четверг, 4 июня 2009 г.

MikroTik - Что это за зверь такой?


Новая версия данной статьи

RouterOS MikroTik


RouterOS MikroTik это операционная система для оборудования MikroTik RouterBOARD.


Так же она может быть установлена на обычном PC, превратив его в маршрутизатор со всеми необходимыми функциями - маршрутизация, брандмауэр, контроль пропускной способности, работа с беспроводными сетями, Hotspot шлюз, VPN-сервер и многое другое.

На момент написания статьи существовало 3-и версии RouterOS MikroTik - 2.9.Х, 3.Х, а также 4, которая находилась в стадии бэтта тестирования. Бесплатную версию Вы можете скачать с сайта www.mikrotik.com, она содержит в себе все возможные функции.


Оборудование


Прежде всего RouterOS это операционная система для RouterBOARD устройств, но Вы можете установить ее на обычный PC x86, использовав для этого как старенький системный блок с Intel Pentium 200, так новейшие материнские платы с многоядерными процессорами.




RouterOS поддерживает установку на IDE, SATA и USB устройства хранения информации, в том числе HDD, CF и SD карты и SSD диски, потребуется по крайней мере 64Mb дискового пространства. При установке система отформатирует раздел и станет системой по умолчанию!

И конечно же RouterOS поддерживает множество сетевых устройств, включая последние 10 Gigabit Ethernet карты, 802.11a/b/g/n беспроводные карты и 3G модемы.



Настройка


RouterOS поддерживает несколько методов настройки - локально, последовательная консоль, Telnet, SSH, GUI приложение Winbox (только для OS Windows), простой web интерфейс, а так же API интерфейс для создания собственных приложений.



В случае отсутствия доступа на уровне IP RouterOS поддерживает доступ на MAC уровене, через MAC Telnet или Winbox.

RouterOS имеет мощный, но в тоже время легкий в освоении коммандный интерфейс с поддержкой скриптов.

В новой версии RouterOS v4 появляется поддержка скритового языка Lua, который расширяет возможности по автоматизации и программированию Вашего маршрутизатора.

Firewall (брандмауэр)


Firewall (брандмауэр) осуществляет контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.


Network Address Translation (NAT) позволяет предотвратить или ограничить обращение снаружи ко внутренним хостам, оставляя возможность обращения изнутри наружу.

Firewall предоставляет возможность маркирования пакетов для дальнейшей маршрутизации их.

Есть возможность задать фильтрацию по IP-адресу, диапазону адресов, портам, диапазону портов, IP протоколу, DSCP и другим параметрам, а также поддерживаются статические и динамические списки адресов.

Layer7 filter позволяет фильтровать пакеты на основе данных уровня приложения. Иными словами, он позволяет распознавать пакеты HTTP, FTP, Gnucleus, Kazaa и т.д., независимо от порта.

Firewall RouterOS поддерживает IPv6.

Маршрутизация


RouterOS поддерживает статическую маршрутизацию и множество динамических протоколов маршрутизации.
  • Для IPv4 это RIP v1 and v2, OSPF v2, BGP v4.
  • Для IPv6 это RIPng, OSPFv3 and BGP.

RouterOS также поддерживает виртуальную маршрутизацию и перенаправление (VRF). Вы можете использовать фильтр Firewall-а, чтобы отметить определенные подключения маркером маршрутизации, и затем отмеченный трафик перенаправить на определенного провайдера.


RouterOS добавлена поддержка MPLS и VRF.

VRF (Virtual Routing and Forwarding) - технология позволяет сосуществовать нескольким таблицам маршрутизации в пределах одного маршрутизатора. Благодаря подобной виртуализации можно сделать так, чтобы разные клиенты пользовались одним и тем же адресным пространством или разными протоколами маршрутизации.


MPLS (Multiprotocol Label Switching) - механизм передачи данных, который эмулирует различные свойства сетей с коммутацией каналов поверх сетей с коммутацией пакетов. Он был разработан с целью обеспечения универсальной службы передачи данных как для клиентов сетей с коммутацией каналов, так и сетей с коммутацией пакетов. С помощью MPLS можно передавать трафик самой разной природы, такой как IP-пакеты, ATM, SONET и кадры Ethernet. В традиционной IP сети пакеты передаются от одного маршрутизатора другому и каждый маршрутизатор читая заголовок пакета (адрес назначения) принимает решение о том, по какому маршруту отправить пакет дальше. В протоколе MPLS никакого последующего анализа заголовков в маршрутизаторах по пути следования не производится, а переадресация управляется исключительно на основе меток. Это имеет много преимуществ перед традиционной маршрутизацией на сетевом уровне.

VPN


VPN (Virtual Private Network) логическая сеть, создаваемая поверх другой сети, например Интернет. Несмотря на то, что коммуникации осуществляются по публичным сетям с использованием небезопасных протоколов, за счёт шифрования создаются закрытые от посторонних каналы обмена информацией. VPN позволяет объединить, например, несколько офисов организации в единую сеть с использованием для связи между ними неподконтрольных каналов.


