Serbian/Osnovno podesavanje
From MikroTik Wiki
Contents |
UPUTSTVO: MIKROTIK - OSNOVNO PODEŠAVANJE ZA DELJENJE INTERNET KONEKCIJE U LOKALNOJ MREŽI
Uputstvo za osnovno podešavanje Mikrotika za povezivanje na Internet provajdera, deljenje Internet konekcije u lokalnoj mreži i ograničenje protoka korisnicima.
Mikrotik je ruter namenjen za razne vrste poslova. Ipak onaj najčešći koji se sa njim obavlja je deljenje internet konekcije na više računar u lokalnoj mreži. Dobre osobine Mikrotika za ovakvu primenu su u velikom broju opcija za povezivanje sa provajderom (razni tunel protokoli, dinamičko adresiranje, automatizacija i slično) a još više u opcijama za nadzor i kontrolu lokalne mreže, a naročito opterećenja internet linka.
Bitno je da svako ko namerava da koristi Mikrotik bude dovoljno upućen u osnovne pojmove umrežavanja. Mikrotik ima mnogo opcija, ali će to biti korisno samo onome ko zna kako da ih upotrebi. Njega, nažalost ne možete koristiti odmah pošto ga instalirate, neophodno je da ga podesite da bi radio posao koji vam je potreban. Nedostatak znanje je čest izvor frustracija ali to je tako. Pomirite se sa činjenicom da ako želite da se bavite Mikrotikom, ili umrežavanjem, rutiranjem i sličnim, morate mnogo da učite. U ovoj oblasti niša ne ide na brzaka, usput i na tri klika mišem.
U ovom članku, probaćemo da vas uputimo u osnovna podešavanje neophodna da bi ste Mikrotik koristili za deljenje Internet konekcije u lokalnoj mreži. Cilj je da svim računarima u lokalnoj mreži obezbedite pristup Internetu, ali da regulišete ravnomernu kontrolu protoka za sve korisnike. U uputstvu nećemo ulaziti u mnoge detalje, več samo one bitne za deljenje Internet konekcije.
Preporučujemo da za sve što vam u ovom članku nije jasno, pročitate odgovarajuće poglavlje iz uputstva za Mikrotik. Ovaj članak pretpostavlja da ste to već uradili i da imate predznanje, a njegov cilj je da vam pomogne da povežete stečeno znanje u funkcionalnu celinu koja radi određen, konkretan posao.
Pretpostavke za deljenje konekcije
U lokalnoj mreži može da ima više računara.
Adapter koji je povezan na provajera nazvaćemo WAN, a adapter koji je povezan na lokalnu mrežu nazvaćemo LAN.
Potpuno je nebitno na koji način je uspostavljena veza između provajdera i rutera, kao i rutera i računara u lokalnoj mreži. Kakve god da su veze, uvek se to može svesti na opšti slučaj mrežnog adaptera. Da li je on ethernet, wireless, pppoe, pptp ili drugi vpn, ili nesto sasvim drugo, nebitno je. Mikrotik svaki od njih vidi pre svega kao mrežni adapter i sva podešavanja su identična.
WAN adapter dobija neku IP adresu od provajdera, koja može biti javna ili privatna, statična ili dinamična. Za osnovno deljenje Interneta, to nije bitno, sve dok ruter preko uspostavljene konekcije vidi Internet. Za naš primer deljenja Internet veze, čak je potpuno nebitno koja je IP adresa WAN adaptera tako da nećemo mnogo ulaziti u podešavanje internet veze i uzećemo da je ona ostvarena na najjednostavniji način: utp kablom i preko DHCP-a.
LAN adapter treba da ima adresu koja odgovara lokalnoj mreži. Lokalna mreža uvek ima adrese iz opsega privatnih adresa, a to su opsezi 10.0.0.0 - 10.255.255.255, 172.16.0.0 - 172.31.255.255, 192.168.0.0 - 192.168.255.255 i 169.254.0.0 -169.254.255.255. Ove adrese se ne koriste na Internetu i namenjene su za lokalne mreže. LAN adapteru rutera se uvek daje fiksna IP adresa.
