Académique Documents
Professionnel Documents
Culture Documents
com
ADMINISTRATION DE
BASE DU RÉSEAU
AVEC MIKROTIK
ROUTEROS
PAR
LINDA
TENE
OBJECTIFS
A la fin de ce cours, l'étudiant devra :
• Familiarisez-vous avec le logiciel Routeros et les produits de carte de routeur
• Être capable de configurer, gérer, faire le dépannage de base d'un routeur mikrotik
• Être en mesure de fournir des services de base aux clients
CONTOUR
• Premier accès au routeur
• Mise à niveau des routeurs
• Gérer les connexions des routeurs
• Configuration (accès internet)
• Notions de base sur le routage
• Aperçu des passerelles
• Sans fil
• Notions de base sur le pare-feu
• File d'attente simple
• Point chaud
INTRODUCTION- Qu'est-ce que le routeur OS ?
• Si toujours
dans le
navigateur,
faites dé filer
vers le bas et
cliquez sur
« dé connexion
»
• Tu verras:
• Cliquez
sur «
Winbox »
• sauvegarder
"winbox.exe"
9
WINBOX ET MAC-WINBOX
• Cliquez sur
l'icô ne de
WinBox.
• adresse IP
192.168.88.1
puis cliquez
sur «
Connecter »
• Tu verras:
– Cliquez sur OK"
2013-01-0110
LES MENUS DE LA WINBOX
2013-01-0111
PORT DE CONSOLE
• Nécessite que
l'ordinateur soit
connecté au
routeur via un
null-modem
(port RS-232).
– La valeur par
dé faut est
115200bps, 8 bits
de donné es, 1 bit
d'arrê t, non
parité
2013-01-0112
SSH ET TELNET
15
QUAND METTRE À NIVEAU
2013-01-0116
AVANT DE MISE À NIVEAU
18
COMMENT MISE À NIVEAU
• Trois façons
– Té lé chargez le(s) fichier(s) et copiez-le sur le routeur.
– « Vé rifier les mises à jour » (Systè me -> Paquets)
– Mise à niveau automatique (Systè me -> Mise à niveau
automatique)
19
TÉLÉCHARGEMENT DES FICHIERS
2013-01-0123
MISE À NIVEAU DU FIRMWARE DU
ROUTERBOOT
2013-01-0126
SERVICES IP
2013-01-0127
SERVICES IP
• Sauvegarde binaire
• Exportation des configurations
2013-01-0130
SAUVEGARDES BINAIRES
2013-01-0131
EXPORTER DES FICHIERS
• Configuration
complète ou
partielle
• Gé nè re un fichier de script ou
envoie à l'é cran
• Utilisez « compact » pour afficher
uniquement les configurations
autres que celles par défaut (par
défaut sur ROS6)
• 6 niveaux de licences
– 0 : Dé mo (24 heures)
– 1 : Gratuit (trè s limité )
– 3 : WISP CPE (client Wi-Fi)
– 4 : WISP (né cessaire pour exé cuter un point d'accè s)
– 5 : WISP (plus de capacité s)
– 6 : Contrô leur (capacité s illimité es)
36
LICENCES
37
MISE À JOUR DES LICENCES
2013-01-0138
UTILISATION DES LICENCES
2013-01-0141
CONCEPTS DE ROUTAGE
2013-01-0143
CONCEPTS DE ROUTAGE , EXEMPLE
2
2013-01-0144
DRAPEAUX D'ITINÉRAIRE
2013-01-0145
Routage statique
2013-01-0146
ITINÉRAIRES STATIQUES
2013-01-0148
ITINÉRAIRES STATIQUES
• Comprendre les champs
– Drapeaux : L'é tat de chaque itiné raire, comme expliqué dans les
diapositives pré cé dentes
– Dst. Adresse: L'adresse de destination pour laquelle cet itiné raire est
utilisé .
– passerelle : En rè gle gé né rale, l'adresse IP du prochain saut qui
recevra les paquets destiné s à « Dst. Adresse".
– Distance : Valeur utilisé e pour la sé lection de l'itiné raire. Dans les
configurations où diffé rentes distances sont possibles, l'itiné raire
avec la plus petite valeur est pré fé ré .
