Administració senzilla usuari Guifi amb Routerboard Mikrotik: Diferència entre les revisions

De Guifi.net - Wiki Català

(Configuració túnel pptp internet)
(Configuració túnel pptp internet)
Línia 48: Línia 48:
 
<source lang=bash>
 
<source lang=bash>
 
/interface pptp-client
 
/interface pptp-client
add add-default-route=yes allow=pap,chap,mschap1,mschap2 connect-to=10.228.19.80 default-route-distance=1 dial-on-demand=no disabled=no keepalive-timeout=60 max-mru=1450 max-mtu=1450 mrru=1600 name=GUIFIBAGES password=castguifi profile=default user=castelladral@guifibages.org
+
add add-default-route=yes allow=pap,chap,mschap1,mschap2 connect-to=10.228.19.80 default-route-distance=1 dial-on-demand=no disabled=no keepalive-timeout=60 max-mru=1450 max-mtu=1450 mrru=1600 name=GUIFIBAGES password=XXXXXXXXXXXX profile=default user=castelladral@guifibages.org
 
/ppp profile
 
/ppp profile
 
set 0 address-list="" !bridge !bridge-path-cost !bridge-port-priority change-tcp-mss=yes !dns-server !idle-timeout !incoming-filter !insert-queue-before !local-address name=default only-one=default !outgoing-filter !parent-queue !queue-type \
 
set 0 address-list="" !bridge !bridge-path-cost !bridge-port-priority change-tcp-mss=yes !dns-server !idle-timeout !incoming-filter !insert-queue-before !local-address name=default only-one=default !outgoing-filter !parent-queue !queue-type \

Revisió de 20:00, 20 feb 2015

Aquest manual està enfocat bàsicament per a usuaris/instal·ladors de nivell bàsic.

Configuració de la xarxa local

La xarxa de guifi confecciona una WAN o xarxa extensa. Casa nostre és una Xarxa d'àrea local com diu el seu son ( LAN) . En la nostre RB, que fa de router, gestiona l'interacció entre la WAN (guifi ) i LAN domèstica. Però això és interessant i important tenir-la configurada. Així dons el model a seguir per un encaminador (mikorik-routerboard) intern a casa nostre és el següent:
Nota : per a configuracions d'interficies es recomana conectar a traves de la mac i no la IP, i tot i aixi es provable que se'ns pari el Winbox ja que canviarem configuracions relacionades amb interfícies

  • Configurarem els X (5 normalment) ports locals perquè estiguin encaminats-enbridjats entre ells
  • Normalment tots els ports menys el primer tenen un controlador d'encaminament, per això haurem de recorre en considerar tot el block de switx com a un port, i enbridjar-lo amb el primer a través d'un bridge
  • Configurarem la ip principal de la nostre LAN a l'interficie del bridge
  • Configurarem un servei de adreçament automàtic ( DHCP a l'interficie del bridge amb la reserva corresponent d' IP

Així quedaria la configuració Captura de pantalla de 2015-02-20 19-25-24.png

Aquesta seria la configuració des de consola ( més rapida, copiar engantxar ) :

/interface bridge
add mtu=1500 name=lan protocol-mode=none
/interface ethernet
set [ find default-name=ether2 ] name=ether2
set [ find default-name=ether3 ] master-port=ether2 name=ether3
set [ find default-name=ether4 ] master-port=ether2 name=ether4
set [ find default-name=ether5 ] master-port=ether2 name=ether5
/interface bridge port
add bridge=lan interface=ether1
add bridge=lan interface=ether2
#
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=lan lease-time=3d name=default
/ip dhcp-server network
add address=192.168.1.0/24 comment="default configuration" dns-server=8.8.8.8,192.168.1.1 gateway=192.168.1.1
/ip pool
add name=default-dhcp ranges=192.168.1.50-192.168.1.200

Configuració de la xarxa local + wifi

Configuració túnel pptp internet

El sistema típic d'accés a internet a través d'infraestructura guifi.net i enllaços per Wifi és a través de la tunelització de l'internet.
Des de dins la xarxa 10.x/8 anem a buscar una porta d'accés a l'internet exterior.

