Certified Network Associate (MTCNA)

Átírás

1 Certified Network Associate (MTCNA) 1

2 Bemutatkozás Barta Gergely Accesspoint Kft. Hálózati Mérnök Pre/Post Sales Support, Hálózat tervezés 10 év az internetszolgáltatásban, több év támogatói tapasztalat 2

3 A tanfolyam tartalma Áttekintést ad a RouterOS szoftver funkcióiról és a RouterBOARD termékekről. Gyakorlati példákon keresztül bemutatja a MikroTik routerek konfigurálását, üzemeltetését és alapszintű hibaelhárítási ismereteket ad. Stabil alapot, és hasznos megoldásokat nyújt a mindennapi munkához. 3

4 A tanfolyam célja A hallgató képes lesz: Beállítani, üzemeltetni a MikroTik RouterOS eszközöket, valamint alapvető hibaelhárítási feladatokat elvégezni rajtuk. Ügyfelek számára alapvető szolgáltatásokat nyújtani. 4

5 MikroTik Certified tanfolyamok Bevezető MTCNA MTCRE MTCWE MTCTCE MTCUME MTCIPv6E MTCINE További információk: - Tanfolyamok 5

6 Témakörök 1. Bevezetés 2. DHCP 3. Bridging 4. Routing 5. Wireless 6. Firewall 6

7 Témakörök 7. QoS 8. Tunnels 9. Egyéb eszközök Gyakorlati példák a tanfolyam alatt (több mint 40 összesen) 7

8 Menetrend 3 nap 9:00 17:00 2 rövidebb szünet ~10:30 és 14:30 Ebédszünet 12:00-13:00 Vizsga Utolsó nap végén, 1 óra 8

9 Házirend Vészkijáratok Mosdó helye Étkezés és ivás a tanteremben Telefonok Mit kaptok, és milyen formában kérjük vissza 9

10 Vizsga Online Angol nyelven 60% szükséges 50-59% második lehetőség MikroTik.com regisztráció Próba vizsga Certificate 3 évig érvényes 10

11 Bemutatkozás Név cég Beosztás Hálózati ismeretek MikroTik ismeretek Mit vársz a tanfolyamtól? A te számod, kérlek jegyezd le! 11

12 Certified Network Associate (MTCNA) Modul 0 Hálózati alapok 12

13 ISO-OSI - TCP/IP OSI Model Alkalmazási / Application Megjelenítési / Presentation TCP/IP Alkalmazási Viszony / Session Szállítási / Transport Hálózati / Network Adatkapcsolati / Data Link Fizikai / Physical Szállítási (TCP/UDP) Hálózati (IP) Hálózat Elérési Network Interface 13

14 MAC cím Hálózati eszközök interfészeinek egyedi fizikai címe. Gyártó által meghatározott, egyedi. MikroTik esetén minden interfész külön MAC címmel rendelkezik. Egy hálózati szegmensen (LAN) belüli kommunikáció esetén ez alapján történik a kerettovábbítás 12 hexadecimális szám - 02:DE:AD:04:BE:EF 14

15 IP cím Egyedi hálózati azonosító, amelyet az Internet Protocol segítségével kommunikáló számítógépek egymás azonosítására használnak. Logikai cím, felhasználó által beállítva. 32 bit: Olvasható formában:

16 IP cím Publikus privát tartományok Privát IP tartományok: / / / /16 16

17 Alhálózatok IP tartományok felosztása kisebb részekre, alhálózatokra A hálózati maszk határozza meg az alhálózat méretét Maszkolás maszk: IP cím: hálózat: A maszk első x bitje minden esetben 1-es, a többi 0 Az 1-esek száma: /24 17

18 Alhálózatok Az alhálózat első IP címe a hálózat azonosítója (network address). Pl.: Az alhálózat utolsó IP címe a broadcast cím. Pl.: Ezek nem használhatóak hostok címeként. Két host router nélkül képes kommunikálni, ha egy alhálózatba tartoznak. 18

19 Certified Network Associate (MTCNA) Modul 1 Bevezetés 19

20 A MikroTikről Router szoftver és hardver gyártás Széles felhasználási terület Internet szolgáltatók Cégek Egyéni felhasználók Küldetés: Internet és hálózati technológiát szállítani gyorsabban, hatékonyabban és elérhető áron, szélesebb felhasználási körökbe. 20

21 A MikroTikről 1996: alapítás, Lett vállalat rigai központtal 1997: RouterOS software, x86 (PC) 2002: Első RouterBOARD 2006: Első MikroTik User Meeting (MUM) 2015: Legnagyobb MUM, Indonézia,

22 MikroTik RouterOS A MikroTik RouterOS a MikroTik RouterBOARD hardverek operációs rendszere. Telepíthető x86 alapú PC-kre és virtuális gépekre is. A RouterOS egy Linux kernel alapú operációs rendszer (zárt forráskóddal), mely hálózati funkciók széles körét nyújtja, és egyszerűen kezelhető. 22

23 RouterOS funkciók a/b/g/n/ac támogatás Tűzfal / sávszélesség szabályzás Pont-Pont és VPN tunelek (PPTP, PPPoE, SSTP, OpenVPN, IPSec ) DHCP / Proxy / HotSpot / DNS OSPF / BGP routing protokollok MPLS Stb 23

24 MikroTik RouterBOARD A MikroTik által gyártott hardvercsalád. Mindegyiken RouterOS fut. Széles termékpaletta: az otthoni routerektől a szolgáltatói gerinc berendezésekig. Többmillió RouterBOARD üzemel a napjainkban. 24

25 MikroTik RouterBOARD Integrált megoldások ready to use Alaplapok speciális igényekre Kül-, és beltéri dobozok Kiegészítők wireless, SFP, 3G, LTE, tápok, PoE, antennák 25

26 Null modem kábel Ethernet kábel WiFi Első kapcsolódás Ethernet WiFi Null Modem 26

27 Első kapcsolódás WinBox - WebFig SSH Telnet Terminal emulator soros port esetén 27

28 WinBox Alapértelmezett IP cím (LAN): Bejelentkezés: admin / semmi 28

29 MAC WinBox Csatlakozzatok a routerhez WinBox-al, IP címmel és nézzétek meg az ablak fejlécét 29

30 MAC WinBox Tiltsátok le az IP címet (bridge) Próbáljatok csatlakozni IP címmel Próbáljatok csatlakozni MAC WinBox-al 30

31 MAC WinBox Engedélyezzétek az IP címet (bridge) Lépjetek be IP címmel a routerbe 31

32 WebFig Internetböngésző 32

33 WebFig Internetböngésző 33

34 Quick Set Alapbeállítások egy ablakban. WinBoxból és WebFigből is elérhető. Különböző tipikus beállítások közül választhatunk. Óvatosan a használatával, minden beállítást felülír! 34

35 Quick Set 35

36 Alapértelmezett / üres beállítás Eszközönként eltérő alapbeállítások. Például: SOHO router DHCP kliens az ether1, DHCP server a többi port + WiFi Lehetőség van az alapbeállítások teljes törlésére 36

37 Command Line Interface CLI Soros port, Telnet, SSH és New Terminal esetén 37

38 Command Line Interface CLI <tab> - parancs kiegészítése Dupla <tab> - lehetséges parancsok kiírása? help < >, < > - előző parancsok visszanézése 38

