MikroTik

 

การกำหนดค่าครั้งแรก

• เชื่อมต่อกับเราเตอร์
• เราเตอร์ที่ไม่มีการกำหนดค่าเริ่มต้น
• การกำหนดค่าการเข้าถึง IP
• การกำหนดค่าการเชื่อมต่ออินเทอร์เน็ต
  • IP สาธารณะแบบไดนามิก
  • IP สาธารณะแบบคงที่
  • การเชื่อมต่อ PPPoE
  • ตรวจสอบการเชื่อมต่อ
• การปกป้องเราเตอร์
  • การเข้าถึงรหัสผ่านของผู้ใช้
  • การเข้าถึงการเชื่อมต่อ MAC
  • การค้นพบเพื่อนบ้าน
  • การเข้าถึงการเชื่อมต่อ IP
  • บริการธุรการ
  • บริการอื่นๆ
• การกำหนดค่า NAT
  • การส่งต่อพอร์ต
• การตั้งค่าไร้สาย
• การปกป้องลูกค้า
• การปิดกั้นเว็บไซต์ที่ไม่ต้องการ
• การแก้ไขปัญหา
  • แก้ไขปัญหาหาก ping ล้มเหลว

เชื่อมต่อกับเราเตอร์

เราเตอร์มีสองประเภท:

• ด้วยการกำหนดค่าเริ่มต้น
• โดยไม่มีการกำหนดค่าเริ่มต้น เมื่อไม่พบการกำหนดค่าเฉพาะ ที่อยู่ IP 192.168.88.1/24 จะถูกตั้งค่าบน ether1 หรือ combo1 หรือ sfp1

ดูข้อมูลเพิ่มเติมเกี่ยวกับการกำหนดค่าเริ่มต้นปัจจุบันได้ในเอกสารคู่มือฉบับย่อที่มาพร้อมกับอุปกรณ์ของคุณ เอกสารคำแนะนำฉบับย่อจะมีข้อมูลเกี่ยวกับพอร์ตที่ควรใช้เชื่อมต่อในครั้งแรกและวิธีเสียบอุปกรณ์ของคุณ

เอกสารนี้อธิบายวิธีการตั้งค่าอุปกรณ์ตั้งแต่เริ่มต้น ดังนั้นเราจะขอให้คุณลบค่าเริ่มต้นทั้งหมด

เมื่อเชื่อมต่อครั้งแรกกับเราเตอร์ด้วยชื่อผู้ใช้เริ่มต้นของผู้ดูแลระบบและไม่มีรหัสผ่าน ( สำหรับบางรุ่น ตรวจสอบรหัสผ่านผู้ใช้บนสติกเกอร์)ระบบจะขอให้คุณรีเซ็ตหรือคงการกำหนดค่าเริ่มต้นไว้ (แม้ว่าการกำหนดค่าเริ่มต้นจะมีเพียง IP ที่อยู่). เนื่องจากบทความนี้ถือว่าไม่มีการกำหนดค่าบนเราเตอร์ คุณควรลบออกโดยกด "r" บนแป้นพิมพ์เมื่อได้รับแจ้ง หรือคลิกที่ปุ่ม "ลบการกำหนดค่า" ใน WinBox

เราเตอร์ที่ไม่มีการกำหนดค่าเริ่มต้น

หากไม่มีการกำหนดค่าเริ่มต้นบนเราเตอร์ คุณมีหลายตัวเลือก แต่ในที่นี้เราจะใช้วิธีหนึ่งที่เหมาะกับความต้องการของเรา

เชื่อมต่อพอร์ต ether1 ของเราเตอร์เข้ากับสาย WAN และเชื่อมต่อพีซีของคุณกับ ether2 ตอนนี้เปิด WinBox แล้วมองหาเราเตอร์ของคุณในการค้นหาเพื่อนบ้าน ดูตัวอย่างโดย ละเอียดในบทความ Winbox

หากคุณเห็นเราเตอร์ในรายการ ให้คลิกที่อยู่ MAC แล้วคลิกเชื่อมต่อ

วิธีที่ง่ายที่สุดในการตรวจสอบให้แน่ใจว่าคุณมีเราเตอร์ที่สะอาดหมดจดคือการเรียกใช้

/system reset-configuration no-defaults=yes skip-backup=yes

หรือจาก WinBox (รูปที่ 1-1):

การกำหนดค่าการเข้าถึง IP

เนื่องจากการเชื่อมต่อ MAC ไม่เสถียร สิ่งแรกที่เราต้องทำคือตั้งค่าเราเตอร์เพื่อให้มีการเชื่อมต่อ IP:

• เพิ่มอินเทอร์เฟซบริดจ์และพอร์ตบริดจ์
• เพิ่มที่อยู่ IP ลงในอินเทอร์เฟซ LAN
• ตั้งค่าเซิร์ฟเวอร์ DHCP

การตั้งค่าบริดจ์และที่อยู่ IP นั้นค่อนข้างง่าย:

/interface bridge add name=local /interface bridge port add interface=ether2 bridge=local /ip address add address=192.168.88.1/24 interface=local

หากคุณต้องการให้ WinBox/WeBfig เป็นเครื่องมือกำหนดค่า:

• เปิดหน้าต่างBridgeควรเลือกแท็บBridge
• คลิกที่ ปุ่ม +กล่องโต้ตอบใหม่จะเปิดขึ้น ป้อนชื่อบริดจ์ในเครื่องแล้วคลิกตกลง ;
• เลือกแท็บพอร์ตและคลิกที่ ปุ่ม +กล่องโต้ตอบใหม่จะเปิดขึ้น
• เลือกอินเตอร์เฟสether2และบริดจ์รายการแบบหล่นลงของฟอร์มในเครื่อง และคลิกที่ปุ่ม ตกลงเพื่อใช้การตั้งค่า
• คุณสามารถปิดกล่องโต้ตอบบริดจ์ได้

• เปิดIp -> กล่องโต้ตอบที่ อยู่
• คลิกที่ ปุ่ม +กล่องโต้ตอบใหม่จะเปิดขึ้น
• ป้อนที่อยู่ IP 192.168.88.1/24เลือกอินเทอร์เฟซภายในเครื่องจากรายการแบบหล่นลงและคลิกที่ปุ่มตกลง

ขั้นตอนต่อไปคือการตั้งค่าเซิร์ฟเวอร์ DHCP เราจะเรียกใช้ คำสั่ง ตั้งค่าเพื่อการกำหนดค่าที่ง่ายและรวดเร็ว:

[admin@MikroTik] /ip dhcp-server setup [enter] Select interface to run DHCP server on   dhcp server interface: local [enter] Select network for DHCP addresses   dhcp address space: 192.168.88.0/24 [enter] Select gateway for given network   gateway for dhcp network: 192.168.88.1 [enter] Select pool of ip addresses given out by DHCP server   addresses to give out: 192.168.88.2-192.168.88.254 [enter] Select DNS servers   dns servers: 192.168.88.1 [enter] Select lease time   lease time: 10m [enter]

โปรดสังเกตว่าตัวเลือกการกำหนดค่าส่วนใหญ่จะถูกกำหนดโดยอัตโนมัติ และคุณเพียงแค่กดปุ่ม Enter

เครื่องมือตั้งค่าเดียวกันนี้ยังมีอยู่ใน WinBox/WeBfig:

• เปิดIp ->หน้าต่าง เซิร์ฟเวอร์ DHCP ควรเลือกแท็บDHCP
• คลิกที่ ปุ่ม ตั้งค่า DHCPกล่องโต้ตอบใหม่จะเปิดขึ้น ป้อน DHCP Server Interface ในเครื่องแล้วคลิกปุ่มถัดไป
• ทำตามวิซาร์ดเพื่อตั้งค่าให้เสร็จสมบูรณ์

ตอนนี้พีซีที่เชื่อมต่อควรจะสามารถรับที่อยู่ IP แบบไดนามิกได้ ปิด Winbox และเชื่อมต่อกับเราเตอร์อีกครั้งโดยใช้ที่อยู่ IP (192.168.88.1)

การกำหนดค่าการเชื่อมต่ออินเทอร์เน็ต

ขั้นตอนต่อไปคือการเข้าถึงอินเทอร์เน็ตไปยังเราเตอร์ การเชื่อมต่ออินเทอร์เน็ตมีได้หลายประเภท แต่ประเภทที่พบบ่อยที่สุดคือ:

• ที่อยู่ IP สาธารณะแบบไดนามิก
• ที่อยู่ IP สาธารณะแบบคงที่
• การเชื่อมต่อ PPPoE

IP สาธารณะแบบไดนามิก

การกำหนดค่าที่อยู่แบบไดนามิกเป็นวิธีที่ง่ายที่สุด คุณเพียงแค่ต้องตั้งค่าไคลเอนต์ DHCP บนอินเทอร์เฟซสาธารณะ ไคลเอนต์ DHCP จะรับข้อมูลจากผู้ให้บริการอินเทอร์เน็ต (ISP) และตั้งค่าที่อยู่ IP, DNS, เซิร์ฟเวอร์ NTP และเส้นทางเริ่มต้นสำหรับคุณ

