PCROUTER.RU
20.10.2017
 
Показать корзину
Ваша корзина пуста.
 
 
Google
Авторизация





Забыли пароль?
Вы не зарегистрированы. Регистрация
 
Навигация: Главная arrow Статьи arrow RouterOS Mikrotik-мечта сисадмина
RouterOS Mikrotik-мечта сисадмина Версия для печати Отправить на e-mail
Оглавление
RouterOS Mikrotik-мечта сисадмина
Страница 2
Страница 3

Приступим к установке

Хочу обратить внимание, что устанавливать мы будем версию 2.8.24. Cо времён Mikrotik 2.8. процесс инсталляции системы ничуть не изменился, разве что появились некоторое количество дополнительных пакетов.

Всего разработчиками было реализовано четыре способа установки:

  • установка с дискет;
  • установка с CD;
  • смешанная установка(с дискет+по сети);
  • полная сетевая установка(нужна сетевая карта с возможностью загрузки по сети PXE).

Для того, чтобы узнать систему с ней нужно поработать. Попытаемся установить и сделать следующую типовую настройку:

  1. нам нужно подключиться к провайдеру интернет-услуг с помощью протокола PPTP;
  2. создать VPN-сервер;
  3. настроить FireWall и дать возможность выхода клиентам через наш сервер в интернет.

Рассмотрим установку с CD, так как она является большинстве случаев наиболее простой.

Для создания загрузочного компакта нужно скачать ISO-файл и записать его на диск, что мы можем сделать с помощью одной из программ для записи дисков. После этого идём в BIOS, ставим там загрузку с CD и перезагружаем компьютер. Вот что предстанет перед нами после 30 секунд шуршания в CD-ROM`е.

Установка системы

И тут сразу проясняется несколько вещей по поводу минимальных требований к аппаратному обеспечению. При загрузке система инициализирует Linux-ядро, cледовательно вся система ни что иное, как очередной Linux-based дистрибутив, позиционирующийся как роутерная операционная система. Отсюда и Pentium 166 и ему подобное оборудование, на которое современная операционная система с такими возможностями попросту не встала бы. Интересным, однако, является тот факт, что разработчики, воспользовавшись ядром, не выложили его изменённую версию, чего требует лицензия GPL. Оставим это на их совести.

После начальной стадии установки система предлагает пользователю выбрать пакеты.

Выбор пакетов

Сказать, что разработчики не стали усложнять жизнь пользователю - ничего не сказать. Да и сама установка лишена неудобств и проблем. Выбираем всё, что нам может понадобиться и нажимаем на клавиатуре клавишу "i". 

Внимание!!! Если у вас в системе несколько дисков, то нужно отключить все, кроме того, на который будет установлена система. В противном случае вам грозит форматирование первого попавшегося диска и установка системы именно на него.

Дальше программа спросит производить ли форматирование жесткого диска и оставить ли старые конфигурационные файлы. Последняя опция необходима, если у вас уже была установлена старая версия операционной системы и вы решили её обновить не потеряв при этом настроек.

В большинстве случаев установка не вызывает трудностей, поэтому сразу перейдём к настройке установленной системы. Для доступа к серверу можно использовать следующие средства:

  • Локальная терминальная консоль - в двух словах некое подобие shell в Linux-системах на экране компьютера с ОС Mikrotik. В некоторых случаях является единственным способом добраться к серверу;
  •  Последовательный порт - вы можете подключиться к серверу, используя последовательный COM-порт со следующими настройками:скорость порта 9600 bit/s, 8 бит данных, 1 стоп бит, аппаратное управление потоком (RTS/CTS);
  • Доступ по Telnet – возможен доступ по протоколу telnet на стандартный 23 TCP-порт;
  • Доступ по SSH – доступ по SSH (secure shell) на стандартный 22 TCP (доступно при установке пакета "security");
  • MAC Telnet – возможен доступ по MikroTik MAC Telnet протоколу;
  • Winbox - Winbox графическая утилита, для работы с сервером. Обладает всеми необходимыми функциями и простым интерфейсом, что делает её незаменимым помощником. Работает на 8290 TCP-порту (или на 8291 если установлен пакет "security").

Первоначальная настройка производится с помощью локальной терминальной консоли и со времён Mikrotik 2.8 не претерпела никаких изменений.

Установленная система

Для облегчения задачи разработчики позаботились о написании скриптовой утилиты setup, которая поможет настроить сетевые интерфейсы.

Работа программы setup

Отметим лишь, что достаточно настроить один интерфейс и назначить ему IP-адрес, чтобы продолжить конфигурирование в графическом режиме с помощью утилиты Winbox.

Winbox

Winbox, графическую утилиту для конфигурации сервера, можно скачать на сайте производителя или непосредственно набрав в браузере http://адрес.вашего.нового.сервера и выбрав соответствующий пункт на странице.

Вкратце опишем основные изменения в интерфейсе Winbox по сравнению с версией 2.8.

 

Внешний вид Winbox

Первое, что бросается в глаза-отсутствие иконок как в старой версии программы и появление новых пунктов меню:

  • Bridge;
  • Make Support.rif;
  • Manual.

В версии дистрибутива 2.9, разработчики решили сгруппировать все настройки по работе с мостами в один пункт. Так же появилась генерация отчётов о состоянии системы в технологическом формате и пункт со справкой, которая никогда не будет лишней.

Вызывает интерес и новый стиль оформления как диалогов, так и элементов управления.