39 Command Line Interface CLI Hierarchikus felépítés (hasonló a WinBox-hoz) 39

40 Internet hozzáférés laptop router Előadó Internet

41 Laptop - Router Kössétek össze a laptopot a router velamelyik LAN portjával (2-5) Tiltsátok le a laptopon a WiFit. A laptop kérjen automatikusan IP címet (DHCP) 41

42 Router - Internet Az internet, az előadói router wireless interfészén keresztül lesz elérhető. laptop router Előadó Internet

43 Router - Internet Wireless interfész eltávolítása a bridge-ből DHCP kliens beállítása a wireless interfészen Wireless security profile beállítása Wireless interfész beállítása station módba NAT masquerade konfigurálása 43

44 Router - Internet Wireless interfész eltávolítása a bridge-ből 44

45 Router - Internet DHCP kliens beállítása a wireless interfészen 45

46 Router - Internet Wireless security profile beállítása 46

47 Router - Internet Wireless interfész beállítása station módba Scan eszköz segít megtalálni az AP-kat és csatlakozni hozzájuk 47

48 WinBox Tipp A jelszavak megmutatásához (kivéve user jelszó), használható a Settings Hide Passwords menüpont. 48

49 NAT Masquerade használható a privát címek publikusra átfordítására. Masquerade Internet 49

50 Router - Internet Masquerade action beállítása a wireless interfészre 50

51 Kapcsolat ellenőrzése A laptopról pingeljétek a 51

52 Hibakeresés A router tudja pingelni az AP-t? A router tudja pingelni a címet? Működik a DNS a routeren? A laptop tudja pingelni a címet? Működik a DNS a laptopon? Működik a NAT-olás? 52

53 RouterOS Releases Long term csak javítások, új funkciók nélkül Stable javítások + új funkciók Beta legfrissebb verzió 53

54 RouterOS frissítése A legegyszerűbb mód: 54

55 RouterOS frissítése Szoftver letöltés: Ellenőrizzük a router cpu architektúráját Feltöltés a routerre (drag-and-drop, FTP, WebFig) Reboot 55

56 Packages Az egyes funkciókat külön csomagok tartalmazzák 56

57 Packages Az egyes funkciókat külön csomagok tartalmazzák Csomag advanced-tools dhcp hotspot ipv6 ppp routing security system wireless-cm2 Funkció Netwatch, wake-on-lan, Ip scan DHCP kliens és server HotSpot captive portal server IPv6 támogatás PPP, PPTP, L2TP, PPPoE kliensek és serverek Dinamikus routing: RIP, BGP, OSPF Secure WinBox, SSH, Ipsec Alap funkciók: statikus routing, tűzfal, bridge, stb. 57

58 Packages Minden CPU architektúrához tartozik egy Main package és egy Extra packages A main tartalmaz minden általánosan használt csomagot (wireless, dhcp, ppp, routing, stb.) Egyéb csomagokat az extra tartalmaz (gps, ntp, ups, user-manager) 58

59 Csomagok kezelése Tiltsátok le a wireless csomagot Indítsátok újra a routert Ellenőrizzétek az interfész listát Engedélyezzétek a wireless csomagot Indítsátok újra a routert 59

60 Csomagok kezelése Nézzétek meg a WinBox System menüjét, keressetek NTP szervert. Töltsétek le a megfelelő Extra Packages-t Telepítsétek fel az ntp csomagot Ellenőrizzétek a System menüt 60

61 RouterBOOT A firmware felelős a RouterOS betöltéséért RouterBOARD eszközökön Szoftver frissítés tartalmazza az újabb verziót, de nem frissül automatikusan Az aktuális verzió ellenőrizhető és frissíthető Main és Backup FW 61

62 RouterBOOT 62

63 Router Identity A router neve. Különböző helyeken jelenik meg. Érdemes elnevezni minden routert. 63

64 Router Identity Állítsátok be a routerek nevét: sorszám _ név 14_MintaAladár Nézzétek meg a WinBox fejlécét 64

65 RouterOS felhasználók Alapértelmezett felhasználó: admin, csoportja: full További csoportok: read and write Egyedi csoportok létrehozása lehetséges a pontosabb jogkörök kiosztása végett. 65

66 RouterOS felhasználók Adjatok hozzá egy felhasználót a routerhez full jogosultsággal (jegyezzétek fel a nevet és a jelszót) Lépjetek be az új felhasználóval Az admin felhasználó csoportját állítsátok read-re Lépjetek be az admin-nal és próbáljatok bármit állítani 66

67 RouterOS Services A routeren futó szolgáltatások A nem használtak letilthatók Korlátozások (available from) Az alapértelmezett portoktól el lehet térni. 67

68 RouterOS Services Változtassátok meg a www szolgáltatás portját 8080-ra Ellenőrizzétek a böngészőben 68

69 Konfiguráció mentés Bináris mentés -.backup Beállítás visszaállítása ugyanazon a routeren Konfiguráció export -.rsc Beállítások átvitele másik routerre 69

70 Bináris mentés A WinBox Files menüjében lehet létrehozni, illetve visszaállítani. Bináris formátumú, titkosított. Teljes konfigurációt tartalmazza (jelszavakat is). 70

71 Konfiguráció export A kimentett file (.rsc) egy scriptet tartalmaz ami visszatölthető a legtöbb routerbe. Szerkeszthető szöveges file. Csak a gyáritól eltérő változásokat tartalmazza (kivéve verbose ) export parancs indítja CLI-ből. Az egész konfiguráció, vagy csak részei menthető. User jelszavakat nem tartalmazza. 71

72 Konfiguráció export A file-okat a flash könyvtárban tároljuk! Ready-to-use parancsokat tartalmaz 72

73 Konfiguráció import Az export file kézzel szerkeszthető Másik (típusú) RouterBOARD-ra át lehet vinni a beállításokat. Visszaállítás az /import paranccsal. 73

74 Mentések archiválása Miután létrehoztuk a mentést, másoljuk egy megbízható helyre - FTP - WebFig - WinBox (drag-and-drop) A mentések tárolása a routeren nem elégséges 74

75 Reset Configuration Gyári beállítások visszaállítása 75

76 Reset Configuration Fizikai reset gomb: Backup RouterBOOT loader (FW) Beállítások törlése CAPs mód bekapcsolása (Controlled AP) Netinstall indítása 76

77 Netinstall RouterOS telepítésére és újratelepítésére. Közvetlen L2 kapcsolat szükséges. Első ethernet portra kell csatlakozni (kivéve CCR és RB1100 utolsó) Windowson futtatható Letölthető a MikroTik weboldalról. 77

78 Netinstall 78

79 Konfiguráció mentés Készítsetek.backup (bináris) mentést. Másoljátok át a laptopra. Töröljétek a.backup állományt a routerről. Állítsátok a routert gyári beállításra. Másoljátok a.backup file-t a routerre. Állítsátok vissza a konfigurációt a mentésből. 79

80 RouterOS licencek Minden RouterBOARD licencel érkezik. Különböző szintek vannak Időben bármeddig frissíthető. x86 telepítés esetén külön licenc vásárolható 80

81 RouterOS licencek Szint (Level) Típus Leírás 0 Trial Mode 24h próba 1 Free Demo 3 CPE Wireless kliens (station) 4 AP Wireless AP: WISP, Home, Office 5 ISP Több tunnel lehetséges mint L4 6 Controller Korlátlan 81

82 RouterOS licencek 82

83 További Információk wiki.mikrotik.com RouterOS dokumentáció és példák forum.mikrotik.com RouterOS felhasználók fóruma mum.mikrotik.com MikroTik User Meeting 83

