Kontakt  Oferta 
 Kontakt  Oferta
ARWAL - internet, kasy fiskalne, programowanie, serwis, komputery

Kopia bezpieczeństwa

Utworzenie na mikrotiku zadania wykonującego automatyczne kopie bezpieczeństwa do pliku my.backup. Kopie będą się wykonywały codziennie o 3:00

/system scheduler
add disabled=no interval=1d name=backup on-event="system backup save name=my.backup" policy=read,write,test start-date=jan/01/1970 start-time=00:03:00

 Przygotowanie mikrotika do zdalnych kopii:

  • utworzenie grupy backup i nadanie uprawnień ssh , ftp , sensitive
  • utworzenie użytkownika backup ( w przykładzie nasze hasło to: haslo )
/user group
add name=backup policy=ssh,ftp,sensitive
/user
add group=backup name=backup password="haslo"

Na komputerze z windows tworzymy plik .bat komunikujący się z naszym mikrotikiem, załóżmy , że mikrotik ma adres 192.168.4.1, psftp zainstalowane w stadardowym katalogu, w katalogu d:\internet przechowywane skrypty psftp. Do działania skryptu potrzebujemy psftp, jest to część składowa pakietu putty. Najlepiej zainstalować cały pakiet ( installer )

D:
del /Q "D:\internet_backup\192.168.4.1\*" echo Y | "C:\Program Files (x86)\PuTTY\psftp.exe" 192.168.4.1 -l backup -pw haslo -b D:\Internet\mikrotik_core_192.168.4.1_backup.txt

Zwróćmy uwagę, że łączymy się z mikrotikiem na użytkowniku backup i haśle haslo. Do mikrotika przesyłane są komendy zawarte w pliku D:\Internet\mikrotik_core_192.168.4.1_backup.txt. Umieszczenie na początku komendy: echo Y | , spowoduje , że gdyby pojawiło się pytanie o zachowanie klucza ssh w pamięci komputera , zostanie automatycznie wyrażona zgoda. Kopia bezpieczeństwa będzie zapisywana do katalogu D:\internet_backup\192.168.4.1 , dlatego jego zawartość jest na początku kasowana.

Plik D:\Internet\mikrotik_core_192.168.4.1_backup.txt wygląda następująco

lcd D:\internet_backup\192.168.4.1
mget *.backup
bye

Taka sekwecja spowoduje zapis plików *.backup do lokalnego katalogu  D:\internet_backup\192.168.4.1

mikrotik OSPF

Protokół OSPF jest otwartym dynamicznym protokołem routingu i został zaimplementowany także na routerach mikrotik. Po wstępnym skonfigurowaniu mikrotika przystępujemy do konfiguracji ospf.

Tworzymy wirtualny interface loopback, który pozwoli na komunikację z mikrotikiem niezależnie od działania interfaców sieciowych ( jeśli będzie istniała jakakolwiek trasa do mikrotika ). Następnie pokazujemy sieci jakie będziemy dystrybuować przez ospf. Czynności te wykonujemy na wszystkich routerach działąjących w ospf.

 

/interface bridge
add name=loopback
/ip address
add address=10.255.255.1/32 interface=loopback 
/routing ospf instance
set 0 router-id=10.255.255.1
/routing ospf network
add network=210.13.1.0/28 area=backbone
add network=10.10.1.0/30 area=backbone
add network=10.10.1.4/30 area=backbone

 

 

Protokół ospf możemy zabezpieczyć hasłem indywidualnie na każdy z interfaców:

/routing ospf interface 
add interface=ether1 authentication=md5 authentication-key=mySampleKey authentication-key-id=2

Jeśli chodzi o propagację informacji o sieciach nie musimy ich wskazywać bezpośrenio a rozsyłać np. infomracje o wszystkich podłączonych

/routing ospf
set redistribute-connected=as-type-1

 

Diagnostyka ospf.

Aby sprawdzić czy dynamiczne trasy pochodzące z ospf pojawiły się w tablicy routingu ( będą miały symbol o przy trasie ):

/ip route
print

 

Mikrotik - rozwiązania różne

1. Dwie sieci na jednym wds

Przykład - u klienta mamy łacze internetowe , które chcemy doprowadzić do naszego serwera a potem wrócić z internetem do klienta. Rozwiązaniem jest vpls . Więcej informacji - http://wiki.mikrotik.com/wiki/Transparently_Bridge_two_Networks_using_MPLS i na forum mikrotik

2. Dostępność mikrotika od zewnątrz

Tu mamy 2 sytuacje :

- mikrotik jest podłączony bezpośrednio do internetu , trzeba mu pokazać trasę internetu

/ip route
add comment="" disabled=no distance=1 dst-address=0.0.0.0/0 gateway=moja_brama scope=30 target-scope=10

gdzie oczywiście w gateway musimy wpisać naszą bramę

- mikrotik jest w sieci wewnętrznej

W takim wypadku łączymy się z urządzeniem nadrzędnym , które znajduje się bezpośrednio w sieci przez putty, jeśli urządzenie nie obsługuje ssh to tworzymy na nim przekierowanie do mikrotika lub innego serwera ssh w naszej sieci. Dla połączenia SSH tworzymy tunel np. dla portu 8291 do naszego mikrotika. Łącząc się z odpowiedniki parametrami przez putty, możemy wywołać winboxa na localhost.

