Mikrotik je ruter namenjen za razne vrste poslova. Ipak onaj najčešći koji se sa njim obavlja je deljenje internet konekcije na više računara u lokalnoj mreži. Dobre osobine Mikrotika za ovakvu primenu su u velikom broju opcija za povezivanje sa provajderom (razni tunel protokoli, dinamičko adresiranje, automatizacija i slično), a još više u opcijama za nadzor i kontrolu lokalne mreže, a naročito opterećenja internet linka. Sve to dobijate za nisku cenu (cena licence za Mikrotik je 45 USD).
Bitno je da svako ko namerava da koristi Mikrotik bude dovoljno upućen u osnovne pojmove umrežavanja. Mikrotik ima mnogo opcija, ali će to biti korisno samo onome ko zna kako da ih upotrebi. Njega, nažalost, ne možete koristiti odmah pošto ga instalirate, neophodno je da ga podesite da bi radio posao koji vam je potreban. Nedostatak znanja je čest izvor frustracija ali to je tako. Pomirite se sa činjenicom da ako želite da se bavite Mikrotikom, ili umrežavanjem, rutiranjem i sličnim, morate mnogo da učite. U ovoj oblasti ništa ne ide na brzaka, usput i na tri klika mišem.
U ovom članku, probaćemo da vas uputimo u osnovna podešavanje neophodna da bi ste Mikrotik koristili za deljenje internet konekcije u lokalnoj mreži. Cilj je da svim računarima u lokalnoj mreži obezbedite pristup Internetu, ali da regulišete ravnomernu kontrolu protoka za sve korisnike. U uputstvu nećemo ulaziti u mnoge detalje, več samo one bitne za deljenje internet konekcije.
Preporučujemo da za sve što vam u ovom članku nije jasno, pročitate odgovarajuće poglavlje iz uputstva za Mikrotik. Ovaj članak pretpostavlja da ste to već uradili i da imate predznanje, a njegov cilj je da vam pomogne da povežete stečeno znanje u funkcionalnu celinu koja radi određen, konkretan posao.
Obično, kada delimo internet konekciju imamo sledeću situaciju: ruter ima dva mrežna adaptera - jedan je povezan na internet provajdera, a drugi na lokalnu mrežu.
U lokalnoj mreži može da ima više računara.
Adapter koji je povezan na provajdera nazvaćemo WAN, a adapter koji je povezan na lokalnu mrežu nazvaćemo LAN.
Potpuno je nebitno na koji način je uspostavljena veza između provajdera i rutera, kao i rutera i računara u lokalnoj mreži. Kakve god da su veze, uvek se to može svesti na opšti slučaj mrežnog adaptera. Da li je on ethernet, wireless, pppoe, pptp ili drugi vpn, ili nesto sasvim drugo, nebitno je. Mikrotik svaki od njih vidi pre svega kao mrežni adapter i sva podešavanja su identična.
WAN adapter dobija neku IP adresu od provadjera, koja može biti javna ili privatna, statična ili dinamična. Za osnovno deljenje Interneta, to nije bitno, sve dok ruter preko uspostavljene konekcije vidi Internet. Za naš primer deljenja Internet veze, čak je potpuno nebitno koja je IP adresa WAN adaptera tako da nećemo mnogo ulaziti u podešavanje internet veze (to se razlikuje od provajdera do provajdera) i uzećemo da je ona ostvarena na najjednostavniji način: utp kablom i preko DHCP-a. Ako to kod vas nije slučaj, onu konekciju koja zaista predstavlja internet vezu (obično je to PPPoE) nazovite WAN i dalje postupajte po ovom uputstvu.
LAN adapter treba da ima adresu koja odgovara lokalnoj mreži. Lokalna mreža uvek ima adrese iz opsega privatnih adresa, a to su opsezi 10.0.0.0 - 10.255.255.255, 172.16.0.0 - 172.31.255.255, 192.168.0.0 - 192.168.255.255 i 169.254.0.0 -169.254.255.255. Ove adrese se ne koriste na Internetu i namenjene su za lokalne mreže. LAN adapteru rutera se uvek daje fiksna IP adresa.
Za naš slučaj uzećemo da je opseg IP adresa u lokalnoj mreži 192.168.1.0 do 192.168.1.255 (192.168.1.0/24, odnosno, maska mreže je 255.255.255.0.
Adrese 192.168.1.0 i 192.168.1.255 imaju posebnu namenu i ne mogu se dodeljivati mrežnim uređajima. Stoga ćemo ruteru dodeliti adresu 192.168.1.1, a ostalim računarima u mreži ćemo dodeliti adrese u opsegu 192.168.1.11 do 192.168.1.254 koje ćemo dodeljivati preko DHCP-a.
Računari u lokalnoj mreži treba da imaju za default gateway podešenu IP adresu LAN adaptera na ruteru. Ako je na ruteru podešen i DNS, onda na svakom računaru i DNS treba da bude podešen na adresu LAN adaptera na ruteru. Ako lokalnog DNS-a nema, onda treba koristiti DNS od provajdera. U našem primeru uključićemo i lokalni DNS.
Adrese od 192.168.1.2 do 192.168.1.10 ćemo ostaviti neiskorišćene za slučaj da u mreži podignemo neki server (serveri takođe uvek imaju statične IP adrese). Adrese od 192.168.1.200 do 198.161.221 čemo dodeljivati kao dinamičke adrese a sve ostale kao statičke.
