A környezet¶
A kurzus során telepítőkészleteket és előtelepített operációs rendszereket használunk, melyek a https://dl.koczka.com oldalról tölthetők le.
Az itt elérhető virtuális gépek az egyes kurzusokhoz különböző operációs rendszereket tartalmaznak, az előtelepített rendszerek pillanatok alatt betölthetők és elindíthatók.
Mivel a kurzus során erre többször is szükségünk lesz, először nézzük meg, hogyan lehet egy ilyen gépet importálni. Példánkban egy Ubuntu Linux géppel tesszük ezt meg. Elsőként töltsd le ezt az ubuntu 20.04.3-LTS fájlt a letöltések oldalról!
Elsőként a Virtualbox Fájl menüjéből válasszuk ki a Gép importálása menüpontot, majd forrásként adjuk meg a letöltött Windows gép .ova fájlját. Egy kivételével minden alapértelmezett paraméter megfelelő, az esetleges azonos MAC címek elkerülése érdekében a MAC irányelvet cseréljük az alábbi ábrán látható értékre, mely biztosítja, hogy minden MAC különböző legyen abban az esetben is, ha egy gépet a hálózatunkban egynél több példányban importálunk.
Virtuális gép importálása¶
Virtuális belső hálózat beállítása¶
A munkakörnyezetünk egy vagy több virtuális belső hálózatot is igényel, melyben a hálózati eszközünk egy routerOS rendszerű router lesz. Ennek az ether1 interfésze az internet irányába néz, az ether2 inferfész a belső hálózatot szolgálja ki, amelyben a 192.168.100.0/24 alhálózat működik. A router NAT-ol a belső hálózatból kifelé. A működést egy, a belső hálózatba telepített virtuális géppel ellenőrizzük. A gépen belül kialakításra kerülő virtuális struktúra az alábbi ábrán látható:
Virtuális belső hálózat¶
A Virtualboxban egy új belső hálózat (NAT Network) létrehozása a Beállítások/Hálózat pontban történik. A hozzáadás ikonra kattintva egy új Nat Network felvétele történik meg, ennek a részletes beállításai az alábbi ábrán láthatók. A gyakorlati feladatok további egységes leírása érdekében ennek neve legyen Internal, a belső hálózat címe pedig 192.168.100.0/24. Mivel a routernek kell majd IP címszolgáltatást végeznie, a DHCP támogatást itt kikapcsoljuk, és IPv6-ra sem lesz szükségünk.
NAT Network létrehozása a Virtualboxban¶
Virtuális router létrehozása¶
A routert egy virtuális gépben futtatjuk. Az operációs rendszere a https://mikrotik.com/download oldalról, a Cloud hosted router blokkból tölthető le. A kurzuson VDI image-et használunk, a 7-es verzióból (ez jelen sorok írásakor a 7.1.2 Stable). A letöltött image-be kerül a router konfigja is, így új router létrehozása esetén mindig új image-ből érdemes kiindulni.
A virtuális gép neve legyen Router1 , a típusa Egyéb, a verzió Egyéb/ ismeretlen 64 bites OS legyen. 64 Mbyte memória elég a futásához, a merevlemez megadásakor pedig ki kell választani a korábban letöltött és egy alkalmas könyvtárban elhelyezett fájlt (pl. chr-7.1.2.vdi).
A virtuális router konfigurálásakor fontos a hálózati beállítások helyes megadása. Hálózati beállításokban jelenleg csak kettőt engedélyezzünk. Az első kártya, az ether1 lesz a WAN interfész, ezért ezt Bridge-elt kártyaként állítjuk be, és a gép vezetékes vagy WiFi hálózati interfészét adjuk meg a Csatlakoztatva ide mezőben attól függően, hogy melyiket használjuk. A 2-es kártya a NAT hálózathoz legyen csatlakoztatva, a Név mezőben az Internal (ez volt a Virtualboxban létrehozott belső hálózatunk neve) legyen kiválasztva.
Interfészek beállítása a virtualboxban¶
Ezek után elindíthatjuk a routert. A virtuális gép konzolján a boot folyamat végén a Mikrotik Login jelenik meg. Ahhoz, hogy a router webes felületén tudjunk dolgozni, meg kell állapítanunk a DHCP-n kapott IP címét, de előbb biztonsági okból jelszót kell cserélnünk. Az alapértelmezett login név admin, és nem kell megadni jelszót. Ezt követően a router mindenképp egy jelszó beállítását kéri, ezt nem tudjuk megúszni.
A router IP címének megállapításához (az első ábrán ez a DHCP2) a parancssorba az /ip address print parancsot kell begépelni. Sajnos ezt a régi jó angol billentyűzeten, a / jelet a jobb oldali shift melletti gombon keresd.
