Administració senzilla usuari Guifi amb Routerboard Mikrotik: Diferència entre les revisions

De Guifi.net - Wiki Català

(Configuració de la xarxa local + wifi)
(Firewall Bàsic)
Línia 154: Línia 154:
  
 
=== Firewall Bàsic ===
 
=== Firewall Bàsic ===
 +
Hi ha una serie de regles bàsiques de firewall que ajuden a que la CPU de la RB treballi millor, i són les següents:
  
 +
[[File:Captura_de_pantalla_de_2015-02-21_11-08-21.png|400px]]
 +
 +
<source lang=bash>
 +
/ip firewall filter
 +
add chain=forward connection-state=new
 +
add chain=forward connection-state=related
 +
add chain=forward connection-state=established
 +
 +
</source>
  
 
== Configuració ipv6 ==
 
== Configuració ipv6 ==

Revisió de 11:10, 21 feb 2015

Aquest manual està enfocat bàsicament per a usuaris/instal·ladors de nivell bàsic.

Configuració de la xarxa local

La xarxa de guifi confecciona una WAN o xarxa extensa. Casa nostre és una Xarxa d'àrea local com diu el seu son ( LAN) . En la nostre RB, que fa de router, gestiona l'interacció entre la WAN (guifi ) i LAN domèstica. Però això és interessant i important tenir-la configurada. Així dons el model a seguir per un encaminador (mikorik-routerboard) intern a casa nostre és el següent:
Nota : per a configuracions d'interficies es recomana conectar a traves de la mac i no la IP, i tot i aixi es provable que se'ns pari el Winbox ja que canviarem configuracions relacionades amb interfícies

  • Configurarem els X (5 normalment) ports locals perquè estiguin encaminats-enbridjats entre ells
  • Normalment tots els ports menys el primer tenen un controlador d'encaminament, per això haurem de recorre en considerar tot el block de switx com a un port, i enbridjar-lo amb el primer a través d'un bridge
  • Configurarem la ip principal de la nostre LAN a l'interficie del bridge
  • Configurarem un servei de adreçament automàtic ( DHCP a l'interficie del bridge amb la reserva corresponent d' IP

Així quedaria la configuració Captura de pantalla de 2015-02-20 19-25-24.png

Aquesta seria la configuració des de consola ( més rapida, copiar engantxar ) :

/interface bridge
add mtu=1500 name=lan protocol-mode=none
/interface ethernet
set [ find default-name=ether2 ] name=ether2
set [ find default-name=ether3 ] master-port=ether2 name=ether3
set [ find default-name=ether4 ] master-port=ether2 name=ether4
set [ find default-name=ether5 ] master-port=ether2 name=ether5
/interface bridge port
add bridge=lan interface=ether1
add bridge=lan interface=ether2
#
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=lan lease-time=3d name=default
/ip dhcp-server network
add address=192.168.1.0/24 comment="default configuration" dns-server=8.8.8.8,192.168.1.1 gateway=192.168.1.1
/ip pool
add name=default-dhcp ranges=192.168.1.50-192.168.1.200

Configuració de la xarxa local + wifi

Després de tenir configurada correctament la xarxa local, en l'apartat anterior, per afegir una interfície wifi sols haurem d'afegir al nostre bridge local, la interfície en qüestió. Llavors configurarem els paràmetres de la red a la pestanya wireless i a l'interfície wireless en qüestió ( wlanX)

Captura de pantalla de 2015-02-21 10-33-11.png

/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-ht-below country=spain disabled=no frequency-mode=superchannel \
    l2mtu=2290 mode=ap-bridge name=wifi ssid=guifi.net-AccesObert-PF wireless-protocol=802.11
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
 
/interface bridge port
add bridge=Wlan/lan interface=wifi

Configuració túnel pptp internet

El sistema típic d'accés a internet a través d'infraestructura guifi.net i enllaços per Wifi és a través de la tunelització de l'internet.
Des de dins la xarxa 10.x/8 anem a buscar una porta d'accés a l'internet exterior.

La configuració més fàcil, però no la més segura de totes, és utilitzar el protocol pptp [1]

Així quedaria des de Winbox:

Captura de pantalla de 2015-02-20 19-57-40.png

/interface pptp-client
add add-default-route=yes allow=pap,chap,mschap1,mschap2 connect-to=10.228.19.80 default-route-distance=1 dial-on-demand=no disabled=no keepalive-timeout=60 max-mru=1450 max-mtu=1450 mrru=1600 name=GUIFIBAGES password=XXXXXXXXXXXX profile=default user=castelladral@guifibages.org
/ppp profile
set 0 address-list="" !bridge !bridge-path-cost !bridge-port-priority change-tcp-mss=yes !dns-server !idle-timeout !incoming-filter !insert-queue-before !local-address name=default only-one=default !outgoing-filter !parent-queue !queue-type \
    !rate-limit !remote-address remote-ipv6-prefix-pool=none !session-timeout use-compression=default use-encryption=default use-ipv6=yes use-mpls=default use-vj-compression=default !wins-server
set 1 address-list="" !bridge !bridge-path-cost !bridge-port-priority change-tcp-mss=yes !dns-server !idle-timeout !incoming-filter !insert-queue-before !local-address name=default-encryption only-one=default !outgoing-filter !parent-queue \
    !queue-type !rate-limit !remote-address remote-ipv6-prefix-pool=none !session-timeout use-compression=default use-encryption=yes use-ipv6=yes use-mpls=default use-vj-compression=default !wins-server

Configuració de serveis varis i seguretat

Servidor de noms DNS

A Internet es navega de porta a porta a través de direccions IP. Un servidor de noms, és un servidor on l'ordiandor li fa una consulta sobre quina IP té X domini, per exemple guifi.net respon a 109.69.8.5

La fundació punt cat és la gestora del domini arrel .cat té una web informativa molt bona -> [2]

La configuració en una RB seria la següent:


Captura de pantalla de 2015-02-20 19-35-47.png NOTA: per configurar més d'un servidor DNS, el botó de la fletxa aball ens ho permetra. Dins de Guifibages recomenem els següents: 10.228.19.87, 10.228.17.34, 8.8.8.8

/ip dns
set allow-remote-requests=yes servers=109.69.8.51

Servidor de temps NTP

El Network Time Protocol (NTP) és un protocol de sincronització de rellotges sobre una xarxa de dades de latència variable i mitjançant transmissió de paquets.[3]
És interessant tenir-ne dins de guifi, ja que permet que tot el hardware existent a la xarxa, que no disposi de pila de memòria de placa base o pateixi algun tipus de tall de corrent, pugui manteir sempre la hora sincronitzada mundialment. D'altre banda, per tema de registres ( logs) és molt important tenir la hora real, com la configuració local de variació del temps UTC territorial

Captura de pantalla de 2015-02-20 19-41-07.png NOTA: a guifibages recomenem tenir els següents : 10.228.19.87 , 176.31.53.99

/system clock
set time-zone-name=Europe/Andorra
/system ntp client
set enabled=yes primary-ntp=10.228.17.4


LLista servidors NTP públics

Servidor de logs locals

Un servidor és l'encarregat de guardar tots els esdeveniments que passen en un hardware en un temps determinat

Per a la nostre RB és molt important tenir un bon control, és l'única forma de veure quins problemes estem tenint, qui ha fet canvis, què està fallant, perquè s'ha reiniciat la routerboard, [...]? La configuració per defecte dels logs de les notres RB, fa que al reiniciar-les es perdi ja que s'escriuen per definició a la memòria bolàtil. Per això recomanem canviar la configuració i fer que els escrigui a la memoria flash, de la següent manera

Captura de pantalla de 2015-02-20 19-49-45.png

/system logging action
set 0 disk-file-count=1 disk-file-name=log disk-lines-per-file=1000 disk-stop-on-full=no name=memory target=disk
set 1 disk-file-count=2 disk-file-name=log disk-lines-per-file=1000 disk-stop-on-full=no name=disk target=disk
set 2 name=echo remember=yes target=echo
/system logging
set 0 action=memory disabled=no prefix="" topics=info
set 1 action=memory disabled=no prefix="" topics=error
set 2 action=memory disabled=no prefix="" topics=warning
set 3 action=echo disabled=no prefix="" topics=critical


Per a més informació sobre què és un servidor de logs


Servidor de logs remots

Un servidor de logs remots l'únic que fa a diferència del servidor de logs convencional, és enviar logs a un servidor que els recull i els guarda. Molt útil com a eina de concentració i gestió centralitzada. Guardar els logs a un lloc és igual d'imprescindible que guardar-los en local.
La única diferència de configuració és afegir aquestes línies des de consola

/system logging action
set 0 disk-file-count=1 disk-lines-per-file=5000 target=disk
 
 
/system logging
add action=remote topics=critical
add action=remote topics=error
add action=remote topics=info
add action=remote topics=warning
add action=remote topics=backup
add disabled=yes topics=debug

Firewall Bàsic

Hi ha una serie de regles bàsiques de firewall que ajuden a que la CPU de la RB treballi millor, i són les següents:

Captura de pantalla de 2015-02-21 11-08-21.png

/ip firewall filter
add chain=forward connection-state=new
add chain=forward connection-state=related
add chain=forward connection-state=established

Configuració ipv6

== Configuració antena per vlans == nivell avançat

Eines de l'usuari