84 Certified Network Associate (MTCNA) Modul 2 DHCP 84

85 DHCP Dynamic Host Configuration Protocol IP címek (és egyéb hálózati beállítások) kiosztására használható helyi hálózaton. Csak megbízható hálózat esetén használjuk. Egy broadcast domainen belül működik (nem lehet router a szerver és a kliens között). A RouterOS tartalmazza a klienst és a szervert is. 85

86 DHCP kliens IP cím, hálózati maszk, gateway, DNS szerver cím automatikus lekérésére használható. SOHO routerek esetén a RouterOS alapbeállítás tartalmazza a DHCP klienst az első ethernet porton. 86

87 DHCP kliens 87

88 DNS Alapértelmezett beállítás szerint a DHCP kliens lekéri a DNS szerver címet. Lehetőség van kézzel hozzáadni, ha további szervereket szeretnénk használni, vagy ha a DHCP nincs használatban. 88

89 DNS RouterOS-ben lehetőség van statikus DNS bejegyzések felvételére. Alapértelmezett beállításban van egy DNS A rekord router névvel, ami a re mutat. 89

90 DHCP Server IP címek automatikus kiosztása DHCP kliensek részére. Az interfésznek, amelyiken a DHCP szerver fut kell lennie IP címnek. Beállítható a DHCP SETUP varázslóval. 90

91 DHCP Server Kapcsolódjatok újra a routerhez MAC címmel. 91

92 DHCP Server El fogjuk távolítani a meglévő DHCP szervert, és egy újat hozunk létre. A belső hálózat ezután a x.0/24 lesz (ahol X a sorszámotok). Bridge használata esetén mindig a bridge-re kell tenni a DHCP szervert, nem a bridge portra. 92

93 DHCP Server DHCP Server és DHCP Network törlése 93

94 IP Pool törlése DHCP Server 94

95 IP Address törlése DHCP Server 95

96 DHCP Server Adjátok hozzá a x.1/24 címet a bridge interfészhez 96

97 DHCP Server !!! 6. 97

98 DHCP Server Kérjetek új IP címet a laptopotokkal Kapcsolódjatok újra a routerhez az új IP címén ( x.1) Ellenőrizzétek az Internet kapcsolatot 98

99 DHCP Server A DHCP Server Setup varázsló létrehozott egy új IP Pool-t és egy DHCP Server-t. 99

100 DHCP Static Lease Lehetőség van rá hogy egy adott gépnek (MAC cím alapján) mindig ugyanazt a címet ossza a DHCP szerver. A DHCP szerver csak statikus címekkel is működhet (IP pool nélkül). 100

101 DHCP Static Lease 101

102 DHCP Static Lease Tegyétek statikussá a laptopotok lease bejegyzését Módosítsátok a bejegyzést, hogy a laptop mindig a x.123 címet kapja Kérjetek új címet a laptoppal Állítsátok a DHCP Address Pool-t static-onlyra Kérjétek meg a szomszédotokat hogy csatlakoztassa a laptopját a ti routeretekhez Kapott IP címet? 102

103 ARP Address Resolution Protocol Az eszközök IP címét (L3) és MAC címét (L2) rendeli össze Normál esetben automatikus folyamat, de beállítható statikusan is, ha az adott helyzetben a biztonsági követelmények ezt kívánják. 103

104 ARP tábla Nyilvántartja, hogy milyen MAC címhez milyen IP cím tartozik és hogy melyik interfészen érhető el. 104

105 Statikus ARP A biztonság növelése érdekében ARP bejegyzések kézzel is felvehetők. Az interfész beállítható reply-only módba (csak az ARP táblában szereplő párosokra válaszol). A routerre csatlakozó kliensek más IP címet beállítva nem tudnak a hálózaton kommunikálni. 105

106 Statikus ARP 106

107 DHCP és ARP A DHCP szerver beállítható, hogy automatikusan vegyen fel ARP bejegyzéseket. Statikus címbérlet és ARP reply-only módot használva növelhetjük a hálózat biztonságát, miközben a felhasználók kezelése egyszerű marad. 107

108 DHCP és ARP 108

109 Static ARP Állítsd a laptopod ARP bejegyzését statikusra a routerben A bridge interfészt állítsd reply-only -ra Engedélyezd az Add ARP For Leases funkciót a DHCP szerverben Távolítsd el az első pontban felvett statikus ARP bejegyzést. Van internet? 109

110 Static ARP Kérj címet a laptopoddal a DHCP szervertől Van internet? Csatlakozz a routerhez és nézd meg az ARP táblát 110

111 Certified Network Associate (MTCNA) Modul 3 Bridging 111

112 Bridge Bridge-ek OSI Layer 2 eszközök Hagyományosan két különböző (vagy hasonló) technológiájú szegmens összekapcsolására használták. 112

113 Bridge A bridge-eket kisebb ütközési tartományok létrehozására is használták. A cél az volt, hogy növeljék a teljesítményt az alhálózat méretének csökkentésével. Főleg a switchek megérkezése előtt volt jelentős hasznuk. A switchek több portos bridge-ként működnek. Minden port EGY eszköz ütközési tartománya. 113

114 Bridge Minden számítógép képes kommunikálni egymással. Mindegyiknek várnia kell amíg egyikük sem küld adatot, mielőtt elkezdhetne forgalmazni. (1 ütközési tartomány) LAN1 (ethernet hub) 114

115 Bridge Továbbra is minden számitógép képes egymással kommunikálni. De már a felére csökkent az ütközési tartomány mérete. LAN1 (ethernet hub) LAN2 (ethernet hub) 115

116 Bridge A RouterOS-ben a bridge szoftveresen van megoldva. Ethernet, wireless, SFP és tunnel interfészek adhatók egy bridgehez. Alapbeállításban a SOHO routereken a wireless interfész az ether portokkal van egy bridge-ben. Ethernet és SFP portokon alapértelmezésben a HW-offload be van kapcsolva. (Switch Chip) 116

117 Bridge HW-Offload kikapcsolt állapotában a CPU kezeli a portok közti kommunikációt. Nagyobb befolyásunk van ilyenkor a forgalomra lehetőség van IP firewall használatára a bridge portjai között. 117

118 Wireless Bridge A protokoll limitációi miatt wireless kliens (mode: station) nem támogatja a bridgelést. A RouterOS több egyéb módot használ, hogy ezt a korlátot leküzdjük. station bridge RouterOS és RouterOS station pseudobridge RouterOS és bármi station wds (Wireless Distribution System) RouterOS és RouterOS 118

119 Wireless Bridge A station bridge használatához az AP-n be kell kapcsolni a Bridge Mode -ot. 119

120 Bridge Az ethernet és wireless interfészek összebridgeelésével egy nagy hálózatot fogunk létrehozni. Minden laptop ugyanabban a hálózatban lesz. Készítsetek mentést a routerről előtte! 120

121 Bridge A wireless módot állítsátok át station bridge-re 121

122 Bridge Tiltsátok le a DHCP szervert 122

123 Bridge Adjátok hozzá a wireless interfészt a bridge-hez 123

124 Bridge Kérjetek új címet a laptopotokkal Az előadó routerétől kell címet kapnotok. Pingeljétek meg a szomszédotok laptopját (tűzfal) Állítsátok vissza a gyakorlat elején létrehozott mentést 124

125 Bridge Firewall RouterOS bridge interfészek támogatják a tűzfal kezelését. Az a forgalom ami keresztülmegy a bridge-en, feldolgozásra kerülhet a tűzfalban. Engedélyezéshez: Bridge Settings Use IP Firewall. 125