/ip dhcp-client add disabled=no interface=ether1

หลังจากเพิ่มไคลเอ็นต์แล้ว คุณจะเห็นที่อยู่ที่กำหนดและสถานะควรถูกผูกไว้

[admin@MikroTik] /ip dhcp-client> print Flags: X - disabled, I - invalid  #   INTERFACE           USE ADD-DEFAULT-ROUTE STATUS        ADDRESS  0   ether1               yes yes               bound         1.2.3.100/24

IP สาธารณะแบบคงที่

ในกรณีของการกำหนดค่าที่อยู่คงที่ ISP ของคุณจะให้พารามิเตอร์แก่คุณ ตัวอย่างเช่น:

• IP: 1.2.3.100/24
• เกตเวย์: 1.2.3.1
• DNS: 8.8.8.8

นี่คือสามพารามิเตอร์พื้นฐานที่คุณต้องใช้เพื่อให้การเชื่อมต่ออินเทอร์เน็ตทำงานได้

ในการตั้งค่านี้ใน RouterOS เราจะเพิ่มที่อยู่ IP ด้วยตนเอง เพิ่มเส้นทางเริ่มต้นด้วยเกตเวย์ที่ให้มา และตั้งค่าเซิร์ฟเวอร์ DNS

/ip address add address=1.2.3.100/24 interface=ether1 /ip route add gateway=1.2.3.1 /ip dns set servers=8.8.8.8

การเชื่อมต่อ PPPoE

การเชื่อมต่อ PPPoE ยังให้ที่อยู่ IP แบบไดนามิกและสามารถกำหนดค่า DNS และเกตเวย์เริ่มต้นแบบไดนามิก โดยทั่วไป ผู้ให้บริการ (ISP) จะให้ชื่อผู้ใช้และรหัสผ่านสำหรับการเชื่อมต่อแก่คุณ

/interface pppoe-client   add disabled=no interface=ether1 user=me password=123 \     add-default-route=yes use-peer-dns=yes

การกระทำของ Winbox / Webfig:

• เปิดหน้าต่างPPPควรเลือกแท็บอินเทอร์ เฟซ
• คลิกที่ ปุ่ม +และเลือกไคลเอ็นต์ PPPoEจากรายการดรอปดาวน์ กล่องโต้ตอบใหม่จะเปิดขึ้น
• เลือกอินเทอร์เฟซ ether1จากรายการแบบหล่นลงและคลิกที่ ปุ่ม ตกลงเพื่อใช้การตั้งค่า

เพิ่มเติมในคอนฟิกูเรชันWAN interface ตอน นี้คือpppoe-out interface ไม่ใช่ether1

ตรวจสอบการเชื่อมต่อ

หลังจากกำหนดค่าสำเร็จ คุณควรจะสามารถเข้าถึงอินเทอร์เน็ตจากเราเตอร์ได้

ตรวจสอบการเชื่อมต่อ IP โดยส่ง Ping ที่อยู่ IP ที่รู้จัก (เช่น เซิร์ฟเวอร์ DNS ของ Google)

[admin@MikroTik] > /ping 8.8.8.8 HOST                                     SIZE TTL TIME  STATUS 8.8.8.8                                    56  47 21ms 8.8.8.8                                    56  47 21ms

ตรวจสอบคำขอ DNS

[admin@MikroTik] > /ping www.google.com HOST                                     SIZE TTL TIME  STATUS 173.194.32.49                              56  55 13ms 173.194.32.49                              56  55 12ms

หากตั้งค่าทุกอย่างถูกต้อง ping ในทั้งสองกรณีไม่ควรล้มเหลว

ในกรณีที่ล้มเหลว โปรดดูส่วนการแก้ไขปัญหา

การปกป้องเราเตอร์

ตอนนี้ทุกคนทั่วโลกสามารถเข้าถึงเราเตอร์ของเราได้ ดังนั้นจึงเป็นเวลาที่ดีที่สุดในการปกป้องเราเตอร์จากผู้บุกรุกและการโจมตีพื้นฐาน

การเข้าถึงรหัสผ่านของผู้ใช้

เราเตอร์ MikroTik ต้องการการกำหนดค่ารหัสผ่าน เราขอแนะนำให้ใช้เครื่องมือสร้างรหัสผ่านเพื่อสร้างรหัสผ่านที่ปลอดภัยและไม่ซ้ำกัน ด้วยรหัสผ่านที่ปลอดภัย เราหมายถึง:

• ขั้นต่ำ 12 ตัวอักษร;
• รวมตัวเลข สัญลักษณ์ ตัวพิมพ์ใหญ่และตัวพิมพ์เล็ก
• ไม่ใช่คำในพจนานุกรมหรือการรวมคำในพจนานุกรม

/user set 0 password="!={Ba3N!40TуX+GvKBzjTLIUcx/,"

ตัวเลือกอื่นในการตั้งรหัสผ่าน

/password

เราขอแนะนำอย่างยิ่งให้ใช้วิธีที่สองหรืออินเทอร์เฟซ Winbox เพื่อใช้รหัสผ่านใหม่สำหรับเราเตอร์ของคุณ เพียงเพื่อให้ปลอดภัยจากการเข้าถึงที่ไม่ได้รับอนุญาตอื่นๆ

[admin@MikroTik] > / password old password: new password: ****** retype new password: ******

อย่าลืมจำรหัสผ่าน! ถ้าลืมก็ไม่มีวันหาย คุณจะต้องติดตั้งเราเตอร์ใหม่!

