Загрузка

Углубление и сертификация

от | Сен 18, 2025

Углубление и сертификация

После освоения основ маршрутизации и практических навыков на MikroTik есть смысл двигаться к официальной сертификации. Сертификация позволяет систематизировать знания и подтвердить их официально, что полезно как для работы в компании, так и для фриланса или проектов с корпоративными сетями.

1. MTCNA (MikroTik Certified Network Associate)

  • Уровень: Базовый.

  • Цель: Освоение фундаментальных навыков работы с MikroTik RouterOS и базовой маршрутизации.

  • Содержание курса:

    • Основы IP-сетей и маршрутизации.

    • Настройка NAT, DHCP, статической маршрутизации.

    • VLAN и базовая сегментация сети.

    • Основы безопасности (firewall, ограничение сервисов, WPA2/WPA3).

    • Практические упражнения с Ping, Traceroute, Torch, Bandwidth Test.

  • Для кого: Начинающие администраторы, инженеры поддержки, сотрудники офисных IT-подразделений.

2. MTCRE (MikroTik Certified Routing Engineer)

  • Уровень: Углублённый.

  • Цель: Понимание и настройка динамической маршрутизации в корпоративных и офисных сетях.

  • Содержание курса:

    • OSPF, RIP, BGP: принципы и настройка.

    • Статическая маршрутизация и балансировка нагрузки.

    • VPN-технологии: WireGuard, IPsec, L2TP.

    • Advanced NAT (маскарадинг, Port Forwarding, NAT по политике).

    • Практика маршрутизации между несколькими офисами и туннелями.

  • Для кого: Сетевые инженеры, системные администраторы с опытом работы.

3. MTCWE (MikroTik Certified Wireless Engineer)

  • Уровень: Wi-Fi.

  • Цель: Проектирование и настройка беспроводных сетей на основе MikroTik.

  • Содержание курса:

    • Wi-Fi стандарты, безопасность (WPA2/WPA3).

    • Точки доступа, CAPsMAN, Mesh сети.

    • Решение проблем радиоканалов и интерференции.

  • Для кого: Специалисты по беспроводным сетям.

4. MTCINE (MikroTik Certified Inter-networking Engineer)

  • Уровень: Провайдерский, продвинутый.

  • Цель: Работа с крупными сетями и провайдерскими технологиями.

  • Содержание курса:

    • BGP, MPLS, VPN, маршрутизация между автономными системами.

    • Управление большой корпоративной сетью.

    • Failover, отказоустойчивость, балансировка нагрузки на уровне провайдера.

  • Для кого: Инженеры провайдерских и корпоративных сетей, специалисты по сетевой архитектуре.

5. Что реально нужно для работы

  • Для большинства офисных и корпоративных проектов достаточно:

    • MTCNA — базовый уровень знаний.

    • MTCRE — продвинутая маршрутизация.

  • Остальные курсы (MTCWE, MTCINE) полезны для Wi-Fi и провайдерских сетей, но не обязательны для офисного инженера.

Практика по маршрутизации и сетям

от | Сен 18, 2025

Практика по маршрутизации и сетям

Теория — это хорошо, но навыки закрепляются только на практике. Ниже представлены ключевые задачи, которые стоит отработать руками на MikroTik или другом оборудовании.

1. Настройка NAT и проброса портов

Зачем:

  • NAT (Network Address Translation) позволяет устройствам в локальной сети использовать один публичный IP для выхода в интернет.

  • Проброс портов (Port Forwarding) нужен, чтобы внешние клиенты могли обращаться к сервисам внутри сети (например, веб-сервер, FTP, SSH).

Практика:

  1. Настроить NAT для выхода локальной сети в интернет:

/ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade

  1. Проброс портов на локальный сервер:

/ip firewall nat add chain=dstnat dst-port=80 protocol=tcp action=dst-nat to-addresses=192.168.19.10 to-ports=80

  1. Проверить доступность сервиса с внешнего IP.

2. Организация WireGuard-туннеля между офисами

Зачем:

  • Обеспечивает безопасное соединение между офисами через интернет.

