Administració senzilla usuari Guifi amb Routerboard Mikrotik: Diferència entre les revisions
De Guifi.net - Wiki Català
(→Configuració de la xarxa local) |
(→Configuració ipv6) |
||
(Hi ha 35 revisions intermèdies sense mostrar fetes per un usuari) | |||
Línia 2: | Línia 2: | ||
== Configuració de la xarxa local == | == Configuració de la xarxa local == | ||
− | La xarxa de guifi confecciona una WAN o xarxa extensa. Casa nostre és una Xarxa d'àrea local com diu el seu son ( LAN) . En la nostre RB, que fa de router, gestiona l'interacció entre la WAN (guifi ) i LAN domèstica. Però això és interessant i important tenir-la configurada. Així dons el model a seguir per un encaminador (mikorik-routerboard) intern a casa nostre és el següent: | + | La xarxa de guifi confecciona una WAN o xarxa extensa. Casa nostre és una Xarxa d'àrea local com diu el seu son ( LAN) . En la nostre RB, que fa de router, gestiona l'interacció entre la WAN (guifi ) i LAN domèstica. Però això és interessant i important tenir-la configurada. Així dons el model a seguir per un encaminador (mikorik-routerboard) intern a casa nostre és el següent: <br/> |
''Nota : per a configuracions d'interficies es recomana conectar a traves de la mac i no la IP, i tot i aixi es provable que se'ns pari el Winbox ja que canviarem configuracions relacionades amb interfícies'' | ''Nota : per a configuracions d'interficies es recomana conectar a traves de la mac i no la IP, i tot i aixi es provable que se'ns pari el Winbox ja que canviarem configuracions relacionades amb interfícies'' | ||
* Configurarem els X (5 normalment) ports locals perquè estiguin encaminats-enbridjats entre ells | * Configurarem els X (5 normalment) ports locals perquè estiguin encaminats-enbridjats entre ells | ||
Línia 34: | Línia 34: | ||
== Configuració de la xarxa local + wifi == | == Configuració de la xarxa local + wifi == | ||
+ | Després de tenir configurada correctament la xarxa local, en l'apartat anterior, per afegir una interfície wifi sols haurem d'afegir al nostre bridge local, la interfície en qüestió. | ||
+ | Llavors configurarem els paràmetres de la red a la pestanya wireless i a l'interfície wireless en qüestió ( wlanX) | ||
− | == Configuració | + | [[File:Captura_de_pantalla_de_2015-02-21_10-33-11.png|400px]] |
+ | |||
+ | <source lang=bash> | ||
+ | |||
+ | /interface wireless | ||
+ | set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-ht-below country=spain disabled=no frequency-mode=superchannel \ | ||
+ | l2mtu=2290 mode=ap-bridge name=wifi ssid=guifi.net-AccesObert-PF wireless-protocol=802.11 | ||
+ | /interface wireless security-profiles | ||
+ | set [ find default=yes ] supplicant-identity=MikroTik | ||
+ | |||
+ | /interface bridge port | ||
+ | add bridge=Wlan/lan interface=wifi | ||
+ | |||
+ | </source> | ||
+ | |||
+ | == Configuració túnel pptp internet == | ||
+ | |||
+ | El sistema típic d'accés a internet a través d'infraestructura guifi.net i enllaços per Wifi és a través de la tunelització de l'internet. <br /> | ||
+ | Des de dins la xarxa 10.x/8 anem a buscar una porta d'accés a l'internet exterior. | ||
+ | |||
+ | La configuració més fàcil, però no la més segura de totes, és utilitzar el protocol pptp [http://es.wikipedia.org/wiki/PPTP] | ||
+ | |||
+ | Així quedaria des de Winbox: | ||
+ | |||
+ | [[File:Captura_de_pantalla_de_2015-02-20_19-57-40.png|400px]] | ||
+ | |||
+ | <source lang=bash> | ||
+ | /interface pptp-client | ||
