Архив метки: Mikrotik

Настройка DNS Server на MikroTik

Сегодня поговорим о DNS в рамках использования на MikroTik, настроим Server да и в общем затронем немного истории этой технологии. И так начнём.

DNS – как много в этом слове. Domain Name System – система доменных имён или та штука, которая преобразует имя в IP. Представитель мамонтов в нашем мире. RFC 1034/1035 были выпущены в ноябре 1987 года. На сегодняшний день сервисов, его не использующих практически нет или что-то совсем специфическое. Он как инфраструктурный сервис — без него никуда. Он может не только преобразовать имя в IP, но и наоборот, такая запись называется PTR (в режиме кэширования). Читать

MikroTik. Основы написания скриптов

Это основы написания скриптов для роутеров MikroTik. Функционал их достаточно велик, но его можно расширить с помощью написания скриптов.





Читать

MikroTik – L2TP/IPsec VPN (site to site) – объединение двух офисов.

Постановка задачи: к ЛВС и серверу в главном здании учреждения необходимо подключить ЛВС филиала, расположенного в другом городе.

Схема подключения на рисунке ниже.

 

В результате настроек между двумя роутерами MikroTik создается L2TP туннель, через который передается информация с IPsec  шифрованием.

Освоить MikroTik Вы можете с помощью онлайн-куса
«Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

В схеме использованы 2 роутера MikroTik RB750Gr3 с прошивкой 6.49. Чтоб их различать, заданы номера: сервер-101, клиент-102.

Конфигурация роутеров сброшена на пустую (blank).

Все настройки выполняются из локальных сетей 1 и 2 через WinBox или командную строку.

При написании имен интерфейсов следует учитывать, что командная строка чувствительна к регистру.

В MikroTik RB750Gr3 отсутствует аппаратная поддержка IPsec и вся нагрузка по шифрованию ложится на процессор. Это нужно учитывать, выбирая роутер и исходя из объемов предполагаемого VPN трафика.

Описана реальная ситуация из практики объединения офисов по VPN. Внешние IP-адреса изменены.

Порядок действий.

 

Настройка сервера VPN.

1.Идентификация роутера-сервера.

2.Создание профиля VPN.

3.Активация сервера L2TP.

4.Создание пользователя пользователя.

5.Создание интерфейса.

6.Статический маршрут в направлении LAN2.

7.Правила firewall.

8.Подключение к Интернету (WAN).

9.Настройка локальной сети LAN1.

 

Настройка клиента VPN.

1.Идентификация роутера-клиента.

2.Настройка интерфейса L2TP

3.Настройка ADSL модема.

4.Настройка внешнего IP-адреса (WAN).

5.Статический маршрут в направлении LAN1.

6.Настройка локальной сети LAN2.

7.Проверка.

8.Firewall в ОС Windows или антивирусе.

9.Трассировка.

10.Удаленное обслуживание.

 

Настройка сервера VPN.

Роутер-сервер расположен в РШ серверной главного здания. В первый порт подключен патч-корд к оптическому конвертору. В любой из оставшихся портов можно подключить патч-корд к ЛВС1.

 

Подключаемся к роутеру-серверу из локальной сети через WinBox по MAC-адресу т.к. IP-адрес 0.0.0.0.

1.Обозначим название роутера.

System >> Identity >> 101-SERVER-MINSK (название латиницей, любое понятное)

Через командную строку терминала:



 

2.Создание профиля VPN

Профиль нужно создать до активации сервера L2TP, потому что его нужно указывать в настройках этого самого сервера.

Можно использовать дефолтный профиль.

Переходим в меню PPP >> Profiles >>Нажимаем синий крест (плюс).

В открывшемся окне на вкладке Generals вводим настройки.

Name: L2TP-SITE-TO-SITE – любое понятное имя латиницей.

Local Address: не указываем – адрес роутера-сервера в VPN.

Remote Address: не указываем – адрес роутера-клиента в VPN.

Change TCP MSS: yes

Локальный и удаленный адрес в данном случае не указаны.

