[研究所] MikroTik RouterOS 學習 (持續更新)

logs and system logging

對於 Router 來說, 紀錄下系統所有的訊息(logs)是非常重要的, 例如何人登入 RouterOS 設定, firewall drop 掉的封包等...

在 RouterOS 可將所產生的 log 輸出至 disk, echo, email, memory & remote syslog server.

至於這五種 target 可參考下列官方文件.

官方文件: System/Log

於 system logging 可以將不同的 topic 導至不同的 target. (系統以 topic=info 為絕大部份的訊息)


而在 winbox log 下所觀看的指的是輸出至 memory 的 log. RouterOS 預設並未將所有的 topic 都輸出去 log, 欲對某些特定的 log 加以紀錄, 必須自行再新增進來. 如下為把 dhcp 相關的 log 再加入.


ps: log to memory 預設是保留最後 100 則訊息, 且無法手動清除 buffer, 若欲手動清除 log buffer, 則由 log action memory, 將 lines 改為 1, apply 後再改回 100 即可.
FB:VoIP電話技術交流
Multi LAN

之前提及 RB450G & RB750GL 的 5 port gigabit switch port 的用途都是自己可以定義的. 即一般市面上買的 IP 分享器大多購買時已限定 WAN Port & LAN port 的數量, 但在 RouterBoard 上是可由 User 彈性應用.

這裡以 RB450G 為例. 5 port gigabit 用法如下:
ether1: 接中華電信 ADSL 設備, 供 PPPoE 上網用.
ether2: LAN1 (192.168.22.254/24)
ether3: 和 ether2 組合為一個 switch group
ether4: 和 ether2 組合為一個 switch group
ether5: LAN2 (192.168.8.254/24)

PPPoE 的設定就不多做說明, 這裡較特別的是 Port2/3/4 組成 LAN1, 而 Port5 為 LAN2.

做法說明如下.

[admin@MikroTik] > interface ethernet print
Flags: X - disabled, R - running, S - slave
# NAME MTU MAC-ADDRESS ARP MASTER-PORT
0 R ether1-g... 1500 D4:CA:6D:65:33:E4 enabled none
1 R ether2-lan1 1500 D4:CA:6D:65:33:E5 enabled none
2 S ether3-s... 1500 D4:CA:6D:65:33:E6 enabled ether2-lan1
3 S ether4-s... 1500 D4:CA:6D:65:33:E7 enabled ether2-lan1
4 R ether5-lan2 1500 D4:CA:6D:65:33:E8 enabled none

**將 ether3 & ether4 的 MASTER-PORT 設定為 ether2, 這樣 2/3/4 port 就形成一 switch group.


[admin@MikroTik] > ip address print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK INTERFACE
0 ;;; LAN1
192.168.22.254/24 192.168.22.0 ether2-lan1
1 D 114.32.185.24/32 168.95.98.254 pppoe-out1
2 ;;; LAN2
192.168.8.254/24 192.168.8.0 ether5-lan2

** 定義 LAN1 & LAN2 的 IP.


[admin@MikroTik] > ip dhcp-server print
Flags: X - disabled, I - invalid
# NAME INTERFACE RELAY ADDRESS-POOL LEA
0 default ether2-lan1 default-dhcp 1d
1 dhcp1 ether5-lan2 dhcp_pool1 3d

** 設定 LAN1 & LAN2 DHCP server.(直接用 dhcp setup 做即可)


[admin@MikroTik] > ip pool print
# NAME RANGES
0 default-dhcp 192.168.22.128-192.168.22.200
1 dhcp_pool1 192.168.8.1-192.168.8.200

** LAN1 & LAN2 DHCP pool


經過上述設定, LAN1 & LAN2 彼此是互通的, 且都是可以上 Internet.
FB:VoIP電話技術交流
很不錯的筆記,現在也是用rb450+seednet+hinet兩個wan..


一直搞不定的是SIP穿透...XD

phoenix2004 wrote:
一直搞不定的是SIP穿透...(恕刪)


請教一下, 你的 SIP proxy server & client 的網路架構為何?
FB:VoIP電話技術交流
RB450G (192.168.88.1) 上面一條seednet一條hinet固定ip

IP-PBX接內部的192.168.88.2

我已經把該轉的port都轉了,不過外面還是常常連不進來,有的地方可以有的不行,後來火大把ip-pbx wan直接對外,終於可以,不過很可怕,被hacker偷打了近萬的電話(立陶宛奧地利),現在只好用VPN連回公司打




phoenix2004 wrote:
IP-PBX接內部的192.168.88.2

我已經把該轉的port都轉了,不過外面還是常常連不進來,有的地方可以有的不行,後來火大把ip-pbx wan直接對外,終於可以,不過很可怕,被hacker偷打了近萬的電話(立陶宛奧地利),現在只好用VPN連回公司打...(恕刪)


IP PBX 在 firewall 後端做 port forwarding 本來就會比較多問題, 至於解決就是你所提的, 透過 VPN 也是個好方法. 不然假設外點有固定 IP, 就在 IP PBX 上限制連入的 IP 位址. 此部份我也不建議在 RB450G 去做, 會搞死人.
FB:VoIP電話技術交流
因為ip-pbx太陽春了,wan直接出去很危險,我原先想法是躲在rb450g後面,然後透通回來,不過實做上不能成功所以就放棄了..


請問如果是透過port轉送,有機會做到認device的mac位址嗎?
phoenix2004 wrote:
因為ip-pbx太陽春了...(恕刪)


請問你用的是那家 IP PBX?

ps: 現在很多 SIP Phone 都有支援 PPTP client 功能, 啟用這個功能可能簡單些.
FB:VoIP電話技術交流
內地幾乎都不能pptp...L2tp也要看對方長城的心情...XD
PPTP Server - Remote dial-in

這個範例是以 RG450G 做為 PPTP Server, 供 mobile user (remote dial-in) 從 Internet 連線.

官方文件: interface / PPTP

官方文件上面講解的是 site-to-site (lan-to-lan) PPTP & Remote client (Remote dial-in), 這裡僅先以實作完成的 Remote client 為例.

(範例架構圖)


LAN subnet: 192.168.22.0/24
RB450G LAN IP: 192.168.22.254

啟用 pptp server (interface pptp-server server set enabled=yes)


新增一 pptp-profile, Local address 指向 RouterBoard LAN IP, 而 Remote address 指向 dhcp ip pool. 並在 secret 新建 pptp user 帳號引用此 pptp-profile, 這樣就可以直接依 ip pool 配發給 VPN client 了.


注意
完成上述設定, VPN client 僅可 ping 到 Router LAN IP, 如果 VPN client 欲和 VPN Server 內部的 PC or Server 連線, 則必須在 Router LAN interface 啟用 proxy-arp.


測試連線
完成設定後, 再去做 client (如 windows, mac...) 的設定即可, 此部份就略過. 連線狀態可從
interface pptp-server monitor 去 check.

你可以用作業系統內建的 VPN client 去連, 但 Draytek 原本使用的 smart vpn client 程式用來搭 RouterOS 還是很好用.


FB:VoIP電話技術交流
評分
複製連結
請輸入您要前往的頁數(1 ~ 735)