– Marque de routage : Table de routage contenant cette route. La valeur par
dé faut est « Principal ».
– Préf. La source: L'adresse IP de l'interface locale responsable du
transfert des paquets envoyé s par le sous-ré seau annoncé .
49
POURQUOI UTILISER LE ROUTAGE
STATIQUE
2013-01-0152
LIMITES DU ROUTAGE STATIQUE,
EXEMPLE
Combien de routes
statiques ajouter sur
router-1 ?
• Routeurs 3 à 5 : 9
• Routeur 2 : 2
• Routeur 6 et 7 : 4
Total de 15 routes
statiques à ajouter
manuellement !!
2013-01-0153
CRÉER DES ITINÉRAIRES
2013-01-0154
RÉGLAGE DE LA ROUTE PAR DÉFAUT
• L'itinéraire 0.0.0.0/0
– Connu sous le nom de route par dé faut.
– C'est la destination où tout le trafic vers des
sous-ré seaux inconnus sera transfé ré .
– C'est aussi une route statique.
2013-01-0155
GESTION DES ITINÉRAIRES
DYNAMIQUES
2013-01-0156
GESTION DES ITINÉRAIRES
DYNAMIQUES, EXEMPLE
2013-01-0157
MISE EN OEUVRE DU ROUTAGE
STATIQUE SUR RÉSEAUX
SIMPLES
• Exercer:
En supposant que les adresses IP aient été
correctement saisies, quelles commandes
utiliseriez-vous pour activer des
communications complètes pour les deux
sous-réseaux (LAN1 et LAN2) ?
2013-01-0159
Aperçu des passerelles
2013-01-0160
CONCEPTS DE RACCORDEMENT
2013-01-0161
CRÉER DES PONTS
62
AJOUT DE PORTS AUX PONTS
• L'ajout de ports définira ceux qui
appartiennent au même sous-réseau.
• Différentes technologies peuvent être ajoutées,
comme une interface Wi-Fi.
2013-01-0163
AJOUT DE PORTS AUX PONTS
2013-01-0164
SANS FIL
2013-01-0165
FRÉQUENCES
• 802.11b
– 2,4 GHz (bande passante 22 MHz), 11 Mbps
• 802.11g
– 2,4 GHz (bande passante 22 MHz), 54 Mbps
• 802.11a
– 5GHz (bande passante 20MHz), 54Mbps
• 802.11n
– 2,4 GHz ou 5 GHz jusqu'à 300 Mbps, si vous
utilisez un canal 40 MHz et 2 radios (chaînes)
66
FRÉQUENCES
2013-01-0167
FRÉQUENCES
• Les débits de base sont les vitesses qu'un client DOIT prendre en
charge pour se connecter à un point d'accès
• Les débits pris en charge sont les vitesses qui peuvent être atteintes une
fois la connexion acceptée (des facteurs peuvent influencer la vitesse
maximale atteinte)
• Les débits de données sont les débits pris en charge selon la norme
utilisée.
– 802.11b : 1 à 11Mbps
– 802.11a/g : 6 à 54Mbps
– 802.11n : 6 à 300 Mbps, selon des facteurs tels que la bande passante du canal (20
ou 40 MHz), l'intervalle de garde (GI) et les chaînes
68
METTRE EN PLACE UNE LIAISON SANS
FIL SIMPLE
• Paramétrage des points d'accès
– Mode : pont ap
– Bande : Basé e sur les capacité s du routeur et
des clients. Si AP prend en charge plusieurs
bandes (ex. B/G/N), sé lectionnez celle qui
correspond le mieux à vos besoins
– Fré quence : L'un des canaux disponibles
(nous en reparlerons plus tard !!)
– SSID : les clients d'identité du ré seau sans fil
rechercheront
– Protocole sans fil : Basé sur les capacité s
du routeur et des clients. Pour les liaisons
« normales » AP vers PC, utilisez 802.11
69
METTRE EN PLACE UNE LIAISON SANS
FIL SIMPLE
• S'IL TE PLAÎT
CRÉ EZ UN PROFIL
DE SÉ CURITÉ !
– Ne pas le faire est une
violation totale de la sé curité .
Il laisse votre ré seau grand
ouvert !