126 Certified Network Associate (MTCNA) Modul 4 Routing 126

127 Routing A routing az ISO OSI 3. rétegében végzett művelet. A routing határozza meg, hogy a forgalom merre kerül továbbításra. Különböző alhálózatok egymás közötti kommunikációját teszi lehetővé. 127

128 Routing Dst. Address: hálózat amit el szeretnénk érni. Gateway: A következő router IP címe amin keresztül elérjük a kívánt tartományt. 128

129 Új Statikus Route 129

130 Routing Check gateway 10 másodpercenként ellenőrzi az átjáró elérhetőségét. ICMP request (ping) vagy ARP request formájában. Ha több route szabály ugyanazt az átjárót használja, és valamelyiknél be van kapcsolva a Check gateway opció, akkor az összes sor működésére hatással van. 130

131 Routing Ha egy címre több átjáró is vonatkozik, akkor a szűkebb tartománnyal ellátott (precízebb) lesz használatban. Dst: /24, gw: Dst: /25, gw: Ha egy csomag a felé tart akkor a lesz használva 131

132 Alapértelmezett Átjáró (def.gw) Alapértelmezett átjáró (Default gateway): az összes ismeretlen hálózatba küldendő forgalom ide fog menni /0 a jelölése 132

133 Alapértelmezett Átjáró Jelenleg az alapértelmezett átjáró a routerekben automatikusan van konfigurálva a DHCP-kliens által. Kapcsoljátok ki az Add Default Route opciót a DHCP-kliensben. Van internet? 133

134 Alapértelmezett Átjáró Adjátok hozzá manuálisan az alapértelmezett átjárót (eloado-ap ) Van újra internet? 134

135 Dinamikus Route-ok Route-ok DAC flagekkel automatikusan kerültek hozzáadásra. DAC route-ok az IP cím beállításokból erednek. 135

136 Route Flag-ek X Disabled : Letiltott route. Nincs hatással a routing döntésre. A Active : Aktív route. Routing döntés figyelembe véve. D Dynamic : Dinamikusan létrejövő route. C Connected : Az IP alhálózatok által létrejövő route. S Static : Kézzel létrehozott route. 136

137 Statikus route-olás A cél hogy a szomszéd laptopját meg tudjátok pingetni. Statikus route-okat fogunk használni ennek az eléréséhez. Cseréljetek információt a szomszéddal: A wireless interfész IP címe Az alhálózat amit a belső hálózatán használ ( x.0/24) 137

138 Statikus route-olás Adjatok hozzá egy új route szabályt Dst. Address: a szomszédod helyi hálózatata ( x.0/24) Gateway: A szomszédod wireless interfészének címe Pingeljétek meg a szomszédotok laptopját (tűzfal) 138

139 Statikus route-olás Álljatok 3-as csoportokba A router vegyen fel statikus route-ot C belső hálózatára B routeren keresztül B router vegyen fel statikus route-ot C belső hálózatára A laptop pingesse meg C laptopot 139

140 Statikus route-olás A Készítsetek útvonalat A-tól C-ig, B-n keresztül! Előadó B Internet C 140

141 Statikus Route-olás Egyszerűen konfigurálható kis és nem nagyon változó hálózaton. Alig igényel erőforrást. (memória, CPU) Nehezen skálázható. Kézi beállítás szükséges minden esetben ha új alhálózat kerül a hálózatunkba. 141

142 Route-olás Összefoglaló Nézzük az alábbi példát: Internet / / / /30 router-1 router / / / / /24 142

143 Route-olás Összefoglaló Feladat: Tegyük fel, hogy a IP címek megfelelően vannak beállítva a routereken. Milyen route-okat kell felvenni az egyes routereken, hogy mindkét alhálózat teljes kommunikációja megvalósuljon? 143

144 Certified Network Associate (MTCNA) Modul 5 Wireless 144

145 Wireless Kétirányú kommunikáció megvalósítása a levegőn keresztül. Elektromágneses hullámok. Frekvenciák: 2.4GHz, 5GHz, 24GHz, 11GHz, 18 A RouterOS teljes mértékben támogatja az IEEE a/n/ac (5GHz) és b/g/n (2.4GHz) szabványokat 145

146 Wireless Szabványok IEEE Szabvány Frekvencia Sebesség a 5 GHz 54 Mbps b 2.4 GHz 11 Mbps g 2.4 GHz 54 Mbps n 2.4 és 5 GHz Akár 450 Mbps* ac 5 GHz Akár 1300 Mbps* * RouterBOARD modell függő 146

147 2.4 Ghz 13 x 22 MHz széles csatorna, de csak 3 ami nem átfedő (1, 6, 11). Csatornaszélességek: b 22 MHz g 20 MHz n 20/40 MHz 147

148 5 Ghz Több csatorna, nincsenek átfedésben. Csatornaszélességek: a 20MHz n 20/40 MHz ac 20/40/80/160 MHz 148

149 n 2.4 GHz és 5 GHz, 20 vagy 40 MHz csatornák. MIMO, maximum 4 stream 149

150 ac 5 GHz, 20/40/80/160 csatornák 8 stream Beamforming, MUMIMO 150

151 MIMO HT chain Az interfész által használt streamek. Antenna kimenetek n-ben és ac-ban használható. Befolyásolják a sávszélességet. 151

152 Országok Szabályozásai Váltsatok Advanced Mode -ra és válasszátok ki Magyarországot 152

153 Országok Szabályozásai Dynamic Frequency Selection (DFS Dinamikus frekvencia választás. Indulás után 60mp-ig csak hallgat az AP. Radar észlelése esetén csatornát kell váltani. 5GHz-en bizonyos csatornák csak DFS-el használhatók. 153

154 Radio Name Wireless interfész neve. RouterOS és RouterOS között csak. Wireless táblázatokban látható. 154

155 Radio Name Állitsátok be a wireless interfészen a Radio Name mezőt: sorszám _ név Pl: 14_MintaAladár 155

156 Tx Power A wireless kártya (interfész) kimenő teljesítményét tudjuk állítani. Vegyük figyelembe a helyi szabályozást (Frequency mode + Country)! 156

157 Tx Power Wireless kártya n ac Engedélyezett chain teljesítmény / chain Teljes teljesítmény 1 Beállított Tx Power 2 Beállított Tx Power +3dBm 3 +5dBm 1 Beállított Tx Power 2-3dBm 3-5dBm Beállított Tx Power 157

158 Rx Sensitivity Vételi Érzékenység Az a legalacsonyabb jelerősség ahol még képes detektálni a jelet. Alacsonyabb érték esetén, gyengébb jelszint is elégséges. Az eszközök adatlapján szereplő érték. Modulációfüggő! 158

159 Vezeték Nélküli Hálózat 159

160 Wireless Station Wireless station a hálózatok kliense (laptop, telefon, router) RouterOS-ben a wireless mode: station 160

161 Mode = station Band SSID Frequency mezőt nem szükséges kitölteni klienshez. scan-list Wireless Station 161

162 Biztonság Csak WPA (WiFi Protected Access) vagy WPA2 használata ajánlott. WPA-PSK vagy WPA2-PSK. 162

163 Biztonság WPA-Personal (WiFi Protected Access) Másnéven WPA-PSK, kis irodai és otthoni felhasználásra. Nem szükséges authentikációs szerver. A kliens-ap authentikáció 256 bites kulcson alapul, amit az előre megosztott kulcsból (PSK) generálnak. AES-CCM titkosítás. 163

