Настроить тестовую среду работы Mikrotik + ЛВС

Posted by

У меня такая ситуация, на работе хоть я и работаю в коллективе, но по большей части надеюсь только на себя. Т.к. в самый трудный момент когда что-то происходит слышать, ой я с этим не работал, а знаешь тут какая-то ошибка возникает как думаешь что это. И вот все в таком духе. Да и мне просто спокойнее когда у меня есть решение, да и процесс обучения захватывает.

  • Я руководствуюсь следующими правилами:
  • Собираю всю информацию, читаю заметки, книги, обзоры
  • Собираю стенд (да долго порой, но это потом окупается)
  • Разбираю лабораторные работы, придумываю себе задачи
  • Оформляю как заметки и так везде при работе в IT сфере.

Ну да ладно, сейчас моя цель: это настроить тестовую среду виртуального Mikrotik развернутого, как виртуальная машина на Virtualbox, а уже посредством других VM сервисы и все это связать в месте. Ресурсы под все это дело у меня есть, мой домашний ноутбук Lenovo E555 (16Gb RAM) с этим справляется.

Вводные данные:

  • eth1 — выход в интернет (либо же ваша текущая сеть)
  • eth2 — это локальная сеть (тестовая сеть, внутри которой у меня будут развернуты различные сервисы, к примеру: DC, FileServer, FreePBX, OwnCloud и т. д. Также мне это нужно чтобы разобрать правила для по защите их (сервисов), пробросу порта, разграничения пропускной способности и т. д.)
    Конфигурационный файл для Mikrotik (по заметке) развернутый будет следующий:

[admin@MikroTik] > export

# apr/16/2017 12:56:20 by RouterOS 6.38.5

# software id = NGXF-8ASJ

#

/interface bridge

add name=bridge1

/interface ethernet

set [ find default-name=ether1 ] name=WAN1

/ip pool

add name=dhcp_pool0 ranges=10.10.10.2-10.10.10.254

/ip dhcp-server

add address-pool=dhcp_pool0 interface=bridge1 name=dhcp1

/tool user-manager customer

set admin access=own-routers,own-users,own-profiles,own-limits,config-payment-gw

/interface bridge port

add bridge=bridge1 interface=ether2

/ip address

add address=10.10.10.1/24 interface=bridge1 network=10.10.10.0

/ip dhcp-client

add dhcp-options=hostname,clientid disabled=no interface=WAN1

add dhcp-options=hostname,clientid interface=WAN1

/ip dhcp-server network

add address=10.10.10.0/24 =10.10.10.1

/ip dns

set allow-remote-requests=yes servers=8.8.8.8

/ip firewall address-list

add address=8.8.8.8 list=DNS1WAN1

/ip firewall filter

add action=accept chain=input protocol=icmp

add action=accept chain=forward protocol=icmp

add action=accept chain=input connection-state=established

add action=accept chain=forward connection-state=established

add action=accept chain=input connection-state=related

add action=accept chain=forward connection-state=related

add action=drop chain=input connection-state=invalid

add action=drop chain=forward connection-state=invalid

add action=accept chain=input dst-port=22 in-interface=WAN1 protocol=tcp

add action=accept chain=input dst-port=8291 in-interface=WAN1 protocol=tcp

add action=accept chain=forward protocol=udp

add action=accept chain=input protocol=udp

add action=accept chain=forward src-address=10.10.10.0/24

add action=accept chain=input src-address=10.10.10.0/24

add action=drop chain=input

add action=drop chain=forward

/ip firewall mangle

add action=mark-connection chain=forward in-interface=WAN1 new-connection-mark=\

WAN1-CON

add action=mark-routing chain=prerouting connection-state=new dst-address-list=\

DNS1WAN1 new-routing-mark=WAN1-pr

/ip firewall nat

add action=masquerade chain=srcnat src-address=10.10.10.0/24

add action=dst-nat chain=dstnat dst-port=2222 log=yes protocol=tcp to-addresses=\

10.10.10.2 to-ports=22

#error exporting /routing pim

#error exporting /routing rip

#error exporting /routing ripng

/system lcd

set contrast=0 enabled=no port=parallel type=24x4

/system lcd page

set time disabled=yes display-time=5s

set resources disabled=yes display-time=5s

set uptime disabled=yes display-time=5s

set packets disabled=yes display-time=5s

set bits disabled=yes display-time=5s

set version disabled=yes display-time=5s

set identity disabled=yes display-time=5s

set bridge1 disabled=yes display-time=5s

set WAN1 disabled=yes display-time=5s

set ether2 disabled=yes display-time=5s

set ether3 disabled=yes display-time=5s

set ether4 disabled=yes display-time=5s

/system logging

add topics=dns

add topics=dhcp

add topics=firewall

/tool user-manager database

set db-path=user-manager

На заметку: вместо 8.8.8.8 нужно прописать DNS своего провайдера, либо сервер где крутится роль DNS.

Если поднимаем тестовую VM на которой проверяем получение сетевого адреса,карта должна быть соответствующая в свойствах контейнера Virtualbox: (см. скриншот ниже)

Адаптер 2 = имя: innet

Настройки сети для вирртуальных машин для работы с Mikrotik в тестовом окружении

ЭТО ОЧЕНЬ ВАЖНО.

Если DHCP не поднимаем, см. заметку, то чтобы VM получила доступ в интернет прописываем:

  • address
  • netmask
  • gateway

и прописываем шлюз по умолчанию: sudo route add default gw 10.10.10.1 (это для Ubuntu систем)

и доступ в интернет появляется.

На Windows (у меня в качестве теста есть: Windows Server 2012 R2 Standard) системе в таком случае задаю вручную сетевой адрес:

  • Address: 10.10.10.2
  • Netmask: 255.255.255.0
  • Gateway: 10.10.10.1
  • DNS: 10.10.10.1

После проверяю:

C:\Users\Administrator>ping navy.org

Pinging navy.org [104.27.163.99] with 32 bytes of data:

Reply from 104.27.163.99: bytes=32 time=3ms TTL=252

Reply from 104.27.163.99: bytes=32 time=3ms TTL=252

Reply from 104.27.163.99: bytes=32 time=3ms TTL=252

Reply from 104.27.163.99: bytes=32 time=3ms TTL=252

Ping statistics for 104.27.163.99:

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

Minimum = 3ms, Maximum = 3ms, Average = 3ms

Вывод все работает.

Дополнения к текущей заметки: косяк с этими правилами выше не работает правило проброса порта:

[admin@MikroTik] > ip firewall nat add chain=dstnat protocol=tcp in-interface=WAN1 dst-port=2222 action=dst-nat to-addresses=10.10.10.2 to-ports=22

Сканирую через nmap и ничего, отрабатывает правило только подключение к самому Mikrotk, нашел, доступ блокирует вот это правило:

[admin@MikroTik] > ip firewall filter add chain=forward action=drop

Блокирую его и NAT работает. Так что если будет использовать «Проброс порта» то данное правило следует отключить.

Теперь имея вот такую виртуальную среду можно собирать тестовую среду, как если бы у Вас физически был интернет, после он приходил и Mikrotik (аппаратный), а далее Ваша сеть. Короче, это просто небольшая заготовка. Пока все, на этом я прощаюсь, с уважением автор блога Олло Александр aka ekzorchik.