FAQ – Produkty marki Mikrotik

Login: admin
Hasło: puste
Adres IP: 192.168.88.1

1. Podłączamy Odpowiednio naszego mikrotika w celu konfiguracji w taki sposób jak powyżej przedstawiono na rysunku. W gniazdo power wtykamy nasze zasilanie dołączone do zestawu w przypadku tego modelu jest to zasilacz 24V. Usłyszymy charakterystyczne piknięcie dające nam znać że routerboard jest gotowy do pracy. Port nr.1 posłuży nam do pobrania adresu od dostawcy internetowego. Należy wybrać jeden z portów 2-5 w celu konfiguracji urządzenia i podłączyć do komputera. Tutaj został wykorzystany do tego port numer 3.

2. Kiedy podłączymy odpowiednio nasze urządzenie jesteśmy gotowi do konfiguracji. Instalujemy oprogramowanie "WinBox". Uruchamiamy program "jako administrator" następnie przechodzimy do zakładki "Neighbors" i wciskamy przycisk "Refresh". Na liście powinien pojawić się wpis klikamy na "adres mac". Standardowy "login" do naszego roterborda to admin bez hasła a adres ip "192.168.88.1" pole "password" więc należy pozostawić puste, następnie klikamy "connect".

3. Po poprawnym połączeniu powinien ukazać się nam następujący widok. Jeśli chcemy zachować podstawowe ustawienia klikamy przycisk "ok". Po zachowaniu podstawowych ustawień mikrotik powinien pobrać adres od operatora internetowego i powinniśmy mieć dostęp do internetu. Zamykamy pozostałe okna krzyżykiem.

4. Następnie wybieramy z listy po lewej stronie wybieramy opcję "Quick Set" wyskoczy nam okienko do konfiguracji roterborda jako Acces Pointa

5. Klikamy strzałkę w dół aby rozwinąć listę w której wybieramy tryb "Home AP"

6. Teraz konfigurujemy naszego Home AP na zdjęciu pokazana jest przykładowa konfiguracja. W polu "Network Name" wpisujemy nazwę naszej sieci. Pole "Frequency" pozostawiamy na auto są to kanały nadawania naszego routera. W poolu "Band" możemy wybrać standardy naszej sieci. Standardowo mikrotik ustawia standard B/G/N. Jeżeli jesteśmy pewni że wszystkie urządzenia jakie mają korzystać z naszej sieci posiadają radia które nadają w standardzie N. Możemy w takim wypadku zmienić ustawienia aby nasz Acces Point nadawał tylko w standardzie N. Jednak urządzenia które nie nadają w tym standardzie niestety nie będą wstanie się połączyć z naszym routerem. W polu "Counrtry" z rozwijanej listy za pomocą strzałki wybieramy "Poland". Następnie przy "Wi-Fi Paswword" klikamy czarną strzałeczkę oraz klikamy w białe pole i wpisujemy hasło do naszej sieci. W zakładce "Internet" zostawiamy podstawową konfiguracje na automatyczną. Teraz zajmiemy się zakładką "LocalNetwork". Pole "IP address" jest to adres IP naszego mikrotika, "netmask" to nasza maska podsieci, a "DHCP Srerver Range" to nasza pula adresów Acces Pointa. Ustawienia można pozostawić bez zmian. W zakładce "System" wpisujemy hasło do naszego mikrotika. Hasło które wpiszemy będziemy wpisywać za każdym razem w Winboxie gdy będziemy łączyć się z naszym routerbordem. Klikamy w prawym rogu na przycisk "Apply" w celu zapisania naszych ustawień.

7. Następnie łączymy się z naszą siecią wybierając zależnie od systemu operacyjnego jaki posiadamy. W tym wypadku Windows 7 klikamy w prawym rogu koło zegara systemowego na ikonkę sieci. Następnie klikamy odśwież w prawym górnym rogu na naszej liście dostępnych sieci szukamy nazwy naszego mikrotika jaką wpisaliśmy wcześniej w polu "Network Name". Klikamy na nazwę następnie połącz wyskoczy nam okienko podajemy w nim hasło które wpisaliśmy w polu "Wi-Fi password".

Ponieważ OpenVPN bazuje na certyfikatach, zaczniemy od wygenerowania 3 certyfikatów. Dla serwera, klienta i certyfikat CA.

Przechodzimy na zakładkę "System->Certificates" następnie, dodajemy nowy certyfikat.

Zaczniemy od wygenerowania własnego CA, którym w późniejszym etapie podpiszemy certyfikat dla klienta i serwera.

Name: podajemy dowolną nazwę
Common: podajemy nazwę domeny/zewnętrzny adres ip
Key Size: 8192, czyli długość klucza
Days Valid 3650, termin ważności klucza czyli 10 lat

Przechodzimy do zakładki "Key Usage" w której zaznaczamy tylko "key cert." i "sign, crl sign"

Przejdźmy do wygenerowania klucza dla serwera, klikając na zakładkę "System->Certificates" następnie, dodając nowy certyfikat, którego w późniejszym etapie podpiszemy certyfikatem CA.