+ | add add-default-route=yes allow=pap,chap,mschap1,mschap2 connect-to=10.228.19.80 default-route-distance=1 dial-on-demand=no disabled=no keepalive-timeout=60 max-mru=1450 max-mtu=1450 mrru=1600 name=GUIFIBAGES password=XXXXXXXXXXXX profile=default user=castelladral@guifibages.org | ||
+ | /ppp profile | ||
+ | set 0 address-list="" !bridge !bridge-path-cost !bridge-port-priority change-tcp-mss=yes !dns-server !idle-timeout !incoming-filter !insert-queue-before !local-address name=default only-one=default !outgoing-filter !parent-queue !queue-type \ | ||
+ | !rate-limit !remote-address remote-ipv6-prefix-pool=none !session-timeout use-compression=default use-encryption=default use-ipv6=yes use-mpls=default use-vj-compression=default !wins-server | ||
+ | set 1 address-list="" !bridge !bridge-path-cost !bridge-port-priority change-tcp-mss=yes !dns-server !idle-timeout !incoming-filter !insert-queue-before !local-address name=default-encryption only-one=default !outgoing-filter !parent-queue \ | ||
+ | !queue-type !rate-limit !remote-address remote-ipv6-prefix-pool=none !session-timeout use-compression=default use-encryption=yes use-ipv6=yes use-mpls=default use-vj-compression=default !wins-server | ||
+ | |||
+ | </source> | ||
== Configuració de serveis varis i seguretat == | == Configuració de serveis varis i seguretat == | ||
Línia 43: | Línia 80: | ||
La fundació punt cat és la gestora del domini arrel .cat té una web informativa molt bona -> [http://servidordenoms.cat/que-es/] | La fundació punt cat és la gestora del domini arrel .cat té una web informativa molt bona -> [http://servidordenoms.cat/que-es/] | ||
+ | |||
+ | La configuració en una RB seria la següent: | ||
+ | |||
+ | |||
+ | [[File:Captura_de_pantalla_de_2015-02-20_19-35-47.png|400px]] | ||
+ | ''NOTA: per configurar més d'un servidor DNS, el botó de la fletxa aball ens ho permetra. Dins de Guifibages recomenem els següents: 10.228.19.87, 10.228.17.34, 8.8.8.8'' | ||
+ | <source lang=bash> | ||
+ | /ip dns | ||
+ | set allow-remote-requests=yes servers=109.69.8.51 | ||
+ | |||
+ | </source > | ||
=== Servidor de temps NTP === | === Servidor de temps NTP === | ||
El Network Time Protocol (NTP) és un protocol de sincronització de rellotges sobre una xarxa de dades de latència variable i mitjançant transmissió de paquets.[http://ca.wikipedia.org/wiki/Network_Time_Protocol] <br /> | El Network Time Protocol (NTP) és un protocol de sincronització de rellotges sobre una xarxa de dades de latència variable i mitjançant transmissió de paquets.[http://ca.wikipedia.org/wiki/Network_Time_Protocol] <br /> | ||
És interessant tenir-ne dins de guifi, ja que permet que tot el hardware existent a la xarxa, que no disposi de pila de memòria de placa base o pateixi algun tipus de tall de corrent, pugui manteir sempre la hora sincronitzada mundialment. | És interessant tenir-ne dins de guifi, ja que permet que tot el hardware existent a la xarxa, que no disposi de pila de memòria de placa base o pateixi algun tipus de tall de corrent, pugui manteir sempre la hora sincronitzada mundialment. | ||
− | D'altre banda, per tema de registres ( logs) és molt important tenir la hora real | + | D'altre banda, per tema de registres ( logs) és molt important tenir la hora real, com la configuració local de variació del temps UTC territorial |
− | === | + | [[File:Captura_de_pantalla_de_2015-02-20_19-41-07.png|400px]] |
+ | ''NOTA: a guifibages recomenem tenir els següents : 10.228.19.87 , 176.31.53.99'' | ||