Ukratko ćemo proći početna podešavanja koja treba napraviti na Mikrotiku. Pre svega, u računar ubodite samo jednu mrežnu kartu i to onu koju nameravate da koristite kao LAN adapter. Ako odmah ubacite obe, Mikrotik ce ih obe prepoznati i prikazati, ali će im sam dodeliti imena, a vi nećete znati koja je koja. Kada ubacite samo jednu, znaćete tačno koja je jer će biti jedina. Kada nju preimenujete onda možete ubaciti i drugu karticu koju ćete onda lako prepoznati.
Podignite Mikrotik i uđite u njega u konzolnom režimu (najbolje je da na računar povežete monitor i tastaturu). U njemu ćete kucati komande.
Prvo pokrenite jednostavan program setup za šablonska podešavanja koji nudi sledeće opcije:
[admin@MikroTik] > /setup Setup uses Safe Mode. It means that all changes that are made during setup are reverted in case of error, or if Ctrl-C is used to abort setup. To keep changes exit setup using the 'x' key. [Safe Mode taken] Choose options by pressing one of the letters in the left column, before dash. Pressing 'x' will exit current menu, pressing Enter key will select the entry that is marked by an '*'. You can abort setup at any time by pressing Ctrl-C. Entries marked by '+' are already configured. Entries marked by '-' cannot be used yet. Entries marked by 'X' cannot be used without installing additional packages. r - reset all router configuration + l - load interface driver + a - configure ip address and gateway d - setup dhcp client + s - setup dhcp server + p - setup pppoe client t - setup pptp client * x - exit menu your choice:
Ovim programom možete podesiti skoro sve što vam je za početak potrebno, ali ćemo ipak ići bez njega, kucanjem komandi, kako bi ste ih naučili i navikli na njihovo korišćenje. Upotrebićemo ga jedino za reset svih podešavanja Mikrotika za slučaj da ste na njemu već nešto podešavali, da izbegnete probleme. izaberite opciju r i potvrdite da želite reset i restart rutera. Sačekajte da se Mikrotik ponovo podigne i ponovo uđite u konzolni režim.
Sada ćemo prvo da preimenujemo interfejs koji je Mikrotik nazvao ether1 u LAN. Pre toga proverićemo koji je redni broj interfejsa komandom /interface ethernet print.
[admin@MikroTik] > /interface ethernet print Flags: X - disabled, R - running # NAME MTU MAC-ADDRESS ARP 0 R etherl 1500 00:51:04:1F:47:C0 enabled
Prikazana je lista interfejsa koja, kako smo i očekivali ima samo jednog člana, mrežnu karticu koju smo priključili u računar. Redni broj je naveden u koloni označenoj sa #. Naša kartica ima redni broj 0. Sada joj menjamo ime:
[admin@MikroTik] > /interface ethernet set 0 name lan
I ponovo pogledamo listu da proverimo da li je sve u redu:
[admin@MikroTik] > /interface ethernet print Flags: X - disabled, R - running # NAME MTU MAC-ADDRESS ARP 0 R lan 1500 00:51:04:1F:47:C0 enabled
Sada isključite Mikrotik, ubodete u njega i drugu karticu i nju na sličan način preimenujete u wan. Ona će se koristiti za povezivanje na Internet. Nije loše da i spolja, na samim karticama, flomasterom ili na neki drugi način, označite koja je lan, a koja wan da možete da se snađete sa kablovima. Ako ste sve podesili kako treba lista interfejsa izgleda ovako:
[admin@MikroTik] > /interface ethernet print Flags: X - disabled, R - running # NAME MTU MAC-ADDRESS ARP 0 R lan 1500 00:51:04:1F:47:C0 enabled 1 R wan 1500 00:51:04:1F:5B:03 enabled
Kad smo već kod ove liste da napomenemo da svaka kartica ima fabrički upisan serijski broj koji se naziva MAC. U listi interfejsa on je naveden u koloni MAC-ADDRESS. Ovaj broj je napisan na samoj kartici, tako da ako se zbunite pa ne znate koja je koja kartica, po ovom broju možete da ih razlikujete. Ipak, vodite računa da se MAC može menjati u Mikrotiku, tako da ako ste to uradili onda se broj koji prikazuje Mikrotik može razlikovati od broja koji piše na kartici. Međutim sada to nije bitno, jer ste daleko od potrebe da menjate MAC.
Kada su kartice obe preimenovane, možemo da ih podesimo. Za LAN interfejs smo isplanirali da mu damo adresu 192.168.1.1. Kucajte sledeće:
/ip address add address=192.168.1.1/24 interface=lan
LAN adapteru ne podešavamo podrazumevani prolaz (default gateway) jer mu nije potreban. Ovaj inteerfejs će u stvari biti podrazumevani prolaz ostalim računarima u lokalnoj mreži.
Za WAN interfejs postoji više mogućnosti zavisno kako se ruter povezuje na provajdera. On može biti dhcp, pppoe ili pptp klijent. Za ovu priliku ćemo uzeti da se radi o dhcp klijentu jer je to najjednostavniji slučaj. Uključićemo da interfejs od DHCP servera uzme podatke o DNS-u i podrazumevanom prolazu.