164 Biztonság WPA-Enterprise Másnéven WPA-802.1X, vállalati hálózatokhoz. EAP authentikációt használ. RADIUS szerver szükséges. Bonyolultabb beállítás, de plusz funkciók érhetők el a RADIUSnak köszönhetően. 164

165 Biztonság WPA és WPA2 egyszerre is beállítható. Mindig használjunk kellően erős jelszót! 165

166 Connect List Connect list (station módban) Jelerősség, MAC cím, biztonsági beállítások, stb. alapján priorizálni lehet, hogy a kliens melyik AP-hoz csatlakozhat. A szabályok feldolgozása sorrendben történik. Csak az első egyező szabály kerül alkalmazásra. 166

167 Connect List Ha a Default Authenticate opció be van kapcsolva, és egyik szabály sem illeszkedik, akkor a kliens a legjobb jelszintű AP-hoz próbál csatlakozni. Amennyiben ki van kapcsolva, akkor nem csatlakozik semmihez. 167

168 Connect List Jelenleg a routered csatlakozik az Előadó AP-hoz. Hozz létre egy szabályt, hogy tiltva legyen ez a csatlakozás. 168

169 Mode = ap-bridge Band Frequency SSID Security Profile Access Point 169

170 WiFi Protected Setup WPS Kényelmes WiFi hozzáférés, jelszó megadása nélkül. A RouterOS támogatja a WPS accept (AP) és WPS client (station) módokat. 170

171 WPS Accept A WPS accept gomb használatával egyszerűen engedélyezhető a vendég hozzáférés a vezetéknélküli hálózathoz. A gomb megnyomása után 2 percig engedélyezett a csatlakozás az AP-hoz. Minden új eszköz csatlakozásakor meg kell nyomni a gombot. 171

172 WPS Accept Eszközönként csak egyszer kell elvégezni. Minden RouterOS eszköz rendelkezik virtuális WPS gombbal, néhány pedig fizikaival is. A gombot le lehet tiltani. RouterOS nem támogatja a WPS-PIN módon történő csatlakozást. 172

173 Access Point Készíts egy új security profile-t, amit az AP-n használtok majd. A wireless interfészt állítsd ap bridge módba, az SSID-t pedig állítsd be XY_TeNeved-re, válaszd ki a fent létrehozott security profile-t. Kapcsold ki a DHCP klienst a wireless interfészen. 173

174 Access Point Add hozzá a wireless interfészt a bridge-hez. Húzz ki az ethernet kábelt a laptopodból. Csatlakozz a routerhez vezeték nélkül. Lépje be WinBox-al a routerbe, és nézd meg a regisztrációs táblát. Ha kész vagy, állíts vissza mindent az előző beállításra. 174

175 Snooper A segítségével áttekintést kapunk a környezetünkben lévő wireless hálózatokról. Használata közben a wireless interfész lecsatlakozik. Használható a megfelelő csatorna kiválasztásához. 175

176 Snooper 176

177 Registration Table Megtekinthető minden vezeték nélküli kapcsolat. AP esetén minden felcsatlakozott kliens. Station esetén az AP amihez kapcsolódva van. 177

178 Access List MAC cím szűrés és kliens kapcsolatok korlátozása AP oldalon. AP oldalon fel kell venni egy bejegyzést az Access Listbe. A Registration fülön lévő bejegyzés átmásolható (Copy to Access list), vagy kézzel felvihető. 178

179 Access List A korlátozás mellett a kapcsolat paramétereinek beállítása is lehetséges. A szabályok sorrendben kerülnek értékelésre Csak az első egyezés lesz érvényes Ha a Default Authenticate opció ki van kapcsolva, és nincs egyezés, akkor a kapcsolat elutasításra kerül. 179

180 Default Authenticate Default Authenticate Access / Connect List Bejegyzés Működés + Access / Connect List szerint - Csatlakozás + Access / Connect List szerint - Nincs csatlakozás 180

181 Default Forward A kliensek közti kommunikációt engedélyezhetjük vagy tilthatjuk. Alapértelmezésben be van kapcsolva. A beállítás felülbírálható kliensenként az Access Listben. 181

182 Certified Network Associate (MTCNA) Modul 6 Tűzfal 182

183 Tűzfal Hálózatbiztonsági rendszer, sorompóként működik két vagy több hálózat között. Szabályokkal működik, melyek ellenörzése sorrendben történik, az első találatig. A RouterOS tűzfal szabályok a Filter és NAT szekciókban vannak. Filter: csomagszűrés NAT: Network Address Translation - címfordítások 183

184 Tűzfal szabályok If-Then elven működnek. A szabályok chain-ekbe vannak rendezve. Vannak előre definiált chain-ek Lehetőség van saját chain létrehozására. 184

185 Tűzfal Filter 3 alapértelmezett chain van: Input (a routernek jövő forgalom) Output (a routerről kimenő forgalom) Forward (a routeren átmenő forgalom) input output Internet forward 185

186 Filter Action Minden szabályhoz tartozik egy action megmondja mi történjen az egyező csomagokkal. accept elfogadja a csomagot, nem történik további vizsgálat. drop vagy reject a csomag eldobásra kerül, nem történik további vizsgálat jump / return átugrás / visszatérés felhasználó által definiált chain-be. 186

187 Filter Action 187

188 Filter Chain TIP: az olvashatóság könnyítése érdekében, rendezzétek chainekbe és lássátok el megjegyzéssel a szabályokat. 188

189 Magát a routert védi. Chain: input Mind az internet, mind a belső hálózat felöl. input input Internet 189

190 Chain: input Üritsd ki a Filter listát (ha nem üres) Vegyél fel egy accept szabályt az input chain-be, a laptopod IP címével (src-address = x.123) Adj hozzá egy drop szabályt a bridge interfészre minden más csomagra. 190

191 Chain: input 191

192 Chain: input Állíts be a laptopnak statikus IP címet: x.199, DNS és Átjáró: x.1 Zárd be a WinBox-ot Próbálj visszacsatlakozni a routerhez Próbálj csatlakozni az internethez 192

193 Chain: input Az internet felé tartó forgalmat a forward chain szabályozza, de weboldalak mégsem töltődnek be. Miért? 193

194 Chain: input A laptop a routert használja DNS feloldásra. Csatlakozz MAC WinBox-al a routerhez. Adj hozzá egy accept input szabályt a bridgere, ami engedi a DNS kéréseket (port: 53/udp), és helyezd el a drop szabály előtt Próbálj csatlakozni az internethez 194

195 Chain: input Állítsd vissza a laptopodat dinamikus IP kérésre (DHCP) Csatlakozz a routerhez Töröld ki az imént hozzáadott szabályokat 195

196 Chain: forward A routeren áthaladó forgalmat kezeli. A klienseink és az internet közti, illetve a kliensek közti forgalmat szabályozhatjuk vele. Internet forward 196

197 Chain: forward Alapértelmezésben a belső forgalom a kliensek között engedélyezve van. A kliensek és az internet közti sincs tiltva. 197

198 Chain: forward Adj hozzá drop forward szabályt a filterhez mely tiltja a http (80/tcp) forgalmat. Portok hozzáadásánál a protokolt is ki kell választani. 198

199 Chain: forward Próbáld megnyitni a oldalt Próbáld megnyitni a routered WebFig felületét Mi okozza a tapasztaltakat? 199

