Беспроводной мост был организован для объединения двух частей локальной сети на разных этажах. Сделать проводное соединение нет возможности. Выполнена очень быстрая настройка через quick set. До использования MikroTik для беспроводных мостов в нашей организации использовались точки Wi-Fi TPLink CPE510  уличного типа для связи между отдаленными корпусами. Настройка микротика представлялась сложной инженерной задачей, для которой требуется обучение и много времени. Однако после исследования этой темы оказалось, что использование quick set микротика гораздо удобнее и быстрее, чем мастер настройки в точках TPLink.

Освоить MikroTik Вы можете с помощью онлайн-куса
«Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

В схеме использованы два роутера RB951Ui2HnD с прошивкой 6.49. Расстояние между роутерами 20м, этажное перекрытие и стена.

Сервер лежит на распределительном шкафу СКС в коридоре.

Клиент расположился в кабинете на шкафу.

Настройки сброшены в пустую (blank) конфигурацию.

1.Настройка сервера (точка доступа).

 Подключаемся к роутеру из локальной сети через WinBox по MAC-адресу.

Переходим в меню Quick Set. Выполним 6 минимально необходимых действий для настройки.

1.PTP Bridge AP – режим работы точки wi-fi (bridge).

2.Address Acquisition: Automatic – автоматическое получение IP-адреса от выше стоящего роутера.

3.Security: WPA2 – режим безопасности wi-fi (отмечаем галочкой).

4.Encryptyon: aes ccm – стандарт шифрования (отмечаем галочкой).

5.WiFi Password: Password12345 – пароль для wi-fi

6.Нажимаем кнопку Apply для сохранения настроек.

Сервер настроен.

Дополнительно можно указать идентификатор для удобства обслуживания и сетевое имя, чтоб быстрей найти свой сервер в радиоэфире из множества других.

Конфигурация в текстовом виде, которая получается в результате этих настроек.

Другие настройки, такие как частота, диапазон, страна, ACL и прочие рассмотрены в подробной настройке беспроводного моста.

2.Настройка клиента (беспроводная станция).

Подключаемся к роутеру-клиенту из локальной сети через WinBox по MAC-адресу.

Переходим в меню Quick Set. Выполняем 6 минимально необходимых действий для настройки.

1.PTP Bridge CPE – режим работы точки wi-fi (station bridge).

2.Выбираем беспроводную точку доступа (сервер) из списка.

3.WiFi Password: Password12345 – пароль, такой же как в настройках сервера.

4.Address Acquisition: Automatic – автоматическое получение IP-адреса от выше стоящего роутера.

5.Нажимаем кнопку «Apply» для сохранения настроек.

6.Нажимаем кнопку «Connect» для подключения к серверу.

Клиент настроен.

Дополнительно можно указать идентификатор устройства.

Конфигурация в текстовом виде, которая получается в результате этих настроек.

Клиент получит IP-адрес только после установки соединения.

Компьютеры и прочие сетевые устройства, подключенные к беспроводному клиенту «видят» всю локальную сеть (L3 и L2) и выходят в интернет через основной шлюз. Если IP-адрес на компьютерах не обновился, то нужно выполнить команду в cmd (для Windows) «ipconfig -renew» или передернуть сетевой провод, чтоб инициировать получение нового IP-адреса. Адреса для всех устройств раздает вышестоящий роутер по DHCP через беспроводной мост.

Кроме выше представленных настроек рекомендуется:

-сменить пароль админа — в прошивках выше 6.49 это предлагается при входе в роутер;

-определить доступы к обоим микротикам — сервисы и IP с которых разрешен вход.

Реальная картина по уровню сигнала.

Bandwidth Test между сервером и клиентом.

Скорость больше 5 Мбит/с увидеть не получилось, мешают стены. Для работы с документами, общими папками и просмотра интернет страниц для 10 ПК этого достаточно.

Освоить MikroTik Вы можете с помощью онлайн-куса
«Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Постановка задачи: к ЛВС и серверу в главном здании учреждения необходимо подключить ЛВС филиала, расположенного в другом городе.

Схема подключения на рисунке ниже.

В результате настроек между двумя роутерами MikroTik создается L2TP туннель, через который передается информация с IPsec  шифрованием.

Освоить MikroTik Вы можете с помощью онлайн-куса
«Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

В схеме использованы 2 роутера MikroTik RB750Gr3 с прошивкой 6.49. Чтоб их различать, заданы номера: сервер-101, клиент-102.

Конфигурация роутеров сброшена на пустую (blank).

Все настройки выполняются из локальных сетей 1 и 2 через WinBox или командную строку.

При написании имен интерфейсов следует учитывать, что командная строка чувствительна к регистру.

В MikroTik RB750Gr3 отсутствует аппаратная поддержка IPsec и вся нагрузка по шифрованию ложится на процессор. Это нужно учитывать, выбирая роутер и исходя из объемов предполагаемого VPN трафика.

Описана реальная ситуация из практики объединения офисов по VPN. Внешние IP-адреса изменены.

Порядок действий.

Настройка сервера VPN.

1.Идентификация роутера-сервера.

2.Создание профиля VPN.

3.Активация сервера L2TP.

4.Создание пользователя пользователя.

5.Создание интерфейса.

6.Статический маршрут в направлении LAN2.

7.Правила firewall.

8.Подключение к Интернету (WAN).

9.Настройка локальной сети LAN1.

Настройка клиента VPN.

