Архив метки: Mikrotik

Hardening MikroTik RouterOS by Limiting Login Services

MikroTik RouterOS is usually used as a bridge between WAN and LAN network. WAN network is always an insecure network because attackers always try to hack your RouterOS so that they can compromise it for their own benefit. As a network administrator of MikroTik RouterOS, we should always take anti hacking steps to secure our MikroTik RouterOS. There are a lot of security tasks those we should take care to secure our MikroTik RouterOS. Among these security tasks, we will see how to harden MikroTik RouterOS by limiting login services which are enabled in MikroTik RouterOS by default.




Default Login Services in MikroTik RouterOS and Its Security




By default MikroTik RouterOS enables some login services to access Router RouterOS for administration purpose. These services are api, ftp, ssh, telnet, winbox and www. We don’t usually use all these services. So, we should always disable all the unused services because hackers usually do brute forcing using these services to compromise MikroTik RouterOS.




Among these login services, some services (api and www) use both SSL and Non-SSL port. Never use Non-SSL port from the WAN because Non-SSL port sends plain text data. So, it has a good chance to leak your login credentials by the middle-man attackers. It is also better not to use Non-SSL ports from the LAN.






MikroTik RouterOS by default enable Telnet but telnet is a so insecure protocol. So, it is a good practice to disable telnet as soon as possible and never use telnet from LAN or WAN. But if we wish can use telnet from the direct connection to MikroTik Router.




MikroTik RouterOS provides facility to harden login services based on IP address. So, it is always a good practice to enable login service access from any specific IP address. If we apply login service access based on IP address, hackers from the WAN will always be denied to access login services and hence, RouterOS will be more secure.




The following image is an example of good practice to harden MikroTik RouterOS login services.




Hardening MikroTik RouterOS Login Services
Hardening MikroTik RouterOS Login Services




Some MikroTik RouterOS administrators modify login service ports with any free unused port. But it has disadvantages too because you may forget your modified port number and will be unable to login MikroTik Router until remembering the assigned port number. Again, it is so easy to hackers find modified ports and services using some network and service discovery tools. So, I think it is unnecessary to modify service port to harden MikroTik RouterOS login services rather it will be smart decision to limit login services access from specific IP addresses which will be discussed later in this article.




How to Disable MikroTik RouterOS Login Services




MikroTik RouterOS by default enables all the possible login services. But it is a good practice to disable all the unused login services those we don’t use for login. The following steps will show how to disable any login service in MikroTik RouterOS to make it harden.






  • Login MikroTik Router using Winbox with full permission user credential.
  • Go to IP > Services menu item. IP Service List window will appear where all the login services will be listed.
  • Right click on a service (example: telnet) which you want to disable.
  • From the appeared drop down menu, click on disable option. Desired login service will be disabled now.




Disabling Unused Login Services in MikroTik RouterOS
Disabling Unused Login Services in MikroTik RouterOS




Similarly we can disable any other login service easily following the above steps properly. So, don’t forget to disable any unused login service in MikroTik RouterOS. In the next section we will learn how to limit login service access from any specific IP address.




Limiting Login Services from Specific IP Addresses




Limiting login services based on IP addresses makes your RouterOS more harder. So, those services which you are keeping enabled must be limited from specific IP addresses. It will keep your MikroTik Router isolated from the rest of the world because RouterOS will only allow login from the assigned IP addresses and deny all other IP addresses. The following steps will show how to limit login service access from specific IP addresses.






  • From Winbox, go to IP > Services menu item. IP Services List window will appear where all the services provided by RouterOS will be listed.
  • Double click on any desired enabled login service which you want to apply access limit from specific IP address. IP Service window will appear.
  • Put IP addresses or network (example: 192.168.10.0/24) from where you want to access RouterOS in Available From input box.
  • Click Apply and OK button.




Limiting Login Services from Specific IP Address
Limiting Login Services from Specific IP Address




Now your desired login service will only be available from the assigned IP addresses. Similarly we can limit any other login service which is enabled from specific IP address and can make RouterOS more harder.




Hardening MikroTik RouterOS by limiting default login services has been discussed in this article. I hope you will now be able to harden your MikroTik Router by limiting login service access properly. However, if you face any confusion to limit login services following the above steps, feel free to discuss in comment or contact me from Contact page. I will try my best to stay with you.



2021-02-06T21:02:32
MikroTik Router Tutorials & Guides

MikroTik – настройка VPN PPTP(Remote Access).

На этой странице рассмотрено создание VPN (Virtual Private Network «виртуальная частная сеть») для удаленного доступа пользователя на ОС Windows 10 к сети организации с использованием протокола PPTP через маршрутизатор MikroTik.

Освоить MikroTik Вы можете с помощью онлайн-куса
«Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

PPTP (Point-to-Point Tunneling Protocol) туннельный протокол типа точка-точка, позволяющий компьютеру устанавливать защищённое соединение с сервером за счёт создания специального туннеля в стандартной, незащищённой сети wiki. PPTP обладает уязвимостью в протоколе аутентификации MS-CHAP v.2. Уязвимость была закрыта за счет протокола расширенной проверки подлинности EAP (PEAP). Разработчик протокола корпорация Microsoft рекомендует вместо PPTP использовать L2TP или SSTP. Так как PPTP встроен в каждый Windows и легко настраивается, его еще используют. Описание PPTP представлено в исторических целях и для понимания упрощенной настройки VPN. Взломостойкость зависит от сложности и длинны пароля.

Схема подключения удаленного пользователя к сети организации на рисунке ниже.

VPN создан с помощью роутера MikroTik RB750Gr3 с прошивкой 6.47.

