Mikrotik – rozwiązania różne
1. Dwie sieci na jednym wds
Przykład – u klienta mamy łacze internetowe , które chcemy doprowadzić do naszego serwera a potem wrócić z internetem do klienta. Rozwiązaniem jest vpls . Więcej informacji – http://wiki.mikrotik.com/wiki/Transparently_Bridge_two_Networks_using_MPLS i na forum mikrotik
2. Dostępność mikrotika od zewnątrz
Tu mamy 2 sytuacje :
– mikrotik jest podłączony bezpośrednio do internetu , trzeba mu pokazać trasę internetu
/ip route
add comment="" disabled=no distance=1 dst-address=0.0.0.0/0 gateway=moja_brama scope=30 target-scope=10
gdzie oczywiście w gateway musimy wpisać naszą bramę
– mikrotik jest w sieci wewnętrznej
W takim wypadku łączymy się z urządzeniem nadrzędnym , które znajduje się bezpośrednio w sieci przez putty, jeśli urządzenie nie obsługuje ssh to tworzymy na nim przekierowanie do mikrotika lub innego serwera ssh w naszej sieci. Dla połączenia SSH tworzymy tunel np. dla portu 8291 do naszego mikrotika. Łącząc się z odpowiedniki parametrami przez putty, możemy wywołać winboxa na localhost.
3. Synchronizacja czasu
/system ntp client
set enabled=yes primary-ntp=80.50.231.226
Aby synchronizacja zadziałała mikrtoik musi mieć trasę do internetu
4. Automatyczna kopia bezpieczeństwa
Przed ustawieniem automatycznej kopii nalezy zsychronizować czas mikrotika z serwerem NTP
/system scheduler
add comment="" disabled=no interval=1d name=backup on-event="system backup save name=myname.backup" start-date=jan/01/1970 start-time=00:03:00
gdzie myname.backup – nazwa pliku kopii zapasowej
To może zostać rozwinięte jak poniżej tutaj kopia bezpieczeństwa jest przesyłana na zewnętrzny serwer ftp
# automated backup 2 External ftp
# ftp configuration
:local ftphost "<<FTP IP>>"
:local ftpuser "<<FTP USERNAME>>"
:local ftppassword "<<FTP PASSWORD>>"
:local ftppath "<<FTP PATH>>"
# file name for user manager backup - file name will be UMDB-servername.umb
:local fname ("/UMDB-".[/system identity get name].umb")
# file name for system backup - file name will be UMDB-servername.backup
:local fname1 ("/UMDB-".[/system identity get name].backup")
# file name for config export - file name will be UMDB-servername.rsc
:local fname2 ("/UMDB-".[/system identity get name].rsc")
# backup the data
/tool user-manager database save name=$fname
/system backup save name=$fname1
/export compact file=$fname2
# upload the user manager backup
/tool fetch address="$ftphost" src-path=$fname user="$ftpuser" mode=ftp password="$ftppassword" dst-path="$ftppath/$fname" upload=yes
# upload the system backup
/tool fetch address="$ftphost" src-path=$fname1 user="$ftpuser" mode=ftp password="$ftppassword" dst-path="$ftppath/$fname1" upload=yes
# upload the config export
/tool fetch address="$ftphost" src-path=$fname2 user="$ftpuser" mode=ftp password="$ftppassword" dst-path="$ftppath/$fname2" upload=yes
6. Dual WAN failover
Drugie łącze wykorzystywane jako zapasowe
http://aacable.wordpress.com/2012/04/06/mikrotik-netwatch-script-fail-over-for-wan-llinks/
7. Przekierowania portów przy multiwan
Problem – pakiety docierające z zewnątrz do mikrotika w konfiguracji muktiwan mogą być wysyłane z powrotem na niewłaściwe łącze, w konsekwencji przekierowania portów nie działają. Rozwiązanie – wymuszenie aby pakiety zwrotne wracały tym samym łaczem, którym przyszły. Poniższy kod pokazuje taką procedurę z przekierowaniami dla protokołu ssh
# redirect incoming traffic in wan1 and wan2 to the local server /ip firewall nat add chain=dstnat protocol=tcp dst-port=22 in-interface=wan1 action=dst-nat to-addresses=192.168.0.1 to-ports=22 /ip firewall nat add chain=dstnat protocol=tcp dst-port=22 in-interface=wan2 action=dst-nat to-addresses=192.168.0.1 to-ports=22 # what comes from wan1, gets out from wan1 /ip firewall mangle add action=mark-connection chain=input in-interface=wan1 new-connection-mark=wan1_conn passthrough=yes disabled=no comment="in wan1,out wan1" /ip firewall mangle add action=mark-routing chain=output connection-mark=wan1_conn new-routing-mark=wan1_traffic passthrough=no disabled=no comment="in wan1,out wan1" # what comes from wan2, gets out from wan2 /ip firewall mangle add action=mark-connection chain=input in-interface=wan2 new-connection-mark=wan2_conn passthrough=yes disabled=no comment="in wan2,out wan2" /ip firewall mangle add action=mark-routing chain=output connection-mark=wan2_conn new-routing-mark=wan2_traffic passthrough=no disabled=no comment="in wan2,out wan2" # port forwards from wan1, gets out from wan1 /ip firewall mangle add action=mark-connection chain=forward in-interface=wan1 connection-state=new new-connection-mark=wan1_pfw passthrough=no disabled=no comment="pfw wan1, out wan1" /ip firewall mangle add action=mark-routing chain=prerouting in-interface=lan connection-mark=wan1_pfw new-routing-mark=wan1_traffic passthrough=no disabled=no comment="pfw wan1, out wan1" # port forwards from wan2, gets out from wan2 /ip firewall mangle add action=mark-connection chain=forward in-interface=wan2 connection-state=new new-connection-mark=wan2_pfw passthrough=no disabled=no comment="pfw wan2, out wan2" /ip firewall mangle add action=mark-routing chain=prerouting in-interface=lan connection-mark=wan2_pfw new-routing-mark=wan2_traffic passthrough=no disabled=no comment="pfw wan2, out wan2" # routing rules for wan1_traffic and wan2_traffic /ip route add dst-address=0.0.0.0/0 gateway=wan1 distance=1 routing-mark=wan1_traffic disabled=no /ip route add dst-address=0.0.0.0/0 gateway=wan2 distance=1 routing-mark=wan2_traffic disabled=no