Folk Jižní Ameriky
Satelitní nebe
Tak to bylo
Meteostanice
 | ||||||||||||||
| | ||||||||||||||
| ||||||||||||||
written by Bert Rozenberg powered by Meteohub | ||||||||||||||
Počítadlo přístupů
 | Dnes | 136 |
 | Včera | 489 |
 | Tento měsíc | 7902 |
 | Vše | 299029 |
We have: 1 guests, 2 bots online
Vaše IP:: 38.107.179.210
,
Nyní je: 2012-05-20 08:06
Vaše IP:: 38.107.179.210
,
Nyní je: 2012-05-20 08:06
|
|
Přebudování sítě III.- Mikrotik -RB532
Sobota, 03 Duben 2010 11:54 | 
Napsal uživatel Administrator | Informace o nastavení Mikrotiku jsem hlavně čerpal ze stránek:
http://wiki.hkfree.org/Routerboard
http://wiki.hkfree.org/%C5%BD%C3%A1dan%C3%A9_slu%C5%BEby
http://mikrotik.tlupa.com/ - dost dobré, hodně pomohly
něco i na youtube
http://www.youtube.com/watch?v=4ObiCkjQtLE
http://www.youtube.com/watch?v=0LWKBCXNRps
http://www.root.cz/clanky/mikrotik-seznameni-s-wi-fi-krabickou/
http://mhubacek.bloguje.cz/tema-1-mikrotik.php
http://www.ispforum.cz/
http://wiki.hkfree.org/Routerboard#Omezov.C3.A1n.C3.AD_rychlosti_pomoc.C3.AD_QT/
Stahnul jsem si program WinBox a po zatuhnutí RB se mi hodil i neighbour, kterým jsem se do RB dostal a nemusel jsem použít seriový kabel. Nastavovat RB je dobré jak z Winbox - jednoduché změny, tak z konzole - třeba pro routovací pravidla nebo firewall. Stačí si příkazy naházet do texťáku a copy - paste je dát do new terminálu ve WinBoxu
Z new terminálu hned pro začátek jsem si vyresetoval RB
- /setup
- r reset all router configuration
- potvrdíme, systém se resetuje - admin, prázdné heslo do WinBoxu
Zadat ip adresu ve winboxu na připojené rozhraní ether1 třeba 10.0.2.1/24
Rozhodnul jsem se povýšit verzi z 2.98 na novou 3.3, protože se mi v menu neukazovala CF karta.
Ze stránek Mikrotiku jsem vybral RB serii 500 -> STABLE -> a stahnul ji - Combined package (http). Soubory npk po stažení pomoci funkce drag & drop nebo copy & paste vložím do záložky Files ve WinBoxu -> počkam az se nahraje -> provedu Restart
To samé platí i pro BIOS - soubor s koncovkou .fwf, pak stačí ve WinBoxu New Terminal zadat příkaz routerboard upgrade. Na otázku "Do you really want to upgrade firmware" dát Ano [Y]. Kontrolu aktuální verze zavaděče lze provést pomocí příkazu /system routerboard print.
Pak jsem povypínal některé balíčky ve Files a naopak si dotahnul balíček Dude.
Nadefinoval jsem si a popsal rozhraní pro přehlednost
Obě Wifilanky a Ethernet 1 mám jako Lanku a Wanku mám na ethernetu 2, Eth3 mám vypnutou.
Wifi mám jako AP bridge bez Wep. Při počtu pár lidí mě bude stačit povolit jejich IP adresy
- parametry interface Wireless->interface general mode (AP bridge), SSID, BAND 2.4GHz, frequency (z menu)
- Interface je standardně disablovaný, enablujete nejvyšší úroveň menu modrá fajfka
Po nachytání svých stanic do registration tabulky, je pravým tlačítkem kopíruji do Acces listu a pojmenovávám je. Pak na General záložce odškrtávám Default a tím by se nikdo jiný už na AP neměl přihlásit. Ještě je dobré skrýt SSID Apéčka.
IP adresy
Dá se nastavit DHCPko:
- menu IP->pools->přidat název (pool1) rozsah adres 10.93.58.50-10.93.58.60 (to jsou adresy který mi přiřazuje DHCP, pokud nemám nadefinovaná přes Masguarad IP a MAC)
- pro každý interface, kde mi má fungovat DHCP menu->IP->DHCP server->interface(z menu wlan2), pool (z menu pool1), relay 255.255.255.255 (kvůli parprouted a dhcp-forwarder)
- menu->IP->DHCP server->networks network 10.93.58.0/26, gateway 10.93.58.1 DNS 10.93.58.1
Já nastavuji adresy natvrdo:
- Menu IP-Address->Add (plus) adresa ve tvaru 10.0.1.1/24 a z menu interface
- Gateway IP->router (Add) …
mohl bych všechny rozhraní ETh1, Wlan1,2 dát do bridge, ale volím různé podsítě, prý je to lepší ??
