Archiv rubriky: Nastavení routeru Mikrotik

Seriál o nastavení routeru Mikrotik.

WireGuard klient ve Windows pro ne-administrátorský účet (non-admin account)

Aplikaci pro WireGuard klienta ve Windows musíme nainstalovat pod administrátorským účtem a tam i provést konfiguraci tunelu. Ne-administrátorský uživatel nemá oprávnění vytvářet nové tunely. Popis nastavení a konfiguraci tunelu najdete v článku Instalace WireGuard klienta pro Windows a nastavení na mikrotiku.

Ve výchozím nastavení pouze Administrátoři můžou zobrazit grafické rozhraní GUI WireGuard. Aby GUI mohli otevřít i jiní uživatelé, musíme do registrů přidat proměnnou LimitedOperatorUI typu DWORD a nastavit hodnotu na 1, která se nachází v klíči HKLM\Software\WireGuard\.

Případně si vytvoříme soubor s příponou <jméno souboru>.reg a s obsahem a přidáme jej do registru:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\WireGuard]
"LimitedOperatorUI"=dword:00000001

Bez úpravy v registrech se zobrazí chybová hláška „WireGuard je spuštěn, ale uživatelské rozhraní je přístupné pouze uživatelům Builtin skupiny Administrators“ v angličtině „WireGuard is running, but the UI is only accessible from desktops of the Builtin Administrators group“:

error run gui wiregeuad for non-admin account

Dalším krokem, bude přidání uživatele do skupiny „Network Configuration Operators“. A to z toho důvodu, že běžní uživatelé nemají oprávnění nastavovat síťové rozhraní. To provedeme spuštěním lusrmgr.msc s oprávněním správce. Vybereme skupinu „Network Configuration Operators“ a do ní přidáme uživatele, který se může připojovat do tunelu.

 wireguard non-admin account

Přihlásíme se ne-administrátorským účtem, zobrazíme GUI WireGuard, vybereme tunel a kliknutím na „Aktivovat“ se připojíme.

Instalace WireGuard klienta pro Windows a nastavení na mikrotiku

Nastavení WireGuard na Mikrotiku

V mikrotiku Winbox>WireGuard>WireGuard>+ vytvoříme nový interface pro WireGuard. Tím se nám vygeneruje privátní a veřejný klíč pro server. Privátní klíč nikde nezveřejňujeme. Tunel pojmenujeme. V listen port, můžeme změnit výchozí port 13231 na jiný.

Vytvoříme rozhraní WireGuard

V Winbox>IP>Adderess nastavíme IP adresu pro Wireguard server např. 172.16.xxx.1

Přiřadíme wireguard IP adresu

Následně v Winbox>WireGuard>Peers>+ vytvoříme nový peer pro klienta. Vybereme správné rozhraní WireGuard. A nastavíme Allowed Address na IP adresu klienta. Pro nastavení musíme mít na klientu vygenerovaný privátní a soukromý klíč.

Konfigurace klíčů na mikrotiku a ve Windows

Instalace WireGuard klienta pro Windows

Instalaci WireGuard na Windows musíme provést pod účtem s oprávněním správce. Pokud bude tunel využívat uživatel, který nemá oprávnění správce, přejděte na Instalace WireGuard pro ne administrátorský účet (non-admin account).

WireGuard klienta si stáhneme ze stránek https://www.WireGuard.com/install/.

Po instalaci si otevřeme ovládací panel WireGuard. Klikneme na „Přidat tunel“ a zde vybereme „Přidat prázdný tunel“ klávesová zkratka CTRL+N.

Přidání tunelu

Automaticky se nám vygeneroval veřejný a privátní klíč. Privátní klíč nikdy nikomu nesdělujeme. Tunel pojmenujeme.

nastavení tunelu

V nastavení [Interface] přidáme adresu rozhraní a IP DNS. Kde x je stejné jako nastavíme v Mikrotiku pro daný peer.

[Interface]
Privatekey = <privátní klíč klienta, nikdy nikomu nesdělujeme>
Address = 172.16.0.x/32
DNS = 8.8.8.8, 1.1.1.1

V sekci [Peer] nastavíme veřejný klíč serveru, povolené IP a adresu WireGuard serveru s portem.

