MỤC LỤC HƯỚNG DẪN MIKROTIK Sơ lược router mikrotik Kết nối đến internet bằng dịch vụ PPPOE Kết nối internet với 4G Kết nốI internet bằng tính DHCP Client Tạo BridgeLan DHCP Sever 10 DNS 11 DNS ứng dụng 12 NAT 14 BẢO VỆ ROUTER – HỆ THỐNG INTERNET 15 Memcrashed - Các công khuếch đại UDP 11211 15 Chống công DDoS 16 Chống QUÉT CỔNG 16 Chống Hack từ BruteForce FTP + SSH 16 Port Knocking Sử dụng Icmp + Kích thước gói .16 Cài đặt thời gian router Mikrotik 17 Nat và hairpinNat 20 Chặn repeat sóng wifi 24 Fasttrack kết nối 24 CHỈ ĐƯỜNG – ĐỊNH TUYẾN 27 Ví dụ thực hiện định tuyến kết nối qua Wan2 truy cập youtube 28 Giới Hạn Băng Thông 31 Cách 1: giới hạn theo từng ip lớp mạng và được đặt sẵn bằng lệnh 31 Cách 2: giới hạn băng thông dựa vào kết nối của người dùng là bình thường hay nặng 31 Cách 3: Tập lệnh này kiểm tra xem tải xuống giao diện có lớn 512kbps hay khơng, thì hàng đợi thêm vào để giới hạn tốc độ 256kbps 32 Cách 4: xác định kết nối của dịch vụ, ứng dụng và ưu tiên hoặc giới hạn băng thông 33 CÂN BẰNG TẢI WAN 33 Chuyển đổi dự phòng với NETWATCH PING .37 Sử dụng ip tĩnh phân phối xuống router 37 Thiết lập email cho cơng cụ phân tích, cảnh báo, backup 40 Tunnel giữa chi nhánh 44 VPN ipsec theo kiểu client to site 46 PPPOE SEVER 49 RADIUS KẾT HỢP PPPOE SEVER 51 Tạo máy chủ radius: 51 HOTPOST KẾT HỢP MIKHMON 57 Tạo user và quản lý với mikhmon 62 Hướng dẫn nhanh Mikhmon + Webserver 63 Sơ lược router mikrotik File hướng dẫn bao gồm nhiều tính : - bạn có đường wan loadbalance , dự phòng chủ động chế ping qua wan loss down wan1 Up wan2 lên đường cực nhanh tự động lỗi truy cập internet với wan mà ko có thuật tốn làm hệ thống loss gói tin tồn -ý tưởng tối ưu cho game, ứng dụng, dịch vụ làm cho hệ thống mạng nhanh chóng khơng bị ảnh hưởng người dùng có hành vi download Tập tin lớn -Bảo vệ router khỏi công ddos, ftp, ssh, scan port, Điều mà bỏ qua đơi bạn thấy mạng chậm lag tồi tệ - định tuyến đem đến khả chủ động đường qua đường wan tuyệt vời -Nếu gia đình bạn e ngại vấn đề truy cập trang web đen đc xử lý với mikrotik Yên tâm cho quý phụ huynh -Hệ thống lập lịch giúp quý phụ huynh định hướng cho môi trường internet lối sống lành mạnh - Dành cho mơ hình qn cafe, nhà hàng có ý tưởng nhiều lớp mạng, phân tách khách hàng có mơi trường internet ổn định - Nếu bạn muốn hệ thống wifi dành cho nhà trọ, phòng trọ giá internet sinh viên đến với mơ hình hotpost voucher quản lý user kết hợp kiểm toán mikhmon -pppoe sever mơ hình dành cho ISP mini, phù hợp chung cư v v Kết nối đến internet bằng dịch vụ PPPOE Giao thức PPPOE (giao thức điểm - điểm qua Ethernet) cung cấp quản lý ngườI dùng, quản lý mạng lợI Ích kế toán rộng rãI cho ISP quản trị viên mạng Để quay số PPPOE router cần chuyển đổI mơ hình internet thơng thường sang ONT bridge, lúc modem nhà mạng đóng vai trị chuyển đổI tín hiệu quang sang điện router thực nhiệm vụ xác thực, kết nối mạng,…v v… Bước 1: Với ISP cần khai báo Vlan Viettel Vlan 35 cần khởi tạo Vlan Với ethernet mikrotik kết nốI vớI modem nhà mạng cổng không nằm giao diện bridge khác VLAN ID = 35 : số vlan nhà cung cấp yêu cầu Interface=ether1 port kết nốI đến modem nhà mạng Cổng ether1 không nằm bridge Bước 2: Quay pppoe VLan đã tạo User Pass : ISP cung cấp cho bạn Route Distance: số định đường wan hay dự phịng Đường