Eth1 - 10.0.1.1./24
Wlan1 - 10.0.1.2/24
Wlan2 -10.0.1.3/24
Eth2 je Wanka do providera, tj přiřazená adresa 172.21.28.5/24
Nastavení DNS providera
- menu IP->DNS->settings primary DNS 10.93.0.1 secondary DNS 10.93.0.2, allow remote requests
Nastavení protunelovaní webserveru pres firewall, jeho adresa je 10.0.1.5
zkopírováním příkazu do new terminálu
/firewall/nat
add action=dst-nat chain=dstnat comment="" disabled=no dst-address=\
172.21.28.5 dst-port=80 protocol=tcp to-addresses=10.0.1.5 to-ports=\
80
SNMP
Pro statistiky CACTI a Dude se musí zapnout SNMP
V menu SNMP dáme přidat (add), zvoléme jméno (standartně "public") a Read access zaškrtnout. V settings zaškrtneme Enabled, vyplnit e-mail a do Location například jméno AP-Mikrotik
NTP (synchronizace času)
- menu->systém->clock nastavím timezónu na Prahu
- příkaz
/system ntp client
set enabled=yes mode=unicast primary-ntp=195.113.144.201 secondary-ntp=\
81.0.237.209
Nastavení jména
- menu systém->identity->nějaké jméno routeru AP-Mikrotik
Změním si heslo
- menu system users->password
Script pro MikroTik - Jak se bránit spammování a zneužívání SMTP
Pravidla vloz pres terminal do / ip firewall filter
Rozesílání nevyžádáné pošty a zneužívání SMTP je možné se bránit asi takto :
add chain=forward protocol=tcp dst-port=25 src-address-list=spammer action=drop
add chain=forward protocol=tcp dst-port=25 connection-limit=10,32 limit=50,5 add action=add-src-to-address-list address-list=spammer address-list-timeout=2h
Jen připomínám že:
Pro SMTP se využívá port 25 a pro POP3 port 110
Jak ukládat log v soubory
Níže uvedeným řádkem můžeme všechny logy ukládat... přes terminál vložíme:
/system logging action add name=file target=disk disk-file-name=log
Pak vložte:
/system logging action=file
Pokud chcete zapisovat jen chybové hlášky (error) - vložíme:
/system logging topics=error action=file
Pokud jsou je k dispozici USB blesk i USB1 lze dát:
/system logging action add name=usb target=disk disk-file-name=usb1/log
IP accounting statistika, abych veděl kolik kdo kopíruje)
- menu ip->accounting->settings enable accounting threshold 1000 (kolik spojení)
- menu ip->accounting->web access->accessible from web 10.93.1.221
zvětšení logu
- menu systém logging->action memory lines 300
http://wiki.hkfree.org/Routerboard
http://wiki.hkfree.org/%C5%BD%C3%A1dan%C3%A9_slu%C5%BEby
http://mikrotik.tlupa.com/ - dost dobré, hodně pomohly
něco i na youtube
http://www.youtube.com/watch?v=4ObiCkjQtLE
http://www.youtube.com/watch?v=0LWKBCXNRps
http://www.root.cz/clanky/mikrotik-seznameni-s-wi-fi-krabickou/
http://mhubacek.bloguje.cz/tema-1-mikrotik.php
http://www.ispforum.cz/
http://wiki.hkfree.org/Routerboard#Omezov.C3.A1n.C3.AD_rychlosti_pomoc.C3.AD_QT/
Stahnul jsem si program WinBox a po zatuhnutí RB se mi hodil i neighbour, kterým jsem se do RB dostal a nemusel jsem použít seriový kabel. Nastavovat RB je dobré jak z Winbox - jednoduché změny, tak z konzole - třeba pro routovací pravidla nebo firewall. Stačí si příkazy naházet do texťáku a copy - paste je dát do new terminálu ve WinBoxu
Z new terminálu hned pro začátek jsem si vyresetoval RB
- /setup
- r reset all router configuration
- potvrdíme, systém se resetuje - admin, prázdné heslo do WinBoxu
Zadat ip adresu ve winboxu na připojené rozhraní ether1 třeba 10.0.2.1/24
Rozhodnul jsem se povýšit verzi z 2.98 na novou 3.3, protože se mi v menu neukazovala CF karta.
Ze stránek Mikrotiku jsem vybral RB serii 500 -> STABLE -> a stahnul ji - Combined package (http). Soubory npk po stažení pomoci funkce drag & drop nebo copy & paste vložím do záložky Files ve WinBoxu -> počkam az se nahraje -> provedu Restart
To samé platí i pro BIOS - soubor s koncovkou .fwf, pak stačí ve WinBoxu New Terminal zadat příkaz routerboard upgrade. Na otázku "Do you really want to upgrade firmware" dát Ano [Y]. Kontrolu aktuální verze zavaděče lze provést pomocí příkazu /system routerboard print.
Pak jsem povypínal některé balíčky ve Files a naopak si dotahnul balíček Dude.
