Basic Network Administration With Mikrotik Routeros

Traduit de Anglais vers Français - www.onlinedoctranslator.
com
ADMINISTRATION DE
BASE DU RÉSEAU
AVEC MIKROTIK
ROUTEROS
PAR
LINDA
TENE
OBJECTIFS
A la fin de ce cours, l'étudiant devra :
• Familiarisez-vous avec le logiciel Routeros et les produits de carte de routeur
• Être capable de configurer, gérer, faire le dépannage de base d'un routeur mikrotik
• Être en mesure de fournir des services de base aux clients
CONTOUR
• Premier accès au routeur
• Mise à niveau des routeurs
• Gérer les connexions des routeurs
• Configuration (accès internet)
• Notions de base sur le routage
• Aperçu des passerelles
• Sans fil
• Notions de base sur le pare-feu
• File d'attente simple
• Point chaud
INTRODUCTION- Qu'est-ce que le routeur OS ?
• Mikrotik Routeros est le systè me

d'exploitation du maté riel de la carte de
routeur mikrotik.
• Routeros est un systè me d'exploitation
autonome basé sur le noyau Linux v3.3.5 et
fournit toutes les fonctions dans une installation
simple et rapide et avec une interface facile à
utiliser
INTRODUCTION- Qu'est-ce que Router
Board ?
• Une famille de solutions maté rielles
cré é es par mikrotik pour ré pondre aux
besoins des clients du monde entier.
• Tous fonctionnent avec RouterOS
• Peut se pré senter sous forme de
cartes simples ou de cartes
complè tement monté es avec
boîtier
PREMIER ACCÈS
NAVIGATEUR INTERNET
• Connectez-vous au routeur avec un câ ble Ethernet

• Lancer le navigateur
• Tapez l'adresse IP
• Si demandé , connectez-vous
in.Nom d'utilisateur est
« admin » et le mot de passe est
vide
2013-01-017
WINBOX ET MAC-WINBOX
• WinBox est l'interface propriétaire de

MikroTik pour accéder aux routeurs
RouterOS.
• Il peut être téléchargé depuis le site
Web de MikroTik ou depuis le routeur.
• Il est utilisé pour accé der au routeur via
IP (OSI couche 3) ou MAC (OSI couche
2).
8
• Si toujours
dans le
navigateur,
faites dé filer
vers le bas et
cliquez sur
« dé connexion
»
• Tu verras:
• Cliquez
sur «
Winbox »
• sauvegarder
"winbox.exe"
9
• Cliquez sur
l'icô ne de
WinBox.
• adresse IP
192.168.88.1
puis cliquez
sur «
Connecter »
• Tu verras:
– Cliquez sur OK"
2013-01-0110
LES MENUS DE LA WINBOX
• Prenez 5 minutes pour parcourir les menus

• Faites particulièrement attention à :
– IP Adresses
– IP Itiné raires
– Systè me NTP
– Systè me  Forfaits
– Systè me  Routeur
2013-01-0111
PORT DE CONSOLE
• Nécessite que
l'ordinateur soit
connecté au
routeur via un
null-modem
(port RS-232).
– La valeur par
dé faut est
115200bps, 8 bits
de donné es, 1 bit
d'arrê t, non
parité
2013-01-0112
SSH ET TELNET
• Outils IP standard pour accé der au routeur

• Les communications Telnet sont en texte clair
– Disponible sur la plupart des systè mes d'exploitation
– Non sé curisé !!
• Les communications SSH sont crypté es
– Sé curisé !!
– De nombreux outils Open Source (gratuits)
disponibles tels que PuTTY
(http://www.putty.org/)
2013-01-0113
CLI
• repré sente Ccommande Liné jeinterface

• C'est ce que vous voyez lorsque
vous utilisez le port de console,
SSH, Telnet ou New Terminal (à
l'inté rieur de Winbox)
• A savoir si vous pré voyez d'utiliser des
scripts ou d'automatiser des tâ ches !
2013-01-0114
Mise à niveau du routeur
15
QUAND METTRE À NIVEAU
• Correction d'un bug connu.

• Besoin d'une nouvelle fonctionnalité .
• Performance améliorée.
REMARQUE : S'IL VOUS PLAÎT lire le changelog !!
2013-01-0116
AVANT DE MISE À NIVEAU
• Sachez quelle architecture (mipsbe, ppc, x86,

mipsle, tuile) vous mettez à niveau.
– En cas de doute, Winbox indique l'architecture en haut
à gauche !
• Sachez de quels fichiers vous avez besoin :
– NPK : Image RouterOS de base avec des packages
standard (Toujours)
– ZIP : Forfaits supplémentaires (selon les besoins)
– Changelog : Indique ce qui a changé et spécial
indic2une013t-0je1o-01ns (Alfaçons) 17
COMMENT MISE À NIVEAU
• Obtenez les fichiers du package sur

le site Web de MikroTik
– Page de té lé chargements
https://mikrotik.com/download
18
COMMENT MISE À NIVEAU
• Trois façons
– Té lé chargez le(s) fichier(s) et copiez-le sur le routeur.
– « Vé rifier les mises à jour » (Systè me -> Paquets)
– Mise à niveau automatique (Systè me -> Mise à niveau
automatique)
19
TÉLÉCHARGEMENT DES FICHIERS
• Copiez le(s) fichier(s) sur le

routeur via la fenê tre « Fichiers ».
Les exemples sont :
– routeros-mipsbe-5.25.npk
– ntp-5.25-mipsbe.npk
• Redémarrer
• Valider l'état du routeur
2013-01-0120
VÉRIFICATION DES MISES À JOUR
(AVEC LES FORFAITS SYSTÈME)
• Par le menu "Systè me ->

Packages"
• Cliquez sur « Vé rifier les
mises à jour » puis
« Té lé charger et mettre à
niveau »
• Redémarre automatiquement
• Valider les packages et l'é tat
du routeur
21
MISE À NIVEAU AUTOMATIQUE
• Copiez les fichiers requis par tous les

routeurs sur un routeur interne
(source).
• Configurer tous les routeurs pour
pointer vers le routeur source
• Afficher les forfaits disponibles
• Sé lectionnez et télé chargez paquets
• Redémarrez et validez le routeur
2013-01-0122
MISE À NIVEAU DU FIRMWARE DU
ROUTERBOOT
• Vérifier le courant version

[ admin@MikroTik ] > /system routerboard
imprimer
routeur : oui
modèle : 951-
2n
numéro de série :
35F60246052A firmware
actuel : 3.02
mise à niveau-
firmware : 3.05
[ admin@MikroTik ] >
2013-01-0123
MISE À NIVEAU DU FIRMWARE DU
ROUTERBOOT
• Mettre à niveau si né cessaire (c'est dans cet exemple)

