آموزش اتصال به روتر میکروتیک

روتر ها جزو جدا نشدنی شبکه هستند. در این میان سیستم عامل میکروتیک است که محبوب متخصصان بوده. چرا که علاوه مقرون به صرفه و با کیفیت بالایی ارائه می شود. در این مطلب به آموزش اتصال به روتر میکروتیک و به صورت جزیی تر به اتصال به روتر و تنظیمات بریج (bridge) می پردازیم:

VLAN در میکروتیک:

• • تعریف VLAN: VLAN یا Virtual Local Area Network یک تکنولوژی است که به شما این امکان را می‌دهد تا یک شبکه فیزیکی را به چندین شبکه منطقی (VLAN) تقسیم کنید. این تقسیم‌بندی به این شکل است که گروه‌های مختلف دستگاه‌ها در یک شبکه می‌توانند با یکدیگر ارتباط داشته باشند در حالی که از دستگاه‌های دیگر جدا شده‌اند.
  • قابلیت VLAN در میکروتیک: میکروتیک از VLAN به عنوان یکی از ویژگی‌های اساسی خود در سیستم‌ عامل RouterOS پشتیبانی می‌کند. این امکان به شما این قابلیت را می‌دهد تا در روترها و سوئیچ‌های میکروتیک VLAN‌ها را پیکربندی کنید.

پیکربندی VLAN در میکروتیک:

• • Bridge Configuration: در میکروتیک، برای ایجاد VLAN ابتدا باید یک Bridge ایجاد کنید. سپس در Bridge ایجاد شده، VLAN‌ها را پیکربندی می‌کنید. برای این کار از دستوراتی مانند interface vlan add و interface bridge vlan استفاده می‌شود.

اتصال به روتر و تنظیمات بریج (bridge)

در ادامه مراحل انجام bridge  در روتر میکروتیک آموزش داده خواهد شد.

• Port Tagging: شما می‌توانید پورت‌های مختلف را به VLAN‌های مختلف اختصاص دهید. این کار با استفاده از دستور interface bridge vlan add و انتخاب پورت‌ها و VLAN‌های مربوطه انجام می‌شود. پورت‌هایی که به یک VLAN اختصاص داده می‌شوند، به عنوان پورت‌های Tagged شناخته می‌شوند.
• Port Untagging: در صورتی که یک پورت به عنوان Untagged تنظیم شود، داده‌هایی که از آن پورت به شبکه ارسال می‌شوند، بدون برچسب VLAN ارسال می‌شوند. این کار با دستور interface bridge vlan pvid انجام می‌شود.

1. Routing بین VLAN‌ها:
   • معمولاً افراد نیاز دارند که VLAN‌ها با یکدیگر ارتباط داشته باشند. برای این منظور، یک روتر میکروتیک می‌تواند برای اتصال VLAN‌ها و ایجاد مسیریابی بین آن‌ها استفاده شود. برای پیکربندی این قابلیت، باید مسیرها و زیرشبکه‌های مرتبط با VLAN‌ها را در RouterOS پیکربندی کنید.
2. Q-in-Q (Double Tagging):
   • Q-in-Q یا Double Tagging یک قابلیت است که به شما این امکان را می‌دهد که یک VLAN دیگر را درون یک VLAN قرار دهید. این قابلیت در مواقعی که شما نیاز به ایجاد شبکه‌های مجازی متعدد با سطوح امنیتی مختلف دارید، مفید است.
   • این امکان با استفاده از دستورات interface vlan add vlan-id=1000 interface=ether1 و interface vlan add vlan-id=2000 interface=vlan1000 قابل اجرا است.

انواع اتصال به روتر

اتصال به روتر، دو نوع روتر وجود دارد:

• با تنظیمات پیش فرض
• بدون تنظیمات پیش فرض وقتی پیکربندی خاصی هنوز انجام نشده آدرس IP 192.168.88.1/24 روی ether1 یا combo1 یا sfp1 تنظیم می‌شود.

اطلاعات بیشتر در مورد پیکربندی پیش‌فرض فعلی را می‌توانید در سند راهنمای سریع ارائه شده به همراه دستگاهتان بیابید. سند راهنمای سریع شامل اطلاعاتی در مورد پورت هایی است که برای اولین بار باید استفاده شود و چگونه دستگاه های خود را وصل کنید.

این سند نحوه راه‌اندازی دستگاه را از ابتدا توضیح می‌دهد، بنابراین از شما می‌خواهیم همه پیش‌فرض‌ها را پاک کنید.

