TOP 10 nejčastějších chyb při konfiguraci RouterOS Mikrotik 1/2

30. června 2016 v 14:28 | systemfatalerror1
V tomto týdnu proběhlo další z mnoha plánovaných setkání uživatelů Mikrotiku (MUM), tentokrát na půdě amerického Dallasu. Připraveno bylo mnoho zajímavých přednášek. Ty mají zpravidla poskytovatelé internetu s mnoha letitými zkušenostmi se sítěmi a systémem RouterOS Mikrotik.


Mezi nejsledovanější patřila přednáška od Andise na námět "10 nejčastějších chyb, které se dělají při konfiguraci RouterOS Mikrotik". Jedná se o průřez nejčastěji řešených chyb, ale i dotazů či "stížností" ať už na oficiálním Mikrotik fóru a nebo přes technickou podporu Mikrotiku. Pokud se na zvolená témata podívám z pohledu technické podpory a dotazů našich zákazníků, pak přesně odpovídají častým chybám v konfiguraci a to nejen úplných začátečníků.


10. Stejná IP adresa na více rozhraních


Při konfiguraci Mikrotik nepočítá s chybou mezi židlí a klávesnicí. Až na kritické výjimky Vám dovolí nastavit téměř cokoliv vč. stejné IP adresy na více rozhraních. Taková konfigurace, ale není správná. Je-li potřeba mít více rozhraní pod stejnou IP adresou pak se musí přidat do BRIDGE rozhraní. To lze udělat buď softwarově přes menu BRIDGE -> vytvořit novou BRIDGE (tlačítko +) nebo hardwarově přes Interface -> a přidat rozhraní do Master Portu a nebo kombinací obou nastavení např. 5 eth portů je v hardware BRIDGE + Wi-Fi rozhraní je přidané do software BRIDGE.

9. Mikrotik má málo monitorovacích systémů

Jak poznám co se děje v síti nebo co mi "žere" procesor? Jak zjistit výpadek a jak zajistit, aby síť v takovém případě stále fungovala?

Mikrotik má celou řadu nástrojů, které ukazují aktuální stav RouterBoardu. Jeden z nich je v záložce "System" -> "Resources". Zde vidíte aktuální vytížení paměti a procesoru, kolik sektorů NAND paměti bylo od startu RouterBoardu přepsáno a zda nejsou některé z nich už vadné. Vidíte zde také jaký je aktuální takt procesoru a na jaké architektuře běží. Pro více jádrové systémy je neocenitelnou pomůckou možnost zobrazení vytížení jednotlivých jader. Tím lze např. snadno zjistit, zda nebude potřeba upravit konfiguraci RouterBoardu, např. rozepsat řezání rychlosti z Queues Tree do Simple Queues, které podporuje rozložení zátěže mezi více jader. Další informace o RouterBoardu najdete v záložce "System" -> "System Healt".

Další výbornou pomůcku najdete v záložce "Tools" -> "Profile". Zde vidíte vytížení procesoru rozepsané mezi jednotlivé služby. Snadno tak můžete odhalit útok (firewall nebo DNS na 100%), přetížení sítě (ethernet, Wi-Fi či Routing) a nebo jen přetížení RouterBoardu jeho managmentem (příliš mnoho otevřených oken).

Mikrotik také znovu oprášil program Dude. Jedná se o minitorovací software, který na základě SNMP protokolu zobrazuje on-line stav celé sítě. Velmi snadno a hlavně rychle tak zjistíte, co se Vám v síti děje a kde došlo k výpadku.


Mezi další nástroje patří netwatch, který sleduje dostupnost zvoleného hosta např. google (8.8.8.8). Jeho předností je však funkce, kdy na základě této události vyvolá předem nadefinovanou akci např. restartuj RouterBoard a pod. Příkazy se píší stejně jako kdyby se zadávali pře Terminál. Podobně funguje i Traffic monitor, který sleduje vytížení sítě. Pokud překročí datový tok nadefinovanou hodnotu, je možné si nechat zaslat email s upozorněním, že se v síti děje něco neobvyklého nebo naopak, pokud provoz padne na nulu, tak upozorní, že někde pravděpodobně lehl router či klient.