Za naš slučaj uzećemo da je opseg IP adresa u lokalnoj mreži 192.168.1.0 do 192.168.1.255 (192.168.1.0/24, odnosno, maska mreže je 255.255.255.0.
Adrese 192.168.1.0 i 192.168.1.255 imaju posebnu namenu i ne mogu se dodeljivati mrežnim uređajima. Stoga ćemo ruteru dodeliti adresu 192.168.1.1, a ostalim računarima u mreži ćemo dodeliti adrese u opsegu 192.168.1.11 do 192.168.1.254 koje ćemo dodeljivati preko DHCP-a.
Računari u lokalnoj mreži treba da imaju za default gateway podešenu IP adresu LAN adaptera na ruteru. Ako je na ruteru podešen i DNS, onda na svakom računaru i DNS treba dabude podešen na adresu LAN adaptera na ruteru. Ako lokalnog DNS-a nema, onda treba koristiti DNS od provajdera. U našem primeru uključićemo i lokalni DNS.
Adrese od 192.168.1.2 do 192.168.1.10 ćemo ostaviti neiskorišćene za slučaj da u mreži podignemo neki server (serveri takođe uvek imaju statične IP adrese). Adrese od 192.168.1.200 do 198.161.221 čemo dodeljivati kao dinamičke adrese a sve ostale kao statičke.
Početna podešavanja
Ukratko ćemo proći početna podešavanja koja treba napraviti na Mikrotiku. Pre svega, u računar ubodite samo jednu mrežnu kartu i to onu koju nameravate da koristite kao LAN adapter. Ako odmah ubacite obe, Mikrotik ce ih obe prepoznati i prikazati, a vi nećete znati koja je koja. Kada ubacite samo jednu, znaćete tačno koja je jer će biti jedina. Kada nju preimenujete onda možete ubaciti i drugu karticu koju ćete onda lako prepoznati.
Podignite Mikrotik i uđite u njega u konzolnom režimu (najbolje je da na računar povežete monitor i tastaturu). U njemu ćete kucati komande.
Prvo pokrenite jednostavan program setup za šablonska podešavanja koji nudi sledeće opcije:
[admin@MikroTik] > /setup
Setup uses Safe Mode. It means that all changes that are made during setup are reverted in
case of error, or if Ctrl-C is used to abort setup. To keep changes exit setup using the 'x'
key.
[Safe Mode taken]
Choose options by pressing one of the letters in the left column, before dash. Pressing 'x'
will exit current menu, pressing Enter key will select the entry that is marked by an '*'. You
can abort setup at any time by pressing Ctrl-C.
Entries marked by '+' are already configured.
Entries marked by '-' cannot be used yet.
Entries marked by 'X' cannot be used without installing additional packages.
r - reset all router configuration
+ l - load interface driver
+ a - configure ip address and gateway
d - setup dhcp client
+ s - setup dhcp server
+ p - setup pppoe client
t - setup pptp client
* x - exit menu
your choice:
Ovim programom možete podesiti skoro sve što vam je za početak potrebno, ali ćemo ipak ići bez njega, kucanjem komandi, kako bi ste ih naučili i navikli na njihovo korišćenje. Upotrebićemo ga jedino za reset svih podešavanja Mikrotika za slučaj da ste na njemu već nešto podešavali, da izbegnete probleme. izaberite opciju r i potvrdite da želite reset i restart rutera. Sačekajte da se Mikrotik ponovo podigne i ponovo uđite u konzolni režim.
Sada ćemo prvo da preimenujemo interfejs koji je Mikrotik nazvao ether1 u LAN. Pre toga proverićemo koji je redni broj interfejsa komandom /interface ethernet print.
