Mikrotik od podstaw cz. 3. Klient DHCP, NAT, firewall, Wi-Fi
Вставка
- Опубліковано 20 лип 2024
- Trzeci film z serii Mikrotik od zera, w którym pokazuję czym jest bridge, jak dodać do niego porty, jak ustawić adres IP routera oraz skonfigurować serwer DHCP na routerze.
Pierwsza część filmu: • Mikrotik od podstaw cz...
Druga część filmu: • Mikrotik od podstaw cz...
Chcesz wesprzeć moją twórczość? Postaw mi kawę: buycoffee.to/techglobuz
0:00 Wprowadzenie
0:43 Różne opcje dostępu do internetu
1:35 Klient DHCP, opcje i default route
3:27 Tabela routingu, główna brama itp.
6:17 Sukces, router ma dostęp do internetu
7:53 Wyjaśnienie czym jest NAT
8:52 Prywatne pule adresów IP
11:00 Znowu o NAT
13:07 Konfiguracja NAT na Mikrotiku
14:40 Listy interfejsów, podział na LAN i WAN
15:50 Uwagi na temat niebezpieczeństwa nieskonfigurowania firewalla na routerze
17:10 Contrack, konfiguracja DNS i cache DNS
19:28 Konfiguracja firewall
24:41 Fast track
26:42 Kolejne reguły firewall
29:20 Konfiguracja MAC server
30:12 Podstawowa konfiguracja Wi-Fi
34:32 Drobny błąd w konfiguracji, który całkiem odciął dostęp do internetu
35:30 Podsumowanie - Наука та технологія
Najlepsza seria o Mikrotiku jaką widziałem. Szacun, że dzielisz się zdobytą wiedzą i to jeszcze w tak przestępny sposób.
Już ostatnio pisałem, że świetna seria, więc tylko powtórzę, żeby algorytm UA-cam'a wiedział :)
Rewelacyjnie rozjaśniasz mroczne zakamarki świata IT. Dla mnie bomba, pozdrawiam
Za te poradniki, mikrotik mógłby coś ci podesłać 😉
Cykl mega
Liczę na kolejne odcinki, nawet te w formie dłuższych filmów gdzie opowiadasz o każdej sekcji i ich zakładkach bardziej szczegółowo,
Np. sekcja ppp i wszystkie zakładki i możliwe opcje do zaznaczenia, wybrania etc.
Po co one, dlaczego, do czego się odnoszą i jakie to będzie miało przełożenie na pracę. Myślę, że jako były ISP będziesz miał spore odniesienie do tego co spowoduje wybrana opcja popierając to doświadczeniem, a niżeli to co napisał mikrotik w manualu RouterOS
W manualu na pewno będzie to wyjaśnione bardziej lub mniej zrozumiale (odnosząc się do konkretnej pozycji) ale Twoje filmy mega fajnie się ogląda, merytoryczny zasób przekazywanej wiedzy na wysokim poziomie (odnoszę się do innych filmów z testów etc) więc z niecierpliwością czekam na kolejne.
Oczywiście łapka jak pod każdym odcinkiem, do następnego 🤠
Super film, czekam na film o VLANach i przykładowym setupie uwzględniającym sieć IoT i dobrymi praktykami do managementu.
Taką ciekawostką się podzielę mam sporo urządzeń różnych tuya rejestratory esp smart żarówki itp. Oczywiście oddzielenie vlan itp.. I ile tego badziewia chce skorzystać nie z dhcp ustawionego DNS itp.. po tym co ci producenci wciskają nauczyłem się żeby to sprawdzać i ustawiać na zasadzie white list dla dozwolonych IP. Mikrotik ładnie pozwala w swojej prostocie na to. Dzięki za materiał !
Super film!!! Ogladam dalej i - wspominam :)
No no proszę, ale się rozwinąłeś :D Dwa filmy w jeden weekend
Robi się z tego super seria. Niech algorytm to wie!
