Nákup nového routeru od Mikrotiku - instalace
Zdravím,
chystáme se koupit do firmy nový routerboard. Konkrétní model není ještě přesně zvolen, ale mám v úvahu vzít něco takového:
http://www.i4wifi.cz/MikroTik-Router...se-PoE-L5.html
Přiznám se zcela otevřeně, že doposud jsme měli vždy klasické routery, kde se po zapnutí přihlásíš na jeho IP a pak vše nastavuješ přes web.
A u Mikrotiku si tím nejsem zcela jist, jestli to funguje stejně a nebo budu muset se připojovat přes hyperterminál nebo winbox.
Prostě můj dotaz zní...
Zvládnu jako správce klasických SOHO routerů nastavit i Mikrotik (když jsem doposud žádný nenastavoval, neinstaloval) a nebo je zapotřebí se napřed naučit nějaké specifikum, které tyto RB mají ?
Prosím o nějaké info.
Díky
Re: Nákup nového routeru od Mikrotiku - instalace
Nedavno jsem mel v ruce pouzity Mikrotik RB751U a predtim jsem se s s zadnym Mikrotikem nikdy nesetkal. Nastavovat ho slo bud pres webove rozhrani nebo pres winbox. Bylo tam i jednoduche nastaveni pro "zacatecniky" (Quick set), kde se jako v SOHO routeru nastavilo par zakladnich veci a router byl funkcni.
Nenastavoval jsem ale nic moc pokrocilejsiho, protoze ten muj kus byl asi vadny a vydrzel bezet maximalne 3h bez padu. Menil jsem i verzi OS, ale nepomohlo, tak jsem ho vratil.
Edit: Nasel jsem screenshot
http://www.mikrotik-routeros.com/wp-...ick-set-ap.png
Re: Nákup nového routeru od Mikrotiku - instalace
Re: Nákup nového routeru od Mikrotiku - instalace
Základní nastavení si myslím zvládne každý, kdo zná základní principy sítí, rozhodně bych se toho nebál.
Webové rozhraní prakticky odpovídá rozhraní winboxu (a prakticky i CLI - příkazy odpovídají navigaci v menu). Winbox má výhodu, že se s ním lze připojit na routerboard po L2 (bez IP, jen podle MAC adresy, kterou si sám skenem najde), lze pracovat se soubory drag&drop a je přes něj možné nastavit metarouter (možnost udělat např. virtuální openwrt) - to myslím z webu nelze. Pak je ještě šikovný prográmek The Dude - http://www.mikrotik.com/thedude , který je určený jednak pro správu větších sítí a druhak je v němněkolik šikoných utilit - např. umí pěkně vizualizovat spektrální analyzátor, který má mikrotik v sobě.
Re: Nákup nového routeru od Mikrotiku - instalace
Díky (K+) za nfo...
Myslím že mi nic nebrání jej objednat...
Teda až na souhlas šéfika :)
Re: Nákup nového routeru od Mikrotiku - instalace
Tak jsem pořídil tenhle model:
http://www.i4wifi.cz/MikroTik-Router...se-PoE-L5.html
a hned první věc která mne nasrala, že antény v zadu nejsou odjímatelné - přičemž mi technik v i4wifi řekl, že jasně dokupte si externí ant. a ty se pak nahradí za ty malé...
Ano nahradí, ale dokoupením 2ks pigtailů a rozebráním krytu a demontováním těch antén co jsou napevno /trapný/.
Nicméně po prvním zkušebním nastavení mi běží wifina, ale na lan portech mi dhcp nepřiděluje IP, něco dělám špatně...
Spíše mne napadá, jestli by někdo nebyl ochoten mi pár věcí z administrace ukázat někde třeba u pivka nebo dle domluvy...
Co vy na to pánové ?
Re: Nákup nového routeru od Mikrotiku - instalace
Mohu klidně poradit třeba přes teamviewer, případně osobně v Plzni...
Edit: ideálně piš na mail vladimir.smitka@lynt.cz, čtu to zde jen ve volném čase...
Re: Nákup nového routeru od Mikrotiku - instalace
Pro dhcp by mělo stačit nastavit 3 věci:
1) vytvořit "IP - Pool" s adresami, které bude dhcp server rozdávat
2) vytvořit "IP - DHCP server - DHCP" přiřazený správnému interface s přiřazeným poolem
3) nastavit parametry pro "IP - DHCP server - Networks" pro subnet, který obhospodařuje
https://dl.dropboxusercontent.com/u/18179268/mik.jpg (v mém případě mám DHCP v síti 192.168.1.224/28)
Re: Nákup nového routeru od Mikrotiku - instalace
Ahoj,
dhcp i wifi jsem už nějak zprovoznil, spíš mne napadá, jak složité je nastavit firewall alespoň na pár dnů.