[ admin@MikroTik ] > mise à niveau de
/system routerboard
Voulez-vous vraiment mettre à jour le
firmware ? [o/n]
oui
firmware mis à jour avec succès,
veuillez redémarrer pour que les
modifications prennent effet !
[ admin@MikroTik ] > /system reboot
Redémarrer, oui ? [o/N] :
2013-01-0124
Gestion des connexions
RouterOS
2013-01-0125
COMPTES UTILISATEUR
• Créez des comptes d'utilisateurs pour

– Gé rer les privilè ges
– Consigner les actions de l'utilisateur
• Créer des groupes d'utilisateurs pour
– Avoir une plus grande flexibilité lors de l'attribution des privilè ges
2013-01-0126
SERVICES IP
• Gé rer les services IP pour

– Limiter l'utilisation des ressources (CPU, mé moire)
– Limiter les menaces de sé curité (Ports ouverts)
– Changer de port TCP
– Limiter les adresses IP/sous-ré seaux IP accepté s
2013-01-0127
SERVICES IP
• Pour contrô ler les services, allez dans « IP ->

Services »
• Désactivez ou activez les services requis.
2013-01-0128
ACCÈS AUX SERVICES IP
• Double-cliquez sur un service

• Si né cessaire, spé cifiez
quels hô tes ou sous-
ré seaux peuvent accé der
au service
– Bonne pratique pour limiter
certains services aux
administrateurs ré seau
2013-01-0129
GESTION DES SAUVEGARDES
• Sauvegarde binaire
• Exportation des configurations
2013-01-0130
SAUVEGARDES BINAIRES
• Sauvegarde complè te du systè me

• Comprend des mots de passe
• Suppose que les restaurations seront
sur le même routeur
2013-01-0131
EXPORTER DES FICHIERS
• Configuration
complète ou
partielle
• Gé nè re un fichier de script ou
envoie à l'é cran
• Utilisez « compact » pour afficher
uniquement les configurations
autres que celles par défaut (par
défaut sur ROS6)
• Utilisez « verbose » pour

afficher les configurations par
défaut
2013-01-0132
ARCHIVAGE DES FICHIERS DE
SAUVEGARDE
• Une fois gé né ré s, copiez-les sur un serveur

– Avec SFTP (approche sé curisé e)
– Avec FTP, si activé dans les services IP
– Utilisation du glisser-dé poser depuis la fenê tre « Fichiers »
• Laisser des fichiers de sauvegarde sur le
routeur N'EST PAS une bonne straté gie
d'archivage
– Aucune sauvegarde de bande ou de CD n'est faite de routeurs
33
RÉINITIALISER CONFIGURATION
• Utilisation du bouton physique « reset »
sur le routeur
• Charger le chargeur de sauvegarde RouterBOOT
• Réinitialiser la configuration du routeur
• Activer le mode CAP (AP contrô lé )
• Dé marrer en mode Netinstall
34
RÉINITIALISER CONFIGURATION -
NETINSTALL
• Utilisé pour installer et ré installer RouterOS

• Une connexion ré seau directe au routeur est requise
(peut ê tre utilisé e sur un ré seau local commuté)
• Le câ ble doit ê tre connecté au port Ether1 (sauf
CCR et RB1xxx -dernier port)
• Fonctionne sous Windows
• Pour plus d'informations, consultez la page wiki
Netinstall
35
NIVEAUX DE LICENCE
• 6 niveaux de licences
– 0 : Dé mo (24 heures)
– 1 : Gratuit (trè s limité )
– 3 : WISP CPE (client Wi-Fi)
– 4 : WISP (né cessaire pour exé cuter un point d'accè s)
– 5 : WISP (plus de capacité s)
– 6 : Contrô leur (capacité s illimité es)
36
LICENCES
• Détermine les capacités autorisées sur votre

routeur.
• RouterBOARD est livré avec une
licence pré installé e.
– Les niveaux varient
• Les licences doivent être achetées pour
un système X86.
– Une licence est valable pour une seule machine.
37
MISE À JOUR DES LICENCES
• Les niveaux sont décrits sur la page web

http://wiki.mikrotik.com/wiki/Manual:Licence
• Utilisations typiques
– Niveau 3 : CPE, client sans fil
– Niveau 4 : WISP
– Niveau 5 : plus grand WISP
– Niveau 6 : Infrastructure interne du FAI
(Cloud Core)
2013-01-0138
UTILISATION DES LICENCES
• Impossible de mettre à niveau la

licence niveau.Acheter le bon
appareil/la bonne licence dès le départ.
• La licence est lié e au lecteur sur
lequel elle est installé e. Veillez à ne
pas formater le disque à l'aide
d'outils non-Mikrotik.
• Lisez la page Web de la licence pour
plus de détails !
2013-01-0139
CONFIGURATION INTERNET DE
BASE
• Les étapes minimales pour

configurer un accès de base à
Internet (si votre routeur n'a pas de
configuration de base par défaut)
– Adresses IP LAN, passerelle par dé faut et
serveur DNS
– Adresse IP WAN
– Rè gle NAT (mascarade)
– Client NTP et fuseau horaire
40
Présentation du routage
2013-01-0141
CONCEPTS DE ROUTAGE
• Le routage est un processus de couche

3 sur le modè le OSI de l'ISO.
• Le routage définit où le trafic est
transféré (envoyé).
• Il est nécessaire de permettre à
différents sous-réseaux de
communiquer.
– Mê me s'ils devraient ê tre sur le mê me "fil"
2013-01-0142
CONCEPTS DE ROUTAGE, EXEMPLE
1
• Les ordinateurs ne communiqueront pas.
2013-01-0143
CONCEPTS DE ROUTAGE , EXEMPLE
2
• Les ordinateurs peuvent désormais communiquer.
2013-01-0144
DRAPEAUX D'ITINÉRAIRE
• Les itiné raires ont statuts.Dans ce

cours, nous nous familiariserons avec
les é lé ments suivants :
– X : dé sactivé
– A : Actif
– D : Dynamique
– C : Connecté
– S : Statique
2013-01-0145
Routage statique
2013-01-0146
ITINÉRAIRES STATIQUES
• Les routes vers les sous-ré seaux qui

