Этот небольшой обзор предназначен для тех, кто еще не решился сходить на тренинг по курсу MTCNA. Все описанные вопросы интересовали меня, перед сборами на этот тренинг и, поэтому решено было их описать.

В нашей организации есть оборудование MikroTik и так как, кроме меня им ни кто не управляет, нужно было отправиться на курсы. Были планы пройти тренинг и сдать экзамен летом, во время отпуска в Питере т.к. в РБ (где, я вобщем-то и обитаю) MTCNA редкость. Неожиданно курсы сами приехали в Минск.

Зачем все это нужно.

1.Чтоб повысить уровень своих знаний.

2.Быть в теме современных тенденций и направлений сетевых технологий.

3.Закрепить достигнутые результаты с помощью сертификата.

В Интернете на сегодняшний день огромное море информации, в которой очень легко запутаться. Курсы и тренинги помогают структурировать и систематизировать информацию, подсказывают правильные методики действий, объясняют с чего начать и куда двигаться дальше.

Почему MikroTik.

Основное то, что роутеры MikroTik работают в сети нашей организации. Попали они туда случайно и за время работы показали себя с хорошей стороны. Так же можно определить следующие причины.

1.Низкая цена оборудования.

2.Широкий функционал для большого количества потребностей.

3.Гибкость и обилие настроек.

4.Однотипность ОС у любого оборудования.

5.Надежность в работе.

Со временем приходит понимание, что микротик проще  чем циско и удобнее чем прочие де-линки, а главное, оборудование гораздо дешевле. Возможности копеешного девайса такие же, как и у топового роутера благодаря единой RouterOS. Вероятно, что для меня еще вызывает удобство в работе с MikroTik — это приложение для выполнения настроек – WinBox.

MTCNA.

MTCNA – первый начальный курс из 10. Курс предназначен для системных  администраторов, работающих с MikroTik. Содержание курса можно посмотреть на официальном сайте, нажав на картинку ниже.

После успешной сдачи экзамена, и получения сертификата открывается доступ к следующим уровням обучения. Сертификат действителен в течение трех лет. После этого срока можно пройти пересдачу экзамена.

Организация и проведение.

Требования для участия.

К MTCNA нужно прийти с базовыми знаниями сетевых технологий. Требуется знать структуру модели OSI и понимать процессы хотя-бы до 3-4-го уровня. В первую очередь нужно знать расшифровку DHCP, DNS, NAT, Firewall и зачем они нужны. Как создать статический маршрут.  На каком уровне работают MAC-адреса, а на каком IP. Понимать, что такое широковещательный домен, какой в нем ходит трафик. И все прочее, что относится к основам. Перед походом на курсы, желательно освежить знания (если они были получены ранее, например, в колледже универе или на других курсах) или получить эти знания, если их не было. Для этого желательно посмотреть видео подобной тематики в Интернете.

Очень приветствуется наличие сертификата от производителей какого-то другого оборудования, например CISCO.

Где проводится.

Для проведения обучения использовался конференц-зал «Модерн». Он расположен в двухэтажном здании, пристроенном справа к гостинице «Юбилейная» в Минске. Зал находится на 2м этаже.

Найти место проведения можно по Интернет-картам ориентируясь на гостиницу «Юбилейная». Удобный доступ в центре города недалеко от метро.

Как записаться.

Записаться можно позвонив по телефону указанному на сайте NetAir или написать сообщение по электронной почте, которую можно найти там же. Нужно следить за объявлениями о появлении тренингов.

Стоимость в районе 750 бел.руб (около 300$).

В большинстве пришедшие люди были направлены от организаций и по командировке.

Преподаватель.

Официальный тренер и замечательный преподаватель Алексей Чудин. Объясняет все доступно, понятно. Без проблем отвечает на любые вопросы по теме сетевых технологий и тренинга. Обладает большим опытом и рассказывает интересные истории из практики работы с MikroTik.

Расписание и порядок занятий.

Занятия.

В Минске предыдущий тренинг проходил лишь год назад (в 2020г) поэтому в зале был аншлаг. Все места были заняты. Вроде даже кому-то пришлось отказать. Среди слушателей были представители МТС, Белфармация, МТИС и др. Уровень подготовки разный. Были те, кто уже работает с микротик, циско или другим оборудованием, но так же были те, кто с микротиком не знаком.

На тренинг необходимо взять ноут-бук и патч-корд 2м. Роутер MikroTik нести не обязательно, его дадут. Так же дают блокнот и ручку. Конспект лучше вести потому-то многие вопросы потом попадаются на экзамене.

Занятия проходят с 9:00 до 18:00. Время пролетает очень быстро. Информации очень много. Объяснение происходит в быстром плотном темпе. Лучше записывать, потому что информации много и то, что было очевидно понятно, через час уже забылось. Желательно познакомится с MikroTik до курсов. Посмотреть какие-нибудь обучающие лекции в ютубе. Купить популярную модель микротика с wi-fi домой (например hap mini). Попробовать настроить.

Если до курсов не знать MikroTik, хотя так тоже можно, много полезной информации пролетит мимо. Особенно хорошо если с оборудованием MikroTik уже есть опыт некоторой работы, естественно есть вопросы, на которые тренер готов ответить.

На первом занятии, чтоб сориентироваться в назначении и цене, представляются модели оборудования. MikroTik охватил почти все области сетевого оборудования. Но есть и исключения – например, у микротика нет adsl-устройств. Для многих технология adsl еще очень актуальна.

Перечень устройств и их цену можно посмотреть на странице оборудования официального сайта MikroTik.

Для подключения группы в общую сеть использовалось несколько коммутаторов Cloud Router Switch.

В коммутатор подключается роутер MikroTik, а от него уже ноут-бук. В другую сторону подключен роутер тренера и шлюз в интернет.

По мере продвижения и изучения wi-fi, проводная сеть в зале перешла в беспроводную. Роутер на каждом столе был подключен к главному роутеру через wi-fi.

Между лекциями проходят лабораторные работы.

Если в ЛР требуется 2 роутера, например для создания туннелей, то задействывается роутер соседа.

После 1.5 часа занятий кофе-пауза. Желающие могут выпить кофе с нормальными вкусняшками. Так же каждому предлагается небольшая бутылка воды.

Перерыв на обед с 13:00 до 14:00. Проходит он в ресторане гостиницы «Юбилейная». Все на высшем уровне. Стоимость обеда входит в стоимость тренинга.

Экзамен.

Экзамен можно сдавать только с официальным тренером. Просто зарегистрироваться на сайте MikroTik и сдать экзамен не получится.

Предварительно нужно создать аккаунт на официальном сайте. Фамилия и имя на английском языке должны быть записаны так, как хотелось бы видеть их в сертификате. Все это тренер объясняет на занятии. Доступ на экзамен по приглашению тренера из электронной почты. Перед экзаменом группу фотографируют – это обязательное требование MikroTik.

Перед экзаменом все в психическом стрессе. Но волноваться не нужно. Все будет ок.

Желательно заготовить открытые вкладки браузера с калькулятором масок сетей и перечнем диапазонов IP-адресов. Можно пользоваться настройками меню роутера, чтоб проверить варианты ответов.

Нажимаем кнопку старт по команде тренера. После этого есть 1 час чтоб ответить на 25 вопросов. Получается 2.5 мин на вопрос.

Перед тестом появится несколько информационных сообщений. В одном сообщаются условия и запрет на распространение вопросов.

Тест на английском языке. Вопросы не гуглятся. Искать информацию в Интернете довольно сложно. Время ограничено, нужно быстро ориентироваться.

Некоторые вопросы требуют логический ответ на основе знаний. Например, указать маршрут, по которому пойдет пакет и на выбор 4 маршрута. Есть простые вопросы.

На экзамене не желательно отвлекаться или отвлекать соседей. Нужно пройти по всем вопросам и расставить предполагаемые ответы. Потом пойти по списку второй раз и поразмышлять подробнее.

Кто-то завершил экзамен за 30мин. Мне понадобился полный час. 1 человек вроде не сдал и пошел на пересдачу т.к. набрал проценты в промежутке между 50 и 60. Мой результат 97%. На 100% ни кто не сдал.

После прохождения теста в личном кабинете в разделе Training >> My certificates  появляется сертификат. Его можно распечатать при необходимости и повесить в рамке на работе)

На этом обзор завершается. Желаю всем дальнейшего продвижения в саморазвитии, не бойтесь идти на экзамен, за этим сертификатом или за другими. Спасибо тренеру. Привет группе. Всем успешной сдачи!

Упрощенная настройка L2TP/IPsec. К ЛВС и серверу в главном здании учреждения необходимо подключить 12 отделов, в каждом из которых 1-2 ПК через VPN. Все отделы пространственно расположены за городом и у них есть доступ в Интернет через ADSL модемы.

Освоить MikroTik Вы можете с помощью онлайн-куса
«Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Схема подключения удаленных пользователей на рисунке ниже.

В результате настроек создается L2TP туннель, через который передается информация с IPsec  шифрованием.

На стороне пользователя VPN настраивается средствами Windows.

В главном здании VPN создан с помощью роутера MikroTik RB750Gr3 с прошивкой 6.48.1

Следует отметить, что в названной модели роутера отсутствует аппаратная поддержка IPsec и вся нагрузка по этому делу ложится на процессор.

Первоначальная настройка роутера выполнена по этой инструкции.

Все настройки выполняются из локальной сети через WinBox.

Порядок действий.

1.Создание профиля доступа.

2.Активация сервера L2TP.

3.Назначение IP-адреса клиентам VPN.

4.Создание пользователя VPN.

5.Создание интерфейса.

6.Правила Firewall.

7.Настройка VPN соединения клиента в Windows 10.

8.Подключение VPN соединения.

1.Создание профиля VPN. 

Профиль нужно создать до активации сервера L2TP, потому что его нужно указывать в настройках этого самого сервера.

1.Выполняем действия в меню PPP

2.Переходим на вкладку Profiles.

3.Нажимаем синий крест (плюс).

4.Переходим на вкладку Generals.

Вводим настройки:

5.Name: L2TP-REMOTE-ACCESS (любое понятное имя латиницей).

6.Local Address: 192.168.20.1 (адрес роутера в VPN)

7.Change TCP MSS: yes

8.Переходим на вкладку Protocols и выполняем настройка 9, 10, 11 как на картинке.

MPLS: yes —  передача пакетов по меткам. wiki

Compression: (сжатие данных) no —  используется при медленных каналах.

Encryption: (шифрование данных) yes — по согласованию с клиентом.

На вкладке Limits можно настроить лимит сессии, время отключения при бездействии, ограничение скорости подключения, одно подключение (Only one).

Настройки вкладок Queue и Scripts не изменялись.

Через командную строку терминала:

2.Активация сервера L2TP.

1.В боковом меню выбираем PPP.

2.В открывшемся окне PPP переходим на вкладку Interface.

3.В верхней панели нажимаем кнопку L2TP Server.

4.В открывшемся окне ставим галочку напротив Enable.

5.Default Profile: L2TP-REMOTE-ACCESS  указываем созданный ранее профиль

6.Authentication: mschap2 (остальные варианты отключаем)

7.Use IPsec: yes

8.IPsec Secret: 12345Password

9.Нажимаем кнопку «ОК».

Через командную строку терминала:

3.Назначение IP-адреса клиентам VPN.

Первый вариант – создать пул IP-адресов и раздавать их пользователям в автоматическом режиме.

Второй вариант – указать статический IP-адрес.

Так как в нашем случае всего 12 пользователей VPN, укажем для них статические IP-адреса из сети 192.168.20.0 Делается это при создании пользователя.

4.Создание пользователя.

1.Выполняем действия в меню PPP

2.Переходим на вкладку Secrets.

3.Нажимаем синий крест (плюс).

В открывшемся окне вводим:

4.Name: Remote-user1 (имя пользователя )

5.Password: Password1234 (сложный пароль из латинских букв и цифр разного регистра)

6.Service: L2TP

7.Profile: L2TP-REMOTE-ACCESS (созданный ранее профиль, выбираем из выпадающего списка)

8.Remote Address: 192.168.20.11 (статический IP для пользователя)

9.Нажимаем кнопку «ОК».

Через командную строку терминала:

Создаем необходимое количество пользователей аналогичными действиями.

5.Создание интерфейса.

Действие не обязательное, но в некоторых ситуациях может пригодится.

Если не создавать статический интерфейс, то он автоматически создается динамически при подключении пользователя.

6.Правила firewall.

Создадим два правила, одно для разрешения протокола IPsec, второе для доступа к необходимым портам.

Правило разрешения IPsec.

Переходим по меню  1 IP >> 2 Firewall >> 3 Filter Rules.

4.Нажимаем синий крест (плюс), в открывшемся окне на вкладке General (5) вводим настройки:

6.Chain: input (вход)

7.Protocol: ipsec-esp (протокол)

8.In Interface: ether1 (внешний интерфейс)

9.Жмем Apply для сохранения.

10.Переходим на вкладку Action.

11.Action: accept (разрешающее действие).

12.Нажимаем ОК для сохранения.

Через командную строку терминала:

Правило для открытия портов 500, 1701, 4500.

Переходим по меню  1 IP >> 2 Firewall >> 3 Filter Rules.

4.Нажимаем синий крест (плюс), в открывшемся окне на вкладке General (5) вводим настройки:

6.Chain: input (вход)

7.Protocol: UDP (протокол)

8.Dst. Port: 500, 1701, 4500 (порты назначения)

9.In Interface: ether1 (внешний интерфейс)

10.Переходим на вкладку Action.

11.Action: accept

12.Нажимаем кнопку ОК для сохранения правила.

Через командную строку терминала:

В списке правил появятся два новых. Расположить их желательно верху списка.

К правилам добавлены комментарии для ясности.

Правило NAT.

NAT masquerade правило для трафика VPN. Правило создается на вкладке NAT аналогично предыдущим правилам.

Через командную строку терминала:

*правило NAT для VPN трафика не является обязательным, но в некоторых случаях может пригодиться

7.Настройка VPN соединения клиента в Windows 10.

Удаленный компьютер подключен в Интернет. В этом ПК переходим в управление сетями.

Панель управления >> Сеть и Интернет >> Центр управления сетями и общим доступом.

Создаем новое подключение.

Среди вариантов подключения выбираем – «Подключение к рабочему месту».  Далее.

Выбираем – «Использовать мое подключение к Интернету (VPN)».

В следующем пункте указываем внешний статический IP-адрес роутера или внешний идентификатор MikroTik(1234567891443.sn.mynetname.net у каждого роутера свой).

В поле имя пишем любое понятное имя латинскими буквами. Отмечаем галочкой «Запомнить учетные данные».

Нажимаем кнопку «Создать».

Отредактируем свойства созданного VPN подключения в сетевых соединениях.

В свойствах переходим на вкладку безопасность. Указываем следующие параметры.

1.Тип VPN: Протокол L2TP с IPsec (L2TP/IPsec).

2.Дополнительные параметры.

======-Для проверки подлинности использовать общий ключ;

======-Ключ: 12345Password (вводим ключ IPsec);

======-Нажимаем ОК.

3.Шифрование данных: обязательное (отключится если нет шифрования)

4.Разрешить следующие протоколы – отмечаем точкой.

5.Протокол Microsoft CHAP версия 2 (MS-CHAPv2).

6.Кнопка «ОК» для сохранения настроек.

Переходим на вкладку сеть.

В свойствах указываем IP-адрес для клиента и предпочитаемый DNS.

Переходим на вкладку «Дополнительно».

Настройка – Использовать основной шлюз в удаленной сети. В нашем случае галочка убрана. Нажимаем ОК для сохранения.  Настройки в свойствах VPN-соединении у клиента завершены.

Если галочка стоит.

Весь трафик пойдет через MikroTik. В этом случае его можно контролировать, и он попадает под все правила и настройки роутера. Недостаток в замедлении скорости работы Интернета у клиента и дополнительной нагрузке на роутер.

Чтоб убедится, что трафик идет именно через роутер, на клиенте нужно запустить ping (когда VPN уже настроен и запущен в работу) на любой общедоступный сервер.

В роутере трафик можно отследить через Torch или в IP>>Firewall>>Connections.

Как видно, с IP-адреса одного из клиентов VPN пинг на IP 8.8.8.8 по протоколу icmp проходит через MikroTik (при условии установленной галочки в доп. свойствах).

Если галочка не стоит.

Если галочку убрать и переподключиться к VPN, то пинг на сервер гугл (8.8.8.8) уже не проходит через роутер. Он идет через основной шлюз ПК в Интернет.

Но также не проходит пинг в нужную сеть. ПК клиента не знает, через какой шлюз ему идти в сеть за VPNом. Для решения этого вопроса нужно создать статический маршрут в ПК клиента.

1.В командной строке (от имени администратора) вводим:

Находим сетевое соединение относящееся к VPN. Его номер 26.

При каждом новом создании VPN-соединения его номер меняется.

2.Вводим маршрут

192.168.1.0 mask 255.255.255.0 — сеть назначения с маской

192.168.20.1 – IP-адрес VPN-сервера (VPN шлюз)

metric 1 –  метрика

if 26 – номер интерфейса (который определили выше)

-p – сохранение маршрута при перезагрузке ПК.

После этих действий вводим еще раз команду

Видим постоянный маршрут, который означает, что для доступа к сети с IP-адресом 192.168.0.0 (которая за VPN) нужно идти в шлюз 192.168.20.1.

Пинг начинает проходить и доступ к ресурсам в сети расположенной после VPN появляется.

Прохождению пинга могут препятствовать:

-антивирус (добавить сеть в доверенные или приостановить защиту на время настроек)

-брандмауэр Windows (отключить)

-сетевое обнаружение (включить)

-правила firewall в MikroTik (проверить  наличие/отсутствие и расположение).

Удаление маршрута (если понадобится).

8.Подключение VPN соединения.

В нижней правой части экрана клиентского ПК нажимаем на значок сети, выбираем из раскрывшегося списка нужное соединение и нажимаем кнопку «Подключится».

В окне авторизации вводим учетные данные пользователя VPN.

После правильного ввода учетных данных произойдет подключение.  VPN начнет работать.

Как узнать что шифрование IPsec.

В PPP>>Active Connections виден тип шифрования. Если настройка не сработала и шифрование MPPE128 нужно перезагрузить роутер.

Освоить MikroTik Вы можете с помощью онлайн-куса
«Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Netwatch — это инструмент мониторинга заданного хоста через ICMP запросы (ping) с последующим выполнением скрипта в случае его доступности или недоступности.