+ | <source lang=bash> | ||
+ | /system clock | ||
+ | set time-zone-name=Europe/Andorra | ||
+ | /system ntp client | ||
+ | set enabled=yes primary-ntp=10.228.17.4 | ||
+ | </source> | ||
+ | |||
+ | |||
+ | [http://www.pool.ntp.org/en/ LLista servidors NTP públics] | ||
=== Servidor de logs locals === | === Servidor de logs locals === | ||
+ | Un servidor és l'encarregat de guardar tots els esdeveniments que passen en un hardware en un temps determinat | ||
+ | |||
+ | Per a la nostre RB és molt important tenir un bon control, és l'única forma de veure quins problemes estem tenint, qui ha fet canvis, què està fallant, perquè s'ha reiniciat la routerboard, [...]? | ||
+ | La configuració per defecte dels logs de les notres RB, fa que al reiniciar-les es perdi ja que s'escriuen per definició a la memòria bolàtil. Per això recomanem canviar la configuració i fer que els escrigui a la memoria flash, de la següent manera | ||
+ | |||
+ | [[File:Captura_de_pantalla_de_2015-02-20_19-49-45.png | 400px]] | ||
+ | |||
+ | <source lang=bash> | ||
+ | /system logging action | ||
+ | set 0 disk-file-count=1 disk-file-name=log disk-lines-per-file=1000 disk-stop-on-full=no name=memory target=disk | ||
+ | set 1 disk-file-count=2 disk-file-name=log disk-lines-per-file=1000 disk-stop-on-full=no name=disk target=disk | ||
+ | set 2 name=echo remember=yes target=echo | ||
+ | /system logging | ||
+ | set 0 action=memory disabled=no prefix="" topics=info | ||
+ | set 1 action=memory disabled=no prefix="" topics=error | ||
+ | set 2 action=memory disabled=no prefix="" topics=warning | ||
+ | set 3 action=echo disabled=no prefix="" topics=critical | ||
+ | |||
+ | </source> | ||
+ | |||
+ | |||
+ | [http://es.wikipedia.org/wiki/Log_%28registro%29 Per a més informació sobre què és un servidor de logs] | ||
+ | |||
+ | |||
+ | |||
+ | === Servidor de logs remots === | ||
+ | Un servidor de logs remots l'únic que fa a diferència del servidor de logs convencional, és enviar logs a un servidor que els recull i els guarda. Molt útil com a eina de concentració i gestió centralitzada. Guardar els logs a un lloc és igual d'imprescindible que guardar-los en local. <br /> | ||
+ | La única diferència de configuració és afegir aquestes línies des de consola | ||
+ | |||
+ | <source lang=bash> | ||
+ | /system logging action | ||
+ | set 0 disk-file-count=1 disk-lines-per-file=5000 target=disk | ||
+ | |||
+ | |||
+ | /system logging | ||
+ | add action=remote topics=critical | ||
+ | add action=remote topics=error | ||
+ | add action=remote topics=info | ||
+ | add action=remote topics=warning | ||
+ | add action=remote topics=backup | ||
+ | add disabled=yes topics=debug | ||
+ | </source> | ||
=== Firewall Bàsic === | === Firewall Bàsic === | ||
+ | Hi ha una serie de regles bàsiques de firewall que ajuden a que la CPU de la RB treballi millor, i són les següents: | ||
+ | [[File:Captura_de_pantalla_de_2015-02-21_11-08-21.png|400px]] | ||
+ | |||
+ | <source lang=bash> | ||
+ | /ip firewall filter | ||
+ | add chain=forward connection-state=new | ||
+ | add chain=forward connection-state=related | ||
+ | add chain=forward connection-state=established | ||
+ | |||
+ | </source> | ||
== Configuració ipv6 == | == Configuració ipv6 == | ||
− | == Configuració antena per vlans == | + | == Configuració antena per vlans == |
Revisió de 11:25, 21 feb 2015
Aquest manual està enfocat bàsicament per a usuaris/instal·ladors de nivell bàsic.
