http://www.ryohnosuke.com http://www3.uji.es/~vrubert/taller-mikrotik/#23
IMPORTANT: Les dades per defecte les sol posar a la caixa del dispositiu
TODO: Exemple de la configuració per defecte de la RB750.
The following default configuration has been installed on your router: ether1 is renamed to ether1-gateway DHCP client and masquerade is set on ether1-gateway ether2 is renamed to ether2-master-local and configured as switch master port for ether3-ether5 IP address 192.168.88.1/24 and DHCP server is set on ether2-master interface DHCP servers address pool is 192.168.88.10-192.168.88.254 You can click on "Show Script" to see the exact commands that are used to add and remove this default configuration.To remove this default configuration click on "Remove Configuration" or click on "OK" to continue. NOTE: If you are connected using the above IP and you remove it, you will be disconnected.
TODO: Captura de pantalla i penjar aquí una copia de l'script routerOS
Els dispositius routerOS utilitzen el protocol CDP que permet que els dispositius RouterBoard s'anunciïn a la xarxa i d'aquestà manera el pugueu detectar automàticament utilitzant l'eina winbox.
Winbox és una aplicació per a Windows (winbox.exe). Per poder executar-la en Ubuntu hem de tenir instal·lat el programa wine.
Fiquem IP (192.168.88.1), login (admin) i Password (sense contrasenya). Cliquem Connect.
TODO: tcdump per veure els anuncis...
$ tcpdump TODO
IMPORTANT: . Per tal que funcioni correctament el protocol CDP cal tenir definit un gateway a la interfície del ordinador on esteu directament connectar a la routerboard. TODO: explicar el perquè (ruta que no retorna)...
Amb la següent captura:
$ tcpdump TODO
Podeu veure que no s'utilitzen IPs per a la comunicació (és fa una comunicació pura a nivell 2).
TODO:
El servei es proporcionat per un servidor de MACs:
Tools/MAC Server
Es pot accedir per MAC a:
TODO:captura de pantalla
Per defecte l'accés al winbox éstà disponible des de totes les interfícies de xarxa.
TODO: Documentar el port del MAC server:
2000/tcp open cisco-sccp
Posar exemple amb nmap.
http://forum.mikrotik.com/viewtopic.php?t=24352&f=2
Les interfícies VLAN són interfície virtuals, és a dir són interfícies de xarxa que físicament no existeixen. Les interfícies virtuals com en el cas del IP Aliasing, el WDS o altres tipus d'interfícies virtuals, sempre van associades a una interfície física real (una etherX).
IMPORTANT: vegeu també l'article Vlan
Hi ha dos tipus de configuracions:
Capa 2
Ports:
/interface ethernet switch port> print
TODO: Captura de pantalla
TODO: traduir:
Vlan-mode can take following values:
TODO: Captures de pantalla winbox.
Vlan-header option (configured in /interface ethernet switch port) sets the VLAN tag mode on egress port. This option can take the following values:
NOTA: L'exemple pot semblar un exemple tonto i de fet és un exemple juget, l'única utilitat del mateix és pedagògica. Ara bé la isolació completa pot ser total si també configurem el commutador...
TODO: Seguiu els passos de: En comptes de HUB el commutador de l'aula ja farà el cas. Només necessiteu dos RB, utilitzeu ordinadors Linux que no estiguin a la VLAN per comprovar la isolació)
TODO: Gràfica per entendre on es fa cada configuració. Que Apareguin tant commutadors com routers i es faci trunking
Aquest tipus de configuracions també s'anomenen Router-On-A-Stick.
Configurar un port per a formar part d'un trunk es pot fer tant en capa 2 (el port forma part d'un commutador) com en capa 3 (el port forma part d'un router).
La configuració més senzilla és la de capa 3. Només cal afegir interfícies virtuals amb les vlans que es volen agregar al port. Suposem que volem configurar el trunking a la interfície ether1 d'un encaminador i fer que formi part de les vlan 1, 2 i 3:
/interface vlan add name=VLAN2 vlan-id=2 interface=ether1 disabled=no add name=VLAN3 vlan-id=3 interface=ether1 disabled=no add name=VLAN4 vlan-id=4 interface=ether1 disabled=no
Ja esteu fent trunking. Normalment a més voldreu assignar al router una IP de cada vlan:
/ip address add address=10.10.20.1/24 interface=VLAN2 add address=10.10.30.1/24 interface=VLAN3 add address=10.10.40.1/24 interface=VLAN4
NOTA: Tingueu en compte que això afegirà automaticament les rutes a la taula de rutes de l'encaminador rotuerBoard i com per defecte el router té activat IP forwarding aleshores esteu connectant les xarxes vlan entre si.
Automàticament les xarxes VLAN es veuen entre si però passant per l'encaminador i no pas pel switch. Això permet que configureu el firewall de capa 3 per indicar quins trànsits permetreu i quins no.
TODO: Captura de pantalla de com queda la configuració a winbox
Un altre tema és la configuració de capa 2, és a dir configurar routerOS en un port que forma part d'un commutador (Consulteu routeros switch). El següent gràfic ens ajudarà a entendre el que volem fer:
TODO: Gràfic commutador routerOS amb trunking extret de: http://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features#Example_-_802.1Q_Trunking_with_Atheros_8316
El primer que cal fer és assignar el vlan-mode i el vlan-header mode al egress de cada port. S'estableix el mode vlan-mode=secure per assegurar-se que és va un ús stricte de la taula VLAN. S'estableix el mode vlan-header=always-strip als ports d'accés (elimina la capçalera VLAN de la trama Ethernet quan aquesta deixa el chip del commutador)
/interface ethernet switch port set 1 vlan-header=always-strip vlan-mode=secure set 2 vlan-header=always-strip vlan-mode=secure set 3 vlan-header=always-strip vlan-mode=secure set 4 vlan-header=add-if-missing vlan-mode=secure
Amb això forcem el vlan-mode a secure i marquem els ports 1, 2, 3 com untagged i el port 4 com tagged.
NOTA: Els valors 1,2,3 i 4 corresponen a la primera columna dels ports que apareixen al executar /interface ethernet switch port print o la primera columna a l'entorn gràfic a la pestanya ports. Com es comença a comptar des de zero els valors 1,2 i 3 corresponen als ports d'accés (ether2, ether3 i ether4) i els valor 4 al port eth5 (trunk port)
TODO: Afegir captures de pantalla de com queda Winbox i com es faria el mateix (de totes les comandes) per l'entorn gràfic
Ara cal posar les normes de forwarding per als ports d'accés (access ports) i per al port troncal (trunk port). El Default VLAN-ID s'ha de canviar a les trames Ethernet untagged que entren pels ports d'accés abans de que siguin redireccionats al port de sortida (egress port) que és el port troncal. A més els frames rebuts pel trunk port han de ser reenviats cap al port d'accés que pertoqui segons el VLAN ID que continguin. Les normes són:
/interface ethernet switch rule add new-dst-ports=ether2 ports=ether5 switch=switch1 vlan-header=present vlan-id=200 add new-dst-ports=ether3 ports=ether5 switch=switch1 vlan-header=present vlan-id=300 add new-dst-ports=ether4 ports=ether5 switch=switch1 vlan-header=present vlan-id=400
que corresponen a les normes per passar del troncal als ports d'accés i viceversa:
/interface ethernet switch rule add new-dst-ports=ether5 new-vlan-id=200 ports=ether2 switch=switch1 vlan-header=not-present add new-dst-ports=ether5 new-vlan-id=300 ports=ether3 switch=switch1 vlan-header=not-present add new-dst-ports=ether5 new-vlan-id=400 ports=ether4 switch=switch1 vlan-header=not-present
Ara cal afegir a la taula VLAN les entrades que permetran marcar els paquets amb un VLAN-ID especific als ports ingress:
/interface ethernet switch vlan add ports=ether5 switch=switch1 vlan-id=200 add ports=ether5 switch=switch1 vlan-id=300 add ports=ether5 switch=switch1 vlan-id=400 add ports=ether2,ether3,ether4 switch=switch1 vlan-id=0
Per a configurar dispositius purament commutadors podeu utilitzar també la interfície web:
http://wiki.mikrotik.com/wiki/SwOS/Router-On-A-Stick
Consulteu Mikrotik PPP
Les taules de rutes es configuren clicant la icona de la fletxa que assenyala cap baix en el gateway. Tantes rutes necessites, tantes vegades cliques la fletxa.
TODO
TODO
Per aplicar canvis en el filtratge en sessions ja establertes amb Peers cal reiniciar la sessió (a Internet això està molt penalitzat). Un altre opció és:
http://wiki.mikrotik.com/wiki/Manual:BGP_soft_reconfiguration_alternatives_in_RouterOS
Documentar els apartats en negreta:
/routing bgp> ? .. -- go up to routing advertisements -- aggregate -- export -- Print or save an export script that can be used to restore configuration instance -- network -- peer -- vpnv4-route --
Consulteu: RouterOS Policy routing
Exemple 0
Per comprovar diversos pings es pot fer:
Acacha Wiki:local i 0;
{:do {:set i ($i + 1)} while (($i < 5) && ([/ping 64.233.169.99 interval=3 count=1]=0))};
Exemple 1:
This setup now changes the distance number on the interfaces that is being used for gateways instead of disabling an interface. That way you could continue to monitor the unused interface to know whether it is actually up or down to the internet.
With these scripts you must use the scheduler to run them. I set mine to every 5 seconds. This will send 5 pings in a row out ether 1 and if all 5 fail it will increase the distance on that port to 3 instead of 1. To start this process you must set your distance on port 1 to 1. The other port that is being used as a failover gateway should be set to a distance of 2. By switching distance on the port instead of disabling it allows you to continue to ping out ether 1 until it pings all 5 times and at that point it will switch back to the main gateway.
script 1:
:local i 0; {:do {:set i ($i + 1)} while (($i < 5) && ([/ping 64.233.169.99 interval=3 count=1]=0))};
:if ($i=5 && [/ip route get [find comment="Default Route"] distance]=1) do={:log info "Main Gateway down";
/ip route set [find comment="Default Route"] distance=3}
script 2:
:local i 0; {:do {:set i ($i + 1)} while (($i < 5) && ([/ping 64.233.169.99 interval=3 count=1]=1))};
:if ($i=5 && [/ip route get [find comment="Default Route"] distance]=3) do={:log info "Main Gateway up";
/ip route set [find comment="Default Route"] distance=1}
Suggestion: A trick could be use ping with different sizes and have a different route for each. That would require creating a mangle rule based on packet size and place a routing mark on each.
Exemple 2:
Suposem la ruta:
/ip route add dst-address=192.168.2.0/24 gateway=192.168.4.2 distance=1 comment="Netwatch-Route"
Script:
#define variables
:local i 0
#Check for specific route with distance of 1
:if ([/ip route find comment="Netwatch-Route" distance=1]!="") do={
#add +1 to $i while checking that $i is lower than 5 and there is no ping response (ping command returns 0)
#if either of the 2 clauses are not met, the command will terminate - that is if a ping response is received (breaking one of the clauses), it'll terminate before 5 loops
:do {:set i ($i + 1)} while ($i < 5 && ([/ping 192.168.2.1 interval=3 count=1]=0))
#when this point is reached check if $i=5 and if so do the following
:if ($i=5) do={
#add a log entry
:log info "Netwatch-Route has gone down"
#set the route distance to 5 (putting it at a lower priority than the alternative)
/ip route set [find comment="Netwatch-Route"] distance=3
}
#route not found, so...