[admin@MikroTik] > /interface ethernet print Flags: X - disabled, R - running # NAME MTU MAC-ADDRESS ARP 0 R etherl 1500 00:51:04:1F:47:C0 enabled
Prikazana je lista interfejsa koja, kako smo i očekivali ima samo jednog člana, mrežnu karticu koju smo priključili u računar. REdni broj je naveden u koloni označenoj sa #. Naša kartica ima redni broj 0. Sada joj menjamo ime:
[admin@MikroTik] > /interface ethernet set 0 name lan
I ponovo pogledamo listu da proverimo da li je sve u redu:
[admin@MikroTik] > /interface ethernet print Flags: X - disabled, R - running # NAME MTU MAC-ADDRESS ARP 0 R lan 1500 00:51:04:1F:47:C0 enabled
Sada isključite Mikrotik, ubodete u njega i drugu karticu i nju na sličan način preimenujete u wan. Ona će se koristiti za povezivanje na Internet. Nije loše da i spolja, na samim karticama označite koja je lan a koja wan da možete da se snađete sa kablovima. Ako ste sve podesili kako treba lista interfjesa izgleda ovako:
[admin@MikroTik] > /interface ethernet print Flags: X - disabled, R - running # NAME MTU MAC-ADDRESS ARP 0 R lan 1500 00:51:04:1F:47:C0 enabled 1 R wan 1500 00:51:04:1F:5B:03 enabled
Kad smo već kod ove liste da napomenemo da svaka kartica ima fabrički upisan serijski broj koji se naziva MAC. U listi interfejsa on je naveden u koloni MAC-ADDRESS. Ovaj broj je napisan na samoj kartici, tako da ako se zbunite pa ne znate koja je koja kartice, po ovom broju možete da ih razlikujete. Ipak, vodite računa da se MAC može menjati u Mikrotiku, tako da ako ste to uradili onda se broj koji prikazuje Mikrotik može razlikovati od broja koji piše na kartici. Međutim saa to niej bitno, jer ste daleko od potrebe da menjate MAC.
Kada su kartice obe preimenovane, možemo da ih podesimo. Za LAN interfejs smo isplanirali da mu damo adresu 192.168.1.1. Kucajte sledeće:
/ip address add address=192.168.1.1/24 interface=lan
LAN adapteru ne podešavamo podrazumevani prolaz (default gateway) jer mu nije potreban. Ovaj interfejs će u stvari biti podrazumevani prolaz ostalim računarima u lokalnoj mreži.
Za WAN interfejs postoji više mogućnosti zavisno kako se ruter povezuje na provajdera. On može biti dhcp, pppoe ili pptp klijent. Za ovu priliku ćemo uzeti da se radi o dhcp klijentu jer je to najjednostavniji slučaj. Uključićemo da interfejs od DHCP servera uzme podatkeo DNS-u i podrazumevanom prolazu.
/ip dhcp-client add interface=wan use-peer-dns=yes disabled=no add-default-route=yes
Sada je ruter podešen za obe mreže i možemo proveriti da li je dobio obe IP adrese:
[admin@MikroTik] > /ip address print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK BROADCAST INTERFACE
0 192.168.1.1/24 192.168.1.0 192.168.1.255 lan
1 D 212.71.91.14/32 212.71.91.14 0.0.0.0 wan
Vidimo da oba interfejsa imaju IP adrese. LAN ima fiksnu koju smo podesili a WAN ima dinamičnu, koju je preko DHCP'a dobio od provajdera. Dodatno možete probati da komandom /ping wireless.uzice.net proverite da li Internet zaista radi:
[admin@infosys] > /ping wireless.uzice.net 75.126.144.69 64 byte ping: ttl=47 time=192 ms 75.126.144.69 64 byte ping: ttl=47 time=183 ms 75.126.144.69 64 byte ping: ttl=47 time=188 ms 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max = 183/187.6/192 ms
Ako ping radi to znači da Mikrotik lepo vidi Internet i da radi i DNS. Ako ping prijavi da adresa wireless.uzice.net ne postoji što može da znači ili da Internet konekcija ne radi ili da nije dobro podešen DNS. Ako sumnjate na DNS onda pingujte direktno IP adresu 75.126.144.69. Ako taj ping radi to znači da internet radi, ali da DNS nije u redu. Ako ni tako ne radi ping, onda je problem sa Internet konekcijom.