200 Gyakran Használt Portok Port Szolgáltatás 80 / tcp HTTP 443 / tcp HTTPS 22 / tcp SSH 23 / tcp Telnet 20,21 / tcp FTP 8291 / tcp WinBox 5678 / udp MikroTik Neighbor Discovery / udp MAC WinBox 200

201 Address List Az address list, IP címek listája Filter szabályok egyszerűsítésére használhatóak: -100 IP cím blokkolására létrehozhatunk 100 filter szabályt, vagy egy listát melynek 100 eleme van, és a szabály erre a listára hivatkozik. A listák tartalmazhatnak: - Speciális jogokkal rendelkező admin címeket - Támadókat - Bármit amire csak szükségünk van 201

202 Address List Kézzel és automatikusan (add src/dst to address list action) is felvehetők IP címek a listákra. Véglegesen vagy akár csak bizonyos időtartamra is felkerülhetnek a listákra. IP címet, IP tartományt, vagy akár egész alhálózatot is felvehetünk a listákra. 202

203 Address List 203

204 Address List A General fülön egyesével történő hozzáadás helyett, az Advanced fülön kiválaszthatjuk a szabályhoz szükséges listát (src vagy dst). 204

205 Address List Firewall action segítségével automatikusan adhatunk IP címeket a listákhoz. Véglegesen, vagy csak egy időre. 205

206 Address List Hozz létre egy address list-et, engedélyező IP címekkel, figyelj rá hogy a laptopod címe rajta legyen Adj hozzá accept input filter szabályt a bridge interfészre, a WinBox portjára a fenti address listtel Hozz létre egy drop input szabályt a WinBox portjára 206

207 Tűzfal Logolás Régebbi verziókban log actionre volt szükség. Most már minden szabály logolható is. Amennyiben egy csomagra alkalmazva van az adott szabály, akkor keletkezik egy log bejegyzés a megadott előtaggal. Hibakeresésnél hasznos, de óvatosan kell bánni a használatával. (Memória vagy Tárterület igényes, írási ciklusok). 207

208 Tűzfal Logolás 208

209 Tűzfal Logolás Kapcsold be a logolást az előző gyakorlatban (address-list) létrehozott DROP szabályon Változtasd meg a laptopod IP címét Próbálj visszacsatlakozni WinBox-al Változtasd vissza az IP címed Csatlakozz a routerhez, és nézd meg a log bejegyzéseket 209

210 NAT Network Address Translation: az IP csomag forrás-, vagy célcímének módosítása. Két típusa van a source NAT és a destination NAT. Általános használata a belső hálózat privát IP címeinek átfordítása a router publikus IP-jére (src-nat) Másik általános használata a belső hálózaton lévő szerverhez való hozzáférés biztosítása az Internet 210 felől (dst-nat)

211 NAT Forrás cím Új forrás cím Privát hoszt SRC-NAT Publikus szerver 211

212 NAT Új cél cím Cél cím Szerver a privát hálózaton DST-NAT Internet Publikus hoszt 212

213 NAT A tűzfal srcnat és dstnat chainjét használjuk a NAT funkciók megvalósítására. Ugyanúgy, ahogy a Filter szabályok, a NAT szabályok is If-Then alapon működnek A szabályok sorrendben kerülnek kiértékelésre, az első illeszkedő lép életbe. 213

214 Dst NAT Új cél cím :80 Cél cím :80 Web szerver DST-NAT Internet Publikus hoszt 214

215 Dst NAT 215

216 Redirect A dst-nat speciális esete. Ez az action átirányítja a csomagot magára a routerre. Transzparens proxy létrehozására használható. (pl.: DNS, HTTP) 216

217 Redirect Cél cím Beállított DNS szerver:53 Redirect Új cél cím Router:53 DNS Cache 217

218 Redirect Hozz létre egy dstnat redirect szabályt amivel minden http forgalmat (tcp/80) átirányít a routerre Próbáld meg megnyitni a weboldalt Próbáld megnyitni a oldalt Tiltsd le a szabályt ha készen vagy 218

219 Src NAT Forrás cím Új forrás cím A router publikus címe Masquerade Publikus szerver 219

220 Src NAT A masquerade kicseréli a csomagok forrás IP címét a routing által meghatározott címre. Tipikusan az internet felé menő csomagok forrás IP címét kicseréli a WAN interfész címére. Ez ahhoz szükséges hogy a visszajövő csomagok visszataláljanak. A src-nat action kicseréli a csomagok forrás IP címét a meghatározott címre. Több publikus IP cím esetén eldönthető, hogy melyik fajta forgalom, melyik forrás címmel hagyja el a routert. 220

221 NAT Helper Néhány protokollnak úgynevezett NAT Helperre van szüksége a helyes működéshez NAT-olt hálózaton. 221

222 Connection Tracking Információt tart nyilván minden aktív kapcsolatról. 222

223 Connection Tracking Ha letiltjuk a connection tracking-et, akkor az alábbi funkciók nem fognak működni: NAT Tűzfal connection-bytes connection-mark connection-type connection-state connection-limit connection-rate Layer7-protocol p2p new-connection-mark tarpit p2p szűrés a simple queue-kban 223

224 Connection Tracking Állapotai New a csomag egy új kapcsolatot nyit, a kapcsolat első csomagja Established a csomag egy ismert kapcsolathoz tartozik Related a csomag egy új kapcsolatot nyit, de kapcsolódik egy meglévő ismert kapcsolathoz Invalid a csomag nem tartozik egyik ismert kapcsoalthoz sem 224

225 Connection Tracking Állapotai Invalid New Established Related 225

226 Connection Tracking Állapotai Erőforrást tudunk spórolni ha pár szabályt a tűzfalunk elejére teszünk: Dobjunk el minden INVALID csomagot Fogadjunk el minden ESTABLISHED és RELATED csomagot Így csak a NEW állapotú csomagokat fogjuk vizsgálni. 226

227 FastTrack Egy módszer a routeren átmenő folyamok gyorsítására. Established és Related forgalmak jelölhetők meg FastTrackre. Ezek a csomagok kikerülik a tűzfalat, a connection trackinget, a queue-kat és az IPSec-et. Jelenleg csak TCP és UDP protokollok támogatottak. 227

228 FastTrack FT nélkül FT-vel 360Mbps 890Mbps Total CPU: 100% Total CPU: 86% 44% CPU a tűzfal processen 6% CPU a tűzfal processen * RB2011-en tesztelve, 1 TCP stream-el. További információk a Wiki oldalon. 228

229 Certified Network Associate (MTCNA) Modul 7 QoS 229

230 Quality of Service QoS a rendelkezésre álló sávszélesség ésszerű elosztása, nem egyszerűen az egyes eszközök sávszélességének korlátozása. A QoS képes priorizálni a forgalmat. Előnyben részesíthetők pl.: Kritikus alkalmazások Érzékeny forgalom, mint a hang vagy a videó 230

231 Sebesség Korlátozás A befelé jövő forgalmat közvetlenül kezelni nem tudjuk. De lehetőség van indirekt módon kezelni, csomagok eldobásával. A TCP alkalmazkodik a kapcsolat sebességéhez. 231

232 Simple Queue A simple queue a sávszélesség korlátozásának egyszerű módja. Tudjuk vele korlátozni a: Kliens(ek) letöltési sebességét Kliens(ek) feltöltési sebességét Kliens(ek) aggregált forgalmát 232