Chystám se totiž mezi svátky kdy nikdo nebude v práci to zařízení zapnout a zároveň mám objednán kurz na seznámení se se zařízením, který mi šéf zaplatí, nicméně než bude toto školení, rád bych, aby to prozatím běželo a dalo by se říct, že alespoň trochu "bezpečně"...
Ještě se na to podívám co a jak a když si nebudu vědět rady, tak ti písnu email - DÍKY..
PS: Dal bych K+, ale nemohu, páč jsem ještě nerozdal dalším...
Re: Nákup nového routeru od Mikrotiku - instalace
Nejzákladnější bezpečnostní pravidla jsou následující (wan inteface je eth1-wan, a vnitrni sit 192.168.1.0/24 je pres eth2-lan):
Kód:
/ip firewall filter
add chain=input action=accept comment="povolit navazana spojeni" connection-state=established
add chain=input action=accept comment="povolit souviseji spojeni" connection-state=related
add chain=input action=drop comment="zahodit chybna TCP spojeni" connection-state=invalid protocol=tcp
add chain=input action=accept comment="povolit ping" protocol=icmp
add chain=input action=drop comment="zahodit prichozi z netu" in-interface=eth1-wan
Osobně jako základ používám následující konfiguraci, která se lépe rozšiřuje:
Kód:
/ip firewall filter
add chain=forward action=accept comment="povolit navazana spojeni" connection-state=established
add chain=forward action=accept comment="povolit souviseji spojeni" connection-state=related
add chain=forward action=drop comment="zahodit chybna TCP spojeni" connection-state=invalid protocol=tcp
add chain=forward action=accept comment="povolit lokalni sit" in-interface=eth2-lan src-address=192.168.1.0/24
add chain=forward action=log comment="logovani forward" disabled=yes log-prefix="DROP forward:"
add chain=forward action=drop comment="zahodit vse ostatni"
add chain=input action=accept comment="povolit navazana spojeni" connection-state=established
add chain=input action=accept comment="povolit souviseji spojeni" connection-state=related
add chain=input action=accept comment="povolit ping" protocol=icmp
add chain=input action=drop comment="zahodit chybna TCP spojeni" connection-state=invalid protocol=tcp
add chain=input action=accept comment="povolit lokalni sit" in-interface=eth2-lan src-address=192.168.1.0/24
add chain=input action=log comment="logovani input" disabled=yes log-prefix="DROP input:"
add chain=input action=drop comment="zahodit vse ostatni"
/ip firewall nat
add action=masquerade chain=srcnat out-interface=eth1-wan
Povolí ICMP (což můžu pak zakázat, jeslti to nechci, ale pro úvodní rozchození se to může hodit) a pak povolí navázaná a související spojení (dobré třeba pro FTP), povolí přístup na mikrotik z vnitřní sítě (to pak také omezuji). A udělá nat pro vnitřní síť.
Pak to jde dále zlepšovat různými pravidly na blokaci běžných útoků, blokování scanování portů atd.
Pokud jde o školení Mikrotik, tak je to jedna z věcí, které nabízíme :-) Děláme i školení na Cisco, Linux a Microsoftí produkty.
Re: Nákup nového routeru od Mikrotiku - instalace
Citace:
Původně odeslal
Smitka
Pokud jde o školení Mikrotik, tak je to jedna z věcí, které nabízíme :-) Děláme i školení na Cisco, Linux a Microsoftí produkty.
Předpokládám, že školení není v praze že ?
Koupil jsem zařízení u i4wifi a tak jsem chtěl i školení u nich.. Ale zatím to vyloženě objednané není (sice jsem napsal že je, ale spíš jsem to uvedl jako, že to mám určitě v plánu objednat)...
Nicméně šéf určitě bude koukat i na cenu za školení, takže klidně to může být i jinde, ale asi stále v praze :)
Re: Nákup nového routeru od Mikrotiku - instalace
My většinou děláme individuální školení přímo u zákazníka, je to výhodné pro všechny strany - my nemusíme pronajímat prostory, zákazník nemusí nikam cestovat, školíme jen to, co zákazník potřebuje, je větší prostor na diskuzi nad konkrétními problémy, také odfiltrujeme účastníky, kteří se prostě jedou ulejt z práce a najíst :-).
Školeními u i4wifi jsem také prošel a určitě to není ztráta času. Velkou výhodou jejich školení je, že jsou i s certifikací MTCNA, a to my nabídnout bohužel nemůžeme.