Nadefinoval jsem si a popsal rozhraní pro přehlednost
Obě Wifilanky a Ethernet 1 mám jako Lanku a Wanku mám na ethernetu 2, Eth3 mám vypnutou.
Wifi mám jako AP bridge bez Wep. Při počtu pár lidí mě bude stačit povolit jejich IP adresy
- parametry interface Wireless->interface general mode (AP bridge), SSID, BAND 2.4GHz, frequency (z menu)
- Interface je standardně disablovaný, enablujete nejvyšší úroveň menu modrá fajfka
Po nachytání svých stanic do registration tabulky, je pravým tlačítkem kopíruji do Acces listu a pojmenovávám je. Pak na General záložce odškrtávám Default a tím by se nikdo jiný už na AP neměl přihlásit. Ještě je dobré skrýt SSID Apéčka.
IP adresy
Dá se nastavit DHCPko:
- menu IP->pools->přidat název (pool1) rozsah adres 10.93.58.50-10.93.58.60 (to jsou adresy který mi přiřazuje DHCP, pokud nemám nadefinovaná přes Masguarad IP a MAC)
- pro každý interface, kde mi má fungovat DHCP menu->IP->DHCP server->interface(z menu wlan2), pool (z menu pool1), relay 255.255.255.255 (kvůli parprouted a dhcp-forwarder)
- menu->IP->DHCP server->networks network 10.93.58.0/26, gateway 10.93.58.1 DNS 10.93.58.1
Já nastavuji adresy natvrdo:
- Menu IP-Address->Add (plus) adresa ve tvaru 10.0.1.1/24 a z menu interface
- Gateway IP->router (Add) …
mohl bych všechny rozhraní ETh1, Wlan1,2 dát do bridge, ale volím různé podsítě, prý je to lepší ??
Eth1 - 10.0.1.1./24
Wlan1 - 10.0.1.2/24
Wlan2 -10.0.1.3/24
Eth2 je Wanka do providera, tj přiřazená adresa 172.21.28.5/24
Nastavení DNS providera
- menu IP->DNS->settings primary DNS 10.93.0.1 secondary DNS 10.93.0.2, allow remote requests
Nastavení protunelovaní webserveru pres firewall, jeho adresa je 10.0.1.5
zkopírováním příkazu do new terminálu
/firewall/nat
add action=dst-nat chain=dstnat comment="" disabled=no dst-address=\
172.21.28.5 dst-port=80 protocol=tcp to-addresses=10.0.1.5 to-ports=\
80
SNMP
Pro statistiky CACTI a Dude se musí zapnout SNMP
V menu SNMP dáme přidat (add), zvoléme jméno (standartně "public") a Read access zaškrtnout. V settings zaškrtneme Enabled, vyplnit e-mail a do Location například jméno AP-Mikrotik
NTP (synchronizace času)
- menu->systém->clock nastavím timezónu na Prahu
- příkaz
/system ntp client
set enabled=yes mode=unicast primary-ntp=195.113.144.201 secondary-ntp=\
81.0.237.209
Nastavení jména
- menu systém->identity->nějaké jméno routeru AP-Mikrotik
Změním si heslo
- menu system users->password
Script pro MikroTik - Jak se bránit spammování a zneužívání SMTP
Pravidla vloz pres terminal do / ip firewall filter
Rozesílání nevyžádáné pošty a zneužívání SMTP je možné se bránit asi takto :
add chain=forward protocol=tcp dst-port=25 src-address-list=spammer action=drop
add chain=forward protocol=tcp dst-port=25 connection-limit=10,32 limit=50,5 add action=add-src-to-address-list address-list=spammer address-list-timeout=2h
Jen připomínám že:
Pro SMTP se využívá port 25 a pro POP3 port 110
Jak ukládat log v soubory
Níže uvedeným řádkem můžeme všechny logy ukládat... přes terminál vložíme:
/system logging action add name=file target=disk disk-file-name=log
Pak vložte:
/system logging action=file
Pokud chcete zapisovat jen chybové hlášky (error) - vložíme:
/system logging topics=error action=file
Pokud jsou je k dispozici USB blesk i USB1 lze dát:
/system logging action add name=usb target=disk disk-file-name=usb1/log
IP accounting statistika, abych veděl kolik kdo kopíruje)
- menu ip->accounting->settings enable accounting threshold 1000 (kolik spojení)
- menu ip->accounting->web access->accessible from web 10.93.1.221
zvětšení logu
- menu systém logging->action memory lines 300
Poslední fota
Poslední články
- Nightwish v Praze
- Reklamace Asus a Lenovo
- Chlapecký sklípek II
- Xda Orbit
- Meteostanice dokončena
- Plastic People ve Sklepě
- Pingulux Spark 1.2.45
- Mafia night
- Únorové změny na saťáku
- Světáci
- Václav Neckář v divadle
- Městský ples Pelhřimov
- Myslivecký ples Dubovice
- kód chyby 0x80070570
- Cacti grafy bez přihlášení
Návštěvní kniha
Žádný vzkaz!