/ip dhcp-client add interface=wan use-peer-dns=yes add-default-route=yes
Sada je ruter podešen za obe mreže i možemo proveriti da li je dobio obe IP adrese:
[admin@MikroTik] > /ip address print Flags: X - disabled, I - invalid, D - dynamic # ADDRESS NETWORK BROADCAST INTERFACE 0 192.168.1.1/24 192.168.1.0 192.168.1.255 lan 1 D 212.71.91.14/32 212.71.91.14 0.0.0.0 wan
Vidimo da oba interfejsa imaju IP adrese. LAN ima fiksnu koju smo podesili a WAN ima dinamicnu, koju je preko DHCP-a dobio od provajdera. Dodatno možete probati da komandom /ping wireless.uzice.net proverite da li internet zaista radi:
[admin@infosys] > /ping wireless.uzice.net 75.126.144.69 64 byte ping: ttl=47 time=192 ms 75.126.144.69 64 byte ping: ttl=47 time=183 ms 75.126.144.69 64 byte ping: ttl=47 time=188 ms 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max = 183/187.6/192 ms
Ako ping radi to znači da Mikrotik lepo vidi Internet i da radi i DNS. Ako ping prijavi da adresa wireless.uzice.net ne postoji što može da znači ili da internet konekcija ne radi ili da nije dobro podešen DNS. Ako sumnjate na DNS onda pingujte direktno IP adresu 75.126.144.69. Ako taj ping radi to znači da internet konkcija radi, ali da DNS nije u redu. Ako ni tako ne radi ping, onda je problem sa internet konekcijom.
Sledeće što podešavamo je DHCP, kako ne bismo morali da ručno podešavamo IP adresu svakog računara u lokalnoj mreži. DHCP je servis kome se obraća svaki klijentski računar podešen da to radi (a podrazumevano jeste podešen) kada ga uključimo. Pojednostavljeno, računar se javi u mrežu i zatraži parametre za podešavanje svog mrežnog interfejsa. Taj računar je DHCP klijent i on će od DHCP servera dobiti sve potrebne podatke, podesiće ih i njemu će mreža postati vidljiva.
Nešto ranije smo ruter podesili da bude DHCP klijent na WAN adapteru. Sada je potrebno da računari u lokalnoj mreži budu klijenti, a da Mikrotik ruter njima bude DHCP server na interfejsu LAN.
Prvo ćemo napraviti pul adresa (pool) pod nazivom dhcp-pool-1 koji će sadržati opeg 192.168.1.200-192.168.1.251. Ove adrese će biti dodeljivane računarima koji se obrate DHCP-u, a nismo im unapred dodelili fiksne adrese (o tome ćemo kasnije).
/ip pool add name=dhcp-pool-1 ranges=192.168.1.200-192.168.1.251Sledeće što podešavamo su parametri lokalne mreže koji će biti dodeljivani računarima kada se obrate DHCP-u, a pripadaju definisanoj lokalnoj mreži 192.168.1.0/24. DNS i gateway će biti 192.168.1.1, dakle LAN adapter Mikrotika.
/ip dhcp-server network add address=192.168.1.0/24 \
dns-server=192.168.1.1 gateway=192.168.1.1
I konačno, podešavamo sam DHCP server koji će dodeljivati adrese iz podešenog pula, a vreme trajanja dodeljene adrese je 3 dana. Uključili smo da se DHCP ponaša kao autoritativni server u lokalnoj mreži, što znači da neće dozvoljavati da u mreži postoji još neki drugi DHCP. To se radi iz sigurnosnih razloga, jer dva DHCP-a u mreži je dobar recept za probleme.
/ip dhcp-server add name="lan-dhcp" interface=lan address-pool=dhcp-pool-1 \ lease-time=3d00:00:00 authoritative=yes
Pošto smo u DHCP parametrima podesili da je DNS server za lokalnu mrežu takođe Mikrotik, onda moramo uključiti DNS:
/ip dns set allow-remote-requests=yes
Prilikom prethodnog podešavanja DHCP klijenta uključili smo opciju da WAN od DHCP servera provajdera preuzima i adresu DNS servera, to će svi DNS upiti koje lokalni računari budu poslali Mikrotiku on proslediti DNS-u proajdera, ali će rezultate čuvati u lokalnom kešu tako da ponovljene upite ne mora da ponovo prosleđuje. Lokalni DNS je zgodan i zato što omogućava da dodelite mnemoničke adrese lokalnim računarima, tako da možete da ih oslovljavate bez pamćenja IP adresa. Pogledajte članak: Kreiranje statičnih DNS slogova od DHCP-a.
Na lokalnim računarima proverite da li sve radi kako treba, ponajbolje komandama ping i traceroute. Ove komande su objašnjene u članku Šta je ping i tracert (traceroute)?
Ovim smo završili podešavanje Mikrotika da bude operativan. Sada ostaje da napravimo deljenje Interneta i ograničenje protoka.
Provajder vam, po pravilu, daje samo jednu IP adresu po konekciji, a pošto znamo da jedna IP adresa može da se dodeli samo jednom uređaju u mreži, to u praksi znači da tu adresu dobija samo onaj uređaj koji se poveže na provajdera. To se dešava i ako je taj uređaj Mikrotik, onog momenta kada uspostavi internet konekciju biva mu dodeljena jedna IP adresa i to je to.
