Category Archives: MikroTik

MikroTik

MikroTik – Ad blocking. Blokowanie reklam.

Showing DNS properties and increasing Cache size:

ip/dns/print
ip/dns/set cache-size=20480

Adding DNS lists

ip/dns/adlist add url=https://raw.githubusercontent.com/StevenBlack/hosts/master/hosts ssl-verify=no
ip/dns/adlist add url=https://raw.githubusercontent.com/MajkiIT/polish-ads-filter/master/polish-pihole-filters/hostfile.txt ssl-verify=no
ip/dns/adlist add url=https://raw.githubusercontent.com/MajkiIT/polish-ads-filter/master/polish-pihole-filters/Ad_filter_list_by_Disconnect.txt ssl-verify=no
ip/dns/adlist add url=https://raw.githubusercontent.com/MajkiIT/polish-ads-filter/master/polish-pihole-filters/NoTrack_Tracker_Blocklist.txt ssl-verify=no

 

MikroTik – tworzenie kopii zapasowej ustawień konfiguracji

Najlepszą metodą tworzenia kopii zapasowej ustawień RouterOS oraz ich przywracania jest eksport i import za pomocą poniższych komend:

export file=backup.rsc

I tak, najważniejsze ustawienia do backupu:

export file=backup_verbose.rsc
ip address export file=ip_address.rsc
ip dns export file=ip_dns.rsc
ip cloud export file=cloud.rsc
system ntp client export file=system-ntp-client.rsc
ppp export file=ppp.rsc
system identity export file=system-identity.rsc
system script export file=system-script.rsc
user export file=user.rsc

Import ustawień odbywa się za pomocą komendy:

import file=backup.rsc

MikroTik – discover fake DHCP server

 

Aby wykryć inny serwer DHCP w sieci należy skonfigurować Alert w serwerze DHCP routera MirkoTik:

/ip dhcp-server alert
add interface=bridge1 valid-server=xx:xx:xx:xx:xx:xx
add disabled=no interface=bridge1 on-alert="/tool e-mail send to=\"E-MAIL_ADDRESS@gmail.com\" subject=\"\$[/system identity get name] - Fake DHCP Server discovered \$[/system clock get time]\"" \
valid-server=xx:xx:xx:xx:xx:xx

gdzie:
valid-server=xx:xx:xx:xx:xx:xx – adres MAC serwera DHCP,
interface=bridge1 – bridge/interfejs na którym działa serwer DHCP

W artykule http://obsluga-it/mikrotik-backup-to-e-mail/ została opisana konfiguracja serwera e-mail w routerze MikroTik.

 

MikroTik – backup to e-mail

W celu konfiguracji automatycznej kopii ustawień
routera MikroTik na e-mail należy najpierw skonfigurować konto pocztowe. Poniżej przedstawiona jest konfiguracja dla konta Gmail. Zamiast „USER_NAME_TYPE_HERE ” należy wpisać swoją nazwę (login) użytkownika Gmail a w polu ” PASSWORD_TYPE_HERE ” swoje hasło.
Należy również pamiętać, aby w konfiguracji powyższego konta zezwolić na korzystanie z niego na mniej bezpiecznych aplikacjach poprzez zaznaczenie opcji ON na stronie: https://myaccount.google.com/lesssecureapps .

/tool e-mail
set address=74.125.141.108 from=USER_NAME_TYPE_HERE@gmail.com password=PASSWORD_TYPE_HERE port=587 start-tls=yes user=USER_NAME_TYPE_HERE@gmail.com

Następnie należy stworzyć skrypt odpowiedzialny za utworzenie pliku z wszystkimi ustawieniami routera i wysłanie go na adres e-mail.

/system script
add dont-require-permissions=no name=backup2email owner=admin policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source=\
"/export file=export\r\
\n/tool e-mail send to=\"WHERE_TO_SEND@gmail.com\" subject=\"\$[/system identity get name] export\" \\r\
\nbody=\" configuration file \$[/system clock get date]\" file=export.rsc"

Ostatnią czynnością jest dodanie wpisu w scheduler, aby kopia wykonywała się systematycznie (w tym przypadku co tydzień).

/system scheduler
add interval=1w name=Backup2email on-event="backup2email\r\
\n" policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon start-date=mar/13/2019 start-time=13:59:26

MikroTik – copy DHCP leases to ARP script

Poniższy skrypt kopiuje wpisy DHCP leases (powiącania IP – MAC) do tablicy ARP.

#Define interface that clients are connected to. In my case bridge1
:local interface bridge1;

#Deleting old ARP entries
#Adding information to log
:log info ("Deleting old ARP entries");
:foreach arpId in=[/ip arp find] do={
	/ip arp remove $arpId;	
}

#Adding new ARP entries
:foreach leaseId in=[/ip dhcp-server lease find] do={

	#OPTIONAL - copy DHCP Lease comment to leaseComment variable
	#:local leaseComment  [/ip dhcp-server lease get $leaseId comment];
	
	#copy DHCP Lease IP address to leaseMAC variable 
	:local leaseIP [/ip dhcp-server lease get $leaseId address];
	
	#copy DHCP Lease MAC address to leaseMAC variable 
	:local leaseMAC  [/ip dhcp-server lease get $leaseId mac-address];	
	
	#Adding new ARP entries
	/ip arp add address=$leaseIP mac-address=$leaseMAC interface=$interface disabled=no published=no;
	
	#Adding information to log
	:log info ("Adding new ARP entry");
}

MikroTik – configuration backup problem ( mikrotik error creating backup file: could not read configuration files )

W RouterOS od wersji 6.42.x występuje problem ze utworzeniem pliku konfiguracyjnego (backupu ustawień). W logu pojawia się komunikat:

mikrotik error creating backup file: could not read configuration files

Rozwiązaniem problemu jest ponowne wygenerowanie klucza SSH i restart routera.