Освоить MikroTik Вы можете с помощью онлайн-куса
«Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

В нашей ЛВС бывают случаи пропадания электроэнергии. Для оповещения о подобной ситуации в серверной была разработана следующая схема:

— оборудование по доступу в Интернет работает через ИБП, которых хватает на 20мин, после пропадания внешнего электропитания 220В;

— Netwatch мониторит с интервалом 1мин. небольшой неиспользуемый управляемый коммутатор с IP адресом, который включен напрямую в сеть 220В без ИБП;

— при пропадании электропитания пропадает связь в первую очередь с неиспользуемым коммутатором и в течение 1мин. роутер отправляет письмо на электронную почту, еще 5-10 мин. пока админ увидит это письмо и есть еще 10 мин чтоб предпринять какие-либо действия или узнать на какое время пропала электроэнергия. Для более оперативного реагирования можно использовать месенджер-бота. Далее, о том, как это настроено.

Настройка отправки e-mail.

Первоначально требуется настройка электронной почты в MikroTik по этой инструкции.

Настройка Netwatch.

Переходим в Tools >> Netwatch и создаем новое задание.

Host: 192.168.100.250 – сетевое устройство, которое отслеживается.

Interval: 1 сек – период отправки icmp запросов.

Timeout: 1000мсек (1сек) время ожидания ответа – не изменяем.

Вкладка UP.

В поле On Up указываем скрипт, который выполнится при появлении связи с необходимым хостом:

Вкладка Down.

В поле On Down указываем скрипт, который выполнится при пропадании связи с необходимым хостом:

Нажимаем ОК для сохранения настроек.

Через командную строку терминала:

Из скрипта убран кириллический шрифт, т.к. он не воспроизводится в командной строке микротика и некоторые кавычки для читаемости.

При отправке письма на несколько адресов в скрипт нужно добавить:

Отправка сообщения в Вайбер.

Так как у админов в нашей организации служебный Вайбер просматривается почти сразу, после прихода сообщения, решено было подключить его к мониторингу обстановки. Последовательность действий следующая:

1.Активируем Вайбер-Бота на сайте https://wwpager.ru/ (1 бот с одной почтой бесплатно)

На ПК должен быть установлен Вайбер. Ссылка с сайта откроется в Вайбере. После активации бота сообщением /start в ответ прилетит информация с электронной почтой, привязанной к Вайбер-боту вида 123456789@wwpager.ru

Подробное описание на сайте данного сервиса.

2.Указываем полученный адрес в скриптах Netwatch вместо или вместе с основным адресом.

В результате, в нашем случае сообщения приходят в Вайбер и на электронную почту Яндекс. В процессе настроек, ошибки и неудачные попытки отправок сообщений с описанием причины можно отслеживать в логе роутера.

Кроме указанного выше назначения этим способом в нашей ЛВС мониторится множество других сетевых устройств.

Освоить MikroTik Вы можете с помощью онлайн-куса
«Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

В нашей организации есть две не связанные локальные сети каждая со своим шлюзом. Была поставлена задача их объединить. О том как это происходило написано далее.

Освоить MikroTik Вы можете с помощью онлайн-куса
«Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Схема сетей.

В обоих сетях работают роутеры MikroTik RB750Gr3 с прошивкой 6.48.

В первые порты подключены патч-корды внешних сетей.

Во вторые порты подключен патч-корд между двумя роутерами (красный).

В пятые порты подключены патч-корды до коммутаторов ЛВС (синие).

Для понятности описаны подробные настройки для обоих роутеров.

Обозначим роутеры №1 и №2.

Базовые настройки помещены под спойлер.

Routes.

Создадим маршрут от первого до второго роутера. Это можно сделать в меню  IP >> Routes.

Через командную строку терминала:

Этот маршрут означает что при необходимости попасть в сеть 192.168.20.0/24 будет использован шлюз 172.16.0.20.

Routes.

Создадим маршрут от второго роутера к первому роутера. Переходим в боковом меню в  IP >> Routes.

Через командную строку терминала:

Этот маршрут означает что при необходимости попасть в сеть 192.168.10.0/24 будет использован шлюз 172.16.0.10.

Настроенная система прошла успешное тестирование. Доступ между сетями может ограничивать антивирус или правила Firewall в роутерах.

Освоить MikroTik Вы можете с помощью онлайн-куса
«Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.