Первоначальная настройка роутера выполнена по этой инструкции.

Быстрая настройка VPN PPTP представлена тут .

 

Порядок действий.

1.Подключение в роутер.

2.Активация сервера PPTP.

3.Создание пула IP адресов.

4.Создание профиля доступа.

5.Создание пользователя VPN.

6.Правила Firewall.

7.Настройка VPN соединения пользователя (клиента) в Windows 10.

8.Подключение к общей папке через VPN.

9.Подключение RDP через VPN.

 

1.Подключение.

Входим в меню роутера из локальной сети через WinBox (ССЫЛКА).

1.Запускаем WinBox, нажимаем на вкладку Neighbors и видим доступные в сети роутеры.

2.Кликаем на MAC или IP-адрес нужного роутера.

3.Адрес отобразится в строке Connect To:

4.Вводим логин.

5.Вводим пароль.

6.Нажимаем кнопку «Connect».

 

2.Активация сервера PPTP.

1.В боковом меню выбираем PPP.

2.В открывшемся окне PPP переходим на вкладку Interface.

3.В верхней панели нажимаем кнопку PPTP Server.

4.В открывшемся окне ставим галочку напротив Enable.

5.Нажимаем кнопку «ОК».

Через командную строку терминала:



 

3.Создание пула IP-адресов для VPN пользователей.

1.В боковом меню выбираем IP.

2.В раскрывшемся меню выбираем Pool.

3.В открывшемся окне IP Pool переходим на вкладку Pools.

4.Нажимаем синий крест (плюс).

В открывшемся окне NEW IP Pool вводим параметры:

5.Name: VPN-PPTP (любое понятное имя латиницей)

6.Addresses: 192.168.100.10-192.168.100.254 (желаемый диапазон IP для VPN)

7.Нажимаем кнопку «ОК».

Через командную строку терминала:



 

4.Создание профиля VPN

Выполняем действия в меню PPP

1.Переходим на вкладку Profiles.

2.Нажимаем синий крест (плюс).

В окне создания нового профиля вводим:

3.Name: PC360VPN (любое понятное имя латиницей).

4.Local Adress: 192.168.100.1 (адрес роутера в VPN)

5.Remote Address: VPN-PPTP(выбираем созданный ранее пул или указываем IP-адрес который присвоится для удаленного клиента)

6.Нажимаем кнопку «ОК».

Через командную строку терминала:



Если к пользователю VPN понадобится постоянное и частое удаленное подключение, то необходимо будет знать его IP-адрес. При раздаче пула IP адрес может оказаться любой из заданного диапазона. Поэтому альтернативный вариант — не использовать пул IP-адресов, а привязать пользователя к конкретному IP. Для этого при создании профиля нужно указывать IP-адрес в поле Remote Address. Затем привязывать профиль к пользователю. Это можно сделать так же при создании пользователя  (см.далее).

 

5.Создание пользователя.

1.В меню PPP переходим на вкладку Secrets.

2.Нажимаем синий крест (плюс).

В открывшемся окне вводим:

3.Name: WunderbareVPN1 (имя пользователя )

4.Password: 12345Password (сложный пароль из латинских букв и цифр разного регистра)

5.Service: pptp

6.Profile: PC360VPN (созданный ранее профиль, выбираем из выпадающего списка)

7.Нажимаем кнопку «ОК».

Новый пользователь появится в списке. Пользователя vpn (дефолтного) лучше отключить или удалить.

Через командную строку терминала:



Удаление пользователя vpn.



В поле Remote Adress можно указать IP-адрес, который будет всегда присвоен к этому пользователю.

Создаем необходимое количество пользователей аналогичными действиями.

Когда VPN начнет работать, в логе можно отследить подключение созданных пользователей к сети.

 

6.Правила firewall.

Правила необходимы при настроенном firewall,  в случае если в низу всего списка размещено правило, запрещающее все прочие подключения по входу в роутер.

PPTP требует одновременного установления двух сетевых сессий – GRE(установка сессии) и соединение на TCP-порту 1723 (для инициации и управления GRE-соединением).  wiki

 

6.1Правило для открытия порта 1723.

1.В боковом меню выбираем пункт IP.

2.В выпадающем меню выбираем Firewall.

3.В открывшемся окне переходим на вкладку Filter Rules.

4.Нажимаем синий крест (плюс).

В открывшемся окне вводим настройки:

5.Chain: input (вход)

6.Protocol: tcp (протокол)

7.Dst. Port: 1723 (порт назначения)

8.In Interface: ether1 (внешний интерфейс)

9.Переходим на вкладку Action.

На вкладке Action вводим:

10.Action: accept

11.Нажимаем кнопку ОК для сохранения правила.

Через командную строку терминала:



 

6.2Правило для разрешения GRE.

1.В боковом меню выбираем пункт IP.

2.В выпадающем меню выбираем Firewall.

3.В открывшемся окне переходим на вкладку Filter Rules.

4.Нажимаем синий крест (плюс).

В открывшемся окне вводим настройки:

5.Chain: input (вход)

6.Protocol: gre (протокол)

7.In Interface: ether1 (внешний интерфейс)

8.Переходим на вкладку Action.

На вкладке Action вводим:

9.Action: accept

10.Нажимаем кнопку ОК.

Через командную строку терминала:



 

В списке правил появятся два новых. Расположить их нужно в самом верху списка.

 

6.3Правило NAT.

NAT masquerade для VPN трафика. Правило создается на вкладке NAT аналогично предыдущим правилам.

Через командную строку терминала:



 

7.Настройка VPN соединения клиента в Windows 10.

