RouterOS: optimizacija Mikrotik za Mac in iOS

iPhone 5, iPhone 6 in novi iPadi imajo že vgrajeno 5 GHz brezžično anteno, večina Apple Mac računalnikov deluje na 5 GHz že nekaj časa.

Kaj je treba nastaviti na Mikrotiku, da bo brezžična Wi-Fi povezava delovala pri maksimalni hitrosti?

Priporočeno je nastaviti naslednje:
– Long preamble.
– WPA2 z AES in brez TKIP.
– Mac in iOS naprave podpirajo HT20 na 2,4 GHz, toda podpirajo HT20 in HT40 na 5 GHz.

/interface wireless security-profiles
add group-ciphers="" supplicant-identity=MikroTik unicast-ciphers="" \
add authentication-types=wpa2-psk eap-methods=passthrough \
management-protection=allowed mode=dynamic-keys name=WPA2_profile \
supplicant-identity="" wpa2-pre-shared-key=mustbe8char
/interface wireless
set 0 band=2ghz-b/g/n bridge-mode=disabled disabled=no frequency=2437 \
ht-rxchains=0,1 ht-txchains=0,1 l2mtu=2290 mode=ap-bridge multicast-helper=\
disabled name=2.4 preamble-mode=long rate-selection=legacy \
security-profile=WPA2_profile ssid=TwoGhz wireless-protocol=802.11 \
wmm-support=enabled
set 1 band=5ghz-a/n bridge-mode=disabled channel-width=20/40mhz-ht-below \
disabled=no frequency=5200 ht-rxchains=0,1 ht-txchains=0,1 l2mtu=2290 mode=\
ap-bridge multicast-helper=disabled name=5.8 preamble-mode=long \
rate-selection=legacy security-profile=WPA2_profile ssid=FiveGhz \
wireless-protocol=802.11 wmm-support=enabled

RouterOS – dodajanje dodatnega virtualnega Wi-Fi omrežja

Kdaj pa kdaj pride situacija, ko bi želeli na Mikrotik dodati dodatni SSID za Wi-Fi omrežje. Na Mikrotik usmerjevalniku to naredite na spodaj opisani način.

1. Mikrotik-VirtualAPV desnem meniju kliknete na Wireless, ko se vam odpre novo okno, kliknite na ikono plus in nato izberite VirtualAP.

 

2ndSSID2. Pod zavihkom Wireless vpišite ime novega SSID brezžičnega omrežja. Tu lahko sedaj dodate tudi Security profil, če ste si ga predhodno pripravili.

 

3. Naslednji korak je, da v desnem meniju izberete opcijo Bridge. V oknu, ki se pojavi, nato izberete zavihek Ports in kliknete na plus za dodajanje.

 

 

4. V novem oknu pod zavihkom General izberete BridgePortInterface, ki ste ga prej dodali kot novi virtualni Wi-Fi.

RouterOS – preprečevanje “brute-force” napada na SSH in FTP

Da preprečimo “brute-force” napad na SSH oziroma FTP na Mikrotik usmerjevalniku, je treba v konfiguracijo RouterOS vnesti naslednje vrstice, zaradi katerih bo dovoljenih le 10 nepravilnih vnosov gesel na minuto. Vnesemo jih v polje /ip firewall filter.

add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop \
comment=”drop ftp brute forcers”

add chain=output action=accept protocol=tcp content=”530 Login incorrect” dst-limit=1/1m,9,dst-address/1m

add chain=output action=add-dst-to-address-list protocol=tcp content=”530 Login incorrect” \
address-list=ftp_blacklist address-list-timeout=3h

Naslednje vrstice pa bodo blokirale SSH “broute-force” za 10 dni.

add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop \
comment=”drop ssh brute forcers” disabled=no

add chain=input protocol=tcp dst-port=22 connection-state=new \
src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist \
address-list-timeout=10d comment=”” disabled=no

add chain=input protocol=tcp dst-port=22 connection-state=new \
src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 \
address-list-timeout=1m comment=”” disabled=no

add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 \
action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment=”” disabled=no

add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list \
address-list=ssh_stage1 address-list-timeout=1m comment=”” disabled=no

add chain=forward protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop \
comment=”drop ssh brute downstream” disabled=no

Če bi si radi ogledali seznam blokiranih IPjev, si to lahko ogledate tako, da v terminal vpišete naslednji ukaz:
/ip firewall address-list” in nato “print

RouterOS – blokiranje napada na SSH

Če se hočete zaščititi pred “brute force” napadi na ssh, v Mikrotik vpišite naslednje vrstice v polje /ip firewall filter

add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop \
comment="drop ssh brute forcers" disabled=no

add chain=input protocol=tcp dst-port=22 connection-state=new \
src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist \
address-list-timeout=10d comment="" disabled=no

add chain=input protocol=tcp dst-port=22 connection-state=new \
src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 \
address-list-timeout=1m comment="" disabled=no

add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 \
action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment="" disabled=no

add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list \
address-list=ssh_stage1 address-list-timeout=1m comment="" disabled=no

Če bi hoteli blokirati še downstream, potem dodajte še naslednji ukaz:

add chain=forward protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop \
comment="drop ssh brute downstream" disabled=no

Ogled vseh blokiranih IP naslovov si lahko ogledate tako, da vtipkate”/ip firewall address-list” in nato “print“.

