MikroTik oraz jego oprogramowanie RouterOS dają spore możliwości konfiguracji. Poczynając od funkcji typowego routera do możliwości tworzenia zaawansowanych reguł firewalla, skomplikowanego kolejkowania ruchu oraz między innymi tworzenia tuneli.
Aby skonfigurować dostęp do Internetu przez MikroTika dla maszyn wirtualnych będących w sieci prywatnej niezbędne jest utworzenie sieci prywatnej na interfejsie sieciowym MikroTika oraz odpowiednia jego konfiguracja, a także konfiguracja kart sieciowych maszyn wirtualnych.
Należy zalogować się na MikroTika za pomocą programu Winbox, a następnie przejść do zakładki Interfaces:
Jak można zauważyć na liście interfejsów dostępne są dwie karty sieciowe – ether1 oraz ether2. Konfigurację sieci należy przeprowadzić dla odpowiedniej karty sieciowej.
W tym przykładzie interfejs ether1 dotyczy sieci publicznej, natomiast interfejs ether2 sieci prywatnej.
Przechodząc do zakładki IP -> Addresses można zauważyć skonfigurowany adres IP na interfejsie publicznym – ether1.
Następnie, aby skonfigurować sieć prywatną na drugim interfejsie sieciowym, należy kliknąć przycisk dodaj. I kolejno w oknie New Address można wpisać adres IP sieci prywatnej, adres sieci Network oraz wybrać interfejs, dla którego adres IP ma zostać przypisany.
Dla przykładu na interfejsie ether2 została skonfigurowana sieć prywatna z adresem IP: 172.31.1.1/24
Niezbędne jest także zabezpieczenie MikroTika poprzez konfigurację firewall oraz wyłączenie zbędnych usług.
Uruchomione usługi MikroTika znajdują się pod zakładką IP -> Services.
Jak można zauważyć usługi takie jak: api, api-ssl, ftp, ssh, telnet oraz www i www-ssl zostały wyłączone. Wyłączenie zbędnych usług następuje poprzez kliknięcie czerwonego przycisku X. Natomiast pozostaje uruchomiona usługa Winbox na porcie 5739.
Domyślnym portem dla usługi Winbox jest port numer 8291, lecz w celu zabezpieczenia MikroTika przed nieautoryzowanym dostępem polecana jest zmiana numeru tego portu.
Następnie niezbędna jest konfiguracja reguł firewalla, aby między innymi dopuścić ruch dla nowego portu Winbox, możliwość odpowiedzi MikroTika na polecenie ping.
Przechodząc do zakładki IP -> Firewall zostanie wyświetlone okno Firewall’a wraz z listą poszczególnych reguł.
Aby dodać nową regułę należy kliknąć przycisk dodaj, a następnie w oknie New Firewall Rule wpisać odpowiednie ustawienia dla dodawanej reguły.
W poniższym przykładzie została zastosowana reguła akceptująca połączenie usługi Winbox na porcie numer 5739. Został wybrany kanał: input, który dotyczy połączeń przychodzących, protokół tcp, oraz port numer 5739. Następnie w zakładce Action została wybrana opcja: Accept.
W Firewall w zakładce NAT istnieje również reguła dotycząca maskarady na interfejsie publicznym – ether1. Maskarada służy między innymi do tłumaczenia adresów źródłowych na docelowe.
Można teraz przejść do konfiguracji karty sieciowej maszyny wirtualnej, dla której będzie ustawiony adres IP sieci prywatnej.
Konfiguracja kart sieciowych w środowiskach Linux oraz Windows została opisana w artykułach dostępnych w KB NSIX Data Center:
- konfiguracja interfejsu sieciowego w systemie Windows
- konfiguracja interfejsu sieciowego w systemach Linux
W poniższym przykładzie interfejs sieciowy maszyny wirtualnej dotyczący sieci prywatnej został skonfigurowany w sieci prywatnej dostępnej przez MikroTika.
Adres IP maszyny wirtualnej to 172.31.1.10, natomiast bramą oraz serwerem DNS w tym przypadku pozostaje MikroTik z wcześniej skonfigurowanym adresem 172.31.1.1
Możliwy jest teraz dostępu do Internetu z poziomu maszyny wirtualnej przez MikroTika.
Można sprawdzić teraz dostępność maszyny wirtualnej z poziomu MikroTika, a także połączenie i dostępność MikroTika z maszyny.
- odpowiedź ping na adres IP maszyny wirtualnej będącej w sieci prywatnej z poziomu MikroTika:
- odpowiedź ping na adres IP MikroTika będącego w sieci prywatnej z poziomu maszyny wirtualnej:
