можно добавить только 3 источника логов.

Скачиваем, устанавливаем.

Запускаем программу от имени администратора.

Далее переходим в настройки.

Создаем сетевой интерфейс UDP.

Это все, что нужно для работы. Дополнительно можно указать другое место хранения логов. Подробная инструкция есть на сайте этого ПО.

Нажимаем кнопку «Start Server».

Выполняем любые действия в роутере, создающие логи или ждем пару минут, если роутер работает в локальной сети.

Далее смотрим, что прилетело в сервер логов.

Нажимаем кнопку «View» и выбираем время.

В списке источников на вкладке «Originators» микротик уже появился автоматически. Можно добавлять источники в ручную.

Видим логи из роутера.

В разных ЛВС используются разные серверы логов и данный вариант был представлен только для демонстрации отправки логов с роутера MikroTik.

2022-09-21T15:43:32

Настройка ПО

MikroTik – VLAN – порты доступа.

Это дополнение к предыдущей публикации о VLAN. Здесь рассмотрено подключение оборудования в порты доступа непосредственно в микротике и соединение через транк-порт с другим роутером.

Согласно поставленной задаче необходимо создать 3 VLAN:

1-Видеонаблюдение +сеть управления – VLAN-10;

2-Рабочая сеть – VLAN-11;

3-Гостевая сеть – VLAN-12;

Настроить не тегированные (Untagged) VLAN порты в GW1 для подключения оконечного оборудования: компьютера, ноутбука и IP-камеры (access-порты).

Организовать тегированный (Tagged) транк-порт VLAN для связи с роутером GW2 и настроить этот роутер для подключения оконечного оборудования.

Настройка протестирована на RB3011 и RB750Gr3 с RouterOS v6.49.

Настройка роутера GW1.

Сброс конфигурации.

Настройки MikroTik выполняются через WinBox.

Подключаемся к роутеру через первый порт, сбрасываем конфигурацию на пустую (blank).

Через командную строку терминала:

/system reset-configuration no-defaults=yes skip-backup=yes

1

/system reset—configuration no—defaults=yes skip—backup=yes

Подключаемся к роутеру по MAC-адресу.

Логин (первоначальный): admin

Пароля нет.

После подключения меняем логин и пароль.

System >> Users

(см. базовые настройки)

Идентификатор роутера.

Обозначим название для роутера GW1, чтоб отличать от второго роутера, который назовем GW2.

Через командную строку терминала:

/system identity set name=GW1

1

/system identity set name=GW1

Настройки VLAN в роутере GW1.

Мост для VLAN.

Создаем мост.

Name: bridge-VLAN – любое понятное имя латиницей.

Переходим на вкладку VLAN.

Активируем VLAN Filtering.

После активации этой настройки мост сможет обрабатывать кадры VLAN.

Через командную строку терминала:

/interface bridge add name=bridge-VLAN vlan-filtering=yes ingress-filtering=no

1

/interface bridge add name=bridge—VLAN vlan—filtering=yes ingress—filtering=no

Интерфейсы.

Добавляем в созданный bridge-VLAN все порты кроме ether1.

Нажимаем + и добавляем ether2.

Аналогично добавляем остальные.

Редактирование PVID порта.

Выбираем порт и на вкладке VLAN изменяем PVID в соответствии со схемой.

Для ether2 изменяем только тип пропускаемых кадров, так как это trunk-порт.

Frames Type: admit only VLAN tagged – пропускать только тэгированный трафик.

В порт 3 будет направлен VLAN-10.

Так как данный порт предназначен для подключения только оконечного оборудования, можно применить настройку:

Frames Type: admit only untagged and priority tagged – пропускать только не тэгированный трафик.

Аналогично ether3 редактируем порты ether4 и ether5 с учетом PVID 11 и 12 соответственно.

Через командную строку терминала:

/interface bridge port add bridge=bridge-VLAN interface=ether2 frame-types=admit-only-vlan-tagged add bridge=bridge-VLAN interface=ether3 pvid=10 frame-types=admit-only-untagged-and-priority-tagged add bridge=bridge-VLAN interface=ether4 pvid=11 frame-types=admit-only-untagged-and-priority-tagged add bridge=bridge-VLAN interface=ether5 pvid=12 frame-types=admit-only-untagged-and-priority-tagged

1
2
3
4
5

/interface bridge port
add bridge=bridge—VLAN interface=ether2 frame—types=admit—only—vlan—tagged
add bridge=bridge—VLAN interface=ether3 pvid=10 frame—types=admit—only—untagged—and—priority—tagged
add bridge=bridge—VLAN interface=ether4 pvid=11 frame—types=admit—only—untagged—and—priority—tagged
add bridge=bridge—VLAN interface=ether5 pvid=12 frame—types=admit—only—untagged—and—priority—tagged

Bridge-VLAN.

На вкладке VLANs добавляем все VLAN IDs для bridge-VLAN. Указываем тегированный интерфейс, по которому будет выполняться связь со вторым роутером (trunk-порт).

Bridge: bridge-VLAN – созданный ранее мост.

VLAN IDs: 10 идентификатор для VLAN-10.

Tagged: ether2, bridge-VLAN – тегированные порты.

Untagged: ether3 – не тегированный порт по плану.

ОК для сохранения.

Добавляем VLAN ID 11.

Bridge: bridge-VLAN – созданный мост.

VLAN IDs: 11 идентификатор для VLAN-11.

Tagged: ether2, bridge-VLAN – тегированные порты.

Untagged: ether4 – не тегированный порт.

ОК для сохранения.

Добавляем VLAN ID 12.

Через командную строку терминала:

/interface bridge vlan add bridge=bridge-VLAN tagged=ether2,bridge-VLAN untagged=ether3 vlan-ids=10 add bridge=bridge-VLAN tagged=ether2,bridge-VLAN untagged=ether4 vlan-ids=11 add bridge=bridge-VLAN tagged=ether2,bridge-VLAN untagged=ether5 vlan-ids=12

1
2
3
4

/interface bridge vlan
add bridge=bridge—VLAN tagged=ether2,bridge—VLAN untagged=ether3 vlan—ids=10
add bridge=bridge—VLAN tagged=ether2,bridge—VLAN untagged=ether4 vlan—ids=11
add bridge=bridge—VLAN tagged=ether2,bridge—VLAN untagged=ether5 vlan—ids=12

VLAN интерфейсы.

Создаем интерфейсы VLAN-10, VLAN-11, VLAN-12.

Интерфейсы нужны, чтоб назначить на них IP-адреса и затем DHCP сервера.

Interfaces >> + >> VLAN

Name: VLAN-10 – любое понятное название латиницей.

VLAN ID: 10 – идентификатор VLAN.

Interface: bridge-VLAN – интерфейс для VLAN-10.

Создаем таким же способом еще 2 интерфейса для VLAN-11 и VLAN-12.

Через командную строку терминала:

/interface vlan add name=VLAN-10 vlan-id=10 interface=bridge-VLAN add name=VLAN-11 vlan-id=11 interface=bridge-VLAN add name=VLAN-12 vlan-id=12 interface=bridge-VLAN

1
2
3
4

/interface vlan
add name=VLAN—10 vlan—id=10 interface=bridge—VLAN
add name=VLAN—11 vlan—id=11 interface=bridge—VLAN
add name=VLAN—12 vlan—id=12 interface=bridge—VLAN

IP-адреса для VLAN.

Назначаем IP-адрес для VLAN интерфейсов.

IP >> Addresses >> +

Таким же способом назначаем IP-адреса другим интерфейсам.

Через командную строку терминала:

/ip address add address=172.16.10.1/28 interface=VLAN-10 network=172.16.10.0 add address=172.16.11.1/28 interface=VLAN-11 network=172.16.11.0 add address=172.16.12.1/28 interface=VLAN-12 network=172.16.12.0

1
2
3
4

/ip address
add address=172.16.10.1/28 interface=VLAN—10 network=172.16.10.0
add address=172.16.11.1/28 interface=VLAN—11 network=172.16.11.0
add address=172.16.12.1/28 interface=VLAN—12 network=172.16.12.0

DHCP-сервер для VLAN.

Назначим раздачу IP-адресов VLAN с помощью DHCP-сервера.

Пул IP-адресов для DHCP-сервера.

Создаем новый пул нажав +.

Name: VLAN-10-POOL – любое понятное имя.

Addresses: 172.16.10.2-172.16.10.14 – диапазон IP-адресов для раздачи.

ОК

Создаем аналогично три пула адресов для всех VLAN.

Через командную строку терминала:

/ip pool add name=VLAN-10-POOL ranges=172.16.10.2-172.16.10.14 /ip pool add name=VLAN-11-POOL ranges=172.16.11.2-172.16.11.14 /ip pool add name=VLAN-12-POOL ranges=172.16.12.2-172.16.12.14

1
2
3

/ip pool add name=VLAN—10—POOL ranges=172.16.10.2—172.16.10.14
/ip pool add name=VLAN—11—POOL ranges=172.16.11.2—172.16.11.14
/ip pool add name=VLAN—12—POOL ranges=172.16.12.2—172.16.12.14

Настройка сети для DHCP-сервера.

Создаем сеть для VLAN-10.

Adress: 172.16.10.0/28 – адрес сети

Gateway: 172.16.10.1 – шлюз.

DNS Server: 172.16.10.1 – DNS сервер который будет раздаваться в сеть.

Аналогично создаем три сети для всех VLAN.

Через командную строку терминала:

/ip dhcp-server network add address=172.16.10.0/28 dns-server=172.16.10.1 gateway=172.16.10.1 /ip dhcp-server network add address=172.16.11.0/28 dns-server=172.16.11.1 gateway=172.16.11.1 /ip dhcp-server network add address=172.16.12.0/28 dns-server=172.16.12.1 gateway=172.16.12.1

1
2
3

/ip dhcp—server network add address=172.16.10.0/28 dns—server=172.16.10.1 gateway=172.16.10.1
/ip dhcp—server network add address=172.16.11.0/28 dns—server=172.16.11.1 gateway=172.16.11.1
/ip dhcp—server network add address=172.16.12.0/28 dns—server=172.16.12.1 gateway=172.16.12.1

Создание DHCP-сервера.

Name: DHCP-VLAN-10 – любое понятное имя.

Interface: VLAN-10 – интерфейс на котором будет работать DHCP.

Adress Pool: VLAN-10-POOL – созданный ранее пул адресов.

Создаем три DHCP-сервера для всех VLAN.

Через командную строку терминала:

/ip dhcp-server add address-pool=VLAN-10-POOL interface=VLAN-10 name=DHCP-VLAN-10 disabled=no /ip dhcp-server add address-pool=VLAN-11-POOL interface=VLAN-11 name=DHCP-VLAN-11 disabled=no /ip dhcp-server add address-pool=VLAN-12-POOL interface=VLAN-12 name=DHCP-VLAN-12 disabled=no

1
2
3

/ip dhcp—server add address—pool=VLAN—10—POOL interface=VLAN—10 name=DHCP—VLAN—10 disabled=no
/ip dhcp—server add address—pool=VLAN—11—POOL interface=VLAN—11 name=DHCP—VLAN—11 disabled=no
/ip dhcp—server add address—pool=VLAN—12—POOL interface=VLAN—12 name=DHCP—VLAN—12 disabled=no

Настройка роутера GW1 завершена. Выполняем промежуточную проверку. Подключаем в порты роутера ether3, ether4, ether5 видеокамеру, компьютер и гостевой ноутбук.

Все устройства получили IP-адреса из разных VLAN в соответствии с планом.

Далее следует выполнить еще некоторые настройки локальной сети, Интернета и безопасности.

Можно воспользоваться базовой настройкой на этой странице.

Настройка роутера GW2.

По смыслу роутер будет выполнять работу коммутатора. Он будет принимать все три VLAN на первый порт ether1 и раздавать нужный трафик с тэгами 10, 11 и 12 в порты ether2, ether3 и ether4 соответственно.

Подключаемся к GW2 с использованием WinBox по MAC-адресу через пятый порт, сбрасываем конфигурацию на пустую (blank).

Через командную строку терминала:

/system reset-configuration no-defaults=yes skip-backup=yes

1

/system reset—configuration no—defaults=yes skip—backup=yes

После подключения меняем логин и пароль.

System >> Users

Идентификатор роутера.

Обозначим название для роутера GW2.

Через командную строку терминала:

/system identity set name=GW2

1

/system identity set name=GW2

Настройки VLAN.

Мост для VLAN.

Создаем мост.

Name: bridge-VLAN-GW2 – любое понятное имя латиницей.

Переходим на вкладку VLAN.

Активируем VLAN Filtering.

Через командную строку терминала:

/interface bridge add name=bridge-VLAN-GW2 vlan-filtering=yes ingress-filtering=no

1

/interface bridge add name=bridge—VLAN—GW2 vlan—filtering=yes ingress—filtering=no

Интерфейсы.

Добавляем в созданный bridge-VLAN-GW2 все порты кроме ether5.

ether5 не задействованный порт.

Редактирование PVID порта.

Выбираем порт и на вкладке VLAN изменяем PVID в соответствии со схемой.

Для ether1 изменяем только тип пропускаемых кадров, так как это trunk-порт.

Frames Type: admit only VLAN tagged – пропускать только тэгированный трафик.

В порт 2 будет направлен VLAN-10.

PVID:10

Frames Type: admit only untagged and priority tagged – пропускать только не тэгированный трафик.

Аналогично ether2 редактируем порты ether3 (PVID11) и ether4 (PVID12).

Через командную строку терминала:

/interface bridge port add bridge=bridge-VLAN-GW2 interface=ether1 frame-types=admit-only-vlan-tagged add bridge=bridge-VLAN-GW2 interface=ether2 pvid=10 frame-types=admit-only-untagged-and-priority-tagged add bridge=bridge-VLAN-GW2 interface=ether3 pvid=11 frame-types=admit-only-untagged-and-priority-tagged add bridge=bridge-VLAN-GW2 interface=ether4 pvid=12 frame-types=admit-only-untagged-and-priority-tagged

1
2
3
4
5

/interface bridge port
add bridge=bridge—VLAN—GW2 interface=ether1 frame—types=admit—only—vlan—tagged
add bridge=bridge—VLAN—GW2 interface=ether2 pvid=10 frame—types=admit—only—untagged—and—priority—tagged
add bridge=bridge—VLAN—GW2 interface=ether3 pvid=11 frame—types=admit—only—untagged—and—priority—tagged
add bridge=bridge—VLAN—GW2 interface=ether4 pvid=12 frame—types=admit—only—untagged—and—priority—tagged

VLANs для Bridge-VLAN-GW2 (таблица виланов моста).

На вкладке VLANs добавляем все VLAN IDs для bridge-VLAN. Указываем тегированные и не тегированные интерфейсы.

Bridge: bridge-VLAN-GW2 – созданный ранее мост.

VLAN IDs: 10 идентификатор для VLAN-10.

Tagged: ether1, bridge-VLAN – тегированные порты.

Untagged: ether2 – не тегированный порт по плану.

ОК для сохранения.

Добавляем VLAN ID 11.

Bridge: bridge-VLAN-GW2 – созданный мост.

VLAN IDs: 11 идентификатор для VLAN-11.

Tagged: bridge-VLAN-GW2, ether1 – тегированные порты.

Untagged: ether3 – не тегированный порт.

ОК для сохранения.

Добавляем VLAN ID 12.

Bridge: bridge-VLAN-GW2 – созданный мост.

VLAN IDs: 12 идентификатор для VLAN-12.

Tagged: bridge-VLAN-GW2, ether1 – тегированные порты.

Untagged: ether4 – не тегированный порт.

ОК для сохранения.

Через командную строку терминала:

/interface bridge vlan add bridge=bridge-VLAN-GW2 tagged=ether1,bridge-VLAN-GW2 untagged=ether2 vlan-ids=10 add bridge=bridge-VLAN-GW2 tagged=bridge-VLAN-GW2,ether1 untagged=ether3 vlan-ids=11 add bridge=bridge-VLAN-GW2 tagged=bridge-VLAN-GW2,ether1 untagged=ether4 vlan-ids=12

1
2
3
4

/interface bridge vlan
add bridge=bridge—VLAN—GW2 tagged=ether1,bridge—VLAN—GW2 untagged=ether2 vlan—ids=10
add bridge=bridge—VLAN—GW2 tagged=bridge—VLAN—GW2,ether1 untagged=ether3 vlan—ids=11
add bridge=bridge—VLAN—GW2 tagged=bridge—VLAN—GW2,ether1 untagged=ether4 vlan—ids=12

После этих действий хостам в портах GW2 ether2, ether3, ether4 начнут раздаваться IP-адреса из VLAN.

IP-адрес для GW2.

Для того, чтоб GW2 получил IP-адрес из VLAN-10 который, в том числе, является сетью управления, настроим DHCP-клиент.

Назначить IP-адрес из 10 вилана напрямую на мост не получится. Создадим дополнительный виртуальный интерфейс для этого.

Name: VLAN-10-GW2 – любое понятное название латиницей.

VLAN ID: 10 – идентификатор VLAN.

Interface: bridge-VLAN-GW2 – интерфейс для VLAN-10.

OK.

Через командную строку терминала:

/interface vlan add interface=bridge-VLAN-GW2 name=VLAN-10-GW2 vlan-id=10

1

/interface vlan add interface=bridge—VLAN—GW2 name=VLAN—10—GW2 vlan—id=10

DHCP-client.

Создаем новый DHCP-client на VLAN интерфейсе.

После подтверждения настройки роутеру сразу присваивается IP-адрес из VLAN-10.

Через командную строку терминала:

/ip dhcp-client add interface=VLAN-10-GW2

1

/ip dhcp—client add interface=VLAN—10—GW2

В списке адресов роутера GW1 видно, что раздались следующие адреса:

1-172.16.10.2 – роутер GW2 – VLAN-10

2-172.16.10.3 – видеокамера – VLAN-10.

3-172.16.11.3 – компьютер – VLAN-11.

4-172.16.12.14 – ноутбук для гостя – VLAN-12.

Настройка VLAN завершена.

Дополнение. VLAN в коммутаторе с SwOS.

Так как использование коммутаторов/роутеров CRS326-24G-2S+ в сети с VLAN является популярным решением на сегодняшний день, в описание добавлена настройка этого коммутатора.

Конфигурация роутера GW1 такая же, как в описании выше. На Trunk-порт подключен SW2, вместо GW2.

Подключение.

Патч-корд от компьютера, с которого выполняется настройка, подключен в последний порт SW2.

Настройки выполняются через WinBox и Web-браузер.

При первоначальном включении в устройстве запускается RouterOS.

Подключаемся к SW2 и перезагружаем его в режим SwOS.

SwOS (Switch OS) — это операционная система, разработанная специально для администрирования коммутаторов MikroTik.

Первоначальный IP-адрес у всех коммутаторов MikroTik с SwOS – 192.168.88.1

Для дальнейшей работы меняем IP-адрес в сетевой карте компьютера, с которого выполняется настройка.

Нужно настроить любой адрес из сети 192.168.88.024 (кроме первого и последнего).

Входим в настройку SW2 через любой браузер, введя в адресной строке 192.168.88.1.

Если подключение выполняется через WinBox, то все равно произойдет перенаправление в браузер.

Учетная запись – admin.

Пароля нет.

Настройка VLAN.

Настройка выполняется на двух вкладках меню – VLAN и VLANs.

Настройка Trunk-порта.

По плану транк – это первый порт, по которому будут передаваться 3 разных VLAN.

VLAN Mode: enabled – активация режима VLAN порта.

VLAN Receive: only tagged – только тегированный трафик разрешается через этот порт.

Default VLAN ID:1 – дефолтный ID. Этот параметр влияет только на нетэгированный трафик. Поэтому для транка его можно не изменять.

Force VLAN ID – не изменяется.

Настройка Access-портов.

Порт 2 – VLAN10

Порт 3 – VLAN11

Порт 4 – VLAN12

VLAN Mode: enabled – активация режима VLAN порта.

VLAN Receive: only untagged – нетегированный трафик будет проходить через все эти порты т.к. в них будет подключатся оконечное оборудование.

Default VLAN ID: 10, 11, 12 – дефолтные ID у каждого порта соответственно.

Для сохранения настроек нужно нажать кнопку Apply All в нижней правой части окна браузера.

Порты участники VLAN.

Переходим на вкладку VLANs для настройки участвующих в VLAN портов.

Создаем дополнительные строки перечня, нажав кнопку «Append». В каждой новой строке указываем настройки для соответствующего VLAN (10, 11, 12).

В данном случае интересуют настройки VLAN ID и Members.

VLAN ID – идентификаторы VLAN для отмеченных портов.

Members – участники VLAN для заданных ID.

Первый порт отмечен для всех ID так как это транк.

Сохраняем настройку, нажав кнопку «Apply All».

Системные настройки.

Назначаем получение IP-адреса по DHCP на вкладке System.

Дополнительно можно изменить идентификатор коммутатора, порт DHCP и VLAN, с которых разрешено подключение.

Address Acquisition: DHCP only. Если этот параметр оставить без изменений (DHCP with fallback) то при любой потере связи с роутером, коммутатору будет присваиваться статический IP.

Identity: SW2 – любое понятное название латиницей.

Allow From Ports: отмечены 1 и 2 порты – это порты с которых можно подключатся в коммутатор для выполнения настроек.

Если отметить только первый порт, то подключится можно будет только через него, соответственно нужно подключиться в порт роутера GW1 c VLAN10 и далее соединение пойдет через транк-порт и в первый порт коммутатора.

Allow From VLAN: 10 – подключение только из VLAN-10.

Проверка.

Проверяем DHCP список в роутере GW1.

Коммутатору SW2 раздался IP-адрес из VLAN-10.

На других портах устройствам раздаются IP-адреса в соответствии с назначенными на порты VLAN.

Более детальная настройка VLAN в CRS326-24G-2S+ на официальном сайте.

2022-09-15T09:34:40

Настройка ПО

MikroTik – VLAN – сегментация сети.

Представлена настройка сегментации локальной сети в организации с использованием VLAN. Организатором VLAN выступает роутер MikroTik. В сети использованы коммутаторы ZyXEL и D-Link. Далее схема повторяется на большое число однотипных сегментов.

VLAN использован для следующих целей:

-разделить большую сеть на сегменты, отделить разные отделы, уменьшить широковещательный трафик;

-создать изоляцию между сетями;

-подключить коммутатор в который приходит 2 и более сетей одним проводом к роутеру (не тянуть лишние провода, не покупать доп. коммутаторы);

-объединить некоторые компьютеры расположенные в разных корпусах в общую логическую сеть;

Если все сети разделены проводами каждая к своему коммутатору, то можно обойтись простой сегментацией без VLAN как у нас было первоначально (ссылка).

Согласно поставленной задаче необходимо создать 3 VLAN:

1-Видеонаблюдение +сеть управления – VLAN-10;

2-Рабочая сеть – VLAN-11;

3-Гостевая сеть – VLAN-12;

Сети разделены на такие группы для упрощения описания. В реальной ситуации у нас в ЛВС 6 сетей с количеством хостов от 50 до 150 в каждой.

Настройка организована через VLAN Bridging. Мосты используются в том случае если одна и та же сеть нужна на разных портах, так же на мост ложится задача обрабатывать модифицированные кадры VLAN. Непосредственную обработку выполняет процессор.

Настройка подходит для всех типов роутеров с RouterOS v6.49. Первоначально настройка протестировалась на RB750Gr3 и RB3011. В рабочем варианте в локальной сети использован CRS326.

Существует так же возможность настройки VLAN через Switch-чип, но в данном описании она не рассматривается.

Для примера представлено описание настройки VLAN самых распространенных в нашей сети коммутаторов GS1900 и DGS-1100.

Кратко о VLAN.

VLAN – виртуальная локальная сеть, которая логически формируется на инфраструктуре физический локальной сети. Используется для сегментации сети и изоляции различных ее сегментов друг от друга.

VLAN работает на 2 уровне модели OSI (канальный). На этом уровне информация передается в виде кадров. В кадр добавляется дополнительное поле, в которое в том числе входит номером – VLAN ID.

В микротике есть два типа портов VLAN:

1-Тегированные (Tagged) – это порты для связи с другим сетевым оборудование, например с коммутаторами (trunk-порты, uplink или магистральные).

2-Не тегированные (Untagged) – это порты для подключения оконечного оборудования, например компьютеров (access-порты).

Все коммутаторы подключены к роутеру через trunk-порты. Коммутатор считывает номер тэга и отправляют его в нужный порт к оконечному оборудованию удаляя тэг на выходе. В обратную сторону (от оконечного оборудования к роутеру) передача идет так же, но в обратном порядке.

VLAN1 – трафик считается не тегированным.

Сброс конфигурации роутера.

Настройки MikroTik выполняются через WinBox.

Чтоб самого себя не отключить от роутера будем выполнять настройки через неиспользуемый порт, например ether5.

Подключаемся к роутеру, сбрасываем конфигурацию на пустую (blank).

Через командную строку терминала:

/system reset-configuration no-defaults=yes skip-backup=yes

1

/system reset—configuration no—defaults=yes skip—backup=yes

*если роутер выполняет работу в ЛВС, сбрасывать конфигурацию не нужно

Подключаемся к роутеру по MAC-адресу.

Логин (первоначальный): admin

Пароля нет.

После подключения меняем логин и пароль. (см. базовые настройки).

Настройки VLAN в роутере.

Мост для VLAN.

Создаем мост.

Name: bridge-VLAN – любое понятное имя латиницей.

Переходим на вкладку VLAN.

Активируем VLAN Filtering.

После активации этой настройки мост сможет обрабатывать кадры VLAN.

Ether Type: 0x8100 – тэг по умолчанию считающийся VLAN (метка о том что кадр принадлежит VLAN 802.1Q).

PVID 1 – для всего моста.

Frame Types: admit all – уточнение какие типы кадров разрешены для прохождения. (все типы)

После того как все будет настроено и заработает эту настройку можно поменять на admit only VLAN tagged — пропускать только тэгированный трафик.

Через командную строку терминала:

/interface bridge add name=bridge-VLAN vlan-filtering=yes ingress-filtering=no

1

/interface bridge add name=bridge—VLAN vlan—filtering=yes ingress—filtering=no

Интерфейсы.

Добавляем в созданный bridge-VLAN порты, которые планируются для VLAN. Согласно схемы это ether2 и ether3.

Нажимаем + и добавляем ether2.

Аналогично добавляем ether3.

Через командную строку терминала:

/interface bridge port add bridge=bridge-VLAN interface=ether2 add bridge=bridge-VLAN interface=ether3

1
2
3

/interface bridge port
add bridge=bridge—VLAN interface=ether2
add bridge=bridge—VLAN interface=ether3

Bridge-VLAN.

На вкладке VLANs добавляем все VLAN IDs для bridge-VLAN. Указываем тегированные интерфейсы, по которым будет выполняться связь с коммутаторами (trunk-порты).

Bridge: bridge-VLAN – созданный ранее мост.

VLAN IDs: 10 идентификатор для VLAN-10.

Tagged: ether2, ether3, bridge-VLAN – тегированные порты.

ОК для сохранения.

Особенность настройки в том, что пока не добавить bridge-VLAN в bridge-VLAN ничего не начнет работать. Т.е. мы добавляем метку VLANа для самого моста.

Можно добавить все три метки в одной настройке, нажав стрелочку вниз (возле VLAN IDs), но лучше так не делать и создать отдельные VLANs для удобства управления.

Добавляем VLAN IDs 11 и 12 аналогично.

Через командную строку терминала:

/interface bridge vlan add bridge=bridge-VLAN tagged=ether2,ether3,bridge-VLAN vlan-ids=10 add bridge=bridge-VLAN tagged=ether2,ether3,bridge-VLAN vlan-ids=11 add bridge=bridge-VLAN tagged=ether2,ether3,bridge-VLAN vlan-ids=12

1
2
3
4

/interface bridge vlan
add bridge=bridge—VLAN tagged=ether2,ether3,bridge—VLAN vlan—ids=10
add bridge=bridge—VLAN tagged=ether2,ether3,bridge—VLAN vlan—ids=11
add bridge=bridge—VLAN tagged=ether2,ether3,bridge—VLAN vlan—ids=12

VLAN интерфейсы.

Создаем интерфейсы VLAN-10, VLAN-11, VLAN-12.

Интерфейсы нужны, чтоб назначить на них IP-адреса и затем DHCP сервера.

Interfaces >> + >> VLAN

Name: VLAN-10 – любое понятное название латиницей.

VLAN ID: 10 – идентификатор VLAN.

Interface: bridge-VLAN – интерфейс для VLAN-10.

Создаем таким же способом еще 2 интерфейса для VLAN-11 и VLAN-12.

Через командную строку терминала:

IP-адреса для VLAN.

Назначаем IP-адрес для VLAN интерфейсов.

IP >> Addresses >> +

Таким же способом назначаем IP-адреса другим интерфейсам.

Через командную строку терминала:

DHCP-сервер для VLAN.

Назначим раздачу IP-адресов VLAN с помощью DHCP-сервера.

Можно воспользоваться мастером настройки нажав кнопку «DHCP Setup».

Или выполнить настройку вручную. Применим второй вариант.

Пул IP-адресов для DHCP-сервера.

Создаем новый пул нажав +.

Name: VLAN-10-POOL – любое понятное имя.

Addresses: 172.16.10.2-172.16.10.14 – диапазон IP-адресов для раздачи.

ОК

Создаем аналогично три пула адресов для всех VLAN.

Через командную строку терминала:

Настройка сети для DHCP-сервера.

Создаем сеть для VLAN-10.

Adress: 172.16.10.0/28 – адрес сети

Gateway: 172.16.10.1 – шлюз.

DNS Server: 172.16.10.1 – DNS сервер который будет раздаваться в сеть.

Аналогично создаем три сети для всех VLAN.

Через командную строку терминала:

Создание DHCP-сервера.

Name: DHCP-VLAN-10 – любое понятное имя.

Interface: VLAN-10 – интерфейс на котором будет работать DHCP.

Adress Pool: VLAN-10-POOL – созданный ранее пул адресов.

Так же в настройке можно изменить время привязки (Lease Time), но лучше это делать когда все пользователи получат запланированные адреса. В нашей рабочей сети время привязки от 8 до 12 часов по продолжительности рабочего дня. Для гостевой сети время привязки 1-2 часа.

Создаем три DHCP-сервера для всех VLAN.

Через командную строку терминала:

Настройка VLAN завершена.

Далее следует выполнить еще некоторые настройки локальной сети, Интернета и безопасности.

Можно воспользоваться базовой настройкой на этой странице.

Настройки VLAN в коммутаторе ZyXEL GS1900.

Настройки VLAN в коммутаторе ZyXEL GS1900.

В нашей ЛВС около 15 коммутаторов GS1900 -24 -48. Настраиваются они примерно одинаково. В меню есть некоторые различия зависящие от прошивки.

Подключаемся в коммутатор по IP-адресу напрямую от компьютера, с которого выполняются настройки. Оборудование должно быть в одной сети.

IP-адрес коммутатора (первоначальный): 192.168.1.1, по этому назначаем сетевому адаптеру ПК IP-адрес в том же диапазоне.

Если коммутатор потерялся в сети, то находим его с помощью утилиты ZON.

Если не получается найти коммутатор в сети после предыдущих настроек, то можно выполнить его сброс в заводские настройки. Для этого нужно нажать кнопку «Reset» на корпусе у включенного коммутатора и удерживать около 10-12 сек. После этого все диоды засветятся, помигают пару раз синхронно, коммутатор перезагрузится и настройки сбросятся.

Подключаемся с использованием любого браузера.

Логина: admin.

Пароль (первоначальный): 1234.

Меняем первоначальный пароль.

Устанавливаем сложный пароль не менее 8 знаков из букв разного регистра и цифр.

Для сохранения настроек нужно нажать «Save» в правом верхнем углу окна.

Если не сохранить, то после перезагрузки у настроек будет первоначальный вид.

Настройка VLAN.

Переходим в боковом меню Configuration >> VLAN >> VLAN >> VLAN.

Создаем три дополнительных VLAN ID с номерами 10, 11 и 12, нажимая кнопку «add».

Переходим на вкладку «Port», отмечаем галочкой первый порт и наживаем кнопку «Edit».

Для передачи трафика всех VLAN в роутер через этот порт, назначим его trunk-портом.

В этой настройке так же можно указать конкретно тип трафика – тэгированный или не тегированный. По умолчанию любой тип.

Далее, в соответствии с планом назначаем порты для VLAN 10, 11 и 12.

Порты 2, 3, 4 назначим VLAN-10. Для оконечного оборудования, которым будет 3 видеокамеры, нужно отметить порт как не тегированный (Untag Only). Коммутатор будет заворачивать весь трафик с меткой 10 в эти порты и обратно из портов в VLAN-10.

Выбираем порт, отмечаем настройки, нажимаем кнопку «Apply».

Порты 5-15 спланированы для рабочей сети. Можно их отредактировать все сразу.

Отмечаем нужные порты галочками. Нажимаем кнопку «Edit».

Настраиваем PVID 11, отмечаем Untag Only, нажимаем «Apply».

Порты 16-20 спланированы для гостевой сети

Выбираем порты. Указываем PVID 12, отмечаем Untag Only, нажимаем «Apply».

Переходим на вкладку VLAN Port и устанавливаем значение Tagged для всех VLAN ID (1, 10, 11, 12) на порту №1.

Для остальных портов выставляем значение Untagged и Forbidden в соответствии с планом.

Для VLAN-1:

Все порты запрещены (Forbidden).

Порт №1 тэгирован (Tagged).

VLAN-1 в нашей схеме вообще не участвует и можно его не трогать, но на всякий случай пусть 1 порт будет.

После каждой настройки нужно нажимать кнопку «Apply» внизу страницы.

Для VLAN-10:

Все порты запрещены (Forbidden).

Порт №1 тэгирован (Tagged).

Порты №2-4 нетэгированы (Untagged).

Подтверждаем на кнопку «Apply».

Для VLAN-11:

Все порты запрещены (Forbidden).

Порт №1 тэгирован (Tagged).

Порты №5-15 нетэгированы (Untagged).

Для VLAN-12:

Все порты запрещены (Forbidden).

Порт №1 тэгирован (Tagged).

Порты №16-20 нетэгированы (Untagged).

Получение IP-адреса коммутатора по DHCP.

Чтоб коммутатор не терялся в различных сетях, подсетях нужно назначить ему получение IP-адреса по DHCP.

Так как запланированная сеть для обслуживания (Management) совмещена с VLAN-10 (видеонаблюдение), выполним настройку так, чтоб коммутатору раздался IP-адрес из VLAN-10.

Mode: DHCP.

Management VLAN: 10 – эта настройка отвечает за сеть обслуживания.

После нажатия кнопки «Apply» в порт №1 коммутатора нужно подключить патч-корд от порта роутера с настроенным VLAN – ether2 или ether3.

Если все настроено правильно через некоторое время коммутатору раздастся IP-адрес из VLAN-10.

Новый IP-адрес можно посмотреть в настройка роутера IP >> DHCP-server >> Lease. Так же в этой таблице можно проверить раздаются ли IP-адреса в соответствии с настройкой.

Подключаем оборудование в разные порты коммутатора и проверяем, какие IP-адреса раздаются.

В разных портах коммутатора сетевые устройства получают IP-адреса разных VLAN, соответствующих настройке.

Коммутатору раздался IP-адрес 172.16.10.4

Это можно так же проверить в IP >> Neighbors (соседние устройства в сети)

Заходим в коммутатор по новому IP и сохраняем конфигурацию.

Информация о настройке VLAN коммутатора GS1900 взята с офф. сайта ZyXEL.

Настройка VLAN в коммутаторе DGS-1100-08P.

Такие коммутаторы используются для подключения видеокамер в нашей ЛВС, так как в них есть порты с питание по витой паре POE.

Выполняем настройку через последний порт коммутатора, чтоб самого себя не отключить.

В первый порт коммутатора подключаем входную сеть от любого порта VLAN роутера.

Подключаемся в коммутатор по IP-адресу напрямую от компьютера, с которого выполняются настройки. Оборудование должно быть в одной сети.

IP-адрес коммутатора (первоначальный): 10.90.90.90, по этому назначаем сетевому адаптеру ПК IP-адрес в том же диапазоне.

Если не получается найти коммутатор в сети после предыдущих настроек, то можно выполнить его сброс в заводские настройки. Для этого нужно нажать кнопку «Reset» на корпусе у включенного коммутатора и удерживать около 5 сек. Коммутатор перезагрузится и настройки сбросятся.

Для поиска в сети коммутаторов D-Link используется ПО SmartConsole Utility

Подключаемся с использованием любого браузера.

Логина нет.

Пароль (первоначальный): admin.

Меняем пароль на сложный, не менее 8 знаков из букв разного регистра и цифр.

Получение IP-адреса коммутатора по DHCP.

Переходим в меню System Settings, отмечаем DHCP, нажимаем Apply для подтверждения.

Сообщение предлагает использовать новый IP-адрес для доступа к устройству.

Пока DHCP сервер не подключен, страница браузера отобразит дисконнект, но через некоторое время (1мин.) можно будет зайти в настройку коммутатора по первоначальному IP-адресу.

Настройка VLAN.

Настройка портов будет такой:

Порт 1 – входящая сеть от роутера.

Порты 2-4 – VLAN-10 – Видеокамеры +сеть управления.

Порты 5-6 – VLAN-11 – Рабочая сеть.

Порты 7-8 – VLAN-12 – Гостевая сеть.

Переходим в меню VLAN.

Редактируем VLAN-1.

Порт1 – тэгированный.

Порт8 – не тегированный.

(временно, пока с него выполняется настройка и чтоб самого себя не отключить)

Остальные порты исключены.

Создаем 3 дополнительных VLAN 10, 11, 12 нажав кнопку «Add VID».

Первым добавляем VLAN-10.

Отмечаем порт 1 – тегированный.

Порты 2-4 – не тэгированные.

Порты 5-8 – не участвуют.

Таким же способом создаем остальные VLAN с учетом их портов.

Редактируем PVID.

Помним про порт 8 и пока с него выполняется настройка не включаем его в VLAN.

Переходим в меню Management VLAN и активируем его на десятом вилане.

После этих действий коммутатору раздастся IP-адрес из VLAN-10.

Тут возникла проблема – IP-адрес не раздавался весьма долго. Перезагружать коммутатор нельзя т.к. не была нажата кнопку сохранения конфигурации.

В итоге через ПО SmartConsole Utility был обновлен IP-адрес по DHCP и все дальше пошло по плану.

В компьютере с которого выполняется настройка выставляем получение IP-адреса по DHCP и подключаем его в порт VLAN-10 коммутатора.

Подключаемся в коммутатор по новому IP-адресу.

Исправляем порт 8.

Сохраняем конфигурацию.

Если этого не сделать, то после перезагрузки конфигурация сбросится на первоначальную.

Проверяем какие раздаются IP-адреса.

На разных портах в соответствии с настройкой, хостам раздаются IP-адреса из разных VLAN. Что и требовалось.