Удаленный компьютер подключен в Интернет. В этом ПК переходим в управление сетями.

Панель управления >> Сеть и Интернет >> Центр управления сетями и общим доступом.

Создаем новое подключение.

 

Среди вариантов подключения выбираем – «Подключение к рабочему месту».  Далее.

 

Выбираем – «Использовать мое подключение к Интернету (VPN)».

 

В следующем пункте указываем внешний статический IP-адрес роутера или внешний идентификатор MikroTik(1234567891443.sn.mynetname.net у каждого роутера свой).

В поле имя пишем любое понятное имя латинскими буквами. Отмечаем галочкой «Запомнить учетные данные».

Нажимаем кнопку «Создать».

 

Отредактируем свойства созданного VPN подключения в сетевых соединениях.

 

В свойствах переходим на вкладку безопасность. Указываем следующие параметры.

1.Тип VPN: Туннельный протокол точка-точка (PPTP).

2.Шифрование данных: обязательное (отключится если нет шифрования)

3.Разрешить следующие протоколы – отмечаем точкой.

4.Протокол Microsoft CHAP версия 2 (MS-CHAPv2).

5.Кнопка «ОК» для сохранения настроек.

 

В нижней правой части экрана нажимаем на значок сети, выбираем из раскрывшегося списка нужное соединение и нажимаем кнопку «Подключится».

 

В окне авторизации вводим учетные данные пользователя VPN.

 

После правильного ввода учетных данных произойдет подключение.

В случае если нужно изменить учетные данные, сделать это можно в меню параметров Windows 10 «Сеть и Интернет».

 

Выбираем VPN >> созданное соединение >> Дополнительные параметры.

 

Изменяем и сохраняем параметры.

 

8.Подключение к общей папке через VPN.

Пользователю VPN1 нужно получить доступ к общей папке у пользователя VPN2.

 

Общая папка создана, доступ к ней открыт для всех.

 

На компьютерах обоих пользователей выполнены все предыдущие настройки, пользователи подключены к VPN.

В настройках PPP роутера переходим на вкладку Active Connections и находим нужного нам пользователя. Переписываем его IP-адрес.

Можно задать постоянный IP-адрес при настройке пользователя в графе Remote Address.

 

Проверяем в командной строке с помощью команды ping связи с компьютером нужного пользователя.

 

Для доступа к общей папке открываем Мой Компьютер и в адресной строке вводим IP-адрес компьютера, в котором находится общая папка.



Нажимаем кнопку «Enter».

В открывшейся форме для авторизации указываем учетные данные пользователя Windows или администратора.

 

Для гарантированного подключения нужно вводить имя компьютера (домена) и через слэш имя пользователя, например MYPCadmin.

После правильного ввода логина и пароля откроется все, что в общем доступе у пользователя VPN2.

 

9.Подключение RDP через VPN.

Первоначально удаленный доступ нужно активировать в настройках системы  пользователя VPN2.

 

Запускаем RDP, вводим IP-адрес пользователя VPN.

 

При авторизации вводить нужно данные учетной записи ПК (домен/имя пользователя или уч.запись администратора).

 

При появлении сообщения о сертификате, нажимаем ДА. Галочкой можно отметить пункт о том, чтоб этот вопрос больше не задавался.

 

Наконец, видим рабочий стол пользователя VPN.

 

Освоить MikroTik Вы можете с помощью онлайн-куса
«Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.



2020-12-25T10:27:25
Настройка ПО

MikroTik – базовая настройка.

Эта базовая настройка используется в некоторых других описаниях MikroTik на сайте PC360. Чтоб каждый раз не повторять описание, решено вынести его на отдельную страницу.

Альтернативный вариант – использовать настройки по умолчанию (Default setings).

Еще один альтернативный вариант – быстрая настрйка из меню Quick Set – в конце страницы под спойлером.

Освоить MikroTik Вы можете с помощью онлайн-куса
«Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Настройки протестированы на двух доступных моделях MikroTik: Rb750Gr3 и 951Ui 2HnD и так же подойдут для многих других моделей из-за единой операционной системы всех роутеров MikroTik – RouterOS.

Настройка выполняется из ПК с ОС Windows10. Роутер и ПК соединены прямым патч-кордом. ПК подключен в пятый порт роутера. Настройка IP-адреса сетевого адаптера ПК автоматическая (по DHCP). Специально вводить стандартный для микротиков IP-адрес 192.168.88.xxx не требуется.

 

Назначение портов:

ether1 – для внешней сети (Интернет);

ether2 – для внутренней сети;

ether3 – для внутренней сети;

ether4 – для внутренней сети;

ether5 – для внутренней сети.

 

Перед выполнением настроек, рекомендуется обновить прошивку.

Все настройки выполняются через спец. ПО для Windows от разработчика — WinBox. Скачать его можно с официального сайта.

О других способах подключения к роутерам MikroTik тут

Выполнение каждой настройки представлено в графическом интерфейсе и в виде текстовой команды для терминала.

Чтоб ввести текстовую команду, в боковом меню RouterOS микротика нужно выбрать New Terminal и в открывшейся командной строке ввести команду.

Содержание.

1.Подключение через WinBox.

2.Сброс конфигурации.

3.Создание моста (bridge).

4.Добавление портов в мост.

5.Назначение IP-адрес для моста локальной сети.

6.DHCP сервер.

7.Получение внешнего IP-адреса.

8.DNS.

9.Создание правила NAT для доступа в Интернет.

10.Для роутеров с wi—fi активация точки доступа.

11.Правила фильтрации в Firewall.

