How Can We Help?
< All Topics
Print

Mikrotik – rozwiązania różne

Posted
Updated
ByJacek Czok

1. Dwie sieci na jednym wds

Przykład – u klienta mamy łacze internetowe , które chcemy doprowadzić do naszego serwera a potem wrócić z internetem do klienta. Rozwiązaniem jest vpls . Więcej informacji – http://wiki.mikrotik.com/wiki/Transparently_Bridge_two_Networks_using_MPLS i na forum mikrotik

2. Dostępność mikrotika od zewnątrz

Tu mamy 2 sytuacje :

– mikrotik jest podłączony bezpośrednio do internetu , trzeba mu pokazać trasę internetu

/ip route
add comment="" disabled=no distance=1 dst-address=0.0.0.0/0 gateway=moja_brama scope=30 target-scope=10

gdzie oczywiście w gateway musimy wpisać naszą bramę

– mikrotik jest w sieci wewnętrznej

W takim wypadku łączymy się z urządzeniem nadrzędnym , które znajduje się bezpośrednio w sieci przez putty, jeśli urządzenie nie obsługuje ssh to tworzymy na nim przekierowanie do mikrotika lub innego serwera ssh w naszej sieci. Dla połączenia SSH tworzymy tunel np. dla portu 8291 do naszego mikrotika. Łącząc się z odpowiedniki parametrami przez putty, możemy wywołać winboxa na localhost.

3. Synchronizacja czasu

/system ntp client
set enabled=yes primary-ntp=80.50.231.226

Aby synchronizacja zadziałała mikrtoik musi mieć trasę do internetu

4. Automatyczna kopia bezpieczeństwa

Przed ustawieniem automatycznej kopii nalezy zsychronizować czas mikrotika z serwerem NTP

# automated backup 2 External ftp
 
# ftp configuration
:local ftphost "<<FTP IP>>"
:local ftpuser "<<FTP USERNAME>>"
:local ftppassword "<<FTP PASSWORD>>"
:local ftppath "<<FTP PATH>>"
 
# file name for user manager backup - file name will be UMDB-servername.umb
:local fname ("/UMDB-".[/system identity get name].umb")
# file name for system backup - file name will be UMDB-servername.backup
:local fname1 ("/UMDB-".[/system identity get name].backup")
# file name for config export - file name will be UMDB-servername.rsc
:local fname2 ("/UMDB-".[/system identity get name].rsc")
 
# backup the data
/tool user-manager database save name=$fname
/system backup save name=$fname1
/export compact file=$fname2
 
# upload the user manager backup
/tool fetch address="$ftphost" src-path=$fname user="$ftpuser" mode=ftp password="$ftppassword" dst-path="$ftppath/$fname" upload=yes
# upload the system backup
/tool fetch address="$ftphost" src-path=$fname1 user="$ftpuser" mode=ftp password="$ftppassword" dst-path="$ftppath/$fname1" upload=yes
# upload the config export
/tool fetch address="$ftphost" src-path=$fname2 user="$ftpuser" mode=ftp password="$ftppassword" dst-path="$ftppath/$fname2" upload=yes

6. Dual WAN failover

Drugie łącze wykorzystywane jako zapasowe

/ip route
add dst-address=8.8.8.8/32 gateway=10.0.1.1 scope=10 comment="Validate Primary"
add gateway=8.8.8.8  distance=1 check-gateway=ping   comment=Primary
add gateway=10.0.2.1 distance=2                      comment=Secondary

7. Przekierowania portów przy multiwan

Problem – pakiety docierające z zewnątrz do mikrotika w konfiguracji multiwan mogą być wysyłane z powrotem na niewłaściwe łącze, w konsekwencji przekierowania portów nie działają. Rozwiązanie – wymuszenie aby pakiety zwrotne wracały tym samym łaczem, którym przyszły. Poniższy kod pokazuje taką procedurę z przekierowaniami dla protokołu ssh

# redirect incoming traffic in wan1 and wan2 to the local server
/ip firewall nat add chain=dstnat protocol=tcp dst-port=22 in-interface=wan1 action=dst-nat to-addresses=192.168.0.1 to-ports=22
/ip firewall nat add chain=dstnat protocol=tcp dst-port=22 in-interface=wan2 action=dst-nat to-addresses=192.168.0.1 to-ports=22

# what comes from wan1, gets out from wan1
/ip firewall mangle add action=mark-connection chain=input in-interface=wan1 new-connection-mark=wan1_conn passthrough=yes disabled=no comment="in wan1,out wan1"
/ip firewall mangle add action=mark-routing chain=output connection-mark=wan1_conn new-routing-mark=wan1_traffic passthrough=no disabled=no comment="in wan1,out wan1"

# what comes from wan2, gets out from wan2
/ip firewall mangle add action=mark-connection chain=input in-interface=wan2 new-connection-mark=wan2_conn passthrough=yes disabled=no comment="in wan2,out wan2"
/ip firewall mangle add action=mark-routing chain=output connection-mark=wan2_conn new-routing-mark=wan2_traffic passthrough=no disabled=no comment="in wan2,out wan2"

# port forwards from wan1, gets out from wan1
/ip firewall mangle add action=mark-connection chain=forward in-interface=wan1 connection-state=new new-connection-mark=wan1_pfw passthrough=no disabled=no comment="pfw wan1, out wan1"
/ip firewall mangle add action=mark-routing chain=prerouting in-interface=lan connection-mark=wan1_pfw new-routing-mark=wan1_traffic passthrough=no disabled=no comment="pfw wan1, out wan1"

# port forwards from wan2, gets out from wan2
/ip firewall mangle add action=mark-connection chain=forward in-interface=wan2 connection-state=new new-connection-mark=wan2_pfw passthrough=no disabled=no comment="pfw wan2, out wan2"
/ip firewall mangle add action=mark-routing chain=prerouting in-interface=lan connection-mark=wan2_pfw new-routing-mark=wan2_traffic passthrough=no disabled=no comment="pfw wan2, out wan2"

# routing rules for wan1_traffic and wan2_traffic
/ip route add dst-address=0.0.0.0/0 gateway=wan1 distance=1 routing-mark=wan1_traffic disabled=no
/ip route add dst-address=0.0.0.0/0 gateway=wan2 distance=1 routing-mark=wan2_traffic disabled=no
Table of Contents