1.Идентификация роутера-клиента.

2.Настройка интерфейса L2TP

3.Настройка ADSL модема.

4.Настройка внешнего IP-адреса (WAN).

5.Статический маршрут в направлении LAN1.

6.Настройка локальной сети LAN2.

7.Проверка.

8.Firewall в ОС Windows или антивирусе.

9.Трассировка.

10.Удаленное обслуживание.

Настройка сервера VPN.

Роутер-сервер расположен в РШ серверной главного здания. В первый порт подключен патч-корд к оптическому конвертору. В любой из оставшихся портов можно подключить патч-корд к ЛВС1.

Подключаемся к роутеру-серверу из локальной сети через WinBox по MAC-адресу т.к. IP-адрес 0.0.0.0.

1.Обозначим название роутера.

System >> Identity >> 101-SERVER-MINSK (название латиницей, любое понятное)

Через командную строку терминала:

2.Создание профиля VPN. 

Профиль нужно создать до активации сервера L2TP, потому что его нужно указывать в настройках этого самого сервера.

Можно использовать дефолтный профиль.

Переходим в меню PPP >> Profiles >>Нажимаем синий крест (плюс).

В открывшемся окне на вкладке Generals вводим настройки.

Name: L2TP-SITE-TO-SITE – любое понятное имя латиницей.

Local Address: не указываем – адрес роутера-сервера в VPN.

Remote Address: не указываем – адрес роутера-клиента в VPN.

Change TCP MSS: yes

Локальный и удаленный адрес в данном случае не указаны.

Локальный (Local) адрес будет указан в учетной записи клиента VPN.

Удаленные (Remote) адреса разные у разных клиентов, и они так же указаны в настройке клиентов.

В качестве удаленного адреса можно указать пул IP-адресов для VPN. Его нужно предварительно создать.

 Переходим на вкладку Protocols и выполняем настройки как на картинке ниже.

MPLS: yes —  передача пакетов по меткам. wiki

Compression: no – сжатие данных, используется при медленных каналах.

Encryption: yes – шифрование данных, по согласованию с клиентом.

На вкладке Limits можно настроить лимит сессии, время отключения при бездействии, ограничение скорости подключения, одно подключение (Only one).

Настройки вкладок Queue и Scripts не изменялись.

Через командную строку терминала:

Профиль можно вообще не трогать. В описании приведено его создание чтоб обозначить возможность. Бывают ситуации с большим количеством VPN-клиентов, в которых без профиля сложно.

3.Активация сервера L2TP.

Переходим по меню в L2TP сервер: PPP >> Interface >> L2TP Server

В открывшемся окне ставим галочку напротив Enable.

Выбираем созданный ранее профиль Default Profile: L2TP-SITE-TO-SITE (или оставляем дефолтный).

Authentication: mschap2, остальные варианты отключаем.

Use IPsec: yes – использование шифрования IPsec.

Причем если выбрать «yes», то это не обязывает использование IPsec. Если выбрать «required», то без IPsec соединение не будет работать.

При первоначальной настройке можно выбрать «yes», чтоб избавится от дополнительной вероятной ошибки подключения. После того, как VPN заработает можно поставить «required» и усложнить пароль.

IPsec Secret: 12345Password – пароль IPsec.

Нажимаем кнопку «ОК».

Через командную строку терминала:

4.Создание пользователя.

PPP >> Secrets >> Нажимаем синий плюс, в открывшемся окне вводим:

Name: BREST-SITE-TO-SITE – имя пользователя VPN (для роутера филиала).

Password: Password12345678 – сложный пароль из латинских букв, цифр и спец.символов разного регистра.

Service: l2tp – тип туннеля (сервиса).

Profile: L2TP-SITE-TO-SITE – созданный ранее профиль, выбираем из выпадающего списка.

Local Address: 172.16.0.1 – локальный адрес роутера в VPN сети.

Remote Address: 172.16.0.2 – IP-адрес роутера филиала в VPN сети.

Нажимаем кнопку «ОК».

Через командную строку терминала:

*в имени профиля удобно использовать название города, в котором расположен филиал

5.Создание интерфейса.

PPP >> Interface.

Из выпадающего меню возле синего крестика выбираем: L2TP Server Binding.

На вкладке General указываем:

Name: 102-BREST-L2TP-SERVER — любое понятное имя латиницей;

User: BREST-SITE-TO-SITE — имя пользователя созданное в Secrets.

Через командную строку терминала:

Практика показывает, что в названии интерфейса удобно использовать направление данного интерфейса. Если сервер находится, например в Минске, а филиал в Бресте, то в названии присутствует город назначения, тип туннеля и обозначение того, что этот интерфейс на роутере-сервере. Это все можно указать в комментариях, но в некоторых выпадающих списках меню при выборе интерфейса комментарий не отображается.

6.Статический маршрут в направлении LAN2.

Создадим статический маршрут, направляющий трафик от пользователей LAN1 к пользователям в LAN2.

IP-адреса в LAN1: 192.168.0.0/24

IP-адреса в LAN2: 192.168.30.0/24

В боковом меню переходим в IP >> Routes.

Нажимаем синий плюс, на вкладке General указываем:

Dst. Address: 192.168.30.0/24 – адрес сети назначения.

Gateway: 172.16.0.2 – шлюз в нужную сеть – указываем IP-адрес противоположного роутера в сети VPN или созданный ранее интерфейс (IP надежнее).

