Oswajamy RouterOS

RODO w natarciu. Sam nigdy nie dostałem tylu smsów z aktualizacją polityki związanej z zarządzaniem danymi osobowymi. Ale mniejsza z tym, dostaliśmy zamówienie na montaż nowego routera z funkcją firewalla. Obecny router lub się zawieszać i co jakiś czas trzeba go restartować. Postanowiłem spróbować sił z routerem MikroTik RB2011iL-IN. Z urządzeniami MikroTika miałem wcześniej do czynienia gdy trzeba było skonfigurować stacje wifi by działały w trybie bridge. Dużym plusem jest program do konfiguracji urządzeń Winbox który to automatycznie wyszukuje urządzenia nieważne w jakiej sieci się znajdują. Nie trzeba znać żadnej domyślnej konfiguracji.

Nie będę opisywał konfiguracji na potrzeby firmy ale na potrzeby domowe. Postanowiłem wymienić wysłużonego 1043 na RB951Ui-2nD. Z jednej strony jestem zadowolony z tego urządzenia a z drugiej dałem trochę ciała bo nie zwróciłem uwagi na to, że ma tylko FastEthernet. A przy dysku sieciowym czuć spowolnienie. Trudno, za jakiś czas wymienię na coś szybszego.

Założenia są takie:

• brama domyślna do internetu to mój TP-LINK 1043 z adresem 192.168.1.1/24
• po stronie WAN ip będzie przydzielany dla routera dynamicznie
• router ma być serwerem DNS - przekierować na DNS Cloudflare i jako zapasowy - Google
• sieć LAN to 192.168.10.0/24
• utworzymy dwie sieci wifi - jedna dla gości
• sieć wifi dla gości ma adresację w sieci 192.168.30.0/24
• sieć dla gości jest niedostępna dla sieci domowej i vice versa oraz ma ograniczenia przepustowości
• obie sieci są zabezpieczone hasłem

Pierwsze co to uruchamiamy Winbox. Program działa przez Wine również na uniksach. Łączymy się z urządzeniem. Przechodzimy do sekcji Bridge i dodajemy nowy most, nazwijmy go bridge_lan. Most będzie nam potrzebny po to by zgrupować kilka portów routera w jeden wirtualny port o wspólnych ustawieniach. Domyślnie każdy port jest od siebie odseparowany. Po utworzeniu mostu w sekcji Bridge\Ports dodajemy interfejsy do tego mostu. LAN będzie obejmował porty ethernetowe od 2 do 5 i wlan.

Teraz ustawimy sobie serwer DNS (IP\DNS).

Pulę adresów jakie router będzie przydzielał ustawimy w IP\Pool.

Żeby nasza sieć lan zaczęła funkcjonować musimy przypisać adres routera w sieci LAN i uruchomić serwer DHCP dla naszego mostu. Adres przypisujemy w IP\Addresses.

Teraz przechodzimy do IP\DHCP Server\DHCP i dodajemy nowy serwer DHCP. Pamiętajmy o wybraniu odpowiedniego interfejsu (bridge_lan) i puli przydzielanych adresów.

Aby komputery otrzymały informacje na temat sieci musimy je ustawić w IP\DHCP Server\Networks. Klikamy w plusik i ustawiamy co trzeba.

W tej chwili serwer DHCP powienien już przydzielać adresy. Możemy sprawdzić z poziomu routera czy wszystko działa (Tools\Ping).

OK, teraz dostęp do internetu - WAN ustawimy na porcie ether1. Wybieramy Interfaces\Interface\ether1 i zmieniamy nazwę na ether1_wan. Zmiana nazwy nie jest konieczna ale potem znacznie ułatwia sprawę jeśłi chodzi o przejrzystość interfejsu. Aby dla intefejsu WAN adres IP był przydzialny automatycznie należy ustawić klienta DHCP na tym porcie. Wybieramy plusik w IP\DHCP Client i sprawdzamy pingiem czy wszystko działa tzn czy z WAN mamy wyjście na świat. W IP\Addresses powinien pojawić się przydzielony przez router główny adres IP. Sprawdzamy jeszcze czy IP\Routes wygląda podobnie jak u mnie. Jeśli adres jest przydzielany z automatu to nie musimy w tej sekcji nic zmieniać.

Teraz tylko musimy włączyć NAT w IP\Firewall\NAT - chain ustawiamy na srcnat, w zakładce Action, Action ustawiamy na masquerade. Tym sposobem wszystko powinno działać i powinniśmy mieć internet.

Konfiguracja wifi będzie w innym wpisie.