هنگام اتصال اولین بار به روتر با نام کاربری پیش‌فرض admin و بدون رمز عبور (برای برخی از مدل‌ها، رمز عبور کاربر را روی برچسب بررسی کنید)، از شما خواسته می‌شود تنظیمات پیش‌فرض را بازنشانی یا حفظ کنید (حتی اگر پیکربندی پیش‌فرض فقط یک IP داشته باشد. نشانی). از آنجایی که این مقاله فرض می کند که هیچ پیکربندی روی روتر وجود ندارد، باید آن را با فشار دادن "r" روی صفحه کلید هنگامی که از شما خواسته شد حذف کنید یا روی دکمه "Remove configuration" در WinBox کلیک کنید.

روتر بدون تنظیمات پیش فرض

• اگر پیکربندی پیش‌فرض روی روتر وجود نداشته باشد، چندین گزینه دارید، اما در اینجا ما از یک روش متناسب با نیازهای خود استفاده خواهیم کرد.
• پورت Routers ether1 را به کابل WAN وصل کنید و کامپیوتر خود را به ether2 وصل کنید. حالا WinBox را باز کنید و در همسایه کشف روتر خود را پیدا کنید. مثال مفصل را در مقاله Winbox ببینید.
• اگر روتر را در لیست مشاهده کردید، روی آدرس MAC کلیک کنید و روی Connect کلیک کنید.
• ساده ترین راه برای اطمینان از اینکه روتر کاملاً تمیزی دارید اجرا کردن است

اگر پیکربندی پیش‌فرض روی روتر وجود نداشته باشد، چندین گزینه دارید، اما در اینجا ما از یک روش متناسب با نیازهای خود استفاده خواهیم کرد.

پورت Routers ether1 را به کابل WAN وصل کنید و کامپیوتر خود را به ether2 وصل کنید. حالا WinBox را باز کنید و در همسایه کشف روتر خود را پیدا کنید. مثال مفصل را در مقاله Winbox ببینید.

اگر روتر را در لیست مشاهده کردید، روی آدرس MAC کلیک کنید و روی Connect کلیک کنید.

در ادامه هم بصورت دستوری و هم به صورت گرافیکی آموزش کانفیگ روتر در میکروتیک را پیش می بریم .

/system reset-configuration no-defaults=yes skip-backup=yes

پیکربندی دسترسی IP

از آنجایی که اتصال MAC چندان پایدار نیست، اولین کاری که باید انجام دهیم این است که یک روتر راه اندازی کنیم تا اتصال IP در دسترس باشد:

افزودن رابط پل و پورت های پل.

یک آدرس IP به رابط LAN اضافه کنید.

یک سرور DHCP راه اندازی کنید.

تنظیم پل و آدرس IP بسیار آسان است:

/interface bridge add name=local

/interface bridge port add interface=ether2 bridge=local

/ip address add address=192.168.88.1/24 interface=local\

اگر WinBox/WeBfig را به عنوان ابزار پیکربندی ترجیح می دهید:

پنجره Bridge را باز کنید، تب Bridge باید انتخاب شود.

بر روی دکمه + کلیک کنید، یک پنجره جدید باز می شود، نام پل محلی را وارد کنید و روی OK کلیک کنید.

تب Ports را انتخاب کرده و بر روی دکمه + کلیک کنید، یک گفتگوی پنجره باز می شود.

Interface ether2 را انتخاب کنید و لیست‌های کشویی فرم محلی را پل بزنید و روی دکمه OK کلیک کنید تا تنظیمات اعمال شود.

می توانید پنجره پل را ببندید.

پنجره آدرس ها را باز کنید.

بر روی دکمه + کلیک کنید، یک پنجره جدید باز می شود.

آدرس IP 192.168.88.1/24 را وارد کنید، interface local را از لیست کشویی انتخاب کنید و روی دکمه OK کلیک کنید.

مرحله بعدی راه اندازی سرور DHCP است. ما دستور setup را برای پیکربندی آسان و سریع اجرا می کنیم:

[admin@MikroTik] /ip dhcp-server setup [enter]

Select interface to run DHCP server on

dhcp server interface: local [enter]

Select network for DHCP addresses

dhcp address space: 192.168.88.0/24 [enter]

Select gateway for given network

gateway for dhcp network: 192.168.88.1 [enter]

Select pool of ip addresses given out by DHCP server

addresses to give out: 192.168.88.2-192.168.88.254 [enter]

Select DNS servers

dns servers: 192.168.88.1 [enter]

Select lease time

lease time: 10m [enter]

توجه داشته باشید که اکثر گزینه های پیکربندی به طور خودکار تعیین می شوند و فقط کافی است کلید enter را فشار دهید.