A megjelenő IP címet a böngészőbe írva megjelenik a router login képernyője. Ide adminként, a konzolon megadott új jelszóval kell bejelentkezni.
A routerben lekérdezzük az IP címét¶
Ha már itt vagyunk, néhány egyéb hasznos parancs:
/system shutdown: a router leállítása
/system reboot: a router újraindítása
Jelentkezzünk be a router webes felületén! Ehhez a böngészőben a parancssorban kiolvasott IP címet kell megadni, ez a példánkban a 192.168.24.88. A bejelentkezéshez az admin login nevet és a korábban megadott jelszót kell használni.
Bejelentkezés a routerbe¶
Megjegyzés
A Mikrotik routereinek IP címe a gyári beállításban 192.168.88.1.
A bejelentkezést követően a router alap beállításait végezzük el. Az Internet blokkban az internet-szolgáltatás függvényében kell beállítani a statikus, DHCP-n kapott, vagy az ADSL szolgáltatásban jellemző PPPoE kapcsolatot. Az órákon DHCP szervertől kapjuk a hálózati paramétereket, ezért az Automatikus a megfelelő érték. A Local Network blokkban megadjuk a belső hálózat IP címét, ami a tartomány első címe lesz: 192.168.100.1, az alhálózati maszk pedig a C osztályban használt 255.255.255.0. A Bridge all LAN ports most nem szükséges nekünk, ez egyébként egy switch-é kapcsolná össze azokat a portokat, amelyek a belső hálózatba néznek, ez később jól jön, de most nem használniuk. A DHCP szerver kipipálásával, és a címtartomány megadásával egyből be is lesz is egy ilyen szerverünk azoknak a (jövőbeni) gépeknek, amelyeket a belső hálózatban helyezünk majd el (a bevezető ábrán host1 és host2). A NAT bekapcsolásával a belső hálózat gépei számára internet elérést biztosítunk.
A routerOS gyorsbeállítása¶
Tegyük biztonságosabbá!¶
A router webes felülete három fő lapból áll. A legfontosabb gyorsbeállítások a Quick Set , a teljes konfigurációs felület a Webfig , a parancssor pedig a Terminal lapon található. Főleg a Webfig lapon dolgozunk, de egyes beállítások parancssori megfelelőjét is érdemes megérteni, mert egy alkalmas scripttel a router teljes beállítása elvégezhető, amely különösen fontos lehet, ha komolyan vesszük a konfigurációkezelést.
A router számos szolgáltatást nyújt, pl. elérhető ftp-n, és saját API-ja (Application Programming Interface) is van. A nem használt szolgáltatásokat a meglepetések elkerülése érdekében ajánlott lekapcsolni, és a portokkal is érdemes bűvészkedni egy kicsit. A szolgáltatások listája a Webfig lapon, az IP/Services menüben érhető el. Azt, hogy mit érdemes letiltani, az igénybe vett szolgáltatások határozzák meg, kezdetnek az az alábbi állapot beállítását javaslom:
Biztonsági beállítások¶
Az API és az API-SSL, valamint az FTP jelenleg felesleges számunkra, ezt a bal oldalon levő D gomb megnyomásával kapcsolhatjuk ki. Az SSH eredetileg 22-es portját érdemes valami másra cserélni, hogy a szkennerek dolgát egy kicsit megnehezítsük. Ez a példánkban a 65061. Telnet egészen biztosan nem kell. A webes felület portját is elállítjuk pl. 65080-ra.
Figyelem!
Fontos! a beállítások érvényre juttatása után a webes felület eléréséhez már a http://192.168.24.88:65080 formát kell használni.
A WinBox egy nagyon hasznos szolgáltatás, amely akkor lehet segítségünkre, ha a routerben olyan konfigurációs hibát vétünk, amely miatt már nem tudunk abba újra bejelentkezni. A WinBox ethernet cím alapján is képes azonosítani a routert, és lehetővé teheti, hogy javítsuk a hibát. Mivel a router ezen a módon támadható is, ezért a WinBox működését mindig a helyi hálózatra korlátozom, ez látható az Available From mezőben.
Feladatok¶
Telepíts egy virtuális gépet a belső hálózatba! Ne felejtsd el a hálózati kártyáját a Nat Networkbe állítani, ezzel éred el, hogy az a router mögött levő hálózatban legyen.
Jelentkezz be ebbe a gépbe, és pingeld meg a 8.8.8.8-as címet! Ha sikerül, akkor helyesen állítottad be a routert.
Töltsd le az előkészített Linux operációs rendszert, készíts belőle egy virtuális gépet, amely szintén a routered mögött legyen. Jelentkezz be, és pingelj erről is! (A gépet nem telepítened, kell, hanem csak visszatöltened a Virtualboxba.)
Állítsd le a routert a megfelelő konzol paranccsal!
Videók¶
|
|
|
|
|
|
|