Blog of Khlebalin Dmitriy

(Дорогу осилит идущий…)

LAB1_Mikrotik_ACL_NAT. NAT and Firewall (часть 3).

LAB1_Mikrotik_ACL_NAT. Switching L2 (часть 1).

LAB1_Mikrotik_ACL_NAT. Switching L2. Bridge VLAN Filtering (часть 2).

Первая половина адресов диапазона 172.16.10.0/24 должна быть представлена адресом 128.1.1.1. Вторая половина — адресом 128.1.1.2

Для общего понимания будет полезен вот этот пост:

https://itproffi.ru/nastrojka-nat-na-marshrutizatorah-mikrotik/

Для выполнения этого пункта мне потребуется создать два дополнительных правила NAT

И второе

Получилась вот такая картинка

Видим, что ранее у нас уже был настроен маскарад для остальных vlan-ов, поэтому исключим из него, vlan 10 (172.16.10.0/24), чтоб корректно отработали следующие правила.

Теперь проверяем, что происходит с компов 172.16.10.1 (пингуя роутер в интернете), и в логах роутера смотрим, как представляется наш роутер R1.

И с компа  172.16.10.200

Знающие люди согласились с моим вариантом решения, но посоветовали сделать все же чуть по-другому: вместо netmap все же использовать srcnat и правила расположить в следующем порядке:

В этом случае, в правиле masquerade можно не исключать подсеть 172.17.10.0/24

Видно, что все, как надо. А это говорит о том, что можно перейти к следующему заданию.

Следующие 3 задания напрямую связаны с настройкой Firewall в целом, поэтому первоначально имеет смысл произвести его базовую настройку.

А пока он чист, как слеза младенца. А это не есть хорошо.

На эту тему, полезно будет посмотреть следующие посты, с фаерволом можно сильно загнаться (я уже почти забыл, как это было):

https://serveradmin.ru/bazovaya-nastrojka-firewall-v-mikrotik/

https://buywifi.ru/blog/mikrotik/nastroyka-firewall-mikrotik/

https://gregory-gost.ru/sozdanie-domashney-seti-na-baze-ustroystv-mikrotik-chast-6-firewall-zashhita-dostupa/

https://xn—-7sba7aachdbqfnhtigrl.xn--j1amh/nastrojka-firewall-v-mikrotik-zashhita-ot-ddos-ataki/

https://mikrotiklab.ru/nastrojka/artga-firewall.html

Вот тут очень наглядно изображены цепочки прохождения трафика:

https://wiki.rtzra.ru/software/mikrotik/mikrotik-firewall

https://mstream.com.ua/mikrotik-tipichnie-problemi-i-ih-resheniay.html

https://habr.com/ru/post/435070/

Итак, сначала создадим пару разрешающих правил, разрешим хождение трафика по установленным соединениям:

Или тут в цепочке Forward можно указать fasttrack connection, а лучше создам отдельное правило (но в лабе нам это не нужно).

Таким образом мы пустим через Fasstrack все пакеты уже установленных транзитных соединений, и скажем честно, особой потребности как-то сложно обрабатывать такой трафик на роутере нет.

Разрешу подключение из внутренней сетки подключаться к роутеру по следующим портам (8291, 22, 80, 443):

Снаружи icmp на внешнем интерфейсе ether1 надо бы запретить (drop), но у меня тестовый стенд поэтому он принудительно разрешен.

А далее делаем два запрещающих правила, где все дропим (drop). ПРАВИЛА ПРИМЕНЯЮТСЯ СВЕРХУ ВНИЗ В ПОРЯДКЕ ОЧЕРЕДИ, поэтому они должны быть в самом низу.

И для логирования

Не помешает добавить аналогичное правило и для forward, чтобы понимать, что происходит непосредственно на роутере:

Запретим invalid (ошибочные соединения).

Пока получилось не много правил

Проверим, что я ничего пока не забыл.

Сразу видно, что в инет больше никто не ходит. Исправим это.