Film petarda 😊 Prosze o wiecej zwlaszcza ze jest co Tam wyjasniac I opisywac. Dzieki za wszystko co robisz mega robota.
Super meteriał!
Nooo i kolejna wielka piguła wiedzy - bardzo treściwy materiał i z niecierpliwością czekam na kolejne części. Kanał PETARDA 🤩
Dla początkujących bardzo dobry tut
Mam jakiś CRS326 od miktorika nieużywany leży od 2 lat wiec w końcu będę mógł go użyć. Do tej pory jechałem na EdgeRouterach.
Bardzo wartościowy materiał o MT. Polecam.
Dzięki
*_Super.Czekam na kolejną część_*
Super materiał. Czekam na kolejną część. Pozdrawiam.
Wspaniała seria filmów! Dobra robota!
Cześć,
Czekamy na odcinek o firewallu :) Dzięki!
Super seria. Tak trzymaj! Czekam na odcinek o konfiguracji RoaS z VLAN i CAPsMAN v2 na ac :)
Bardzo pomocny materiał!
genialne!
Wow, ustawienia firewall wyjaśniłes i je złapałem!!! W mojej opinii posługiwanie się regulami jedna z trudniejszych spraw w IT. Stokroć dzięki.😊
Firewalla ledwo liznąłem w tym materiale i tak naprawdę nic nie wyjaśniłem. Jedyne co, to powiedziałem, że reguły działają po kolei. Będzie cały osobny materiał o firewallu, a i tak będzie bardzo po łebkach, bo firewall ma pierdyliard opcji i możliwości.
@@TechGlobuz ależ tego mi brakowało, a reguł prawie nie zmieniałem, nawet przekierowania portów robiłem przez przyjrzenie się quickset. Przesiadam się z ubiquity i jego www, a interfejs cli w sprzętach dla IT to wyższa szkoła jazdy , a powiedzmy sobie szczerze okienka winboxa to cli tylko z użyciem myszki. Btw: Może wiesz o co chodzi z zakazem używania quickset'a i poleceń równolegle - mówią albo jedna droga albo druga ustawiaj?
@@apruszko Quickseta powinno się użyć jednorazowo, na czystej konfiguracji. Jak potem wprowadzisz jakieś swoje zmiany w konfiguracji, i znów użyjesz quickseta, to quickset może namieszać i nie będziesz wiedzieć gdzie namieszał.
Dropuj wszystkich inwalidów :P
Szkoda że tak długo każesz czekać .
Mam dwie lokalizacje i w obu są mikrotiki. Jedna stacja ma stałe IP i jest widoczna w internecie, natomiast druga jest za NAT Neostrady. Możesz zaproponować sposób połączenia obu mikrotików tunelem, żeby lany z każdego mikrotika mogły połączyć się z tym drugim? Nie chodzi mi o konkretną konfigurację, ale raczej o koncepcję, jakich protokołów użyć, może jakieś nie oczywistości, na które trzeba zwrócić uwagę. Dzięki.
Akurat ostatnio jakoś zacząłem myśleć o zmianie OPNsensa na CHR i spadłeś mi z nieba :D OPN mnie rozleniwił bo domyślnie od razu wycina/konfiguruje firewalla/NATa i niczego nie musiałem konfigurować. No jedynie zrozumieć logikę FW a z tym jest różnie bo akurat nie siedzę w sieciach :D Natomiast widzę, że CHR, w przeciwieństwie do RouterOS, nie ma żadnej domyślnej konfiguracji co po części ma sens bo to rozwiązanie raczej celowane w rozwiązania chmurowe. Jeżeli mogę coś zasugerować to pomyśl o VLANach razem z konfiguracją firewalla, np. połączenie pomiędzy LAN i VLAN zablokowane, możliwość połączenia się tylko z LAN do VLAN, blokada/wyjątki do połączenia z siecią w VLANie. A sugeruje to tylko dlatego, że wielu z nas ma urządzenia IOT i fajnie by było móc to jakoś kontrolować. Poleciał sub :)
Planujesz tutorial konfiguracji wireguard na mikrotik ?