  • Позволяет объединить подсети в единую логическую сеть.

Практика:

  1. Создать интерфейс WireGuard на каждом роутере:

/interface wireguard add name=wg-office1 listen-port=51820 private-key="ключ1"

  1. Добавить пир на другом офисе:

/interface wireguard peers add interface=wg-office1 public-key="ключ2" allowed-ips=10.127.127.2/32 endpoint-address=IP_офиса2 endpoint-port=51820

  1. Прописать маршруты через туннель и проверить пинги между офисами.

3. Настройка OSPF для автоматической маршрутизации

Зачем:

  • OSPF автоматически сообщает роутерам о доступных сетях.

  • Исключает ручное добавление маршрутов для каждой подсети.

Практика:

  1. Создать OSPF instance:

/routing ospf instance add name=ospf1 router-id=10.255.255.1

  1. Добавить область:

/routing ospf area add name=backbone instance=ospf1 area-id=0.0.0.0

  1. Настроить интерфейсы и сети:

/routing ospf interface-template add networks=172.30.30.0/24 area=backbone
/routing ospf interface-template add networks=10.127.127.0/24 area=backbone

  1. Проверить автоматически созданные маршруты в IP → Routes.

4. Разделение сети на VLAN

Зачем:

  • Изоляция отделов или сервисов.

  • Повышение безопасности и упрощение управления сетью.

Практика:

  1. Создать VLAN на роутере:

/interface vlan add name=vlan10 vlan-id=10 interface=ether1
/interface vlan add name=vlan20 vlan-id=20 interface=ether1

  1. Прописать IP и включить DHCP для каждого VLAN:

/ip address add address=192.168.10.1/24 interface=vlan10
/ip pool add name=pool10 ranges=192.168.10.10-192.168.10.254
/ip dhcp-server add interface=vlan10 address-pool=pool10

  1. Проверить, что устройства в разных VLAN не видят друг друга (ping).

5. Проверка работы диагностики

Основные инструменты MikroTik:

  • Torch — анализ реального трафика по интерфейсу.

  • Ping — проверка доступности узлов.

  • Traceroute — трассировка маршрута до узла.

  • Bandwidth Test — проверка пропускной способности между двумя устройствами MikroTik.

Практика:

  1. Запустить Torch на интерфейсе с нагрузкой:

/tool torch ether1

  1. Проверить пинг до другого роутера:

/ping 10.127.127.2

  1. Протрассировать путь до внешнего сайта:

/tool traceroute 8.8.8.8

  1. Измерить скорость канала между двумя MikroTik:

/tool bandwidth-test 10.127.127.2

6. Советы по практике

  • Перед настройкой делайте резервную копию конфигурации.

  • Отрабатывайте каждую задачу сначала на тестовой сети.

  • После изменения маршрутизации или NAT проверяйте доступность ресурсов.

  • Фиксируйте IP, чтобы избежать конфликтов, особенно для статических сервисов.

Безопасность сетей и маршрутизации

от | Сен 18, 2025

Безопасность сетей и маршрутизации

Безопасность — это ключевой аспект любой сети, будь то домашняя, корпоративная или дата-центр. Неправильная настройка роутеров и серверов делает сеть уязвимой к атакам, утечкам данных и несанкционированному доступу. В этой статье рассмотрим основные практики безопасности с упором на MikroTik, Wi-Fi и VPN.

1. Firewall: фильтрация трафика

Firewall — это первый рубеж защиты сети. Он позволяет управлять входящим и исходящим трафиком, ограничивая доступ к сервисам и портам.

  • 🔹 Фильтрация по IP-адресам

    • Разрешить доступ только с доверенных адресов.

    • Например, разрешить подключение к серверу Winbox только с офисного IP:

      /ip firewall filter add chain=input src-address=192.168.19.0/24 protocol=tcp dst-port=8291 action=accept
      /ip firewall filter add chain=input protocol=tcp dst-port=8291 action=drop

  • 🔹 Фильтрация по портам

    • Закрыть все ненужные порты.