[Peer]
PublicKey = <veřejný klíč serveru>
AllowedIPs = 0.0.0.0/0
Endpoint = <IP adresa serveru>:<port>
//volitelně
PersistentKeepalive = 10

Konfigurace klíčů na mikrotiku a ve Windows

Připojení do VPN

Kliknutím na Aktivovat se připojíte do tunelu.

Připojení do tunelu

Odpojení od VPN

Kliknutím na deaktivovat se odpojíte od tunelu.

odpojení od tunelu

Mikrotik: změna WAN z DHCP na statickou IP adresu

Zakážeme DHCP klienta v IP>DHCP client>ether1-gateway. Pokud by jsme to neudělali a v síti by běžel DHCP server, tak se bude mikrotik snažit načíst adresu z DHCP serveru.

Pro rozhraní ether1-gateway přidáme pevnou IP adresu v IP>Addresses>+

Hodnoty vyplníme dle údajů od poskytovatele připojení.

Dále nastavíme výchozí bránu IP>Routes>+

Dst. Address 0.0.0.0/0
Gateway 188.246.98.97

Dále nastavíme DNS v IP>DNS a zde nastavíme hodnoty dle poskytovatele. Případně můžeme přidat free DNS servery od společnosti Google 8.8.8.8 a 8.8.4.4.

Statické nastavení DNS IP>DNS>Static>Settings pro přidání svých zařízení pro překlad adres.

Mikrotik: LAN jako DHCP server

V našem příkladu budeme chtít, aby nám DHCP server běžel na adrese 192.168.2.1. To provedeme následovně.

  1. změníme rozsah přiřazovaných adres DHCP serverem v IP>POOL>POOLS
    proměnou default-dhcp nastavíme na 192.168.2.200-192.168.2.229

  2. změníme adresu DHCP serveru IP>DHCP server>Networks
    proměnou Adress na 192.168.2.0/24
    Gateway 192.168.2.1
    DNS server 192.168.2.1

  3. teď můžeme změnit adresu rozhraní ether2-master-local na 192.168.2.1
    to provedeme v IP>Addresses
    Address 192.168.2.1/24
    Network 192.168.2.0

Pokud máme vytvořený bridge (např. LAN+WiFi) a chceme na všech rozhraních použít stejný DHCP server, tak musíme nastavit proměnnou interface v IP>DHCP server>DHCP><název DHCP serveru> na bridge.

Nastavení DHCP serveru na bridge

Nastavení DHCP serveru na rozhraní bridge

Privátní rozsahy IP adres

Prefix

První adresa

Poslední adresa

Počet adres

10.0.0.0/8

10.0.0.0

10.255.255.255

16,777,216

172.16.0.0/12

172.16.0.0

172.31.255.255

1,048,576

192.168.0.0/16

192.168.0.0

192.168.255.255

65,536

Mikrotik: WAN jako DHCP client

Základní nastavení je přednastavené již od výrobce (RB750). LAN DHCP server běží na adrese 192.168.88.1. Pokud by vymažete defaultní nastavení a konfigurujete mikrotika ručně, tak nového DHCP klienta na WANu vytvoříme v sekci IP>DHCP client>+. Poté nastavíme interface na kterém DHCP klient poběží.

WAN jako DHCP client

WAN jako DHCP client

Mikrotik: statický DNS a přenesení DNS od poskytovatele

IP>DNS>

Hodnoty vyplníme dle poskytovatele. Případně můžeme přidat free DNS server od google s adresou 8.8.8.8 a 8.8.4.4.

IP>DNS>Static> nastaveni lokálních hostname

Povolit přenesení DNS od poskytovatele pomocí volby Allow Remote Requests.

přenesení DNS od poskytovatele

přenesení DNS od poskytovatele

Mikrotik: SNTP klient (automatické nastavení času)

SYSTEM>SNTP Client

Zašktrknout „enabled“, přepnout mód na „unicast“ a nastavit servery na:

64.236.96.53

ntp.nic.cz (217.31.202.100), time-nw.nist.gov (131.107.13.100), ntp.amnic.net (195.43.74.123)

SYSTEM>Clock

a nastavit „Time zone“ na „Europe/Prague“

/system clock
set time-zone-name=Europe/Prague
/system ntp client
set enabled=yes primary-ntp=217.31.202.100 secondary-ntp=131.107.13.100

Mikrotik: změna hesla administrátora

Klikneme na „System>password“ a zadáme staré a nové heslo.