} else={
#Check for specific route with distance of 3
:if ([/ip route find comment="Netwatch-Route" distance=3]!="") do={
#add +1 to $i while checking that $i is lower than 10 and there is a ping response (ping command returns 0)
#if either of the 2 clauses are not met, the command will terminate - that is if a ping response is received (breaking one of the clauses), it'll terminate before 10 loops
:do {:set i ($i + 1)} while ($i < 10 && ([/ping 192.168.2.1 interval=3 count=1]=1))
#when this point is reached, check if $i=10 and if so do the following
:if ($i=10) do={
#add a log entry
:log info "Netwatch-Route is back up"
#set the route distance to 1 (putting it back to the higher priority)
/ip route set [find comment="Netwatch-Route"] distance=1
}
#no matching route found
} else={
#log failure of script
:log info "Route Required does not exist"
#log failure to terminal (helpful for testing purposes)
:error "Route Required does not exist"
}
}
<pre>
S'ha de planificar (al scheduler) la execució del script periodicament.
:*http://www.mikrotik-routeros.com/2011/01/improved-netwatch-style-script/
:*http://wiki.mikrotik.com/wiki/Improved_Netwatch_II
:*http://wiki.mikrotik.com/wiki/Manual:Scripting
=== Logging ===
La configuració dels logs es fa a System > Logging. Els logs poden ser guardats (li diu accions) a:
:*echo: es mostren per la terminal directament.
:*memory (RAM): els logs de la RAM es mostren a la secció '''Log'''
:*disk|file: Els logs es guarden al disc dur o la memòria flash del sistema. http://wiki.mikrotik.com/wiki/Log#Logging_to_file
:*email: es poden enviar per [[correu electrònic]].
:*remote: Es poden enviar a un servidor de [[syslog]]
Per línia de comandes es pot consultar el log de RAM amb:
/log print
:*http://wiki.mikrotik.com/wiki/Manual:System/Log
==Exemples==
=== Dades de connexió ===
El port del routerOS és '''8291''':
$ nmap 10.36.253.1
Starting Nmap 5.00 ( http://nmap.org ) at 2010-11-13 10:41 CET
Interesting ports on 10.36.253.1:
Not shown: 993 closed ports
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
23/tcp open telnet
53/tcp open domain
80/tcp open http
2000/tcp open callbook
8291/tcp open unknown
També proporcionen accés per:
:*[[FTP]] (port 21)
:*[[SSH]] (port 22)
:*[[Telnet]] (port 23)
I ofereixen els serveis:
:*[[Servidor de DNS]] (port 53)
:*[[Servidor Web]] (port 80)
:*Servei de test d'ampla de banda (port 2000)
=== Còpia de seguretat ===
Abans de modificar la configuració, és convenient fer una còpia de seguretat del dispositiu. Tenim que clicar en Files -> Backup.
[[Fitxer:router_sergi_jaume_5.png|500px|center]]
Per restaurar, es selecciona el fitxer i clicar en Restore.
Per descarregar el fitxer de còpia (perquè es queda desat dins del dispositiu), tenim que donar primer d'alta una contrasenya per poder-nos connectar via [[FTP]]. Els passos a seguir són: System -> Password o be mitjançant System -> Users. Es selecciona l'usuari a qui es vol donar la contrasenya (doble clic) i cliquem en Password.
[[Fitxer:router_sergi_jaume_6.png|500px|center]]
Una vegada ficada la contrasenya, tenim que connectar-nos via [[FTP]]. Anem a Lugares -> Conectar con el servidor -> seleccionem [[FTP]] (con login), [[IP]] del servidor (dispositiu), i el nom de l'usuari.
[[Fitxer:router_sergi_jaume_7.png|300px|center]]
Cliquem Conectar. Demana contrasenya, i ja podem accedir dins del dispositiu.
[[Fitxer:router_sergi_jaume_8.png|500px|center]]
Cliquem damunt del fitxer i seleccionem Desar.
[[Fitxer:router_sergi_jaume_9.png|500px|center]]
===Fer una còpia de seguretat del backup===
==== export ====
/export file=miconfig
Això genera un fitxer miconfig.rsc de tota la configuració
Es pot guardar configuració parcial
/ip address >export file add"
/ip address export file add
Genera solament l'script d'adreces.
==== system backup ====
El comando backup save es usado para guardar una configuración completa en un archivo de backup. El archivo se muestra en el submenú /file . Este puede ser descargado via ftp para guardar el archivo de backup.
{{important|Importante! El archivo de backup contiene información sensible, no guarde sus archivo de backup dentro del directorio Files, en cambio, descarguelas y mantengalas en un lugar seguro}}
Para recuperar la configuración del sistema, por ejemplo, después de un /system reset-configuration, es posible subir el archivo vía ftp y cargar el backup usando el comando load en el submenú /system backup
Descripción del comando
:* load name=[filename] - Carga el archivo de configuración desde un archivo
:* save name=[filename] - Guarda el archivo de configuración hacia un archivo
Ejemplo
Para guardar la configuración en un archivo llamado test
[[email protected]] system backup> save name=test
Configuration backup saved
[[email protected]] system backup>
Para ver el archivo almacenado en el router:
[[email protected]] > file print
# NAME TYPE SIZE CREATION-TIME
0 test.backup backup 12567 sep/08/2004 21:07:50
[[email protected]] >
Para cargar el backup en el router:
[[email protected]] > system backup load name=test
Restore and reboot? [y/N]:
y
Restoring system configuration
System configuration restored, rebooting now
:*http://wiki.mikrotik.com/wiki/Configuration_Management_Spanish#System_Backup
[http://www.example.com títol de l'enllaç]
=== Restaurar una còpia de seguretat ===
Per recuperar la còpia, tenim que ficar contrasenya (System -> Password o be mitjançant System -> Users; per poder entrar via [[ftp]]). Després anem (en la màquina local) a Lugares -> Conectar con el servidor. Seleccionem [[FTP]] con login, fiquem [[IP]] i el nom de l'usuari.
[[Fitxer:router_sergi_jaume_42.png|300px|center]]
Cliquem Conectar. Demana la contrasenya. Quan es connecta, s'obrirà un navegador que podem tancar i una carpeta a l'Escriptori. Obrim la carpeta i copiem l'arxiu de configuració dins d'aquesta carpeta.
Després d'això, accedim al [[Winbox]], a l'apartat Files, seleccionem l'arxiu que acabem de copiar, i cliquem el botó ''Restore''.
==== import ====
/import file-name=miconfig
==== load ====
[[email protected]] > system backup load name=test
Restore and reboot? [y/N]:
y
Restoring system configuration
System configuration restored, rebooting now
===Fer un reset de la configuració===
Escolliu '''New Terminal''' i escriviu:
/system reset-configuration
El sistema es tornarà a iniciar. Primer un bip de l'aturada i després un altre de quan torni a estar amb la configuració per defecte.
{{important|Compte amb: }}
/system reset-configuration no-defaults=yes
El no-defaults=yes us obligarà a connectar-vos per MAC ja que s'esborra tot! Amb aquesta opció s'esborrarà també la interfície per defecte amb la IP 192.168.88.1 i només ens podrem connectar per MAC.
:*http://wiki.mikrotik.com/wiki/Configuration_Management_Spanish#Limpieza_de_la_configuraci.C3.B3n
=== Fer un reset del password ===
http://wiki.mikrotik.com/wiki/Manual:Password_reset
===Script inici===
#| IP address 192.168.88.1/24 is on ether1
#| ether1 is enabled
:global action
# these commands are executed after installation or configuration reset
:if ($action = "apply") do={
:delay 5s
/ip address add address=192.168.88.1/24 interface=ether1 comment="default configuration"
}
# these commands are executed if user requests to remove default configuration
:if ($action = "revert") do={
/ip address {
:local o [find address="192.168.88.1/24" interface="ether1" comment="default configuration"]
:if ([:len $o] != 0) do={ remove $o }
}
=== Consultar quan temps fa que el sistema està en execució ===
Des de winbox:
System > Resources > General
=== Dispositius (mini)PCI ===
Des de winbox:
System > Resources > Pestany PCI
Com relacionar els identificadors que apareixen a la placa mara amb els números d'SLOT PCI?
=== Firmware/RouterOS upgrade ===
{{nota| La versió actual del routerOS apareix a la barra de títol de la finestra del winbox}}
Hi ha dos coses que es poden actualitzar:
:*El firmware
:*El sistema operatiu RouterOS
Abans que res cal que mireu:
'''BootLoader'''
Consulteu si el podeu actualitzar seguin les passes de:
http://wiki.mikrotik.com/wiki/Bootloader_upgrade
'''License'''
A System License, feu clic a "Update License Key". Aquí veureu fins a quina versió pode actualitzar (Upgradable to...)
Un cop fets aquests passos aneu a:
http://www.mikrotik.com/download.html
Escolliu el tipus de placa que teniu i descarregueu la versió estable. En el meu cas:
http://download.mikrotik.com/routeros-powerpc-4.10.npk
Ara cal copiar el fitxer a la routerboard. Amb Wine no sembla que es pugui arrosegar directament a la secció files ni copiar i enganxar. Cal utilitzar FTP. Per això cal tenir accés a la routerboard per IP. Podeu fer [[IP aliasing]], per exemple si la placa té la IP 10.36.253.34:
$ [[sudo]] [[ifconfig]] 10.36.253.34 netmask 255.255.255.224 up
Un cop fet això podeu utilitzar el client integrat de [[FTP]] de [[nautilus]]/Ubuntu, anant a lloc connecta el servidor i posant les dades del FTP. Un cop accediu ja podeu copiar el fitxer arrossegant.
Aneu a System i feu un reboot.
Un cop actualitzar el sistema operatiu pot ser que el propi sistema operatiu tingui una nova versió del bootloader. Obriu una nova terminal al microtik:
/system routerboard
print
upgrade
Confirmeu que voleu fer l'upgrade i un cop acaba aneu a System i feu un reboot. Cal tenir paciència a que s'apliqui l'actualització (sobretot no apagar res) i esperar a que faci el pip d'arrancada i els dos pips de que tot ha arrancat bé. Torneu a connectar i ja hauríeu de veure la nova versió del firmware.
Un cop dins us donarà (potser) un missatge com el següent:
ROUTER NEEDS A NEW LICENSE
-------------------------------------------------------------------
This RouterOS version is designed to work only with new format RouterOS keys. These keys can be recognized by the longer SoftID, which is 8 characters long, instead of
previous 7.
The upgrade to new format key is free of charge, and can be done automatically right now in Winbox.
Please click on "Update License" button to get the new key.
If you do not update the key, this RouterOS installation will expire in 71h and 50m, and will require a complete reinstall.
Feu clic a:
Update License
I es reiniciarà la routerboard un altre cop.
:*http://guifi.net/eu/node/7677
:*http://www.mikrotik.com/download.html
'''firmware'''
Cal baixar el firmware de la web:
http://www.mikrotik.com/download.html
Escolliu el vostre sistema i descarregueu el combined package. Per exemple per a una [[RB750G]] em obtingut el fitxer (--[[Usuari:Sergi|acacha]] 17:19, 8 oct 2011 (UTC)):
routeros-mipsbe-5.7.npk
Comproveu el [[md5]]:
$ [[md5sum]] routeros-mipsbe-5.7.npk
3390e6d550591761e166a21bfe1a6ba2 routeros-mipsbe-5.7.npk
I el compareu amb la web:
http://www.mikrotik.com/download/routeros-md5-5.7.txt
Ha de ser el mateix.
Ara pugueu el fitxer via FTP a l'arrel del sistema de fitxers. Podeu utilitzar el nautilus:
$ nautilus ftp://IP_DE_LA_ROUTERBOARD
Un cop pujat el fitxer reinicieu la routerboard. Cal tenir paciència pot tardar minuts (i la routerboard es quedarà apagada una estona)
:*http://wiki.mikrotik.com/wiki/Upgrading_RouterOS
=== Paquets enviats a la xarxa ===
Les mikrotiks envien paquets de broadcast UDP:
$ sudo tcpdump -n -i guifi
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on guifi, link-type EN10MB (Ethernet), capture size 96 bytes
17:14:28.908307 IP 0.0.0.0.5678 > 255.255.255.255.5678: UDP, length 76
17:14:28.908340 CDPv1, ttl: 120s, Device-ID 'MikroTik', length 43
=== Load Balancing amb protocol encaminaments ===
:*http://wiki.mikrotik.com/wiki/Manual:Route_Selection_Algorithm_in_RouterOS#Load_balancing_and_dynamic_routing_protocols
=== Evitar atacs força Bruta contra SSH o altres protocols ===
'''FTP (port 21)'''
/ip firewall filter
add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop comment="drop ftp brute forcers"
add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect" \
address-list=ftp_blacklist address-list-timeout=3h
'''SSH''':
/ip firewall filter
add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop comment="drop ssh brute forcers" disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=10d comment="" disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m comment="" disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment="" disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m comment="" disabled=no
A l'exemple es permeten un màxim de 3 conexions SSH per minut. Si es fan més es bloqueja la IP per 10 dies.