Коммутатору раздался адрес 172.16.10.13 из VLAN-10. И только из этой сети можно подключатся в коммутатор для выполнения настроек.

Изоляция между сетями VLAN.

Изолировать сети друг от друга можно двумя способами:

— с использованием правил в маршрутизации;

— с использованием правил фаервола.

Оба решения не очень удачные, но другие варианты пока не известны.

Изоляция через маршрутизацию.

IP >> Routes >>Rules >> + (создаем новое правило).

Src.Address: 172.16.10.0/28 – сеть источника.

Dst.Address: 172.16.11.0/28 – сеть назначения.

Action: unreachable – недоступность.

Создаем аналогичным способом правила для каждой сети. Меняем источник и назначение местами.

В итоге для 3х сетей получается шесть правил.

Через командную строку терминала:

/ip route rule add action=unreachable dst-address=172.16.10.0/28 src-address=172.16.11.0/28 add action=unreachable dst-address=172.16.10.0/28 src-address=172.16.12.0/28 add action=unreachable dst-address=172.16.11.0/28 src-address=172.16.10.0/28 add action=unreachable dst-address=172.16.11.0/28 src-address=172.16.12.0/28 add action=unreachable dst-address=172.16.12.0/28 src-address=172.16.11.0/28 add action=unreachable dst-address=172.16.12.0/28 src-address=172.16.10.0/28

1
2
3
4
5
6
7

/ip route rule
add action=unreachable dst—address=172.16.10.0/28 src—address=172.16.11.0/28
add action=unreachable dst—address=172.16.10.0/28 src—address=172.16.12.0/28
add action=unreachable dst—address=172.16.11.0/28 src—address=172.16.10.0/28
add action=unreachable dst—address=172.16.11.0/28 src—address=172.16.12.0/28
add action=unreachable dst—address=172.16.12.0/28 src—address=172.16.11.0/28
add action=unreachable dst—address=172.16.12.0/28 src—address=172.16.10.0/28

*в RouterOS v7 раздел /ip route rule перенесен в /routing/rule/

Проверяем пинг между сетями.

При выключенных правилах компьютеры пингуются. При включении правил пинг прекращается. Сети изолированы.

Неудачность метода в том, что если понадобится связать два каких-то конкретных хоста в разных сетях, то это сделать не получится. С увеличением количества сетей увеличивается количество правил.

Изоляция сетей с использованием фаервола.

IP >> Firewall >> Filter Rules >> + (создаем новое правило).

Chain: forward – проходной трафик

Src.Address: 172.16.10.0/28 – сеть источника.

Dst.Address: 172.16.11.0/28 – сеть назначения.

Переходим на вкладку Action.

Action: drop – действие запрета (отбросить).

Нажимаем ОК для сохранения.

Создаем аналогичным способом правила для каждой сети. Меняем источник и назначение местами.

В итоге для 3х сетей получается шесть правил. Располагаем правила вверху списка.

Через командную строку терминала:

/ip firewall filter add action=drop chain=forward dst-address=172.16.10.0/28 src-address=172.16.11.0/28 add action=drop chain=forward dst-address=172.16.10.0/28 src-address=172.16.12.0/28 add action=drop chain=forward dst-address=172.16.11.0/28 src-address=172.16.10.0/28 add action=drop chain=forward dst-address=172.16.11.0/28 src-address=172.16.12.0/28 add action=drop chain=forward dst-address=172.16.12.0/28 src-address=172.16.10.0/28 add action=drop chain=forward dst-address=172.16.12.0/28 src-address=172.16.11.0/28

1
2
3
4
5
6
7

/ip firewall filter
add action=drop chain=forward dst—address=172.16.10.0/28 src—address=172.16.11.0/28
add action=drop chain=forward dst—address=172.16.10.0/28 src—address=172.16.12.0/28
add action=drop chain=forward dst—address=172.16.11.0/28 src—address=172.16.10.0/28
add action=drop chain=forward dst—address=172.16.11.0/28 src—address=172.16.12.0/28
add action=drop chain=forward dst—address=172.16.12.0/28 src—address=172.16.10.0/28
add action=drop chain=forward dst—address=172.16.12.0/28 src—address=172.16.11.0/28

Проверяем ping между сетями.

При включении правил пинг не проходит. Сети изолированы.

Связь между хостами в разных VLAN.

Допустим, понадобилось организовать соединение между хостами с IP-адресами 172.16.11.14 и 172.16.10.3. Они находятся в разных VLAN.

IP >> Firewall >> Filter Rules >> + (создаем новое правило).

Chain: forward – проходной трафик

Src.Address: 172.16.10.3 – IP-адрес источника.

Dst.Address: 172.16.11.14 – IP-адрес назначения.

Action: accept (разрешение).

Создаем аналогично второе правило в котором меняем местами источник и назначение.

Размещаем правила вверху списка.

Через командную строку терминала:

/ip firewall filter add action=accept chain=forward dst-address=172.16.11.14 src-address=172.16.10.3 add action=accept chain=forward dst-address=172.16.10.3 src-address=172.16.11.14

1
2
3

/ip firewall filter
add action=accept chain=forward dst—address=172.16.11.14 src—address=172.16.10.3
add action=accept chain=forward dst—address=172.16.10.3 src—address=172.16.11.14

Проверяем связь. Пинг проходит для указанных хостов и не проходит для всего остального оборудования т.к. правила фаервола работают по принципу до первого совпадения.

Для соединения большого количества устройств в разных VLAN, чтоб не плодить много правил, добавляем IP-адреса хостов в списки и затем указываем в правилах эти списки.

Недостаток метода – затраты ресурсов процессора на обработку правил.

2022-09-11T13:33:08

Настройка ПО

Ubuntu RADIUS Server Configuration with freeRADIUS

Ubuntu Server is one of most popular open-source Linux Server distribution. It is stable and reliable than other Linux distributions. So, enterprise level application can be hosted on Ubuntu Server. Ubuntu RADIUS Server is popularly used for remote authentication and mostly used with the freeRADIUS open source RAIDUS application.

freeRADIUS is one of the most popular and powerful AAA (Authorization, Authentication and Accounting) application. Any enterprise (specially ISP company) can use freeRADIUS for AAA solution and can develop billing system. freeRADIUS can be easily installed and configured in Ubuntu Linux Server and can be used as Ubuntu RADIUS Server.

In my previous article, I discussed how to installed Ubuntu Linux Server with LVM and in this article I am going to discuss how to install and configure freeRADIUS daemon in Ubuntu Linux Server and how to use Ubuntu RADIUS Server with freeRADIUS.

How to install and configure freeRADIUS in Ubuntu Server

freeRADIUS installation in Ubuntu Server

freeRADIUS package is available in Ubuntu Server package repository. At the time of writing this article, the available version of freeRADIUS is freeRADIUS 3. You can find the current available version with the following command.