Sledeće što podešavamo je DHCP, kako ne bi smo morali da ručno podešavamo IP adresu svakog računara u lokalnoj mreži. DHCP je servis kome se obraća svaki računar podešen da to radi (a podrazumevano jeste podešen) kada ga uključimo. Pojednostavljeno, računar se javi u mrežu i zatraži parametre za podešavanje svog mrežnog interfejsa. Taj računar je DHCP klijent i nešto ranije smo ruter podesili da bude DHCP klijent na WAN adapteru. Sada je potrebno da računari u lokalnoj mreži budu klijenti, a da Mikrotik ruter njima bude DHCP server na interfejsu LAN.
Prvo ćemo napraviti pul adresa (pool) pod nazivom dhcp-pool-1 koji će sadržati opeg 192.168.1.200-192.168.1.251. Ove adrese će biti dodeljivane računarima koji se obrate DHCP-u a nismo im unapred dodelili fiksne adrese (o tome ćemo kasnije).
/ip pool add name=dhcp-pool-1 ranges=192.168.1.200-192.168.1.251
Sledeće što podešavamo su parametri lokalne mreže koji će biti dodeljivani računarima kada se obrate DHCP-u, a pripadaju definisanoj lokalnoj mreži 192.168.1.0/24. DNS i gateway će biti 192.168.1.1, dakle LAN adapter Mikrotika.
/ip dhcp-server network add address=192.168.1.0/24 \dns-server=192.168.1.1 gateway=192.168.1.1 disabled=no
I konačno, podešavamo sam DHCP server koji će dodeljivati adrese iz podešenog pula, a vreme trajanja dodeljene adrese je 3 dana. Uključili smo da se DHCP ponaša kao autoritativni server u lokalnoj mreži, što znači da neće dozvoljavati a u mreži postoji još neki drugi DHCP. To se radi iz sigurnosnih razloga, jer dva DHCP-a u mreži je dobar recept za probleme.
/ip dhcp-server add name="lan-dhcp" interface=lan address-pool=dhcp-pool-1 \ lease-time=3d00:00:00 authoritative=yes disabled=no
Pošto smo u DHCP parametrima podesili da je DNS server za lokalnu mrežu takođe Mikrotik, onda moramo uključiti DNS:
/ip dns set allow-remote-requests=yes
Prilikom prethodnog podešavanja DHCP klijenta uključili smo opciju da WAN od DHCP servera provajdera preuzima i adresu DNS servera, to će svi DNS upiti koje lokalni računari budu poslali Mikrotiku on proslediti DNS-u proajdera, ali će rezultate čuvati u lokalnom kešu tako da ponovljene upite ne mora da ponovo prosleđuje. Lokalni DNS je zgodan i zato što omogućava da dodelite mnemoničke adrese lokalnim računarima, tako da možete da ih oslovljavate bez pamćenja IP adresa. Pogledajte članak: Kreiranje statičnih DNS slogova od DHCP-a.
Na lokalnim računarima proverite da li sve radi kako treba, ponajbolje komandama ping i traceroute. Ove komande su objašnjene u članku Šta je ping i tracert (traceroute)?
Ovim smo završili podešavanje Mikrotika da bude operativan. Sada ostaje da napravimo deljenje Interneta i ograničenje protoka.
Kako deliti Internet konekciju
Provajder vam, po pravilu, daje samo jednu IP adresu po konekciji, a pošto znamo da jedna IP adresa može da se dodeli samo jednom uređaju u mreži, to u praksi znači da tu adresu dobija samo onaj uređaj koji se poveže na provajdera. To se dešava i ako je taj uređaj Mikrotik, onog momenta kada uspostavi Internet konekciju biva mu dodeljena jedna IP adresa i to je to. To naravno ne znači da samo Mikrotik može da vidi Internet. Preko njega, to mogu i računari iz lokalne mreže.
Mikrotik možemo podesiti u režim kada on radi kao posrednik između računara u lokalnoj mreži i Interneta, prenoseći sve konekcije. Ovaj režim je NAT ruting (skraćeno od Network Address Translation). Postoje dve vrste NAT-a a ona koja je nama u ovom trenutku interesantna je Maskiranje (Masquerading).
Šta to u stvari znači?