També es pot bloquejar els SSH en forward (downstream) :
add chain=forward protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop comment="drop ssh brute downstream" disabled=no
{{nota|No es bloquejen els intents de password, sinó les connexions. El que vull dir és que cada intent de connexió SSH deixa provar tres paraules de pas, per tant es podran provar fins a 9 paraules de pas per minut}}
'''Recursos''':
:* http://wiki.mikrotik.com/wiki/Bruteforce_login_prevention_%28FTP
== Switch ==
:*'''[[Port Switching]]''': Permet convertir part dels ports de un router en un commutador. Es configura determinant un port com a master i la resta com esclaus. El conjunt de ports esclaus + el master actuen com un commutador. CAl tenir en comtpe que depenen del model de RouterBoard es pot fer o no fer i que en alguns models com les RB110 es pot fer entre certs ports. El apartat '''Switch''' us dira quin model teniu de chip i depenent del chip sabreu el que podeu fer o no. Consulteu.http://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features#Port_Switching
:*[[Port Mirroring]]: es pot fer a l'apartat switch indicant els ports d'origen i el port target. El port target serà el port que podrà escoltar el trànsit de les interfícies marcades com origen. Consulteu http://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features#Port_Mirroring
:*[[Host table]]: Permet configurar les taules ARP (nota: també amb IPV6 i [[ND]] ?) que indicant quins hosts estan dsiponibles a nivell d'enllaç. La taula es consulta a l'apartat '''Switch > Host'''. Les entrades de la taula normalment s'afegeixen de forma dinpamica peer un procés d'aprenetatge com [[ARP]], però també podeu posar entrades estàtiues. Consulteu: http://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features
:*[[Vlan table]]:
TODO:
Vlan tables specifies certain forwarding rules for packets that have specific 802.1q tag. Those rules are of higher priority than switch groups configured using 'master-port' property. Basically the table contains entries that map specific vlan tag ids to a group of one or more ports. Packets with vlan tags leave switch chip through one or more ports that are set in corresponding table entry. The exact logic that controls how packets with vlan tags are treated is controlled by vlan-mode parameter that is changeable per switch port in /interface ethernet switch port menu. Vlan-mode can take following values:
disabled - ignore vlan table, treat packet with vlan tags just as if they did not contain a vlan tag;
fallback - the default mode - handle packets with vlan tag that is not present in vlan table just like packets without vlan tag. Packets with vlan tags that are present in vlan table, but incoming port does not match any port in vlan table entry does not get dropped.
check - drop packets with vlan tag that is not present in vlan table. Packets with vlan tags that are present in vlan table, but incoming port does not match any port in vlan table entry does not get dropped.
secure - drop packets with vlan tag that is not present in vlan table. Packets with vlan tags that are present in vlan table, but incoming port does not match any port in vlan table entry get dropped.
Vlan tag id based forwarding also take into account the mac addresses learned or manually added in host table.
Packets without vlan tag are treated just like if they had a vlan tag with vlan id = 0. This means that if "vlan-mode=check or secure" to be able to forward packets without vlan tags you have to add a special entry to vlan table with vlan id set to 0.
Vlan-header option (configured in /interface ethernet switch port) sets the VLAN tag mode on egress port. This option can take the following values:
leave-as-is - packet remains unchanged on egress port;
always-strip - if VLAN header is present it is removed from the packet;
add-if-missing - if VLAN header is not present it is added to the packet.
:*[[Rule table]]: ÉS una especie de firewall que s'aplica en el propi chid del commutador (en capa dos). Tos i fer el processament en capa 2 es poden utilitzar valors de capa 3 i capa 4 per a fer filtratges de la mateixa forma que un firewall. Cal tenir en compte però que hi ha limitacions en la quantitat de normes que es poden utilitzar. Consulteu http://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features#Host_Table
:*http://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features
=== Com funciona el chip de commutador Atheros8316 ===
:*[[INGRESS]] port: és el port de un commutador pel qual entren els paquets per a una màquina concreta
:*[[EGRESS]] port: és el port pel que surten els paquets per a una màquina concreta.
TODO: Gràfiques
:*http://wiki.mikrotik.com/wiki/Manual:Packet_flow_through_Atheros8316
== Encaminament ==
http://wiki.mikrotik.com/wiki/Manual:Routing
http://wiki.mikrotik.com/wiki/Manual:IP/Route
=== Encaminament estàtic ===
TODO
=== Enrutament dinàmic ===
Vegeu també [[Encaminament dinàmic]]
==== Qüestions generals ====
'''Algorisme de selecció de rutes''':
Cal tenir en compte que a [[routerOS]] poden existir al mateix temps varies taules de rutes.
:*'''[[FIB]] o [[Forwarding Information Base]]''': El FIB es troba al [[nucli]]/[[kernel]] del sistema.
:*'''Main routing table''': Aquí és los decisions de rutes es prenen. Per a cada destinació possible pot haver-hi com a mínim una ruta per cada protocol d'encaminament possible i/o una ruta estàtica (o cap ruta possible). Cal tenir en compte però que només la ruta de distància mínima serà instal·lada al [[FIB]]. Si hi ha més de una ruta possible amb la mateixa distància, la selecció de ruta es fa de forma aleatòria (excepte en el cas de BGP) però de totes formes aquest "empats" no poden succeir a no se que s'estiguin utilitzant filtres d'encaminament. [[Scope attribute]] també pot determinar si una ruta pot estar activa.
:*Cada protocol d'encaminament (excepte BGP) té la seva pròpia taula de rutes. Aquí es prenen decisions pràpies de cada algorisme (per exemple amb OSPF hi ha diferents tipus de rutes i aquestes tenen un ordre de preferència). Un cop realitzada una decisió la ruta escollida s'instal·la a la capa inferior (main routing table)
En resum existeixen una sèrie de capes a l'hora de prendre una decisió.
Com podeu observar el algorsisme de selecció de ruta amb [[BGP]] és una mica més complexe. Cal tenir en compte que BGP és el protocol utilitzat a Internet i que una taula de rutes completa d'Internet pot tenir més de 300.000 rutes i que a més hi ha la possibilitat de rebre aquesta taula de rutes més d'un cop en el cas que és tingui accés a més de un ISP ([[multihoming]]). Per aquesta raó és important tenir un protocol que permeti escollir quina ruta instal·lar al sistema.
Cal tenir en compte que el primer criteri utilitzat és el pes. El algorismes és anomenat '''BEST PATH ALGORITHM''':
:1. Les rutes no vàlides són ignorades. Una ruta és vàlida si:
::*El [[NEXT_HOP]] de la ruta és vàlid i reachable
::*El AS_PATH rebut dels peers no conté el local AS
::*La ruta no és denegada pels [[routing filters]].
:::*Més informació a http://wiki.mikrotik.com/wiki/Manual:BGP_nexthop_selection_and_validation_in_RouterOS_3.x
:2. El primer camí rebut és considerat sempre el millor. Un cop es reben altres camins es comparen amb el que hi ha actualment i només es modifica si és millor.
:3. Es prefereix el path que tingui el pes (WEIGHT) més alt. El paràmetre weight és un paràmetre local del encaminador. Una ruta que no tingui un pes assignat té un pes per defecte de 0.
:4. Es prefereix la ruta que tingui el valor més gran de LOCAL_PREF. Aquest valor només s'utilitza dins de una mateix AS. Una ruta sense LOCAL_PREF té un valor per defecte de 100.
:5. Es prefereix la ruta amb el [[AS_PATH]] més curt. Aquest pas és ignorat si s'activa el paràmetre [[ignore-as-path-len]]. Cada tros del AS_PATH (coneguts com [[AS_SET]]) compta amb una valor de 1 sigui quin sigui el valor establert. No s'inclouen al AS_PATH els [[AS_CONFED_SEQUENCE]] i [[AS_CONFED_SET]]
:6. Es prefereixen els camins que haguin estat generats localment per agregació o xarxa BGP.
:7. Es prefereix la ruta amb el menor tipus de valor ORIGIN. [[Interior Gateway Protocol]] ([[IGP]]) té un valor menor que [[Exterior Gateway Protocol]] ([[EGP]]) i EGP és menor que [[INCOMPLETE]]. IGP < EGP < INCOMPLETE
:8. Es prefereix la ruta amb el valor menor de [[multi-exit discriminator]] ([[MED]]). El encaminador compara el atribut MED per a les rutes que tenen el mateix AS. Els paths sense un valor explícit de MED es tracten amb un valor de MED igual a zero.
:9. Es prefereixen els camins [[eBGP]] respecte els [[iBGP]]
:10. Es prefereixen les rutes que provenen d'un router BGP amb el valor més petit de [[router ID]] ( atribut [[ORIGINATOR_ID]])
:11. ES prefereixen les rutes amb el valor més curt de [[route reflection cluster list]]. Les rutes sense aquest valor es considera que el valor és 0.
:12. Es prefereixen les rutes que provenen d'un veí amb una adreça menor.
'''Route distance'''
A l'hora d'escollir una ruta és important el concepte de route distance ([[Aka]] [[administrative distance]]) és una mesura de la confiança en l'origen d'una ruta. Si un encaminador aprèn una ruta de més d'una font possible, aleshores es comparen les distàncies administratives de cada ruta i la ruta que tingui el valor és baix és la escollida. La següent taula és la que s'aplica a routerOS:
{| border="1" cellpadding="2" cellspacing="0"
|-
! protocol
! distance
|- valign="top"
|
connected
|
0
|- valign="top"
|
static
|
1
|- valign="top"
|
eBGP
|
20
|- valign="top"
|
OSPF
|
110
|- valign="top"
|
RIP
|
120
|- valign="top"
|
MME
|
130
|- valign="top"
|
iBGP
|
200
|}
'''Recursos''':
:*http://wiki.mikrotik.com/wiki/Manual:Route_Selection_Algorithm_in_RouterOS
:*http://wiki.mikrotik.com/wiki/BGP_Best_Path_Selection_Algorithm
=== Filtres d'enrutament ===
A [[guifi.net]] [[unsolclic]] configura els següents filtres:
[[Fitxer:RoutingFilters.png|center]]
L'explicació de que és un reject i un discard es pot trobar a la wiki de routerOS:
reject - reject the routing information for matching prefix. For incoming filters, 'reject' means that information about this route stored in memory, but the route will not
become active. For outgoing filters it's the same as 'discard'
discard - completely exclude matching prefix from further processing. For incoming filters, 'discard' means that information about this route is completely lost. For
outgoing filters it's the same as 'reject'
:*http://wiki.mikrotik.com/wiki/Manual:Routing/Routing_filters
=== OSPF ===
<blockquote>
MikroTik RouterOS implements OSPF version 2 (RFC 2328). The OSPF protocol is the link-state protocol that takes care of the routes in the dynamic network structure that can employ different paths to its subnetworks. It always chooses shortest path to the subnetwork first.
</blockquote>
Conceptes:
:*'''Instances''': Des de la versió 3.17 es poden implementar múltiples instàncies d'OSPF. Una instància concreta conté els paràmetres generals de OSPF
:*'''Areas''': Les areas permeten OSPF allows collections of routers to be grouped together. Such a group is called an area. Each area runs a separate copy of the basic link-state routing algorithm. This means that each area has its own link-state database and corresponding shortest path tree. The structure of an area is invisible from other areas. This isolation of knowledge makes the protocol more scalable if multiple areas are used; routing table calculation takes less CPU resources and routing traffic is reduced. However, multi-area setups create additional complexity. It is not recommended separate areas with fewer than 50 routers. The maximum number of routers in one area is mostly dependent on CPU power you have for routing table calculation.
