Mikrotik od zera – DHCP Client / Server #02
Podłączenie router do modemu kablowego
Mikrotik domyślnie nie posiada ustawionego hasła. Jeżeli jeszcze go nie ustawiłeś, zrób to koniecznie. Niestety, ale bardzo dużo botów skanuje publiczne adresy IP, w poszukiwaniu niezabezpieczonego routera. Dużą zaletą routerów Mikrotika jest dowolność w konfigurowaniu portów. Każdy port możemy skonfigurować niezależnie, aczkolwiek producent wyróżnia port Ether1 jako port WAN bądź Internet, co jednoznacznie sugeruje, iż port służy do połączenia z modemem. Domyślna konfiguracja wskazuje port Ether1 jako wyjście do Internetu, dlatego jeżeli chciałbyś z niej skorzystać, to właśnie w ten port należy podłączyć modem kablowy.
Naukę Mikrotik’a najlepiej zacząć od samodzielnej konfiguracji, dlatego w poprzedniej części skasowaliśmy domyślną konfigurację i zaczniemy konfigurować router od zera. Nie odbiegając od standardu jako port wanowy, wybierzemy Ether1. Większość operatorów kablowych publiczny adres IP przyznaje na podstawie MAC Addressu podłączonego do modemu urządzenia, dlatego dla odłączamy na chwilę modem od prądu, podpinamy kabel LAN do pierwszego portu w routerze i włączamy modem ponownie do prądu.
DHCP Client i maskarada(NAT)
Konfigurację zaczynamy od przygotowania dostępu do Internetu. Od operatora internetowego(ISP) publiczny adres otrzymujemy dynamicznie. Z bocznego menu wybieramy IP->DHCP Client, następnie znakiem plus dodajemy nowy wpis.
W nowym oknie wskazujemy:
- Interface: ether1
- User Per DNS: yes
- User Peer NTP: yes
- Add Default Route: yes
Maskarada / NAT
W kolejnym kroku przygotujemy maskaradę sieci, czyli tak zwany NAT. Dzięki translacji adresów sieciowych, umożliwiamy urządzeniom podłączonym za routerem wyjść do Internetu. Z bocznego menu wybieramy IP->Firewall i znakiem plusa dodajemy nowy wpis.
Zmieniamy zakładkę na NAT, niebieskim znakiem plusa dodajemy nowy wpis. W nowym oknie uzupełniamy:
Zakładka General:
- Chain: srcnat
- Out. Interface: ether1
Zakładka Action:
- Action: masquerade
Konfiguracja Client NTP
Wbrew pozorom prawidłowa data i godzina jest bardzo ważna, zwłaszcza przy próbie rozwiązywania problemów, gdzie musimy zajrzeć w logi routera. Serwerów czasu jest bardzo dużo, ja preferuje serwer czasu z TASK’u, który znajduje się pod adresem ntp.task.gda.pl. Z bocznego menu wybieramy System->SNTP Client
Ostatnim krokiem przy konfiguracji sntp jest sprawdzenie czy strefa czasowa i zegar poprawnie zostały skonfigurowane. Przechodzimy na System->Clock.
Przygotowanie Bridge
Pierwszym krokiem jaki należy zrobić przy tworzeniu serwera dhcp, to przygotowanie bridge’a, czyli połączeniu kilku portów w switch. Do wyboru zostały nam porty od 2 do 5. Możemy połączyć wszystkie port bądź tylko kilka. Z bocznego menu wybieramy Bridge, znakiem plusa dodajemy wpis. W nowym oknie nic nie wymaga zmiany, klikając Ok, utworzymy nowy bridge. Zalecam zmianę pola Name, zwiększy to przejzystość ustawień.
Przechodzimy na zakładkę Ports i znakiem plusa dodajemy nowe porty do bridge’a. Interface wybieramy ether2, bridge wskazujemy na LAN. Analogicznie dodajemy pozostałe porty.