12.Создание новой учетной записи администратора.

13.Удаление учетной записи admin.

14.Интерфейсы доступа.

15.Настройка даты и время.

16.Идентификатор роутера.

17.Резервная копия конфигурации.

18.Сброс в заводские настройки.

19.Настройка электронной почты.

20.Список команд – базовая настройка.

21.Настройка через Quick Set.

22.Настройка через файл скрипта.

23.Дополнительные полезности.

 

1.Подключение через WinBox.

1.Запускаем WinBox.

2.Нажимаем на вкладку Neighbors.

3 Кликаем на MAC-адрес нужного роутера.

4.Вводим логин-пароль (базовый логин admin, пароля нет).

5.Нажимаем кнопку «Connect».

 

2.Сброс конфигурации.

1.Нажимаем System в боковом меню.

2.Из выпадающего меню выбираем пунк Reset Configuration.

3.В открывшемся окне отмечаем галочкой No Dafault Configuration (для сброса дефолтной конфигурации).

4.Нажимаем кнопку Reset Configuration.

Через командную строку терминала:



!!!Удаляя базовые настройки, удалятся параметры безопасности. Если роутер будет работать шлюзом в интернет необходимо настроить интерфейсы доступа, учетные записи, фильтры firewall и прочие настройки безопасности.

Переподключаемся.

 

3.Создание моста (bridge).

Мост нужен для организации коммутатора локальной сети.

1.В боковом меню выбираем Bridge.

2.В открывшемся окне нажимаем синий крест (плюс).

3.В окне New Interface нажимаем ОК (в настройках моста ничего не меняем).

Через командную строку терминала:



 

4.Добавление портов в мост.

Добавляем в мост по очереди порты ether2-4.

1.В окне Bridge выбираем вкладку Ports.

2.Нажимаем синий крест (плюс).

3.В открывшемся окне New Bridge Port  указываем интерфейс Interface: ether2

— проверяем строку Bridge: bridge1 (созданный ранее мост)

4.Нажимаем кнопку «ОК».

Другие настройки не изменяем.

Выполняем эти действия для четырех портов(ether2, ether3, ether4, ether5).

В итоге получится 4 порта в мосте, как на картинке ниже.

Произойдет дисконект. Подключаемся в роутер еще раз.

Через командную строку терминала:



* Hardware Offload  доступно начиная с прошивки 6.41.  Активация этой настройки включает использование switch-чипа для передачи информации на втором уровне модели OSI через мост. Если hw отключено, то обработка информации осуществляется средствами RouterOS. Если прошивка роутера ниже 6.41, или в устройстве отсутствует нужный чип, то из строк команд надо убрать hw=yes. Поддерживаемые устройства.

 

Для роутера с wi-fi можно добавить интерфейс wlan в bridge.

Через командную строку терминала:



 

5.Назначение IP-адрес для моста локальной сети.

1.В боковом меню выбираем IP.

2.В раскрывшемся меню выбираем Addresses.

3.В открывшемся окне Adress List нажимаем синий крест (плюс).

В открывшемся окне New Address вводим параметры:

4.Address: 192.168.100.1/24 (/24 – это маска 255.255.255.0);

-Network: — вводить не надо, появится автоматически;

5.Interface: bridge1

6.Нажимаем кнопку «ОК».

В окне Adress List можно увидеть назначенный адрес.

Через командную строку терминала:



 

6.DHCP сервер.

Указание сети для работы DHCP.

1.В боковом меню выбираем IP.

2.В раскрывшемся меню выбираем DHCP Server.

3.Переходим на вкладку Networks.

4.Нажимае синий крест (плюс).

В открывшемся окне DHCP Network вводим параметры:

5.Address: 192.168.100.0/24

6.Gateway: 192.168.100.1

7.Нажимаем кнопку «ОК».

Другие настройки не изменяем.

Сеть появится в списке.

Через командную строку терминала:



 

Создание пула адресов для работы DHCP.

1.В боковом меню выбираем IP.

2.В раскрывшемся меню выбираем Pool.

3.В открывшемся окне IP Pool нажимаем синий крест (плюс).

В открывшемся окне NEW IP Pool вводим параметры:

4.Name: POOL1

5.Addresses: 192.168.100.10-192.168.100.254

6.Нажимаем кнопку «ОК».

Другие настройки не изменяем.

Через командную строку терминала:



Создание DHCP сервера.

1.В боковом меню выбираем IP.

2.В раскрывшемся меню выбираем DHCP Server.

3.На вкладке DHCP нажимае синий крест (плюс).

В открывшемся окне DHCP Server вводим параметры:

4.Name: dhcp1

5.Interface: bridge1

6.Address Pool: POOL1

7.Нажимаем кнопку «ОК».

Другие настройки не изменяем.

Созданный DHCP сервер.

Через командную строку терминала:



 

7.Получение внешнего IP-адреса.

DHCP Client.

1.В боковом меню выбираем IP.

2.В раскрывшемся меню выбираем DHCP Client.

3.Переходим на вкладку DHCP Client.

4.Нажимаем синий крест (плюс).

В открывшемся окне New DHCP Client вводим параметры:

5.Interface: ether1

6.Нажимаем кнопку «ОК».

Другие настройки не изменяем.

Можно добавить описание, нажав кнопку Comment. Коментарии к настройкам лучше писать латинскими буквами.

Полученный IP адрес отобразится в списке.

Через командную строку терминала:



СПОЙЛЕР Статический внешний IP-адрес.

IP-адрес, маску, шлюз и DNS должен предоставить провайдер.

1.В боковом меню выбираем IP.