:*'''Networks''': Cal especificar les xarxes (network address) a les que s'executarà OSPF i indicar l'àrea associada a cada xarxa.
:*'''Interfaces''': Cal especificar les interfícies a les s'utilitzarà OSPF. Hi ha l'opció d'especificar all (totes). Típicament hi ha com a mínim tantes networks com interfícies físiques.
:*'''Neighbor''': Per a cada router cal especificar els routers veïns que també utilitzen OSPF. S'entén com a router veí un router al que s'està connectat directament sense routers intermediaris.
{{nota|Sempre ha d'haver-hi una àrea anomenada backbone (area-id=0.0.0.0). Per tant, aquesta àrea la trobareu sempre a les configuracions de guifi.net amb unsolclic}}
Sub-menu: /routing ospf instance
:*http://wiki.mikrotik.com/wiki/Manual:Routing/OSPF
Vegeu també:
:*[[OSPF]]
==== OSPF i model hibrid guifi.net ====
Consulteu:
:*[[Model híbrid guifi.net]]
==== Consultar l'estat d'OSPF ====
/routing ospf instance print status
Flags: X - disabled
0 name="default" router-id=10.36.253.1 distribute-default=never redistribute-connected=no redistribute-static=no redistribute-rip=no redistribute-bgp=as-type-1
redistribute-other-ospf=no metric-default=1 metric-connected=20 metric-static=20 metric-rip=20 metric-bgp=auto metric-other-ospf=auto in-filter=ospf-in
out-filter=ospf-out state=running effective-router-id=10.36.253.1 dijkstras=403 db-exchanges=0 external-imports=0
Abans de tenir instancies:
/routing ospf monitor
==== OSPF a guifi.net ====
Quan es fa un enllaç WDS a la web de guifi.net, et deixa escollir el tipus d'enrutament. Un dels tipus és OSPF. Si escolliu OSPF la configuració de [[unsolclic]] quedarà similar a la següent:
#
# '''Interfícies i xarxes'''
#
#Per cada interfície s'executà:
#Interfície '''wLan/Lan''' (wlan1):
# S'afegeix la interfície a OSPF i les xarxes associades a la interfície (esborrant prèviament configuracions existents)
# Les xarxes s'afegeixen a l'area backbone
/ routing ospf interface
:foreach i in [/routing ospf interface find interface=wLan/Lan] do={/routing ospf interface remove $i;}
add interface=wLan/Lan
/ routing ospf network
:foreach i in [/routing ospf network find network=10.36.253.32/27] do={/routing ospf network remove $i;}
add network=10.36.253.32/27 '''area=backbone''' disabled=no
#Interfície '''wlan2''':
/ routing ospf interface
:foreach i in [/routing ospf interface find interface=wlan2] do={/routing ospf interface remove $i;}
add interface=wlan2
/ routing ospf network
:foreach i in [/routing ospf network find network=10.36.253.192/27] do={/routing ospf network remove $i;}
add network=10.36.253.192/27 area=backbone disabled=no
# similar per a wlan3
...
#
# '''WDS''' Enllaç PtP
# Igual que la resta d'interfícies (cal posar la interface i la network) +
# - BGP: Es deixa preparada la configuració BGP però desactivada
# -
/ routing ospf interface
:foreach i in [/routing ospf interface find interface=wds_TortosaINSEbreRd1] do={/routing ospf interface remove $i;}
add interface=wds_TortosaINSEbreRd1
/ routing ospf network
:foreach i in [/routing ospf network find network=172.16.135.4/30] do={/routing ospf network remove $i;}
add network=172.16.135.4/30 area=backbone disabled=no
'''/ routing bgp peer'''
:foreach i in [find name=TortosaINSEbreRd1] do={/routing bgp peer remove $i;}
add name="TortosaINSEbreRd1" instance=default remote-address=172.16.135.5 remote-as=19633 \
multihop=no route-reflect=no ttl=1 in-filter=ospf-in out-filter=ospf-out '''disabled=yes'''
# Configuració del firewall
# No fer NAT de OSPF a les IPs de gestió de classe B 172.16.x
/ip firewall nat
...
add chain=srcnat src-address="172.16.0.0/12" dst-address=!172.16.0.0/12 '''protocol=!ospf''' action=src-nat to-addresses=10.36.253.33 comment="" disabled=no
...
# Filtres BGP i OSPF
# cadenes ospf-in i ospf-out. Són cadenes a mida (similar al que fa [[iptables]]) per a utilitzar després en la configuració de l'enrutament dinàmic
# La cadena no deixa entrar ni sortir res que no sigui OSPF i que vingui o surti cap a 10.0.0.0/8
:foreach i in [/routing filter find chain=ospf-in] do={/routing filter remove $i;}
:foreach i in [/routing filter find chain=ospf-out] do={/routing filter remove $i;}
'''/ routing filter'''
add chain=ospf-out prefix=10.0.0.0/8 prefix-length=8-32 invert-match=no action=accept comment="" disabled=no
add chain=ospf-out invert-match=no action=discard comment="" disabled=no
add chain=ospf-in prefix=10.0.0.0/8 prefix-length=8-32 invert-match=no action=accept comment="" disabled=no
add chain=ospf-in invert-match=no action=reject comment="" disabled=no
# Configurar BGP per redistribuir OSPF. En tot cas els peers BGP estan desactivat una mica més amunt
# Se suposa que es fa aquesta configuració per si s'activa el BGP ja tenir-ho fet????
# Instància BGP
/ routing bgp instance
set default name="default" as=19634 router-id=10.36.253.33 redistribute-static=yes \
redistribute-connected=yes redistribute-rip=yes redistribute-ospf=yes \
redistribute-other-bgp=yes '''out-filter=ospf-out''' \
client-to-client-reflection=yes comment="" disabled=no
# Al final de tot, l'enrutament OSPF:
# Enrutament OSPF
# - Es crea la instància default
/routing ospf instance set default name=default router-id=10.36.253.33 comment="" disabled=no distribute-default=never redistribute-bgp=as-type-1 redistribute-connected=no
redistribute-other-ospf=no redistribute-rip=no redistribute-static=no '''in-filter=ospf-in''' '''out-filter=ospf-out'''
#
'''nota''': extret del supernode: http://guifi.net/TortosaRoser
Per l'entorn gràfic seria:
A '''Routing/OSPF''' a la pestanya '''interfaces''':
:* Afegir totes les interfícies una a una amb els valors per defecte.
[[Fitxer:OSPFRouterOSGuifi.png|center]]
Cal també afegir les xarxes a la pestanya '''Networks''':
:*Cal afegir totes les xarxes i associar-les a l'àrea backbone.
{{nota|L'àrea backbone no cal crear-la ja que ve de sèrie a routerOS}}
[[Fitxer:OSPFRouterOSGuifiNetworks.png|center]]
Ara cal crear els filtres a '''Routing'''/'''Filters''' ospf-in i ospf-out:
[[Fitxer:OSPFRouterOSGuifi_filters.png|center]]
Ha de quedar:
:*'''Número 0''': ospf-out, prefix: 10.0.0.0/8 prefix-length: 8-32 action: accept
:*'''Número 1''': ospf-out, action: discard
:*'''Número 2''': ospf-in, prefix: 10.0.0.0/8 prefix-length: 8-32 action: accept
:*'''Número 3''': ospf-in, action: reject
{{important|Compte, la chain ospf-out no apareix al desplegable, cal afegir-la a mà escrivint el nom de la cadena.}}
A la pestanya '''instances''' afegir la instància default:
[[Fitxer:OSPFRouterOSGuifi_instances.png|center]]
Valors a escollir:
:*'''router-id''': IP principal del router (bridge lan/wlan)
:*'''distribute-default''': never
:*'''redistribute-bgp''': as-type-1
:*'''redistribute-connected''': no
:*'''redistribute-other-ospf''': no
:*'''redistribute-rip''': no
:*'''redistribute-static''': no
:*'''In Filter''': ospf-in
:*'''Out Filter''': ospf-out
{{important| Cal afegir el peer OSPF? o s'afegeix automàticament! Al codi de unsolclic no el veig enlloc, potser l'afegeix al detectar-lo per l'enllaç WDS funcional? O potser ho agafa del BGP peer que si que s'indica!? Segurament és automàtic ja que no hi ha botó + per afegir peers a OSPF!}}
:* Afegir totes les interfícies una a una amb els valors per defecte.
Finalment cal configurar el NAT per tal de fer srcnat de les IP de gestió:
/ip firewall add chain=srcnat src-address="172.16.0.0/12" dst-address=!172.16.0.0/12 protocol=!ospf action=src-nat to-addresses=IP_ADDRESS comment="" disabled=no
On IP_ADDRESS és la IP principal de la RB750G.
=== BGP ===
El primer que cal fer és si teniu el suport per a BGP instal·lat (paquet BGP):
> system package print
# NAME VERSION BUILD-TIME UNINSTALL
0 system 2.5 apr/03/2002 10:06:30 no
1 bgp 2.5 apr/03/2002 10:19:15 no
Vegeu també:
:*[[BGP]]
'''Recursos''':
:*http://wiki.mikrotik.com/wiki/Manual:BGP_HowTo_%26_FAQ
:*http://wiki.mikrotik.com/wiki/Manual:BGP_Case_Studies
:*http://wiki.mikrotik.com/wiki/Manual:BGP_soft_reconfiguration_alternatives_in_RouterOS
:*http://wiki.mikrotik.com/wiki/Manual:Routing
:*http://wiki.mikrotik.com/wiki/Manual:BGP_nexthop_selection_and_validation_in_RouterOS_3.x
:*http://wiki.mikrotik.com/wiki/Manual:BGP_Best_Path_Selection_Algorithm
:*http://wiki.mikrotik.com/wiki/Manual:Simple_BGP_Multihoming
:*http://wiki.mikrotik.com/wiki/Manual:BGP_based_VPLS
==== Exemple. Connectar tres routers en línia (sense redundàncies) amb BGP ====
Ajudes: Entrar amb guest/guest a un router de guifi per veure exemples de configuració
TODO: Gràfica amb els tres encaminadors en línia on apareguin totes les dades de xarxa: interfícies, adreces IP, rangs de xarxa, ASNs (incloure imatge i original)
XARXA 1 --> ROUTER 1 --> ROUTER 2 -- ROUTER 3 --> Xarxa 3
|
XARXA 2
Els passos a seguir són:
:*Prerequisits
:*Configurar els enllaços punt a punt
:*Comprovació de la connectivitat TCP
:*Configuració de BGP
:*Comprovacions
'''Prerequisits''':
:*Escollir les interfícies de xarxa per als punts a punts i per a les xarxes públiques i documentar-les.
:*Assegurar-se de desactivar els firewalls i el NAT
:*Desactivar DHCP
:*Desactivar switch si s'escau. Les interfícies han de ser independents
'''Configuració dels enllaços punt a punt'''
:*A IP > Adresses afegir les adreces de les xarxes punt a punt (172.x.x.x/30) (TODO: comandes i captures de pantalla)
:*A IP > Adresses afegir les adreces de les xarxes públiques (10.x.x.x/27) (TODO: comandes i captures de pantalla). Es poden afegir a qualsevol interfície que no sigui les utilitzades per connectar els routers
:*Comprovar a IP > Routes com apareixen les rutes de les xarxes directament connectades al dispositiu
'''Comprovació de la connectivitat TCP'''
TODO: Realitzar pings entre els routers i després telnets al port 179
TODO: Documentar en general a [[RouterOS_BGP#BGP_session_is_not_established._Comprovaci.C3.B3_de_la_connectivitat]]
TODO: Documentar aquí amb l'exemple concret
'''Configuració de BGP'''
Cal seguir els següents passos:
:*'''Configuració de la instància''':
Routing > BGP > Instances
No cal afegir cap instància nova només cal modificar la per defecte. (al manual explicar per a que serveixen les instàncies).
