Administració senzilla usuari Guifi amb Routerboard Mikrotik: Diferència entre les revisions

De Guifi.net - Wiki Català

(Configuració túnel pptp internet)
Línia 91: Línia 91:
  
 
[http://www.pool.ntp.org/en/ LLista servidors NTP públics]
 
[http://www.pool.ntp.org/en/ LLista servidors NTP públics]
 
=== Servidor de logs remots ===
 
  
 
=== Servidor de logs locals ===
 
=== Servidor de logs locals ===
Línia 118: Línia 116:
 
[http://es.wikipedia.org/wiki/Log_%28registro%29 Per a més informació sobre què és un servidor de logs]
 
[http://es.wikipedia.org/wiki/Log_%28registro%29 Per a més informació sobre què és un servidor de logs]
  
 +
 +
 +
=== Servidor de logs remots ===
 +
Un servidor de logs remots l'únic que fa a diferència del servidor de logs convencional, és enviar logs a un servidor que els recull i els guarda. Molt útil com a eina de concentració i gestió centralitzada. Guardar els logs a un lloc és igual d'imprescindible que guardar-los en local. <br />
 +
La única diferència de configuració és afegir aquestes línies des de consola
 +
 +
<source lang=bash>
 +
/system logging action
 +
set 0 disk-file-count=1 disk-lines-per-file=5000 target=disk
 +
set 3 bsd-syslog=yes remote=10.228.17.33 src-address=0.0.0.0
 +
 +
/system logging
 +
add action=remote topics=critical
 +
add action=remote topics=error
 +
add action=remote topics=info
 +
add action=remote topics=warning
 +
add action=remote topics=backup
 +
add disabled=yes topics=debug
 +
</source
 
=== Firewall Bàsic ===
 
=== Firewall Bàsic ===
  

Revisió de 00:55, 21 feb 2015

Aquest manual està enfocat bàsicament per a usuaris/instal·ladors de nivell bàsic.

Configuració de la xarxa local

La xarxa de guifi confecciona una WAN o xarxa extensa. Casa nostre és una Xarxa d'àrea local com diu el seu son ( LAN) . En la nostre RB, que fa de router, gestiona l'interacció entre la WAN (guifi ) i LAN domèstica. Però això és interessant i important tenir-la configurada. Així dons el model a seguir per un encaminador (mikorik-routerboard) intern a casa nostre és el següent:
Nota : per a configuracions d'interficies es recomana conectar a traves de la mac i no la IP, i tot i aixi es provable que se'ns pari el Winbox ja que canviarem configuracions relacionades amb interfícies

  • Configurarem els X (5 normalment) ports locals perquè estiguin encaminats-enbridjats entre ells
  • Normalment tots els ports menys el primer tenen un controlador d'encaminament, per això haurem de recorre en considerar tot el block de switx com a un port, i enbridjar-lo amb el primer a través d'un bridge
  • Configurarem la ip principal de la nostre LAN a l'interficie del bridge
  • Configurarem un servei de adreçament automàtic ( DHCP a l'interficie del bridge amb la reserva corresponent d' IP

Així quedaria la configuració Captura de pantalla de 2015-02-20 19-25-24.png

Aquesta seria la configuració des de consola ( més rapida, copiar engantxar ) :

/interface bridge
add mtu=1500 name=lan protocol-mode=none
/interface ethernet
set [ find default-name=ether2 ] name=ether2
set [ find default-name=ether3 ] master-port=ether2 name=ether3
set [ find default-name=ether4 ] master-port=ether2 name=ether4
set [ find default-name=ether5 ] master-port=ether2 name=ether5
/interface bridge port
add bridge=lan interface=ether1
add bridge=lan interface=ether2
#
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=lan lease-time=3d name=default
/ip dhcp-server network
add address=192.168.1.0/24 comment="default configuration" dns-server=8.8.8.8,192.168.1.1 gateway=192.168.1.1
/ip pool
add name=default-dhcp ranges=192.168.1.50-192.168.1.200

Configuració de la xarxa local + wifi

Configuració túnel pptp internet

El sistema típic d'accés a internet a través d'infraestructura guifi.net i enllaços per Wifi és a través de la tunelització de l'internet.
Des de dins la xarxa 10.x/8 anem a buscar una porta d'accés a l'internet exterior.