existent sur un routeur sont
automatiquement cré é es et connues
par ce routeur. Mais que se passe-t-il si
vous devez atteindre un sous-ré seau
qui existe sur un autrerouteur ? Vous
cré er un itiné raire statique !
• Une route statique est un moyen
manuel de transférer le trafic vers des
sous-réseaux inconnus.
2013-01-0147
2013-01-0148
• Comprendre les champs
– Drapeaux : L'é tat de chaque itiné raire, comme expliqué dans les
diapositives pré cé dentes
– Dst. Adresse: L'adresse de destination pour laquelle cet itiné raire est
utilisé .
– passerelle : En rè gle gé né rale, l'adresse IP du prochain saut qui
recevra les paquets destiné s à « Dst. Adresse".
– Distance : Valeur utilisé e pour la sé lection de l'itiné raire. Dans les
configurations où diffé rentes distances sont possibles, l'itiné raire
avec la plus petite valeur est pré fé ré .
– Marque de routage : Table de routage contenant cette route. La valeur par
dé faut est « Principal ».
– Préf. La source: L'adresse IP de l'interface locale responsable du
transfert des paquets envoyé s par le sous-ré seau annoncé .
49
POURQUOI UTILISER LE ROUTAGE
STATIQUE
• Simplifie la configuration sur un très petit

réseau qui ne se développera probablement
pas.
• Limite l'utilisation des ressources du routeur
(mémoire, CPU)
2013-01-0150
LIMITES DU ROUTAGE STATIQUE
• N'é volue pas bien.

• Une configuration manuelle est requise chaque
fois qu'un nouveau sous-réseau doit être
atteint.
51
LIMITES DU ROUTAGE STATIQUE,
EXEMPLE
Votre réseau se développe

et vous devez ajouter
des liens vers des
routeurs distants (et des
sous-réseaux).
• Supposons que tous les
routeurs ont 2 sous-
ré seaux LAN et 1 ou
plusieurs sous-ré seaux
WAN.
2013-01-0152
LIMITES DU ROUTAGE STATIQUE,
EXEMPLE
Combien de routes
statiques ajouter sur
router-1 ?
• Routeurs 3 à 5 : 9
• Routeur 2 : 2
• Routeur 6 et 7 : 4
Total de 15 routes
statiques à ajouter
manuellement !!
2013-01-0153
CRÉER DES ITINÉRAIRES
• Pour ajouter une route statique :

– IP -> Itiné raires
– + (Ajouter)
– Spé cifiez le sous-ré seau et
le masque de destination
– Spé cifiez « Gateway » (saut suivant)
2013-01-0154
RÉGLAGE DE LA ROUTE PAR DÉFAUT
• L'itinéraire 0.0.0.0/0
– Connu sous le nom de route par dé faut.
– C'est la destination où tout le trafic vers des
sous-ré seaux inconnus sera transfé ré .
– C'est aussi une route statique.
2013-01-0155
GESTION DES ITINÉRAIRES
DYNAMIQUES
• Comme mentionné précédemment, les

routes dynamiques sont ajoutées par le
processus de routage, et non par
l'administrateur.
• Cela se fait automatiquement.
• Vous ne pouvez pas gé rer les routes
dynamiques. Si l'interface à laquelle est lié e
la route dynamique tombe en panne, la route
aussi !
2013-01-0156
GESTION DES ITINÉRAIRES
DYNAMIQUES, EXEMPLE
2013-01-0157
MISE EN OEUVRE DU ROUTAGE
STATIQUE SUR RÉSEAUX
SIMPLES
Considé rez l'exemple suivant.

2013-01-0158
MISE EN OEUVRE DU ROUTAGE STATIQUE
SUR RÉSEAUX SIMPLES
• Exercer:
En supposant que les adresses IP aient été
correctement saisies, quelles commandes
utiliseriez-vous pour activer des
communications complètes pour les deux
sous-réseaux (LAN1 et LAN2) ?
2013-01-0159
Aperçu des passerelles
2013-01-0160
CONCEPTS DE RACCORDEMENT
• Les ponts sont des pé riphé riques OSI de couche 2.

• Traditionnellement, ils étaient utilisés
pour joindre deux segments de
technologie différente (ou similaire).
2013-01-0161
CRÉER DES PONTS
• Utilisation des menus

– Pont
– Ajouter (+)
– Nommer le pont
– Cliquez sur « OK » et vous avez terminé !
62
AJOUT DE PORTS AUX PONTS
• L'ajout de ports définira ceux qui
appartiennent au même sous-réseau.
• Différentes technologies peuvent être ajoutées,
comme une interface Wi-Fi.
2013-01-0163
AJOUT DE PORTS AUX PONTS
• Chemin du menu pour ajouter un port

– Pont
– Onglet Ports
– Ajouter (+)
– Choisissez l'interface et le pont
– Cliquez sur « OK » et vous avez terminé !
2013-01-0164
SANS FIL
2013-01-0165
FRÉQUENCES
• 802.11b
– 2,4 GHz (bande passante 22 MHz), 11 Mbps
• 802.11g
– 2,4 GHz (bande passante 22 MHz), 54 Mbps
• 802.11a
– 5GHz (bande passante 20MHz), 54Mbps
• 802.11n
– 2,4 GHz ou 5 GHz jusqu'à 300 Mbps, si vous
utilisez un canal 40 MHz et 2 radios (chaînes)
66
FRÉQUENCES
• Gamme de fréquences 802.11b,g

• Canaux 1, 6 et 11 sans chevauchement
2013-01-0167
FRÉQUENCES
• Les débits de base sont les vitesses qu'un client DOIT prendre en
charge pour se connecter à un point d'accès
• Les débits pris en charge sont les vitesses qui peuvent être atteintes une
fois la connexion acceptée (des facteurs peuvent influencer la vitesse
maximale atteinte)
• Les débits de données sont les débits pris en charge selon la norme
utilisée.
– 802.11b : 1 à 11Mbps
– 802.11a/g : 6 à 54Mbps
– 802.11n : 6 à 300 Mbps, selon des facteurs tels que la bande passante du canal (20
ou 40 MHz), l'intervalle de garde (GI) et les chaînes
68
METTRE EN PLACE UNE LIAISON SANS
FIL SIMPLE
• Paramétrage des points d'accès
– Mode : pont ap
– Bande : Basé e sur les capacité s du routeur et
des clients. Si AP prend en charge plusieurs
bandes (ex. B/G/N), sé lectionnez celle qui
correspond le mieux à vos besoins
– Fré quence : L'un des canaux disponibles
(nous en reparlerons plus tard !!)
– SSID : les clients d'identité du ré seau sans fil
rechercheront
– Protocole sans fil : Basé sur les capacité s
du routeur et des clients. Pour les liaisons
« normales » AP vers PC, utilisez 802.11
69
FIL SIMPLE
• S'IL TE PLAÎT
CRÉ EZ UN PROFIL
DE SÉ CURITÉ !
– Ne pas le faire est une
violation totale de la sé curité .
Il laisse votre ré seau grand
ouvert !
2013-01-0170
FIL SIMPLE
• Pour ajouter un profil de sécurité

