Mikrotik

Tipy a rady na konfiguraci Mikrotik zařízení

Mikrotik routery nabízí v základní konfiguraci celkem efektivní firewall. Jeho hlavním cílem je blokovat všechna nově příchozí spojení z internetu a zároveň umožnit nerušenou komunikaci z lokální sítě směrem do internetu.

Základní firewall

Firewall v továrním nastavení má jen několik statických pravidel:

/ip firewall filter
add action=accept chain=input comment=“defconf: accept established,related,untracked“ connection-state=established,related,untracked
add action=drop chain=input comment=“defconf: drop invalid“ connection-state=invalid
add action=accept chain=input comment=“defconf: accept ICMP“ protocol=icmp
add action=accept chain=input comment=“defconf: accept to local loopback (for CAPsMAN)“ dst-address=127.0.0.1
add action=drop chain=input comment=“defconf: drop all not coming from LAN“ in-interface-list=!LAN
add action=accept chain=forward comment=“defconf: accept in ipsec policy“ ipsec-policy=in,ipsec
add action=accept chain=forward comment=“defconf: accept out ipsec policy“ ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment=“defconf: fasttrack“ connection-state=established,related
add action=accept chain=forward comment=“defconf: accept established,related, untracked“ connection-state=established,related,untracked
add action=drop chain=forward comment=“defconf: drop invalid“ connection-state=invalid
add action=drop chain=forward comment=“defconf: drop all from WAN not DSTNATed“ connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment=“defconf: masquerade“ ipsec-policy=out,none out-interface-list=WAN

Tento základní firewall je dostačující pro většinu uživatelů. Nedokáže ale aktivně reagovat na případné útoky z internetu ve chvíli, kdy je Mikrotik dostupný skrz veřejnou IP.

Pokročilejší firewall

Přidáním několika málo pravidel můžeme zvýšit zabezpečení detekcí a blokováním Port scannerů a Syn flood útoků.

/ip firewall filter
add action=add-src-to-address-list address-list=Syn_Flooder address-list-timeout=30m chain=input comment=“Add Syn Flood IP to the list“ connection-limit=30,32 disabled=no protocol=tcp tcp-flags=syn
add action=drop chain=input comment=“Drop to syn flood list“ disabled=no src-address-list=Syn_Flooder
add action=add-src-to-address-list address-list=Port_Scanner address-list-timeout=1w chain=input comment=“Port Scanner Detect“disabled=no protocol=tcp psd=21,3s,3,1
add action=drop chain=input comment=“Drop to port scan list“ disabled=no src-address-list=Port_Scanner
add action=accept chain=input comment=“defconf: accept established,related,untracked“ connection-state=established,related,untracked
add action=drop chain=input comment=“defconf: drop invalid“ connection-state=invalid
add action=accept chain=input comment=“defconf: accept ICMP“ protocol=icmp
add action=accept chain=input comment=“defconf: accept to local loopback (for CAPsMAN)“ dst-address=127.0.0.1
add action=drop chain=input comment=“defconf: drop all not coming from LAN“ in-interface-list=!LAN
add action=accept chain=forward comment=“defconf: accept in ipsec policy“ ipsec-policy=in,ipsec
add action=accept chain=forward comment=“defconf: accept out ipsec policy“ ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment=“defconf: fasttrack“ connection-state=established,related
add action=accept chain=forward comment=“defconf: accept established,related, untracked“ connection-state=established,related,untracked
add action=drop chain=forward comment=“defconf: drop invalid“ connection-state=invalid
add action=drop chain=forward comment=“defconf: drop all from WAN not DSTNATed“ connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment=“defconf: masquerade“ ipsec-policy=out,none out-interface-list=WAN

U tvorby pokročilejšího firewallu je třeba brát ohled na výpočetní výkon Mikrotik routeru. Příliš komplexní firewall může mít negativní dopad na na celkovou propustnost sítě, pokud není router dostatečně výkonný.

Inteligentní firewall

Jakmile používáte svůj router k podnikání či máte veřejnou IP k přístupu k vlastním službám, je důležité věnovat IT bezpečnosti zvýšenou pozornost. Vzhledem k možnostem dnešních hackerů není problém zjistit služby, které na vaší síti provozujete – ať už je to VPN server nebo domácí cloud atp. Pokud máte nějaký port otevřený směrem do internetu, je prakticky jisté, že se někdo pokusí jej prolomit. V dnešní době není už bohužel efektivní používat klasické brute-force protection metody. Útočníci postupně mění zdrojové IP a brute-force útok klasicky probíhá dlouhodobě. Pokud tedy detekujeme zdrojovou adresu, která se snaží uhodnout přihlašovací údaje a zablokujeme ji, nijak si nepomůžeme. Níže je příklad automatizovaného dlouhodobého útoku na Mikrotik Router. Je z něj vidět, že každý pokus o prolomení hesla jde z jiné IP a mezi jednotlivými pokusy je relativně dlouhá doba.