Contingut
Configuració de la xarxa local
La xarxa de guifi confecciona una WAN o xarxa extensa. Casa nostre és una Xarxa d'àrea local com diu el seu son ( LAN) . En la nostre RB, que fa de router, gestiona l'interacció entre la WAN (guifi ) i LAN domèstica. Però això és interessant i important tenir-la configurada. Així dons el model a seguir per un encaminador (mikorik-routerboard) intern a casa nostre és el següent:
Nota : per a configuracions d'interficies es recomana conectar a traves de la mac i no la IP, i tot i aixi es provable que se'ns pari el Winbox ja que canviarem configuracions relacionades amb interfícies
- Configurarem els X (5 normalment) ports locals perquè estiguin encaminats-enbridjats entre ells
- Normalment tots els ports menys el primer tenen un controlador d'encaminament, per això haurem de recorre en considerar tot el block de switx com a un port, i enbridjar-lo amb el primer a través d'un bridge
- Configurarem la ip principal de la nostre LAN a l'interficie del bridge
- Configurarem un servei de adreçament automàtic ( DHCP a l'interficie del bridge amb la reserva corresponent d' IP
Aquesta seria la configuració des de consola ( més rapida, copiar engantxar ) :
/interface bridge add mtu=1500 name=lan protocol-mode=none /interface ethernet set [ find default-name=ether2 ] name=ether2 set [ find default-name=ether3 ] master-port=ether2 name=ether3 set [ find default-name=ether4 ] master-port=ether2 name=ether4 set [ find default-name=ether5 ] master-port=ether2 name=ether5 /interface bridge port add bridge=lan interface=ether1 add bridge=lan interface=ether2 # /ip dhcp-server add address-pool=default-dhcp disabled=no interface=lan lease-time=3d name=default /ip dhcp-server network add address=192.168.1.0/24 comment="default configuration" dns-server=8.8.8.8,192.168.1.1 gateway=192.168.1.1 /ip pool add name=default-dhcp ranges=192.168.1.50-192.168.1.200
Configuració de la xarxa local + wifi
Després de tenir configurada correctament la xarxa local, en l'apartat anterior, per afegir una interfície wifi sols haurem d'afegir al nostre bridge local, la interfície en qüestió. Llavors configurarem els paràmetres de la red a la pestanya wireless i a l'interfície wireless en qüestió ( wlanX)
/interface wireless set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-ht-below country=spain disabled=no frequency-mode=superchannel \ l2mtu=2290 mode=ap-bridge name=wifi ssid=guifi.net-AccesObert-PF wireless-protocol=802.11 /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /interface bridge port add bridge=Wlan/lan interface=wifi
Configuració túnel pptp internet
El sistema típic d'accés a internet a través d'infraestructura guifi.net i enllaços per Wifi és a través de la tunelització de l'internet.
Des de dins la xarxa 10.x/8 anem a buscar una porta d'accés a l'internet exterior.