3. Synchronizacja czasu

/system ntp client
set enabled=yes primary-ntp=80.50.231.226

Aby synchronizacja zadziałała mikrtoik musi mieć trasę do internetu

4. Automatyczna kopia bezpieczeństwa

Przed ustawieniem automatycznej kopii nalezy zsychronizować czas mikrotika z serwerem NTP

/system scheduler
add comment="" disabled=no interval=1d name=backup on-event="system backup save name=myname.backup" start-date=jan/01/1970 start-time=00:03:00

gdzie myname.backup - nazwa pliku kopii zapasowej 

To może zostać rozwinięte jak poniżej tutaj kopia bezpieczeństwa jest przesyłana na zewnętrzny serwer ftp

# automated backup 2 External ftp

# ftp configuration
:local ftphost "<<FTP IP>>"
:local ftpuser "<<FTP USERNAME>>"
:local ftppassword "<<FTP PASSWORD>>"
:local ftppath "<<FTP PATH>>"

# file name for user manager backup - file name will be UMDB-servername.umb
:local fname ("/UMDB-".[/system identity get name].umb")
# file name for system backup - file name will be UMDB-servername.backup
:local fname1 ("/UMDB-".[/system identity get name].backup")
# file name for config export - file name will be UMDB-servername.rsc
:local fname2 ("/UMDB-".[/system identity get name].rsc")

# backup the data
/tool user-manager database save name=$fname
/system backup save name=$fname1
/export compact file=$fname2

# upload the user manager backup
/tool fetch address="$ftphost" src-path=$fname user="$ftpuser" mode=ftp password="$ftppassword" dst-path="$ftppath/$fname" upload=yes
# upload the system backup
/tool fetch address="$ftphost" src-path=$fname1 user="$ftpuser" mode=ftp password="$ftppassword" dst-path="$ftppath/$fname1" upload=yes
# upload the config export
/tool fetch address="$ftphost" src-path=$fname2 user="$ftpuser" mode=ftp password="$ftppassword" dst-path="$ftppath/$fname2" upload=yes

 

 

6. Dual WAN failover

Drugie łącze wykorzystywane jako zapasowe

http://aacable.wordpress.com/2012/04/06/mikrotik-netwatch-script-fail-over-for-wan-llinks/

7. Przekierowania portów przy multiwan

Problem - pakiety docierające z zewnątrz do mikrotika w konfiguracji muktiwan mogą być wysyłane z powrotem na niewłaściwe łącze, w konsekwencji przekierowania portów nie działają. Rozwiązanie - wymuszenie aby pakiety zwrotne wracały tym samym łaczem, którym przyszły. Poniższy kod pokazuje taką procedurę z przekierowaniami dla protokołu ssh

 

# redirect incoming traffic in wan1 and wan2 to the local server
/ip firewall nat add chain=dstnat protocol=tcp dst-port=22 in-interface=wan1 action=dst-nat to-addresses=192.168.0.1 to-ports=22
/ip firewall nat add chain=dstnat protocol=tcp dst-port=22 in-interface=wan2 action=dst-nat to-addresses=192.168.0.1 to-ports=22

# what comes from wan1, gets out from wan1
/ip firewall mangle add action=mark-connection chain=input in-interface=wan1 new-connection-mark=wan1_conn passthrough=yes disabled=no comment="in wan1,out wan1"
/ip firewall mangle add action=mark-routing chain=output connection-mark=wan1_conn new-routing-mark=wan1_traffic passthrough=no disabled=no comment="in wan1,out wan1"

# what comes from wan2, gets out from wan2
/ip firewall mangle add action=mark-connection chain=input in-interface=wan2 new-connection-mark=wan2_conn passthrough=yes disabled=no comment="in wan2,out wan2"
/ip firewall mangle add action=mark-routing chain=output connection-mark=wan2_conn new-routing-mark=wan2_traffic passthrough=no disabled=no comment="in wan2,out wan2"

# port forwards from wan1, gets out from wan1
/ip firewall mangle add action=mark-connection chain=forward in-interface=wan1 connection-state=new new-connection-mark=wan1_pfw passthrough=no disabled=no comment="pfw wan1, out wan1"
/ip firewall mangle add action=mark-routing chain=prerouting in-interface=lan connection-mark=wan1_pfw new-routing-mark=wan1_traffic passthrough=no disabled=no comment="pfw wan1, out wan1"

# port forwards from wan2, gets out from wan2
/ip firewall mangle add action=mark-connection chain=forward in-interface=wan2 connection-state=new new-connection-mark=wan2_pfw passthrough=no disabled=no comment="pfw wan2, out wan2"
/ip firewall mangle add action=mark-routing chain=prerouting in-interface=lan connection-mark=wan2_pfw new-routing-mark=wan2_traffic passthrough=no disabled=no comment="pfw wan2, out wan2"

# routing rules for wan1_traffic and wan2_traffic
/ip route add dst-address=0.0.0.0/0 gateway=wan1 distance=1 routing-mark=wan1_traffic disabled=no
/ip route add dst-address=0.0.0.0/0 gateway=wan2 distance=1 routing-mark=wan2_traffic disabled=no
Początek strony