Przygotowanie Adresacji IP
Kolejnym krokiem jest przygotowanie adresacji dla sieci lokalnej. Domyślną adresacje 192.168.88.0/24 skasowaliśmy na samy początku. Przygotowanie adresacji pomoże przy konfigurowaniu serwera DCHP, zaoszczędzimy czasu na tworzenie puli adresowej, zrobi to za nas automat. Przechodzimy na IP->Addresses znakiem plusa dodajemy nowy wpis.Uzupełniamy pola:
- Address: 10.10.0.1/24, bardzo ważne, aby na końcu adresu dopisać maskę. Bez maski adres nie zadziała prawidłowo.
- Interface: wskazujemy adres bridge’a
Konfiguracja serwera DHCP
Adresacja przygotowana możemy przejść do ustawienia serwera DHCP, w tym przypadku skorzystamy z wbudowanego kreatora. Przechodzimy na IP->Dhcp Server, a następnie klikamy w DHCP Setup. Jako interface wskazujemy nasz wcześniej utworzony bridge czyli LAN. Następnie klikamy kilka razy w Next. Dla bardziej przejrzystej konfiguracji zmienimy nazwę serwera. Przydaje się przy większej ilość serwerów dhcp. Pozostałe opcje pozostawiamy bez zmian.
Polecany sprzęt
Z własnego doświadczenia mogę wam polecić poniższy sprzęt, z podziałem na ewentualne przeznaczenie routera.
Do domu i małej firmy(SOHO): hAP AX Lite , hAP AC3, RB4011, RB260GS, RB2011
hAP AC3 LTE, hAP AX2, hAP AX3, L009UiGS-2HaxD-IN, RB5009UG+S+IN, Audience
LTE: SXT LTE kit, SXT LTE6 kit, LHG 5, LHG LTE kit, Audience LTE, Chateau LTE6 ax, LTAP LTE6
Access Pointy: mAP lite, mAP, cAP AX, cAP XL AC
POE: hEX PoE
LAB: hEX lite
Średnia/Duża firma: CCR1036-12G-4S, CCR2004-16G-2S+
Materiał Video
Firewall Layer 7 – blokowanie stron www
Mikrotik od zera – routing dynamiczny RIP #11
Mikrotik SSTP VPN
About Author
Czym może być spowodowane to, ze w DHCP Client dla ether 1 czyli tam gdzie mam podpiety internet status to stopped? Może to być wywołane tym, ze Mikroteka „pobiera internet” z routera, który mam od dostawcy Internetu?
A czy eth1 nie jest przypadkiem w jakimś bridge??
A co z wykluczeniem adresów IP z puli. Mam pulę adresacji 192.168.0.0/25 i potrzebuję wykluczyć z tej puli 5 adresów. Nie chodzi mi o tworzenie dwóch zakresów.
z maski /25 masz 192.168.0.1-192.168.0.126, to zmieniłbym pule w dhcp, żeby rozdawała adresy od 192.168.0.6. Najpierw tworzysz pule ip, później dodaje do niej dhcp server.
mam hAPac3 Zrobiłem dokładnie tak jak w opisie jednak internet nie przechodzi do portów – gdzie szukać błędu?
Zobacz czy na pewnie porty są w tym samym bridge i czy adresacja bridge ma poprawną maskę na końcu np. 192.168.0.1/24
mam pytanie muszę zalogować się z jednego rutera na drugi za pomocą Wifi i wyłączonego DHCP jak to zrobić
Jeżeli drugi router to też Mikrotik, to możesz w IP->Neighbour, sprawdzić jaki ma adres. Druga opcja to podłączenie się bezpośrednio pod drugi router i Winbox powinien go wykryć.
Dodałem server do NTP Client, przez cały czas mam status waiting. Próbowałem różnych serverów i nic nie działa.
Nie masz przypadkiem jakiejś reguły na drop w firewallu?
RB2011iL-IL ma ETH01 oznaczone PoE czy do niego mogę też podłączyć modem kablowy lub modem LTE?
Tak, możesz spokojnie podłączyć modem kablowy.