Router OS licenci Vašeho Mikrotiku zjistíte skrze System / License
(klikněte pro zvětšení)
Klíč si můžete importnout, exportnout, licenci povýšit, snížit.
Licence se dělí na následující levely:
Level 0 – trial verze na 24 hodin
Level 1 – Free demo verze zdarma
Level 3 – CPE – Bezdrátový klient (stanice)
Level 4 – AP – Bezdrátová APčka, WISP, pro domácnosti a menší kanceláře
Level 5 – ISP – podporuje více tunelů než Level 4, už se jedná o balík pro poskytovatele.
Level 6 – Controller – Neomezené možnosti RouterOS, vše omezené na maximum, bez omezení uživatelů, zkrátka to máte v plné palbě.
Více o licencích zde.
Toť k modulu 1, přejděme na module 2.
Module 2
DHCP
Znamená Dynamic Host Configuration protocol. Většina z vás asi ví, že se jedná o automatickou distribuci IP adres po lokální síti. DHCP se používá v tzv. trusted (tedy důvěryhodných) sítí. Funguje skrze broadcastovou doménu (broadcast domain). RouterOS podporuje jak DHCP klienta tak server.
DHCP Client
Slouží k získání IP adresy, masky podsítě, defaultní brány, DNS serveru a případných dalších nastavení, pokud je to poskytnuto v rámci DHCP zprávy.
Mikrotik SOHO routery standardně mají DHCP klienta konfigurované na ether1(wan) rozhraní (interface).
Ten interface (rozhraní), který má k sobě nastaveného DHCP klienta si automaticky získá adresu ze sítě ke svému vlastnímu uadresrování. Standardně je i na domácích HAP routerboardech, jako mám já, tedy na RB941. Pokud tedy máte RJ45 lan kabel odněkud z modemu, zapojíte ho do routeru od mikrotiku a ten si automaticky získá adresu ze sítě na ether1 (WAN rozhraní).
(klikněte pro zvětšení)
V našem případě zde není nic moc co k řešení. V mém případě mám odpojený kabel z WAN rozhraní.
DNS nastavení
Standardně si DHCP klient získá DNS automaticky skrze DHCP protokol. Zde je možnost si nastavit vlastní DNS staticky.
Skrze IP / DNS zakliknu si servers a vyplním si googlovské DNSky. Primární server 8.8.8.8 a sekundární 8.8.4.4.
(klikněte pro zvětšení)
DHCP Server
Automaticky přiřazuje adresu vyžadujícím hostům. Příkaz k povolení je DHCP Setup.
Prvně se přepojíme na router skrze MAC adresy. IP / DHCP SERVER
(klikněte pro zvětšení)
Zakážeme DHCP server.
(klikněte pro zvětšení)
Vymažeme síť.
(klikněte pro zvětšení)
Vymažeme DHCP Pool adres, který to bude rozdávat.
(klikněte pro zvětšení)
Nový DHCP server
Nastavíme nový DHCP Pool adres, ze kterého budeme rozdávat adresy klientům:
(klikněte pro zvětšení)
Nastavíme nový DHCP server:
(klikněte pro zvětšení)
Nastavíme Networks pro DHCP server:
(klikněte pro zvětšení)
přiřadíme nové IP adresy pro bránu:
(klikněte pro zvětšení) (pozor, nutno nastavit místo ether2-master-local bridge-local, jinak to uvidí gateway jen na ether2-master-local.
po přepojení:
(klikněte pro zvětšení)
Ukázka funkční zapůjčené (leasenuté) adresy:
(klikněte pro zvětšení)
DHCP Static leases
v IP / DHCP Server / záložka leases / pravým tlačítkem na aktivní zápůjčku (lease) a klikneme na Make static:
(klikněte pro zvětšení)
ARP
ARP tabulka v sobě nese informace o tom, která IP adresa je přiřazena k MAC adrese na kterém rozhraní. ARP znamená Address resolution protocol. Zobrazíme ji skrze IP / ARP.
(klikněte pro zvětšení)
Static ARP
kliknutím pravým tlačítkem myši na konkrétní záznam v ARP tabulce a vybráním možnosti Make Static tento záznam z bezpečnostních důvodů uděláme statický.
(klikněte pro zvětšení)
Nastavení bridge-local tak, aby odpovídal pouze staticky naučeným záznamům v síti. Jde o režim reply-only. Nastavíme ho pomocí Interfaces / 2x kliknem na bridge-local, v záložce General, mód ARP: reply-only.
(klikněte pro zvětšení)
Kombinace DHCP serveru a Static ARP lze dosáhnout větší bezpečnosti na síti. DHCP server totiž přidá ARP záznamy automaticky a administrátor může záznamy udělat statické pomocí Make Static. Je proto potřeba přejít na IP / DHCP Server/ na záložce DHCP 2x kliknout na záznam se serverem, zaškrtnout možnost Add ARP For leases (na obrázku modře) Viz následující obrázek:
(klikněte pro zvětšení)
Co byste měli udělat v labu? Odstraňte si statický záznam z ARP tabulky vašeho počítače. Připojení by nemělo být funkční. Ve windows si dejte ipconfig/renew získáním nové IP adresy a už by to mělo jet. Připojte se na router a zkontrolujte ARP tabulku. Schválně sem nebudu dávat řešení ani další postup, potřebujete si tím projít sami.
Další díl.
Ahoj,
to je vše v návodu moc hezké, ale po vytvoření nového DHCP serveru dle návodu, ten hajzlík nepřiděluje klentům bránu. : )
Poradíte co s tím? Děkuji.
Martin
Ahoj Martine,
díky tobě i Petrovi za nahlášení. Upraveno, patří tam bridge-local místo ether2-master-local u addresses. Do článku jsem to pod obrázek dal tučně.
Dobrý den,
proč prosím přidělujete ve vašem případě „Addresess“ rozsah sítě pouze pro „Interface“ Eth2-mastrer-local“?
Předpokládám, že chci aby DHCP přidělovalo IP adresy i na ostatních „Interfaces“ které jsou připojeny do „bridge“.
Pokud tedy zvolím, v „address“ pro vaši síť „192.168.123.1/24“ interface „local-bridge“ bude DHCP přidělovat všem interfaces na bridgi a ne jen eth2 ?
Díky Petr
Dobrý den, Petře,
správný postřeh! Pokud máme v plánu nabídnout bránu i DHCP server klientům, kteří jsou připojeni do všech eth2-eth5 rozhraní routeru, musí tam být v obou případech local-bridge (do kterého však musí být napojeny všechny interfacy eth2-eth5 v nastavení bridge). Pokud bychom však chtěli mít per fyzické interfacy oddělené DHCP servery i sítě, museli bychom v tomto příkladu nastavit DHCP server pouze pro 1 rozhraní, kterým by byl např. eth2-master-local, tak musíme nastavit totéž i na straně DHCP serveru (rovněž eth2-master-local). Studenti MTCNA bývají většinou vedení k tomu, aby se napojili na eth2, proto se u nich problém s funkcionalitou nevyskytl, nicméně pro správné fungování je to nutno nastavit tak, jak jsme se shodli.
Platí tedy, že pokud dojde k nastavení v address 192.168.123.1/24 interface local-bridge, tak to bude přidělovat DHCP všem interfaces, které jsou součástí bridge a ne jen na eth2.
Díky a ať se daří 🙂