Kada neki od računara treba da uspostavi konekciju sa drugim računarom koji je na Internetu (to može biti i običan pristup nekom http serveru), on će se obratiti Mikrotiku. Mikrotik će prihvatiti konekciju, utvrditi gde je usmerena i sam će je ostvariti (ne zaboravite samo Mikrotik vidi Internet), a zapamtiće koji je lokalni računar tražio tu konekciju. Kada dobije neki povratni odgovor, on će ga jednotavno proslediti računaru koji je tražio konekciju. Ovaj će to dobiti i neće ni primetiti da u stvari nije napravio direktnu konekciju već je sve išlo preko Mikrotika. Zbog toga se ovaj postupak zove NAT, jer se vrši transliranje Internet adresa. U literaturi se često pod NAT-om u stvari podrazumeva upravo ovaj način rada. Mikrotik ovaj postupak zove maskiranje upravo zato što on praktično maskira lokalne računare i predstavlja se da on pravi upit a ne oni. Uključivanje maskiranja je jendostavno: povežite se na Mikrotik u konzolnom režimu i na komandnoj liniji otkucajte:
[admin@MikroTik] > /ip firewall nat add chain=srcnat action=masquerade out-interface=WAN
Šta smo ovim podesili? Pre svega dodali smo pravilo u srcnat lanac NAT-a. On se odnosi na konekcije kojima je izvor u lokalnoj mreži. U pravilu smo naveli da se odnosi na sve konekcije kojima je izlazni interfejs WAN, a akciju koju treba izvršiti je masquerade. Praktično, to znači da se pravilo odnosi na sve konekcije koje su iz lokalne mreže upućene prema Internetu, a da se na njih primenjuje Maskiranje. I to je sve. Od tog momenta, svaki računar u lokalnoj mreži imaće pristup Internetu. Zapamtite: kad god radite NAT konekcije koje pokreću računari iz lokalne mreže, koristite srcnat lanac.
Kako ograničiti protok
Ovo je bitan preduslov da deljenje Internet konekcije uopšte ima smisla. Ako se ne uradi ograničenje protoka, to znači da če onaj korisnik koji prvi povuče nešto sa Interneta zauzeti sav protok, a ostali će morati da čekaju, ili će im Internet raditi sporo. Mikrotik ima prilično moćan i komplikovan sistem kontrole protoka. Za neka ozbiljnija podešavanja potrebno je dosta isksutva, ali mi ćemo se zadržati na najosnovnijem.
Mikrotik kontrolu protoka ostvaruje tako što pravi red čekanja za sve pakete. Zadržavanjem paketa, on reguliše brzinu protoka. Za svaki paket se na osnovu zadatih pravila određuje koliko treba da čeka i kada mu vreme istekne on bude pušten na odredište. Naše je da podesimo pravila tako da Mikrotik reguliše protok onako kako nama odgovara.
Obično, pred Mikrotik se postavljaju dva zahteva: prvi, da se protok ograničava za svakog korisnika pojedinačno i drugi, da se protok ravnomerno deli na sve korisnike. Iako postoji više načina da se ovo postigne, zadržaćemo se na najjednostavnijem, korišćenjem jednotavnih redova čekanja (simple queues).
Da bi smo mogli da ograničimo nekog korisnika, moramo imati mogućnost da odredimo ko je ko. Najjednostavniji način je preko IP adrese. Međutim, u našem podešavanju DHCP servera, podesili smo da se adrese dodeljuju iz opsega adresa ali ne i ko će dobiti koju adresu. Zato ćemo podešavanje DHCP servera dodatno proširiti. Potrebno je da podesimo statične IP adrese za izabrane korisnike:
/ip dhcp-server lease add address=192.168.1.11 mac-address=00:04:1D:0A:5A:6C \ server=lan-dhcp comment="pc1" disabled=no /ip dhcp-server lease add address=192.168.1.12 mac-address=00:04:1D:0A:62:AE \ server=lan-dhcp comment="pc2" disabled=no /ip dhcp-server lease add address=192.168.1.13 mac-address=00:1C:48:F2:00:17 \ server=lan-dhcp comment="pc3" disabled=no
Ovako smo podesili da računari koji imaju navedene MAC adrese uvek dobijaju zadate IP adrese (ne zaboravite MAC adresa je serijski broj mrežnog interfejsa, tako da ako kojim slučajem promenite mrežnu karticu u računaru, menja se i MAC).