To naravno ne znači da samo Mikrotik može da vidi Internet. Preko njega, to mogu i računari iz lokalne mreže.
Mikrotik možemo podesiti u režim kada on radi kao posrednik između računara u lokalnoj mreži i Interneta, prenoseći sve konekcije. Ovaj režim je NAT ruting (skraćeno od Network Address Translation). Postoje dve vrste NAT-a a ona koja je nama u ovom trenutku interesantna je Maskiranje (Masquerading).
Šta to u stvari znači?
Kada neki od računara treba da uspostavi konekciju sa drugim računarom koji je na Internetu (to može biti i običan pristup nekom web serveru), on će se obratiti Mikrotiku. Mikrotik će prihvatiti konekciju, utvrditi gde je usmerena i sam će je ostvariti (ne zaboravite samo Mikrotik vidi Internet), a zapamtiće koji je lokalni računar tražio tu konekciju. Kada dobije neki povratni odgovor, on će ga jednotavno proslediti računaru koji je tražio konekciju. Ovaj će to dobiti i neće ni primetiti da u stvari nije napravio direktnu konekciju već je sve išlo preko Mikrotika. Zbog toga se ovaj postupak zove NAT, jer se vrši transliranje internet adresa. U literaturi se često pod NAT-om u stvari podrazumeva upravo ovaj način rada. Mikrotik ovaj postupak zove maskiranje (Masquarade) upravo zato što on praktično maskira lokalne računare i predstavlja se da on pravi upit, a ne oni. Uključivanje maskiranja je jednostavno: povežite se na Mikrotik u konzolnom režimu i na komandnoj liniji otkucajte:
/ip firewall nat add chain=srcnat action=masquerade out-interface=WAN
Šta smo ovim podesili? Pre svega dodali smo pravilo u srcnat lanac NAT-a. On se odnosi na konekcije kojima je izvor u lokalnoj mreži. U pravilu smo naveli da se odnosi na sve konekcije kojima je izlazni interfejs WAN, a akciju koju treba izvršiti je masquerade. Praktično, to znači da se pravilo odnosi na sve konekcije koje su iz lokalne mreže upućene prema Internetu, a da se na njih primenjuje Maskiranje. I to je sve. Od tog momenta, svaki računar u lokalnoj mreži imaće pristup Internetu. Zapamtite: kad god radite NAT konekcija koje pokreću računari iz lokalne mreže, koristite srcnat lanac.
Ovo je bitan preduslov da deljenje internet konekcije uopšte ima smisla. Ako se ne uradi ograničenje protoka, to znači da će onaj korisnik koji prvi povuče nešto sa Interneta zauzeti sav protok, a ostali će morati da čekaju, ili će im Internet raditi sporo. Mikrotik ima prilično moćan i komplikovan sistem kontrole protoka. Za neka ozbiljnija podešavanja potrebno je dosta isksutva, ali mi ćemo se zadržati na najosnovnijem.
Mikrotik kontrolu protoka ostvaruje tako što pravi red čekanja za sve pakete. Zadržavanjem paketa, on reguliše brzinu protoka. Za svaki paket se na osnovu zadatih pravila određuje koliko treba da čeka i kada mu vreme istekne on bude pušten na odredište. Naše je da podesimo pravila tako da Mikrotik reguliše protok onako kako nama odgovara.
Obično, pred Mikrotik se postavljaju dva zahteva: prvi, da se protok ograničava za svakog korisnika pojedinačno i drugi, da se protok ravnomerno deli na sve korisnike. Iako postoji više načina da se ovo postigne, zadržaćemo se na najjednostavnijem, korišćenjem jednostavnih redova čekanja (simple queues).
Da bi smo mogli da ograničimo nekog korisnika, moramo imati mogućnost da odredimo ko je ko. Najjednostavniji način je preko IP adrese. Međutim, u našem podešavanju DHCP servera, podesili smo da se adrese dodeljuju iz opsega adresa, ali ne i ko će dobiti koju adresu. Zato ćemo podešavanje DHCP servera dodatno proširiti. Potrebno je da podesimo statične IP adrese za izabrane korisnike:
/ip dhcp-server lease add address=192.168.1.11 mac-address=00:04:1D:0A:5A:6C \ server=lan-dhcp comment="pc1" /ip dhcp-server lease add address=192.168.1.12 mac-address=00:04:1D:0A:62:AE \ server=lan-dhcp comment="pc2" /ip dhcp-server lease add address=192.168.1.13 mac-address=00:1C:48:F2:00:17 \ server=lan-dhcp comment="pc3"
Ovako smo podesili da računari koji imaju navedene MAC adrese uvek dobijaju zadate IP adrese (ne zaboravite MAC adresa je serijski broj mrežnog interfejsa, tako da ako kojim slučajem promenite mrežnu karticu u računaru, menja se i MAC).
Sada možemo da protok ograničimo po tim adresama. Jednostavni redovi čekanja je unapređeni mehanizam koji Mikrotik obezbeđuje za brzo i prilično zadovoljavajuće ograničenje protoka.
