Pořídil jsem si svůj první Mikrotik router (konkrétně hAP ac²) a tady je pár postřehů z prvního zprovoznění. Proti jednoduchým routerům pro domácnosti se výrazně liší. Od způsobu jakým se k němu připojíte, přes nastavení i jednoduchých služeb, až po potřebu zabezpečení.
Připojení k Mikrotiku
WinBox
Základním prostředkem pro připojení k Mikrotiku je program WinBox, určený pro MS Windows. Naštěstí se jeho spuštění s pomocí Wine podařilo na první pokus (zkoušel jsem jen jeho 64-bit verzi).
Připojíte se k Mikrotiku pomocí UTP kabelu a spustíte WinBox. Najde váš mikrotik a umožní vám se k němu připojit pomocí defaultní IP adresy nebo jeho MAC adresy (najde a zobrazí všechny Mikrotiky ve vaší síti).
Přednastavené přihlášovací údaje jsou:
jméno: admin
heslo: bez hesla (prostě heslo nezadáte)
Poznámka:
Mikrotik si pamatuje otevřená okna z posledního připojení pro IP adresu a MAC adresu zvlášť. Pokud tedy chcete při dalším připojení k routeru pokračovat kde jste skončili, připojte se stejně jako minule (MAC adresou nebo IP adresou).
Webový prohlížeč
Kromě výše uvedené možnosti připojit se MAC adresou zařízení se lze připojit i IP adresou z webového prohlížeče. To jsem pouze vyzkoušel a rozhraní vypadá podobně jako WinBox.
Přesto, že takové připojení je u běžných routerů nejčastěji používané, tady bych ho nedoporučil.
- Za prvé proto, že výchozí konfiguraci nejspíš smažete a tím přijdete o přednastavenou IP adresu.
- Za druhé, pokud si při zabezpečení vypnete všechny služby kromě Winboxu, tak se tam prohlížečem taky nedostanete.
- A taky si nejsem jist zda si bude pamatovat otevřená okna jako WinBox což může být další důvod se nepřipojovat primárně pomocí prohlížeče.
Zabezpečení
Zabezpečení rozhodně nepodceňujte. Roboti nikdy nespí a mě samotnému se, už během nastavování Mikrotiku, někdo pokoušel připojit k routeru telnetem.
Heslo
Výchozím uživatelem je admin a účet není chráněn žádným heslem.
Opravdu důrazně doporučuji založit jiného uživatele s právy admina (Group=full) a nastavit mu slušné heslo a povolit mu přístup jen z lokální sítě. Zároveň uživatele admin smažte nebo deaktivujte aby se vám tam s ním nikdo nepokoušel prolomit.
Obzvláště to platí pokud máte, jako já, veřejnou IP adresu.
Nastavení najdete v menu System/Users.
Služby
Dalším krokem by mělo být vypnutí služeb které nebudete používat.
Nechte si tam jen WinBox a nastavte mu dostupnost jen z místní sítě. Zamezíte tím pokusům o útoky na nepoužívané služby…kde nic není…znáte to.
Nastavení najdete v menu IP/Services.
Aktualizace
Hned na začátku je dobré také aktualizovat systém RouterOS v Mikrotiku na nejnovější verzi.
Stažení
Nejnovější verzi stáhnete na https://mikrotik.com/download.
Aktualizace
Samotnou aktualizaci je třeba provést ve dvou krocích.
- První část provedete v menu
System/Packages. - Druhou část (po restartu) je třeba provést v menu
System/RouterBOARD.
Zálohování
Záloha se bude hodit nejen pro případ, že se něco pokazí a je třeba obnovit původní stav. Je rozumné si jí vytvořit i před nevyzkoušeným zásahem do nastavení. Pokud si odříznete přístup k routeru a budete ho muset dostat do továrního nastavení, výrazně si urychlíte návrat do původního stavu.
Vytvoření zálohy
Zálohu můžete vytvořit binární (přípona backup) nebo textovou (přípona rsc). Binární záloha se hodí pro obnovu na stejném typu zařízení, ale nehodí se pro přenos na jiný Mikrotik, protože např. přepíše MAC adresy a podobně.
K přenosu na jiné zařízení je vhodnější záloha textová. Při chybě importu v textovém editoru jednoduše kolizní část ze zálohy odmažete a zkusíte import znovu. Problémové části pak nastavíte ručně později.
- Binární zálohu vytvoříme v nabídce
Fileslevého menu tlačítkem Backup. - Textovou zálohu vytvoříme pomocí
New Terminallevého menu příkazemexport file=nazev_vasi_zalohy. - Obnovení provedeme tlačítkem Restore.
Zdroj:
https://www.kvalitninavody.cz/zaklady-mikrotiku-3/
https://youtu.be/LFTcXHgiPvk