همین ابزار راه اندازی در WinBox/WeBfig نیز موجود است:

پنجره  DHCP را باز کنید، تب DHCP باید انتخاب شود.

بر روی دکمه DHCP Setup کلیک کنید، یک پنجره  جدید باز می شود، DHCP Server Interface را وارد کنید و روی دکمه Next کلیک کنید.

اکنون رایانه متصل باید بتواند یک آدرس IP پویا دریافت کند. Winbox را ببندید و با استفاده از آدرس IP (192.168.88.1) مجدداً به روتر متصل شوید.

پیکربندی اتصال به اینترنت

مرحله بعدی دسترسی به اینترنت به روتر است. انواع مختلفی از اتصالات اینترنتی وجود دارد، اما رایج ترین آنها عبارتند از:

• آدرس IP عمومی پویا؛
• آدرس IP عمومی استاتیک؛
• اتصال PPPoE
• IP عمومی پویا

پیکربندی آدرس پویا ساده ترین است. شما فقط باید یک سرویس گیرنده DHCP را در رابط عمومی راه اندازی کنید. سرویس گیرنده DHCP اطلاعاتی را از یک ارائه دهنده خدمات اینترنتی (ISP) دریافت می کند و یک آدرس IP، DNS، سرورهای NTP و مسیر پیش فرض را برای شما تنظیم می کند.

/ip dhcp-client add disabled=no interface=ether1

پس از افزودن مشتری باید آدرس اختصاص داده شده را ببینید و وضعیت باید محدود شود

[admin@MikroTik] /ip dhcp-client> print

Flags: X - disabled, I - invalid

#   INTERFACE           USE ADD-DEFAULT-ROUTE STATUS        ADDRESS

0   ether1               yes yes               bound         1.2.3.100/24IP عمومی استاتیک

در مورد پیکربندی آدرس استاتیک، ISP شما پارامترهایی را به شما می دهد، به عنوان مثال:

IP: 1.2.3.100/24

gateway: 1.2.3.1

DNS: 8.8.8.8

اینها سه پارامتر اساسی هستند که برای اینکه اتصال اینترنت کار کند به آنها نیاز دارید

برای تنظیم این مورد در RouterOS ما به صورت دستی یک آدرس IP اضافه می کنیم، یک مسیر پیش فرض را با یک دروازه ارائه شده اضافه می کنیم، و یک سرور DNS راه اندازی می کنیم.

/ip address add address=1.2.3.100/24 interface=ether1

/ip route add gateway=1.2.3.1

/ip dns set servers=8.8.8.8

اتصال PPPoE

اتصال PPPoE همچنین به شما یک آدرس IP پویا می دهد و می تواند به صورت پویا DNS و دروازه پیش فرض را پیکربندی کند. به طور معمول ارائه دهنده خدمات (ISP) یک نام کاربری و رمز عبور برای اتصال به شما می دهد

/interface pppoe-client

add disabled=no interface=ether1 user=me password=123 \

add-default-route=yes use-peer-dns=yes

اقدامات Winbox/Webfig:

پنجره PPP را باز کنید، تب Interfaces باید انتخاب شود.

روی دکمه + کلیک کنید و PPPoE Client را از لیست کشویی انتخاب کنید، پنجره جدید باز می شود.

Interface ether1 را از لیست کشویی انتخاب کنید و روی دکمه OK کلیک کنید تا تنظیمات اعمال شوند

علاوه بر این در پیکربندی، رابط WAN اکنون رابط pppoe-out است، نه ether1.

بررسی اتصال

پس از پیکربندی موفقیت آمیز، باید بتوانید از روتر به اینترنت دسترسی داشته باشید.