Нажимаем ОК для сохранения настроек.

Через командную строку терминала:

7.Правила firewall.

Создадим правила брандмауэра для разрешения IPsec, L2TP и их портов.

Правило разрешения протокола IPsec.

Переходим по меню: IP >> Firewall >> Filter Rules.

Нажимаем синий плюс, в открывшемся окне на вкладке General вводим настройки:

Chain: input – входящий в роутер трафик.

Protocol: ipsec-esp  – протокол.

Переходим на вкладку Action.

Action: accept – разрешающее действие.

Нажимаем ОК для сохранения.

Через командную строку терминала:

Остальные правила создаются аналогично. Введем их через командную строку. (для экономии места на странице)

Правило, разрешающее порты IPsec.

Правило, разрешающее порт L2TP.

Правила для портов написаны раздельно в перспективе на будущие изменения. Допустим понадобится отключить L2TP и оставить IPsec или наоборот.

Расположить правила желательно ближе к верху списка.

8.Назначим роутеру внешний (WAN) статический IP адрес.

Наш провайдер предоставляет услугу PPPoE с логином и паролем согласно приложению к договору. В разных ситуациях провайдер может предоставлять доступ в Интернет разными способами и сервисами.

Создаем интерфейс PPPoE клиента: PPP >> PPPoE Client.

В открывшемся окне:

Переходим на вкладку General.

Name: pppoe-out1 – имя нового интерфейса (можно указать любое латиницей)

Interfaces: ether1 – интерфейс к которому подключен провод от оптического терминала провайдера.

Переходим на вкладку Dial Out.

Service: byfly – понятное название латинскими буквами.

User: 123456789101212@beltel.by – имя пользователя из приложения к договору об оказании услуг от провайдера.

Password: 1234567890 – пароль из приложения к договору об оказании услуг.

Use Peer DNS и Add Default Route отмечены галочками.

Протоколы аутентификации отмечены галочками все 4 (не трогаем их при byfly).

ОК для сохранения настроек.

Через командную строку терминала:

Через некоторое время 0,5-1-2 мин роутер автоматически получит заказанный у провайдера внешний IP-адрес, который будет для него постоянным.

Так же автоматически появятся несколько адресов внешних DNS серверов.

На созданном интерфейсе pppoe-out1 появится статус R (running).

9.Дале следует выполнить настройки локальной сети LAN1  — Bridge, LAN IP, DHCP, DNS, NAT и др.

Для VPN действие не обязательное.

Можно воспользоваться базовой настройкой MikroTik

Кратко в файле конфигурации.

Настройка клиента VPN.

Клиентский филиал подключается в Интернет через ADSL-модем на скорости 10/5Мбит/с. Для филиала заказан внешний статический IP-адрес у провайдера. Хотя это действие на обязательное. Достаточно чтоб был «белый» внешний статический IP-адрес у сервера.

В локальной сети LAN2 7 компьютеров. Им всем необходимо иметь прямой доступ к серверу в LAN1 и общим сетевым папкам.

Сетевое оборудование смонтировано в металлическом ящике на стене.

На распределительный шкаф формата СКС у организации средств конечно же не нашлось. Но зато на складе было много ящиков для пассивного оборудования электрики или связи, с плохой вентиляцией, которые сказали брать и использовать. Главный недостаток такого ящика в паре с активным оборудованием – нагрев, хотя он не критичный. По спецификации RB750Gr3 может работать при температуре до +60С.

Для сравнения:

Датчик температуры в Микротике в ящике всегда показывает +40С.

Датчик температуры в Микротике висящем на стене в помещении +35С +36С.

В серверной с кондиционером температура по датчику в Микротике +29С +30С.

В последующих филиалах уже была сделана доработка конструкции — в верхней и нижней поверхностях ящика насверлены отверстия. Температура +36С +37С, почти как у оборудования, висящего на стене.

Подключаемся через порты 2-5 в роутер. Входим в меню через WinBox по MAC-адресу т.к. роутер сброшен в пустую конфигурацию.

1.Обозначение названия роутера.

System >> Identity >> 102-CLIENT-BREST

Через командную строку терминала:

*в названии роутера очень удобно использовать название того населенного пункта, в котором он находится

2.Настройка интерфейса L2TP

Переходим в меню PPP, выбираем L2TP Client.

Выполним настройки интерфейса клиента.

На вкладке General, указываем имя. Можно оставить l2tp-out1 либо написать что-то свое для понятности.

Переходим на вкладку Dial Out.

Connect To: 85.51.148.195 – внешний (WAN) IP-адрес роутера-сервера.

User: BREST-SITE-TO-SITE – имя пользователя, созданное для клиента на сервере.

Password: Password12345678 – пароль, созданный в профиле клиента на сервере.

Активируем галочкой Use IPsec.

IPsec Secret: PasswordIPsec54321 – пароль назначенный для IPsec в сервере.

Allow: mschap2.

Нажимаем ОК для сохранения настроек.

Через командную строку терминала:

3.Настройка ADSL модема.

Для продолжения настроек VPN туннеля, необходимо перевести модем в режим работы Bridge.

Все модемы разные, но принцип общий. Подключаемся патч-кордом во 2 порт модема. Заходим в интерфейс через браузер по IP-адресу (обычно это 192.168.1.1). Вводим логин-пароль.

Выставляем настройку Bridge Connection.

4.Настройка внешнего IP (WAN).