Marcar tots les opcions redistribute (al manual explicar-les). El primer cop no indicar filtres i més endavant si que els posem. Tota la resta per defecte.
:*'''Configuració dels Peers'''
Routing > BGP > Peers
Observar que hi ha routers que necessitaran configurar dos veïns. Cal indicar:
- Nom del node remot
- IP del node remot (ips de gestió)
- Remote ASN
- TTL= 1
Tota la resta per defecte.
Contestar a les següents preguntes?
Es publiquen les xarxes 172.x.x.x/30?
:*Configuració del filtres ('''Routing filters''')
:*Afegir un filtre d'entrada que només deixi passar les adreces públiques (10.0.0.0/8). Lo mateix de sortida
:*Indicar la diferència entre reject i discard.
'''Comprovacions''':
:*Feu pings a les diferents xarxes públiques
:*Comprovar com s'afegeixen les rutes dinàmiques. Captura de pantalla. Explicar els valors de la primera columna de IP > Routes. Mostra els AS-PATH i indicar com. Comprovar que apareixen totes les rutes.
:*Amb l'opció torch de les interfícies de les connexions punt a punt comprovar que s'estableix una connexió TCP al port de BGP
:*Comprovar i documentar BGP > Advertisements
'''Altres'''
:*Proveu de publicar una nova ruta a la pestanya Networks. Es publica a la resta de ruters?
:*Proveu de fer una aggregació de rutes a
===== Com definir l'exemple anterior a partir de Guifi =====
Feu-ho a test.guifi.net. Creeu tres nodes, enllaçeu-los punt a punt amb WDS i obtingueu els valors d'adreçes de xarxa 10.0.0.0/27 i de gestió 172.16.0.0/30.
==== Exemple. Connectar tres routers en cercle (amb redundàncies) amb BGP ====
Similar a l'anterior però cal documentar com es reben dos rutes possibles per cada xarxa i quin és el criteri per quedar-se una ruta o l'altre.
També cal documentar i provar que passa si es talla un dels enllaços... Tot hauria de continuar funcionant.
{{nota|Observeu que el servidor Linux tindrà una configuració Multihomed i sempre tindrà dos opcions per accedir a la xarxa i per tant esteu fent [[BGP Multihoming]]}}
==== Troubleshooting. Resol·lució de problemes ====
'''Recursos''':
:*http://wiki.mikrotik.com/wiki/Manual:BGP_HowTo_%26_FAQ
===== BGP session is not established. Comprovació de la connectivitat =====
TODO: Traduir
BGP uses [[TCP]] i el port TCP [[179]] so to discover the cause of the problem, you can start with testing TCP connectivity. One way to do that is as simple as:
/system telnet <remote-ip> 179
and check if the TCP connection can be established, and BGP port 179 is open and reachable.
If this is [[eBGP]], make sure you have configured [[multihop=yes]] and [[TTL]] settings as needed. Use:
/routing bgp peer print status
to see the current state of BGP connection.
Also note that if the remote peer is not supporting [[BGP Capabilities Advertisement]] ([[RFC 2842]]), some extra time will be needed for session establishment. The establishment will fail at the first time in this case, because of unknown options in BGP OPEN message. It should succeed at second attempt (i.e. after about a minute) and in any further attempts, because RouterOS will remember the offending options for that peer and not include them in BGP OPEN messages anymore.
==== Aggregacions ====
TODO: provar com funciona l'agregració: posar múltiples xarxes consecutives a un node i després només publicar una més gran que els inclogui:
De dos de /27 a una de 26:
$ ipcalc 10.36.254.0/27 26
Address: 10.36.254.0 00001010.00100100.11111110.000 00000
Netmask: 255.255.255.224 = 27 11111111.11111111.11111111.111 00000
Wildcard: 0.0.0.31 00000000.00000000.00000000.000 11111
=>
Network: 10.36.254.0/27 00001010.00100100.11111110.000 00000
HostMin: 10.36.254.1 00001010.00100100.11111110.000 00001
HostMax: 10.36.254.30 00001010.00100100.11111110.000 11110
Broadcast: 10.36.254.31 00001010.00100100.11111110.000 11111
Hosts/Net: 30 Class A, Private Internet
Supernet
Netmask: 255.255.255.192 = 26 11111111.11111111.11111111.11 000000
Wildcard: 0.0.0.63 00000000.00000000.00000000.00 111111
Network: 10.36.254.0/26 00001010.00100100.11111110.00 000000
HostMin: 10.36.254.1 00001010.00100100.11111110.00 000001
HostMax: 10.36.254.62 00001010.00100100.11111110.00 111110
Broadcast: 10.36.254.63 00001010.00100100.11111110.00 111111
Hosts/Net: 62 Class A, Private Internet
O de 4 a 1:
$ ipcalc 10.36.254.0/27 25
Address: 10.36.254.0 00001010.00100100.11111110.000 00000
Netmask: 255.255.255.224 = 27 11111111.11111111.11111111.111 00000
Wildcard: 0.0.0.31 00000000.00000000.00000000.000 11111
=>
Network: 10.36.254.0/27 00001010.00100100.11111110.000 00000
HostMin: 10.36.254.1 00001010.00100100.11111110.000 00001
HostMax: 10.36.254.30 00001010.00100100.11111110.000 11110
Broadcast: 10.36.254.31 00001010.00100100.11111110.000 11111
Hosts/Net: 30 Class A, Private Internet
Supernet
Netmask: 255.255.255.128 = 25 11111111.11111111.11111111.1 0000000
Wildcard: 0.0.0.127 00000000.00000000.00000000.0 1111111
Network: 10.36.254.0/25 00001010.00100100.11111110.0 0000000
HostMin: 10.36.254.1 00001010.00100100.11111110.0 0000001
HostMax: 10.36.254.126 00001010.00100100.11111110.0 1111110
Broadcast: 10.36.254.127 00001010.00100100.11111110.0 1111111
Hosts/Net: 126 Class A, Private Internet
etc...
TODO: Supernode enllaç punt a punt Tortosa/Santa Barbara : estan les xarxes dividides coherentment i sense salts. estudiar si es pot fer
== PPP ==
=== Protocols suportats ===
MIcrotik suporta tant com a client o servidor els següents protocols:
:*[[PPP]]
:*[[PPTP]]
:*[[SSTP]]
:*[[L2TP]]
:*[[OpenVPN]]
:*[[PPPoE]]
* Primera pestanya: [[Interface]]. Per fer connexions punt a punt.
::* Botó [[PPP]] Scanner: Seleccionem una [[interface]] i serveix per detectar altres dispositius per crear els enllaços punt a punt.
::* Botó [[PPTP]] Server: Mostra les [[interfaces]] per cadascú dels clients [[PPTP]] connectats.
::* Botó [[SSTP]] Server: Per fer un punt a punt xifrat.
::* Botó [[L2TP]] Server: Tunel segur per al transport de tràfic [[IP]] a través de [[PPP]].
::* Botó [[OVPN]] Server: Protocol [[VPN]] (xarxa privada virtual - Virtual Private Network) que pot utilitzar un [[proxy]].
::* Botó [[PPPoE]] Scan: Per obtenir [[IP]]s públiques.
* Segona pestanya: [[PPPoE]] Servers. Per crear servidors [[PPPoE]].
* Tercera pestanya: Secrets. Emmagatzema registres d'accés dels usuaris.
* Quarta pestanya: Profiles. Defineix valors predeterminats per als registres d'accés d'usuaris.
* Cinquena pestanya: Active Connections. Mostra totes les connexions establertes mitjançant [[TCP]].
=== PPP AAA (Authentication, Athorization and Accounting) ===
Bàsicament a routerOS hi ha dos formes de gestionar l'autenticació, autorització i l'accounting:
:*'''Local''': routerOS gestiona una base de dades d'usuaris i de perfils (profiles)
:*'''Externa''': es pot utilitzar un servidor [[Radius]] extern.
La configuració globla de un usuari es el resultat d'aplicar de forma conjunta:
:*La informació del usuari a la base de dades d'usuaris
:*La informació del perfil associat a l'usuari
:*La informació del perfil associat al servei que està intentant utilitzar (autenticació) l'usuari.
{{nota|Com podeu veure els perfils s'apliquen tant als usuaris com al serveis}}
Com podeu veure en un cas concret es poden aplicar múltiples perfils al mateix temps i amb dades contradictories, per tant, s'aplica el següent criteri de prioritats:
:*Els perfils per defecte de la base de dades de perfils tenen la prioritat més baixa. Aquests perfils ja venen preconfigurats a routerOS.
:*Les dades del usuari tenen la prioritat més alta.
TODO: with the only exception being particular IP addresses take precedence over IP pools in the local-address and remote-address settings, which
described later on.
Amb l'autenticació externa amb [[Radius]] dona la possibilitat de gestionar la base de dades d'usuaris PPP des de un servidor centralitzat el qual poden utilitzar tots els dispositius de xarxa. Els atributs que es reben de un servidors Radius sobrescriuen (tenen més prioritat) els atributs del perfil local.
'''Usuaris'''
La base de dades d'usuaris es gestiona a l'apartat PPP dins la pestanya '''secrets'''
'''Perfils d'usuari''':
Els perfils d'usuari es gestionen a l'apartat PPP dins la pestanya profiles o per línia de comandes:
/ppp profile
Els perfils PPP s'utilitzen per definir valors per defecte per als paràmetres dels usuaris que es poden definir al menu secret. Les configuracions especifiques d'un usuari tenen prioritat respecte a les aplicades al perfil així podem tenir múltiples usuaris utilitzant un mateix perfil però que un usuari concret pugui sobrescriure la seva configuració per defecte per tal d'aplicar-li característiques especials.
{{nota| L'excepció a tenir en compte és que si s'especifica una IP concreta sempre té preferència respecte a un pool d'adreces IP. }}
Cal tenir el compte que routerOS sempre té dos pefils per defecte que no poden ser esborrats:
ppp profile> print
Flags: * - default
0 * name="default" use-compression=no use-vj-compression=no use-encryption=no only-one=no
change-tcp-mss=yes
1 * name="default-encryption" use-compression=default use-vj-compression=default use-encryption=yes
only-one=default change-tcp-mss=default
Són els perfils default i default-encryption. Aquests perfils defineixen els valors per defecte del dispositiu i per tant tot i que no els podeu esborrar els podeu modificar per tal de definir els valors per defecte.
'''Paràmetres d'usuari''':
:*'''use-compression (yes | no | default; Default: default)''': Especifica quan utilitzar compressió o no. La compressió utilitza menys ampla de banda però té penalització d'ús de [[CPU]]. El valor per defecte és utilitzar el del perfil default. HI ha dos tipus de compressió, la per defecte i VJ.
:*'''use-encryption (yes | no | default | require; Default: default)''': Especificar si volem xifrar la informació que viatge per la connexió punt a punt. Amb require es força l'ús de [[xifratge]].
:*'''use-mpls (yes | no | default | require; Default: default)''': igual que els anteriors però per utilitzar [[MPLS]].
:*'''only-one'' (yes | no | default; Default: default)''' Permet indicar si aquest usuari podrà tindré més d'una connexió al mateix temps. El valor per defecte és default, és a dir s'aplica el que digui el perfil per defecte. Aquest paràmetre és ignorat si s'utilitza autenticació via Radius.
{{nota| TODO If there are more that 10 simultaneous PPP connections planned, it is recommended to turn the change-mss property off, and use one general MSS changing rule in mangle table instead, to reduce CPU utilization. }}
'''Connexions actives'''
En aquesta apartat podeu veure quins usuaris hi ha connectats i en quins paràmetres. En el cas de l'autenticació externa per Radius, pot passar que no vegeu cap usuari a la base de dades d'usuaris locals (apartat secrets) però que aquí i hagui connexions actives provinents de l'autenticació externa amb Radius.