# sudo apt search freeradius

With the above command, you will find a lot of freeRADIUS packages available in Ubuntu Repository. Among these packages, we will only install the basic freeradius and freeradius-utils package initially.

Issue the following command to install freeRADIUS basic packages in Ubuntu Server.

# sudo apt install freeradius freeradius-utils -y

Within few times, the freeRADIUS daemon will be installed in your Ubuntu Server. You can verify freeRADIUS installation in Ubuntu Server with the following command.

# sudo apt list –installed | grep freeradius

Managing freeRADIUS Service in Ubuntu Server

The freeradius service will be started by default after installing the freeradius package. We can see the status of the freeradius service with the following command.

# sudo systemctl status freeradius

We will now find that the freeradius service is active and running. To make it start automatically when Ubuntu Server rebooted, issue the following command.

# sudo systemctl enable freeradius

We can also start or restart the freeradius service with the following two commands respectively.

# sudo systemctl start freeradius # sudo systemctl restart freeradius

If we need to stop the freeradius service for any reason, we can issue the following command.

# sudo systemctl stop freeradius

Testing freeRADIUS Installation and Default Configuration

To test and debug freeRADIUS installation and configuration as well as freeRADIUS data send and receive, we can run freeRADIUS as debug mode. To run freeradius as debug mode in Ubuntu Server, issue the following command but make sure the freeradius service is stopped.

# sudo freeradius -X

With the above command, you will find the following output at the bottom that means your server is ready to accept NAS authentication, authorization and accounting request.

Listening on auth address 127.0.0.1 port 18120 bound to server inner-tunnel Listening on auth address * port 1812 bound to server default Listening on acct address * port 1813 bound to server default Listening on auth address :: port 1812 bound to server default Listening on acct address :: port 1813 bound to server default Listening on proxy address * port 54279 Listening on proxy address :: port 52868 Ready to process requests

Allowing RADIUS Ports in Firewall

From the above command, you can see that freeradius is listening the auth (Authorization and Authentication) request on UDP port 1812 and the acct (Accounting) request on UDP port 1813. So, we have to keep allowed these UDP ports in our installed firewall in Ubuntu Server. As I am fond of Firewalld daemon for firewalling in Ubuntu Server, I am showing how to enable these UDP ports in firewalld service. If you use any other firewall daemon, use that service to allow these two UDP ports.

Issue the following command to allow these ports in firewalld service (on public zone, if you have any other zone, enable these ports on that zone also if required).

# sudo firewall-cmd –zone=public –add-port=1812/udp # sudo firewall-cmd –zone=public –add-port=1813/udp

freeRADIUS Server Basic Configuration in Ubuntu Server

We will now do FreeRADIUS basic configuration which includes RADIUS client (NAS) and RADIUS User configuration. In Ubuntu FreeRADIUS Server, all the configuration files are placed in /etc/freeradius/version_number directory. So, go to this directory and open clients.conf file.

# cd /etc/freeradius/3.0/ # vim clients.conf

In this file, a default RADIUS client named localhost is configured by default for testing purpose. So, we will use this client for testing FreeRADIUS configuration. The default configuration of the localhost client looks like the following lines.

client localhost { ipaddr = 127.0.0.1 secret = testing123 require_message_authenticator = no nas_type = other }

Similarly, we can add other NAS devices such MikroTik Router, Cisco Router etc. We will discuss how to add NAS devices in clients configuration file in the upcoming tutorials. Now we will add our test users in FreeRADIUS Server.

By default, user will be authorized and authenticated from users file in FreeRADIUS Server. So, open the users file located in this directory and add the following bob user at the top of this file. Also make sure that the second and third lines are indented by a single tab character.

# vim users

“bob” Cleartext-Password := “password” Framed-IP-Address = 192.168.10.10, Reply-Message = “Hello, %{User-Name}”

In the above user information, the first line contains authorization and authentication information which is user name and password, and the rest of the line contains AVPs (Attribute Value Pair) those will be returned when the user will be authenticated.

FreeRADIUS basic configuration has been completed. Now it is time to test the configuration. FreeRADIUS provides radtest and radclient tools to test user and its configuration. We will use radclient tool test our bob user.

So, reload the freeradius daemon and issue the following radclient command and observe the output of this command.

# systemctl restart freeradius

# echo “User-Name=bob,User-Password=password” | /usr/bin/radclient -x 127.0.0.1:1812 auth testing123

Output

Sent Access-Request Id 10 from 0.0.0.0:60243 to 127.0.0.1:1812 length 43

        User-Name = “bob”

        User-Password = “password”

        Cleartext-Password = “password”

Received Access-Accept Id 10 from 127.0.0.1:1812 to 127.0.0.1:60243 length 38

        Framed-IP-Address = 192.168.10.10

        Reply-Message = “Hello, bob”

The above output of the radclient command is showing how auth request is being sent to the radius server and how the response is being sent to the Radius client.

So, Ubuntu RADIUS Server with freeRADIUS is now ready to accept Radius client (NAS) request and sent response to the NAS. In the next article, we will learn how to add MikroTik Router as NAS device of the freeRADIUS Server and authenticated RouterOS system user from Ubuntu RADIUS Server.

How to install and configure freeRADIUS Server in Ubuntu Server has been discussed in this article. I hope, you will now be able to install and configure freeRADIUS Server in Ubuntu Server. However, if you face any issue to install and to do basic configuration of freeRADIUS Server, feel free to discuss in comment or contact me from Contact page. I will try my best to stay with you.

2022-09-03T20:19:38

FreeRADIUS Step by Step Configuration Guides

ReadMag.ru

рецепты по настройке программного обеспечения

Архив метки: Mikrotik

Сервер логов Rsyslog+Loganalyzer на ОС Ubuntu20.

WireGuard Site to Site VPN Between MikroTik RouterOS 7

Site to Site WireGuard VPN Network Diagram

Site to Site WireGuard VPN Configuration in RouterOS 7

Enabling WireGuard in MikroTik RouterOS

Assigning IP Address on WireGuard Virtual Interface

Creating WireGuard Peers Between Two RouterOS

Static Routing Configuration Between RouterOS

MikroTik – отправка логов на внешний сервер.

MikroTik – VLAN – порты доступа.

MikroTik – VLAN – сегментация сети.

Ubuntu RADIUS Server Configuration with freeRADIUS

freeRADIUS installation in Ubuntu Server

Managing freeRADIUS Service in Ubuntu Server

Testing freeRADIUS Installation and Default Configuration

Allowing RADIUS Ports in Firewall

freeRADIUS Server Basic Configuration in Ubuntu Server