Соединение VPN не произойдет пока роутеру-клиенту не назначен WAN IP адрес. Сделаем это.

Ситуация аналогична настройке внешнего IP в роутере-сервере. Провайдер предоставляет Интернет через PPPoE.

Создаем интерфейс PPPoE-клиент: PPP >> PPPoE Client.

Переходим на вкладку Dial Out.

Service: byfly – понятное название латинскими буквами.

User: 0987654321111@beltel.by – имя пользователя из приложения к договору об оказании услуг от провайдера.

Password: 1234567890 – пароль из приложения к договору об оказании услуг.

Use Peer DNS и Add Default Route отмечены галочками.

ОК для сохранения настроек.

Через командную строку терминала:

Через некоторое время роутер автоматически получит заказанный у провайдера внешний IP-адрес, который будет для него постоянным.

После настройки внешнего интерфейса роутеры должны «увидеть» друг друга. При успешном подключении статус интерфейса станет R (running).

Дополнительно можно проверить вид шифрования (Encoding). Если у него вид как на картинке выше, то работает IPsec. Если что-то другое, то нужно перезагрузить роутеры и проверить еще раз.

Так же нужно убедиться в соответствии назначенных ранее Local и  Remote Address.

5.Статический маршрут.

Маршрут направляет трафик из LAN2 в LAN1.

IP-адреса в LAN1: 192.168.0.0/24

IP-адреса в LAN2: 192.168.30.0/24

Переходим в меню маршрутов: IP >> Routes >> Нажимаем синий плюс.

На вкладке General указываем:

Dst. Address: 192.168.0.0/24 – адрес сети назначения.

Gateway: 172.16.0.1 – VPN IP-адрес роутера-сервера.

Нажимаем ОК для сохранения настроек.

Через командную строку терминала:

Вводить правила Firewall для разрешения VPN на роутере-клиенте не нужно.

6.Настройка локальной сети LAN2 — Bridge, LAN IP, DHCP, DNS, NAT и др.

Для VPN действие не обязательное.

Можно воспользоваться базовой настройкой MikroTik

Кратко в файле конфигурации.

7.Проверка.

Проверяем ping из LAN2 в LAN1 и наоборот. Ping должен проходить в обе стороны.

Можно проверить ping из роутера-клиента в LAN1 и наоборот.

Оборудование в LAN1 и LAN2 общается друг с другом как в одной общей сети.

8.Firewall в Windows или антивирусе.

Часто возникает ситуация, когда общие папки или спец. ПО расположены на ПК с Windows Server. У этих систем нужно открывать порты для организации доступа и прохождения пинга.

Если дополнительно установлен антивирус, то он, как правило, управляет брандмауэром операционных систем и доступы нужно задавать в его настройках.

Например, у нас на сервере антивирус KES11. Для того, что проходил ping из сетей за VPN нужно отключить правило блокировки входящего ICMP трафика из внешних сетей, которое установлено по умолчанию.

Сделать это можно в настройках сетевого экрана в меню «Пакетные правила».

Для того, чтоб был доступ к общим сетевым папкам, нужно открыть 445 порт для адресов сетей за VPN, в нашем случае указать LAN2 (и другие сети если они есть). Это так же делается в пакетных правилах антивируса KES11. Создаем новое правило с понятным названием, например «Доступ из сетей за VPN».  Настройки как на картинке ниже.

Правило нужно располагать выше, чем стандартные правила, блокирующие TCP, UDP из внешних сетей.

Таким же способом можно открыть доступ RDP на данный сервер с указанных IP-адресов или другие сервисы, которые нужны для работы. Антивирусы и брандмауэры у всех разные, но принцип действий примерно одинаковый – разрешить определенный трафик из указанной сети за VPN-ом. Как открыть порты в брандмауэрах так же написано тут.

9.Трассировка.

После того, как VPN настроен и ping проходит, нужно убедиться, что трафик идет через туннель сайт-сайт, а не через внешний IP-адрес. Для этого запускаем трассировку на компьютере в LAN1 и указываем IP-адрес любого доступного ПК в LAN2. Смотрим, по какому пути идет трафик.

Трассировка идет через VPN IP-адрес, настройка выполнена верно. Если трафик пойдет через WAN IP-адрес, то настройка сделана не правильно. Нужно смотреть, где IP-адреса расставлены не на своих местах. То же самое нужно сделать из LAN2 в LAN1. Можно выполнить трассировку из роутера (Tools >> Traceroute).

10.Удаленное обслуживание.

Для удаленного обслуживания роутеров-клиентов из главного офиса можно использовать подключение через WinBox или SSH. Для этого нужно указать список доверенных IP-адресов, с которых разрешено подключение. Затем создать правило разрешающее подключение всем кто в списке.

Или по аналогичному принципу создать правило для подключения в роутер через VPN интерфейс.

С этими правилами следует работать аккуратно, чтоб не заблокировать себе доступ в роутер.

Для подключения по SSH нужно предварительно загрузить в роутер сертификат (инструкция).

Освоить MikroTik Вы можете с помощью онлайн-куса
«Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Этот небольшой обзор предназначен для тех, кто еще не решился сходить на тренинг по курсу MTCNA. Все описанные вопросы интересовали меня, перед сборами на этот тренинг и, поэтому решено было их описать.