'''Recursos''':
:*http://wiki.mikrotik.com/wiki/Manual:PPP_AAA
:*[[PPP]]
:*[[AAA]]
=== PPPoE ===
TODO
'''Recursos''':
:*[[PPP]]
:*[[PPPoE]]
:*http://forum.mikrotik.com/viewtopic.php?f=2&t=52905
==== ADSL Monolloc i PPPoE ====
Provat amb [[Zyxel P-870HW-51A V2]] en mode bridge.
Seguir les passes de:
:*http://www.ryohnosuke.com/foros/t224/
TODO Documentar:
:*Comprovar com s'agafen les DNS de telefònica (IP>DNS)
:*Comprovar la IP dinàmica que s'aconsegueix
:*Comprovar la taula de rutes
:*Comprovar la connectivitat
:*Qüestions a tenir en compte: el gateway és una IP privada (connexió PPP). No contesta als pings
==== Resol·lució de problemes ====
===== No es pot navegar per algunes pàgines web quan s'utilitza PPPoE a routerOS =====
Consulteu [[Point_to_Point_Protocol_PPP_i_ADSL#No_es_pot_navegar_per_algunes_p.C3.A0gines_web_quan_s.27utilitza_PPPoE_a_routerOS]]
=== User Manager ===
User managment és un paquet independent del sistema operatiu routerOS que pot ser utilitzat per a gestionar els usuaris de un:
:*[[HotSpot]]
:*Usuaris [[PPP]]
:*Usuaris [[DHCP]]
:*Usuaris WIFI
:*Usuaris del propi routerOS
User Manager utilitza Radius.
Els requiments són:
:*Cal tenir la mateixa versió de routerOS que de User manager
:*Funciona als processadors x86, [[MIPS]] i [[PowerPC]]
:*El router ha de tenir 32MB RAM com a mínim i 2MB d'espai de disc o mempòria flash lliure.
Es pot provar una demo a:
http://userman.mt.lv/userman
Entrant amb l'usuari i paraula de pas demo.
Es pot obtenir el paquet a:
http://www.mikrotik.com/download.html
Escolliu el vostre sistema routerOS i baixeu l'opció '''zip files''' que conté tots els paquets. Per exemple per un dispositius [[mipsbe]] el fitxer és:
http://download2.mikrotik.com/all_packages-mipsbe-5.11.zip
I el paquet [[npk]] és:
user-manager-5.11-mipsbe.npk
{{nota|A l'exemples em baixat la versió 5.11, adapteu l'exemple a la versió que hi hagui actualment o que estigueu utilitzant}}
Per instal·lar-lo cal copiar-lo via [[FTP]] o [[scp]] al dispositiu i reiniciar (procediment similar a una actualització del firmware. Consulteu [[RouterOS#Firmware.2FRouterOS_upgrade]]). Per exemple per accedir via [[FTP]] amb el [[Nautilus]]:
$ nautilus ftp://[email protected]_DEL_ROUTER
Per reiniciar aneu a System > Reboot. Per utilitzar-lo es tracta d'una aplicació web a la que podeu accedir amb:
http://IP_DEL_ROUTER/userman
Però abans us haureu de crear un usuari anant a:
/tool user-manager menu.
Per afegir un usuari (subscriber):
> tool user-manager customer
> tool user-manager customer> add login="admin" password="PASSWORD" permissions=owner
{{nota|És possible que l'usuari admin ja existeixi}}
Per canviar la paraula de pas:
> tool user-manager customer set admin password=PASSWORD
Per mostrar els usuaris:
> print
Flags: X - disabled
0 subscriber=admin login="admin" password="adminpassword" time-zone= 00:00
permissions=owner parent=admin
És una alternativa a eines com [[Radius Manager]].
'''Recursos''':
:*http://wiki.mikrotik.com/wiki/Manual:User_Manager
== Túnels ==
Vegeu també [[túnels]] i [[VPN]]. A routerOS els túnels es defineixen com interficies especials a l'apartat interfícies.
http://wiki.mikrotik.com/wiki/Manual:Interface
=== EOIP ===
[[Ethernet over IP]] (EoIP) Tunneling és un protocol de MikroTik RouterOS que permet crear un túnel ethernet entre dos routers de diferents xarxes.
El túnel EoIP hauria de funcionar sobre una connexió capaç de transportar dades i paquets IP. Quan el router actua com a pont, tot el tràfic [[ethernet]] (tots els protocols ethernet) funcionaran com si hi hagués una cable directe entre un router i l'altre. Aquest protocol fa diversos esquemes possibles de xarxa.
*Configuracions de xarxa amb interfície EoIP:
Fer un pont LAN a través d'internet
Fer un pont LAN a través de túnels encriptats
Fer un pont LAN a través de xarxes WLAN 'ad-hoc'
*El protocol EoIP encapsula trames ethernet amb paquets [[GRE]] (igual que ho fa [[PPTP]]) i els envia a la punta remota del túnel EoIP.
====Propietats====
{| border="0" class="wikitable"
|-
! width="100 px" | Propietat
! width="200 px" |Opcions
! Descripció
! width="100 px" |Per defecte
|-
| [[arp]]
| disabled | enabled | proxy-arp | reply-only
| ''Protocol de resolució d'adreces''
| enable
|-
| keepalive
| integer
| ''Estableix l'interval de temps (en segons) en que es recibeixen missatges keep-alive. Si es perden 3 missatges s'eliminarà la interfície activa. Per a que funcioni correctament, el valor del temps ha de ser igual a les dues bandes del túnel''
| not set
|-
| 12mtu
| integer
| ''Unitat de transmissió màxima de la capa 2. No és configurable per EoIP''
| not set
|-
| mac-address
| Adreça MAC
| ''L'adreça MAC. Es poden utilitzar lliurement els rangs des de '''00:00:5E:80:00:00''' fins '''00:00:5E:FF:FF:FF'''''
| -
|-
| mtu
| integer
| ''Unitat de transmissió màxima de capa 3''
| 1500
|-
| name
| string
| ''El nom de la interfície''
| -
|-
| remote-address
| Adreça IP
| ''L'adreça IP de la banda final del túnel EoIP''
| -
|-
| tunnel-id
| integer:65536
| ''Identificador únic del túnel. Ha de concordar a les dues bandes''
| -
|}
*'''Notes''':
:*La propietat tunnel-id és un mètode d'identificació del túnel.
:*mtu hauria d'estar sempre a valor 1500 per eliminar la desfragmentació de paquets dins el túnel (això permet una connexió pont transparent i seria possible transportar trames ethernet completes per tot el túnel).
:*És altament recomanat utilitzar adreces MAC úniques per a cada túnel.
:*Per a les interfícies EoIP es pot utilitzar lliurement el següent rang d'adreces: des de 00:00:5E:80:00:00 fins 00:00:5E:FF:FF:FF. No obstant, es pot programar el segon bit del primer byte per a marcar l'adreça com una adreça administrada localment, assignada per l'administrador de la xarxa, i utilitzar qualsevol adreça MAC. Tant sols t'has d'assegurar que és única entre els hosts que formen el túnel.
{{Important| El túnel EoIP afegeix com a mínim 42 Bytes de més (8 Bytes GRE + 14 Bytes de ethernet + 20 Bytes IP)}}
==== Configuració ====
Per fer un túnel EoIP entre 2 [[routers]] que tenen adreces IP 10.5.8.1 i 10.1.0.1:
:* En el router amb l'adreça [[IP]] 10.5.8.1, afegir una interfície EoIP i establir la seva adreça [[MAC]]:
/ Interfície EoIP afegir a distància-address = 10.1.0.1 del túnel-id = 1 mac-address = 00-00-5E-80-00-01 \
:* En el router amb l'adreça IP 10.1.0.1, afegir una interfície EoIP i establir la seva adreça [[MAC]]:
/ Interfície EoIP afegir a distància-address = 10.5.8.1 del túnel-id = 1 mac-address = 00-00-5E-80-00-02 \
Ara podem afegir adreces [[IP]] a les interfícies EoIP creades a partir de la mateixa subxarxa.
===== Configuració [[IP]] routerboard servidor =====
* Primer pas: Dins de [[Winbox]], entrem a [[IP]] - Addresses. Afegim una [[IP]] 192.168.88.1/24 amb interface ''ether2'' i network 192.168.88.0. Aquesta configuració és per fer la [[IP]] pública ([[Internet]]).
[[Fitxer:eoip_jaume_sergi_configuracio1.png|center|250px]]
* Segon pas: Configurem la [[IP]] privada per poder fer el túnel. [[IP]] = 192.168.81.1/24, interface ''ether3'' i network 192.168.81.0.
[[Fitxer:eoip_jaume_sergi_configuracio2.png|center|250px]]
{{Nota | Per tenir les interfaces 2 i 3, prèviament tenim que entrar dins de Interfaces, fer doble clic damunt una interface qualsevol, i modificar-la i ficar el nom d'interfície que més ens interessi. Una vegada modificada la interfície, després la podem seleccionar quan configurem les [[IP]] públiques i privades.}}
* Tercer pas: Una vegada configurades les [[IP]]s, entrem en Interfaces. De la llista desplegable que hi ha en el símbol "+", seleccionem [[PPTP]] Server. En el nom que surt al requadre fiquem ''pptp-in1''.
[[Fitxer:eoip_jaume_sergi_configuracio3.png|center|250px]]
===== Configuració [[IP]] routerboard client =====
* Primer pas: Dins de [[Winbox]], entrem a [[IP]] - Addresses. Afegim una [[IP]] 192.168.88.254/24 amb interface ''ether2'' i network 192.168.88.0. Aquesta configuració és per fer la [[IP]] pública (Internet).
* Segon pas: Configurem la [[IP]] privada per poder fer el túnel. [[IP]] = 192.168.81.2/24, interface ''ether3'' i network 192.168.81.0.
{{Nota | Per tenir les interfaces 2 i 3, prèviament tenim que entrar dins de Interfaces, fer doble clic damunt una interface qualsevol, modificar-la i ficar el nom d'interfície que més ens interessi. Una vegada modificada la interfície, després la podem seleccionar quan configurem les [[IP]] públiques i privades.}}
* Tercer pas: Una vegada configurades les [[IP]]s, entrem en Interfaces. De la llista desplegable que hi ha en el símbol "+", seleccionem [[PPTP]] Server. En el nom que surt al requadre fiquem ''pptp-out1''.
===== Configuració túnel [[PPTP]] =====
* Servidor: Seleccionem del menú de [[WinBox]] [[PPP]]. Seleccionem la interficie (pptp-in1) i cliquem el botó [[PPTP]] Server. Habilitem la opció ''Enabled'' i cliquem Ok.
En la pestanya Secrets afegirem una configuració nova de seguretat amb les [[IP]]s locals (172.0.0.10) i remotes (172.0.0.12). El servei (service) el fiquem en [[pptp]]. Deixem el nom que hi ha per defecte (ppp1) i afegim, també, password (1234). Cliquem en Ok.
* Client: Tenim que fer Interfaces - Interface - icona "+" - [[PPTP]] Client. En la nova pantalla que surt, seleccionem la pestanya Dial Out. Col·loquem la [[IP]] del servidor (192.168.88.1), user (ppp1), password (1234), i Ok.
[[Fitxer:eoip_jaume_sergi_configuracio5.png|center|250px]]
[[Fitxer:eoip_jaume_sergi_configuracio6.png|center|250px]]
Si tots els passos s'han realitzat correctament, ja estan connectats servidor i client.
===== Túnel EoIP =====
* Servidor: Anem a Interfaces - pestanya EoIP Tunnel. Afegim una nova interficie (icona "+").
::* Name: deixem el que surt per defecte (eoip-tunnel1)
::* Type: no cal modificar.
::* MTU: no cal modificar.
::* L2MTU: no cal modificar.
::* [[MAC]] Address: no cal modificar.
::* [[ARP]]: no cal modificar.
::* Local Address: fiquem la [[IP]] del servidor (192.168.81.1).