– Cliquez sur « Ajouter » (+)
– Nom : Le nom du profil
– Mode : Type d'authentification à
utiliser
– Types d'authentification :
Mé thodes utilisé es pour
authentifier une connexion
– Chiffres : mé thodes de cryptage
2013-01-0171
FIL SIMPLE
• Vous pouvez désormais

utiliser votre nouveau
profil de sécurité et vous
sentir mieux sur la sécurité
de votre réseau sans fil
2013-01-0172
FIL SIMPLE
• Paramé trage de la gare

– Mode : gare
– Band : Pour correspondre à votre AP.
– Fré quence : Pas important
pour les clients
2013-01-0173
FIL SIMPLE
• Paramé trage de la gare

– SSID : Pour faire correspondre l'AP que vous
souhaitez vous connecter à
– Protocole sans fil : Pour
correspondre à l'AP auquel vous
souhaitez vous connecter
– Cré ez un profil de sé curité ,
comme illustré dans la
configuration du « point
d'accè s », et appliquez-le ici.
Les paramè tres DOIVENT
correspondre
2013-01-0174
FILTRAGE D'ADRESSE MAC
• Le filtrage des adresses
MAC est un moyen
supplé mentaire de limiter
la connexion des clients.
• Pour ajouter une entré e à
une liste d'accè s (sur un
point d'accè s !!), sé lectionnez
un nœud enregistré et
cliquez sur « Copier dans la
liste d'accè s »
2013-01-0175
• Les listes d'accè s sont utilisé es sur
les points d'accè s pour restreindre
les connexions à des clients
spé cifiques et contrô ler leurs
paramè tres de connexion.
– Les rè gles sont vé rifié es sé quentiellement
– Applique uniquement la premiè re rè gle de correspondance
– Si l'option "Authentification par dé faut"
(onglet "Sans fil" dans l'é cran "Interface ->
wlan") est dé coché e, les appareils qui ne
correspondent pas à une rè gle de liste
d'accè s sont rejeté s
2013-01-0176
• Authentification L'option
indiquera au routeur de vé rifier
le « profil de sé curité » pour
dé terminer si la connexion doit
ê tre autorisé e. Si elle n'est pas
coché e, l'authentification
é chouera toujours.
• L'option de transfert
indiquera au routeur
d'autoriser les clients du point
d'accè s à se joindre sans
l'assistance des points d'accè s
(en contournant ainsi les
rè gles de pare-feu que vous
pourriez avoir). Pour plus de
sé curité , ne cochez pas
2013-01-0177
• Authentification par dé faut

– Si AP n'a pas de liste d'accè s et que
l'authentification par dé faut n'est pas
coché e, les clients ne se connecteront
jamais
– Si la station n'a pas de liste de connexion
et que l'authentification par dé faut n'est
pas coché e, elle ne se connectera jamais
à un point d'accè s
2013-01-0178
• Transfert par défaut : spécifie le

comportement de transfert des clients
après vérification des listes d'accès.
– S'il est dé fini sur oui, il autorisera
les communications de couche 2
entre les clients.
– S'il est dé fini sur non, les clients se verront
toujours (au niveau de la couche 3) SI les
rè gles de pare-feu le permettent.
2013-01-0179
SÉCURITÉ ET CHIFFREMENT SANS FIL
• WPA, WPA2
– Accè s proté gé Wi-Fi (I et II)
– Protocole d'authentification cré é
aprè s la dé couverte de faiblesses dans
WEP
– S'il est correctement configuré , WPA est trè s sé curisé
• Des faiblesses aux attaques par force brute ont
été trouvées lors de l'utilisation de WPS (Wi-Fi
Protected Setup)
• WPS non utilisé par Mikrotik
2013-01-0180
Principes du pare-feu
2013-01-0181
PRINCIPES DU PARE-FEU
• Un pare-feu est un service qui autorise ou bloque
les paquets de donné es qui y transitent ou qui le
traversent en fonction de rè gles dé finies par
l'utilisateur.
• Le pare-feu agit comme une barriè re
entre deux ré seaux.
• Un exemple courant est votre ré seau local (de
confiance) et Internet (pas de confiance).
2013-01-0182
PRINCIPES DU PARE-FEU
Comment fonctionne le pare-feu
• Le pare-feu fonctionne à l'aide de rè gles. Ceux-ci ont deux parties
 Le matcher : Les conditions dont j'ai besoin pour avoir un match
 L'action : ce que je ferai une fois que j'aurai un match
• Le matcher examine des paramè tres tels que :

 Adresse MAC source
 Adresses IP (réseau ou liste) et types d'adresses (broadcast, local, multicast, unicast)
 Port ou plage de ports
 Protocole
 Options de protocole (champs de type et de code ICMP, drapeaux TCP, options IP)
 Interface par laquelle le paquet arrive ou part
 octet DSCP
 Et plus…
83
SUIVI ET ETATS DE CONNEXION
• L'utilisation du suivi des connexions permet le

suivi des connexions UDP, mê me si UDP est
sans é tat. En tant que tel, le pare-feu de
MikroTik peut filtrer sur les "é tats" UDP.
• Le premier paquet sera « nouveau », le reste
peut ê tre accepté comme é tabli si la valeur de
dé lai d'attente UDP n'est pas atteinte.
84
ÉTATS DE CONNEXION DU PARE-
FEU
• Nouveau - premier paquet d'UDP, paquet de

synchronisation TCP
• É tabli - Le reste d'UDP, le reste de TCP
• Connexe - une connexion créée par une connexion
déjà existante
• Invalide – Paquet TCP sans entré e de suivi de
connexion
ÉTATS DE CONNEXION - NOUVEAU
• Premier paquet pouvant

é tablir une entré e de suivi de
connexion
• D'abord TCPSYN paquet
• Premier paquet UDP
ÉTATS DE CONNEXION - ÉTABLIES
• Paquets provenant de
connexions dé jà connues
• Le reste de la communication UDP, si le
dé bit de paquets peut empê cher
l'entré e de expirer
• C'est une bonne idé e de les accepter
ÉTATS DE CONNEXION - RÉALISÉS
• Connexion cré é e par une autre

connexion dé jà é tablie.
• Par exemple, la connexion de
donné es TFP est cré é e par la
connexion de gestion FTP.
• Il est essentiel de les accepter
ÉTATS DE CONNEXION - INVALIDE
• Tout paquet avec un é tat inconnu