В нашей организации есть оборудование MikroTik и так как, кроме меня им ни кто не управляет, нужно было отправиться на курсы. Были планы пройти тренинг и сдать экзамен летом, во время отпуска в Питере т.к. в РБ (где, я вобщем-то и обитаю) MTCNA редкость. Неожиданно курсы сами приехали в Минск.

Зачем все это нужно.

1.Чтоб повысить уровень своих знаний.

2.Быть в теме современных тенденций и направлений сетевых технологий.

3.Закрепить достигнутые результаты с помощью сертификата.

В Интернете на сегодняшний день огромное море информации, в которой очень легко запутаться. Курсы и тренинги помогают структурировать и систематизировать информацию, подсказывают правильные методики действий, объясняют с чего начать и куда двигаться дальше.

Почему MikroTik.

Основное то, что роутеры MikroTik работают в сети нашей организации. Попали они туда случайно и за время работы показали себя с хорошей стороны. Так же можно определить следующие причины.

1.Низкая цена оборудования.

2.Широкий функционал для большого количества потребностей.

3.Гибкость и обилие настроек.

4.Однотипность ОС у любого оборудования.

5.Надежность в работе.

Со временем приходит понимание, что микротик проще  чем циско и удобнее чем прочие де-линки, а главное, оборудование гораздо дешевле. Возможности копеешного девайса такие же, как и у топового роутера благодаря единой RouterOS. Вероятно, что для меня еще вызывает удобство в работе с MikroTik — это приложение для выполнения настроек – WinBox.

MTCNA.

MTCNA – первый начальный курс из 10. Курс предназначен для системных  администраторов, работающих с MikroTik. Содержание курса можно посмотреть на официальном сайте, нажав на картинку ниже.

После успешной сдачи экзамена, и получения сертификата открывается доступ к следующим уровням обучения. Сертификат действителен в течение трех лет. После этого срока можно пройти пересдачу экзамена.

Организация и проведение.

Требования для участия.

К MTCNA нужно прийти с базовыми знаниями сетевых технологий. Требуется знать структуру модели OSI и понимать процессы хотя-бы до 3-4-го уровня. В первую очередь нужно знать расшифровку DHCP, DNS, NAT, Firewall и зачем они нужны. Как создать статический маршрут.  На каком уровне работают MAC-адреса, а на каком IP. Понимать, что такое широковещательный домен, какой в нем ходит трафик. И все прочее, что относится к основам. Перед походом на курсы, желательно освежить знания (если они были получены ранее, например, в колледже универе или на других курсах) или получить эти знания, если их не было. Для этого желательно посмотреть видео подобной тематики в Интернете.

Очень приветствуется наличие сертификата от производителей какого-то другого оборудования, например CISCO.

Где проводится.

Для проведения обучения использовался конференц-зал «Модерн». Он расположен в двухэтажном здании, пристроенном справа к гостинице «Юбилейная» в Минске. Зал находится на 2м этаже.

Найти место проведения можно по Интернет-картам ориентируясь на гостиницу «Юбилейная». Удобный доступ в центре города недалеко от метро.

Как записаться.

Записаться можно позвонив по телефону указанному на сайте NetAir или написать сообщение по электронной почте, которую можно найти там же. Нужно следить за объявлениями о появлении тренингов.

Стоимость в районе 750 бел.руб (около 300$).

В большинстве пришедшие люди были направлены от организаций и по командировке.

Преподаватель.

Официальный тренер и замечательный преподаватель Алексей Чудин. Объясняет все доступно, понятно. Без проблем отвечает на любые вопросы по теме сетевых технологий и тренинга. Обладает большим опытом и рассказывает интересные истории из практики работы с MikroTik.

Расписание и порядок занятий.

Занятия.

В Минске предыдущий тренинг проходил лишь год назад (в 2020г) поэтому в зале был аншлаг. Все места были заняты. Вроде даже кому-то пришлось отказать. Среди слушателей были представители МТС, Белфармация, МТИС и др. Уровень подготовки разный. Были те, кто уже работает с микротик, циско или другим оборудованием, но так же были те, кто с микротиком не знаком.

На тренинг необходимо взять ноут-бук и патч-корд 2м. Роутер MikroTik нести не обязательно, его дадут. Так же дают блокнот и ручку. Конспект лучше вести потому-то многие вопросы потом попадаются на экзамене.

Занятия проходят с 9:00 до 18:00. Время пролетает очень быстро. Информации очень много. Объяснение происходит в быстром плотном темпе. Лучше записывать, потому что информации много и то, что было очевидно понятно, через час уже забылось. Желательно познакомится с MikroTik до курсов. Посмотреть какие-нибудь обучающие лекции в ютубе. Купить популярную модель микротика с wi-fi домой (например hap mini). Попробовать настроить.

Если до курсов не знать MikroTik, хотя так тоже можно, много полезной информации пролетит мимо. Особенно хорошо если с оборудованием MikroTik уже есть опыт некоторой работы, естественно есть вопросы, на которые тренер готов ответить.

На первом занятии, чтоб сориентироваться в назначении и цене, представляются модели оборудования. MikroTik охватил почти все области сетевого оборудования. Но есть и исключения – например, у микротика нет adsl-устройств. Для многих технология adsl еще очень актуальна.

Перечень устройств и их цену можно посмотреть на странице оборудования официального сайта MikroTik.

Для подключения группы в общую сеть использовалось несколько коммутаторов Cloud Router Switch.