/queue simple add name="pc1" dst-address=192.168.1.11/32 \ interface=wan direction=both priority=8 queue=default/default \ limit-at=32000/32000 max-limit=64000/64000 /queue simple add name="pc2" dst-address=192.168.1.12/32 \ interface=wan direction=both priority=8 queue=default/default \ limit-at=32000/32000 max-limit=64000/64000 /queue simple add name="pc3" dst-address=192.168.1.13/32 \ interface=wan direction=both priority=8 queue=default/default \ limit-at=32000/32000 max-limit=64000/64000 /queue simple add name="ostali" dst-address=0.0.0.0/0 \ interface=wan direction=both priority=8 queue=default/default \ limit-at=1000/1000 max-limit=1000/1000
Ova pravila određuju da se za poznate računare protok ograničava tako da je garantovani protok (CIR, limit-at) 32kbps, a maksimalni protok (MIR, max-limit) 64kbps. Ograničenja mogu biti i različita za svaki računar.
Ukratko ćemo objasniti šta znače upotrebljeni parametri:
name - daje ime pravilu, treba da dovoljno jasno opisuje na šta se pravilo odnosi
dst-address - adresa računara na koji se odnosi pravilo (može da se odnosi i na ceo opseg adresa). Maska /32 znači da se odnosi samo na jednu, navedenu, adresu
interface - pravilo se odnosi samo za konekcije na navedenom interfejsu. WAN je interfejs preko koga nama ide internet. Često se ovo zaboravi, pa interfejs nije naveden a onda to znači da se pravilo primenjuje na sve interfejse zajedno, što često, nije baš ono što bi smo želeli.
direction - vrlo važan parametar. Inače se pravila ograničenja brzine odnose na samo jedan smer (upload ili download), ali je u Mikrotiku simple queue osmišljen tako da može da istovremeno limitira i oba smera - ono što najčešće i treba. Ovaj parametar određuje na koji smer se odnosi pravilo.
priority - odrežuje prioritet pravilu. Ima osam nivoa prioriteta i ona pravila koja imaju manji broj imaju veći prioritet. Dakle ako nastane gužva i ne mogu sva pravila biti ispoštovana, ona sa većim prioritetom imaju prednost. Dobro je za neke servise staviti veći prioritet da bi radili i kada je link preopterećen.
queue - lista čekanja za koju se vezuje pravilo. Ovo morate proučiti u uputstvu Mikrotika jer je previše komplikovano za temu ovog članka
limit-at - garantovani protok. Ruter će se truditi da korisniku uvek obezbedi bar ovaj protok. Mogu se navesti dve brzine, odvojene znakom /. Jedna se odnosi na brzinu uploada, a druga na brzinu downloada
max-limit - maksimalna dozvoljena brzina. Kad god je moguće, ruter će korisniku dozvoljavati ovu brzinu ali ne veću od toga. Takođe se mogu posebno podesiti brzina za upload i download.
disable - pravilo možete po potrebi isključiti, a da ga ne uklanjate.
Poslednje pravilo, nazvano "ostali" se odnosi na sve konekcije koje nisu obuhvaćene prethodnim pravilima. Pravila se inače primenjuju odozgo na dole, redom kako su definisana, i kada neko pravilo važi za konekciju, izvršava se, a dalje se pravila na toj konekciji ne izvršavaju.
Tako, ako se pojavi konekcija koju je napravio neki četvrti računar, za koji nismo podesili ograničenje, za njega neće važiti pravila podešena za druge računare, pa će on stići do pravila pod nazivom ostali, koje će mu značajno saseći protok. Ako dodate još jedno pravilo za četvrti računar ali, greškom, ono ono bude iza pravila "ostali", to pravilo neće nikada biti izvršeno, jer će pravilo "ostali" uhvatiti svaku konekciju koja do njega dođe. Ovo je, inače česta greška, koja se omakne i iskusnima.
U ovom načinu podešavanja ograničenja ravnomernu podelu protoka obezbeđujemo tako što svim korisnicima podesimo iste parametre ograničenja protoka. Ravnomernost je posebno obezbeđena kroz CIR i MIR princip. CIR je garantovani protok i njime nalažemo ruteru da se uvek trudi da korisniku obezbedi bar taj protok, a ako link nije opterećen, ruter će korisniku dozvoliti i veću brzinu, ali ne veću od MIR (maksimalan protok).
Ako želite malo napredniji način podešavanja, možete uvesti jednostavan sistem nivoa za korisnike koji je objašnjen u članku Ograničenje protoka po nivoima korisnika (skript).
Podešavanje Mikrotika koje smo opisali potpuno izoluje korisnike u lokalnoj mreži. Mikrotik radi kao zaštitni zid (firewall). Njima nije moguće pristupiti sa Interneta ni na koji način, nema tog virusa, trojanca ili napadača koji će proći kroz Mikrotik i napasti računare u lokalnoj mreži, tako da su oni bezbedni.
Bezbednost može da se naruši samo ako računari iz lokalne mreže uspostave konekciju sa nekim računarom na Internetu. Korisnici uvek mogu, pristupom nekom sajtu ili konekcijom sa nekim računarom na internetu da preuzmu virus i trojanac i tako budu napadnuti i od toga ih zaštitni zid ne može zaštititi. Zaštita je obezbeđena od direktnih napadu sa Interneta, koji se ne mogu dogoditi.