RouterOS поддерживает различные методы VPN и тунельных протоколов:
Ipsec, OpenVPN, PPTP, PPPoE, L2TP, MLPPP, BCP, IPIP, EoIP, IPv6 over IPv4, VLAN – IEEE802.1q Virtual LAN support, Q-in-Q support, MPLS based VPNs

Беспроводные технологии


RouterOS поддерживаем множество беспроводных технологий, основная из них это точка доступа + клиент.
Основные поддерживаемые технологии:
  • IEEE802.11a/b/g/n
  • Nstreme и Nstreme2
  • Client polling
  • RTS/CTS
  • Wireless Distribution System (WDS)
  • Virtual AP
  • WEP, WPA, WPA2
  • Access control list
  • Wireless client roaming
  • WMM
  • HWMP+ Wireless MESH protocol
  • MME wireless routing protocol

Hotspot


Шлюз Hotspot позволяет предоставлять доступ к сети Интернет в общественных местах используя беспроводную сеть для устройств, использующих технологию Wi-Fi.


RouterOS MikroTik позволяет создавать профили для различных пользователей, ограничивая по скорости доступа, объему трафика, времени работы.
Основные особенности:
  • Plug-n-Play доступ к сети
  • Локальная аутентификация
  • Управление пользователями
  • Поддержка RADIUS для аутентификации и управления пользователями
  • Создание конфигурации для не интерактивных устройств

Качество обслуживания


Управление пропускной способностью это ряд механизмов по контролю за распределением нагрузки, задержками, своевременностью доставки данных и надежностью.
Качество обслуживания (QoS), означает, что маршрутизатор может расставлять приоритеты сетевого трафика.


Основные возможности:
  • ограничивать скорость передачи данных для определенных IP адресов, подсети, протоколов, портов
  • ограничения одноранговой движения
  • приоритетность некоторых пакетной по сравнению с другими
  • использование очереди для ускорения веб-просмотра
  • применение ограничений на фиксированные временные интервалы
  • распределение скорости доступа в зависимости от нагрузки на канал

Web Proxy


RouterOS MikroTik позволяет организовать кэширующий прокси сервер для ускорения "браузинга" клиентов т.к. объекты, попавшие в кэш передаются по локальной сети с гораздо большей скоростью.


Основные возможности:
  • HTTP прокси сервер
  • прозрачный прокси сервер
  • списки доступа по источнику, назначению, URL, запросам (HTTP firewall)
  • задание объектов, подлежащих кэшированию и объектов - исключений
  • использование многоуровневых прокси серверов
  • логирование
  • поддержка SOCKS proxy
  • хранение кэша на внешних устройствах

Инструменты


Для помощи в администрировании в RouterOS были добавлены небольшие инструменты, такие как:
  • Ping, traceroute
  • Bandwidth test, ping flood
  • Packet sniffer, torch
  • Telnet, SSH
  • E-mail and SMS send tools
  • Automated script execution tools
  • Выборка содержимого из файлов
  • Таблица активных соединений
  • NTP Client and Server
  • TFTP server
  • Поддержка динамического DNS
  • VRRP
  • SNMP для построения графиков и сбору статистики
  • RADIUS client and server


Дальше я постараюсь описать различные варианты настройки
RouterOS MikroTik, основываясь на своем опыте.
Продолжение следует.

Новая версия данной статьи



15 комментариев:

  1. Спасибо за хорошую подборку :) А то все только CISCO да CISCO. А у нас в Латвии среди провайдеров популярен именно MicroTik.

    ОтветитьУдалить
  2. Давно искал такое описание для MicroTik. Вот еслиб в примерах настроики MicroTik побольше примеров через графический интерфейс, то Вам вообще цены бы не было! Спасибо!

    ОтветитьУдалить
  3. > Вот еслиб в примерах настроики MicroTik побольше примеров через графический интерфейс, то Вам вообще цены бы не было!

    http://slagovskiy.blogspot.com/2009/09/mikrotik-winbox-console.html

    ОтветитьУдалить
  4. приветствую, Сергей! У меня вопрос, правильно ли я понял, что скачав RouterOS MikroTik для x86 PC, я должен заплатить денег за лицензию? Или все же она freware?

    ОтветитьУдалить
  5. > я должен заплатить денег за лицензию?

    Это платный продукт и за него нужно будет заплатить исходя из выбранного вами уровня лицензии.

    ОтветитьУдалить
  6. Сергей, здравствуйте.
    Помогите разобраться, установил сервер пошагово, как указано в вашем руководстве..
    Но...
    Никак не могу запустить браузерные игры (last chaos) Java(не очень хочет работать) Steam . Это три мои камня преткновения...
    Порты указаные на серверах - вроде открыл

    ОтветитьУдалить
  7. Сергей, приветствую.
    Вопрос следующего плана: есть RouterOS L1 на ESXi. Два интерфейса - Eht1 и ppp. Gate находится на другой машине по некоторым причинам. Мне надо промаршрутизить сеть в VPN но интернет занатить и пустить через gateway.
    Необходимо маркировать трафик или можно как-то проще?
    Спасибо.
    Максим.