/ip ssh regenerate-host-key
/system reboot

Zródło:
https://forum.mikrotik.com/viewtopic.php?t=133621

MikroTik – konfiguracja serwera VPN (L2TP + IPSec)

W artykule opisana jest konfiguracja serwera VPN w systemie MikroTik RouterOS. Oto konfiguracja routera:

Konfiguracja interfejsów sieciowych:
interfejs WAN: ether2wan – pppoe-out1
interfejs LAN: ether3lan – 192.168.5.1/24

Dane dostępowe dla klienta VPN:

IPsec secret: hasloIPSec
PPP user: PPPuser
PPP secret password: hasloPPP
pula adresów IP przeznaczonych dla klientów L2TP:  192.168.2.10-192.168.2.20 (pula o nazwie vpn-clients)

Konfigurację można przeprowadzić w ośmiu krokach:

  1. Odblokowanie portów w zaporze, aby router zezwalał na przychodzące połączenia klientów poprzez tunel:
    /ip firewall filter
    add action=accept chain=input dst-port=500 protocol=udp
    add action=accept chain=input dst-port=1701 protocol=udp
    add action=accept chain=input dst-port=4500 protocol=udp
    add action=accept chain=input protocol=ipsec-esp
    add action=accept chain=input protocol=ipsec-ah
  2. Konfiguracji puli adresów IP dla klientów VPN o nazwie vpn-clients:
    /ip pool
    add name=vpn-clients ranges=192.168.2.10-192.168.2.20
  3. Utworzenie profilu klienta PPP o nazwie L2TPClients:
    /ppp profile
    add change-tcp-mss=yes dns-server=192.168.5.1,194.204.159.1 local-address=192.168.5.1 name=L2TPClients remote-address=vpn-clients
  4. Włączenie serwera L2TP
    /interface l2tp-server server
    set authentication=mschap2 default-profile=L2TPClients enabled=yes ipsec-secret=hasloIPSec use-ipsec=yes
    set max-mtu=1450
    set max-mtu=1450
  5. Konfiguracja IPSec:
    /ip ipsec proposal
    set [ find default=yes ] enc-algorithms=aes-256-cbc,3des pfs-group=none
  6. Konfiguracja istniejącego – predefiniowanego profilu IPSec „default”
    /ip ipsec peer profile
    set name="default" hash-algorithm=sha1 enc-algorithm=aes-128,3des dh-group=modp2048,modp1024 lifetime=1d
    proposal-check=obey nat-traversal=yes dpd-interval=2m dpd-maximum-failures=5
  7. Utworzenie konta PPP
    /ppp secret
    add name=PPPuser password=hasloPPP profile=L2TPClients service=l2tp
  8. Konfiguracja NATu tak, aby klient VPN miał połączenie z siecią Internet wykorzystując adres IP routera – serwera VPN.
    /ip firewall nat
    add action=masquerade chain=srcnat comment=\
    "maskarada dla klientow VPN L2TP IPSec" out-interface=pppoe-out1 \
    src-address=192.168.2.0/24

Połączenie klienckie VPN L2TP+IPSec można skonfigurować m.in. we wbudowanym kliencie systemu Windows 7/10 lub używając darmowego klienta firmy DrayTek: https://www.draytek.com/products/smart-vpn-client/

Źródło:
http://mikrotikacademy.pl/mikrotik-vpn-l2tpipsec-ms-windows-step-by-step/
https://www.youtube.com/watch?v=j37Tm1wdvzM

MikroTik – blokowanie stron WWW

Do tej pory aby zablokować stronę WWW należało posługiwać się regułami L7 (wyrażeniami regularnymi Regexp), lub Web Proxy. Niestety, używając tych funkcji RouterOS, blokowanie wielu stron WWW mogło spowodować nadmierne obciążenie CPU.
Poczynając od wersji RouterOS 6.36,  istnieje możliwość używania nazw DNS w address-list. Daje to ogromne możliwości firewalla – budowanie dynamicznych list IP. Blokowanie stron używając Dynamic Lists nie powoduje już dużego obciążenia CPU.

Poniżej przedstawiony jest przykład blokowania strony chomikuj.pl wszystkim komputerom w sieci oprócz komputera o adresie IP: 192.168.5.107:

miktorik - blokowanie stron, ustawienia firewalla

Na powyższym zrzucie ekranu widać, że MikroTik rozwiązał nazwę DNS chomikuj.pl i umieścił dynamiczne wpisy IP w Address Lists.  W tym przypadku strona chomikuj.pl dostępna jest pod dwoma adresami IP.