• C'est une bonne idée de les laisser tomber
STRUCTURE : CHAINES ET ACTIONS
• Une chaîne est un regroupement de règles basées sur les
mêmes critères. Il existe trois chaînes par défaut basées
sur des critères prédéfinis.
 Entré e : Trafic allant au routeur
 Forward : Trafic passant par le routeur
 Sortie : Trafic provenant du routeur
• Vous pouvez avoir des chaînes d'utilisateurs basé es
sur des critè res personnalisé s. Par exemple :
 Tout le trafic icmp
 Trafic entrant d'Ether2 et allant à l'interface de pont "LAN"
2013-01-0190
• Les chaînes dé finies par l'utilisateur sont
cré é es en sé lectionnant les « matchers »
souhaité s et en choisissant l'action
« saut ». Vous donnerez un nom à votre
chaîne dé finie par l'utilisateur dans le
champ "cible de saut".
 Aprè s cela, vous pouvez commencer à cré er
des rè gles de filtrage à l'aide de la nouvelle
chaîne en la saisissant dans le champ
« Chaîne » du nouveau filtre de pare-feu.
91
• Une action dicte ce que le filtre fera lorsque les
paquets lui seront associé s.
• Les paquets sont vé rifié s sé quentiellement par rapport
aux rè gles existantes dans la chaîne de pare-feu actuelle
jusqu'à ce qu'une correspondance se produise. Quand
c'est le cas, cette rè gle est appliqué e.
• Sachez que certaines actions peuvent nécessiter ou non
que le paquet soit traité davantage.
• D'autres actions peuvent exiger que le paquet soit
davantage traité dans un autre chaîne.Nous allons
voir dans les pages suivantes. 92
Filtres pare-feu en action
2013-01-0193
PHILOSOPHIE DE SÉCURITÉ DE
BASE
• Vous pouvez aborder la sé curité de
diffé rentes maniè res
 Nous faisons confiance à l'inté rieur, les
rè gles affecteront ce qui vient de
l'exté rieur
 Nous bloquons tout et permettons ce sur
quoi nous sommes d'accord
 Nous permettons tout et bloquons ce que
nous savons ê tre problé matique
94
CONSEILS ET ASTUCES DE BASE
• Avant de commencer, é tablissez une politique.
• Notez, en clair, dans votre langue, les rè gles de base
que vous souhaitez.
 Une fois que vous les avez compris et que vous les acceptez,
saisissez-les dans le routeur.
• Ajoutez progressivement d'autres règles, une fois que
vous êtes satisfait des règles de base.
 Si vous dé butez dans le domaine de la sé curité , cela ne
vous aidera pas du tout à tirer directions.Do les bases,
mais faites-les bien.
 N'attendez pas trop longtemps pour ajouter les rè gles suivantes.
C'est une chose de bien travailler, mais c'en est une autre de
laisser des trous ouverts parce que
yovous tester les premiè res rè gles dehors. 95
w 201une3-
0m1-0t1
MATCHS DE FILTRE
• Avant de prendre "action" sur un paquet, il

faut l'identifier.
• Les correspondants sont nombreux !
2013-01-0196
FILTRER LES ACTIONS
• Une fois qu'un paquet a é té mis en
correspondance avec une rè gle, une action
lui sera appliqué e.
• Les filtres de pare-feu de MikroTik ont 10
actions.
J'accepte Acceptez le paquet. Le paquet n'est pas transmis à la rè gle de pare-feu suivante.
Ajouter-dst-à-liste d'adresses Ajouter l'adresse de destination à la liste d'adresses spé cifié e par le paramè tre address-list. Le paquet est transmis à
la rè gle de pare-feu suivante.
Ajouter-src-à-liste d'adresses Ajouter l'adresse source à la liste d'adresses spé cifié e par le paramè tre address-list. Le paquet est transmis à la rè gle
de pare-feu suivante.
Tomber Dé posez silencieusement le paquet. Le paquet n'est pas transmis à la rè gle de pare-feu suivante.
SautAller à la chaîne dé finie par l'utilisateur spé cifié e par la valeur du paramè tre jump-target. Le paquet est transmis à la rè gle de pare-feu
suivante (dans la chaîne dé finie par l'utilisateur).
Enregistrer Ajoutez un message au journal systè me contenant les donné es suivantes : in-interface, out-interface, src-mac, protocol, src-ip:port->dst-
ip:port et
longueur du paquet. Le paquet est transmis à la rè gle de pare-feu suivante.
Traverser Ignorez cette rè gle et passez à la suivante (utile pour les statistiques).
Rejeter Supprimez le paquet et envoyez un message de rejet ICMP. Le paquet n'est pas transmis à la rè gle de pare-feu suivante.
Revenir Remettez le contrô le à la chaîne d'où le saut a eu lieu. Le paquet est passé à la rè gle de pare-feu suivante (dans la chaîne d'origine, s'il
n'y avait pas de correspondance pré cé dente pour arrê ter l'analyse des paquets).
Tarépudier Casquette tu r e une m ré h vieille TCP cconnexions (réponses avec SYN/ACK à ee entrant TCP SYN packet). Paquet jes ne pas
2 0 1 3- 0 1 -0 1
pcul à m poste pare-feu rule.
9 7
PROTÉGER VOTRE ROUTEUR (ENTRÉE)
• La chaîne d'entré e examine le trafic

destiné au routeur.
• Les rè gles que vous ajoutez dans la
chaîne d'entré e doivent empê cher les
pirates d'atteindre le routeur sans
l'empê cher de faire son travail.
2013-01-0198
PROTÉGER VOS CLIENTS (AVANT)
• Comme indiqué pré cé demment, la