Новый интерфейс

Теперь группы опций можно удобно сворачивать. Учитывая то, что их заметно прибавилось со времён 2.8, эта функция оказалась весьма и весьма кстати. Также появилась возможность задавать диапазоны IP-адресов вида 192.168.2.20-192.168.2.81. В новой реинкорнации Winbox появилась кнопка "Remove", с помощью которой можно не закрывая окно удалить правило/аккаунт и кнопка "Copy". Понравилась добавленная возможность масштабирования окна с графиками в вертикальном направлении. Ещё одна приятная возможность-сохранение открытых окон.

В целом изменения в интерфейсе можно считать удачными. Из неудобств можно отметить отсутствие уже привычных иконок в меню и незначительные "подтормаживания" при открытии некоторых пунктов меню.

Перейдём к более детальной настройке нашей RouterOS, по ходу отмечая отличия версий 2.8 и 2.9.

Для начала настроим второй сетевой интерфейс, который у нас остался без IP-адреса. Сделаем это с помощью пункта меню IP->Addresses, предварительно проверив в  "Interfaces", определилась ли вторая сетевая карта.

IP-адреса

В случае, если она не определилась, попробуйте вручную загрузить нужный драйвер, воспользовавшись терминальной консолью.  По опыту отметим, что нормально определяются все Realtek на чипах RTL8139/8029, 3c50x, и некоторые ISA-карты. Ничего другого в руки не попадало, но в списке поддерживаемых чипов есть почти все современные. От себя можем посоветовать не брать слишком навороченные сетевые карточки. Вполне возможно, что в 12 MB дистрибутива к ним может не оказаться драйверов.

Создадим PPTP подключение к провайдеру услуг Интернет, щёлкнув пункт меню Interfaces и выбрав в выпадающем списке по нажатии на кнопку "+" пункт PPTP Client. Заполняем все необходимые поля, выбираем будет ли интерфейс использоваться шлюзом по умолчанию и нажимаем кнопку "OK". Если всё введено правильно - подключение заработает в чём вы сможете убедиться два раза кликнув на нём и перейдя на вкладку "Traffic".

Мониторинг трафика

Возможность мониторинга проходящего трафика - очень важная функция, базовые аспекты которой здесь неплохо реализованы.

В версии дистрибутива 2.9 можно наблюдать за загрузкой интерфейсов  с помощью веб-браузера. Доступны графики загрузки за последний час, за день, за месяц и год. Для их просмотра достаточно набрать в адресной строке http://адрес.вашего.нового.сервера/, в нашем случае http://192.168.3.44/,  и выбрать соответствующий пункт на странице приветствия.

Мониторинг через WEB

Так как Winbox отображает статистику только за несколько последних минут, функцию сложно не назвать полезной.

Следующим шагом нужно дать пользователям возможность подключаться к нашему новому серверу по протоколу PPTP. Для этого нужно включить PPTP Server в пункте меню "PPP", нажав на кнопку PPTP Server и установив флажок возле поля "Enabled". Остальные поля можно не трогать, так как в них указаны принятые параметры по умолчанию.

Настройки PPTP сервера

Теперь создадим один аккаунт для доступа к нашему серверу по VPN. Для этого нужно перейти на вторую закладку "Secrets" и нажав на кнопку со значком "+" в появившемся окне заполнить все поля. Подробнее остановимся на полях Local Address и Remote Address. После подключения клиента он получит адрес, указанный в первом поле, а сервер - указанный во втором. В нашем случае пускай это будут адреса 10.10.0.1 (сервера) и 10.10.0.2 (клиента).

Создание аккаунта клиента

Теперь перейдём к настройке Firewall. Складывается такое впечатление, что в его основе лежит всем известный Iptables, а всё остальное - просто скрипты, которые добавляют и удаляют правила в соответствии с действиями пользователя. Как бы то ни было, Firewall обладает огромным количеством функций, которые порой не под силу аппаратным решениям среднего уровня. Про отличия от версии 2.8 говорить не будем, так как их очень много. Начиная от изменений в интерфейсе (группировка схожих задач) и заканчивая огромным количеством появившихся новых возможностей.

Здесь не будем касаться настроек Firewall, отвечающих за безопасность, так как это отдельная глава хорошей книги, а просто вкратце пройдёмся по нужным правилам. Итак, нам нужно:

  1. запретить форвардинг (пересылка пакетов между интерфейсами);
  2. разрешить маскардинг нужных адресов на интерфейс, по которому мы получаем доступ в интернет;
  3. запретить широковещательные рассылки на порты 137-139, 445 для фильтрации нежелательного трафика.

Для (1) открываем пункт IP->Firewall. Переходим на первую вкладку и выбираем справа в выпадающем меню цепочку Forward. Потом добавляем правило, в котором указываем, что по умолчанию форвардинг для адреса 0.0.0.0 с такой же маской запрещён (Действие DROP на закладке ACTION). Стоит помнить, что Forwarding по-умолчанию  всегда включен так же, как и все другие правила файервола. Другими словами ничего не запрещено.

Для (2) переходим на вкладку NAT и добавляем правило в котором говорим, что для IP  адресов наших клиентов 10.10.0.0/32 (вся сеть) на интерфейс INTERNET нужно делать "masquerade".

Для (3) нужно создать  правила в которых указать, что ко всему трафику, который идёт на TCP/UDP порты 137-139, 445 нужно применить DROP или REJECT.

Если вы всё сделаете правильно, то пользователь сможет без проблем подключиться к вашему серверу по протоколу VPN (PPTP) и получить доступ к ресурсам, предоставляемым провайдером Internet. Всё остальное (QoS, HTTP Proxy и пр.) не составит труда для профессионала, а новичкам можно посоветовать обратиться на наш форум за помощью.

При наличии определённой сноровки установка и настройка сервера заняла 20 минут.



 
< Пред.   След. >

PCROUTER.RU © 2017