คุณยังสามารถเพิ่มผู้ใช้ด้วยการเข้าถึงเราเตอร์แบบเต็มหรือแบบจำกัดในเมนู/user

แนวทางปฏิบัติที่ดีที่สุดคือการเพิ่มผู้ใช้ใหม่ด้วยรหัสผ่านที่รัดกุม และปิดใช้งานหรือลบผู้ใช้ที่เป็นผู้ดูแลระบบ เริ่มต้น

/user add name=myname password=mypassword group=full /user remove admin

หมายเหตุ:ลงชื่อเข้าใช้เราเตอร์ด้วยข้อมูลรับรองใหม่เพื่อตรวจสอบว่าชื่อผู้ใช้/รหัสผ่านใช้งานได้

การเข้าถึงการเชื่อมต่อ MAC

ตามค่าเริ่มต้น เซิร์ฟเวอร์ mac จะทำงานบนอินเทอร์เฟซทั้งหมด ดังนั้นเราจะปิดใช้ งานรายการ ทั้งหมด ที่เป็นค่าเริ่มต้น และเพิ่มอินเทอร์เฟซภายในเครื่องเพื่อปิดใช้งานการเชื่อมต่อ MAC จากพอร์ต WAN คุณสมบัติ MAC Telnet Server อนุญาตให้คุณใช้ข้อจำกัดกับอินเทอร์เฟซ "รายการ"

ขั้นแรก สร้างรายการอินเทอร์เฟซ:

[admin@MikroTik] > /interface list add name=listBridge

จากนั้น เพิ่มบริดจ์ที่สร้างไว้ก่อนหน้านี้ชื่อ "local" ลงในรายการอินเทอร์เฟซ:

[admin@MikroTik] > /interface list member add list=listBridge interface=local

ใช้ "รายการ" ที่สร้างขึ้นใหม่ (ของอินเทอร์เฟซ) กับเซิร์ฟเวอร์ MAC:

[admin@MikroTik] > tool mac-server set allowed-interface-list=listBridge

ทำเช่นเดียวกันกับการเข้าถึง Winbox MAC

[admin@MikroTik] > tool mac-server mac-winbox set allowed-interface-list=listBridge

การกระทำของ Winbox / Webfig:

• เปิดส่วนต่อประสาน → รายการส่วนต่อประสาน →หน้าต่างรายการ และเพิ่มรายการใหม่โดยคลิก "+";
• ป้อนชื่อรายการอินเตอร์เฟส "listBridge" ลงใน ฟิลด์ Nameแล้วคลิกOK ;
• กลับไปที่ ส่วน อินเทอร์เฟซ → รายการ อินเทอร์เฟซ แล้วคลิก "+";
• เลือก "listBridge" จาก ตัวเลือก รายการ แบบเลื่อนลง และเลือก "local" จาก ตัวเลือก อินเทอร์เฟซ แบบหล่นลง แล้วคลิกOK ;
• เปิดเครื่องมือ ->หน้าต่าง Mac Server;
• คลิกที่ ปุ่ม "MAC Telnet Server"กล่องโต้ตอบใหม่จะเปิดขึ้น
• เลือกรายการที่สร้างขึ้นใหม่ "listBridge" จากรายการแบบหล่นลงและคลิกที่ ปุ่ม ตกลงเพื่อใช้การตั้งค่า

ทำเช่นเดียวกันใน แท็บ MAC Winbox Server เพื่อบล็อกการเชื่อมต่อ Mac Winbox จากอินเทอร์เน็ต

การค้นพบเพื่อนบ้าน

โปรโตคอลการค้นพบ MikroTik Neighbor ใช้เพื่อแสดงและจดจำเราเตอร์ MikroTik อื่นๆ ในเครือข่าย ปิดการค้นหาเพื่อนบ้านบนอินเทอร์เฟซสาธารณะ:

/ip neighbor discovery-settings set discover-interface-list=listBridge

การเข้าถึงการเชื่อมต่อ IP

นอกจากข้อเท็จจริงที่ว่าไฟร์วอลล์ปกป้องเราเตอร์ของคุณจากการเข้าถึงโดยไม่ได้รับอนุญาตจากเครือข่ายภายนอกแล้ว ยังเป็นไปได้ที่จะจำกัดการเข้าถึงชื่อผู้ใช้สำหรับที่อยู่ IP ที่ระบุ