233 Simple Queue Kliens meghatározása Max Limit beállítása a kliensnek 233

234 Target A target paraméter jelöli, hogy mire kell alkalmazni az adott simple queue-t. A targetet kötelező megadni. Lehet pl. : IP cím Alhálózat Interfész A queuek sorrendje fontos. A csomagok minden szabályon végigmennek, amíg egyezés nincs. 234

235 Destination A target forgalmának cél IP címei, vagy Az interfész amin keresztül a target forgalma kimegy. Nem kötelező megadni. A queue hatályának szűkítésére használható. 235

236 Simple Queue Állíts be a laptopodra sebesség korlátot ( x.123) A feltöltési sebességet 128k, a letöltési sebességet 256k értékre korlátozd Nyisd meg a oldalt és töltsd le a legfrissebb RouterOS verziót A WinBoxban figyeld meg a letöltés sebességét 236

237 Garantált Sávszélesség Van lehetőség egy minimum sávszélesség beállítására, amit a kliens mindig megkap. A maradék elérhető sávszélesség kerül elosztásra first-come-first-served alapon. Beállítása a Limit-at paraméterrel lehetséges. 237

238 Garantált Sávszélesség 238

239 Garantált Sávszélesség Nézzünk egy példát: Teljes sávszélesség: 10Mbps 3 kliens, mindegyik garantált sávszélességgel A maradék elérhető sebesség elosztva a kliensek között 239

240 Garantált Sávszélesség Garantált sebesség Pillanatnyi sebesség 240

241 Burst A Burst megengedi a felhasználóknak hogy egy rövid időre nagyobb sávszélességet kapjanak, mint amit a max-limit megenged. Olyan forgalom gyorsítására használható, ami nem folyamatos sávszélességet igényel, pl.: HTTP. A folyamatos letöltésnél a max-limit érték lesz érvényes. 241

242 Burst 242

243 Burst Burst limit maximális le/feltöltési sebesség ami elérhető a burst alatt. Burst time idő (mp), ami alatt az átlagos sebességet számolja a routert (NEM a burst ideje). Burst threshold Ha az átlagos sebesség átlépi ezt a sebességet (mindkét irányból), akkor kapcsolja a router a burst-öt ki vagy be. 243

244 Burst 244

245 Burst A korábban létrehozott queue szabályt módosítsd a következők szerint: burst-limit=4m (Le-, és feltöltésnél) burst-threshold=2m (Le-, és feltöltésnél) burst-time=16 (Le-, és feltöltésnél) 245

246 Burst Nyisd meg a oldalt. A weboldal gyorsan fog betöltődni Töltsd le a legfrissebb RouterOS-t, és figyeld meg a sebességet. A letöltés sebességét pl. a torch eszközzel tudod ellenőrizni 246

247 Per Connection Queuing Queue típus alkalmazható simple queue-ban. A PCQ több felhasználó forgalmának korlátozása dinamikusan, egy egyszerű beállítással. A paraméterek beállítása után a PCQ algoritmus felosztja a forgalmat sub-streamekre és mindegyikre ugyanazt a szabályt akalmazza. 247

248 Per Connection Queuing A pcq-rate határozza meg a queue típus megengedett adatsebességét A classifier határozza meg, hogy mi alapján kerüljenek alkalmazásra a korlátozások. Történhet forrás IP cím, cél IP cím, forrás port, vagy cél port szerint. Ennek segítségével korlátozni tudjuk egyes felhasználók, vagy alkalmazások (HTTP) forgalmát. 248

249 PCQ Példa A cél hogy minden kliens sávszélessége 1Mbps letöltési és 1Mbps feltöltési sebességre legyen korlátozva. Készíteni kell 2 új queue típust: Egyet Dst Address-re (letöltés) Egyet Src Address-re (feltöltés) A LAN és WAN interfészekre queue-t kell felvenni. 249

250 PCQ Példa 250

251 PCQ Példa 251

252 PCQ Példa II. 252

253 PCQ Példa III. 253

254 Certified Network Associate (MTCNA) Modul 8 Tunnelek 254

255 Point-to-Point Protocol Point-to-Point Protocol (PPP) segítségével tunnelt (közvetlen kapcsolatot) hozhatunk létre két végpont között. PPP tartalmazhat kapcsolódási hitelesítést (authentication), titkosítást (encryption), és tömörítést (compression). A RouterOS sok PPP tunnel típust támogat, pl: PPPoE, SSTP, PPTP, stb. 255

256 PPPoE A Point-to-Point Protocol over Ethernet egy layer 2 protokoll, melyek leggyakrabban a hálózathoz való hozzáféréshez használnak. Támogat hitelesítést, titkosítást, tömörítést. Tipikusan a PPPoE használható arra, hogy klienseinknek IP címet osszunk ki. 256

257 PPPoE A legtöbb asztali operációs rendszer rendelkezik beépített PPPoE kliensel. A RouterOS-ben a PPPoE kliens és szerver (access concentrator) is megtalálható. 257

258 PPPoE 258

259 PPPoE Ha több PPPoE szerver található ugyanabban a broadcast domainben, akkor a service name paraméterrel állíthatjuk, hogy melyikhez szeretnénk csatlakozni. Ellenkező esetben a kliens ahhoz próbál csatlakozni amelyik először válaszol. 259

260 PPPoE Az Előadó AP-n készül egy PPPoE szerver. Tiltsd le a routeredben a DHCP klienst Állits be PPPoE csatlakozást a routeredben az Előadó AP felé Felhasználónév: mtcna Jelszó: mtcna Ellenőrizd a PPPoE kliens státuszát 260

261 PPPoE Ellenőrizd az internetkapcsolatot Tíltsd le a PPPoE kliens interfészt Engedélyezd a korábban tiltott DHCP klienst 261

262 IP Pool IP címet tartományát tartalmazza, melyekből a router oszthat a különféle szolgáltatások használatakor. Nem csak a DHCP, hanem a PPP és a HotSpot is használja. A szabad címek kiválasztása a poolból automatikusan történik. 262

263 IP Pool 263

264 PPP Profile A PPP Profilok határoznak meg szabályokat, melyeket a PPP szerver érvényesít a klienseire. Jó módszer ha ugyanazt a beállítást kell alkalmaznunk több kliensre. 264

265 PPP Profile 265

266 PPP Secret Helyi PPP felhasználó adatbázis Felhasználónév, jelszó és egyéb felhasználó specifikus beálltásokra szolgál. Amit itt nem állítunk be, az az aktuális profilból kerül alkalmazásra. Ha egy paraméter a profilban is és a secretben is definiálva van, akkor a secretben lévő lesz érvényes. 266

267 PPP Secret 267

268 PPPoE Szerver PPPoE szerver egy interfészen fut. Nem lehet olyan interfészen, ami bridge tagja. Vagy ki kell venni az interfészt a bridgeből, vagy a bridgere kell konfigurálni a PPPoE szervert. Biztonsági okokból nem javasolt a PPPoE szerver interfészének IP címet adni. 268

269 PPPoE Szerver 269

270 PPP Státusz Információ a pillanatnyilag aktív PPP felhasználókról. 270

271 Point-to-Point címzés PPP kapcsolat felépítésekor a szerver és kliens /32 IP címeket vesznek fel. A network address ilyenkor a tunnel másik végén található IP cím. 271

272 Point-to-Point címzés Az alhálózati maszk nem releváns PPP címzésnél. PPP címzés használatakor 2 IP címet megspórolunk. Ha a PPP címzést az ellenoldali eszköz nem támogatja, akkor /30-as címzést kell használni. 272

