Category Archives: Sieci komputerowe

Sieci komputerowe

MikroTik – tworzenie kopii zapasowej ustawień konfiguracji

Najlepszą metodą tworzenia kopii zapasowej ustawień RouterOS oraz ich przywracania jest eksport i import za pomocą poniższych komend:

export file=backup.rsc

I tak, najważniejsze ustawienia do backupu:

export file=backup_verbose.rsc
ip address export file=ip_address.rsc
ip dns export file=ip_dns.rsc
ip cloud export file=cloud.rsc
system ntp client export file=system-ntp-client.rsc
ppp export file=ppp.rsc
system identity export file=system-identity.rsc
system script export file=system-script.rsc
user export file=user.rsc

Import ustawień odbywa się za pomocą komendy:

import file=backup.rsc

Orange – wyłączenie zapory operatora

Aby wyłączyć domyślnie włączoną zaporę Orange należy w loginie usługi, dokładnie przed loginem napisać „bez_ochrony-” (po myślniku dopiero login@neostrada.pl)

Więcej informacji u samego źródła:
https://www.orange.pl/kid,4000377334,id,4002357192,title,Bezpieczny-Dostep,article.html?searchedElementType=articleTab:0001c5a83236-e9d1-37a6-9208-3f16e8f72626&bookmarkList=&referenceDocumentType=esupport_article&referenceElementId=BET1c5a83236-e9d1-37a6-9208-3f16e8f72626&pageLink=/kid,4000377334,id,4002357192,title,Bezpieczny-Dostep,article.html&skin=

Wgrywanie oprogramowania OpenWRT do routera TL-WR740N v4.xx

Aby wgrać oprogramowania OpenWRT do routera TL-WR740N v4.xx należy pobrać ze strony
https://downloads.openwrt.org/releases/17.01.6/targets/ar71xx/generic/ odpowiednią wersję i wgrać ją przez GUI zainstalowanego oprogramowania. Wersja sysupgrade służy do aktualizacji wcześniej wgranej wersji OpenWRT lub Gargoyle. Wersja factory służy do wgrania przez oryginalne oprogramowanie TP-Linka.

MikroTik – discover fake DHCP server

Aby wykryć inny serwer DHCP w sieci należy skonfigurować Alert w serwerze DHCP routera MirkoTik:

/ip dhcp-server alert
add interface=bridge1 valid-server=xx:xx:xx:xx:xx:xx
add disabled=no interface=bridge1 on-alert="/tool e-mail send to=\"E-MAIL_ADDRESS@gmail.com\" subject=\"\$[/system identity get name] - Fake DHCP Server discovered \$[/system clock get time]\"" \
valid-server=xx:xx:xx:xx:xx:xx

gdzie:
valid-server=xx:xx:xx:xx:xx:xx – adres MAC serwera DHCP,
interface=bridge1 – bridge/interfejs na którym działa serwer DHCP

W artykule http://localhost/obsluga-it/mikrotik-backup-to-e-mail/ została opisana konfiguracja serwera e-mail w routerze MikroTik.

MikroTik – backup to e-mail

W celu konfiguracji automatycznej kopii ustawień
routera MikroTik na e-mail należy najpierw skonfigurować konto pocztowe. Poniżej przedstawiona jest konfiguracja dla konta Gmail. Zamiast „USER_NAME_TYPE_HERE ” należy wpisać swoją nazwę (login) użytkownika Gmail a w polu ” PASSWORD_TYPE_HERE ” swoje hasło.
Należy również pamiętać, aby w konfiguracji powyższego konta zezwolić na korzystanie z niego na mniej bezpiecznych aplikacjach poprzez zaznaczenie opcji ON na stronie: https://myaccount.google.com/lesssecureapps .

/tool e-mail
set address=74.125.141.108 from=USER_NAME_TYPE_HERE@gmail.com password=PASSWORD_TYPE_HERE port=587 start-tls=yes user=USER_NAME_TYPE_HERE@gmail.com

Następnie należy stworzyć skrypt odpowiedzialny za utworzenie pliku z wszystkimi ustawieniami routera i wysłanie go na adres e-mail.

/system script
add dont-require-permissions=no name=backup2email owner=admin policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source=\
"/export file=export\r\
\n/tool e-mail send to=\"WHERE_TO_SEND@gmail.com\" subject=\"\$[/system identity get name] export\" \\r\
\nbody=\" configuration file \$[/system clock get date]\" file=export.rsc"

Ostatnią czynnością jest dodanie wpisu w scheduler, aby kopia wykonywała się systematycznie (w tym przypadku co tydzień).

/system scheduler
add interval=1w name=Backup2email on-event="backup2email\r\
\n" policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon start-date=mar/13/2019 start-time=13:59:26

MikroTik – copy DHCP leases to ARP script

Poniższy skrypt kopiuje wpisy DHCP leases (powiącania IP – MAC) do tablicy ARP.