В коммутатор подключается роутер MikroTik, а от него уже ноут-бук. В другую сторону подключен роутер тренера и шлюз в интернет.

По мере продвижения и изучения wi-fi, проводная сеть в зале перешла в беспроводную. Роутер на каждом столе был подключен к главному роутеру через wi-fi.

Между лекциями проходят лабораторные работы.

Если в ЛР требуется 2 роутера, например для создания туннелей, то задействывается роутер соседа.

После 1.5 часа занятий кофе-пауза. Желающие могут выпить кофе с нормальными вкусняшками. Так же каждому предлагается небольшая бутылка воды.

Перерыв на обед с 13:00 до 14:00. Проходит он в ресторане гостиницы «Юбилейная». Все на высшем уровне. Стоимость обеда входит в стоимость тренинга.

Экзамен.

Экзамен можно сдавать только с официальным тренером. Просто зарегистрироваться на сайте MikroTik и сдать экзамен не получится.

Предварительно нужно создать аккаунт на официальном сайте. Фамилия и имя на английском языке должны быть записаны так, как хотелось бы видеть их в сертификате. Все это тренер объясняет на занятии. Доступ на экзамен по приглашению тренера из электронной почты. Перед экзаменом группу фотографируют – это обязательное требование MikroTik.

Перед экзаменом все в психическом стрессе. Но волноваться не нужно. Все будет ок.

Желательно заготовить открытые вкладки браузера с калькулятором масок сетей и перечнем диапазонов IP-адресов. Можно пользоваться настройками меню роутера, чтоб проверить варианты ответов.

Нажимаем кнопку старт по команде тренера. После этого есть 1 час чтоб ответить на 25 вопросов. Получается 2.5 мин на вопрос.

Перед тестом появится несколько информационных сообщений. В одном сообщаются условия и запрет на распространение вопросов.

Тест на английском языке. Вопросы не гуглятся. Искать информацию в Интернете довольно сложно. Время ограничено, нужно быстро ориентироваться.

Некоторые вопросы требуют логический ответ на основе знаний. Например, указать маршрут, по которому пойдет пакет и на выбор 4 маршрута. Есть простые вопросы.

На экзамене не желательно отвлекаться или отвлекать соседей. Нужно пройти по всем вопросам и расставить предполагаемые ответы. Потом пойти по списку второй раз и поразмышлять подробнее.

Кто-то завершил экзамен за 30мин. Мне понадобился полный час. 1 человек вроде не сдал и пошел на пересдачу т.к. набрал проценты в промежутке между 50 и 60. Мой результат 97%. На 100% ни кто не сдал.

После прохождения теста в личном кабинете в разделе Training >> My certificates  появляется сертификат. Его можно распечатать при необходимости и повесить в рамке на работе)

На этом обзор завершается. Желаю всем дальнейшего продвижения в саморазвитии, не бойтесь идти на экзамен, за этим сертификатом или за другими. Спасибо тренеру. Привет группе. Всем успешной сдачи!

Упрощенная настройка L2TP/IPsec. К ЛВС и серверу в главном здании учреждения необходимо подключить 12 отделов, в каждом из которых 1-2 ПК через VPN. Все отделы пространственно расположены за городом и у них есть доступ в Интернет через ADSL модемы.

Освоить MikroTik Вы можете с помощью онлайн-куса
«Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Схема подключения удаленных пользователей на рисунке ниже.

В результате настроек создается L2TP туннель, через который передается информация с IPsec  шифрованием.

На стороне пользователя VPN настраивается средствами Windows.

В главном здании VPN создан с помощью роутера MikroTik RB750Gr3 с прошивкой 6.48.1

Следует отметить, что в названной модели роутера отсутствует аппаратная поддержка IPsec и вся нагрузка по этому делу ложится на процессор.

Первоначальная настройка роутера выполнена по этой инструкции.

Все настройки выполняются из локальной сети через WinBox.

Порядок действий.

1.Создание профиля доступа.

2.Активация сервера L2TP.

3.Назначение IP-адреса клиентам VPN.

4.Создание пользователя VPN.

5.Создание интерфейса.

6.Правила Firewall.

7.Настройка VPN соединения клиента в Windows 10.

8.Подключение VPN соединения.

1.Создание профиля VPN. 

Профиль нужно создать до активации сервера L2TP, потому что его нужно указывать в настройках этого самого сервера.

1.Выполняем действия в меню PPP

2.Переходим на вкладку Profiles.

3.Нажимаем синий крест (плюс).

4.Переходим на вкладку Generals.

Вводим настройки:

5.Name: L2TP-REMOTE-ACCESS (любое понятное имя латиницей).

6.Local Address: 192.168.20.1 (адрес роутера в VPN)

7.Change TCP MSS: yes

8.Переходим на вкладку Protocols и выполняем настройка 9, 10, 11 как на картинке.

MPLS: yes —  передача пакетов по меткам. wiki

Compression: (сжатие данных) no —  используется при медленных каналах.

Encryption: (шифрование данных) yes — по согласованию с клиентом.

На вкладке Limits можно настроить лимит сессии, время отключения при бездействии, ограничение скорости подключения, одно подключение (Only one).

Настройки вкладок Queue и Scripts не изменялись.

Через командную строку терминала:

2.Активация сервера L2TP.

1.В боковом меню выбираем PPP.

2.В открывшемся окне PPP переходим на вкладку Interface.

3.В верхней панели нажимаем кнопку L2TP Server.