2013-01-0170
METTRE EN PLACE UNE LIAISON SANS
FIL SIMPLE
• WPA, WPA2
– Accè s proté gé Wi-Fi (I et II)
– Protocole d'authentification cré é
aprè s la dé couverte de faiblesses dans
WEP
– S'il est correctement configuré , WPA est trè s sé curisé
• Des faiblesses aux attaques par force brute ont
été trouvées lors de l'utilisation de WPS (Wi-Fi
Protected Setup)
• WPS non utilisé par Mikrotik
2013-01-0180
Principes du pare-feu
2013-01-0181
PRINCIPES DU PARE-FEU
• Un pare-feu est un service qui autorise ou bloque
les paquets de donné es qui y transitent ou qui le
traversent en fonction de rè gles dé finies par
l'utilisateur.
• Le pare-feu agit comme une barriè re
entre deux ré seaux.
• Un exemple courant est votre ré seau local (de
confiance) et Internet (pas de confiance).
2013-01-0182
PRINCIPES DU PARE-FEU
Comment fonctionne le pare-feu
• Le pare-feu fonctionne à l'aide de rè gles. Ceux-ci ont deux parties
Le matcher : Les conditions dont j'ai besoin pour avoir un match
L'action : ce que je ferai une fois que j'aurai un match
84
ÉTATS DE CONNEXION DU PARE-
FEU
• Paquets provenant de
connexions dé jà connues
• Le reste de la communication UDP, si le
dé bit de paquets peut empê cher
l'entré e de expirer
• C'est une bonne idé e de les accepter
ÉTATS DE CONNEXION - RÉALISÉS
2013-01-0193
PHILOSOPHIE DE SÉCURITÉ DE
BASE
• Vous pouvez aborder la sé curité de
diffé rentes maniè res
Nous faisons confiance à l'inté rieur, les
rè gles affecteront ce qui vient de
l'exté rieur
Nous bloquons tout et permettons ce sur
quoi nous sommes d'accord
Nous permettons tout et bloquons ce que
nous savons ê tre problé matique
94
CONSEILS ET ASTUCES DE BASE
• Avant de commencer, é tablissez une politique.
• Notez, en clair, dans votre langue, les rè gles de base
que vous souhaitez.
Une fois que vous les avez compris et que vous les acceptez,
saisissez-les dans le routeur.
• Ajoutez progressivement d'autres règles, une fois que
vous êtes satisfait des règles de base.
Si vous dé butez dans le domaine de la sé curité , cela ne
vous aidera pas du tout à tirer directions.Do les bases,
mais faites-les bien.
N'attendez pas trop longtemps pour ajouter les rè gles suivantes.
C'est une chose de bien travailler, mais c'en est une autre de
laisser des trous ouverts parce que
yovous tester les premiè res rè gles dehors. 95
w 201une3-
0m1-0t1
MATCHS DE FILTRE
2013-01-0196
FILTRER LES ACTIONS
• Une fois qu'un paquet a é té mis en
correspondance avec une rè gle, une action
lui sera appliqué e.
• Les filtres de pare-feu de MikroTik ont 10
actions.
J'accepte Acceptez le paquet. Le paquet n'est pas transmis à la rè gle de pare-feu suivante.
Ajouter-dst-à-liste d'adresses Ajouter l'adresse de destination à la liste d'adresses spé cifié e par le paramè tre address-list. Le paquet est transmis à
la rè gle de pare-feu suivante.
Ajouter-src-à-liste d'adresses Ajouter l'adresse source à la liste d'adresses spé cifié e par le paramè tre address-list. Le paquet est transmis à la rè gle
de pare-feu suivante.
Tomber Dé posez silencieusement le paquet. Le paquet n'est pas transmis à la rè gle de pare-feu suivante.
SautAller à la chaîne dé finie par l'utilisateur spé cifié e par la valeur du paramè tre jump-target. Le paquet est transmis à la rè gle de pare-feu
suivante (dans la chaîne dé finie par l'utilisateur).
Enregistrer Ajoutez un message au journal systè me contenant les donné es suivantes : in-interface, out-interface, src-mac, protocol, src-ip:port->dst-
ip:port et
longueur du paquet. Le paquet est transmis à la rè gle de pare-feu suivante.