Интернет теперь появился:

В лабе у нас ничего не сказано про DNS, но можно его чуть поднастроить:

Нажимаем на + и создаём ещё одно правило, запрещающее входящий трафик (Chain: input) по протоколу UDP (Protocol: udp) на 53й порт (Dst. Port: 53) интерфейса провайдера (In. Interface: ether1).

Тоже самое не мешает сделать и для протокола tcp

На этом пока все. Продолжение следует…

Всем хорошей работы!!!

02.07.2020 Posted by | Network and Wi-fi: cisco, mikrotik, huawei, tp-link, d-link, zyxel и другое... | Оставьте комментарий

LAB1_Mikrotik_ACL_NAT. Switching L2. Bridge VLAN Filtering (часть 2).

LAB1_Mikrotik_ACL_NAT. Switching L2 (часть 1).

Пришло время вернуться к перенастройке коммутатора sw2 с помощью Bridge VLAN Filtering (удалю все предыдущие настройки).

https://wiki.mikrotik.com/wiki/Manual:Interface/Bridge#Bridge_VLAN_Filtering

https://www.youtube.com/watch?v=wq6KVWOFhNI&feature=youtu.be&t=1085

https://wiki.mikrotik.com/wiki/Manual:Layer2_misconfiguration

https://xn—-7sba7aachdbqfnhtigrl.xn--j1amh/nastrojka-vlan-v-mikrotik-trunk-i-access-porty/

https://soft-setup.ru/oborudovanie/vlan-bridge-na-mikrotik-trunk-i-access-porty/

Удаляем все vlan и bridge

Создаем мост bidge1 с фильтрацией VLAN

Добавляем порты в bridge

PVID (Port VLAN ID) — используется для ACCESS-портов (Ether4,5), и маркирует весь входящий трафик соответствующим VLAN ID. Поэтому для портов Ether1,2,3  PVID не назначаем, т.к. они являются tunk-портами и передают tagged-трафик. Получается некая зеркальная ситуация классической схеме.

Еще раз обращаю внимание, что все транки (в моем случае их 3, имеют PVID1)

Далее оставшиеся access порты (они оба в 10 vlan):

Добавляем соответствующие записи в VLAN таблицу моста.

  • Для VLAN10 в качестве порта передающего тегированный трафик выбираем Ether1 (trunk), порт для не тегированного трафика Ether4,5 (access).

  • VLAN20 для тегированного трафика так же Ether1,2 (trunk).

  • VLAN30 для тегированного трафика так же Ether1,3 (trunk).

Получается вот такая картинка

С компа проверим, что все работает:

Все работает, значит с L2 частью можно потихоньку закончить, и перейти ко второму заданию…

Продолжение следует…

Всем хорошей работы!!!

25.06.2020 Posted by | Network and Wi-fi: cisco, mikrotik, huawei, tp-link, d-link, zyxel и другое... | 1 комментарий

LAB1_Mikrotik_ACL_NAT. Switching L2 (часть 1).

На Cisco лабораторная готова, решил аналогично сделать ее на Mikrotik.

В начале своего повествования, хотел бы поблагодарить Станислава за мой check и best practice для меня.

https://easy-network.ru/68-tasks-6.html

Перед сетевым администратором стоит задача настроить сеть, которая бы соответствовала следующим условиям:

  • Все внутренние адреса должны быть скрыты от внешней сети
  • Первая половина адресов диапазона 172.16.10.0/24 должна быть представлена адресом 128.1.1.1. Вторая половина — адресом 128.1.1.2
  • Хостам 172.16.20.1, 172.16.20.2 и 172.16.20.3 (VLAN 20) запретить доступ к хостам из VLAN 30. Ко всем остальным VLAN доступ открыт.
  • Запретить передачу во внешнюю сеть пакетов, у которых IP адрес источника относится к диапазону частных адресов.
  • Открыть доступ из внешней сети только через порты 22, 80, 443. Все остальные порты закрыть. Убедиться,что все работает.