2.В раскрывшемся меню выбираем Addresses.

3.В окнеAdress List нажимаем синий крест (плюс).

В открывшемся окне New Address вводим параметры:

4.Address: 192.168.0.2/24 (внешний IP-адрес и маска от провайдера)

5.Network: 192.168.0.0 (сеть провайдера)

6.Interface: ether1 (порт внешнего интерфейса)

7.Нажимаем кнопку «ОК».

Через командную строку терминала:



В списке адресов появится новый адрес внешней сети.

 

Добавим шлюз (Gateway). Он указывается в списке статических маршрутов.

 

Через командную строку терминала:



Интернет появится после указания DNS и NAT.



СПОЙЛЕР PPPoE.

IP-адрес, маску, шлюз и DNS должен предоставить провайдер. В некоторых случаях возможно автоматическое получение этих параметров.

1.В боковом меню выбираем Interfaces.

2.В открывшемся окне Interface List на вкладке Interface нажимаем на маленький треугольник в кнопке синего креста.

3.В выпадающем меню выбираем пункт PPPoE Client.

4.В открывшемся окне переходим на вкладку General.

5.Вводим Name: ByFly (любое понятное имя).

6.Указываем Interface: ether1 (интерфейс внешней сети).

7.Переходим на вкладку Dial Out.

8.Вводим пользователя User: 1234567891011121@beltel.by (из договора с провайдером)

9.Вводим пароль Password: 11111 (из договора с провайдером)

10.Отмечаем галочкой Use Peer DNS.

11.Отмечаем галочкой Add Default Route.

12.Нажимаем кнопку ОК.

В списке появится новый интерфейс.

Через командную строку терминала:



Интернет появится после указания DNS и NAT.


8.DNS.

 Статически DNS.

1.В боковом меню выбираем IP.

2.В раскрывшемся меню выбираем DNS.

3.В окне DNS Settings указываем Servers: 192.168.0.1

(можно указать DNS вышестоящего роутера провайдера, или гугла или еще какой-нибудь)

4.Отмечаем галочкой Allow Remote Requests.

5.Нажимаем кнопку ОК.

Через командную строку терминала:



 

 Автоматическое получение DNS.

При получении внешнего IP-адреса по DHCP, DNS настроится автоматически. Проверить это можно в меню IP >> DNS.

 

9.Создание правила NAT для доступа в Интернет.

NAT (Network Address Translation) выполняет замену IP-адресов локальной сети на IP-адрес внешней сети и обратно.

1.В боковом меню выбираем IP.

2.В раскрывшемся меню выбираем Firewall.

3.В открывшемся окне Firewall переходим на вкладку NAT.

4.Добавляем правило нажав синий крест (плюс).

В открывшемся окне NAT Rule вводим параметры:

На вкладке General:

5.Chain: srcnat

6.Out.Interface: ether1

7.Нажимаем кнопку «Apply».

8.Переходим на вкладку Action.

На вкладке Action:

9.Action: masquerade

10.Нажимаем кнопку «ОК».

Другие настройки не изменяем.

В списке правил NAT появится новое правило.

Через командную строку терминала:



После создания этого правила должен заработать Интернет.

 

10.Для роутеров с wifi активация точки доступа.

1.В боковом меню выбираем пункт Wireless.

2.В открывшемся окне Wireless Tables на вкладке Interfaces присутствует строчка неактивного профиля wlan1. Нажимаем на нее мышкой один раз.

3.Нажимаем синию галочку на панели выше для активации профиля.

4.Нажимаем дважды на строчку профиля wlan1и в открывшемся окне Interface wlan1 переходим на вкладку Wireless.

5.Указываем режим Mode: ap bridge

6.SSID: wi-fi PC360 (любое удобное имя латиницей для названия точки wi-fi)

7.Нажимаем кнопку «ОК» для сохранения настроек.

8.В окне Wireless Tables переходим на вкладку Security Profiles.

9.Дважды кликаем на профиль с названием default.

В открывшемся окне Security Profile выполняем настройки:

10.Mode: dynamic keys;

11.Authentication Types: отмечаем WPA PSK и WPA2 PSK;

12.Указываем пароли для:

WPA Pre-Shared Key: Password12345 (латинские цифры и буквы)

WPA2 PrShared Key: Password12345 (латинские цифры и буквы)

13. Нажимаем кнопку «ОК» для сохранения настроек.

 

Через командную строку терминала:



Точка wi-fi начнет работать.

Включаем wi-fi в Windows10, нажав на значок сети в нижнем правом углу рабочего стола и активируем беспроводную сеть. Выбираем из списка созданную точку. Подключаемся, введя созданный ранее пароль.

 

11.Правила фильтрации в Firewall.

Правила необходимы для контроля трафика между внешней и внутренней сетями, а так же для ограничения нежелательного доступа в роутер.

Все правила с разным содержанием, но с одинаковым принципом добавления.

Для добавления любого правила в графическом интерфейсе нужно выполнить последовательность действий.

1.В боковом меню выбираем пункт IP.

2.В выпадающем меню выбираем Firewall.

3.В открывшемся окне переходим на вкладку Filter Rules.

4.Нажимаем синий крест (плюс).

5.В открывшемся окне вводим настройки, для каждого правила и назначения разные.

6.Переходим на вкладку «Action».

7.Указываем вид действия в поле «Action» (разное для разных правил).

8.Нажимаем кнопку «ОК» для сохранения правила.

Добавить к правилу описание или коvментарий можно нажав кнопку «Comment».

Часто в правилах нужно указывать статус соединения для проверяемых пакетов. Сделать это можно в нижней части вкладки General.