/user set 0 allowed-address=x.x.x.x/yy

xxxx/yy - IP หรือเครือข่ายย่อยของคุณที่ได้รับอนุญาตให้เข้าถึงเราเตอร์ของคุณ

การเชื่อมต่อ IP บนอินเทอร์เฟซสาธารณะต้องถูกจำกัดในไฟร์วอลล์ เราจะยอมรับเฉพาะการเข้าถึง ICMP(ping/traceroute), IP Winbox และ ssh

/ip firewall filter   add chain=input connection-state=established,related action=accept comment="accept established,related";   add chain=input connection-state=invalid action=drop;   add chain=input in-interface=ether1 protocol=icmp action=accept comment="allow ICMP";   add chain=input in-interface=ether1 protocol=tcp port=8291 action=accept comment="allow Winbox";   add chain=input in-interface=ether1 protocol=tcp port=22 action=accept comment="allow SSH";   add chain=input in-interface=ether1 action=drop comment="block everything else";

ในกรณีที่อินเทอร์เฟซสาธารณะเป็น pppoe ควรตั้งค่าอินเทอร์เฟซในเป็น "pppoe-out"

กฎสองข้อแรกยอมรับแพ็กเก็ตจากการเชื่อมต่อที่สร้างไว้แล้ว ดังนั้นเราจึงถือว่ากฎสองข้อนี้ใช้ได้เพื่อไม่ให้ CPU โอเวอร์โหลด กฎข้อที่สามจะละทิ้งแพ็กเก็ตใดๆ ที่การติดตามการเชื่อมต่อคิดว่าไม่ถูกต้อง หลังจากนั้น เราตั้งค่ากฎการยอมรับทั่วไปสำหรับโปรโตคอลเฉพาะ

หากคุณใช้ Winbox/Webfig ในการกำหนดค่า ต่อไปนี้คือตัวอย่างวิธีเพิ่มกฎที่สร้างขึ้น/ที่เกี่ยวข้อง:

• เปิดหน้าต่างIp -> Firewall คลิกที่ แท็ บ กฎการกรอง
• คลิกที่ ปุ่ม +กล่องโต้ตอบใหม่จะเปิดขึ้น
• เลือกอินพุตเชน คลิกที่สถานะการเชื่อมต่อและเลือกช่องทำเครื่องหมายสำหรับสร้างและที่เกี่ยวข้อง
• คลิกที่ แท็บ การดำเนินการและตรวจสอบให้แน่ใจว่าได้เลือกการดำเนินการที่ยอมรับแล้ว
• คลิกที่ ปุ่ม ตกลงเพื่อใช้การตั้งค่า

หากต้องการเพิ่มกฎอื่นๆ ให้คลิกที่+สำหรับกฎใหม่แต่ละข้อ และกรอกพารามิเตอร์เดียวกันกับที่ให้ไว้ในตัวอย่างคอนโซล

บริการธุรการ

แม้ว่าไฟร์วอลล์จะปกป้องเราเตอร์จากอินเทอร์เฟซสาธารณะ คุณอาจยังต้องการปิดใช้งานบริการ RouterOS

เครื่องมือการดูแลระบบ RouterOS ส่วนใหญ่ได้รับการกำหนดค่าที่เมนูบริการ /ip

เก็บเฉพาะที่ปลอดภัย

/ip service disable telnet,ftp,www,api

เปลี่ยนพอร์ตบริการเริ่มต้น ซึ่งจะหยุดความพยายามเข้าสู่ระบบ SSH brute force แบบสุ่มส่วนใหญ่ทันที:

/ip service set ssh port=2200

นอกจากนี้ แต่ละบริการสามารถรักษาความปลอดภัยด้วยที่อยู่ IP หรือช่วงที่อยู่ที่อนุญาต (บริการที่อยู่จะตอบกลับ) แม้ว่าวิธีที่ต้องการมากกว่าคือการบล็อกการเข้าถึงที่ไม่ต้องการในไฟร์วอลล์ เพราะไฟร์วอลล์จะไม่อนุญาตให้แม้แต่เปิดซ็อกเก็ต

/ip service set winbox address=192.168.88.0/24

บริการอื่นๆ

เซิร์ฟเวอร์แบนด์วิธใช้เพื่อทดสอบปริมาณงานระหว่างเราเตอร์ MikroTik สองตัว ปิดใช้งานในสภาพแวดล้อมการผลิต