Je tedy třeba tyto IP blokovat dříve, než se pokusí o prolomení našich hesel. Kompromitované zdrojové adresy jsou reportovány např. na webu https://www.abuseipdb.com. První IP z našeho příkladu výše: 78.128.113.66 je se 100% jistotou kompromitovaná. Tudíž je vhodné ji zablokovat.

Jak to ale udělat ještě před tím, než se někdo z této IP pokusí o prolomení Vašeho routeru? Pouhé vytvoření statického seznamu kompromitovaných IP nestačí. Nejenže přibývají nové IP, ale odstraněné hrozby je třeba odmazávat z blacklistu. Na svém serveru každou hodinu aktualizuji seznam kompromitovaných adres a na routerech svých klientů dynamicky aktualizuji list zakázaných IP. V kombinaci s detekcí port scannerů a několika honeypoty pro včasné odhalení automatizovaných útoků se jedná o nejlepší ochranu proti útokům zvenčí.

Vzhledem ke komplexnosti řešení nepublikuji veřejně způsob získávání seznamu. Pokud máte zájem o zabezpečení Vašeho routeru, napište si pro individuální nabídku.

Sháníte externí firmu pro správu Mikrotik systému?

Mikrotik je úžasné zařízení s neuvěřitelnými možnostmi. V základní konfiguraci je vcelku bezpečný. Pokud jej ale používáte k podnikání, je důležité věnovat maximální pozornost IT security. Netrapte se s nastavováním pokus-omyl, nechte si router odborně nakonfigurovat a případně i dlouhodobě spravovat. Kontakt

jirka Mikrotik

RoMON (Router Management Overlay Network) je skvělá funkce Mikrotiku, jak elegantně a snadno přistupovat přes L2 k jinak nedostupným Mikrotik routerům.

Já ji využívám ve chvíli, kdy mám za firewallem více Mikrotik zařízení a minimálně jedno z nich napojený VPN tunelem do mého routeru. Pak se stačí ve Winboxu připojit skrz RoMON do hlavního routeru a zobrazí se všechna zařízení na L2, které mají v /tool romon zapnutou tuto funkci. K nim se pak lze přímo napojit přes winbox.

Někdy se ale může stát, že se winbox „zasekne“ v RoMON módu a neumožní připojení nikam.

K vyřešení tohoto problému je třeba najít a smazat soubor *\AppData\Roaming\Mikrotik\Winbox\settings.cfg.viw

POTŘEBUJETE POMOC?

Mikrotik je úžasné zařízení s neuvěřitelnými možnostmi. Jeho konfigurace ale může pro nezkušené uživatele znamenat velký oříšek. Netrapte se s nastavováním pokus-omyl, nechte si router odborně nakonfigurovat. Kontakt

jirka Mikrotik

Jsou instalace, kdy je nezbytně nutné zajistit nepřetržitou funkčnost internetového připojení (např. obchod přijímající platební karty, hotely s online rezervačním systémem, zabezpečovací zařízení atp.). Za tímto účelem se používají záložní internetové přípojky, které se automaticky využijí v případě výpadku primárního připojení. Hlavní router musí tedy podporovat duální WAN a aktivně kontrolovat funkčnost primární linky. Jak tuto funkcionalitu nastavit na Mikrotiku?

Jednoduchý failover

V našem příkladu máme 2 WAN linky s následujícími Default GW:

WAN1: 192.168.1.1 (Primární linka)
WAN2: 192.168.2.1 (Záložní linka)

Routing se pak nastaví těmito příkazy:

/ip route
add gateway=192.168.1.1 distance=1 check-gateway=ping comment=Primarni_linka
add gateway=192.168.2.1 distance=2 comment=Zalozni_linka

Toto je nejsnazší způsob, který zajistí routování přes záložní linku v případě, kdy nefunguje ping na Default GW primární linky.

Nevýhodou tohoto postupu je fakt, že detekuje pouze nedostupnost default GW, což pokrývá případy, kdy je např. vypadlý kabel k primárnímu routeru. Tato metoda ale nedokáže detekovat chybu na trase (např. pokud poskytovatel primárního připojení provádí údržbu sítě).

Rekurzivní failover

Pro úplnou detekci výpadku linky je třeba kontrolovat spojení dál než jen k nejbližší default GW. Tzv. rekurzivní routa dokáže kontrolovat dostupnost libovolné veřejné IP adresy (oblíbené jsou IP adresy patřící google, např: 1.1.1.1, 1.1.2.2) a díky tomu detekovat i závady na infrastruktuře poskytovatele internetového připojení.