wan có số nhỏ active cịn đường wan có số lớn stanby Nếu nhà cung cấp dịch vụ khơng u cầu vlan trực tiếp đến bước khai báo PPPoE.với interface port số cắm vào modem nhà mạng Chỉ số : Distance số ưu tiên có nhiều đường wan đường wan có số nhỏ hoạt động đường wan số lớn chế độ dự phòng Code Terminal: /interface pppoe-client add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 \ password=1235678 use-peer-dns=yes user=ductv_ld01 /ip firewall nat add action=masquerade chain=srcnat out-interface=pppoe-out1 *Phần bôi đỏ: chỉnh sửa theo acc ISP cung cấp port tương ứng Kết nối internet với 4G Giao diện router nhận USB 4G bạn có Code Terminal: /interface lte set [ find ] name=lte1 /ip firewall nat add action=masquerade chain=srcnat out-interface=lte1 Kết nốI internet bằng tính DHCP Client Tính có tác dụng cho thiết bị mikrotik nhận ip từ thiết bị khác truy cập internet bình thường Khác hồn tồn với quay số PPPOE khơng cần xác thực  Chỉ số ưu tiên giữa đường kết nối internet Cần lưu ý Tạo BridgeLan Nhóm cổng lan lại với chạy dhcp thực Đặt IP cho Lớp mạng Lan   Address lớp mạng lan bạn muốn interface nhóm cổng lan với thành chung bridge Cài đặt nhanh dán lệnh dưới vào terminal: /interface bridge add add-dhcp-option82=yes dhcp-snooping=yes igmp-snooping=yes name=bridgeLAN /ip address add address=192.168.1.1/24 interface=bridgeLAN network=192.168.1.0 /interface bridge port add bridge=bridgeLAN interface=wlan1 add bridge=bridgeLAN interface=wlan2 add bridge=bridgeLAN interface=ether2 add bridge=bridgeLAN interface=ether3 add bridge=bridgeLAN interface=ether4 DHCP Sever Giao thức cấu hình cấp phát IP tự động gọi tắt DHCP sever dùng để phân phốI địa IP dễ dàng mạng nộI CHIA SẺ HƯỚNG DẪN CẤU HÌNH MIKROTIK Thiết lập router: Bật xác thực qua radius máy chủ ĐỨCTẰNGVĂN-MIKROTIK-0869529252 CHIA SẺ HƯỚNG DẪN CẤU HÌNH MIKROTIK Kết xác thực thành công: HOTPOST KẾT HỢP MIKHMON Lưu ý với mơ hình hotpost, tính nặng nên cần: - Sử dụng router quay pppoe router thứ quản lý hệ thống hotpost xác thực người dùng Với tivi smart có wifi cần cố định kết nối lần mở tivi phải đăng nhập bằng web bất tiện Sau thiết lập có internet bảo mật router Chúng ta thực setup hotpost Bước 1: Khai báo Vlan-hotpost mơ hình mạng có nhiều lớp mạng song song Nếu chạy hotpost khơng có vlan thực qua bước ĐỨCTẰNGVĂN-MIKROTIK-0869529252 CHIA SẺ HƯỚNG DẪN CẤU HÌNH MIKROTIK Đặt Ip cho Vlan vừa Tạo: Bước 2: khởi Tạo Hotpost ĐỨCTẰNGVĂN-MIKROTIK-0869529252 CHIA SẺ HƯỚNG DẪN CẤU HÌNH MIKROTIK Bạn đã khởi tạo xong hotpost với user admin pass :”trống” ĐỨCTẰNGVĂN-MIKROTIK-0869529252 CHIA SẺ HƯỚNG DẪN CẤU HÌNH MIKROTIK Bước 3: Cơ chế xác thực user: Phải có login by: HTTP chap HTTPS kết hợp vơi Mac Trial Tắt cookie để không lưu kết nối user trial: thực click để kết nối Lưu ý chỉnh sửa thời gian reset trial uptime cho phù hợp Hầu hết thiết bị, chẳng hạn điện thoại thông minh đại, thực số loại kiểm tra để xem liệu chúng có nằm sau cổng bị khóa hay khơng Họ thực điều bằng cách yêu cầu trang web đã biết so sánh nội dung trang với nội dung chúng Nếu nội dung khác nhau, thiết bị giả định rằng có trang đăng nhập tạo cửa sổ bật lên với trang đăng nhập Điều lúc xảy ra, "trang web đã biết" bị chặn, nằm danh sách trắng truy cập mạng nội Để cải thiện chế này, RFC 7710 đã tạo ra, cho phép