/tool bandwidth-server set enabled=no

เราเตอร์อาจเปิดใช้งานแคช DNS ซึ่งลดเวลาในการแก้ไขคำขอ DNS จากไคลเอนต์ไปยังเซิร์ฟเวอร์ระยะไกล ในกรณีที่ไม่ต้องการแคช DNS บนเราเตอร์ของคุณหรือใช้เราเตอร์อื่นเพื่อวัตถุประสงค์ดังกล่าว ให้ปิดการใช้งาน

/ip dns set allow-remote-requests=no

RouterBOARDs บางตัวมีโมดูล LCD เพื่อวัตถุประสงค์ในการให้ข้อมูล ตั้งพินหรือปิดใช้งาน

/lcd set enabled=no

เป็นการดีที่จะปิดการใช้งานอินเทอร์เฟซที่ไม่ได้ใช้ทั้งหมดบนเราเตอร์ของคุณ เพื่อลดการเข้าถึงเราเตอร์ของคุณโดยไม่ได้รับอนุญาต

/interface print /interface set x disabled=yes

โดยที่ "X" คืออินเทอร์ เฟซที่ไม่ได้ใช้จำนวนหนึ่ง

RouterOS ใช้ crypto ที่แข็งแกร่งกว่าสำหรับ SSH โปรแกรมใหม่ส่วนใหญ่ใช้มัน เพื่อเปิด crypto ที่แข็งแกร่งของ SSH:

/ip ssh set strong-crypto=yes

บริการต่อไปนี้จะถูกปิดใช้งานโดยค่าเริ่มต้น อย่างไรก็ตาม จะเป็นการดีกว่าที่จะตรวจสอบให้แน่ใจว่าไม่มีการเปิดใช้งานโดยไม่ตั้งใจ:

• พร็อกซีแคช MikroTik

/ip proxy set enabled=no

• พร็อกซี่ถุงเท้า MikroTik

/ip socks set enabled=no

• บริการ MikroTik UPNP

/ip upnp set enabled=no

• บริการชื่อไดนามิกของ MikroTik หรือ IP cloud

/ip cloud set ddns-enabled=no update-time=no

การกำหนดค่า NAT

ณ จุดนี้ พีซียังไม่สามารถเข้าถึงอินเทอร์เน็ตได้ เนื่องจากแอดเดรสที่ใช้ภายในเครื่องไม่สามารถกำหนดเส้นทางผ่านอินเทอร์เน็ตได้ โฮสต์ระยะไกลไม่ทราบวิธีตอบกลับที่อยู่ในท้องถิ่นของคุณอย่างถูกต้อง

วิธีแก้ไขปัญหานี้คือการเปลี่ยนที่อยู่ต้นทางสำหรับแพ็กเก็ตขาออกเป็น IP สาธารณะของเราเตอร์ สามารถทำได้ด้วยกฎ NAT:

/ip firewall nat   add chain=srcnat out-interface=ether1 action=masquerade

ในกรณีที่อินเทอร์เฟซสาธารณะเป็น pppoe อินเทอร์เฟซขาออกควรตั้งค่าเป็น "pppoe-out"

ข้อดีอีกประการของการตั้งค่าดังกล่าวคือไคลเอนต์ NATed ที่อยู่หลังเราเตอร์ไม่ได้เชื่อมต่อโดยตรงกับอินเทอร์เน็ต วิธีนี้ไม่จำเป็นต้องมีการป้องกันเพิ่มเติมจากการโจมตีจากภายนอก

การส่งต่อพอร์ต

อุปกรณ์ไคลเอนต์บางเครื่องอาจต้องเข้าถึงอินเทอร์เน็ตโดยตรงผ่านพอร์ตเฉพาะ ตัวอย่างเช่น ไคลเอนต์ที่มีที่อยู่ IP 192.168.88.254 จะต้องสามารถเข้าถึงได้โดย Remote desktop protocol (RDP)

หลังจากค้นหาอย่างรวดเร็วบน Google เราพบว่า RDP ทำงานบนพอร์ต TCP 3389 ตอนนี้เราสามารถเพิ่มกฎ NAT ปลายทางเพื่อเปลี่ยนเส้นทาง RDP ไปยังพีซีของลูกค้า

/ip firewall nat   add chain=dstnat protocol=tcp port=3389 in-interface=ether1 \     action=dst-nat to-address=192.168.88.254

หากคุณได้ตั้งค่ากฎไฟร์วอลล์ที่เข้มงวดแล้ว โปรโตคอล RDP จะต้องได้รับอนุญาตในห่วงโซ่การส่งต่อตัวกรองไฟร์วอลล์

การตั้งค่าไร้สาย

เพื่อความสะดวกในการใช้งาน จะมีการตั้งค่าบริดจ์ไร้สายเพื่อให้โฮสต์แบบใช้สายของคุณอยู่ในโดเมนการออกอากาศอีเทอร์เน็ตเดียวกันกับไคลเอนต์ไร้สาย