Локальный (Local) адрес будет указан в учетной записи клиента VPN.

Удаленные (Remote) адреса разные у разных клиентов, и они так же указаны в настройке клиентов.

В качестве удаленного адреса можно указать пул IP-адресов для VPN. Его нужно предварительно создать.

 Переходим на вкладку Protocols и выполняем настройки как на картинке ниже.

MPLS: yes —  передача пакетов по меткам. wiki

Compression: no – сжатие данных, используется при медленных каналах.

Encryption: yes – шифрование данных, по согласованию с клиентом.

 

На вкладке Limits можно настроить лимит сессии, время отключения при бездействии, ограничение скорости подключения, одно подключение (Only one).

Настройки вкладок Queue и Scripts не изменялись.

Через командную строку терминала:



Профиль можно вообще не трогать. В описании приведено его создание чтоб обозначить возможность. Бывают ситуации с большим количеством VPN-клиентов, в которых без профиля сложно.

  

3.Активация сервера L2TP.

Переходим по меню в L2TP сервер: PPP >> Interface >> L2TP Server

В открывшемся окне ставим галочку напротив Enable.

Выбираем созданный ранее профиль Default Profile: L2TP-SITE-TO-SITE (или оставляем дефолтный).

Authentication: mschap2, остальные варианты отключаем.

Use IPsec: yes – использование шифрования IPsec.

Причем если выбрать «yes», то это не обязывает использование IPsec. Если выбрать «required», то без IPsec соединение не будет работать.

При первоначальной настройке можно выбрать «yes», чтоб избавится от дополнительной вероятной ошибки подключения. После того, как VPN заработает можно поставить «required» и усложнить пароль.

IPsec Secret: 12345Password – пароль IPsec.

Нажимаем кнопку «ОК».

Через командную строку терминала:



 

4.Создание пользователя.

PPP >> Secrets >> Нажимаем синий плюс, в открывшемся окне вводим:

Name: BREST-SITE-TO-SITE – имя пользователя VPN (для роутера филиала).

Password: Password12345678 – сложный пароль из латинских букв, цифр и спец.символов разного регистра.

Service: l2tp – тип туннеля (сервиса).

Profile: L2TP-SITE-TO-SITE – созданный ранее профиль, выбираем из выпадающего списка.

Local Address: 172.16.0.1 – локальный адрес роутера в VPN сети.

Remote Address: 172.16.0.2 – IP-адрес роутера филиала в VPN сети.

Нажимаем кнопку «ОК».

Через командную строку терминала:



*в имени профиля удобно использовать название города, в котором расположен филиал

 

5.Создание интерфейса.

PPP >> Interface.

Из выпадающего меню возле синего крестика выбираем: L2TP Server Binding.

На вкладке General указываем:

Name: 102-BREST-L2TP-SERVER — любое понятное имя латиницей;

User: BREST-SITE-TO-SITE — имя пользователя созданное в Secrets.

Через командную строку терминала:



Практика показывает, что в названии интерфейса удобно использовать направление данного интерфейса. Если сервер находится, например в Минске, а филиал в Бресте, то в названии присутствует город назначения, тип туннеля и обозначение того, что этот интерфейс на роутере-сервере. Это все можно указать в комментариях, но в некоторых выпадающих списках меню при выборе интерфейса комментарий не отображается.

 

6.Статический маршрут в направлении LAN2.

Создадим статический маршрут, направляющий трафик от пользователей LAN1 к пользователям в LAN2.

IP-адреса в LAN1: 192.168.0.0/24

IP-адреса в LAN2: 192.168.30.0/24

В боковом меню переходим в IP >> Routes.

Нажимаем синий плюс, на вкладке General указываем:

Dst. Address: 192.168.30.0/24 – адрес сети назначения.

Gateway: 172.16.0.2 – шлюз в нужную сеть – указываем IP-адрес противоположного роутера в сети VPN или созданный ранее интерфейс (IP надежнее).

Нажимаем ОК для сохранения настроек.

