How Can We Help?
< All Topics
Print

Mikrotik – rozwiązania różne

Posted
Updated
ByJacek Czok

1. Dwie sieci na jednym wds

Przykład – u klienta mamy łacze internetowe , które chcemy doprowadzić do naszego serwera a potem wrócić z internetem do klienta. Rozwiązaniem jest vpls . Więcej informacji – http://wiki.mikrotik.com/wiki/Transparently_Bridge_two_Networks_using_MPLS i na forum mikrotik

2. Dostępność mikrotika od zewnątrz

Tu mamy 2 sytuacje :

– mikrotik jest podłączony bezpośrednio do internetu , trzeba mu pokazać trasę internetu

/ip route
add comment="" disabled=no distance=1 dst-address=0.0.0.0/0 gateway=moja_brama scope=30 target-scope=10

gdzie oczywiście w gateway musimy wpisać naszą bramę

– mikrotik jest w sieci wewnętrznej

W takim wypadku łączymy się z urządzeniem nadrzędnym , które znajduje się bezpośrednio w sieci przez putty, jeśli urządzenie nie obsługuje ssh to tworzymy na nim przekierowanie do mikrotika lub innego serwera ssh w naszej sieci. Dla połączenia SSH tworzymy tunel np. dla portu 8291 do naszego mikrotika. Łącząc się z odpowiedniki parametrami przez putty, możemy wywołać winboxa na localhost.

3. Synchronizacja czasu

/system ntp client
set enabled=yes primary-ntp=80.50.231.226

Aby synchronizacja zadziałała mikrtoik musi mieć trasę do internetu

4. Automatyczna kopia bezpieczeństwa

Przed ustawieniem automatycznej kopii nalezy zsychronizować czas mikrotika z serwerem NTP

/system scheduler
add comment="" disabled=no interval=1d name=backup on-event="system backup save name=myname.backup" start-date=jan/01/1970 start-time=00:03:00

gdzie myname.backup – nazwa pliku kopii zapasowej 

To może zostać rozwinięte jak poniżej tutaj kopia bezpieczeństwa jest przesyłana na zewnętrzny serwer ftp

# automated backup 2 External ftp
# ftp configuration
:local ftphost "<<FTP IP>>"
:local ftpuser "<<FTP USERNAME>>"
:local ftppassword "<<FTP PASSWORD>>"
:local ftppath "<<FTP PATH>>"
# file name for user manager backup - file name will be UMDB-servername.umb
:local fname ("/UMDB-".[/system identity get name].umb")
# file name for system backup - file name will be UMDB-servername.backup
:local fname1 ("/UMDB-".[/system identity get name].backup")
# file name for config export - file name will be UMDB-servername.rsc
:local fname2 ("/UMDB-".[/system identity get name].rsc")
# backup the data
/tool user-manager database save name=$fname
/system backup save name=$fname1
/export compact file=$fname2
# upload the user manager backup
/tool fetch address="$ftphost" src-path=$fname user="$ftpuser" mode=ftp password="$ftppassword" dst-path="$ftppath/$fname" upload=yes
# upload the system backup
/tool fetch address="$ftphost" src-path=$fname1 user="$ftpuser" mode=ftp password="$ftppassword" dst-path="$ftppath/$fname1" upload=yes
# upload the config export
/tool fetch address="$ftphost" src-path=$fname2 user="$ftpuser" mode=ftp password="$ftppassword" dst-path="$ftppath/$fname2" upload=yes

 

 

6. Dual WAN failover

Drugie łącze wykorzystywane jako zapasowe

http://aacable.wordpress.com/2012/04/06/mikrotik-netwatch-script-fail-over-for-wan-llinks/

7. Przekierowania portów przy multiwan

Problem – pakiety docierające z zewnątrz do mikrotika w konfiguracji muktiwan mogą być wysyłane z powrotem na niewłaściwe łącze, w konsekwencji przekierowania portów nie działają. Rozwiązanie – wymuszenie aby pakiety zwrotne wracały tym samym łaczem, którym przyszły. Poniższy kod pokazuje taką procedurę z przekierowaniami dla protokołu ssh

 

# redirect incoming traffic in wan1 and wan2 to the local server
/ip firewall nat add chain=dstnat protocol=tcp dst-port=22 in-interface=wan1 action=dst-nat to-addresses=192.168.0.1 to-ports=22
/ip firewall nat add chain=dstnat protocol=tcp dst-port=22 in-interface=wan2 action=dst-nat to-addresses=192.168.0.1 to-ports=22
# what comes from wan1, gets out from wan1
/ip firewall mangle add action=mark-connection chain=input in-interface=wan1 new-connection-mark=wan1_conn passthrough=yes disabled=no comment="in wan1,out wan1"
/ip firewall mangle add action=mark-routing chain=output connection-mark=wan1_conn new-routing-mark=wan1_traffic passthrough=no disabled=no comment="in wan1,out wan1"
# what comes from wan2, gets out from wan2
/ip firewall mangle add action=mark-connection chain=input in-interface=wan2 new-connection-mark=wan2_conn passthrough=yes disabled=no comment="in wan2,out wan2"
/ip firewall mangle add action=mark-routing chain=output connection-mark=wan2_conn new-routing-mark=wan2_traffic passthrough=no disabled=no comment="in wan2,out wan2"
# port forwards from wan1, gets out from wan1
/ip firewall mangle add action=mark-connection chain=forward in-interface=wan1 connection-state=new new-connection-mark=wan1_pfw passthrough=no disabled=no comment="pfw wan1, out wan1"
/ip firewall mangle add action=mark-routing chain=prerouting in-interface=lan connection-mark=wan1_pfw new-routing-mark=wan1_traffic passthrough=no disabled=no comment="pfw wan1, out wan1"
# port forwards from wan2, gets out from wan2
/ip firewall mangle add action=mark-connection chain=forward in-interface=wan2 connection-state=new new-connection-mark=wan2_pfw passthrough=no disabled=no comment="pfw wan2, out wan2"
/ip firewall mangle add action=mark-routing chain=prerouting in-interface=lan connection-mark=wan2_pfw new-routing-mark=wan2_traffic passthrough=no disabled=no comment="pfw wan2, out wan2"
# routing rules for wan1_traffic and wan2_traffic
/ip route add dst-address=0.0.0.0/0 gateway=wan1 distance=1 routing-mark=wan1_traffic disabled=no
/ip route add dst-address=0.0.0.0/0 gateway=wan2 distance=1 routing-mark=wan2_traffic disabled=no
Table of Contents