ส่วนสำคัญคือต้องแน่ใจว่าระบบไร้สายของเราได้รับการป้องกัน ดังนั้นขั้นตอนแรกคือโปรไฟล์ความปลอดภัย

โปรไฟล์ความปลอดภัยได้รับการกำหนดค่าจาก/interface wireless security-profilesเมนูในเทอร์มินัล

/interface wireless security-profiles   add name=myProfile authentication-types=wpa2-psk mode=dynamic-keys \     wpa2-pre-shared-key=1234567890

ใน Winbox/Webfig คลิกที่Wirelessเพื่อเปิดหน้าต่างไร้สาย และเลือกแท็บSecurity Profile

หากมีอุปกรณ์รุ่นเก่าที่ไม่รองรับ WPA2 (เช่น Windows XP) คุณอาจต้องการอนุญาตโปรโตคอล WPA

คีย์ที่ใช้ร่วมกันล่วงหน้า WPA และ WPA2 ไม่ควรเหมือนกัน

ตอนนี้เมื่อโปรไฟล์ความปลอดภัยพร้อมแล้ว เราสามารถเปิดใช้งานอินเทอร์เฟซไร้สายและตั้งค่าพารามิเตอร์ที่ต้องการได้

/interface wireless   enable wlan1;   set wlan1 band=2ghz-b/g/n channel-width=20/40mhz-Ce distance=indoors \     mode=ap-bridge ssid=MikroTik-006360 wireless-protocol=802.11 \     security-profile=myProfile frequency-mode=regulatory-domain \     set country=latvia antenna-gain=3

ทำเช่นเดียวกันจาก Winbox/Webfig:

• เปิดหน้าต่าง Wireless เลือกอินเทอร์เฟซ wlan1 และคลิกที่ปุ่มเปิดใช้งาน
• ดับเบิลคลิกที่อินเทอร์เฟซไร้สายเพื่อเปิดกล่องโต้ตอบการกำหนดค่า
• ในกล่องโต้ตอบการกำหนดค่า คลิกที่แท็บWirelessและคลิก ปุ่ม โหมดขั้นสูงทางด้านขวา เมื่อคุณคลิกที่ปุ่ม พารามิเตอร์การกำหนดค่าเพิ่มเติมจะปรากฏขึ้นและคำอธิบายของปุ่มจะเปลี่ยนเป็นโหมดธรรมดา ;
• เลือกพารามิเตอร์ตามที่แสดงในภาพหน้าจอ ยกเว้นการตั้งค่าประเทศและ SSID คุณอาจต้องการเลือกความถี่และอัตราขยายของเสาอากาศที่แตกต่างกันด้วย
• ถัดไป คลิกที่ แท็บ HTและตรวจสอบให้แน่ใจว่าได้เลือกโซ่ทั้งสองแล้ว
• คลิกที่ ปุ่ม OKเพื่อใช้การตั้งค่า

ขั้นตอนสุดท้ายคือการเพิ่มอินเทอร์เฟซไร้สายให้กับโลคัลบริดจ์ มิฉะนั้นไคลเอนต์ที่เชื่อมต่อจะไม่ได้รับที่อยู่ IP:

/interface bridge port   add interface=wlan1 bridge=local

ตอนนี้ระบบไร้สายควรสามารถเชื่อมต่อกับจุดเข้าใช้งาน รับที่อยู่ IP และเข้าถึงอินเทอร์เน็ตได้

การปกป้องลูกค้า

ถึงเวลาแล้วที่จะเพิ่มการป้องกันสำหรับลูกค้าบน LAN ของเรา เราจะเริ่มต้นด้วยชุดกฎพื้นฐาน

/ip firewall filter   add chain=forward action=fasttrack-connection connection-state=established,related \     comment="fast-track for established,related";   add chain=forward action=accept connection-state=established,related \     comment="accept established,related";   add chain=forward action=drop connection-state=invalid   add chain=forward action=drop connection-state=new connection-nat-state=!dstnat \     in-interface=ether1 comment="drop access to clients behind NAT from WAN"

ชุดกฎจะคล้ายกับกฎของห่วงโซ่อินพุต (ยอมรับการสร้าง/ที่เกี่ยวข้องและปล่อยไม่ถูกต้อง) ยกเว้นกฎข้อแรกที่มีaction=fasttrack-connection. กฎนี้อนุญาตให้การเชื่อมต่อที่สร้างขึ้นและที่เกี่ยวข้องสามารถข้ามไฟร์วอลล์และลดการใช้งาน CPU ได้อย่างมาก

ข้อแตกต่างอีกประการหนึ่งคือกฎข้อสุดท้ายซึ่งลดความพยายามในการเชื่อมต่อใหม่ทั้งหมดจากพอร์ต WAN ไปยังเครือข่าย LAN ของเรา (เว้นแต่จะใช้ DstNat) หากไม่มีกฎนี้ หากผู้โจมตีรู้หรือเดาเครือข่ายย่อยภายในเครื่องของคุณ เขา/เธอสามารถสร้างการเชื่อมต่อโดยตรงกับโฮสต์ในพื้นที่และทำให้เกิดภัยคุกคามด้านความปลอดภัยได้

สำหรับตัวอย่างโดยละเอียดเพิ่มเติมเกี่ยวกับวิธีสร้างไฟร์วอลล์จะกล่าวถึงในหัวข้อไฟร์วอลล์ หรืออ่าน  บทความการสร้างไฟร์วอลล์ตัวแรกของคุณ โดยตรง

การปิดกั้นเว็บไซต์ที่ไม่ต้องการ

บางครั้งคุณอาจต้องการบล็อกบางเว็บไซต์ เช่น ปฏิเสธการเข้าถึงเว็บไซต์บันเทิงสำหรับพนักงาน ปฏิเสธการเข้าถึงสื่อลามก เป็นต้น ซึ่งสามารถทำได้โดยเปลี่ยนเส้นทางการรับส่งข้อมูล HTTP ไปยังพร็อกซีเซิร์ฟเวอร์และใช้รายการเข้าถึงเพื่ออนุญาตหรือปฏิเสธบางเว็บไซต์

ก่อนอื่น เราต้องเพิ่มกฎ NAT เพื่อเปลี่ยนเส้นทาง HTTP ไปยังพร็อกซีของเรา เราจะใช้พร็อกซีเซิร์ฟเวอร์ในตัวของ RouterOS ที่ทำงานบนพอร์ต 8080

/ip firewall nat   add chain=dst-nat protocol=tcp dst-port=80 src-address=192.168.88.0/24 \     action=redirect to-ports=8080

เปิดใช้งานเว็บพร็อกซีและวางบางเว็บไซต์:

/ip proxy set enabled=yes /ip proxy access add dst-host=www.facebook.com action=deny /ip proxy access add dst-host=*.youtube.* action=deny /ip proxy access add dst-host=:vimeo action=deny

ใช้ Winbox:

• ที่เมนูด้านซ้ายไปที่ IP -> Web Proxy
• กล่องโต้ตอบการตั้งค่าพร็อกซีของเว็บจะปรากฏขึ้น
• ทำเครื่องหมายที่ช่องทำเครื่องหมาย "เปิดใช้งาน" และคลิกที่ปุ่ม "สมัคร"
• จากนั้นคลิกที่ปุ่ม "Access" เพื่อเปิดกล่องโต้ตอบ "Web Proxy Access"

• ในกล่องโต้ตอบ "การเข้าถึงเว็บพร็อกซี" คลิกที่ "+" เพื่อเพิ่มกฎเว็บพร็อกซีใหม่
• ป้อนชื่อโฮสต์ Dst ที่คุณต้องการบล็อก ในกรณีนี้คือ " www.facebook.com " เลือกการดำเนินการ "ปฏิเสธ"
• จากนั้นคลิกที่ปุ่ม "ตกลง" เพื่อใช้การเปลี่ยนแปลง
• ทำซ้ำเช่นเดียวกันเพื่อเพิ่มกฎอื่นๆ

การแก้ไขปัญหา

RouterOS มีเครื่องมือแก้ไขปัญหาต่างๆ ในตัว เช่น ping, traceroute, torch, packet sniffer, bandwidth test เป็นต้น

เราได้ใช้เครื่องมือ ping ในบทความนี้เพื่อตรวจสอบการเชื่อมต่ออินเทอร์เน็ตแล้ว

แก้ไขปัญหาหาก ping ล้มเหลว

ปัญหาเกี่ยวกับเครื่องมือ ping คือมันบอกว่าปลายทางนั้นไม่สามารถเข้าถึงได้แต่ไม่มีข้อมูลรายละเอียดเพิ่มเติม มาดูข้อผิดพลาดพื้นฐานกัน

คุณไม่สามารถเข้าถึงwww.google.comจากคอมพิวเตอร์ที่เชื่อมต่อกับอุปกรณ์ MikroTik:

หากคุณไม่แน่ใจว่ากำหนดค่าอุปกรณ์เกตเวย์ของคุณอย่างไร โปรดติดต่อที่ปรึกษา อย่างเป็นทางการของ MikroTik เพื่อขอความช่วยเหลือในการกำหนดค่า

Reference

https://help.mikrotik.com/docs/display/ROS/First+Time+Configuration