La configuració més fàcil, però no la més segura de totes, és utilitzar el protocol pptp [1]

Així quedaria des de Winbox:

Captura de pantalla de 2015-02-20 19-57-40.png

/interface pptp-client
add add-default-route=yes allow=pap,chap,mschap1,mschap2 connect-to=10.228.19.80 default-route-distance=1 dial-on-demand=no disabled=no keepalive-timeout=60 max-mru=1450 max-mtu=1450 mrru=1600 name=GUIFIBAGES password=XXXXXXXXXXXX profile=default user=castelladral@guifibages.org
/ppp profile
set 0 address-list="" !bridge !bridge-path-cost !bridge-port-priority change-tcp-mss=yes !dns-server !idle-timeout !incoming-filter !insert-queue-before !local-address name=default only-one=default !outgoing-filter !parent-queue !queue-type \
    !rate-limit !remote-address remote-ipv6-prefix-pool=none !session-timeout use-compression=default use-encryption=default use-ipv6=yes use-mpls=default use-vj-compression=default !wins-server
set 1 address-list="" !bridge !bridge-path-cost !bridge-port-priority change-tcp-mss=yes !dns-server !idle-timeout !incoming-filter !insert-queue-before !local-address name=default-encryption only-one=default !outgoing-filter !parent-queue \
    !queue-type !rate-limit !remote-address remote-ipv6-prefix-pool=none !session-timeout use-compression=default use-encryption=yes use-ipv6=yes use-mpls=default use-vj-compression=default !wins-server

Configuració de serveis varis i seguretat

Servidor de noms DNS

A Internet es navega de porta a porta a través de direccions IP. Un servidor de noms, és un servidor on l'ordiandor li fa una consulta sobre quina IP té X domini, per exemple guifi.net respon a 109.69.8.5

La fundació punt cat és la gestora del domini arrel .cat té una web informativa molt bona -> [2]

La configuració en una RB seria la següent:


Captura de pantalla de 2015-02-20 19-35-47.png NOTA: per configurar més d'un servidor DNS, el botó de la fletxa aball ens ho permetra. Dins de Guifibages recomenem els següents: 10.228.19.87, 10.228.17.34, 8.8.8.8

/ip dns
set allow-remote-requests=yes servers=109.69.8.51

Servidor de temps NTP

El Network Time Protocol (NTP) és un protocol de sincronització de rellotges sobre una xarxa de dades de latència variable i mitjançant transmissió de paquets.[3]
És interessant tenir-ne dins de guifi, ja que permet que tot el hardware existent a la xarxa, que no disposi de pila de memòria de placa base o pateixi algun tipus de tall de corrent, pugui manteir sempre la hora sincronitzada mundialment. D'altre banda, per tema de registres ( logs) és molt important tenir la hora real, com la configuració local de variació del temps UTC territorial

Captura de pantalla de 2015-02-20 19-41-07.png NOTA: a guifibages recomenem tenir els següents : 10.228.19.87 , 176.31.53.99

/system clock
set time-zone-name=Europe/Andorra
/system ntp client
set enabled=yes primary-ntp=10.228.17.4


LLista servidors NTP públics

Servidor de logs remots

Servidor de logs locals

Un servidor és l'encarregat de guardar tots els esdeveniments que passen en un hardware en un temps determinat

Per a la nostre RB és molt important tenir un bon control, és l'única forma de veure quins problemes estem tenint, qui ha fet canvis, què està fallant, perquè s'ha reiniciat la routerboard, [...]? La configuració per defecte dels logs de les notres RB, fa que al reiniciar-les es perdi ja que s'escriuen per definició a la memòria bolàtil. Per això recomanem canviar la configuració i fer que els escrigui a la memoria flash, de la següent manera

Captura de pantalla de 2015-02-20 19-49-45.png

/system logging action
set 0 disk-file-count=1 disk-file-name=log disk-lines-per-file=1000 disk-stop-on-full=no name=memory target=disk
set 1 disk-file-count=2 disk-file-name=log disk-lines-per-file=1000 disk-stop-on-full=no name=disk target=disk
set 2 name=echo remember=yes target=echo
/system logging
set 0 action=memory disabled=no prefix="" topics=info
set 1 action=memory disabled=no prefix="" topics=error
set 2 action=memory disabled=no prefix="" topics=warning
set 3 action=echo disabled=no prefix="" topics=critical


Per a més informació sobre què és un servidor de logs

Firewall Bàsic

Configuració ipv6

== Configuració antena per vlans == nivell avançat

Eines de l'usuari