Sada možemo da protok ograničimo po tim adresama. Jednostavni redove čekanja je unapređeni mehanizam koji Mikrotik obezbeđuje za brzo i prilično zadovoljavajuće ograničenje protoka.
/queue simple add name="pc1" dst-address=192.168.1.11/32 \ interface=wan direction=both priority=8 queue=default/default \ limit-at=32000/32000 max-limit=64000/64000 disabled=no /queue simple add name="pc2" dst-address=192.168.1.12/32 \ interface=wan direction=both priority=8 queue=default/default \ limit-at=32000/32000 max-limit=64000/64000 disabled=no /queue simple add name="pc3" dst-address=192.168.1.13/32 \ interface=wan direction=both priority=8 queue=default/default \ limit-at=32000/32000 max-limit=64000/64000 disabled=no /queue simple add name="ostali" dst-address=0.0.0.0/0 \ interface=wan direction=both priority=8 queue=default/default \ limit-at=1000/1000 max-limit=1000/1000 disabled=no
Ova pravila određuju da se za poznate računare protok ograničava tako da je garantovani protok (CIR, limit-at) 32kbps, a maksimalni protok (MIR, max-limit) 64kbps. Ograničenja mogu biti i različita za svaki računar.
Ukratko ćemo objasniti šta znače upotrebljeni parametri:
name - daje ime pravilu, treba da dovoljno jasno opisuje na šta se pravilo odnosi
dst-address - adresa računara na koji se odnosi pravilo (može da se odnosi i na ceo opseg adresa). Maska /32 znači da se odnosi samo na jednu, navedenu, adresu
interface - pravilo se odnosi samo za konekcije na navedenom interfejsu. WAN je interfejs preko koga nama ide Internet. Često se ovo zaboravi, pa interfejs nije naveden a onda to znači da se pravilo primenjuje na sve interfejse zajedno, što često, nije baš ono što bi smo želeli.
direction - vrlo važan parametar. Inače se pravila ograničenja brzine odnose na samo jedan smer (upload ili download), ali je u Mikrotiku simple queue osmišljen tako da može da istovremeno limitira i oba smera - ono što najčešće i treba. Ovaj parametar određuje na koji smer se odnosi pravilo.
priority - odrežuje prioritet pravilu. Ima osam nivoa prioriteta i ona pravila koja imaju manji broj imaju veći prioritet. Dakle ako nastane gužva i ne mogu sva pravila biti ispoštovana, ona sa većim prioritetom imaju prednost. Dobro je za neke servise staviti veći prioritet da bi radili i kada je link preopterećen.
queue - lista čekanja za koju se vezuje pravilo. Ovo morate proučiti u uputstvu Mikrotika jer je previše komplikovano za temu ovog članka
limit-at - garantovani protok. Ruter će se truditi da korisniku uvek obezbedi bar ovaj protok. Mogu se navesti dve brzine, odvojene znakom /. Jedna se odnosi na brzinu uploada, a druga na brzinu downloada
max-limit - maksimalna dozvoljena brzina. Kad god je moguće, ruter će korisniku dozvoljavati ovu brzinu ali ne veću od toga. Takođe semogu posebno podesiti brzina za upload i download.
disable - pravilo možete po potrebi isključiti, a da ga ne uklanjate.
Poslednje pravilo, nazvano "ostali" se odnosi na sve konekcije koje nisu obuhvaćene prethodnim pravilima. Pravila se inače primenjuju odozgo na dole, redom kako su definisana, i kada neko pravilo važi za konekciju, izvršava se, a dalje se pravila na toj konekciji ne izvršavaju.
Tako, ako se pojavi konekcija koju je napravio neki četvrti računar, za koji nismo podesili ograničenje, za njega neće važiti pravila podešena za druge računare, pa će on stići do pravila pod nazivom ostali, koje će mu značajno saseći protok. Ako dodate još jedno pravilo za četvrti računar ali, greškom, ono ono bude iza pravila "ostali", to pravilo neće nikada biti izvršeno, jer će pravilo "ostali" uhvatiti svaku konekciju koja do njega dođe. Ovo je, inače česta greška, koja se omakne i iskusnima.
