Pembaca blog ini tahu bahwa saya adalah teman OpenWRT yang diakui. Tetapi berpikir di luar kotak tidak ada salahnya - jadi saya telah melihat lebih dekat RouterOS dari MikroTik dalam beberapa minggu terakhir atas rekomendasi dua teman dan mengatur konfigurasi dasar, yang ingin saya perkenalkan secara lebih rinci dalam seri berikut.
Bagian 1 berkaitan dengan menginstal firmware saat ini, mengatur ulang pengaturan, dan beberapa konfigurasi dasar.
Saya harus mengatakan dengan sangat jelas bahwa RouterOS masih merupakan wilayah yang tidak diketahui bagi saya dan pekerjaan terakhir dengan jaringan sudah beberapa tahun yang lalu. Oleh karena itu saya lebih dari bersyukur atas petunjuk tentang kesalahan besar, ketidakakuratan dan hanya asumsi yang salah. Apa itu RouterOS?
RouterOS adalah nama sistem operasi jaringan dari produsen Latvia MikroTik, yang sepengetahuan saya didasarkan pada Linux. Ini digunakan pada perangkat keras MikroTik sendiri, tetapi juga tersedia sebagai versi mandiri untuk server atau mesin virtual Anda sendiri.
Berbagai fungsi cukup kaya - selain routing dan firewall, DHCP, DNS, proxy, file sharing, BGP, OSPF, MPLS, VPN, layer7 filtering, WLAN controller dan banyak fitur lainnya juga disertakan, yang - diberikan pengetahuan yang sesuai - dapat dikonfigurasi melalui baris perintah, antarmuka web dan antarmuka administrasi grafis terpisah yang disebut WinBox. RouterOS ditawarkan dalam beberapa tingkat lisensi, yang sepengetahuan saya hanya berbeda dalam jumlah koneksi simultan, misalnya ke server VPN, tetapi tidak dalam berbagai fungsi itu sendiri. Konfigurasi grafis RouterOS
Berbagai fungsi sudah menunjukkan bahwa meskipun konfigurasi grafis, semuanya tidak dimaksudkan untuk pengguna rumahan, tetapi ditujukan untuk pengguna berpengalaman yang tahu apa yang mereka lakukan. Apakah saya dapat menghitung diri saya di antara mereka, itu masih harus dilihat ... ;-)Pengaturan dasar
Sementara itu, saya telah membeli berbagai perangkat sendiri untuk menyegarkan pengetahuan jaringan saya dan dalam perjalanan ini saya telah mengembangkan konfigurasi dasar yang saya luncurkan ke semua perangkat. Saat ini adalah skrip yang saya salin dan tempel di perangkat. Meskipun ada juga opsi yang jauh lebih profesional untuk konfigurasi, untuk tujuan saya ini cukup untuk saat ini - saya telah memperluas versi lokal saya dengan kueri dan variabel untuk membuat semuanya sedikit lebih fleksibel, tetapi saya meninggalkannya untuk saat ini untuk kontribusi ini untuk penyederhanaan. Instal pembaruan
Untuk memulai, saya menginstal semua pembaruan yang ada untuk bekerja dengan sistem saat ini. Proses pembaruan dibagi menjadi dua bagian: Pertama, RouterOS diperbarui dan setelah restart, pembaruan boot loader dapat diinstal. Reboot sementara adalah penting, jika tidak, Anda dapat mengunci diri dari perangkat.