Međutim, često je neophodno da dozvolimo neke konekcije spolja. Ako imate mail server u lokalnoj mreži, logično je da omogućite da mu se može prići spolja, prvo da bi uopšte mogao da prima email, a onda i da bi, eventualno, korisnici mogli sa Interneta da mu priđu da bi proverili email. Takođe, za neke aplikacije koje koriste Internet (neke igre, filesharing klijenti, i slično) neophodno je da se obezbedi da se računaru u lokalnoj mreži može prići i sa Interneta.
Ovo se postiže translacijom portova. To je veoma slična opcija kao što je NAT, samo što radi u suprotnom smeru - omogućava da se neki Mikrotikov port koji je vidljiv sa Interneta preusmeri na neki port nekog od lokalnih računara. Postupak se zove Port Address Translation (PAT). U Mikrotiku se to izvodi kao NAT, samo u dst-nat lancu.
Kako radi PAT: recimo da želite da preusmerite dolazni TCP port 25 (smtp) sa Interneta, na lokalni računar 192.168.1.2 na kome se nalazi mail server, koji i inače očekuje konekcije na portu 25, pošto je to standardni port za smtp protokol, prijem email poruka. Podesićemo Mikrotik komandom:
/ip firewall nat add chain=dstnat in-interface=wan protocol=tcp dst-port=25 \
action=dst-nat to-addresses=192.168.1.2
Dodali smo pravilo u dst-nat lanac NAT-a, koje se odnosi na dolazne konekcije koje stižu na wan interfejs (dakle dolaze sa Interneta), na TCP port 25 i takve konekcije prosleđuje akcijom dst-nat na lokalnu IP adresu 192.168.1.2 na kojoj se nalazi email server. Pošto nismo naveli odredišni port na lokalnoj IP adresi, Mikrotik će konekciju proslediti na isti port kao što je i ulazni, u ovom slučaju to je TCP port 25.
Praktično, ovakvim podešavanjem, izveli smo da se lokalni mail server vidi na Internetu na javnoj IP adresi Mikrotika. Kada neki računar pošalje uput i konekciju na TCP port 25, Mikrotik će tu konekciju primiti, proslediće upit na lokalnu IP adresu, a kada dobije odgovor, vratiće ga izvornom pošiljaocu.
Dakle, stvar radi vrlo slično kao i src-nat maskarada samo u suprotnom smeru i samo za navedeni port. Ako se na Mikrotik-u pojavi neka konekcija na port koji nije podešen, Mikrotik će tu konekciju ignorisati, kao da je nije ni video. Time onu stvari štiti mrežu od nenamenskih konekcija.
Ovako možete podesiti koje god portove želite, s tim da morate voditi računa da isti port ne možete proslediti na više lokalnih računara ili portova na jednom računaru.
Kada je u pitanju mail serverpotrebn je slično podešavanje napraviti i za TCP port 110 (pop3), da bi se sa Interneta moglo pristupiti preuzimanju pošte. Pravilo za to je:
/ip firewall nat add chain=dstnat in-interface=wan protocol=tcp dst-port=110 \
action=dst-nat to-addresses=192.168.1.2
Ako želite da sve dolazne konekcije prosledite jednom lokalnom računaru, tako da se sve ponaša kao da je u stvari on direktno na Internetu, to se zove DMZ (DeMilitarized Zone). Ovako nešto se retko radi jer direktno izlaže računar na Internet i time ga izlaže i svim mogućim opasnostima. Ovo podešavanje je znatno jednostavnije nego prosleđivanje jednog porta:
/ip firewall nat add chain=dstnat in-interface=wan action=dst-nat to-addresses=192.168.1.2
Od prethodnog primera se razlikuje samo utoliko što je uklonjen filter, odnosno, pravilo obuhvata sve konekcije koje dođu sa Interneta. Još jednom, ovo nemojte raditi osim ako dobro znate zašto to radite.
Kada uspostavite deljenje Interneta u lokalnoj mreži, vrlo brzo se susrećete sa problemom sprečavanja zlonamernih ili nepoželjnih konekcija. Ovo se pre svega odnosi na zaštitu resursa od raznih vrsta napada, ali ne retko i sprovođenje politike deljenja Interneta kroz zabranu nekih servisa (obično je to recimo zabrana p2p downloada, zabrana pristupa nekim sajtovima i slično).
Kada imate samo jedan računar povezan na Internet, lako je kontrolisati ga, postavite na njega dobar antivirus, neki zaštitni zid i to će da radi posao. Međutim, kada je mreža u pitanju, morate imati način da napravite opštu zaštitu bez obzira kako su pojedinačni računari podešeni i zaštićeni i ko ih koristi. Taj posao spada na ruter, u našem slučaju Mikrotik.
Kvalitetno zabranjivanje konekcija nije uvek baš jednostavno i traži iskustvo, pa nećemo dublje ulaziti u taj problem. Zadržaćemo se na jednostavnom i uobičajenom postupku - zabrani slanja emaila preko servera na Internetu.