Для удаления правила нужно выбрать правило и нажать минус на вкладке Filter Rules.

 

Ниже представлены правила, которые MikroTik предлагает в дефолтной настройке.

Из этих правил убраны 3шт., правила №5,6 (ipsec) и 7 (fasttrack). Остальные вполне подходят для базовой настройки роутера.

Все правила представлены в виде текстовых команд для компактности.

 

Правила входящего (input) в роутер трафика.

1.Правило разрешает входящие пакеты от установленных и связанных (с ранее разрешенными) соединений.



 

2.Правило отбрасывает неверные пакеты входящего трафика.



 

3.Правило разрешает трафик ICMP протокола. Используется для Ping, Traceroute.



*для запрета пинга из внешней сети в поле action нужно указать drop

 

4.Правило отбрасывает весь трафик, который идет не от интерфейсов локальной сети.



 

Правила транзитного (forward) трафика.

5.Правило разрешает проходящий трафик для пакетов в соединениях established, related, untracked



 

6.Правило отбрасывает неверные пакеты проходящего трафика.



 

7.Правило отбрасывает проходной трафик из внешней сети не относящийся к NAT.



 

В самой нижней строке нужно разместить правило, запрещающее все прочее по входу роутера.



Внимание! Если в роутере используется не только базовая настройка, а например VPN или какие-то другие внешние подключения, их необходимо указать в правилах выше последнего. Иначе неуказанные подключения перестанут работать.

При удаленной настройке роутера нужно сперва нажать кнопку Safe Mode.

Если какое-то правило отключит удаленный доступ, то при нажатой кнопке Safe Mode через 9 мин.(TCP timeout) произойдет отмена всех введенных настроек и можно снова подключаться.

 

12.Создание новой учетной записи администратора.

1.В боковом меню выбираем пункт System.

2.В выпадающем меню выбираем Users.

3.В открывшемся окне переходим на вкладку Users и нажимаем синий крест (плюс).

В открывшемся окне вводим:

4.Name: Kalsarikännit (имя для нового администратора, не использовать admin1 admin..xx, user1 user..xx и т.п.)

5.Group: full (все разрешено)

6.Password: Kfqnfvjhrtyyf!@# (новый сложный пароль)

Confirm Password: Kfqnfvjhrtyyf!@# (подтверждаем новый  пароль)

(пароль должен быть с буквами и цифрами разного регистра и спец. символами)

7.Нажимаем кнопку OK.

 

Через командную строку терминала:



 

13.Удаление учетной записи admin.

1.В боковом меню выбираем пункт System.

2.В выпадающем меню выбираем Users.

3.Отмечаем нужного пользователя (в данном случае admin).

4.Нажимаем красный минус.

 

Через командную строку терминала:



 

14.Интерфейсы доступа.

Интерфейсы доступа в MikroTik необходимо заблокировать в целях безопасности.

1.В боковом меню выбираем пункт IP.

2.В выпадающем меню выбираем Services.

3.В открывшемся окне IP Service List выбираем нужный сервис.

4.Нажимаем красный крестик на верхней панели окна.

Выполняем эти действия для всех не используемых сервисов.

В данном случае оставлен доступ через WinBox. Все остальные сервисы заблокированы.

Через командную строку терминала:



Способы подключения в MikroTik(Ссылка).

 

15.Настройка даты и время.

Вручную.

1.В боковом меню выбираем пункт System.

2.В выпадающем меню выбираем Clock.

3.Переходим на вкладку Time.

4.Выставляем актуальное время.

5.Выставляем актуальную дату.

6.Выставляем временную зону (в зависимости от расположения).

7.Нажимаем кнопку «ОК».

Через командную строку терминала:



(месяца jan, feb, mar, apr, may, jun, jul, aug, sep, oct, nov, dec)

 

Автоматически.

Указываем NTP сервер и часы будут синхронизироваться автоматически через Интернет. Сервера.

После нажатия кнопки Apply или OK режим поменяется на unicast, а вместо доменных имен появятся IP-адреса серверов.

Можно проверить актуализацию времени в System >> Clock.

Установка NTP через командную строку терминала:



 

16.Идентификатор роутера.

Идентификатор так же отображается в WinBox при подключении к роутеру.

Через командную строку терминала:



 

17.Резервная копия конфигурации.

После выполнения всех настроек необходимо сделать резервную копию конфигурации.

1.В боковом меню выбираем пункт Files.

2.В открывшемся окне нажимаем кнопку Backup.

В открывшемся окне вводим:

3.Name: Config_1 (любое понятное имя латинскими буквами)

4.Don’t Encrypt: отмечаем галочкой

5.Нажимаем кнопку Backup.

Через командную строку терминала:



Перетягиваем резервную копию в папку на компьютер для сохранения.

Чтобы восстановит конфигурацию из резервной копии нужно выбрать резервную копию в списке и нажать кнопку Restore.

Каким-то любым удобным сбособом нужно отмечать какой логи-пароль относится к определенной резервной копии.

Были случаи на практике, когда после срочного восстановления конфигурации из резервной копии отсутстввали данные для авторизации. Приходилось сбрасывать роутер в заводские установки, подключаться под стандартным пользователем и выполнять настройки с самого начала.

 

18.Сброс в заводские настройки.

Если настройка не удалась и к меню роутера пропал доступ, можно выполнить сброс в заводские настройки кнопкой на корпусе. Как это сделать написано тут.

 

19.Настройка электронной почты.

На отдельной странице.

20.Списки команд для терминала.