Перед тем, как все это делать, будет полезно зачитать, чтоб вспомнить многое:

https://www.plus-aliance.ru/news/tekhnoblog/setting-mikrotik-and-routeros-from-scratch/

Поэтапно необходимо настроить Микроты выступающие в роли коммутаторов L2 и далее уже в роли маршрутизаторов. Начну с лева направо.

Настройка компьютеров стандартна, прописываем ip адреса:

Далее настроим sw1.

У нас тут 3 access port и 1 trunk, который должен передавать vlan 20.

Создадим его. Повесить нам его необходимо на 1 порт, поэтому называем его ether1.20

Остальные порты access, поэтому с ними ничего не делаем.

Далее создаем bridge_vlan20 (бридж 20 влана), куда далее добавляем наш транк порт и 2 акцесс порта.

И добавляем в бридж наши интерфейсы, обратите внимание, что на первом интерфейсе необходимо добавлять именно vlan1.2 интерфейс, а не просто интерфейс 1.

Вот что у нас получилось в 20 vlan (2 не тегированных порта и 1 тегированный)

Проверим, что с компа:

Тепеь видно, что пинг между компами есть.

Не забываем удалить DHCP Client запись (на всех коммутаторах и маршрутизаторах, в текущем варианте она не нужна):

Аналогично настрою sw3 (не буду здесь расписывать его настройку),

Также на всех 4 девайсах можно настроить управляющий vlan, но это совсем не обязательно (для наглядности сделаю это vlan2 2.2.2.x/24).

Настройка на примере, sw3, по аналогии на всех остальных устройствах.

Ну и на второй коммутатор, так как он у нас настроен, несколько по другому  добавим:

Проверим, что с sw1 доступен R1, если доступен, то все правильно настроено.

Сначала настрою sw2 классическим способом.

Итак, на sw2 у нас 3 транка, и 2 акцесс порта.

Также на каждый интерфейс «навешиваем» необходимый vlan (на первый соответственно три влана, на остальные приходящие порты от коммутаторов по одному)

Создаем бриджи для трех вланов:

Добавляем нужные порты в нужные бриджи

Здесь пока только L2, нет никаких адресов, маршрутов и прочего. Знающие коллеги говорят, что такой вариант рабочий, но при такой настройке Микрот сходит с ума.

Поэтому, в последствии, sw2 хочется настроить по другому, при помощи Bridge VLAN Filtering (ранее не сталкивался еще с данной настройкой).

https://wiki.mikrotik.com/wiki/Manual:Interface/Bridge#Bridge_VLAN_Filtering

https://www.youtube.com/watch?v=wq6KVWOFhNI&feature=youtu.be&t=1085

https://wiki.mikrotik.com/wiki/Manual:Layer2_misconfiguration

Я еще вернусь к данному вопросу чуть позже. А пока, время перейти к настройке маршрутизатора R1.

Создадим vlan-ы в сторону sw2

Здесь у нас темминируются vlan-ы и есть ip адреса на внешнем интерфейсе.

Зададим их.

В этом текущем случае ip адреса у нас задаются статически, если необходимо, чтоб адреса раздавались автоматом, то можно навесить DHCP сервер на каждый саб.

 

Но тут это не нужно, поэтому не делаю.

Посмотрим, пингуются ли шлюзы и маршрутизируются ли vlan-ы.

Шлюз пингуется.

Вланы маршрутизируются.

Выпустим всех в интернет (пропишем дефолтный маршрут), настроим NAT (маскарад), тем самым выполним первое задание:

Все внутренние адреса должны быть скрыты от внешней сети.

Теперь маскарад.

Теперь можно попробовать запинговать ISP роутер с любого компа.

На ISP настроим для логирования (тоже самое, можно сделать и на R1):

Стучимся в интернет с компа, смотрим логи на ISP:

Видно, что маскарад работает. Это говорит нам о том, что первый пункт лабы выполнен.

Продолжение следует…

Всем хорошей работы!!!

18.06.2020 Posted by | Network and Wi-fi: cisco, mikrotik, huawei, tp-link, d-link, zyxel и другое... | 2 комментария