Da opišemo problem koji želimo da rešimo: ako se neki računar zarazi virusom ili trojancem, taj će pokušati da se na sve moguće načine razmnoži. Jedan od najomiljenijih načina razmnožavanja je putem email poruka. Računar koji zapati virus počinje da šalje ogroman broj poruka preko samo njemu znanih kanala, nastojeći da zarazi druge korisnike na Internetu. Vrlo brzo, takav napad će biti prepoznat, a Internet provajderi će, kao jedinu moguću meru, primeniti zabranu primanja emaila sa vaše javne IP adrese. Tako, pored štete koju je vaš lokalni zaraženi računar napravi drugima, napraviće je i vašoj mreži, jer više nećete moći uopšte da šaljete.
Da biste to predupredili, možete uraditi vrlo jednostavnu stvar - zabranićete slanje email-a na internet servere. Vaši korisnici će email uvek moži da pošalju koristeći lokalni email server kome će jedino biti dozvoljeno da šalje poruke na Internet. Virusi neće umeti da se u toj situaciji snađu, jer oni za vaš lokalni email server ne znaju. Jednostavnom odlukom, da svako slanje emaila koje ne ide preko lokalnog severa smatrate opasnim i blokirate, rešićete sebi jedan ogroman problem.
Zabrane i dozvole konekcija se vrše u opciji /ip firewall filter. Tu možete uneti raznovrsna pravila za upravljanje saobraćajem koji prolazi kroz ruter. Pravila se postavljaju u tri osnovna lanca:
input - lanac koji obuhvata konekcije koje dolaze na Mikrotik, odnosno upućene su Mikrotiku (takva je na primer telnet ili Winbox konekcija na Mikrotik radi njegove administracije). Pravila u ovom lancu najčešće štite sam Mikrotik.
forward - lanac koji obuhvata konekcije koje prolaze kroz Mikrotik (to su konekcije koje idu iz lokalne mreže na Internet i obratno)
output - lanac koji obuhvata konekcije koje idu od Mikrotika (obično odgovori na konekcije u input lancu)
Očigledno, za filtriranje Intenet konekcija koje prave korisnici iz lokalne mreže, potrebno je da pravila filtriranja postavimo u forward lanac. Sama pravila mogu biti zaista veoma raznovrsna i kompleksna pa je za njihovo potpuno razumevanje neophodno da dobro proučite uputstvo za Mikrotik. Ipak, kroz ovaj primer blokiranja email konekcija, uvešćemo vas u sam princip filtriranja.
Dakle, zadatak je da svim računarima u lokalnoj mreži zabranimo slanje emaila direktno na Internet, osim računaru na kome je email server, a koji je na adresi 192.168.1.2.
/ip firewall filter add chain=forward \ protocol=tcp dst-port=25 out-interface=wan src-address=!192.168.1.2 \ action=drop comment="zabrani smtp"
Ovo pravilo znači: u forward lancu filtera sve TCP konekcije na port 25 koje su kroz ruter poslate na izlazni interfejs wan (to jest na Internet), a ne potiču sa računara čiji je IP 192.168.1.2, zabrani (drop). To zaista znači kraj, niko neće moći da pošalje email na Internet, osim email servera.
Iako radi posao, ovo pravilo ima nestotatak što je komleksno, te ne možete letimičnim pregledom da lako prepoznate koja mu je funkcija. To znači da, ako vam se pojavi problem, u gomili raznih pravila nećete lako moći da utvrdite koje od njih je uzrok. Preporuka je da pravila budu što je jednostavnije moguća, radi preglednosti. Zbog toga je bolje ovo pravilo zameniti sa dva koja su jednostavnija i očiglednije pokazuju kako su filteri podešeni.
Dakle, umesto ovog pravila napisaćemo stvar nešto drugačije: podesićemo dva pravila, jedno koje dozvoljava slanje emaila sa servera i jedno koje zabranuje slanje emaila svima ostalima.
Pošto se u Mikrotiku sva pravila izvršavaju po redosledu kojim su upisana, prvo ćemo dodati pravilo kojim dozvoljavamo email serveru da šalje email, a onda iza toga drugo pravilo koje će sve ostale konekcije na mail servere na Internetu zabraniti. To će izgledati ovako:
/ip firewall filter add chain=forward \ protocol=tcp dst-port=25 out-interface=wan src-address=192.168.1.2 \ action=accept comment="dozvoli email serveru smtp " /ip firewall filter add chain=forward \ protocol=tcp dst-port=25 out-interface=wan \ action=drop comment="zabrani smtp"
Pravila u filteru Mikrotika se izvršavaju redom od prvog do poslednjeg, sve dok se ne naiđe napravilo koje ima konačnu akciju. Akcije accept (prihvatanje konekcije) i drop (odbijanje konekcije) su konačne - ako konekcija odgovara pravilu, biće odobrena ili odbijena i dalje se pravila u filteru za tu konekciju neće izvršavati. Postoje i pravila koja ne prekidaju izvršavanje filtera, a o njima ćete više saznati iz uputstva za Mikrotik.
Da objasnimo šta ova dva pravila koja smo podesili znače.
Prvo u filter u forward lanac stavljamo pravilo koje obuhvata konekcije na TCP port 25 upućene na wan kao izlazni interfejs (dakle na Internet) a koje uputi email server koji je na IP adresi 192.168.1.2. Ovo pravilo odobrava konekcije, što znači da je email severu dozvoljeno da šalje email.
Ako konekcija ne odgovara ovom pravilu biće prosleđena dalje.