Через командную строку терминала:



 

7.Правила firewall.

Создадим правила брандмауэра для разрешения IPsec, L2TP и их портов.

Правило разрешения протокола IPsec.

Переходим по меню: IP >> Firewall >> Filter Rules.

Нажимаем синий плюс, в открывшемся окне на вкладке General вводим настройки:

Chain: input – входящий в роутер трафик.

Protocol: ipsec-esp  – протокол.

Переходим на вкладку Action.

Action: accept – разрешающее действие.

Нажимаем ОК для сохранения.

Через командную строку терминала:



Остальные правила создаются аналогично. Введем их через командную строку. (для экономии места на странице)

 

Правило, разрешающее порты IPsec.



 

Правило, разрешающее порт L2TP.



Правила для портов написаны раздельно в перспективе на будущие изменения. Допустим понадобится отключить L2TP и оставить IPsec или наоборот.

Расположить правила желательно ближе к верху списка.

 

8.Назначим роутеру внешний (WAN) статический IP адрес.

Наш провайдер предоставляет услугу PPPoE с логином и паролем согласно приложению к договору. В разных ситуациях провайдер может предоставлять доступ в Интернет разными способами и сервисами.

Создаем интерфейс PPPoE клиента: PPP >> PPPoE Client.

В открывшемся окне:

Переходим на вкладку General.

Name: pppoe-out1 – имя нового интерфейса (можно указать любое латиницей)

Interfaces: ether1 – интерфейс к которому подключен провод от оптического терминала провайдера.

Переходим на вкладку Dial Out.

Service: byfly – понятное название латинскими буквами.

User: 123456789101212@beltel.by – имя пользователя из приложения к договору об оказании услуг от провайдера.

Password: 1234567890 – пароль из приложения к договору об оказании услуг.

Use Peer DNS и Add Default Route отмечены галочками.

Протоколы аутентификации отмечены галочками все 4 (не трогаем их при byfly).

ОК для сохранения настроек.

Через командную строку терминала:



Через некоторое время 0,5-1-2 мин роутер автоматически получит заказанный у провайдера внешний IP-адрес, который будет для него постоянным.

Так же автоматически появятся несколько адресов внешних DNS серверов.

На созданном интерфейсе pppoe-out1 появится статус R (running).

 

9.Дале следует выполнить настройки локальной сети LAN1  — Bridge, LAN IP, DHCP, DNS, NAT и др.

Для VPN действие не обязательное.

Можно воспользоваться базовой настройкой MikroTik

Кратко в файле конфигурации.

 

 

Настройка клиента VPN.

Клиентский филиал подключается в Интернет через ADSL-модем на скорости 10/5Мбит/с. Для филиала заказан внешний статический IP-адрес у провайдера. Хотя это действие на обязательное. Достаточно чтоб был «белый» внешний статический IP-адрес у сервера.

В локальной сети LAN2 7 компьютеров. Им всем необходимо иметь прямой доступ к серверу в LAN1 и общим сетевым папкам.

Сетевое оборудование смонтировано в металлическом ящике на стене.

На распределительный шкаф формата СКС у организации средств конечно же не нашлось. Но зато на складе было много ящиков для пассивного оборудования электрики или связи, с плохой вентиляцией, которые сказали брать и использовать. Главный недостаток такого ящика в паре с активным оборудованием – нагрев, хотя он не критичный. По спецификации RB750Gr3 может работать при температуре до +60С.

Для сравнения:

Датчик температуры в Микротике в ящике всегда показывает +40С.

Датчик температуры в Микротике висящем на стене в помещении +35С +36С.

В серверной с кондиционером температура по датчику в Микротике +29С +30С.

В последующих филиалах уже была сделана доработка конструкции — в верхней и нижней поверхностях ящика насверлены отверстия. Температура +36С +37С, почти как у оборудования, висящего на стене.

Подключаемся через порты 2-5 в роутер. Входим в меню через WinBox по MAC-адресу т.к. роутер сброшен в пустую конфигурацию.

 

1.Обозначение названия роутера.