تأیید اتصال IP با پینگ کردن آدرس IP شناخته شده (به عنوان مثال سرور DNS Google)

[admin@MikroTik] > /ping 8.8.8.8

HOST                                     SIZE TTL TIME  STATUS

8.8.8.8                                    56  47 21ms

8.8.8.8                                    56  47 ms

DNS  را چک کنید

[admin@MikroTik] > /ping www.google.com

HOST                                     SIZE TTL TIME  STATUS

173.194.32.49                              56  55 13ms

173.194.32.49                              56  55 12ms

• اگر همه چیز به درستی تنظیم شده باشد، پینگ در هر دو حالت نباید خراب شود.
• در صورت خرابی به بخش عیب یابی مراجعه کنید

محافظت از روتر

اکنون هر کسی در سراسر جهان می تواند به روتر ما دسترسی داشته باشد، بنابراین بهترین زمان برای محافظت از آن در برابر مزاحمان و حملات اساسی است.

دسترسی به رمز عبور کاربر

روترهای MikroTik نیاز به پیکربندی رمز عبور دارند، پیشنهاد می کنیم از ابزار تولید رمز عبور برای ایجاد رمزهای عبور ایمن و غیر تکراری استفاده کنید. منظور ما از رمز عبور ایمن:

حداقل 12 کاراکتر؛

شامل اعداد، نمادها، بزرگ و حروف کوچک.

واژه دیکشنری یا ترکیبی از واژه های دیکشنری نیست.

/user set 0 password="!={Ba3N!40TуX+GvKBzjTLIUcx/,"

گزینه دیگری برای تنظیم رمز عبور

/password

ما پیشنهاد می کنیم از روش دوم یا رابط Winbox برای اعمال رمز عبور جدید برای روتر خود استفاده کنید تا از دسترسی غیرمجاز دیگر محافظت شود

[admin@MikroTik] > / password

old password:

new password: ******

retype new password: ******

حتما رمز عبور را به خاطر بسپارید! اگر آن را فراموش کنید، هیچ راهی وجود ندارد. شما باید روتر را دوباره نصب کنید!

همچنین می توانید کاربران بیشتری با دسترسی کامل یا محدود به روتر در منوی /user اضافه کنید

بهترین روش اضافه کردن یک کاربر جدید با رمز عبور قوی و غیرفعال کردن یا حذف کاربر پیش فرض مدیریت است.

/user add name=myname password=mypassword group=full

/user remove admin

دسترسی به اتصال MAC

به‌طور پیش‌فرض، سرور مک بر روی همه رابط‌ها اجرا می‌شود، بنابراین ما همه ورودی‌های پیش‌فرض را غیرفعال می‌کنیم و یک رابط محلی اضافه می‌کنیم تا اتصال MAC از پورت WAN را ممنوع کند. ویژگی MAC Telnet Server به شما امکان می دهد محدودیت هایی را برای "لیست" رابط اعمال کنید.

ابتدا یک لیست رابط ایجاد کنید:

[admin@MikroTik] > /interface list add name=listBridge

سپس، پل ایجاد شده قبلی خود با نام "local" را به لیست رابط اضافه کنید:

[admin@MikroTik] > /interface list member add list=listBridge interface=local

"لیست" (از رابط ها) جدید ایجاد شده را در سرور MAC اعمال کنید:

[admin@MikroTik] > tool mac-server set allowed-interface-list=listBridge

همین کار را برای دسترسی Winbox MAC انجام دهید

[admin@MikroTik] > tool mac-server mac-winbox set allowed-interface-list=listBridge

اقدامات Winbox/Webfig:

رابط ها → فهرست رابط → پنجره فهرست ها را باز کنید و با کلیک بر روی "+" یک لیست جدید اضافه کنید.

نام فهرست رابط "listBridge" را در قسمت Name وارد کرده و OK را کلیک کنید.

به بخش Interfaces → Interface List برگردید و روی "+" کلیک کنید.

"listBridge" را از گزینه های لیست کشویی انتخاب کنید و "local" را از گزینه های کشویی Interface انتخاب کنید و روی OK کلیک کنید.

ابزارها -> پنجره Mac Server را باز کنید.

بر روی دکمه "MAC Telnet Server" کلیک کنید، یک پنجره جدید باز می شود.

لیست جدید ایجاد شده "listBridge" را از لیست کشویی انتخاب کنید و روی دکمه OK کلیک کنید تا تنظیمات اعمال شود.

همین کار را در تب MAC Winbox Server انجام دهید تا اتصالات Mac Winbox را از اینترنت مسدود کنید.

کشف همسایه

پروتکل کشف MikroTik Neighbor برای نشان دادن و شناسایی سایر روترهای MikroTik در شبکه استفاده می شود. غیرفعال کردن کشف همسایه در رابط های عمومی:

/ip neighbor discovery-settings set discover-interface-list=listBridge