La configuració més fàcil, però no la més segura de totes, és utilitzar el protocol pptp [1]
Així quedaria des de Winbox:
/interface pptp-client add add-default-route=yes allow=pap,chap,mschap1,mschap2 connect-to=10.228.19.80 default-route-distance=1 dial-on-demand=no disabled=no keepalive-timeout=60 max-mru=1450 max-mtu=1450 mrru=1600 name=GUIFIBAGES password=XXXXXXXXXXXX profile=default user=castelladral@guifibages.org /ppp profile set 0 address-list="" !bridge !bridge-path-cost !bridge-port-priority change-tcp-mss=yes !dns-server !idle-timeout !incoming-filter !insert-queue-before !local-address name=default only-one=default !outgoing-filter !parent-queue !queue-type \ !rate-limit !remote-address remote-ipv6-prefix-pool=none !session-timeout use-compression=default use-encryption=default use-ipv6=yes use-mpls=default use-vj-compression=default !wins-server set 1 address-list="" !bridge !bridge-path-cost !bridge-port-priority change-tcp-mss=yes !dns-server !idle-timeout !incoming-filter !insert-queue-before !local-address name=default-encryption only-one=default !outgoing-filter !parent-queue \ !queue-type !rate-limit !remote-address remote-ipv6-prefix-pool=none !session-timeout use-compression=default use-encryption=yes use-ipv6=yes use-mpls=default use-vj-compression=default !wins-server
Configuració de serveis varis i seguretat
Servidor de noms DNS
A Internet es navega de porta a porta a través de direccions IP. Un servidor de noms, és un servidor on l'ordiandor li fa una consulta sobre quina IP té X domini, per exemple guifi.net respon a 109.69.8.5
La fundació punt cat és la gestora del domini arrel .cat té una web informativa molt bona -> [2]
La configuració en una RB seria la següent:
NOTA: per configurar més d'un servidor DNS, el botó de la fletxa aball ens ho permetra. Dins de Guifibages recomenem els següents: 10.228.19.87, 10.228.17.34, 8.8.8.8
/ip dns set allow-remote-requests=yes servers=109.69.8.51
Servidor de temps NTP
El Network Time Protocol (NTP) és un protocol de sincronització de rellotges sobre una xarxa de dades de latència variable i mitjançant transmissió de paquets.[3]
És interessant tenir-ne dins de guifi, ja que permet que tot el hardware existent a la xarxa, que no disposi de pila de memòria de placa base o pateixi algun tipus de tall de corrent, pugui manteir sempre la hora sincronitzada mundialment.
D'altre banda, per tema de registres ( logs) és molt important tenir la hora real, com la configuració local de variació del temps UTC territorial
NOTA: a guifibages recomenem tenir els següents : 10.228.19.87 , 176.31.53.99
/system clock set time-zone-name=Europe/Andorra /system ntp client set enabled=yes primary-ntp=10.228.17.4
Servidor de logs locals
Un servidor és l'encarregat de guardar tots els esdeveniments que passen en un hardware en un temps determinat
Per a la nostre RB és molt important tenir un bon control, és l'única forma de veure quins problemes estem tenint, qui ha fet canvis, què està fallant, perquè s'ha reiniciat la routerboard, [...]? La configuració per defecte dels logs de les notres RB, fa que al reiniciar-les es perdi ja que s'escriuen per definició a la memòria bolàtil. Per això recomanem canviar la configuració i fer que els escrigui a la memoria flash, de la següent manera
/system logging action set 0 disk-file-count=1 disk-file-name=log disk-lines-per-file=1000 disk-stop-on-full=no name=memory target=disk set 1 disk-file-count=2 disk-file-name=log disk-lines-per-file=1000 disk-stop-on-full=no name=disk target=disk set 2 name=echo remember=yes target=echo /system logging set 0 action=memory disabled=no prefix="" topics=info set 1 action=memory disabled=no prefix="" topics=error set 2 action=memory disabled=no prefix="" topics=warning set 3 action=echo disabled=no prefix="" topics=critical
Per a més informació sobre què és un servidor de logs
Servidor de logs remots
Un servidor de logs remots l'únic que fa a diferència del servidor de logs convencional, és enviar logs a un servidor que els recull i els guarda. Molt útil com a eina de concentració i gestió centralitzada. Guardar els logs a un lloc és igual d'imprescindible que guardar-los en local.
La única diferència de configuració és afegir aquestes línies des de consola
/system logging action set 0 disk-file-count=1 disk-lines-per-file=5000 target=disk /system logging add action=remote topics=critical add action=remote topics=error add action=remote topics=info add action=remote topics=warning add action=remote topics=backup add disabled=yes topics=debug
Firewall Bàsic
Hi ha una serie de regles bàsiques de firewall que ajuden a que la CPU de la RB treballi millor, i són les següents:
/ip firewall filter add chain=forward connection-state=new add chain=forward connection-state=related add chain=forward connection-state=established