• Zaawansowane scenariusze konfiguracji MikroTik – kompleksowe przykłady
    Sieci komputerowe

    Zaawansowane scenariusze konfiguracji MikroTik – kompleksowe przykłady

    Marek „Netbe” Lampart Opublikowane w

    🛠️ Zaawansowane scenariusze konfiguracji MikroTik – kompleksowe przykłady

    RouterOS to elastyczna platforma, pozwalająca realizować wiele funkcji sieciowych. Oto zestaw zaawansowanych konfiguracji z CLI, które możesz dostosować do własnych potrzeb.

    1. DHCP Relay – przekazanie zapytań DHCP

    Cel: umożliwienie centralizacji serwera DHCP znajdującego się w innej podsieci

    /ip dhcp-relay
add interface=ether2 dhcp-server=192.168.100.10 local-address=192.168.20.1

    Dzięki temu komputery w VLAN VLAN20 otrzymują adresy z zewnętrznego serwera DHCP bez osobnego lokalnego serwera.

    Zaawansowane scenariusze konfiguracji MikroTik – kompleksowe przykłady
    Zaawansowane scenariusze konfiguracji MikroTik – kompleksowe przykłady

    2. QoS – ograniczenie pasma per klient

    Cel: zapobieganie przeciążeniu łącza przez pojedynczego użytkownika

    /queue simple
add name="limit user1" target=192.168.20.50/32 max-limit=2M/2M
add name="limit user2" target=192.168.20.51/32 max-limit=1M/1M

    Zdefiniowane są proste kolejki, które limitują przepustowość dla konkretnych IP.

    3. Szyfrowany tunel GRE + IPsec

    Cel: zabezpieczony tunel L3 między dwoma lokalizacjami

    /interface gre
add name=gre-tunnel remote-address=203.0.113.10 local-address=198.51.100.10

/ip ipsec peer
add address=203.0.113.10/32 auth-method=pre-shared-key secret="SuperSecret"

ip/ ipsec proposal
add name=gre-prop auth-algorithms=sha256 enc-algorithms=aes-256-cbc

/ip ipsec policy
add src-address=10.0.0.0/24 dst-address=10.1.0.0/24 sa-dst-address=203.0.113.10 sa-src-address=198.51.100.10 tunnel=yes proposal=gre-prop

    Tunel łączy dwie podsieci z szyfrowaniem IPsec.

    Czytaj  Konfiguracja MikroTik — Część 52: MikroTik jako Węzeł VPN Mesh — Integracja z WireGuard, BGP i Dynamicznym Routingiem

    4. Dynamic DNS (DDNS)

    Cel: aktualizacja DNS dla dynamicznego IP i dostęp do routera po nazwie

    /ip cloud
set update-time=yes

    Komenda aktywuje mechanizm dynamicznego DDNS wbudowany w RouterOS.

    5. VPN L2TP/IPsec z uwierzytelnianiem

    Cel: zdalny dostęp dla pracowników

    /ppp secret
add name=user1 password=pass123 service=l2tp

/interface l2tp-server server
set enabled=yes ipsec-secret="SecretKey"

    Pozwala użytkownikom na bezpieczne łączenie się z siecią firmową.

    6. ACL – filtrowanie ruchu wychodzącego

    Cel: zapobieganie dostępowi do nieodpowiednich stron

    /ip firewall filter
add chain=forward protocol=tcp dst-port=80,443 dst-address-list=bad_sites action=drop comment="Blokada stron"

/ip address-list
add list=bad_sites address=192.0.2.0/24

    Przykład pokazuje, jak z pomocą listy zablokować ruch do określonych sieci.

    7. VLAN + Wi‑Fi – separacja bezprzewodnych użytkowników

    Cel: stworzenie dwóch sieci bezprzewodowych – dla pracowników i gości

    /interface vlan
add name=vlan_wifi_staff interface=bridge1 vlan-id=100
add name=vlan_wifi_guest interface=bridge1 vlan-id=200

/interface bridge port
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=wlan1

/ip pool
add name=pool_staff ranges=192.168.100.10-192.168.100.100
add name=pool_guest ranges=192.168.200.10-192.168.200.100

/ip dhcp-server
add interface=vlan_wifi_staff address-pool=pool_staff
add interface=vlan_wifi_guest address-pool=pool_guest

    Oddzielenie ruchu sieci bezprzewodowej na dwa VLANy.