Rekurzivní routa se nastavuje těmito příkazy:

/ip route
add dst-address=1.1.1.1/32 gateway=192.168.1.1 scope=10 comment=“Test_Primarni_linky“
add gateway=1.1.1.1 distance=1 check-gateway=ping comment=Primarni_linka
add gateway=192.168.2.1 distance=2 comment=Zalozni_linka

První příkaz nastaví cestu k veřejné adrese 1.1.1.1 přes Primární linku – GW 192.168.1.1. Router vždy použije tuto linku ke kontrole dostupnosti adresy 1.1.1.1. Na dalším řádku definujeme novou default GW pro primární linku 1.1.1.1. Toto nastavení se nazývá rekurzivní routa, protože přebírá status a reálnou default GW ze statické routy na veřejnou IP.

Vlastní failover

Rekurzivní failover je velmi efektivní řešení pro detekci výpadku primární linky. I zde jsou určité limity. Např. perioda testu se nedá ovlivnit – může se tedy stát, že pravidelný ping bude detekován jako pokus o ICMP DDoS a komunikace může být zablokována. Nebo dojde k výpadku IP proti které se testuje. Linka je pak falešně-pozitivně prohlášena jako nefunkční, přestože je problém jinde. Dalším problémem je pak primární linka vytáčená přes PPPoE. Zde není možné použít rekurzivní failover.

Z výše zmíněných důvodů je nejbezpečnější naprogramovat si vlastní pravidla pro failover. Díky tomu lze eliminovat všechny neduhy rekurzivního failoveru.

:local HOST1 „8.8.4.4“
:local HOST2 „1.1.1.1“
:local PINGCOUNT „3“
:local RESPONSE1 [/ping $HOST1 interval=1 count=$PINGCOUNT]
:local RESPONSE2 [/ping $HOST2 interval=1 count=$PINGCOUNT]
:local DISTANCE [/interface pppoe-client get Internet default-route-distance]
:if ($RESPONSE1 = 0 && $RESPONSE2 = 0) do={
:log error „Internet is DOWN“
:if ($DISTANCE = 1) do={
:log info „Setting Internet Default route distance = 5“
/interface pppoe-client set Internet default-route-distance=5 }}
:if ($RESPONSE1 = $PINGCOUNT || $RESPONSE2 = $PINGCOUNT) do={
:log info „Internet is UP“
:if ($DISTANCE = 5) do={
:log info „Setting Internet Default route distance = 1“
/interface pppoe-client set Internet default-route-distance=1 }}

Tento příklad kontroluje dostupnost 2 veřejných IP. Skript lze spouštět v libovolných intervalech tak, aby se zamezilo případné detekci ICPM DDoS. Při implementaci je třeba na FW a v routing table zajistit, aby testované IP vždy odcházely pouze přes primární linku.

Pozor na IP telefony

Po přepnutí linky může dojít k tomu, že IP telefony s vytvořeným SIP spojením k poskytovateli nebudou dostupné. Řešení je popsáno v tomto příspěvku.

Potřebujete pomoc?

jirka Mikrotik

Velká obliba zařízení od litevské firmy Mikrotik spočívá v bezkonkurenční univerzálnosti těchto zařízení. Zkušený uživatel dokáže ze zařízení za několik stokorun vykouzlit router, switch, WiFi kontroler, firewall mnoho dalšího. Dnes si ukážeme jednu u nejjednodušších, konfigurací – L2 switch.

Konfigurace přes winbox

Winbox je nástroj, který jsem si ihned od začátku zamiloval. Stáhnete jej na oficiálních stránkách výrobce. Jedná se o malý spustitelný soubor, který nevyžaduje instalaci. Jeho obrovskou výhodou je to, že po spuštění zobrazí všechna dostupná zařízení (pouze Mikrotik) a k vlastní konfiguraci umí použít komunikaci na úrovni MAC adresy. Mikrotik tedy budete schopni konfigurovat i ve chvíli, kdy nemá IP adresu.

Základní přístupové jméno je „admin“ a prázdné heslo. Heslo byste si samozřejmě měli nastavit, jakmile bude konfigurace dokončena.

Vytvoření Bridge

Switch se v Mikrotiku konfiguruje velmi jednoduše – přes Bridge. V prvním kroku vytvoříte jeden nebo více Bridgů. Bridge je virtuální interface, který může mít svoji IP.

wifihome.cz - Mikrotik Bridge — Vytvoření Bridge s názvem „LAN“

Přiřazením fyzických portů pod tento interface dojde k jejich propojení na L2 – čili vytvoření switche. Přepněte na záložku „Ports“ a kliknutím na přidat vyberte postupně porty, které chcete přiřadit ke stejnému Bridge – tedy které budou tvořit switch.

Stále se nedaří?

Domácí i firemní sítě nejen na platformě Mikrotik jsme nastavili již bezmála dvěma stům zákazníků. Netrapte se sami s konfigurací a nechte si poradit od specialistů. Kontakt

1 2

Cookie	Délka	Popis
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.