    • Например, если FTP сервер не используется — блокируем порт 21:

      /ip firewall filter add chain=input protocol=tcp dst-port=21 action=drop

  • 🔹 Логирование атак

    • Можно вести журнал блокированных попыток:

      /ip firewall filter add chain=input protocol=tcp dst-port=23 action=drop log=yes

2. Закрытие ненужных сервисов

Многие роутеры по умолчанию включают сервисы, которые могут быть опасны при доступе из интернета.

  • Telnet — устаревший и небезопасный протокол. Заменить на SSH или отключить.

  • FTP — передаёт пароли в открытом виде, лучше SFTP.

  • Winbox снаружи — доступ к настройкам роутера через интернет потенциально опасен.
    Рекомендация: разрешать доступ только с конкретных IP или через VPN.

Пример на MikroTik:

/ip service set telnet disabled=yes
/ip service set ftp disabled=yes
/ip service set winbox address=192.168.19.0/24

3. Ограничение доступа к VPN

VPN защищает трафик, но если его не ограничить, злоумышленник может попытаться подключиться извне.

  • Разрешать подключение только с известных IP.

  • Настроить AllowedIPs в WireGuard или IPsec.

  • Настроить firewall для блокировки всех попыток кроме VPN:

/ip firewall filter add chain=input protocol=udp dst-port=51820 src-address-list=trusted action=accept
/ip firewall filter add chain=input protocol=udp dst-port=51820 action=drop

4. Обновление прошивки и RouterOS

  • MikroTik выпускает обновления для исправления уязвимостей.

  • Регулярно проверяйте доступность новых версий:

/system package update check-for-updates

  • Устанавливайте обновления после резервного копирования конфигурации.

5. Безопасность Wi-Fi

Wi-Fi — частый источник атак. Основные рекомендации:

  1. Использовать WPA3, или WPA2 если устройства старые.

    • WPA3 более защищён от атак на пароль (Brute Force, Dictionary Attack).

  2. Отключить WPS (Wi-Fi Protected Setup) — уязвим к подбору PIN.

  3. Скрыть SSID — не гарантирует защиту, но снижает видимость сети.

  4. Разделять сети для гостей и сотрудников — через VLAN или отдельный SSID.

  5. Использовать длинный и сложный пароль.

Пример на MikroTik для WPA3/WPA2:

/interface wireless security-profiles
add name=secure_auth mode=dynamic-keys authentication-types=wpa2-psk,wpa3-psk wpa2-pre-shared-key="СложныйПароль" wpa3-pre-shared-key="ЕщёСложнее"

6. Резюме ключевых правил безопасности

Правило Зачем
1 Firewall: фильтруй IP и порты Ограничивает доступ и защищает от атак
2 Закрывай ненужные сервисы Уменьшает поверхность атаки
3 VPN только для доверенных IP Не даёт подключаться посторонним
4 Регулярные обновления Исправление уязвимостей
5 Wi-Fi с WPA3/WPA2, отключение WPS Защита беспроводной сети
6 Разделение сетей (VLAN) Изоляция отделов и гостей

Диагностика на MikroTik

от | Сен 18, 2025

Диагностика на MikroTik

MikroTik RouterOS предоставляет широкий набор утилит для диагностики работы сети. Эти инструменты позволяют определить качество соединений, выявить ошибки маршрутизации, проверить доступность сервисов и нагрузку на сеть. Рассмотрим ключевые средства.

1. Torch (Анализ трафика в реальном времени)

Torch — это инструмент «сниффинга» (перехвата) трафика, который позволяет в реальном времени отслеживать, какие IP-адреса, порты и протоколы проходят через интерфейс.

  • 📍 Где найти:
    Tools → Torch или в терминале:

    /tool torch interface=ether1

  • 🔍 Что показывает:

    • IP-адреса источников и получателей

    • Порты (TCP/UDP)

    • Протоколы (HTTP, DNS, HTTPS, ICMP и т.д.)