4.В открывшемся окне ставим галочку напротив Enable.

5.Default Profile: L2TP-REMOTE-ACCESS  указываем созданный ранее профиль

6.Authentication: mschap2 (остальные варианты отключаем)

7.Use IPsec: yes

8.IPsec Secret: 12345Password

9.Нажимаем кнопку «ОК».

Через командную строку терминала:

3.Назначение IP-адреса клиентам VPN.

Первый вариант – создать пул IP-адресов и раздавать их пользователям в автоматическом режиме.

Второй вариант – указать статический IP-адрес.

Так как в нашем случае всего 12 пользователей VPN, укажем для них статические IP-адреса из сети 192.168.20.0 Делается это при создании пользователя.

4.Создание пользователя.

1.Выполняем действия в меню PPP

2.Переходим на вкладку Secrets.

3.Нажимаем синий крест (плюс).

В открывшемся окне вводим:

4.Name: Remote-user1 (имя пользователя )

5.Password: Password1234 (сложный пароль из латинских букв и цифр разного регистра)

6.Service: L2TP

7.Profile: L2TP-REMOTE-ACCESS (созданный ранее профиль, выбираем из выпадающего списка)

8.Remote Address: 192.168.20.11 (статический IP для пользователя)

9.Нажимаем кнопку «ОК».

Через командную строку терминала:

Создаем необходимое количество пользователей аналогичными действиями.

5.Создание интерфейса.

Действие не обязательное, но в некоторых ситуациях может пригодится.

Если не создавать статический интерфейс, то он автоматически создается динамически при подключении пользователя.

6.Правила firewall.

Создадим два правила, одно для разрешения протокола IPsec, второе для доступа к необходимым портам.

Правило разрешения IPsec.

Переходим по меню  1 IP >> 2 Firewall >> 3 Filter Rules.

4.Нажимаем синий крест (плюс), в открывшемся окне на вкладке General (5) вводим настройки:

6.Chain: input (вход)

7.Protocol: ipsec-esp (протокол)

8.In Interface: ether1 (внешний интерфейс)

9.Жмем Apply для сохранения.

10.Переходим на вкладку Action.

11.Action: accept (разрешающее действие).

12.Нажимаем ОК для сохранения.

Через командную строку терминала:

Правило для открытия портов 500, 1701, 4500.

Переходим по меню  1 IP >> 2 Firewall >> 3 Filter Rules.

4.Нажимаем синий крест (плюс), в открывшемся окне на вкладке General (5) вводим настройки:

6.Chain: input (вход)

7.Protocol: UDP (протокол)

8.Dst. Port: 500, 1701, 4500 (порты назначения)

9.In Interface: ether1 (внешний интерфейс)

10.Переходим на вкладку Action.

11.Action: accept

12.Нажимаем кнопку ОК для сохранения правила.

Через командную строку терминала:

В списке правил появятся два новых. Расположить их желательно верху списка.

К правилам добавлены комментарии для ясности.

Правило NAT.

NAT masquerade правило для трафика VPN. Правило создается на вкладке NAT аналогично предыдущим правилам.

Через командную строку терминала:

*правило NAT для VPN трафика не является обязательным, но в некоторых случаях может пригодиться

7.Настройка VPN соединения клиента в Windows 10.

Удаленный компьютер подключен в Интернет. В этом ПК переходим в управление сетями.

Панель управления >> Сеть и Интернет >> Центр управления сетями и общим доступом.

Создаем новое подключение.

Среди вариантов подключения выбираем – «Подключение к рабочему месту».  Далее.

Выбираем – «Использовать мое подключение к Интернету (VPN)».

В следующем пункте указываем внешний статический IP-адрес роутера или внешний идентификатор MikroTik(1234567891443.sn.mynetname.net у каждого роутера свой).

В поле имя пишем любое понятное имя латинскими буквами. Отмечаем галочкой «Запомнить учетные данные».

Нажимаем кнопку «Создать».

Отредактируем свойства созданного VPN подключения в сетевых соединениях.

В свойствах переходим на вкладку безопасность. Указываем следующие параметры.

1.Тип VPN: Протокол L2TP с IPsec (L2TP/IPsec).

2.Дополнительные параметры.

======-Для проверки подлинности использовать общий ключ;

======-Ключ: 12345Password (вводим ключ IPsec);

======-Нажимаем ОК.

3.Шифрование данных: обязательное (отключится если нет шифрования)

4.Разрешить следующие протоколы – отмечаем точкой.

5.Протокол Microsoft CHAP версия 2 (MS-CHAPv2).

6.Кнопка «ОК» для сохранения настроек.

Переходим на вкладку сеть.

В свойствах указываем IP-адрес для клиента и предпочитаемый DNS.

Переходим на вкладку «Дополнительно».

Настройка – Использовать основной шлюз в удаленной сети. В нашем случае галочка убрана. Нажимаем ОК для сохранения.  Настройки в свойствах VPN-соединении у клиента завершены.

Если галочка стоит.

Весь трафик пойдет через MikroTik. В этом случае его можно контролировать, и он попадает под все правила и настройки роутера. Недостаток в замедлении скорости работы Интернета у клиента и дополнительной нагрузке на роутер.

Чтоб убедится, что трафик идет именно через роутер, на клиенте нужно запустить ping (когда VPN уже настроен и запущен в работу) на любой общедоступный сервер.