Změna hesla

Změna hesla

Mikrotik: export a import konfiguračního souboru a záloha konfigurace

Export a import konfiguračního souboru

Potřebujeme-li vyexportovat nastavení mikrotiku v textové podobě lze použít příkazy export a import. Možnost tohoto exportu oceníte při přenosu nastavení na jiný typ routru mikrotik. Případně pokud hledáte chybu v nastavení, tak zjistíte všechny změny od defaultního nastavení. Při exportu se neexportuje heslo administrátora, ale hesla uživatelů do VPN a podobné nastavení se vyexportují včetně uživatelského jména a hesla.

/export compact file=nazev-souboru
/import nazev-souboru.rsc

Ve složce Files vznikce soubor nazev-souboru.rsc kde jsou veškerá nastavení.

Pokud při importu dojde k chybě „already have device with such name“ je většinou způsobeno nesmazaným Bridgem z defaultní konfigurace. Před importem je nejlepší provést reset do výchozího nastavení a následně odstranit defaultní kongiguraci. A pak provést import nastavení. Pokud používáme kartu Mini PCIe 3G/LTE je potřeba před importem provést přenastavení karty v System>Routeboard>USB a vybrat Mini PCIe.

Jestli mikrotik při importu hlásí chyby, je dobré před nastavením smazat z mikrotiku veškeré nastavení, pomocí příkazu:

/system reset-configuration no-defaults=yes skip-backup=yes

případně:

/system reset-configuration no-defaults=yes run-after-reset=<název souboru umístěný v pevné paměti>

Nastavení lze vymazat i přes konzoli winbox a to v nabídce System>Reset configuration.

Import rsc souboru

Reset konfigurace přes aplikaci Winbox

Dále doporučuji do rsc souboru se zálohou nastavení přidat na první řádek, tento příkaz:

:delay 10

A rovnou nastavit i heslo pro přihlášení:

pass old-password="" new-password="<nové heslo>" confirm-new-password="<nové heslo>"

Záloha nastavení

Pokud provede zálohu nastavení pomocí nabídky Files>Backup tak se vytvoří binární soubor který obsahuje všechna nastavení a data. Je to ideální nastavení pokud měníte kus za kus. Ale pokud chcete použít stejné nastavení na jiném mikrotiku potažmo v jiném místě dejte si pozor na to že automaticky dojde k přenastavení MAC adress dle původního mikrotiku. Vymazat nastavení MAC adresy lze v Interface>název-připojení a na záložce General klikneme na tlačítko Reset Mac Address.

Mikrotik: netinstall aneb oprava RouterOS

Stáhneme si Netinstall a stabilní firmware. Propojíme PC s RB UTP kabelem do portu LAN1. Na síťové kartě nastavíme např. adresu 192.168.88.3. V Netinstall klikneme na položku NetBooting, povolíme položku Boot server enabled a nastavíme IP adresu např 192.168.88.2 kterou chceme přiřadit mikrotiku. Odpojíme napájení od Mikrotiku a zmáčkneme tlačítko reset. Za stálého držení připojíme power a držíme 15s (zhasne LED dioda USR). Poté by jsme měli Mikrotik vidět v aplikaci Netinstall. Pomocí Browse nalistujeme adresář s firmware . Z nabídky vybereme firmware, který chceme použít a spustíme instalaci kliknutím na tlačítko Install.

Mikrotik netinstall

Mikrotik netinstall

Mikrotik netinstall

Mikrotik netinstall

Po úspěšném přehrání RouterOS je potřeba mikrotik restartovat s novou konfigurací. Čili odpojit napájení a podržet reset po dobu 5 sekund po připojení napájení.

A následně proveďte upgrade firmware v System routerboard.