chaîne directe examine le trafic passant
par le routeur.
• Les règles que vous ajoutez dans la
chaîne de transfert doivent empêcher
les pirates d'atteindre votre réseau
« sû r » sans vous empêcher de faire
votre travail.
2013-01-0199
PROTÉGER VOS CLIENTS (EXEMPLE)
• Ce qui suit sont des suggestions!
 Encore une fois, supposons que ether01 est connecté au
WAN (ré seau non approuvé ) et que nous utilisons la
politique « faire confiance à l'inté rieur ».
 Acceptez tout le trafic de transfert « é tabli » et « connexe »
(vous voudrez les ré ponses à tout ce que vous avez
demandé , comme les requê tes HTTP et e-mail)
 Supprimez tout le trafic de transfert « invalide » (tout ce que
vous obtenez et que vous n'avez pas demandé)
 Enregistrez le reste du trafic de transfert (Ai-je manqué
quelque chose d'important ?)
 Abandonnez le reste du trafic vers l'avant (je veux être en sécurité !)
2013-01-01100
De base liste d'adresses
2013-01-01101
DE BASE LISTE D'ADRESSES  A
d
m
• Les listes d'adresses sont des groupes
i
d'adresses IP n
• Ils peuvent être utilisés pour simplifier is
les règles de filtrage tr
 Par exemple, vous pouvez cré er 100 rè gles a
pour bloquer 100 adresses, ou !! t
e
 Vous pouvez cré er un groupe avec ces 100 u
adresses et cré er une seule rè gle de r
filtrage. s
• Les groupes (listes d'adresses) peuvent i
représenter n
formatiques avec des droits spé ciaux
 Les pirates
 Tout ce à quoi vous pouvez penser…
102
DE BASE LISTE D'ADRESSES
• Ils peuvent ê tre utilisé s dans les filtres de
pare-feu, les installations mangle et NAT.
• La cré ation de listes d'adresses peut ê tre
automatisé e en utilisant les actions add-src-
to-address-list ou add-dst-to- address-list
dans les fonctions de filtrage du pare-feu,
mangle ou NAT.
 C'est un excellent moyen de bloquer
automatiquement les adresses IP sans avoir à les
saisir une par une
 Exemple : add action=add-src-to-address-list
address-list=BLACKLIST chain=input
comment=psd in-interface=ether1-Internet
psd=21,3s,3,1
2013-01-01103
SYNTAXE DE LA LISTE D'ADRESSES
• Afficher les listes d'adresses existantes
 /ip impression de la liste d'adresses du pare-feu
• Cré er une liste d'adresses permanente
 /ip pare-feu liste d'adresses ajouter address=1.2.3.4 list=hackers
• Cré er une liste d'adresses via une rè gle de filtrage de pare-feu
 /ip firewall filter add action=add-dst-to-address-list address-
list=temp-list address-list-timeout=3d1h1m1s chain=input
protocol=tcp src-address=172.16.2.0/24
 /ip firewall nat add action=add-src-to-address-list address-
list=chaîne NAT-AL=srcnat
 /ip firewall mangle add action=add-dst-to-address-list address-
list=DST-AL address-list-timeout=10m chain=prerouting
protocol=tcp
104
NAT source
2013-01-01105
NAT
• La traduction d'adresses ré seau (NAT)
permet aux hô tes d'utiliser un ensemble
d'adresses IP cô té LAN et un autre ensemble
d'adresses IP lors de l'accè s à des ré seaux
externes.
• Le NAT source traduit les adresses IP privé es
(sur le LAN) en adresses IP publiques lors de
l'accè s au L'Internet. L'inverse est fait pour
le retour trafic.Il est parfois appelé "cachant"
votre espace d'adressage (votre ré seau)
derriè re l'adresse fournie par le FAI.
2013-01-01106
MASQUERADE ET ACTION SRC-NAT
• La premiè re chaîne pour le NAT est "srcnat". Il
est utilisé par le trafic sortant du routeur.
• Tout comme les filtres de pare-feu, les rè gles
NAT ont de nombreuses proprié té s et actions
(13 actions !).
• La première, et la plus basique des règles NAT,
n'utilise que l'action « mascarade ».
• Masquerade remplace l'adresse IP source dans les
paquets par une autre dé terminé e par la fonction de
routage.
 En rè gle gé né rale, l'adresse IP source des paquets allant sur
Internet sera remplacé e par l'adresse de l'interface externe
(WAN). Ceci est né cessaire pour le trafic de retour pour
"trouver le chemin du retour".
107
MASQUERADE ET ACTION SRC-NAT
• L'action "src-nat" modifie l'adresse IP

source et le port des paquets en ceux
spécifiés par l'administrateur réseau
 Exemple d'utilisation : Deux socié té s
(Alpha et Beta) ont fusionné et elles
utilisent toutes les deux le mê me espace
d'adressage (ex. 172.16.0.0/16). Ils
mettront en place un segment en utilisant
un espace d'adressage totalement diffé rent
comme tampon et les deux ré seaux
né cessiteront des rè gles src-nat et dst-nat.
2013-01-01108
NAT de destination
2013-01-01109
ACTION DST-NAT ET DE REDIRECTION
• "Dst-nat" est une action utilisé e avec

la chaîne "dstnat" pour rediriger le
trafic entrant vers une adresse IP ou
un port diffé rent
 Exemple d'utilisation : Dans notre
exemple Alpha et Beta pré cé dent, nous
voyons que les rè gles dst-nat seront
né cessaires pour reconvertir "l'adresse
IP du tampon" en l'adresse du serveur
de Beta.
2013-01-01110
ACTION DST-NAT ET DE REDIRECTION
• "Redirect" remplace le port de

destination par le port "to-ports"
spécifié du routeur.
 Exemple d'utilisation : Tout le trafic http
(TCP, port 80) doit ê tre envoyé au service
proxy Web sur le port TCP 8080.
2013-01-01111
SYNTAXE NAT
• NAT source (à partir de /ip firewall nat)
 Ajouter la rè gle de mascarade
 ajouter action=chaîne de mascarade=srcnat
 Changer l'adresse IP source
 add chain=srcnat src-address=192.168.0.109 action=src-nat to-
address=10.5.8.200
• NAT de destination
 Rediriger tout le trafic Web (TCP, port 80) vers le proxy Web du routeur sur le port 8080
 add action=redirect chain=dstnat dst-port=80 protocol=tcp to-
ports=8080
112
File d'attente simple
2013-01-01113
INTRODUCTION
• QoS (qualité de service) est l'art de
gérer les ressources de bande passante
plutô t que de limiter « aveuglément »
la bande passante à certains nœuds
• QoS peut prioriser le trafic en
fonction de métriques. Utile pour
– Applications critiques
– Trafic sensible tel que les flux vocaux
et vidé o
114
INTRODUCTION
• Les files d'attente simples sont un

moyen… simple… de limiter la bande
passante à
– Té lé chargement client
– Té lé chargement du client
– Agré gat client (té lé chargement et té lé chargement)
115
CIBLE
• La cible est l'interface à laquelle la file

d'attente simple est appliqué e
• Une cible DOIT ê tre spé cifié e. Ça peut ê tre
– Une adresse IP
– Un sous-ré seau
– Une interface
• L'ordre de la file d'attente EST
important. Chaque paquet doit passer
par chaque file d'attente simple
jusqu'à ce qu'une correspondance se
produise
116
DESTINATION
• Adresse IP vers laquelle le trafic de la

cible est destiné , ou
• Interface par laquelle transitera le
trafic de la cible
• Pas obligatoire comme le champ "cible"
• Peut être utilisé pour limiter la
restriction de la file d'attente
2013-01-01117
MAX-LIMIT ET LIMITE-AT
• Le paramè tre "max-limit" est le

dé bit de donné es maximum qu'une
cible peut atteindre
– Considé ré comme MIR (taux d'information maximum)
– Le meilleur cas de scenario
• Le paramè tre "limit-at" est un dé bit de
donné es minimum garanti pour la cible
– Considé ré comme CIR (taux d'information engagé )
– Pire scé nario
2013-01-01118
SYNTAXE
• Une file d'attente simple