👍🏻
Witaj. Dzięki twoim filmom kupiłem pierwszego w życiu Mikrotika. Wybór padł na hAP ax3, oczywiście nówka. Skonfigurowałem wszystko dokładnie według twojego poradnika. Wszystko działa poprawnie, jednak jest problem z prędkością downloadu w speedteście. Mam łącze z Vectry 900Mb/70Mb. Poprzednio używałem starego routera TP LINK Archer C2 i osiągał on po skrętce pełne 900Mb/70Mb. Wiadomo czasami było sporo mniej np 700Mb ale nocami czy nad ranem udawało się dobić przeważnie powyżej 850Mb, czasami pełno 900Mb. Na mikrotiku wyciągam w speedteście maksymalnie 700Mb, czasami spada do 500Mb. Wiadomo nie jest mi potrzebna tak duża prędkość jednak jest to mocniejszy router więc w teorii powinien dawać radę tak samo jak ArcherC2. Masz jakiś pomysł gdzie szukać przyczyny problemu.
Dziwne. On powinien robić gigabit nawet bez fasttracka, a domyślna konfiguracja jest z fasttrackiem. Jak testowałem ax2 (czyli słabszy model), to sąsiadowi po radiu na telefonie z Wi-Fi 6 wyciągał ponad 800 Mbit.
Można sprawdzić prędkość połączenia do mojego domowego routera Vectry żeby sprawdzić ile faktycznie wyciąga tu w domowej sieci?
przy okazji firewalla można wspomnieć o tablicy RAW , która stoi wyżej niż firewall. Tablica RAW doskonale służy do obrony ddos oraz przed zapytaniami DNS z netu. Przetwarzanie wpisów z firewall jest wykonywane przez procesor. A co za tym idzie gdy idą zapytania ( ddos czy dns) procek się męczy. Wpisy w RAW są odrzucane juz na porcie i procek nie bierze udziału.
Z firewall trzeba uważać. Pracuję za granicą. W mojej domowej sieci LAN pracuje router od ISP. Mam tak go skonfigurowanego, że z zewnątrz nie można się dostać do sieci lokalnej (na pewno nie jest to trywialne zadanie). Jednak ja wchodzę po VPN. Kilka dni temu chciałem coś pozmieniać w jego firewall-u i popełniłem błąd blokując porty LAN na domową sieć. Po kliknięciu save było już za późno i nawet wiedząc co jest nie tak już nie mogłem nic zrobić. Efekt był taki, że rodzina kilka dni nie miała netu a budżet uszczuplił się o 150 pln za przyjazd serwisanta... Sam bym to zrobił ale dopiero po powrocie do Polski o czym rodzina nie chciała słyszeć 😉
Dlatego safe mode klika się ZANIM rozpocznie się pracę we wrażliwej części konfiguracji :) Wtedy po zarwaniu połączenia Mikrotik automatycznie przywróci konfig do poprzedniej działającej konfiguracji.
@@TechGlobuz niestety router to jakiś D-Link i takich bajerów w nim nie zauważyłem
Przejebane jak rodzina Cie nie chce widzieć ;P
@@wt761 tego nie powiedziałem i oni też tak nie myślą
@@marcinwachcinski1096 Żarcik to był ;) pozdrawiam
Proszę na zakończenie, tzn. po tym jak mówisz "cześć" dodaj chwilę muzyczki nawet na czarnym tle, czy czegokolwiek innego aby w tym czasie można było np. cofnąć film, otworzyć komentarze itp..
Nie zostawiaj nas na cały miesiąc. ;-)
Witam, chcę zakupić router mikrotika bądź switch ( na 20 portów)do którego będzie podpięte 15 routerów (domków) z których już będą korzystać goście. Pytanie brzmi jak ustawić limit stały do 30Mb transferu na każdy router.?
