Mikrotik – rozwiązania różne
1. Dwie sieci na jednym wds
Przykład – u klienta mamy łacze internetowe , które chcemy doprowadzić do naszego serwera a potem wrócić z internetem do klienta. Rozwiązaniem jest vpls . Więcej informacji – http://wiki.mikrotik.com/wiki/Transparently_Bridge_two_Networks_using_MPLS i na forum mikrotik
2. Dostępność mikrotika od zewnątrz
Tu mamy 2 sytuacje :
– mikrotik jest podłączony bezpośrednio do internetu , trzeba mu pokazać trasę internetu
/ip route
add comment="" disabled=no distance=1 dst-address=0.0.0.0/0 gateway=moja_brama scope=30 target-scope=10
gdzie oczywiście w gateway musimy wpisać naszą bramę
– mikrotik jest w sieci wewnętrznej
W takim wypadku łączymy się z urządzeniem nadrzędnym , które znajduje się bezpośrednio w sieci przez putty, jeśli urządzenie nie obsługuje ssh to tworzymy na nim przekierowanie do mikrotika lub innego serwera ssh w naszej sieci. Dla połączenia SSH tworzymy tunel np. dla portu 8291 do naszego mikrotika. Łącząc się z odpowiedniki parametrami przez putty, możemy wywołać winboxa na localhost.
3. Synchronizacja czasu
/system ntp client
set enabled=yes primary-ntp=80.50.231.226
Aby synchronizacja zadziałała mikrtoik musi mieć trasę do internetu
4. Automatyczna kopia bezpieczeństwa
Przed ustawieniem automatycznej kopii nalezy zsychronizować czas mikrotika z serwerem NTP
# automated backup 2 External ftp
# ftp configuration
:local ftphost "<<FTP IP>>"
:local ftpuser "<<FTP USERNAME>>"
:local ftppassword "<<FTP PASSWORD>>"
:local ftppath "<<FTP PATH>>"
# file name for user manager backup - file name will be UMDB-servername.umb
:local fname ("/UMDB-".[/system identity get name].umb")
# file name for system backup - file name will be UMDB-servername.backup
:local fname1 ("/UMDB-".[/system identity get name].backup")
# file name for config export - file name will be UMDB-servername.rsc
:local fname2 ("/UMDB-".[/system identity get name].rsc")
# backup the data
/tool user-manager database save name=$fname
/system backup save name=$fname1
/export compact file=$fname2
# upload the user manager backup
/tool fetch address="$ftphost" src-path=$fname user="$ftpuser" mode=ftp password="$ftppassword" dst-path="$ftppath/$fname" upload=yes
# upload the system backup
/tool fetch address="$ftphost" src-path=$fname1 user="$ftpuser" mode=ftp password="$ftppassword" dst-path="$ftppath/$fname1" upload=yes
# upload the config export
/tool fetch address="$ftphost" src-path=$fname2 user="$ftpuser" mode=ftp password="$ftppassword" dst-path="$ftppath/$fname2" upload=yes
6. Dual WAN failover
Drugie łącze wykorzystywane jako zapasowe
/ip route
add dst-address=8.8.8.8/32 gateway=10.0.1.1 scope=10 comment="Validate Primary"
add gateway=8.8.8.8 distance=1 check-gateway=ping comment=Primary
add gateway=10.0.2.1 distance=2 comment=Secondary
7. Przekierowania portów przy multiwan
Problem – pakiety docierające z zewnątrz do mikrotika w konfiguracji multiwan mogą być wysyłane z powrotem na niewłaściwe łącze, w konsekwencji przekierowania portów nie działają. Rozwiązanie – wymuszenie aby pakiety zwrotne wracały tym samym łaczem, którym przyszły. Poniższy kod pokazuje taką procedurę z przekierowaniami dla protokołu ssh
# redirect incoming traffic in wan1 and wan2 to the local server
/ip firewall nat add chain=dstnat protocol=tcp dst-port=22 in-interface=wan1 action=dst-nat to-addresses=192.168.0.1 to-ports=22
/ip firewall nat add chain=dstnat protocol=tcp dst-port=22 in-interface=wan2 action=dst-nat to-addresses=192.168.0.1 to-ports=22
# what comes from wan1, gets out from wan1
/ip firewall mangle add action=mark-connection chain=input in-interface=wan1 new-connection-mark=wan1_conn passthrough=yes disabled=no comment="in wan1,out wan1"
/ip firewall mangle add action=mark-routing chain=output connection-mark=wan1_conn new-routing-mark=wan1_traffic passthrough=no disabled=no comment="in wan1,out wan1"
# what comes from wan2, gets out from wan2
/ip firewall mangle add action=mark-connection chain=input in-interface=wan2 new-connection-mark=wan2_conn passthrough=yes disabled=no comment="in wan2,out wan2"
/ip firewall mangle add action=mark-routing chain=output connection-mark=wan2_conn new-routing-mark=wan2_traffic passthrough=no disabled=no comment="in wan2,out wan2"
# port forwards from wan1, gets out from wan1
/ip firewall mangle add action=mark-connection chain=forward in-interface=wan1 connection-state=new new-connection-mark=wan1_pfw passthrough=no disabled=no comment="pfw wan1, out wan1"
/ip firewall mangle add action=mark-routing chain=prerouting in-interface=lan connection-mark=wan1_pfw new-routing-mark=wan1_traffic passthrough=no disabled=no comment="pfw wan1, out wan1"
# port forwards from wan2, gets out from wan2
/ip firewall mangle add action=mark-connection chain=forward in-interface=wan2 connection-state=new new-connection-mark=wan2_pfw passthrough=no disabled=no comment="pfw wan2, out wan2"
/ip firewall mangle add action=mark-routing chain=prerouting in-interface=lan connection-mark=wan2_pfw new-routing-mark=wan2_traffic passthrough=no disabled=no comment="pfw wan2, out wan2"
# routing rules for wan1_traffic and wan2_traffic
/ip route add dst-address=0.0.0.0/0 gateway=wan1 distance=1 routing-mark=wan1_traffic disabled=no
/ip route add dst-address=0.0.0.0/0 gateway=wan2 distance=1 routing-mark=wan2_traffic disabled=no