HotSpot thông báo cho tất máy khách DHCP rằng họ đứng sau thiết bị cổng bị khóa họ cần xác thực để truy cập Internet, trang web họ làm không yêu cầu Tạo file JSON: bằng cách coppy đoạn mã vào TXT lưu “api.json” { "captive": $(if logged-in == 'yes')false$(else)true$(endif), "user-portal-url": "$(link-login-only)", $(if session-timeout-secs != 0) "seconds-remaining": $(session-timeout-secs), $(endif) $(if remain-bytes-total) "bytes-remaining": $(remain-bytes-total), $(endif) "can-extend-session": true } ĐỨCTẰNGVĂN-MIKROTIK-0869529252 CHIA SẺ HƯỚNG DẪN CẤU HÌNH MIKROTIK mặc định giao diện mikrotik Hotpost có click kết nối user – pass ĐỨCTẰNGVĂN-MIKROTIK-0869529252 CHIA SẺ HƯỚNG DẪN CẤU HÌNH MIKROTIK Để chỉnh sửa giao diện vào FTP: mở dịch vụ FTP Truy cập thư mục gốc bằng user – pass Router với ip gateway hotpost: 192.168.20.1 Và đăng nhập: pass login pass router đăng nhập winbox ĐỨCTẰNGVĂN-MIKROTIK-0869529252 CHIA SẺ HƯỚNG DẪN CẤU HÌNH MIKROTIK ĐỨCTẰNGVĂN-MIKROTIK-0869529252 CHIA SẺ HƯỚNG DẪN CẤU HÌNH MIKROTIK Đến thư mục Hotpost: Thư mục này bạn có thể lấy hotpost từ bên ngoài và thay thế toàn bộ thư mục để có được giao diện web mong ḿn Tạo user và quản lý với mikhmon Chuẩn bị cài đặt Đặt Máy chủ NTP Máy khách SNTP MikroTik Hệ thớng -> Máy khách SNTP Máy chủ NTP lấy tại trang web sau, NTPPOOL.ORG GOOGLE PUBLIC NTP ĐỨCTẰNGVĂN-MIKROTIK-0869529252 CHIA SẺ HƯỚNG DẪN CẤU HÌNH MIKROTIK Máy chủ thời gian Internet NIST Cài đặt Hướng dẫn nhanh Mikhmon + Webserver Tải xuống và giải nén [mikhmonv3ws.zip] ĐỨCTẰNGVĂN-MIKROTIK-0869529252 CHIA SẺ HƯỚNG DẪN CẤU HÌNH MIKROTIK Run [MikhmonServer] / Chạy với tư cách quản trị viên Nhấp vào Mở Mikhmon hoặc mở http://127.0.0.1 trình duyệt (khuyến nghị sư dụng Google Chrome).cần mở port 80 mikrotik = ipsevices port 80 ĐỨCTẰNGVĂN-MIKROTIK-0869529252 CHIA SẺ HƯỚNG DẪN CẤU HÌNH MIKROTIK Đăng nhập mật người dùng mặc định Username : mikhmon Password : 1234 Nhấp vào Thêm định tuyến Điền vào MikroTik IP, người dùng và mật khẩu, sau lưu và nhấp vào Kết nối để kiểm tra kết nối với MikroTik ĐỨCTẰNGVĂN-MIKROTIK-0869529252 CHIA SẺ HƯỚNG DẪN CẤU HÌNH MIKROTIK IP sư dụng IP ether1, kiểm tra từ Winbox:ip->address->ether1 Ipwan router Mật khẩu winbox router Tạo Hồ sơ người dùng mới hoặc cập nhật Hồ sơ người dùng cũ cách chọn Chế độ hết hạn Điều chỉnh cần thiết ĐỨCTẰNGVĂN-MIKROTIK-0869529252 CHIA SẺ HƯỚNG DẪN CẤU HÌNH MIKROTIK 10 Hồ sơ Người dùng đã sẵn sàng, sau bạn thêm người dùng hoặc tạo người dùng và in chứng từ 11 Với Ap wifi khơng cần xác thực để có internet thêm địa mác thiết bị vào ip bindings ĐỨCTẰNGVĂN-MIKROTIK-0869529252 CHIA SẺ HƯỚNG DẪN CẤU HÌNH MIKROTIK ĐỨCTẰNGVĂN-MIKROTIK-0869529252 ... +\.(youtube.com|googlevideo.com|akamaihd.net|youtu.be).*$" ĐỨCTẰNGVĂN -MIKROTIK- 0869529252 CHIA SẺ HƯỚNG DẪN CẤU HÌNH MIKROTIK Xác định địa đến Youtube: ĐỨCTẰNGVĂN -MIKROTIK- 0869529252 CHIA SẺ HƯỚNG DẪN CẤU HÌNH MIKROTIK Định danh kết... ĐỨCTẰNGVĂN -MIKROTIK- 0869529252 CHIA SẺ HƯỚNG DẪN CẤU HÌNH MIKROTIK Bước Thêm cổng vào Bridge chuyển chế độ bridge chế độ cổng ĐỨCTẰNGVĂN -MIKROTIK- 0869529252 CHIA SẺ HƯỚNG DẪN CẤU HÌNH MIKROTIK. .. CHIA SẺ HƯỚNG DẪN CẤU HÌNH MIKROTIK Bước 4: Nat – mở Port Mỗi cần mở port thì thực hiện bước Chặn repeat sóng wifi ĐỨCTẰNGVĂN -MIKROTIK- 0869529252 CHIA SẺ HƯỚNG DẪN CẤU HÌNH