– ajouter max-limit=2M/2M name=queue1 target=192.168.3.0/24
• La mê me file d'attente avec é clatement

– ajouter burst-limit=4M/4M burst-threshold=1500k/1500k burst-time=8s/8s
limit-at=\
1M/1M max-limit=2M/2M name=queue1 target=192.168.3.0/24
2013-01-01119
ASTUCE
• Vous avez peut-être remarqué que les

icô nes de file d'attente changent de
couleur en fonction de l'utilisation. La
couleur a un sens.
– Vert : 0 – 50 % de la bande passante disponible utilisé e
– Jaune : 51 - 75 % de la bande passante
disponible utilisé e
– Rouge : 76 – 100 % de la bande passante disponible utilisé e
2013-01-01120
Une file d'attente simple
pour l'ensemble du
réseau (PCQ)
2013-01-01121
POURQUOI AVOIR UNE FILE
D'ATTENTE POUR TOUS ?
• La file d'attente par connexion

(PCQ) est un moyen dynamique
de façonner le trafic pour
plusieurs utilisateurs à l'aide
d'une configuration plus simple.
• Dé finissez des paramè tres, puis chaque
sous-flux (adresses IP spé cifiques, par
exemple) aura les mê mes limitations.
2013-01-01122
CONFIGURATION DU TAUX PCQ
• Le paramè tre pcq-rate limite le

dé bit de donné es autorisé du type
de file d'attente.
• Le classificateur est ce que le routeur
vé rifie pour voir comment il
appliquera cette limitation. Il peut
s'agir d'une adresse source ou de
destination, ou d'un port source ou de
destination. Vous pourrez ainsi limiter
le trafic utilisateur ou le trafic
applicatif (HTTP par exemple).
2013-01-01123
CONFIGURATION LIMITE PCQ
• Ce paramè tre est mesuré en paquets.
• Une grande valeur de limite pcq
– Cré era un plus grand tampon, ré duisant ainsi les paquets
perdus
– Augmentera la latence
• Une valeur limite pcq plus petite
– Augmentera les pertes de paquets (puisque le tampon est
plus petit) et forcera la source à renvoyer le paquet,
ré duisant ainsi la latence
– Provoquera un ajustement de la taille de la fenê tre
TCP, indiquant à la source de ré duire le taux de
transmission
124
CONFIGURATION LIMITE PCQ les
dé lai
s
• Quelle valeur dois-je utiliser ? Il n'y a
pas de ré ponse facile.
– Si dé marre souvent sur une base « Essai et
erreur » par application
– Si les utilisateurs se plaignent de la latence, ré duisez
la valeur pcq-limit (longueur de file d'attente)
– Si les paquets doivent traverser un pare-feu complexe,
vous devrez peut-ê tre augmenter la longueur de la file
d'attente car cela peut introduire des retards
– Les interfaces rapides (comme Gig) né cessitent
des files d'attente plus petites car elles ré duisent
125
PCQ, UN EXEMPLE
• Supposons que nous ayons des utilisateurs

partageant un lien WAN limité . Nous leur
donnerons les dé bits de donné es suivants :
– Té lé chargement : 2Mbps
– Té lé chargement : 1Mbps
• Le WAN est sur ether1
• Le sous-réseau LAN est 192.168.3.0/24
2013-01-01126
PCQ, UN EXEMPLE
/ip feutous mutiler
add action=mark-packet chain=forward new-packet-mark=client_upload \
out-interface=ether1 src-address=192.168.3.0/24
add action=mark-packet chain=forward dst-address=192.168.3.0/24 \
in-interface=ether1 new-packet-mark=client_download
/type de file d'attente
add kind=pcq name=PCQ_download pcq-classifier=dst-address pcq-rate=2M
add kind=pcq name=PCQ_upload pcq-classifier=src-address pcq-rate=1M
/arbre de file d'attente
add name=queue_upload packet-mark=client_upload parent=global queue=\ PCQ_upload
add name=queue_download packet-mark=client_download parent=file globale=\
PCQ_té lé charger
127
NOTRE EXEMPLE EXPLIQUÉ
• Mutiler : Nous disons au routeur de marquer les paquets
avec la marque "client_upload" ou "client_download", selon si
– Les paquets proviennent du LAN et partent d'ether1 (té lé chargement) ou,
– Les paquets entrent de ether1 et vont au LAN (té lé chargement).
• Types de file d'attente : Nous définissons les débits de données et
les classificateurs à utiliser pour différencier les sous-flux (source
ou destination)
• Arbre de file d'attente : les combinaisons qui sont vérifiées pour
voir si les paquets se qualifient pour la mise en forme du trafic et ce
qu'il faut appliquer.
– Par exemple, dans le cas du trafic uploadé , nous vé rifions les interfaces
d'entré e et de sortie (globales) pour les paquets avec la marque
"client_upload" et appliquons le type de file d'attente "PCQ_upload".
128
GRAPHIQUES
• Le graphique est un outil utilisé pour