La configuració més fàcil, però no la més segura de totes, és utilitzar el protocol pptp [1]

Així quedaria des de Winbox:

Captura de pantalla de 2015-02-20 19-57-40.png

/interface pptp-client
add add-default-route=yes allow=pap,chap,mschap1,mschap2 connect-to=10.228.19.80 default-route-distance=1 dial-on-demand=no disabled=no keepalive-timeout=60 max-mru=1450 max-mtu=1450 mrru=1600 name=GUIFIBAGES password=XXXXXXXXXXXX profile=default user=castelladral@guifibages.org
/ppp profile
set 0 address-list="" !bridge !bridge-path-cost !bridge-port-priority change-tcp-mss=yes !dns-server !idle-timeout !incoming-filter !insert-queue-before !local-address name=default only-one=default !outgoing-filter !parent-queue !queue-type \
    !rate-limit !remote-address remote-ipv6-prefix-pool=none !session-timeout use-compression=default use-encryption=default use-ipv6=yes use-mpls=default use-vj-compression=default !wins-server
set 1 address-list="" !bridge !bridge-path-cost !bridge-port-priority change-tcp-mss=yes !dns-server !idle-timeout !incoming-filter !insert-queue-before !local-address name=default-encryption only-one=default !outgoing-filter !parent-queue \
    !queue-type !rate-limit !remote-address remote-ipv6-prefix-pool=none !session-timeout use-compression=default use-encryption=yes use-ipv6=yes use-mpls=default use-vj-compression=default !wins-server

Configuració de serveis varis i seguretat

Servidor de noms DNS

A Internet es navega de porta a porta a través de direccions IP. Un servidor de noms, és un servidor on l'ordiandor li fa una consulta sobre quina IP té X domini, per exemple guifi.net respon a 109.69.8.5

La fundació punt cat és la gestora del domini arrel .cat té una web informativa molt bona -> [2]

La configuració en una RB seria la següent:


Captura de pantalla de 2015-02-20 19-35-47.png NOTA: per configurar més d'un servidor DNS, el botó de la fletxa aball ens ho permetra. Dins de Guifibages recomenem els següents: 10.228.19.87, 10.228.17.34, 8.8.8.8

/ip dns
set allow-remote-requests=yes servers=109.69.8.51

Servidor de temps NTP

El Network Time Protocol (NTP) és un protocol de sincronització de rellotges sobre una xarxa de dades de latència variable i mitjançant transmissió de paquets.[3]
És interessant tenir-ne dins de guifi, ja que permet que tot el hardware existent a la xarxa, que no disposi de pila de memòria de placa base o pateixi algun tipus de tall de corrent, pugui manteir sempre la hora sincronitzada mundialment. D'altre banda, per tema de registres ( logs) és molt important tenir la hora real, com la configuració local de variació del temps UTC territorial

Captura de pantalla de 2015-02-20 19-41-07.png NOTA: a guifibages recomenem tenir els següents : 10.228.19.87 , 176.31.53.99

/system clock
set time-zone-name=Europe/Andorra
/system ntp client
set enabled=yes primary-ntp=10.228.17.4


LLista servidors NTP públics

Servidor de logs locals

Un servidor és l'encarregat de guardar tots els esdeveniments que passen en un hardware en un temps determinat

Per a la nostre RB és molt important tenir un bon control, és l'única forma de veure quins problemes estem tenint, qui ha fet canvis, què està fallant, perquè s'ha reiniciat la routerboard, [...]? La configuració per defecte dels logs de les notres RB, fa que al reiniciar-les es perdi ja que s'escriuen per definició a la memòria bolàtil. Per això recomanem canviar la configuració i fer que els escrigui a la memoria flash, de la següent manera

Captura de pantalla de 2015-02-20 19-49-45.png

/system logging action
set 0 disk-file-count=1 disk-file-name=log disk-lines-per-file=1000 disk-stop-on-full=no name=memory target=disk
set 1 disk-file-count=2 disk-file-name=log disk-lines-per-file=1000 disk-stop-on-full=no name=disk target=disk
set 2 name=echo remember=yes target=echo
/system logging
set 0 action=memory disabled=no prefix="" topics=info
set 1 action=memory disabled=no prefix="" topics=error
set 2 action=memory disabled=no prefix="" topics=warning
set 3 action=echo disabled=no prefix="" topics=critical


Per a més informació sobre què és un servidor de logs


Servidor de logs remots

Un servidor de logs remots l'únic que fa a diferència del servidor de logs convencional, és enviar logs a un servidor que els recull i els guarda. Molt útil com a eina de concentració i gestió centralitzada. Guardar els logs a un lloc és igual d'imprescindible que guardar-los en local.
La única diferència de configuració és afegir aquestes línies des de consola

/system logging action
set 0 disk-file-count=1 disk-lines-per-file=5000 target=disk
set 3 bsd-syslog=yes remote=10.228.17.33 src-address=0.0.0.0
 
/system logging
add action=remote topics=critical
add action=remote topics=error
add action=remote topics=info
add action=remote topics=warning
add action=remote topics=backup
add disabled=yes topics=debug
</source
=== Firewall Bàsic ===
 
 
== Configuració ipv6 ==
 
 
== Configuració antena per vlans ==  nivell avançat
Eines de l'usuari