Traverser Ignorez cette rè gle et passez à la suivante (utile pour les statistiques).
Rejeter Supprimez le paquet et envoyez un message de rejet ICMP. Le paquet n'est pas transmis à la rè gle de pare-feu suivante.
Revenir Remettez le contrô le à la chaîne d'où le saut a eu lieu. Le paquet est passé à la rè gle de pare-feu suivante (dans la chaîne d'origine, s'il
n'y avait pas de correspondance pré cé dente pour arrê ter l'analyse des paquets).
Tarépudier Casquette tu r e une m ré h vieille TCP cconnexions (réponses avec SYN/ACK à ee entrant TCP SYN packet). Paquet jes ne pas
2 0 1 3- 0 1 -0 1
pcul à m poste pare-feu rule.
9 7
PROTÉGER VOTRE ROUTEUR (ENTRÉE)
2013-01-0198
PROTÉGER VOS CLIENTS (AVANT)
2013-01-01100
De base liste d'adresses
2013-01-01101
DE BASE LISTE D'ADRESSES A
d
m
• Les listes d'adresses sont des groupes
i
d'adresses IP n
• Ils peuvent être utilisés pour simplifier is
les règles de filtrage tr
Par exemple, vous pouvez cré er 100 rè gles a
pour bloquer 100 adresses, ou !! t
e
Vous pouvez cré er un groupe avec ces 100 u
adresses et cré er une seule rè gle de r
filtrage. s
• Les groupes (listes d'adresses) peuvent i
représenter n
formatiques avec des droits spé ciaux
Les pirates
Tout ce à quoi vous pouvez penser…
102
DE BASE LISTE D'ADRESSES
• Ils peuvent ê tre utilisé s dans les filtres de
pare-feu, les installations mangle et NAT.
• La cré ation de listes d'adresses peut ê tre
automatisé e en utilisant les actions add-src-
to-address-list ou add-dst-to- address-list
dans les fonctions de filtrage du pare-feu,
mangle ou NAT.
C'est un excellent moyen de bloquer
automatiquement les adresses IP sans avoir à les
saisir une par une
Exemple : add action=add-src-to-address-list
address-list=BLACKLIST chain=input
comment=psd in-interface=ether1-Internet
psd=21,3s,3,1
2013-01-01103
SYNTAXE DE LA LISTE D'ADRESSES
• Afficher les listes d'adresses existantes
/ip impression de la liste d'adresses du pare-feu
• Cré er une liste d'adresses permanente
/ip pare-feu liste d'adresses ajouter address=1.2.3.4 list=hackers
• Cré er une liste d'adresses via une rè gle de filtrage de pare-feu
/ip firewall filter add action=add-dst-to-address-list address-
list=temp-list address-list-timeout=3d1h1m1s chain=input
protocol=tcp src-address=172.16.2.0/24
/ip firewall nat add action=add-src-to-address-list address-
list=chaîne NAT-AL=srcnat
/ip firewall mangle add action=add-dst-to-address-list address-
list=DST-AL address-list-timeout=10m chain=prerouting
protocol=tcp
104
NAT source
2013-01-01105
NAT
• La traduction d'adresses ré seau (NAT)
permet aux hô tes d'utiliser un ensemble
d'adresses IP cô té LAN et un autre ensemble
d'adresses IP lors de l'accè s à des ré seaux
externes.
• Le NAT source traduit les adresses IP privé es
(sur le LAN) en adresses IP publiques lors de
l'accè s au L'Internet. L'inverse est fait pour
le retour trafic.Il est parfois appelé "cachant"
votre espace d'adressage (votre ré seau)
derriè re l'adresse fournie par le FAI.
2013-01-01106
MASQUERADE ET ACTION SRC-NAT
• La premiè re chaîne pour le NAT est "srcnat". Il
est utilisé par le trafic sortant du routeur.
• Tout comme les filtres de pare-feu, les rè gles
NAT ont de nombreuses proprié té s et actions
(13 actions !).
• La première, et la plus basique des règles NAT,
n'utilise que l'action « mascarade ».
• Masquerade remplace l'adresse IP source dans les
paquets par une autre dé terminé e par la fonction de
routage.