Czy możesz poinstruować skonfigurowanie dostępu do internetu poprzez statyczny IP z anteny Mikrotik ATL, który przykładowo podłączony jest nie do portu 1 (tutaj jest NAS) a do portu 8.
W skrócie: localhost nas na razie nie obchodzi bo w kwestii konfigurowania RouterOS jest on nieistotny, a dopiero zacznie być ważny przy self hostingu.
Tłumaczysz chyba lepiej jak miałem na kursie stacjonarnym (i zapomniałem)... zastanawiam się czy są jakieś diagramy pokazujące jak skonfigurować mikrotika dla konkretnego standardowego zastosowania?
Raczej nie ma czegoś takiego. Najlepiej bazować na własnej wiedzy, doświadczeniu, tutorialach i dokumentacji Mikrotika. Mikrotik często publikuje sensowne przykłady jak coś skonfigurować. Do tego są też prezentacje z MUM-ów.
A jeśli mamy statyczny adres WAN to nie lepiej w NAT zamiast masquerade zastosować src-nat? Pytanie czy Src-nat będzie miał lepszą wydajność? Kiedy wykonujesz NAT typu masquerade, router musi sprawdzić aktualny adres interfejsu NAT dla każdego połączenia przed wykonaniem NAT, więc ma to pewien wpływ na procesor. Chyba, że są to pomijalne wartości obciążenia.
Wg dokumentacji masquerade rożni się tylko tym, że IP jest brane dynamicznie z interfejsu i że w razie zerwania linka contrack jest czyszczony. W wydajności nie powinno być różnicy.
Czy będzie materiał o VPN? Na ten moment mam u siebie L2TP/IPSec, ale jest on już niedostępny w nowszych wersjach Androida. Chciałbym mieć jak obecnie dostęp natywny w Windows i Android.
Natywnego w androidzie już nie będziesz mieć. Trzeba apkę zainstalować. WireGuard, OpenVPN, albo (w ostateczności) coś do SSTP.
A IKEv2/IPSec PSK? Rzucam hasło, ale nie wiem co się z tym łączy i jak.
@@gregoryko7076 Nie wiem co jest w nowych telefonach. Mi się WG i OpenVPN na telefonie bardzo dobrze sprawdzają, za wyjątkiem jednej lokalizacji, gdzie wycinają wszystko. Tam daje radę tylko SSTP.
L2TP chyba od Androida 13 już jest wyłączony. Ale przeszedłem na WireGuard i konfiguracja jest prosta i bardzo dobrze to działa ;)
bedzie konfiguracja wave2?
Będzie. Jest na liście tematów do omówienia. Polecam zagłosować w ankiecie, która jest w poście na kanale.
Zrobiłem wszystko zgodnie z poradnikiem, sprawdziłem 3x, ale DHCP Client utknął na “Sesrching…”, jakiś pomysł gdzie może być problem?
Naturalnie ping rzuca timeouty, więc na routerze nie ma dostępu do internetu.
Jak konfiguruje router używając quick seta to wszystko jest ok
A to bardzo dziwne. Nie spotkałem jeszcze takiego przypadku. Klient DHCP powinien po prostu działać, jak ustawiony jest na dobrym porcie i firewall czegoś nie wycina.
@@TechGlobuz okazuje się że prawdopodobnie ISP ma jakiś filtr na adresy MAC.
Korzystałem wcześniej z innego routera, teraz chciałem podpiąć mikrotika i od niego poprowadzić 2 osobne routery.
Quickset okazał się mylący, bo ustawiłem mikrotika na tryb bridge, i dostęp do internetu był tylko na tym jednym routerze co było już jakąś wskazówką.
Skopiowałem więc adres MAC z tego routera i ustawiłem go na mikrotiku w trakcie ustawiania sieci w quicksecie, teraz hula.
