MikroTik od podstaw do zaawansowania — część 1: Architektura systemu RouterOS i najlepsze praktyki konfiguracji
MikroTik od podstaw do zaawansowania — część 1: Architektura systemu RouterOS i najlepsze praktyki konfiguracji
Wstęp: Dlaczego MikroTik to potężne narzędzie nie tylko dla ISP
W świecie sieci komputerowych trudno znaleźć urządzenia oferujące tak szeroki zakres funkcjonalności w tak przystępnej cenie jak MikroTik. Marka ta, choć często kojarzona z małymi wdrożeniami lub sieciami osiedlowymi, w rzeczywistości oferuje rozwiązania o bardzo dużej elastyczności i wydajności, które znajdują zastosowanie zarówno w środowiskach enterprise, jak i edge computing, systemach złożonych polityk routingu, a nawet w segmentach automatyzacji i bezpieczeństwa sieciowego.
Podstawą sukcesu MikroTik jest RouterOS — system operacyjny zaprojektowany od podstaw jako platforma do zarządzania ruchem sieciowym, firewallami, VPN, routingiem dynamicznym, kolejkowaniem QoS, VLAN, tunelowaniem, a nawet monitoringiem SNMP, NetFlow i zdalnym zarządzaniem przez API.
W tej serii przedstawimy nie tylko podstawy konfiguracji, ale też zaawansowane scenariusze integracji z systemami SIEM, systemami detekcji intruzów, platformami typu Zero Trust oraz orkiestratorami jak Ansible, Terraform i systemy chmurowe.
RouterOS — architektura systemu operacyjnego
RouterOS to monolityczny system operacyjny oparty na Linuksie, zoptymalizowany pod kątem działania w środowiskach sieciowych. Działa zarówno na dedykowanych urządzeniach MikroTik (RouterBOARD, Cloud Core Router), jak i na maszynach wirtualnych x86 czy nawet kontenerach, co umożliwia jego szeroką adaptację.
Główne komponenty systemu:
- Winbox/CLI/API – różne interfejsy zarządzania
- Firewall – mechanizm oparty na connection tracking i filtrach L3/L7
- Routing Engine – obsługa statycznego i dynamicznego routingu (OSPF, BGP, RIP, MPLS)
- Queue Trees i Simple Queues – rozbudowany QoS
- Bridge VLAN filtering – precyzyjna segmentacja sieci
- IPSec/L2TP/OpenVPN/WireGuard – kompletna obsługa VPN
- DNS, DHCP, Hotspot, NTP – pełne funkcje usługowe
- Tools: Netwatch, Ping, Bandwidth Test, Packet Sniffer – narzędzia diagnostyczne
RouterOS obsługuje również kontenery, co oznacza możliwość uruchamiania aplikacji np. w Pythonie, zewnętrznych agentów SIEM, lightweight serwerów API lub integratorów zewnętrznych usług (np. push do ELK lub Prometheus).
Najlepsze praktyki podstawowej konfiguracji MikroTik — krok po kroku
1. Zabezpieczenie urządzenia
- Zmień domyślne hasło, wyłącz dostęp Winbox z publicznych interfejsów.
- Stosuj whitelistę IP dla SSH/Winbox/API.
- Konfiguruj firewall z zasadą
drop allna końcu. - Włącz ograniczenia brute-force (np. limit liczby połączeń do portów zarządzających).
2. Konfiguracja adresacji
/ip address add address=192.168.1.1/24 interface=bridge1
Tworzymy mostek i przypisujemy adres:
/interface bridge add name=bridge1
/interface bridge port add interface=ether2 bridge=bridge1
/interface bridge port add interface=ether3 bridge=bridge1
3. Ustawienie NAT i dostęp do Internetu
/ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade
Dzięki temu lokalna sieć zyska dostęp do Internetu.
4. Konfiguracja DNS i DHCP
/ip dns set servers=8.8.8.8 allow-remote-requests=yes
/ip dhcp-server add address-pool=dhcp_pool1 interface=bridge1 lease-time=1h name=dhcp1
/ip dhcp-server network add address=192.168.1.0/24 gateway=192.168.1.1
Zarządzanie z poziomu API i automatyzacja
MikroTik posiada REST-like API dostępne przez port 8728. Można je zintegrować z Pythonem (np. przez librouteros, rosapi) lub wykorzystać Ansible modules czy playbooki do masowej konfiguracji.
Przykład prostego skryptu Python z API MikroTik
from routeros_api import RouterOsApiPool
api = RouterOsApiPool('192.168.88.1', username='admin', password='securepass', plaintext_login=True)
dhcp = api.get_api().get_resource('/ip/dhcp-server/lease')
leases = dhcp.get()
for lease in leases:
print(lease['address'], lease['host-name'])
Przyszłość MikroTik w nowoczesnych środowiskach IT
MikroTik dynamicznie ewoluuje — RouterOS 7 wprowadza wsparcie dla WireGuard, większą integrację BGP, możliwość uruchamiania kontenerów Docker oraz rozszerzenia dla Zabbix, Prometheus, ELK i SIEM.
Przy odpowiedniej konfiguracji, MikroTik może działać jako:
- lokalny agent bezpieczeństwa w modelu Zero Trust
- punkt eksportu NetFlow/SNMP do systemów SIEM
- edge router integrujący systemy z chmurą (VPN do AWS, Azure)
- lokalny punkt routingu segmentów IoT
MikroTik – kompleksowa konfiguracja sieci od podstaw do zaawansowanych rozwiązań Część 30: Zaawansowany monitoring sieci MikroTik – NetFlow, SNMP i Czytaj dalej
Hardening SSH w systemie Linux – krok po kroku SSH to podstawowy sposób zdalnego zarządzania serwerem Linux, dlatego jego właściwa Czytaj dalej