::* Remote Address: fiquem la [[IP]] del client corresponent a la eth3 (192.168.81.2).
::* Tunnel ID: fiquem un número identificatiu (qualsevol).
* Client: Anem a Interfaces - pestanya EoIP Tunnel. Afegim una nova interficie (icona "+").
::* Name: deixem el que surt per defecte (eoip-tunnel1)
::* Type: no cal modificar.
::* MTU: no cal modificar.
::* L2MTU: no cal modificar.
::* [[MAC]] Address: no cal modificar.
::* [[ARP]]: no cal modificar.
::* Local Address: no fiquem res.
::* Remote Address: fiquem la [[IP]] del servidor corresponent a la eth3 (192.168.81.1).
::* Tunnel ID: fiquem el mateix número identificatiu que hem ficat al configurar el servidor.
[[Fitxer:eoip_jaume_sergi_configuracio4.png|center|250px]]
===== [[Bridge]] =====
* Servidor: Anem a Bridge - pestanya Bridge i afegim un nou pont (icona "+"). Deixem la configuració que surt per defecte en la pantalla i cliquem Ok.
Un cop creat el bridge, s'han d'afegir 2 ports per a que hi hagi connexió entre els routers. Anem a la pestanya Ports (icona "+").
::* port1
:::: Interface: eth2
:::: Bridge: bridge1
[[Fitxer:eoip_jaume_sergi_configuracio8.png|center|250px]]
::* port2
:::: Interface: eoip-tunnel1
:::: Bridge: bridge1
[[Fitxer:eoip_jaume_sergi_configuracio9.png|center|250px]]
* Client Anem a Bridge - pestanya Bridge i afegim un nou pont (icona "+"). Deixem la configuració que surt per defecte en la pantalla i cliquem Ok.
Un cop creat el bridge, s'han d'afegir 2 ports per a que hi hagi connexió entre els routers. Anem a la pestanya Ports (icona "+").
::* port1
:::: Interface: eoip-tunnel1
:::: Bridge: bridge1
::* port2
:::: Interface: eth3
:::: Bridge: bridge1
[[Fitxer:eoip_jaume_sergi_configuracio10.png|center|400px]]
===== Comprovacions =====
Si totes les connexions s'han fet correctament, la manera més senzilla de comprovar que funciona el túnel és fent un [[ping]].
==== Comprovacions ====
*Anem a ''Interfaces'' i fem clic al port pptp-client. Observem que a la part de baix fica '''Status: Connected'''. Això ens indica que el túnel pptp funciona correctament:
[[Fitxer:Usuari-Gerardsese_Practica_EoIP_Comprovacions_1.png | center]]
*Anem a ''Tools'' --> ''Ping'' i fem ping a la direcció IP 192.168.81.1. Aquesta direcció és la del port 3 per la qual fem els túnels:
[[Fitxer:Usuari-Gerardsese_Practica_EoIP_Comprovacions_2_Ping.png | center | 600px]]
[[Fitxer:Usuari-Gerardsese_Practica_EoIP_Comprovacions_2.png | center]]
==== Errors ====
*No confundir les adreces remotes amb les adreces que sen's assignen per defecte (prèvia configuració del router servidor) automàticament un cop fet el túnel EoIP.
*Si no podem accedir al router a través del winbox pot ser perquè no s'ha configurat bé la IP de la màquina i la porta d'enllaç. Si encara així el problema persisteix, el millor es reiniciar el router i connectar-nos via web amb l'adreça 192.168.88.1
==== Fitxers ====
'''Explicació gràficament'''
Gràfica original: [[Fitxer:graf_conf_dlrh.doc| Gràfica]]
[[Fitxer:Bridge_EoIP_dlrh.png|center]]
[[Fitxer:Bridge_EoIP_dlrh1.png|center]]
'''Backup's dels routers'''
* Servidor: [[Fitxer:backup_servidor_eoip_dlrh.tar.gz]]
* Client: [[Fitxer:backup_client_eoip_gcc.tar.gz]]
==== Enllaços ====
*[http://es.wikipedia.org/wiki/N%C3%BAmeros_de_protocolo_IP| Números de protocols IP]
*[http://www.dd-wrt.com/wiki/index.php/EoIP_Routing| EoIP Routing]
*[http://blog.butchevans.com/2008/09/mikrotik_routeros_transparent_bridge_pptp_eoip| Configuració EoIP]
=== IPIP ===
TODO
'''Recursos'''
:*http://wiki.mikrotik.com/wiki/Manual:Interface/IPIP
:*[[Túnels]]
::*[[IPIP]]
=== GRE Túnel ===
'''Recursos'''
:*http://wiki.mikrotik.com/wiki/Manual:Interface/Gre
:*[[Túnels]]
::*[[GRE]]
=== L2TP ===
El primer que cal fer és activar el servidor:
$ [[cat]] [[/etc/services]] | [[grep]] [[l2tp]]
[[l2f]] [[1701]]/tcp l2tp
l2f 1701/udp l2tp
Per comprovar que el servei funciona feu un [[nmap]] abans i després d'activar el servei:
$ [[sudo]] [[nmap]] -p 1701 -sU 10.140.129.2
Starting Nmap 6.00 ( http://nmap.org ) at 2012-12-18 19:38 CET
Nmap scan report for 10.140.129.2
Host is up (0.0052s latency).
PORT STATE SERVICE
1701/udp closed L2TP
I després d'activar-ho:
$ sudo nmap -p 1701 -sU 10.140.129.2
Starting Nmap 6.00 ( http://nmap.org ) at 2012-12-18 19:38 CET
Nmap scan report for 10.140.129.2
Host is up (0.0073s latency).
PORT STATE SERVICE
1701/udp open|filtered L2TP
'''Recursos'''
:*http://wiki.mikrotik.com/wiki/Manual:Interface/L2TP
:*[[Túnels]]
::*[[L2TP]]
==== L2TP i multihoming ====
Sembla que el server L2TP en el cas de tenir múltiples adreces IPs només funciona si es connecta al servidor utilitzant la IP que sigui la mateixa que la Ip per la que entra el paquet.
==QoS==
:*[[Quality_Of_Service#QoS_a_microtik]]
== Accés Lists ==
TODO:
Sergi, a veure et comento:
Jo a Hospitalet ho tinc de la manera que comentes, establint un nivell de senyal de -85 a qualsevol tipus de connexio client a 2,4 GHz, a 5 GHz nomes admeto clients en un sol punt de la xarxa a Hospitalet i tambe tinc establerta aquesta limitacio.
Aixo es fa al RoS, fent-lo amb el Winbox es procedeix aixi:
Wireless --->Access list: Afegeixes un nou patro, indicant la interface a la qual afectara (post deixar ''all'' per totes), seguidament el nivell de senyal (si es per clients podries possar -85..120), a continuacio marques el Authentication i Forwarding si permets la connexio i no els marques si no ho permets.
Molta precaucio en l'ordre que poses les regles de connexio, pensa en les ACL del SQUID, si poses la primera per exemple una similar a: Interface: All / Signal: -120..120 i sense marcar Authentication i Fordwarding, llavors no permetra cap connexio.
Has d'anar provant, fins que aconsegueixis afinar be les connexions, permetent les oportunistes, pero amb una minima qualitat, per no desvirtuar a la resta de connexions (que vagin molt a poc a poc).
Per altre lloc tens la pestanya del Connect List, on jo personalment tinc definits els WDS, encara que les restriccions indicades anteriorment no afecten a les connexions WDS. Tambe podries definir en el Connect List excepcions en connexions, per exemple per fer enllaços es util marcar la Mac de l'equip el qual vols connectar, perque permeti per exemple una connexio client provisional per canviar algun parametre o fer proves de qualsevol mena.
Espero haber-te ajudat, si mes no una mica nomes.... ja comentaras si et serveix aquesta mini explicacio.
Salutacions
Ricardo
2011/1/23 Sergi Tur Badenas <[email protected]>
Hola a totes/tots,
Fa temps que tinc pendent mirar-me aquest tema. Crec que de tant en tant tenim problemes de rendiment per que hi ha clients que es connecten amb molt mala connexió i m'agradaria impedir
He vist que hi ha gent que comenta que es pot fer (p.ex. als comentaris de aleix.sole a http://guifi.net/node/17370). Concretament comenta de determinar un mínim de qualitat de senyal. Sabeu com es fa a roterOS?
Plantejo dubtes relacionats a veure si hi ha sort:
- Si tinc un client registrat amb mala connexió però no provoca transit, afecta igualment al rendiment? per exemple, suposeu que el supernode no dona IP per DHCP: Un curiós que es connecti a la xarxa WIFI del AP, no tindrà IP i per tant no podrà navegar ni crear transit. En aquestes circumstàncies si deixa però el node connectat a la wifi i amb mala connexió aleshores afecta al rendiment?
- De fet, es pot impedir la connexió a tothom que no sigui un client conegut? Suposo que es pot fer per MAC, algú hi te experiència?
-----
+1 al que diu el Ricardo. L'access list és per limitar les connexions entrants jugant amb permetre autenticació i forwarding als clients, depenent del criteri de l'RSSI. El que dius de permetre accés a determinats clients es fa igual (la manera més fàcil és deshabilitar el default authenticate i default forward a la interfície wlanX i permetre accés via acces list a les adreces MAC que vulguis). El connect list és quan per exemple tens una ràdio del mk associada com a client (és a dir, quan és el mk es connecta a alguna banda, si muntes coses amb mesh el RoS també agafa les regles d'aquesta llista).
Sobre el tema del client associat: com bé dius Pablo, la capa MAC adapta la velocitat pel client amb mala connexió, però això es fa en cada preàmbul 802.11 i paquet a paquet (s'envia amb el rate bàsic, 6 Mbps per 802.11a i 1 Mbps per 802.11b); són les dades que s'envien després de la capçalera que indica la velocitat les que van a la velocitat que toca (de manera que en termes relatius acabes tenint una capçalera que dura molt més que les dades, si vas al rate màxim).
Pàgina 696 de l'estàndard
http://standards.ieee.org/getieee802/download/802.11-2007.pdf
Si el client no genera trànsit, no entra en la contenció pel medi i per tant el client mal associat no "afecta" en aquell precís moment.
Però:
1) Ningú et garanteix que el client no acabi generant trànsit, per molt que no tingui configuració layer 3
2) A part de la contenció pel medi, on tindries paquets d'11 mbps i paquets d'1mbps (i els paquets d'1mbps impliquen que durant tot el temps que es transmeten no es pugui transmetre a 11 mbps pel medi, amb la pèrdua de rendiment corresponent), considera també que el client mal connectat patirà pèrdues de paquets amb els seus timeouts corresponents
En resum, limita-ho tant com puguis pq només es connectin clients amb bon senyal, tal com diuen les bones pràctiques de guifi, i t'estalviaràs problemes.
Sort,
Aleix
== Monitorització ==
=== SNMP ===
Vegeu també:
:*[[SNMP]]
'''Recursos''':
:*http://wiki.mikrotik.com/wiki/Manual:SNMP
=== Munin ===
:*http://wiki.mikrotik.com/wiki/Munin_Monitoring
== Hotspot ==
Proporciona autenticació per als clients abans d'accedir a les xarxes públiques.
=== Exemple pas a pas de Hostpot amb Mikrotik i User manager ===
== Paquets ==
RouterOS és un sistema extensible, es poden instal·lar paquets extres (extensió npk]]). Per obtenir tots els paquets baixeu el fitxer zip del vostre sistema:
http://www.mikrotik.com/download.html
Podeu consultar un exemple de paquet amb [[User Manager]].
==Consums==
Sí, hi ha un límit de l'amperatge que pot entregar oi?
Jo compto 7,5A màxim, que és el que diu a les specs de la RB600, i ja que
tinc els datasheets just davant perquè m'hi estic barallant, ho pastejo FYI:
Consums (màxim absolut):
XR5 => 1,90 A Tx + 0,4 mA Rx => 2,3 A
RB52 => 400 mA
RB5H => 1,6A
RB52H => 800 mA
La config que tenim ara mateix donant pel sac és una RB600 amb quatre RB52,
dues RB52H i dues XR5.