В роутере трафик можно отследить через Torch или в IP>>Firewall>>Connections.

Как видно, с IP-адреса одного из клиентов VPN пинг на IP 8.8.8.8 по протоколу icmp проходит через MikroTik (при условии установленной галочки в доп. свойствах).

Если галочка не стоит.

Если галочку убрать и переподключиться к VPN, то пинг на сервер гугл (8.8.8.8) уже не проходит через роутер. Он идет через основной шлюз ПК в Интернет.

Но также не проходит пинг в нужную сеть. ПК клиента не знает, через какой шлюз ему идти в сеть за VPNом. Для решения этого вопроса нужно создать статический маршрут в ПК клиента.

1.В командной строке (от имени администратора) вводим:

Находим сетевое соединение относящееся к VPN. Его номер 26.

При каждом новом создании VPN-соединения его номер меняется.

2.Вводим маршрут

192.168.1.0 mask 255.255.255.0 — сеть назначения с маской

192.168.20.1 – IP-адрес VPN-сервера (VPN шлюз)

metric 1 –  метрика

if 26 – номер интерфейса (который определили выше)

-p – сохранение маршрута при перезагрузке ПК.

После этих действий вводим еще раз команду

Видим постоянный маршрут, который означает, что для доступа к сети с IP-адресом 192.168.0.0 (которая за VPN) нужно идти в шлюз 192.168.20.1.

Пинг начинает проходить и доступ к ресурсам в сети расположенной после VPN появляется.

Прохождению пинга могут препятствовать:

-антивирус (добавить сеть в доверенные или приостановить защиту на время настроек)

-брандмауэр Windows (отключить)

-сетевое обнаружение (включить)

-правила firewall в MikroTik (проверить  наличие/отсутствие и расположение).

Удаление маршрута (если понадобится).

8.Подключение VPN соединения.

В нижней правой части экрана клиентского ПК нажимаем на значок сети, выбираем из раскрывшегося списка нужное соединение и нажимаем кнопку «Подключится».

В окне авторизации вводим учетные данные пользователя VPN.

После правильного ввода учетных данных произойдет подключение.  VPN начнет работать.

Как узнать что шифрование IPsec.

В PPP>>Active Connections виден тип шифрования. Если настройка не сработала и шифрование MPPE128 нужно перезагрузить роутер.

Освоить MikroTik Вы можете с помощью онлайн-куса
«Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Netwatch — это инструмент мониторинга заданного хоста через ICMP запросы (ping) с последующим выполнением скрипта в случае его доступности или недоступности.

Освоить MikroTik Вы можете с помощью онлайн-куса
«Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

В нашей ЛВС бывают случаи пропадания электроэнергии. Для оповещения о подобной ситуации в серверной была разработана следующая схема:

— оборудование по доступу в Интернет работает через ИБП, которых хватает на 20мин, после пропадания внешнего электропитания 220В;

— Netwatch мониторит с интервалом 1мин. небольшой неиспользуемый управляемый коммутатор с IP адресом, который включен напрямую в сеть 220В без ИБП;

— при пропадании электропитания пропадает связь в первую очередь с неиспользуемым коммутатором и в течение 1мин. роутер отправляет письмо на электронную почту, еще 5-10 мин. пока админ увидит это письмо и есть еще 10 мин чтоб предпринять какие-либо действия или узнать на какое время пропала электроэнергия. Для более оперативного реагирования можно использовать месенджер-бота. Далее, о том, как это настроено.

Настройка отправки e-mail.

Первоначально требуется настройка электронной почты в MikroTik по этой инструкции.

Настройка Netwatch.

Переходим в Tools >> Netwatch и создаем новое задание.

Host: 192.168.100.250 – сетевое устройство, которое отслеживается.

Interval: 1 сек – период отправки icmp запросов.

Timeout: 1000мсек (1сек) время ожидания ответа – не изменяем.

Вкладка UP.

В поле On Up указываем скрипт, который выполнится при появлении связи с необходимым хостом:

Вкладка Down.

В поле On Down указываем скрипт, который выполнится при пропадании связи с необходимым хостом:

Нажимаем ОК для сохранения настроек.

Через командную строку терминала:

Из скрипта убран кириллический шрифт, т.к. он не воспроизводится в командной строке микротика и некоторые кавычки для читаемости.

При отправке письма на несколько адресов в скрипт нужно добавить:

Отправка сообщения в Вайбер.

Так как у админов в нашей организации служебный Вайбер просматривается почти сразу, после прихода сообщения, решено было подключить его к мониторингу обстановки. Последовательность действий следующая:

1.Активируем Вайбер-Бота на сайте https://wwpager.ru/ (1 бот с одной почтой бесплатно)

На ПК должен быть установлен Вайбер. Ссылка с сайта откроется в Вайбере. После активации бота сообщением /start в ответ прилетит информация с электронной почтой, привязанной к Вайбер-боту вида 123456789@wwpager.ru

Подробное описание на сайте данного сервиса.

2.Указываем полученный адрес в скриптах Netwatch вместо или вместе с основным адресом.

В результате, в нашем случае сообщения приходят в Вайбер и на электронную почту Яндекс. В процессе настроек, ошибки и неудачные попытки отправок сообщений с описанием причины можно отслеживать в логе роутера.

Кроме указанного выше назначения этим способом в нашей ЛВС мониторится множество других сетевых устройств.

Освоить MikroTik Вы можете с помощью онлайн-куса
«Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.