RouterOS – logging

Mikrotik logingImate Mikrotik, pa bi si želeli, da bi lahko pogledali dnevnik (log) ob morebitni težavi oziroma problemu? Osnovna nastavitev logiranja v Mikrotiku ni najbolj uporabna, zato svetujem, da si na novo nastavite nastavitve za shranjevanje dnevnikov. Na RouterOS je pravzaprav zelo težko odstraniti vnose v dnevnik, ne da bi izbrisali celoten dnevnik.

V osnovi ima RouterOS naslednjo konfiguracijo logiranja:

/system logging print
Flags: X - disabled, I - invalid 
#   TOPICS                                   ACTION PREFIX    
0   info				      memory           
1   error                     	              memory           
2   warning				      memory           
3   critical				      echo

Kar je načeloma slabo, saj se vsi logi zapisujejo v spomin in samo restart Mikrotika je dovolj, da se vsi logi izbrišejo.

Izključimo vse  obstoječe loge.

/system logging print
/system logging disable 0
/system logging disable 1
/system logging disable 2
/system logging disable 3

Dodamo logiranje, vendar tokrat tako, da se logi shranjujejo na disk.

/system logging add topics=critical action=disk
/system logging add topics=critical action=echo
/system logging add topics=error action=disk
/system logging add topics=warning action=disk
/system logging add topics=info action=memory

Ker imamo problem, da Mikrotik shanuje v svoje logle le 100 vrstic, kar je malo, mi pa bi želeli, da shranuje 200 ali celo 1000 vrstic, dodamo sledeče vrstice.

/system logging action print
/system logging action set 0 disk-lines=200
/system logging action set 1 disk-lines=200

Sedaj je nastavitev urejena tako, da se pomembni podatki shranjujejo na disk, ostalo pa v pomnilnik.

RouterOS: postavitev PPTP VPN strežnika na Mikrotik

Konfiguracija, ki jo imamo, je naslednja: imamo lokalno omrežje 10.10.10.0/24, gateway je na 10.10.10.1. Uporabnikom, ki se bodo logirali preko PPTP VPN klienta, pa bomo dodelili omrežje 192.168.10.0/24-

  • pptp-mikrotikNaprej skonfigurirajmo Pool za VPN omrežje. To naredimo tako, da na meniju desno izberemo IP –> Pool. Kliknemo na ikono plus za dodajanje in odpre se nam novo okno “New IP Pool“, kjer v polje poleg Addresess, vnesemo želeno omrežje za VPN. V našem primeru je to 192.168.10.0/24.
  • Nato v desnem meniju izberemo PPP in ko se nam odpre novo okno, kliknemo na gumb PPTP Server, nakar se nam ponovno odpre novo okno, kjer odkljukamo Enabled in zapremo okno.
  • Nato kliknemo na zavihek Profiles in nato na gumb plus za dodajanje in odpre se novo okno. Tu sedaj pod Local addresses in Remote Addresses izberemo pool, ki smo ga naredili pred kratkim.
  • V naslednjem koraku kreiramo VPN uporabnika, tako da izberemo zavihek Secrets in spet na gumb plus za dodajanje, nakar se nam odpre novo okno. V naslednja okna vpišemo ustrezne podatke: Name – uporabniško ime za VPN uporabnika, Password – geslo za VPN uporabnika, v okencu Profile izberemo profil, ki smo ga pred kratkim naredili.
  • Sedaj moramo dodati še pravila v požarni zid. V desnem meniju izberemo IP –> Firewall, ko se nam odpre novo okno in kliknemo na gumb plus za dodajanje in odpre se nam novo okno. V zavihku General nato v polju Chain izberemo input, v polju Protocol izberemo 6 (tcp), v Dst. port pa vpišemo port, ki ga uporablja  PPTP in to je 1723. Nato v zavihku Action v polje Action izberemo Accept in kliknemo na OK, da potrdimo vnos.
  • Dodamo še dodatno pravilo v požarni zid. Kliknemo na gumb plus za dodajanje in odpre se nam novo okno. V zavihku General nato v polju Chain izberemo input, v polju Protokol izberemo gre. Nato v zavihku Action v polju Action izberemo Accept in kliknemo na OK, da potrdimo vnos.
  • Če imate kdaj probleme z dostopanjem do nekaterih omrežij, je treba dodatno vključiti proxy-arp. To naredimo tako,  da v desnem meniju izberemo Interfaces. Ko se nam odpre novo okno v zavihku Interfaces, kliknemo na interno omrežje, tako da se odpre novo okno. V zavihku General v polju ARPizberemo proxy-arp.
  • Če imate še vedno težave z dostopanjem do omrežja preko VPN odjemalca, je treba pogledati še omrežje, ki ga uporabljajo VPN odjemalci in ga dodati v varno listo. To naredimo tako, da v zaviku Address list pod Firewall kliknemo na gumb plus in dodamo omrežje.