273 PPPoE Szerver A router egyik, nem használt (pl. eth5) interfészére fogunk PPPoE szervert beállítani. Vedd ki az eth5-öt a bridge-ből Ellenőrizd hogy nincs-e IP címe 273

274 PPPoE Szerver Hozd létre a következőket: IP Pool, PPP profile és PPP secret melyek a PPPoE szerverhez szükségesek Hozd létre a PPPoE szervert Állíts be a laptopodon PPPoE klienst Kábelen csatlakoztasd a laptopodat a router PPPoE portjához 274

275 PPPoE Szerver Csatlakozz a PPPoE szerverhez Ellenőrizd az internetkapcsolatot Csatlakozz a routerhez IP vagy MAC WinBox segítségével, és ellenőrizd a PPP státuszt Bontsd le a PPPoE kapcsolatot, és a laptopoddal csatlakozz a korábban használt porthoz a routeren 275

276 PPTP Point-to-Point Tunneling Prototol (PPTP) egy titkosított csatornát hoz létre IP felett. Helyi hálózatok biztonságos összekötésére használható az Interneten keresztül. A RouterOS tartalmazza a PPTP klienst és a PPTP szervert is. 276

277 PPTP TCP 1723-as portot használ és 47-es IP protocolt (GRE Generic Routing Encapsulation). NAT helperre van szükség ha NATolt hálózat mögött használjuk. 277

278 PPTP Tunnel Internet Tunnel 278

279 PPTP Kliens 279

280 PPTP Kliens Az Add default Route bekapcsolásával minden forgalom a PPTP csatornába terelhető. Statikus route-ok használatával irányíthatunk forgalmat a csatornába. FIGYELEM! A PPTP már nem számít elég biztonságosnak. Helyette ajánlott az SSTP, OpenVPN vagy IPSec. 280

281 PPTP Szerver A QuickSet ablakban bekapcsolható a VPN Access pont alatt. 281

282 SSTP A Secure Socket Tunneling Protocol (SSTP) titkosított csatornát hoz létre IP felett. TCP 443-as portot használ (HTTPS) RouterOS támogatja az SSTP szervert és a klienst is. SSTP kliens Windows Vista SP1 illetve későbbi rendszerekben megtalálható. Nyilt forráskódú kliens és szerver változatok léteznek Linux rendszerekre. 282

283 SSTP Kliens 283

284 SSTP Kliens Az Add default Route bekapcsolásával minden forgalom a SSTP csatornába terelhető. Statikus route-ok használatával irányíthatunk forgalmat a csatornába. Két RouterOS eszköz között nem szükséges SSL certificate Ha Windows-al szeretnénk csatlakozni akkor érvényes certificate szükséges hozzá. 284

285 Dolgozzatok párokban PPTP/SSTP Az egyik routeren hozzatok létre PPTP és SSTP szervert a másikon PPTP és SSTP klienseket Használjátok a korábban létrehozott IP poolt, PPP profilet és PPP secretet a szerverhez A kliensel csatlakozzatok a szerverhez 285

286 PPTP/SSTP Ellenőrizzétek a tűzfal szabályokat PPTP TCP 1723 GRE SSTP TCP 443 Pingessétek meg a szomszéd laptopját Miért nem válaszol? 286

287 PPTP/SSTP Vegyetek fel statikus routeokat a szomszéd hálózatába, állítsátok a PPP kliens interfészt átjárónak Pingessétek a szomszéd laptopját 287

288 PPP A részletesebb információt a PPPoE, PPTP, SSTP és egyéb tunnelekről, szerver és kliens megoldásokról az MTCRE és az MTCINE tanfolyamok tartalmaznak. 288

289 Certified Network Associate (MTCNA) Modul 9 Egyéb 289

290 RouterOS Eszközök A RouterOS különböző alkalmazásokat, eszközöket tartalmaz, amelyekkel a router menedzselését és monitorozását hatékonyabbá tehetjük, valamint segítenek a hibakeresésben. 290

291 eket küldhetünk a routerből. Például konfiguráció mentést. 291

292 Egy hoszt elérhetőségét vizsgálja. ICMP echo request (PING) elküldésével. Egy scriptet futtathatunk ha elérhetetlenné vagy elérhetővé válik. Netwatch 292

293 Ping Hoszt elérhetőségét vizsgálhatjuk. (ICMP) Round trip time ellenőrzése. Lehetőség van forrás interfész vagy IP cím megadására. 293

294 Hálózatdiagnosztik ai eszköz amivel ellenőrizhetjük a csomag útvonalát a cél felé. ICMP vagy UDP protokoll. Traceroute 294

295 Megmutatja a RouterOS futó folyamatainak a CPU használatát. Profile 295

296 Interfész Forgalmi Adatok Valós idejű forgalmi adatok. Minden interfész adatai megtekinthető az interfész ablak Traffic fülén. 296

297 Torch Valós idejű forgalom analízis. Megnézhetjük az interfészen keresztülhaladó csomagokat. Szűrhetünk IP protokoll, forrás/cél cím, portszám, stb. szerint. 297

298 Torch 298

299 Grafikonok A RouterOS tudja gyűjteni az interfészeken vagy queue-kon áthaladó forgalmi statisztikákat. CPU, memória és disk használatot. Minden adatnak 4 grafikonja tárolódik: Napi, heti, havi, éves 299

300 Grafikonok 300

301 Grafikonok 301

302 Grafikonok 302

303 Grafikonok Engedélyezzétek az interface, queue és resource grafikonokat Töltsetek le egy nagyobb file-t az internetről Nézzétek meg a grafikonokat 303

304 SNMP Simple Network Management Protocol. Hálózati eszközök monitorozására és menedzselésére használt általános protokoll. A RouterOS támogatja az SNMP v1, v2 és v3 verziókat. SNMP írási lehetőségek csak néhány beállításra használhatók. 304

305 SNMP 305

306 The Dude MikroTik által fejlesztett alkalmazás ami nagyban segíti nagyobb hálózatok karbantartását. Automatikus felderítés és térképes megjelenítés. Szolgáltatások monitorozása és riasztások küldése. Ingyenes! 306

307 The Dude SNMP, ICMP, DNS és TCP alaú monitorozás támogatása. Szerver Kliens rendszer, A szerver oldal RouterOS alatt fut (CCR,CHR vagy x86) Kliens program Windows alatt (Linux és OS X alatt Wine segítségével.) 307

308 The Dude 308

309 The Dude 309

310 Support Output File Ha segítséget szeretnénk kérni ismerősünktől vagy a MikroTik Supporttól, akkor legenerálhatunk egy support output filet. Ennek elküldésével hozzáférés megadása nélkül egyszerűen átadható minden információ. 310

311 Support Output File Hardware hiba esetén automatikusan is generálódik egy autosupout-rif. Watchdog folyamat inditja. A support output file minden információt tartalmaz a rendszer aktuális állapotáról (konfiguráció, statisztikai adatok, logok, stb). Mi is megnyithatjuk: 311

312 Alapbeállítás esetén a RouterOS loggol bizonyos eseményeket. Ezek a memóriában tárolódnak. Lehetőség van ezeket diszkre menteni, Log Vagy távoli syslog szerverre küldeni 312

313 Részletesebb loggolást is beállíthatunk új szabály felvételével. A topikok ÉS kapcsolatban vannak! Log 313

314 Köszönöm a figyelmet, Sok sikert a vizsgához! 314