    • Текущую скорость передачи (Tx/Rx)

  • ✅ Когда использовать:

    • Диагностика «куда уходит трафик»

    • Поиск подозрительных подключений

    • Анализ загрузки канала

2. Ping

Один из базовых инструментов для проверки доступности узлов.

  • 📍 Команда:

    /ping 8.8.8.8

  • 🔍 Что показывает:

    • Время отклика (latency)

    • Потерю пакетов

    • Стабильность соединения

  • ✅ Когда использовать:

    • Проверка связи между MikroTik и интернетом

    • Тест доступности локальных узлов

    • Выявление нестабильных каналов

3. Traceroute

Позволяет определить маршрут до удалённого узла, показывая все промежуточные маршрутизаторы.

  • 📍 Команда:

    /tool traceroute 8.8.8.8

  • 🔍 Что показывает:

    • Список хопов (IP-адреса маршрутизаторов на пути)

    • Время отклика на каждом участке

  • ✅ Когда использовать:

    • Поиск проблемных участков маршрута

    • Диагностика медленного соединения

    • Проверка работы маршрутизации (например, через VPN)

4. Bandwidth Test

Тест пропускной способности канала.

  • 📍 Команда:

    /tool bandwidth-test 192.168.1.1 user=admin password=123 mode=both

  • 🔍 Что показывает:

    • Скорость загрузки (Download)

    • Скорость отдачи (Upload)

    • Потери пакетов и jitter (скачки задержки)

⚠️ Важно: Bandwidth Test сильно нагружает процессор MikroTik, особенно на слабых моделях. Лучше использовать только для диагностики.

5. Packet Sniffer (Анализ пакетов)

Встроенный сниффер пакетов, аналог Wireshark, но на стороне роутера.

  • 📍 Команда:

    /tool sniffer start interface=ether1
    /tool sniffer stop
    /tool sniffer export file=trafik.cap

  • 🔍 Что можно сделать:

    • Сохранить дамп трафика (.cap файл) и открыть в Wireshark

    • Анализировать сетевые атаки

    • Смотреть заголовки пакетов

6. Profile (Нагрузка на процессор)

Позволяет увидеть, какие процессы нагружают CPU.

  • 📍 Команда:

    /tool profile

  • ✅ Когда полезно:

    • Если роутер тормозит

    • При подозрении на перегрузку Bandwidth Test, VPN или Firewall

7. Log (Журнал событий)

Все действия и ошибки фиксируются в системном журнале.

  • 📍 Команда:

    /log print

  • 🔍 Что показывает:

    • Ошибки подключения

    • События авторизации

    • Системные уведомления

8. Netwatch

Утилита для мониторинга доступности узлов. Позволяет выполнять скрипты при появлении/исчезновении хоста.

  • 📍 Пример:

    /tool netwatch add host=8.8.8.8 interval=30s up-script="/log info Google доступен" down-script="/log warning Google недоступен"

9. Torch vs Sniffer

  • Torch → быстрый просмотр трафика онлайн (статистика по IP/портам).

  • Sniffer → глубокий анализ пакетов оффлайн (детали каждого пакета в Wireshark).

Итог

🔑 MikroTik даёт сетевому администратору полный набор инструментов для диагностики:

  • Ping/Traceroute → доступность и маршруты

  • Torch → кто и сколько потребляет трафика

  • Bandwidth Test → тест скорости

  • Sniffer → анализ пакетов

  • Netwatch → автоматизация проверки доступности

  • Profile и Log → внутреннее состояние роутера

Эти инструменты позволяют не только устранить неполадки, но и проактивно мониторить сеть.

Broadcast, Multicast и Loopback в IP-сетях

от | Сен 18, 2025

Broadcast, Multicast и Loopback в IP-сетях

1. Broadcast (широковещание)

Что это

Broadcast — отправка пакета всем узлам в пределах одной сети (L2 сегмента или VLAN).
Работает только внутри локальной подсети, не маршрутизируется за её пределы (обычно).