СПОЙЛЕР Список команд – базовая настройка (без wifi)

*нужно изменить логин-пароль, идентификатор, внешний IP-адрес по DHCP (для прошивок 6.41 и выше)





СПОЙЛЕР Список команд – базовая настройка (с wi-fi)

*нужно изменить логин-пароль, идентификатор, внешний IP-адрес по DHCP



 


21.Настройка через Quick Set


СПОЙЛЕР Настройка через Quick Set для роутера с wi-fi.

 


22.Настройка через файл скрипта.


СПОЙЛЕР Настройка через файл скрипта

1.Первоначальная настройка выполняется через графический интерфейс или текстовые команды в терминале.

2.Настройка экспортируется в файл скрипта.

3.Файл скрипта применяется при настройке роутера.

Выполнение.

1.Первый пункт выполнены выше — роутер настроен.

2.Экспортируем файл с настройками.

Открываем New Terminal и вводим команду:



(имя файла config2 может быть любое латинскими буквами, расширение .rsc)

 

Среди файлов появится экспортированный файл.

3.Переходим в меню System >> Reset Configuration

В поле Run After Reset (Выполнить после сброса) указываем экспортированный файл скрипта.

Нажимаем кнопку «Reset Configuration».

После сброса конфигурации и перезагрузки в настройках будет применена конфигурация из файла config2.rsc

Среди замеченных багов происходит сброс пользователя и пароль на стандартные admin-без пароля.


23.Дополнительные полезности.


СПОЙЛЕР Дополнительные полезности.

Просмотр всех введенных настроек в терминале.



 

 

Логирование.

Обо всех происходящих в роутере событиях можно узнать в логах. В боковом меню выбираем Log.

 

Любой конкретно указанный лог можно отслеживать в терминале.

Переходим в меню System >> Logging

В открывшемся окне на вкладке Rules создаем новое правило.

В теме правила указываем событие, за которым хотим наблюдать, например system.

В поле Action выбираем echo.

Нажимаем ОК.

Теперь все события с тегом System отображаются в терминале.

Так же информацию о выбранном событии можно отправлять по email.

Нагрузка на процессор.

System >> Resources

 

Какая из служб больше всего загружает процессор можно узнать в Tool >> Profile.

Нажимаем Start и в графе Usage видим использование ресурсов.


Освоить MikroTik Вы можете с помощью онлайн-куса
«Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

 



2020-12-02T13:52:42
Настройка ПО

MikroTik — отправка электронной почты по событию.

На этой странице рассмотрена настройка электронной почты  и отправка сообщения через e-mail при неудачной попытке авторизации в роутер MIkroTik. Настройки протестированы для почтовых служб  Яндекс и Гугл. Параметры серверов отправки для этих сервисов можно посмотреть на их сайтах соответственно. Настройка выполнялась на RouterOS v6.

Освоить MikroTik Вы можете с помощью онлайн-куса
«Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Подключаемся в роутер через WinBox.

Настройка электронной почты.

1.В боковом меню выбираем пункт Tools.

2.В выпадающем меню выбираем Email.

В открывшемся окне Email Settings вводим параметры:

3.Server: 77.88.21.158 (или smtp.yandex.ru сервер исходящей почты яндекс)

4.Port: 587

5.Start TLS: yes

6.From: эл.почта отправителя

7.User: почта@yandex.ru (пользователь=email)

8.Password: 12345Password (Пароль электронной почты)

9.Нажимаем кнопку ОК.

Через командную строку терминала:



Просмотр статуса.



Для тестовой отправки электронного письма нажимаем кнопку Send Email в окне Email Settings.

В открывшемся окне Send Email вводим параметры:

1.Address: 77.88.21.158 (или smtp.yandex.ru сервер исходящей почты яндекс).

2.Port: 587;

3.User: почта@yandex.ru (пользователь=email).

4.Password: 12345Password (Пароль электронной почты).

5.TLS активировано.

6.To: эл.почта получателя письма.

7.From: эл.почта отправителя.

8.Subject: тема письма.

9.Содержание письма.

10.Нажимаем кнопку Send Email.

В случае если отправка не удалась и появилось сообщение об ощибке Couldn’t perform action – AUTH failed.

1.Проверяем правильность ввода данных (логин, пароль, сервер, порт, TLS)

2.Проверяем настройку в сервисе почты.

В почте Яндекс – Почтовые программы.

 

В аккаунте Гугл — настройка безопасности для надежного приложения.  Надежные приложения. Если Выкл – включаем.

*при тестировании письмо одинаково успешно пришло в Гугл и Яндекс почту

Оповещение на e-mail о попытке подключения к роутеру.

В логе событие о неудачной попытке подключения обозначено system, error, critical.

Настраиваем отправку эл.почты по этому событию.

1.В боковом меню выбираем пункт System.

2.В выпадающем меню выбираем Logging.

3.В открывшемся окне Logging переходим на вкладку Action.

4.Редактируем существующее правило или создаем новое нажав плюс.

В открывшемся окошке Log Action вводим параметры:

5.Name: email (любое понятное имя латинскими буквами).

6.Type: email (выбираем из выпадающего списка).

7.Email: почта@yandex.ru (электронная почта получателя)

8.Start TLS — активируем галочкой.

9.Нажимаем кнопку ОК.

10.Переходим на вкладку Rules в окне Logging.

11.Нажимаем плюс для добовления нового правила.

В окне нового правила указываем:

12.Topics: error и critical (темы событий).

13.Action: email

14.Нажимаем кнопку ОК.

В Prefix можно добавить комментарий.

Через командную строку терминала:



 

Чтоб почту не засыпало бесконечным логом событий, сперва все то же самое лучше сделать с указанием вместо Action: email >> Action: echo

В этом случае оповещение будет приходить в терминал.