    ОтветитьУдалить
  8. > Вопрос следующего плана: есть RouterOS L1 на ESXi.
    > Два интерфейса - Eht1 и ppp. Gate находится на другой
    > машине по некоторым причинам. Мне надо промаршрутизить
    > сеть в VPN но интернет занатить и пустить через gateway.
    > Необходимо маркировать трафик или можно как-то проще?

    Зачем все усложнять, есть микротик, есть удаленный гейт, на который заведен канал провайдер, упрощаем, считаем, что гейт это и есть провайдер, который работает с тобой по ppp, задаем шлюз на микротике на ту сторону ppp, а в локальной сети назначаем шлюзом eth1 на микротике.
    Запросы автоматом заходят на eth1, там они уходят на шлюз по умолчанию для микротика т.е. по ppp на ваш гейт, а от туда куда положено.

    ОтветитьУдалить
  9. Нет, не совсем так.
    Есть Микротик на ESXi. LAN смотрит в сторону шлюза(gate)- провайдер 1. Есть ppp - смотрит к провайдеру 2. Мне надо дефолтный гейт(ну и трафик соотв-но) завернуть на провайдер 1 и занатить, а через ppp (провайдер 2) промаршрутизить мою сеть.
    Я виже проблему в том, что у меня на 2 провайдера фактически 1 сетевой интерфейс, на котором надо сделать роутинг и NAT. Или я дурь несу?
    Спасибо.
    Максим.

    ОтветитьУдалить
  10. > Есть Микротик на ESXi. LAN смотрит в сторону шлюза(gate)- провайдер 1.
    > Есть ppp - смотрит к провайдеру 2. Мне надо дефолтный гейт(ну и трафик соотв-но) завернуть на провайдер 1 и занатить, а через ppp (провайдер 2) промаршрутизить мою сеть.

    Если у тебя ppp то значит у тебя появляется второй виртуальный интерфейс.
    как я понял твоя сеть заходит через ppp, значит ты попадаешь на другой конец тунеля, на адрес ppp сервера, он же виртуальный интерфейс, дальше все неизвестные запросы должны уходить на шлюз по умолчанию для самого микротика. т.е. если шлюз прописан из подсети первого провайдера (там интерфейс должен автоматически определиться как eth1 а не ppp), то все должно сразу и заработать. Да и нат в такой конфигурации должен сразу заработать.

    ОтветитьУдалить
  11. Как правильно подойти к вопросу, если нужно что бы весь трафик (IP и IPX) приходящий на 1-ю сетевую карту 1-го Микротика уходил в ВПН-тунель через 2-ю сетевую карту 1-го Микротика на 1-ю сетевую карту 2-го Микротика (кто из них клиент, а кто будет сервер ВПН все равно) и этот трафик "выбрасывался" из 2-й сетевой карты 2-го Микротика.
    Или другими словами есть 2 офиса - между которыми существует оптический канал на базе АТМ-технологии (до 2 устройств (по "мак-адресам")) надо настроить так что бы 2 офиса видели друг друга без ай-пи маршрутизации (пакеты IPX сложно маршрутизировать) - как бы если они были бы на 1 свитч просто подключены?
    P.S. Один наш сотрудник настроил такую конфигурацию, похвастался и удалил все... А уже 3 года как "не наш" сотрудник... и к общению он не расположен(
    P.P.S. Настраивалось тестовое решение на Микротиках Route OS 2.х еще.

    ОтветитьУдалить
    Ответы
    1. Создать VPN туннель между этими микро, хотя в прочем это не принципиально шифровать трафик. Главное чтоб были явноуказанные IP адреса и была связь между ними.
      На обоих микро создайте интерфейс EoIP(Ethernet over IP) с указанием на адреса "напарника". В первом микро адрес второго, во втором адрес первого.
      На обоих создайте Bridge и объедените через него необходимый физический интерфейс(в вашем примере 1ый инфейс на 1ом микро с его EoIP и 2ой инфейс на 2-ом микро с его EoIP, хотя я бы делал однотипные подключения чтоб не путаться).
      И да будет вам счастье. Хотя этого теперь "не вашего" сотрудника я понимаю и солидарен с ним. За знания стоит платить.

      Удалить
  12. Как соединить две и более удаленные подсети по OpenVPN при помощи двух Микротиков?

    ОтветитьУдалить
    Ответы
    1. По EoIP можно объеденить фактически не ограниченное количество подсетей, т.к. трафик идет на уровне Ethernet. Если вас интересует это то ответ чуть выше.
      Если правильно вчитываться в ваш вопрос, то поясню, при помощи только двух микротиков, вы сможете объеденить только две физические сети.
      Для вопросов admin#svggaz.ru
      PS За ранее поясню, бесплатные советы только по настроению, а сегодня понедельник, настроение паршивое. :)

      Удалить
  13. Новая версия статьи http://lagovskiy.com/blog/view/mikrotik_routeros_overview/.
    Комментирование переносится туда же.

    ОтветитьУдалить