U ovom načinu podešavanja ograničenja ravnomernu podelu protoka obezbeđujemo tako što svim korisnicima podesimo iste parametre ograničenja protoka. Ravnomernost je posebno obezbeđena kroz CIR i MIR princip. CIR je garantovani protok i njime nalažemo ruteru da se uvek trudi da korisniku obezbedi bar taj protok, a ako link nije poterećen, ruter će korisniku dozvoliti i veću brzinu, ali ne veću od MIR (maksimalan protok).
Ako želite malo napredniji način podešavanja, možete uvesti jednostavan sistem nivoa za korisnike koji je objašnjen u članku Ograničenje protoka po nivoima korisnika (skript).
Winbox
Ako pitate zašto sve ovo mora da se kuca, kada Mikrotik ima odličan administratorski alat Winbox, odgovor je u tome što ovim pristupom, preko komandi, mnogo lakše savlađujete logiku Mikrotika. Ako umete da koristite Winbox, naravno, i treba tako da radite, jer je brže, jednostavnije, preglednije, jednom rečju mnogo lakše.
Praviti uputstvo sa primerima u Winbox-u je mnogo komplikovanje, jer bi ono moralo da sadrži mnogo snimljenih ekrana, tako da to nije ekonomično. No, evo kratkog objašnjenja kako da se na sveže instalirani Mikrotik povežete Winbox-om.
Kada u Mikrotik ubacite mrežnu karticu, povežite je sa drugim računarom ukrštenim UTP kablom (kako napraviti ukršteni kabal imate u članku Osnove umrežavanja). Na tom računaru pokrenite Winbox i umesto da ukucate IP adresu Mikrotika, pošto mu adresa još nije dodeljena, kliknite na dugme sa tri tačkice koje se nalazi odmah pored polja za unos adrese. Pojaviće se novi prozor sa listom svih Mikrotikova koji su u tom momentu vidljivi, a u ovom slučaju to će biti samo jedan, naš sveže instalirani. Dupli klik na njega pokrenuće konekciju.
Trik je u tome što za povezivanje na Mikrotik u stvari nije neophodna IP adresa. Winbox ume da se poveže na Mikrotik i ako vidi samo njegov MAC.
Ovo naravno ima i neka ograničenja:
- preko MAC se možete povezati samo na Mikrotik koji je direktno povezan na računar na kome je Winbox. Pod direktno, mislim na vezu direktno UTP kablom, preko wireless-a, preko switch-a i na bilo koji drugi način ako između Winbox-a i Mikrotika ne stoji nekakav ruter. To znači da ako vam je mreža rutirana videćete samo one Mikrotikove koji su u segmentu mreže na koji ste povezani.
- MAC konekcija je osetljiva. Ako je fizicka veza problematična, recimo wireless sa velikim lagom, Winbox će se teško snalaziti i često će raskidati konekciju. Zbog toga, kada se povežete putem MAC-a, što pre podesite Mikrotiku IP adresu i nadalje se povezujte preko IP-a.
Zaključak
Ovim smo napravili podešavanja koja obezbeđuju dovoljan nivo kontrole deljenja Interneta. Mikrotik naravno može mnogo više ali o tome ćemo u nekom drugom uputstvu.
Međutim, iako vam ovo podešavanje lepo radi nemojte se prevariti da pomislite da je sve tako jednostavno, jer nije. Samim omogućavanjem pristupa Internetu pred vas se postavlja zahtev bezbednosti i to sa obe strane, jer opasnost vreba i sa Interneta ali i sa lokalne mreže. Na to dodajte moguće zlonamernike koji imaju pristup lokalnoj mreži i žele da je zloupotrebe, makar i samo utoliko da sebi priušte veću brzinu protoka nego što ste predvideli. Ima tu još dosta posla, čitanja i učenja.
Autor: Predrag Supurović, sva prava zadržana.
Izvor: Mikrotik - Osnovno podešavanje za deljenje internet konekcije i ograničenje protoka