Name: podajemy dowolną nazwę
Common: podajemy nazwę domeny/zewnętrzny adres ip
Key Size: 8192, czyli długość klucza
Days Valid 3650, termin ważności klucza czyli 10 lat

Przechodzimy do zakładki "Key Usage" w której zaznaczamy "digital signature", "key cert. sign", "crl sign", "key enciphement", "data enciphement", "tls client" i "tls server".

Przejdźmy do wygenerowania klucza dla klienta, klikając na zakładkę "System->Certificates" następnie, dodając nowy certyfikat, przejdźmy do wygenerowania klucza, którego w późniejszym etapie podpiszemy certyfikatem CA.

Name: podajemy dowolną nazwę
Common: podajemy nazwę domeny/zewnętrzny adres ip
Key Size: 8192, czyli długość klucza
Days Valid 3650, termin ważności klucza czyli 10 lat

Przechodzimy do zakładki "Key Usage" w której zaznaczamy "digital signature", "key cert. sign", "crl sign", "key enciphement", "data enciphement", "tls client" i "tls server".

Po wygenerowaniu certyfikatu dla serwera i klienta musimy je podpisać naszym certyfikatem CA. Czas podpisywania zależy od CPU routera, i może zająć nawet kilkanaście minut. Certyfikaty możemy podpisać na dwa sposoby. Za pomocą terminala oraz z poziomu winbox’a.

Przechodzimy do "System->Certificates" klikamy prawym przyciskiem myszy na certyfikacie, po czym z menu kontekstowego wybieramy "Sign".

Przy wpisie w polu "CA CRL Host:" podajemy publiczny adres ip, następnie klikamy start. Przy wpisie "Progres" zobaczymy aktualny status, kiedy certyfikat zostanie podpisany otrzymamy informacje "done".

Po podpisaniu certyfikatu CA możemy przejść do podpisania certyfikatu dla klienta, przy wpisie Certificate: wybieramy z listy certyfikat klienta, po czym obok wpisu "CA:" wybieramy nasz certyfikat CA w tym przypadku "myCA". Następnie klikamy przycisk "Start" i czekamy na uzyskanie statut "done".

Kiedy podpiszemy juz certyfikat dla klienta możemy przejść do podpisywania dla serwera. Ponownie wybieramy certyfikat CA w tym przypadku "myCA". Następnie z dostępnej listy certyfikatów wybieramy certyfikat serwera w tym przypadku "server" po czym klikamy "Start" i czekamy na uzyskanie statutu done.

Kiedy już prawidłowo podpiszemy nasze certyfikaty powinniśmy uzyskać przed nazwą certyfikatów powyższy efekt. Certyfikat CA powinien mieć statut "KLAT" dla klienta "KA", a serwera "KAT".

Tworzymy osobną pulę adresową dedykowaną dla połączeń VPN. Klikamy na "IP->pool" i dodajemy nową pulę.

Przy wpisie "Name" podajemy dowolną nazwę przy wpisie "Address" podajemy pule adresów po czym klikamy "Apply"

Przechodzimy na "PPP" zakładka "Profiles" i dodajemy profil dla klientów VPN.

Name: podajemy dowolnie
Local Address: w tej samej sieci co wcześniej stworzona pula. Np. 10.0.0.1
Remote Address: wybieramy pulę vpn
Use Encryption: zaznaczamy na required

Przechodzimy do zakładki "Secret" i znakiem plusa dodajemy nowe konto.

Przy wpisie "Name" podajemy nazwę użytkownika następnie, przy "Password" wrpowadzamy hasło , po czym przy "Service" wybieramy z rozwijanej listy "openvpn". W "Profile" wybieramy wcześniej utworzony przez nas profil. Zatwierdzamy ustawienia wciskając przycisk "Apply".

Pozostaje nam jeszcze włączenie serwera, w tym celu przechodzimy na zakładkę "Interface", będąc oczywiście dalej w "PPP"

Uruchamiamy serwer zaznaczając przy wpisie "Enabled", przy wpisie "Default Profile" z listy wybieramy wcześniej utworzony profil, po czym obok "Certificate" wybieramy z listy wcześniej wygenerowany certyfikat dla serwera. Odznaczamy szyfrowanie "aes 192" i "aes 128" w celu zwiększenia bezpieczeństwa, zatwierdzamy ustawienia klikając przycisk "Apply".

Ostatnia z rzeczy jakie musimy ustawić na Mikrotiku to odblokowanie portu "1194" dla połączeń przychodzących (Input).

Przechodzimy do "IP->Firewall" dodajemy nową regułę.

Chain: wybieramy input
Protocol: tcp
Dst. Port: 1194
Action: accept

Umieszczamy utworzoną regułę nad instniejącą "drop invalid"

1. Przechodzimy do zakładki "System" wybieramy z listy "Packages".

2. Wyskoczy nam okno klikamy przycisk "Check For Updates".

3. W następującym oknie przy wpisie "channel" rozwijamy listę wybieramy wersję "current" następnie klikamy "Download&Install" mikrotik się zresetuje.