    8. Backup konfiguracji + harmonogram

    Cel: automatyczne tworzenie kopii i wysyłanie e-mailem

    /system scheduler
add name=backup interval=1d on-event="/system backup save name=auto"
/tool e-mail send to="admin@example.com" subject="Backup Mikrotika" file=auto.backup

    Kopia routera zapisywana codziennie i automatycznie przesyłana.

    9. ARP statyczny – bezpieczeństwo adresów MAC

    Cel: blokowanie podszywania się pod inne urządzenia

    /ip arp
add address=192.168.88.10 mac-address=AA:BB:CC:DD:EE:FF interface=ether2
/ip arp
set interface=ether2 arp=proxy-arp

    Pomaga zabezpieczyć dostęp do krytycznych urządzeń.

    10. Monitoring połączeń – flow / Netflow

    Cel: szczegółowy wgląd w ruch sieciowy

    /ip traffic-flow
set enabled=yes interfaces=ether2
/ip traffic-flow target
add address=10.0.0.10 port=2055

    Dane są wysyłane do narzędzia typu ntop, Grafana lub ELK.

    🧭 Podsumowanie

    MikroTik RouterOS to kombajn funkcji – od DHCP, VPN, NAT, przez bezpieczeństwo, po monitoring i backup. Dobrze zaprojektowane konfiguracje:

    • Wydzielają ruch według VLAN/Podsieci
    • Zapewniają redundancję i bezpieczeństwo
    • Automatyzują powtarzalne zadania
    • Dają pełny monitoring i raportowanie
    Czytaj  Windows Server jako serwer plików w chmurze hybrydowej: Integracja z Azure Files i Azure File Sync

    Polecane wpisy
    Konfiguracja firewalla nftables na Linux – krok po kroku
    Konfiguracja firewalla nftables na Linux – krok po kroku

    Konfiguracja firewalla nftables na Linux – krok po kroku 🔥 Co to jest nftables? nftables to framework jądra Linux do Czytaj dalej

    Monitoring sieci i logów systemowych w Androidzie: Wczesne wykrywanie anomalii i zagrożeń
    Monitoring sieci i logów systemowych w Androidzie: Wczesne wykrywanie anomalii i zagrożeń

    📡 Monitoring sieci i logów systemowych w Androidzie: Wczesne wykrywanie anomalii i zagrożeń 🔐 Wprowadzenie Bezpieczeństwo urządzeń mobilnych opartych na Czytaj dalej

    Powiązane wpisy:

    1. Cyberbezpieczeństwo w dobie powszechnej cyfryzacji – jak skutecznie zabezpieczać dane i infrastrukturę IT
    2. Load Balancing i Failover na MikroTik – Kompletny przewodnik krok po kroku
    3. Konfiguracja MikroTik: Kompleksowy przewodnik dla administratorów sieci
    4. Administracja sieciami komputerowymi
    5. Konfiguracja MikroTik – Część 45: Wykorzystanie MikroTik do dynamicznej segmentacji sieci z VLAN i tagowaniem aplikacyjnym
    Otagowano:

    Marek „Netbe” Lampart
    Marek "Netbe" Lampart Inżynier informatyki Marek Lampart to doświadczony inżynier informatyki z ponad 25-letnim stażem w zawodzie. Specjalizuje się w systemach Windows i Linux, bezpieczeństwie IT, cyberbezpieczeństwie, administracji serwerami oraz diagnostyce i optymalizacji systemów. Na netbe.pl publikuje praktyczne poradniki, analizy i instrukcje krok po kroku, pomagając administratorom, specjalistom IT oraz zaawansowanym użytkownikom rozwiązywać realne problemy techniczne.
    Zobacz wszystkie wpisy

    Może ci się spodobać również