Sledeće pravilo u forward lancu sve TCP konekcije na port 25 upućene na wan kao izlazni interfejs (opet, ka Internetu) zabranjuje. Ovo pravilo nije ograničeno na neki konkretan IP, već obuhvata ama baš svaku konekciju na port TCP 25. To je zato što prethodno pravilo jasno dozvoljava mail serveru da šalje email tako da u ovom pravilu ne treba to naglašavati.
Ova dva pravila, kada ih letimično pogledate u listi svih pravila, mnogo očiglednije pokazuju šta tačno rade. Zbog toga je to preporučljiv način podešavanja pravila - ako podešavate pravilo zaneki izuzetak, trudite se da taj izuzetak obradite posebnim pravilom.
Upsut, dobijate i mogućnost da, ako želite još nekome da dozvolite slanje emaila direktno na Internet, da između ova dva prvila prosto dodate novo, koje to obezbeđuje.
Ako pitate zašto sve ovo mora da se kuca, kada Mikrotik ima odličan administratorski alat Winbox, odgovor je u tome što ovim pristupom, preko komandi, mnogo lakše savlađujete logiku Mikrotika. Ako umete da koristite Winbox, naravno, i treba tako da radite, jer je brže, jednostavnije, preglednije, jednom rečju mnogo lakše.
Praviti uputstvo sa primerima u Winbox-u je mnogo komplikovanje, jer bi ono moralo da sadrži mnogo snimljenih ekrana, tako da to nije ekonomično. No, evo kratkog objašnjenja kako da se na sveže instalirani Mikrotik povežete Winbox-om.
Kada u Mikrotik ubacite mrežnu karticu, povežite je sa drugim računarom ukrštenim UTP kablom (kako napraviti ukršteni kabal imate u članku Osnove umrežavanja). Na tom računaru pokrenite Winbox i umesto da ukucate IP adresu Mikrotika, pošto mu adresa još nije dodeljena, kliknite na dugme sa tri tačkice koje se nalazi odmah pored polja za unos adrese. Pojaviće se novi prozor sa listom svih Mikrotikova koji su u tom momentu vidljivi, a u ovom slučaju to će biti samo jedan, naš sveže instalirani. Dupli klik na njega pokrenuće konekciju.
Trik je u tome što za povezivanje na Mikrotik u stvari nije neophodna IP adresa. Winbox ume da se poveže na Mikrotik i ako vidi samo njegov MAC.
Ovo naravno ima i neka ograničenja:
- preko MAC se možete povezati samo na Mikrotik koji je direktno povezan na računar na kome je Winbox. Pod direktno, mislim na vezu direktno UTP kablom, preko wireless-a, preko switch-a i na bilo koji drugi način ako između Winbox-a i Mikrotika ne stoji nekakav ruter. To znači da ako vam je mreža rutirana videćete samo one Mikrotikove koji su u segmentu mreže na koji ste povezani.
- MAC konekcija je osetljiva. Ako je fizicka veza problematična, recimo wireless sa velikim lagom, Winbox će se teško snalaziti i često će raskidati konekciju. Ovo se naročito očitava na slanju i prijemu datoteka kroz Winbox. Zbog toga, kada se povežete putem MAC-a, što pre podesite Mikrotiku IP adresu, makar i samo privremenu, i nadalje se povezujte preko IP-a.
Winbox u nekim verzijama ima grešku koji ga onemogućava da se na MAC adresu poveže ako na računaru na kome je Winbox postoji više od jednog aktivnog mrežnog interfejsa. Ako imate recimo bluetooth ili tako nešto slično, onemogućite tu konekciju (disable) da bi Winbox mogao da se poveže na Mikrotik.
Zbog svega toga, dobro je da prvo što uradite na Mikrotiku kada se povežete na njega, da mu podesite IP adresu da bi ste iz Winbox-a mogli da se povežete preko IP adrese, konekcijom koja je mnogo stabilnija.
Ovim smo napravili podešavanja koja obezbeđuju dovoljan nivo kontrole deljenja Interneta. Mikrotik naravno može mnogo više ali o tome ćemo u nekom drugom uputstvu.
Međutim, iako vam ovo podešavanje lepo radi nemojte se prevariti da pomislite da je sve tako jednostavno, jer nije. Samim omogućavanjem pristupa Internetu pred vas se postavlja zahtev bezbednosti i to sa obe strane, jer opasnost vreba i sa Interneta ali i sa lokalne mreže. Na to dodajte moguće zlonamernike koji imaju pristup lokalnoj mreži i žele da je zloupotrebe, makar i samo utoliko da sebi priušte veću brzinu protoka nego što ste predvideli. Ima tu još dosta posla, čitanja i učenja.
Dajte komentar ili potražite dodatna objašnjenja
Mikrotik - Ograničenje protoka po nivoima korisnika (skript)
Mikrotik - Kako ograničiti pristup Internetu onim korisnicima koji nisu povezani na lokalni DC HUB
Mikrotik - Kako ograničiti broj konekcija po korisniku
Mikrotik - Kako onemogućiti korisnicima da samovoljno menjaju svoje IP adrese
Prepravka matične ploče radi podrške PCI 2.2 wireless kartica
Wireless community mreža - kako je napraviti
Mikrotik forum za pomoć i razmenu znanja
Umrežavanje - osnovni pojmovi
Umrežavanje - kako dodeljivati IP opsege