En rè gle gé né rale, l'adresse IP source des paquets allant sur
Internet sera remplacé e par l'adresse de l'interface externe
(WAN). Ceci est né cessaire pour le trafic de retour pour
"trouver le chemin du retour".
107
MASQUERADE ET ACTION SRC-NAT
2013-01-01109
ACTION DST-NAT ET DE REDIRECTION
2013-01-01111
SYNTAXE NAT
• NAT source (à partir de /ip firewall nat)
Ajouter la rè gle de mascarade
ajouter action=chaîne de mascarade=srcnat
Changer l'adresse IP source
add chain=srcnat src-address=192.168.0.109 action=src-nat to-
address=10.5.8.200
• NAT de destination
Rediriger tout le trafic Web (TCP, port 80) vers le proxy Web du routeur sur le port 8080
add action=redirect chain=dstnat dst-port=80 protocol=tcp to-
ports=8080
112
File d'attente simple
2013-01-01113
INTRODUCTION
• QoS (qualité de service) est l'art de
gérer les ressources de bande passante
plutô t que de limiter « aveuglément »
la bande passante à certains nœuds
• QoS peut prioriser le trafic en
fonction de métriques. Utile pour
– Applications critiques
– Trafic sensible tel que les flux vocaux
et vidé o
114
INTRODUCTION
2013-01-01117
MAX-LIMIT ET LIMITE-AT
2013-01-01119
ASTUCE
2013-01-01123
CONFIGURATION LIMITE PCQ
• Ce paramè tre est mesuré en paquets.
• Une grande valeur de limite pcq
– Cré era un plus grand tampon, ré duisant ainsi les paquets
perdus
– Augmentera la latence
• Une valeur limite pcq plus petite
– Augmentera les pertes de paquets (puisque le tampon est
plus petit) et forcera la source à renvoyer le paquet,
ré duisant ainsi la latence
– Provoquera un ajustement de la taille de la fenê tre
TCP, indiquant à la source de ré duire le taux de
transmission
124
CONFIGURATION LIMITE PCQ les
dé lai
s
• Quelle valeur dois-je utiliser ? Il n'y a
pas de ré ponse facile.
– Si dé marre souvent sur une base « Essai et
erreur » par application
– Si les utilisateurs se plaignent de la latence, ré duisez
la valeur pcq-limit (longueur de file d'attente)
– Si les paquets doivent traverser un pare-feu complexe,
vous devrez peut-ê tre augmenter la longueur de la file
d'attente car cela peut introduire des retards
– Les interfaces rapides (comme Gig) né cessitent
des files d'attente plus petites car elles ré duisent
125
PCQ, UN EXEMPLE
2013-01-01126
PCQ, UN EXEMPLE
/ip feutous mutiler
add action=mark-packet chain=forward new-packet-mark=client_upload \
out-interface=ether1 src-address=192.168.3.0/24
add action=mark-packet chain=forward dst-address=192.168.3.0/24 \
in-interface=ether1 new-packet-mark=client_download
/type de file d'attente
add kind=pcq name=PCQ_download pcq-classifier=dst-address pcq-rate=2M
add kind=pcq name=PCQ_upload pcq-classifier=src-address pcq-rate=1M
/arbre de file d'attente
add name=queue_upload packet-mark=client_upload parent=global queue=\ PCQ_upload
add name=queue_download packet-mark=client_download parent=file globale=\
PCQ_té lé charger
127
NOTRE EXEMPLE EXPLIQUÉ
• Mutiler : Nous disons au routeur de marquer les paquets
avec la marque "client_upload" ou "client_download", selon si
– Les paquets proviennent du LAN et partent d'ether1 (té lé chargement) ou,
– Les paquets entrent de ether1 et vont au LAN (té lé chargement).
• Types de file d'attente : Nous définissons les débits de données et
les classificateurs à utiliser pour différencier les sous-flux (source
ou destination)
• Arbre de file d'attente : les combinaisons qui sont vérifiées pour
voir si les paquets se qualifient pour la mise en forme du trafic et ce
qu'il faut appliquer.
– Par exemple, dans le cas du trafic uploadé , nous vé rifions les interfaces
d'entré e et de sortie (globales) pour les paquets avec la marque
"client_upload" et appliquons le type de file d'attente "PCQ_upload".