Виды Broadcast

  • Limited broadcast255.255.255.255
    → Пакет уходит всем узлам в пределах текущего сегмента (например, DHCP Discover).

  • Directed broadcast — адрес подсети с host-частью = все единицы.
    Например, сеть 192.168.10.0/24 → directed broadcast = 192.168.10.255.
    Такие пакеты могут быть доставлены во всю подсеть, но маршрутизаторы часто блокируют их по умолчанию (anti-smurf attack).

Где используется

  • DHCP (клиент не знает адрес сервера → шлёт на broadcast).

  • ARP (узнать MAC по IP).

  • Wake-on-LAN (магический пакет).

Минусы

  • Загружает всех участников сети.

  • Не масштабируется (в больших сетях → «штормы»).

  • Поэтому в крупных сетях broadcast стараются изолировать с помощью VLAN.

2. Multicast (групповая передача)

Что это

Multicast — доставка пакета сразу нескольким получателям, но не всем.
Работает по принципу «подписки на группу»:

  • Отправитель шлёт один пакет → сеть дублирует его только тем узлам, которые подписаны.

Диапазоны адресов IPv4

  • 224.0.0.0 – 239.255.255.255 (Class D).

  • Специальные:

    • 224.0.0.1 — все узлы в сегменте.

    • 224.0.0.2 — все маршрутизаторы.

    • 224.0.0.251 — mDNS (Bonjour, Apple).

Принцип работы

  • Получатели подписываются на группу через IGMP (Internet Group Management Protocol).

  • Маршрутизаторы используют PIM (Protocol Independent Multicast) для распространения.

  • Отправитель не знает, кто слушает, он просто отправляет на адрес группы.

Где используется

  • IPTV, стриминг видео (один поток → тысяче клиентов).

  • Видеоконференции (Zoom, Teams, но чаще поверх Unicast через CDN).

  • Протоколы маршрутизации (OSPF использует multicast 224.0.0.5/6).

  • Service discovery (mDNS, SSDP).

Проблемы и минусы

  • Требует поддержки маршрутизаторами (IGMP Snooping на свичах, PIM на роутерах).

  • Плохо работает через NAT (из-за адресов 224/4).

  • В интернете почти не используется — чаще в пределах провайдера или локальной сети.

3. Loopback (обратный интерфейс)

Что это

Loopback — специальный виртуальный интерфейс «самого себя».
Адреса 127.0.0.0/8 зарезервированы для loopback. Обычно используется 127.0.0.1.

Как работает

  • Любой пакет, отправленный на адрес из диапазона 127.0.0.0/8, не уходит в сеть — возвращается локально в стек TCP/IP.

  • Это значит: даже если сеть отключена, ping 127.0.0.1 будет работать.

Где используется

  • Тестирование TCP/IP стека: проверка, работает ли сетевой стек.

  • Локальные сервисы: веб-серверы, базы данных, прокси.
    (Например, 127.0.0.1:3306 → MySQL доступен только локально.)

  • В маршрутизации (Cisco, MikroTik, Juniper): loopback-интерфейсы используют как router-id и стабильный идентификатор (не зависит от физического интерфейса).
    Например:

    /interface bridge add name=loopback
    /ip address add address=10.255.255.1/32 interface=loopback

    Этот адрес всегда «живой» и его можно использовать в OSPF/BGP как идентификатор.

Примеры

  • ping 127.0.0.1 → проверка TCP/IP на твоём ПК.

  • curl http://127.0.0.1:8080 → обращение к локальному сервису.

  • В BGP router-id часто задают loopback IP (например, 10.255.255.1).

Итоговое сравнение

Характеристика Broadcast Multicast Loopback
Получатели Все в подсети Только подписавшиеся Только локальный хост
Пример адреса 255.255.255.255, 192.168.1.255 224.0.0.251 127.0.0.1
Используется для ARP, DHCP, WOL IPTV, OSPF, mDNS Тесты, локальные сервисы
Маршрутизируется Обычно нет Да (с PIM/IGMP) Нет, остаётся в хосте
Минусы Загружает всех Сложная настройка Только локально