Co prawda nie wiem jeszcze czy nie będę miał jakichś problemów z konfliktami w przyszłości, ale ważne że działa, a teraz muszę i tak wszystko zaorać żeby ustawić na nowo bez użycia quick seta.
Czy Ether1 może mieć własny serwer DHCP a np Ether2 miedź oddzielny ?
Może. Na Mikrotiku da się bardzo wiele rzeczy skonfigurować oddzielnie.
U mnie odcina dostęp do routera przez Winbox jak ustawię w "MAC Winbox Serwer" sieć o nazwie "LAN" czyli porty w bridge na których mam skonfigurowane VLAN'y. Jeśli na tych portach nie mam VLAN'ów to reguła działa. Nie wiem jak to ugryźć.
Dodałeś te VLAN-y do listy interfejsów LAN?
@@TechGlobuz coś namieszałem, dopiero zaczynam się uczyć Mikrotika, mam hAP ac3. Jak nalepiej tworzyć vlany na nim? Tworząc osobny bridge do każdego vlanu czy jeden bridge z opcją vlan filtering? Zrób proszę następny podcast z vlanami i omówieniem różnych przypadków.
Czy istnieje możliwość konfiguracji urządzeń MIKROTIK poprzez konsolę SSH/TELNET jak w CISCO?
Tak. W pierwszym odcinku serii pokazywałem, że można się połączyć przez SSH.
@@TechGlobuz Dziękuję, już sprawdziłem! Zawsze warto zobaczyć coś nowego. Mikrotiki nie są popularne, edukacja w znakomitej większości opiera się na sprzęcie CISCO.
kiedy kolejna czesc? :)
Tak jak zapowiedziałem w pierwszym filmie: Kolejne części będą co 3-4 tygodnie.
Ten cache może być problematyczny.. bo jakby ktoś chciał utrudnic zycie to można spowolnić router duża ilością zapytań poprzez użycie np.kali
Wytłumacz mi jak można zaatakować cache DNS, jak są odpowiednie wpisy w firewallu, zabezpieczające przed dostępem z zewnątrz? Jedyne przypadki ataków o jakich słyszałem to takie, gdzie ktoś miał niezabezpieczony router.
@@TechGlobuz nie wiemy kto podłączy się do naszej sieci, więc jak będzie to osoba ze złymi zamiarami, to przy dużej ilości zapytań do DNS nasz router nie wytrzyma obciążenia i będzie starał się na wszystkie takie zapytania odpowiedzieć. Ja przy użyciu firewall wycinam wszystko co tylko jest możliwie, nawet zmieniam parametr w mangle który ukrywa odpowiedź z polecenia tracert mówiący o tym co to za router. Dns zostawiam serwerom dedykowanym do obsługi, ponieważ szkoda na to zasobów, a gdy padnie DNS tam podany i będzie redirect, to żadne zmiany w komputerach nic nie zmienia bo i tak mikro będzie chciało to być naszym DNS.
@@TechGlobuz pokaz implementację szyfrowanego DNS, to teraz w tym całym cyklu naszego bezpieczeństwa w sieci zaczyna zyskiwać na popularności
@@krzysztofdudek8947 "Nie wiemy kto podłączy się do naszej sieci"? Ty tak serio? Jak nie wiesz, kto się podpina do sieci i nie kontrolujesz tego, to DNS jest najmniejszym problemem. Wystarczy, że ktoś zrobi jakieś oszustwo z twojego IP, to przyjdą smutni panowie i będziesz mieć poważny problem.
@@TechGlobuz źle sformułowałem wypowiedź. Przepraszam. Chodziło o to, że pozostawienie tej opcji wyłączonej zwiększy bezpieczeństwo naszej sieci oraz zminimalizuje możliwość powstania spowolnienia przy dużej ilości zapytań do serwera dns.
Już ostatnio pisałem, że świetna seria, więc tylko powtórzę, żeby algorytm UA-cam'a wiedział :)