128
GRAPHIQUES
133
LAN CONNECTIVITÉ
• Choisissez votre interface Hotspot.
• En cas de nombreuses interfaces, cré ez un pont
pour le point d'accè s et ajoutez-y toutes les
interfaces de point d'accè s pré vues.
• Configurez votre IP de sous-ré seau LAN sur l'ionterface.
• Si votre interface sans fil est é galement une
interface de point d'accè s, assurez-vous de
configurer l'interface comme AP
• Créez un serveur DHCP doux sur l'interface avec
un bail raisonnable. 134
CONFIGURATION DU POINT D'ACCÈS
• Nous pouvons maintenant passer à notre assistant de
configuration de hotspot
135
CONFIGURATION DU POINT D'ACCÈS
• La première option consiste à choisir l'interface
sur laquelle définir le hotspot.
• Choisir l'interface ou le Bridge
préalablement configuré à cet effet
136
CONFIGURATION DU POINT D'ACCÈS
• La fenê tre suivante vous permet de choisir la plage
d'adresses locales de votre hotspot. Cela sera rempli pour
vous en fonction de l'adresse IP que vous avez attribué e à
votre carte sans fil plus tô t dans ce didacticiel. Assurez-
vous que l'option « Masquerade Network » est coché e et
cliquez sur Suivant.
137
CONFIGURATION DU POINT D'ACCÈS
• La fenê tre suivante vous permet de choisir le pool
d'adresses IP pour votre ré seau hotspot. Cela sera
é galement rempli pour vous en fonction de l'adresse
IP de l'interface sans fil attribué e pré cé demment.
138
CONFIGURATION DU POINT D'ACCÈS
• Si vous envisagez d'utiliser des certificats SSL/HTTPS pour
votre hotspot, vous pouvez les té lé charger ici. Sinon, laissez
l'option dé finie sur « aucun » et continuez.
139
CONFIGURATION DU POINT D'ACCÈS
• Pour une maison d'hô tes/hô tel, il est parfois
né cessaire pour les voyageurs en survol de modifier
leurs paramè tres SMTP afin d'envoyer correctement
les e-mails. Cette option permet au Mikrotik de
capturer tout le trafic SMTP des clients Hotspot et de
les forcer à utiliser un serveur SMTP de votre choix. Si
vous n'en avez pas besoin, laissez 0.0.0.0
140
CONFIGURATION DU POINT D'ACCÈS
• La fenê tre suivante vous permet de spé cifier les
serveurs DNS qui seront donné s aux clients hotspot.
Celui-ci sera rempli automatiquement avec les
serveurs DNS du routeur
141
CONFIGURATION DU POINT D'ACCÈS
• Vient ensuite le nom DNS de votre hotspot. Il s'agit du
« site Web » vers lequel les clients du hotspot seront
redirigé s lorsqu'ils souhaiteront se connecter. Le nom DNS
ne doit pas ê tre un site Web qui existe dé jà , mais un nom
choisi localement avec une syntaxe d'URL.
142
CONFIGURATION DU POINT D'ACCÈS
• La derniè re fenê tre vous permet de cré er votre premier
nom d'utilisateur et mot de passe Hotspot pour une
utilisation client.
145
PROFIL UTILISATEUR HOTSPOT
• C'est ici que
vous créez les
différents
services pour
vos clients
hotspot.
146
UTILISATEUR DU HOTSPOT
• Cré er des
utilisateurs
en pré cisant leurs
paramè tres
d'authentification et
leur profil utilisateur
qui est le service
utilisateur.
147
FICHIER HOTSPOT
• Le fichier Hotspot est en fait le site
Web du hotspot avec toutes les pages
du hotspot (connexion,
dé connexion...)
• Ce fichier est cré é automatiquement lors de
le processus de l'assistant de configuration du hotspot.
• Le fichier peut être récupéré par FTP et
personnalisé pour avoir personnalisé
pages de points chauds. Le fichier est
ensuite réimporté dans le routeur pour
que les modifications soient effectives
sur votre hotspot.
• Vous pouvez insérer différents
fichiers hotspot et préciser celui à
utiliser sur les outils de votre serveur
hotspot.
148
POINT CHAUD UTILITAIRES
• Hô tes
• Liaisons IP
• Jardin fermé
149