System >> Identity >> 102-CLIENT-BREST

Через командную строку терминала:



*в названии роутера очень удобно использовать название того населенного пункта, в котором он находится

 

2.Настройка интерфейса L2TP

Переходим в меню PPP, выбираем L2TP Client.

Выполним настройки интерфейса клиента.

На вкладке General, указываем имя. Можно оставить l2tp-out1 либо написать что-то свое для понятности.

Переходим на вкладку Dial Out.

Connect To: 85.51.148.195 – внешний (WAN) IP-адрес роутера-сервера.

User: BREST-SITE-TO-SITE – имя пользователя, созданное для клиента на сервере.

Password: Password12345678 – пароль, созданный в профиле клиента на сервере.

Активируем галочкой Use IPsec.

IPsec Secret: PasswordIPsec54321 – пароль назначенный для IPsec в сервере.

Allow: mschap2.

Нажимаем ОК для сохранения настроек.

Через командную строку терминала:



 

3.Настройка ADSL модема.

Для продолжения настроек VPN туннеля, необходимо перевести модем в режим работы Bridge.

Все модемы разные, но принцип общий. Подключаемся патч-кордом во 2 порт модема. Заходим в интерфейс через браузер по IP-адресу (обычно это 192.168.1.1). Вводим логин-пароль.

Выставляем настройку Bridge Connection.

4.Настройка внешнего IP (WAN).

Соединение VPN не произойдет пока роутеру-клиенту не назначен WAN IP адрес. Сделаем это.

Ситуация аналогична настройке внешнего IP в роутере-сервере. Провайдер предоставляет Интернет через PPPoE.

Создаем интерфейс PPPoE-клиент: PPP >> PPPoE Client.

Переходим на вкладку Dial Out.

Service: byfly – понятное название латинскими буквами.

User: 0987654321111@beltel.by – имя пользователя из приложения к договору об оказании услуг от провайдера.

Password: 1234567890 – пароль из приложения к договору об оказании услуг.

Use Peer DNS и Add Default Route отмечены галочками.

ОК для сохранения настроек.

Через командную строку терминала:



Через некоторое время роутер автоматически получит заказанный у провайдера внешний IP-адрес, который будет для него постоянным.

После настройки внешнего интерфейса роутеры должны «увидеть» друг друга. При успешном подключении статус интерфейса станет R (running).

Дополнительно можно проверить вид шифрования (Encoding). Если у него вид как на картинке выше, то работает IPsec. Если что-то другое, то нужно перезагрузить роутеры и проверить еще раз.

Так же нужно убедиться в соответствии назначенных ранее Local и  Remote Address.

 

5.Статический маршрут.

Маршрут направляет трафик из LAN2 в LAN1.

IP-адреса в LAN1: 192.168.0.0/24

IP-адреса в LAN2: 192.168.30.0/24

Переходим в меню маршрутов: IP >> Routes >> Нажимаем синий плюс.

На вкладке General указываем:

Dst. Address: 192.168.0.0/24 – адрес сети назначения.

Gateway: 172.16.0.1 – VPN IP-адрес роутера-сервера.

Нажимаем ОК для сохранения настроек.

Через командную строку терминала:



Вводить правила Firewall для разрешения VPN на роутере-клиенте не нужно.

 

6.Настройка локальной сети LAN2 — Bridge, LAN IP, DHCP, DNS, NAT и др.

Для VPN действие не обязательное.

Можно воспользоваться базовой настройкой MikroTik

Кратко в файле конфигурации.

 

 

7.Проверка.

Проверяем ping из LAN2 в LAN1 и наоборот. Ping должен проходить в обе стороны.

Можно проверить ping из роутера-клиента в LAN1 и наоборот.

Оборудование в LAN1 и LAN2 общается друг с другом как в одной общей сети.

8.Firewall в Windows или антивирусе.

Часто возникает ситуация, когда общие папки или спец. ПО расположены на ПК с Windows Server. У этих систем нужно открывать порты для организации доступа и прохождения пинга.

Если дополнительно установлен антивирус, то он, как правило, управляет брандмауэром операционных систем и доступы нужно задавать в его настройках.

Например, у нас на сервере антивирус KES11. Для того, что проходил ping из сетей за VPN нужно отключить правило блокировки входящего ICMP трафика из внешних сетей, которое установлено по умолчанию.

Сделать это можно в настройках сетевого экрана в меню «Пакетные правила».

 

Для того, чтоб был доступ к общим сетевым папкам, нужно открыть 445 порт для адресов сетей за VPN, в нашем случае указать LAN2 (и другие сети если они есть). Это так же делается в пакетных правилах антивируса KES11. Создаем новое правило с понятным названием, например «Доступ из сетей за VPN».  Настройки как на картинке ниже.

Правило нужно располагать выше, чем стандартные правила, блокирующие TCP, UDP из внешних сетей.

Таким же способом можно открыть доступ RDP на данный сервер с указанных IP-адресов или другие сервисы, которые нужны для работы. Антивирусы и брандмауэры у всех разные, но принцип действий примерно одинаковый – разрешить определенный трафик из указанной сети за VPN-ом. Как открыть порты в брандмауэрах так же написано тут.

 

9.Трассировка.

После того, как VPN настроен и ping проходит, нужно убедиться, что трафик идет через туннель сайт-сайт, а не через внешний IP-адрес. Для этого запускаем трассировку на компьютере в LAN1 и указываем IP-адрес любого доступного ПК в LAN2. Смотрим, по какому пути идет трафик.

Трассировка идет через VPN IP-адрес, настройка выполнена верно. Если трафик пойдет через WAN IP-адрес, то настройка сделана не правильно. Нужно смотреть, где IP-адреса расставлены не на своих местах. То же самое нужно сделать из LAN2 в LAN1. Можно выполнить трассировку из роутера (Tools >> Traceroute).

 

10.Удаленное обслуживание.

Для удаленного обслуживания роутеров-клиентов из главного офиса можно использовать подключение через WinBox или SSH. Для этого нужно указать список доверенных IP-адресов, с которых разрешено подключение. Затем создать правило разрешающее подключение всем кто в списке.



Или по аналогичному принципу создать правило для подключения в роутер через VPN интерфейс.

С этими правилами следует работать аккуратно, чтоб не заблокировать себе доступ в роутер.

Для подключения по SSH нужно предварительно загрузить в роутер сертификат (инструкция).

Освоить MikroTik Вы можете с помощью онлайн-куса
«Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

 

 



2021-11-16T16:12:23
Настройка ПО

6 Best VPN Providers to Consider in 2022

There are many VPN providers on the market. It can be difficult to know which one is best for you, but luckily we have compiled a list of six of the best! Get ready for our top picks.




What is a VPN?




A VPN, or virtual private network, hides and encodes your internet traffic so that you can surf the web more securely. By doing so, it protects your data from hackers and prying eyes. Think of a VPN as a tunnel between you and the outside world — where anyone watching from the other side sees only jumbled letters instead of sensitive information like passwords and banking data.




Is VPN Good or Bad?




VPNs are incredibly useful. They provide security and privacy by encrypting all the data that leaves your computer or mobile device. In fact, that’s why you’re here — you’ve heard about the dangers of public WiFi and want to check if a VPN can help protect you from hackers and snoopers at coffee shops, airports, hotels, and all those other places you connect to the web while on the go.




What makes a good VPN?




If you’re looking for a great VPN service, fast speeds and ease of use are key — here’s what we look for in a top-notch VPN:




Good speed test results: A good VPN will be fast enough that it doesn’t affect your browsing experience. All of our contenders have passed the tests, so pick a winner!