surveiller divers paramè tres de RouterOS
au fil du temps et mettre les donné es
collecté es dans des graphiques.
• Les paramètres suivants peuvent être capturés.
– Utilisation du processeur, de la mé moire et du disque
– Trafic d'interface
– Trafic de file d'attente
• Les graphiques sont accessibles en tapant
http://<routeur-IP-address>/graphs
2013-01-01129
POINT CHAUD
POINT CHAUD
• Un point d'accè s est un moyen de fournir
internet accè s aux
abonné s au moyen d'une interface de
connexion facile à utiliser. Cela donne au
proprié taire du point d'accè s un contrô le total
sur les limitations de té lé chargement, la
gestion de la vitesse/de la bande passante et
la facturation. Un hô tel, un café ou un centre
de confé rence est un exemple parfait où
Hotspot doit ê tre mis en œuvre.
131
CRÉER UN HOTSPOT
CONNECTIVITÉ INTERNET
• Vous devez d'abord vous assurer que votre
routeur dispose d'une connectivité Internet
via votre interface WAN. Soit par adresse
statique, soit par DHCP-Client.
• Assurez-vous de vos paramè tres DNS et
testez votre connexion WAN
133
LAN CONNECTIVITÉ
• Choisissez votre interface Hotspot.
• En cas de nombreuses interfaces, cré ez un pont
pour le point d'accè s et ajoutez-y toutes les
interfaces de point d'accè s pré vues.
• Configurez votre IP de sous-ré seau LAN sur l'ionterface.
• Si votre interface sans fil est é galement une
interface de point d'accè s, assurez-vous de
configurer l'interface comme AP
• Créez un serveur DHCP doux sur l'interface avec
un bail raisonnable. 134
CONFIGURATION DU POINT D'ACCÈS
• Nous pouvons maintenant passer à notre assistant de
configuration de hotspot
135
• La première option consiste à choisir l'interface
sur laquelle définir le hotspot.
• Choisir l'interface ou le Bridge
préalablement configuré à cet effet
136
• La fenê tre suivante vous permet de choisir la plage
d'adresses locales de votre hotspot. Cela sera rempli pour
vous en fonction de l'adresse IP que vous avez attribué e à
votre carte sans fil plus tô t dans ce didacticiel. Assurez-
vous que l'option « Masquerade Network » est coché e et
cliquez sur Suivant.
137
• La fenê tre suivante vous permet de choisir le pool
d'adresses IP pour votre ré seau hotspot. Cela sera
é galement rempli pour vous en fonction de l'adresse
IP de l'interface sans fil attribué e pré cé demment.
138
• Si vous envisagez d'utiliser des certificats SSL/HTTPS pour
votre hotspot, vous pouvez les té lé charger ici. Sinon, laissez
l'option dé finie sur « aucun » et continuez.
139
• Pour une maison d'hô tes/hô tel, il est parfois
né cessaire pour les voyageurs en survol de modifier
leurs paramè tres SMTP afin d'envoyer correctement
les e-mails. Cette option permet au Mikrotik de
capturer tout le trafic SMTP des clients Hotspot et de
les forcer à utiliser un serveur SMTP de votre choix. Si
vous n'en avez pas besoin, laissez 0.0.0.0
140
• La fenê tre suivante vous permet de spé cifier les
serveurs DNS qui seront donné s aux clients hotspot.
Celui-ci sera rempli automatiquement avec les
serveurs DNS du routeur
141
• Vient ensuite le nom DNS de votre hotspot. Il s'agit du
« site Web » vers lequel les clients du hotspot seront
redirigé s lorsqu'ils souhaiteront se connecter. Le nom DNS
ne doit pas ê tre un site Web qui existe dé jà , mais un nom
choisi localement avec une syntaxe d'URL.
142
• La derniè re fenê tre vous permet de cré er votre premier
nom d'utilisateur et mot de passe Hotspot pour une
utilisation client.
• Aprè s cette é tape, votre hotspot sera entiè rement fonctionnel.

143
PROFIL DU SERVEUR HOTSPOT
• Aprè s avoir cré é votre hotspot avec
les é tapes pré cé dentes, cela cré era
automatiquement un profil de
serveur hotspot pour votre hostpot.
• Un routeur peut avoir plusieurs profils
de serveur hotspot pour ses différents
serveurs hotspot.
• Vous pouvez modifier le profil du hotspot
sous divers aspects pour optimiser votre
hotspot
144
PROFIL DU SERVEUR HOTSPOT
145
PROFIL UTILISATEUR HOTSPOT
• C'est ici que
vous créez les
différents
services pour
vos clients
hotspot.
146
UTILISATEUR DU HOTSPOT
• Cré er des
utilisateurs
en pré cisant leurs
paramè tres
d'authentification et
leur profil utilisateur
qui est le service
utilisateur.
147
FICHIER HOTSPOT
• Le fichier Hotspot est en fait le site
Web du hotspot avec toutes les pages
du hotspot (connexion,
dé connexion...)
• Ce fichier est cré é automatiquement lors de
le processus de l'assistant de configuration du hotspot.
• Le fichier peut être récupéré par FTP et
personnalisé pour avoir personnalisé
pages de points chauds. Le fichier est
ensuite réimporté dans le routeur pour
que les modifications soient effectives
sur votre hotspot.
• Vous pouvez insérer différents
fichiers hotspot et préciser celui à
utiliser sur les outils de votre serveur
hotspot.
148
POINT CHAUD UTILITAIRES
• Hô tes
• Liaisons IP
• Jardin fermé
149

Basic Network Administration With Mikrotik Routeros

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Basic Network Administration With Mikrotik Routeros

Transféré par

Droits d'auteur :

Formats disponibles

Traduit de Anglais vers Français - www.onlinedoctranslator.

• Mikrotik Routeros est le systè me

• Connectez-vous au routeur avec un câ ble Ethernet

• WinBox est l'interface propriétaire de

• Prenez 5 minutes pour parcourir les menus

• Outils IP standard pour accé der au routeur

• repré sente Ccommande Liné jeinterface

• Correction d'un bug connu.

• Sachez quelle architecture (mipsbe, ppc, x86,

• Obtenez les fichiers du package sur

• Copiez le(s) fichier(s) sur le

• Par le menu "Systè me ->

• Copiez les fichiers requis par tous les

• Vérifier le courant version

• Mettre à niveau si né cessaire (c'est dans cet exemple)

• Créez des comptes d'utilisateurs pour

• Gé rer les services IP pour

• Pour contrô ler les services, allez dans « IP ->

• Double-cliquez sur un service

• Sauvegarde complè te du systè me

• Utilisez « verbose » pour

• Une fois gé né ré s, copiez-les sur un serveur

• Utilisé pour installer et ré installer RouterOS

• Détermine les capacités autorisées sur votre

• Les niveaux sont décrits sur la page web

• Impossible de mettre à niveau la

• Les étapes minimales pour

• Le routage est un processus de couche

• Les ordinateurs ne communiqueront pas.

• Les ordinateurs peuvent désormais communiquer.

• Les itiné raires ont statuts.Dans ce

• Les routes vers les sous-ré seaux qui

• Simplifie la configuration sur un très petit

• N'é volue pas bien.

Votre réseau se développe

• Pour ajouter une route statique :

• Comme mentionné précédemment, les

Considé rez l'exemple suivant.

• Les ponts sont des pé riphé riques OSI de couche 2.

• Utilisation des menus

• Chemin du menu pour ajouter un port

• Gamme de fréquences 802.11b,g

• Pour ajouter un profil de sécurité

• Vous pouvez désormais

• Paramé trage de la gare

• Paramé trage de la gare

• Authentification par dé faut

• Transfert par défaut : spécifie le

• Le matcher examine des paramè tres tels que :

• L'utilisation du suivi des connexions permet le

• Nouveau - premier paquet d'UDP, paquet de

• Premier paquet pouvant

• Connexion cré é e par une autre

• Tout paquet avec un é tat inconnu

• Avant de prendre "action" sur un paquet, il

• La chaîne d'entré e examine le trafic

• Comme indiqué pré cé demment, la

• L'action "src-nat" modifie l'adresse IP

• "Dst-nat" est une action utilisé e avec

• "Redirect" remplace le port de

• Les files d'attente simples sont un

• La cible est l'interface à laquelle la file

• Adresse IP vers laquelle le trafic de la