Surten 7,8 ampers de consum màxim. La "cosa" ha aguantat fins que ha
començat a fer calor, però el watchdog el reinicia de tant en tant i als
vespres (i suposo que quan està més calenta) es queda penjada. A veure què
passa amb la nova caixa.
== 3G ==
Dispositius amb USB, es pot posar un USB Dongle per tenir connexió a Internet per 3G.
Permet rebre i enviar SMS. Es pot executar un script al rebre un SMS (per exemple fer un reboot)
:*http://wiki.mikrotik.com/wiki/Supported_Hardware#3G_cards
:*http://mum.mikrotik.com/presentations/US11/us11-brian.pdf
== IPv6 ==
== Safe mode ==
:*http://blog.bravi.org/?p=928
== Eines ==
=== Dude. Gestió de dispositius ===
http://blackhold.nusepas.com/2012/11/instalar-mikrotik-the-dude-como-un-servicio-de-gnulinux/
Aplicació per a Windows. Provar d'instal·lar amb [[wine]].
http://wiki.mikrotik.com/wiki/Dude_Linux_Installation
==== Instal·lació ====
Tenim que descarregar-nos l'aplicació des de la pàgina web de [[MikroTik]]. Tenim que fer l'arxiu executable per poder-ho executar amb el [[Wine]].
La primera pantalla que surt és la llicència. Cliquem en ''I agree''. En la següent seleccionem tots els check-boxs que hi han i cliquem en ''Next''.
[[Fitxer:router_sergi_jaume_31.png|400px|center]]
En la següent pantalla deixem la destinació de fitxers que surt per defecte i cliquem en ''Install''.
[[Fitxer:router_sergi_jaume_32.png|400px|center]]
Una vegada completada la instal·lació, cliquem en ''Close''. Per obrir la aplicació tenim que fer Aplicaciones -> [[Wine]] -> Programas -> The [[Dude]] -> The [[Dude]]. Abans d'obrir-se l'aplicació, podem escollir l'idioma.
[[Fitxer:router_sergi_jaume_33.png|400px|center]]
En la pantalla inicial que surt (en blanc), tenim que clicar damunt de la primera icona que hi ha dalt a l'esquerra (''Conectar''). Haurem de ficar la [[IP]] de la màquina, usuari admin, '''sense contrasenya''', en modo remoto, i el port que surt per defecte.
[[Fitxer:router_sergi_jaume_34.png|300px|center]]
[[Fitxer:router_sergi_jaume_35.png|700px|center]]
Execució:
$ gksudo wine ~/.wine/drive_c/Program\ Files/Dude/dude.exe &
==== Resol·lució de problemes ====
===== Connection to local server failed =====
Feu clic al botó amb un llamp i connecteu per la IP i no pas per localhost. El usuaris per defecte és admin sense paraula de pas.
===== El dude es penja o les còpies de seguretat es pengen. Fitxer de log massa grans =====
Cal anar a l'apartat de fitxers del propi Dude (pel darrera, és a dir pels fitxers dels sistema routerOS subjacent no apareixen) cal mirar la mida dels fitxer de log. Si són massa grans el sistema es ralentitza.
També cal tenir en compte que els fitxers de backup inclouen els logs i també els fitxers de firmware que es puguin!
===== Els fitxers de backup ocupen massa espai ====
Cal mirar l'apartat fitxers del dude per veure si hi ha fitxers que ocupin massa espai.
== Altres ==
===Partida defectuosa===
A mi em passava amb una placa RB600A, es reiniciava sola, es quedaba
"pájara" i es va solucionar passant el firm a la v3.24 i després a dins,
seguint les instruccions d'en Jordi Soler, vaig fer un
system routerboard upgrade
*https://llistes.projectes.lafarga.org/pipermail/guifi-rdes/2009-July/011107.html
==guifi.net==
===No funciona unsoclic si es torna a passar per segon cop===
Al passar la configuració de guifi.net sobre una màquina que ja havia estat configurada amb unsolclic, el sistema és queda amb una configuració incorrecte. Cal abans fer un:
/system reset-configuration
== Emails ==
Exemple amb [[Gmail]] (de fet l'exemple l'he fet amb un compte google Apps). La configuració del servidor [[SMTP]] es fa a:
Tools > Email
Aquí hi ha un botó '''Send email''' que permet fer una prova d'enviar un correu electrònic.
Només cal tenir en compte que cal activar [[TLS]] i que el port és el 587.
{{important|l'usuari és el propi compte de correu electrònic. Cal posar tot el correu sencer [email protected]}}
També cal tenir en compte que per alguna estranya raó no es poden utilitzar noms de màquina ([[DNS]]) si no que cal utilitzar l'adreça IP. En el meu cas l'adreça del servidor SMTP és la del servidor smtp.gmail.com
$ ping smtp.gmail.com
PING gmail-smtp-msa.l.google.com (173.194.78.109) 56(84) bytes of data.
64 bytes from wg-in-f109.1e100.net (173.194.78.109): icmp_req=1 ttl=44 time=41.2 ms
és a dir:
173.194.78.109
Per depurar l'enviament de missatges:
/system logging add topics=e-mail action=memory
Per enviar per línia de comandes:
/tool e-mail send [email protected] subject="test" body="test" tls=yes
Això suposant que heu configurat totes les dades a:
Tools > Email
=== Script per enviar emails amb backups automàticament ===
# jan/05/2013 17:58:15 by RouterOS 5.22
# software id = 7GT7-DWXP
#
/system scheduler
add comment="Weekly Backups" disabled=no interval=1w name=email-backup \
on-event=backupsandemail policy=\
ftp,reboot,read,write,policy,test,winbox,password,sniff,sensitive,api \
start-date=jan/05/2013 start-time=02:15:00
# jan/05/2013 17:59:29 by RouterOS 5.22
# software id = 7GT7-DWXP
#
/system script
add name=backupsandemail policy=ftp,reboot,read,write,policy,test,winbox,password,sniff,sensitive,api source=":global backupfile ([/system identity get name] . \"-\". [:pick [/sy\
stem clock get date] 7 11] . \"-\" . [:pick [/system clock get date] 0 3] . \"-\" . [:pick [/system clock get date] 4 6] . \"-\" . [/system clock get time])\r\
\n:log info \"Binary backup beginning now...\"\r\
\n/system backup save name=\$backupfile\r\
\n:log info \"...Binary backup terminated... Beginning not compact export backup\"\r\
\n/export file=\$backupfile\r\
\n:log info \"...Not compact backup terminated... Beginning compact export backup\"\r\
\n/export file=(\$backupfile . \"-compact\") compact\r\
\n:log info \"Backup pausing for 10s before sending email\"\r\
\n:delay 10s\r\
\n:log info \"Backup being emailed...\"\r\
\n/tool e-mail send to=\"[email protected]\" subject=([/system identity get name] . \\\r\
\n\" Backup\") from=[/system identity get name] file=(\$backupfile . \".\" . \"backup\" ) tls=yes\r\
\n/tool e-mail send to=\"[email protected]\" subject=([/system identity get name] . \\\r\
\n\" Export\") from=[/system identity get name] file=(\$backupfile . \".\" . \"rsc\" ) tls=yes\r\
\n/tool e-mail send to=\"[email protected]\" subject=([/system identity get name] . \\\r\
\n\" Compact Export\") from=[/system identity get name] file=(\$backupfile . \"-compact.\" . \"rsc\" ) tls=yes\r\
\n:log info \"Emails sent\"\r\
\n"
/tool e-mail> export
# jan/05/2013 18:00:00 by RouterOS 5.22
# software id = 7GT7-DWXP
#
/tool e-mail
set address=173.194.78.109 [email protected] password=PUT_YOUR_PASSWORD_HERE port=587 starttls=no [email protected]
'''Recursos''':
:*http://blog.butchevans.com/2008/09/mikrotik-routeros-automated-backup/
== Troubleshooting, Resol·lució de problemes ==
=== No funciona snmp en interfícies de xarxa amb múltiples IP (Multihoming) ===
No entenc molt bé per què passa aquest error però a vegades els dispositius Mikrotik no accepten peticions SNMP quan hi ha diverses adreces IP? Tampoc tinc lar si és això o és simplement un tema de permisos SNMP de la comunity ja que dona un problema d'autenticació.
Si s'activa el log de snmp a System > logging aleshores a log es pot observar l'error:
snmp authentication failed
Cal anar a:
IP > SNMP
fer clic al botó communities. Feu doble clic a la community public i posar un rang d'adreces IP a la community (o posar 0.0.0.0/0 per a totes les adreces IP)
{{nota|Per defecte en alguns sistemes ja apareix 0.0.0.0/0 però en altres no!}}
:*http://forum.mikrotik.com/viewtopic.php?f=2&t=54869
=== La instal·lació de routerOS per a PC x86 no funciona. Ho hard drives found ===
M'ha passat amb un servidor [[Dell]] [[PowerEdge R210 II]].
Es pot evitar l'error canviant a la BIOS a les configuracions SATA el [[AHCI]] per [[ATA]] però aleshores no troba el CD!
=== No es mostra res a la secció de log ===
Normalment sol ser per que el sistema no està configurat per mostrar els esdeveniments. A l'apartat System > Logging observeu si teniu algun nivell d'esdeveniments que mostri els missatges per memory (memory correspont a la secció Log)
Vegeu [[RouterOS#Logging]].
=== Connexió per MAC ===
Podeu tenir els següents problemes:
:*No funciona si no hi ruta per defecte
:*No funciona amb si l'ordinador té múltiples targetes de xarxa i tenim el gateway definit a una targeta de xarxa que no és la que està connectada el dispositiu al que volem connectar per MAC.
Consulteu [[RouterOS#Acc.C3.A9s_per_MAC]]
=== Comprovació de problemes ===
> system check-installation
> system check-disk
Router will be rebooted. Continue? [y/N]:
=== system,error,critical router was rebooted without proper shutdown by watchdog timer ===
Si al entrar via SSH a una routerOS (o consultant el LOG):
jan/02/1970 00:00:07 system,error,critical router was rebooted without proper shutdown by watchdog timer
[[email protected]] > system
[ad[email protected]] /system> watchdog (tabula DOS COPS)
edit export get print set
[[email protected]] /system> watchdog print
watch-address: none
watchdog-timer: yes
no-ping-delay: 5m
automatic-supout: yes
auto-send-supout: no
TODO...
:*http://wiki.mikrotik.com/wiki/Watchdog
=== Activar el link d'una targeta ethernet (ether1 i POE) a al que funciona POE però no el link===
Després d'un tempesta amb tronades i llamps, la RB600 del supernode de l'institut de l'Ebre, al reiniciar el supernode sembla que s'engega i s'activa correctament tot menys la targeta de xarxa ether1 (la que li fa arribar el POE). En aquest cas també és la que connecta amb els servidors.
L'he pogut activar connectant-me amb winbox al supernode per els AP (via radio) i des d'allà provava d'activar/desactivar la ether1 però no quedava activa (la xarxa té link, és activa, quan surt la lletra R (Running) al costat de la interfície). Al fina s'ha activat quen he desactivat la'utonegociació i l'he posat a mà a 100mbps. Un cop activada he pogut tornat a activar l'autonegociació i sembla que tot funciona correctament.
:*http://guifi.net/ca/InstitutEbre
:*http://guifi.net/ca/guifi/device/19633
==Vegeu també==
:*[[VPN]]
::*[[OpenVPN_Microtik]]
:*[[PPP]]
:*[[Túnels]]
:*[[guifi.net]]
:*[[nanostation]]
:*[[RB 750G]]
:*[[RouterOS]]
:*[[Model híbrid guifi.net]]
==Enllaços externs==
'''Recursos''':
:*http://oriol.joor.net/blog/wiki/index.php/index.php?id=hotspot_wifi