Strong privacy policy: A strong no-logging policy is essential for protecting your privacy on the web. You’ll want to know that you’re off the radar when it comes to hackers and advertisers. Good security features




We recommend Express VPN as it has high speeds and easy-to-use software that will let you stay connected to your favorite sites all over the world. NordVPN also offers an excellent service with 24/7 customer support that will help if any problems arise. We hope this guide helps you find the perfect provider for your needs!




most popular vpn providers
most popular vpn providers




Best VPN Providers to Consider in 2022




The best 6 providers which will make your browsing faster keeping your privacy are listed below:







HideMyAss




HideMyAss is one of the largest VPN providers with over 800 servers in 190 different countries. They offer advanced encryption and protocol options with an extremely fast connection speed allowing you to browse the internet securely, privately and anonymously.




ExpressVPN




ExpressVPN has over 1500 servers spread across 94 countries with support for Smart DNS, allowing them to unblock even the most difficult websites. Their custom software is easy to install and use, so you can be sure that you will never have connection issues.




NordVPN




NordVPN has over 3600 servers spread across 60 countries including many locations in Canada, which means you will always find a reliable VPN server close to home. They offer a high number of encryption options and a zero-log policy.






CyberGhost




CyberGhost is a Romanian provider with over 1700 servers in over 60 countries, including many locations in Canada, allowing you to connect from almost anywhere. This VPN service offers high speeds with the option to go ‘no logs’, and has some additional features like a sever access remover and a VPN-for-WiFi feature. IPVanish




IPVanish




IPVanish has over 500 servers, spread across 60 countries with 10 in Canada, allowing you to switch between them as often as possible. They allow P2P traffic on many of their servers and offer an SSTP service, which is the most reliable way to connect to Canada.




VyprVPN




Vyprvpn has over 700 servers, spread across 70 countries with 10 in Canada allowing you to switch between them as often as possible. They offer a premium service that allows you to have many different IP addresses, which is useful if there are certain websites that you need to access




What is the Fastest VPN in 2021?




HideMyAss has high speeds while connecting to the service, and they offer an ‘internet kill switch’, which is excellent in case your VPN connection suddenly drops. ExpressVPN also offers high speeds while supporting servers all over the globe, allowing you to unblock just about anything!




The Fastest VPN 2022?




IPVanish connects quickly with extremely high speeds, and Nord VPN also offers high-quality servers located all over the world. Vyprvpn has a large number of servers and allows you to connect with an SSTP connection, which is the most secure and reliable way to access Canadian websites.






VPN in Digital Marketing




Your marketing is invaded by hackers, identity thieves and third parties. This can be bad for business- sometimes very quickly! However there are ways to protect yourself from these outside forces which could make all of the difference in your success or failure. One option that many small businesses don’t consider because it’s too involved with setting up something like PPTP (point-to point tunneling protocol) but doesn’t provide enough privacy protection would be IPsec VPNs – they’re complicated at first glance however when you break down what each acronym stands for their simplicity becomes apparent: Internet Protocol Security/IP(internet protocol) Security. A VPN digital marketing company can help you get a VPN marketing account for your business, and streamline the process of a VPN network for marketing resources.




Conclusion




As you can see, there is a wide variety of VPN providers in the world and finding the best one for your needs will depend on where you live and what websites need to be unblocked. We hope that our guide has helped highlight some of the best options available today — we wish you luck with your future endeavors!



2021-10-19T23:46:57

MikroTik Bonding

Познакомимся с Bonding интерфейсами на роутерах Mikrotik. Bonding — это логические интерфейсы, которые позволяют объединить в себя несколько физических портов для балансировки и отказоустойчивости.

Читать

Скрипты в Mikrotik

В данной статье дано краткое объяснение по основным моментам написания скриптов для Mikrotik.

За подробной информацией обращайтесь к руководству: https://wiki.mikrotik.com/wiki/Manual:Scripting или тоже самое https://help.mikrotik.com/docs/

Запуск скриптов

В RouterOS есть удобная командная строка (CLI). Попасть в нее можно подключившись к оборудованию Mikrotik по Winbox и открыв «New Terminal» или подключившись по SSH. Мы можем написать скрипт в любом текстовом редакторе, а затем скопировать и вставить его в командную строку Mikrotik. Скрипт выполнится. Читать