V neposlední řadě je zde častý dotaz, jak zvýšit spolehlivost sítě. Výborným nástrojem je protokol VRRP, který sleduje dostupnost RouterBoardu. V praxi to pak vypadá tak, že jsou dva RouterBoardy připojené do jedné sítě. Jeden RouterBoard je záložní a jeho úkolem je se dotazovat, zda žije hlavní Router (master). Pokud nedostane odpověď, prohlásí se za mastera, na interface rozsvítí IP adresu hlavního routeru a převezme celý provoz.

8. Otevřené rekurzivní DNS


Jedná se o velmi častou chybu při konfiguraci DNS. Jakmile se v Mikrotiku zaškrtne políčko "Allow Remote Requests" Mikrotik začne odpovídat na všechny DNS dotazy a to i na ty jež přicházejí z venku. Netrvá dlouho, někdy i jen pár minut, než někdo takto otevřený DNS server zneužije pro útok. Správné nastavení firewallu je přitom otázka pár minut. Stačí přidat pouze dvě pravidla, která na vstupu (řetězec INPUT) zabrání dotazu na port 53 (DNS port). První pravidlo je pro protokol TCP a druhé pro UDP. Zda máte dobře nakonfigurovaný firewall si můžete ověřit např. zde: http://openresolver.com


7. Nefunkční Firewall

Ve většině těchto případů se jedná o chybu v konfiguraci a nebo překlik, takz. rychlou pravou. Kdy jsou např. splněny podmínky na tomto obrázku?


V prvním případě je podmínka splněna pouze v případě, kdy se IP adresa rovná přesně 4 nuly (0.0.0.0), neplatí tedy pro všechny IP adresy, jak by se mohlo na první pohled zdát. Správný zápis je v tomto případě 4 nuly lomeno nula (0.0.0.0/0). Druhá podmínka je splněna pouze v případě, kdy se Routing Table rovná prázdné množině. Jenže výchozí routovací tabulka je označena jako main. Podmínka tedy splněna nebude.

Často se také chyby dělají v umístěný do řetězců. Velkou pomůckou je schéma, které zobrazuje, kudy paket v routeru putuje. Schéma najdete na wikině Mikrotiku. Neméně důležité je také pořadí pravidel. Jen efektivním seřazením pravidel lze RouterBoardu značně ulevit. Snahou dobře napsaného firewallu je, aby většina provozu byla vyřízena co nejméně pravidly. V případě výchozí konfigurace je např. až 99% příchozí komunikace (INPUT) vyřízeno jen dvěma pravidly.

6. NAT nefunguje správně


Jedná se zejména o problém v kombinaci s pravidlem masquerade. Jakmile se nastaví pravidlo masquerade, všechny odchozí IP adresy jsou schovány (maškarádovány) za jedinou IP adresu. Router tedy na výstupu změní zdrojovou IP adresu. Další chybou v nastavení pravidla masquerade je nenadefinování odchozího interface (port, který vede do internetu). V takovém případě je pravidlo použito pro veškerou, tedy i vnitřní komunikaci.

V dalším díle se dozvíte TOP 5 nejčastějších uživatelských přehmatů.
 

5 lidí ohodnotilo tento článek.

Komentáře

1 Obat Tersiram Air Panas Obat Tersiram Air Panas | E-mail | Web | 5. srpna 2016 v 4:55 | Reagovat

Thank you for the information

2 ja ja | E-mail | Web | 27. listopadu 2016 v 23:14 | Reagovat

Dalsia cast bude kedy?

Nový komentář

Přihlásit se
  Ještě nemáte vlastní web? Můžete si jej zdarma založit na Blog.cz.
 

Aktuální články

Reklama