#Define interface that clients are connected to. In my case bridge1
:local interface bridge1;

#Deleting old ARP entries
#Adding information to log
:log info ("Deleting old ARP entries");
:foreach arpId in=[/ip arp find] do={
	/ip arp remove $arpId;	
}

#Adding new ARP entries
:foreach leaseId in=[/ip dhcp-server lease find] do={

	#OPTIONAL - copy DHCP Lease comment to leaseComment variable
	#:local leaseComment  [/ip dhcp-server lease get $leaseId comment];
	
	#copy DHCP Lease IP address to leaseMAC variable 
	:local leaseIP [/ip dhcp-server lease get $leaseId address];
	
	#copy DHCP Lease MAC address to leaseMAC variable 
	:local leaseMAC  [/ip dhcp-server lease get $leaseId mac-address];	
	
	#Adding new ARP entries
	/ip arp add address=$leaseIP mac-address=$leaseMAC interface=$interface disabled=no published=no;
	
	#Adding information to log
	:log info ("Adding new ARP entry");
}

MikroTik – configuration backup problem ( mikrotik error creating backup file: could not read configuration files )

W RouterOS od wersji 6.42.x występuje problem ze utworzeniem pliku konfiguracyjnego (backupu ustawień). W logu pojawia się komunikat:

mikrotik error creating backup file: could not read configuration files

Rozwiązaniem problemu jest ponowne wygenerowanie klucza SSH i restart routera.

/ip ssh regenerate-host-key
/system reboot

Zródło:
https://forum.mikrotik.com/viewtopic.php?t=133621

MikroTik – konfiguracja serwera VPN (L2TP + IPSec)

W artykule opisana jest konfiguracja serwera VPN w systemie MikroTik RouterOS. Oto konfiguracja routera:

Konfiguracja interfejsów sieciowych:
interfejs WAN: ether2wan – pppoe-out1
interfejs LAN: ether3lan – 192.168.5.1/24

Dane dostępowe dla klienta VPN:

IPsec secret: hasloIPSec
PPP user: PPPuser
PPP secret password: hasloPPP
pula adresów IP przeznaczonych dla klientów L2TP:  192.168.2.10-192.168.2.20 (pula o nazwie vpn-clients)

Konfigurację można przeprowadzić w ośmiu krokach:

  1. Odblokowanie portów w zaporze, aby router zezwalał na przychodzące połączenia klientów poprzez tunel:
    /ip firewall filter
    add action=accept chain=input dst-port=500 protocol=udp
    add action=accept chain=input dst-port=1701 protocol=udp
    add action=accept chain=input dst-port=4500 protocol=udp
    add action=accept chain=input protocol=ipsec-esp
    add action=accept chain=input protocol=ipsec-ah
  2. Konfiguracji puli adresów IP dla klientów VPN o nazwie vpn-clients:
    /ip pool
    add name=vpn-clients ranges=192.168.2.10-192.168.2.20
  3. Utworzenie profilu klienta PPP o nazwie L2TPClients:
    /ppp profile
    add change-tcp-mss=yes dns-server=192.168.5.1,194.204.159.1 local-address=192.168.5.1 name=L2TPClients remote-address=vpn-clients
  4. Włączenie serwera L2TP
    /interface l2tp-server server
    set authentication=mschap2 default-profile=L2TPClients enabled=yes ipsec-secret=hasloIPSec use-ipsec=yes
    set max-mtu=1450
    set max-mtu=1450
  5. Konfiguracja IPSec:
    /ip ipsec proposal
    set [ find default=yes ] enc-algorithms=aes-256-cbc,3des pfs-group=none
  6. Konfiguracja istniejącego – predefiniowanego profilu IPSec „default”
    /ip ipsec peer profile
    set name="default" hash-algorithm=sha1 enc-algorithm=aes-128,3des dh-group=modp2048,modp1024 lifetime=1d
    proposal-check=obey nat-traversal=yes dpd-interval=2m dpd-maximum-failures=5
  7. Utworzenie konta PPP
    /ppp secret
    add name=PPPuser password=hasloPPP profile=L2TPClients service=l2tp
  8. Konfiguracja NATu tak, aby klient VPN miał połączenie z siecią Internet wykorzystując adres IP routera – serwera VPN.
    /ip firewall nat
    add action=masquerade chain=srcnat comment=\
    "maskarada dla klientow VPN L2TP IPSec" out-interface=pppoe-out1 \
    src-address=192.168.2.0/24

Połączenie klienckie VPN L2TP+IPSec można skonfigurować m.in. we wbudowanym kliencie systemu Windows 7/10 lub używając darmowego klienta firmy DrayTek: https://www.draytek.com/products/smart-vpn-client/

Źródło:
http://mikrotikacademy.pl/mikrotik-vpn-l2tpipsec-ms-windows-step-by-step/
https://www.youtube.com/watch?v=j37Tm1wdvzM