Ниже отображается неудачная попытка войти в роутер с неверной учетной записью. Запись об этом событии дублируется в Terminal через echo.

Если все устраивает, указываем email вместо echo.

В логе видно, что после неудачной попытки подключения к роутеру было отправлено письмо на email. Вас пытаются взломать. Примите меры.

*у почты gmail возникает проблема авторизации при доставке, письмо не пришло, с почтой Яндекс всё ОК

Освоить MikroTik Вы можете с помощью онлайн-куса
«Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.



2020-12-02T10:57:21
Настройка ПО

How to Prevent Simultaneous User Login in MikroTik Hotspot

MikroTik Hotspot is a user based internet access system. Most of the user authentication and authorization can be controlled with MikroTik Hotspot. But sometimes some users misuse user based authentication system. Misusing simultaneous login is one of them. Usually we provide one username and password for a user and we expect he/she will use this username and password from only one device at a time. But it is also possible to use same username and password in multiple devices at a time if we don’t do proper hotspot configuration. So, in this article we will see how to tune MikroTik Hotspot to prevent simultaneous user login.




Preventing Concurrent User Login in MikroTik Hotspot




MikroTik Hotspot user profile provides a lot of options to tune user authentication and authorization. So, using user profile we can also tune user simultaneous login and prevent misuse of internet access in MikroTik Hotspot. The following steps will show how to tune Hotspot user profile to prevent concurrent user login in MikroTik Hotspot.






  • Login MikroTik Router using Winbox with full permission user.
  • Go to IP > Hotspot menu item. Hotspot Window will appear.
  • Click on User Profiles tab and all active user profiles can be found here.
  • Click on a user profile where you want to tune simultaneous user login. Hotspot User Profile window will appear now.
  • Put idle timeout value (Example: 00:00:30 for thirty seconds) for this profile users in Idle Timeout input box. Bear in mind to keep this value as less as possible so that user can switch one device to another device without any error login message. If we keep this time high, user cannot switch to another device until this idle time is over. Remember we only want to prevent concurrent login but we also want that user are free to use this username and password as much devices as he/she wants.  
  • Now we will tune shared users value that refers how many users can connect at a time. By default hotspot keeps it one (1) and make sure Shared Users value is given only one because we want only one user can be logged in at a time.   
  • Click Apply and OK button.




Preventing concurrent user login in MikroTik Hotspot




Now users of this profile will not be able to connect from multiple devices at a time. But if he/she wants, can be switched to any other device after the idle timeout expired.




I have showed how to prevent simultaneous user login for a Hotspot user profile. Similarly, we can tune concurrent login for other user profiles where we want to apply.




How to prevent simultaneous user login in MikroTik Hotspot has been discussed in this article. I hope you will now be able to tune Hotspot user profile to prevent concurrent user login properly. However, if you face any confusion to apply this technique, feel free to discuss in comment or contact me from Contact page. I will try my best to stay with you.



2020-11-10T00:01:43
MikroTik Hotspot Tutorials & Guides

How to Bind Hotspot User to MAC and Static IP in MikroTik

MikroTik Hotspot is usually a user based Hotspot access controlling system. Internet access and bandwidth can easily be maintained with Hotspot user based system. But sometimes we may require more control on Hotspot system which is not possible only username based system. So, we may need to bind hotspot user to MAC and static IP address. If we can bind hotspot user to static IP address, it is easy to control Hotspot users with MikroTik Router and Firewall. So, in this article we will see how to bind hotspot user to MAC address and static IP address in MikroTik Router.




Hotspot User to Static IP and MAC Binding
Hotspot User to Static IP and MAC Binding




Binding Hotspot User to MAC Address and Static IP Address




Hotspot usually provides dynamic IP address when a user is authenticated. So, we cannot apply firewall blocking rule as well as other access control rules on a Hotspot user. But if we bind hotspot user to a static one to one NAT IP address, we can apply any access or blocking rule to that Hotspot user. Besides, if we bind Hotspot user to MAC address multiple logins with same username and password can also be prevented.




The following steps will show how to bind hotspot user to MAC address and static one to one NAT IP address properly.




  • Login MikroTik Router using Winbox with full permission user.
  • Go to IP > Hotspot menu item. Hotspot window will appear.
  • From Hotspot window, click on User tab and then double click on the user on which MAC and IP binding will be applied. Hotspot User window will appear.
  • Put IP address (example: 192.168.30.10) that you want to assign for this user in Address input field. So, whenever the user will be connected, this IP address will be assigned as one to one NAT IP address for this user and we can apply any control such as bandwidth, firewall and other rules on this IP address and these controlling rules will be applied on this user.
  • Collect user MAC address and put that MAC address (example: D8:FC:93:A9:9D:DB) in MAC address input field. So, this user cannot be logged in without this MAC addressed device. If you don’t want to apply this restriction, you can skip this step.
  • Click Apply and OK button.




Hotspot User to Static IP Binding
Hotspot User to Static IP Binding




Static IP address and MAC address binding has been applied on a Hotspot user. Similarly, you can apply MAC address and IP address binding for the other users that you wish.




How to bind Hotspot user to static IP address and MAC address has been discussed in this article. I hope you will now be able to apply MAC address and IP address binding to any Hotspot user easily. However, if you face any confusion to apply user to MAC and IP binding in MikroTik Hotspot, feel free to discuss in comment or contact me from Contact page. I will try my best to stay with you.    



2020-11-06T20:29:28
MikroTik Hotspot Tutorials & Guides