RouterOS hadir dalam beberapa versi - selain versi lama, ada cabang bugfix saja tanpa fitur baru, kemudian versi stabil saat ini serta cabang pengembangan dengan kandidat rilis. Untuk sistem saya, saya memilih versi stabil saat ini:/pembaruan paket sistem set channel=current
Jika RouterOS sudah memiliki akses ke Internet, pembaruan dapat secara otomatis dikuk dan diunduh:/pembaruan paket sistem check-for-updates /pembaruan paket sistem unduh
Pada sistem yang belum memiliki akses jaringan, cukup mengunduh file NPK masing-masing dari produsen dan menyalinnya ke direktori utama melalui WinBox, misalnya. Dalam semua kasus, pembaruan dilakukan melalui reboot:/reboot sistem
Setelah memulai ulang, versi saat ini terlihat di bilah judul WinBox dan konsol. Pada langkah kedua, boot loader sekarang dapat diperbarui. Untuk melakukan ini, a/system routerboard upgrade
sekali lagi diikuti dengan restart dengan cara/reboot sistem
Kemudian Anda memiliki sistem saat ini.Aktifkan IPv6
Untuk melakukan semua restart yang diperlukan sekaligus, saya menginstal paket IPv6 saat ini, karena ini juga membutuhkan reboot. Perintah untuk melakukan ini adalah/paket system aktifkan ipv6
Diikuti oleh yang baru/reboot sistemAtur Ulang Konfigurasi
Bergantung pada perangkat, RouterOS dilengkapi dengan konfigurasi standar yang akan memungkinkan operasi sesederhana mungkin. Mungkin bermanfaat untuk menggunakannya sebagai dasar - dalam skenario saya, bagaimanapun, saya ingin menggunakan status awal yang ditentukan dan karena itu mengatur ulang seluruh konfigurasi ke nol. Itu mudah dengan/system reset-configuration no-defaults=yes skip-backup=yes keep-users=no
diikuti oleh satu – tebak benar! – restart berikutnya, yang terjadi di sini secara otomatis. Penting: Semua koneksi IP dihapus, yaitu akses awalnya hanya dimungkinkan melalui MAC, misalnya melalui WinBox atau Telnet. (Terima kasih kepada Sebastian atas petunjuknya.)
Tip di samping: Jika Anda ingin melihat konfigurasi default untuk perangkat Anda untuk melihat beberapa pengaturan yang bermanfaat, Anda cukup mendapatkannya melalui/system default-configuration printMengamankan SSH
Selanjutnya, koneksi SSH harus diamankan. Untuk memungkinkan hanya kriptografi yang kuat dan menggunakan kunci 4096 bit, perintah berikut harus dimasukkan:/ip ssh set strong-crypto=yes /ip ssh set host-key-size=4096
Selain itu, saya selalu membuat satu set hostkey SSH baru di semua sistem saya, bahkan di server Linux. Ini telah membuktikan dirinya di masa lalu, saya hanya memikirkan bug di penyedia gambar Linux yang telah menyebabkan hostkey identik di semua sistem. Kunci baru dapat dibuat di bawah RouterOS menggunakan/ip ssh regenerate-host-key
Namun, karena kami juga telah mengubah ukuran kunci dan pengaturan kriptografi pada saat yang sama, sistem masih membutuhkan reboot tambahan, yang dapat memakan waktu sedikit lebih lama dari biasanya karena generasi kunci:/reboot sistemSiapa aku?
Secara default, nama host sistem adalah "MikroTik", yang menyebabkan kebingungan untuk beberapa perangkat RouterOS di jaringan paling lambat. Tentang a/system identity set name="gateway1"
nama dapat diatur sesuai - tentu saja juga pada sesuatu yang lebih kreatif daripada "gateway1", saya lebih suka, misalnya, karakter komik.Mengatur pengguna
Sebelum melanjutkan, pengguna Anda sendiri harus diberi nama yang sedikit lebih kreatif daripada "admin" standar - dan kata sandi tentu saja juga harus diatur untuk mencegah penyusup. Pengguna yang ada hanya diberi nama melalui/user set admin comment="Max Mustermann" name="maxmuster"
di. Setelah masuk lagi, kata sandi dapat digunakan dengan cara/kata sandi
, di mana tombol Enter hanya digunakan saat mengkueri kata sandi alt. Tetapkan zona waktu dan waktu
Agar file log memiliki stempel waktu yang benar, saya kemudian mengkonfigurasi zona waktu dan mengatur dua server NTP dari mana RouterOS bisa mendapatkan waktu saat ini:/system clock set time-zone-name=Europe/Berlin /system ntp client set server-dns-names="pool.ntp.org,time.google.com" enabled=yes
Paling lambat sejak mengatur ulang pengaturan, bagaimanapun, RouterOS tidak lagi memiliki akses ke Internet, sehingga waktu saat ini tidak dapat diperoleh - kami kemudian akan mengabdikan diri untuk mengatur jaringan di bagian berikutnya dari artikel.