Labb 5: RouterOS

Vi bygger upp en laborationsmiljö i form av ett virtuellt nätverk baserat på VirtualBox. I laborationsmiljön ska placeras tre virtuella routrar från Mikro Tik och några Windows servrar och klienter i ett uppdelat nätverk.

För att bygga upp ett sådant virtuellt nätverk krävs en dator som klarar av att köra samtidigt ett antal virtuella maskiner. Datorn bör minst ha en i5 processor (helst i7), 8 GB RAM minne (helst 16 GB) och minst 150 GB ledigt diskutrymme. Det rekommenderas inte installera andra program som kan dra ner datorns prestanda, åtminstone inte ha de igång när vi använder VirtualBox.

Mikro Tik

Mikro Tik är en lettisk tillverkare av nätverksprodukter och eget operativsystem. Företaget grundades 1995-1996 och väldigt snabbt etablerades som en seriös konkurrent till större leverantörer exempelvis Cisco. Bolagets produkter är kända för att vara billiga alternativ till dyra nätverksprodukter (hård- och mjukvara) från andra leverantörer.

Operativsystem

Bild 1: Mikro Tik logo

RouterOS är Mikro Tiks operativsystem för routrar är baserad på Linux. RouterOS  inkluderas i olika nätverkshanterare tillverkade av Mikro Tik, men precis som andra operativsystem kan RouterOS köpas separat som sådant (CD/DVD/image). Det innebär att RouterOS kan installeras även på vanliga datorer förutsatt att dem har flera nätverkskort. Här nere listas några av dess funktioner:

Router funktioner

  • Statisk och dynamisk routing
  • Virtual routing och forwarding
  • Policy baserade routing
  • Interface och ECMP routing
  • IPv4 dynamiska routingprotokoll RIP v1/v2, OSPFv2, BGP v4
  • IPv6 dynamiska routingprotokoll RIPng, OSPFv3, BGP
  • Bidirectional Forwarding Detection (BFD)

Flera andra integrerade funktioner som MPLS, VPN, Wireless, DHCP, Hotspot, Qos, Proxy, mm.

Virtuella routrar

Vi börjar med att skapa tre virtuella maskiner för Mikrotik routrar. Namnet till routrarna byggs upp med egna initialer följd av bindestreck och namnet xx-ros1, xx-ros2 och xx-ros3. Bokstäverna xx ersätts med egna initialer, till exempel Chalo Reyes skulle döpa virtuella maskiner till cr-ros1, cr-ros2 och cr-ros3.

Virtuella maskiner är egentligen filer med namn du anger. Det namnet kan inte ändras senare, även om man får ändra Displaynamnet.

Klicka på fliken 1, 2, och så vidare för att se hur virtuella routrar skapas:

Börja med att registrera dig på Mikrotik så att du får licenser för dina virtuella routrar. Därefter ladda ned ISO filen från https://mikrotik.com/download och spara filen i mappen VMshares/ISOfiles. Ladda ned också programmet WinBox och lagra den på skrivbordet eftersom WinBox behöver inte installeras.

Skapa en virtuellmaskin för ros1 med rätt namn på en Other Linux (64-bit) och klicka på [Next]. I nästa steg tilldela routern 256 MB RAM minne.

Skapa nu en virtuell hårddisk. Filtyp VDI och dynamisk lagring. Acceptera placering av filen i rätt mapp, annars ändra den så att virtuella maskiner lagras i mappen VMachines. Det är också OK 8 GB hårddisk.

Markera ros1 och därefter klicka på [Settings] för att få fram inställningar. Klicka på [System] i spalten till höger. Se till att startordning är som i bilden nedan. Därefter klicka på [Storage] och ange sökvägen för RoutrOS ISO filen. Klicka nu på [Nätverk] och välj enligt nedan. Slutligen anteckna MAC-adresserna genom att klicka på Advanced och se till att mappen VMshares monteras automatiskt.

  • Adapter 1: WAN1, internt nätverk
  • Adapter 2: Quito, internt nätverk
  • Adapter 3: Lima, internt nätverk
  • Adapter 4: Host-Only nätverk

Starta ros1 och välj de alternativ som visas på bilden nedan. Använd piltangenter och mellanslag för att markera alternativen. Därefter tryck på tangenten [i] för att installera RouterOS. Du kommer att få två frågor, först [Do you want to keep old configuration? nej du vill inte det och nästa fråga är det om du vill fortsätta. Du svarar med y och trycker på Enter.

Innan du trycker på Enter ska du högerklicka på DVD ikonen längs ner till höger. Du bokar av ISO filen för RouterOS, annars kommer din router att boota hela tiden med installationsprogrammet. Du får ett meddelande som säger att inte går att dra ut ISO filen, här ska du klicka på [Force Unmount]. Slutligen startar du ros 1 och loggar in med admin konto och inget lösenord.

 

 

Svara med n till frågan om licensen. Då ska visas ett nytt meddelande som säger: ROUTER HAS NO SOFTWARE KEY och det visas också [software ID] med vilken ska man tillbaka till Mikrotik hemsidan, logga in och skapa en DEMO KEY, så anteckna den numeriska identifikationen, tryck på Enter och gå till https://www.mikrotik.com

På Mikrotik hemsida klickar du på [Account] och loggar in. Därefter klickar du på [Make a demo key].

I fältet [Software ID] skriver du det numeriska ID:en du antecknade i tidigare steg. Därefter klickar på [Generate]. En ny demo key skapas och visas direkt. Markera hela licensen och kopiera. Lämna hemsidan och starta WinBox, ett program som hjälper dig att klistra in licensen på de virtuella routrarna. Routern ros1 ska också vara igång.

WinBox ger möjlighet att klistra licensen in, men först ska du starta den och markera MAC-adressen. Därefter klicka på [Connect]. Klicka nu på [License...]

Klicka nu på [Paste Key]. Du får ett meddelande som säger att virtuella maskinen behöver och ska bootas om, godkänna den och då ros1 startar om samtidigt som anslutningen med WinBox slutar fungera.

CLI-baserade konfigurationer

Mikrotik routrarna kan konfigureras med kommandon. Som i andra Linuxbaserade operativsystem kan TABB tangenten användas för att komplettera kommandon. Till exempel när man börjar skriva int och trycker på Tabb kompletteras kommandot till interface och markören flyttas en plats till höger. Trycker man en gång till på Tabb tangenten visas ytterligare flera relaterade kommando. RouterOS stödjer förkortningar för kommandona, exempelvis int för interface och pr för print.

ROS1
Prompten [admin@MikroTik] > indikerar att admin är inloggad på routern ”Mikrotik”. För att ändra datornamnet:  [admin@cr-ros1] > system identity set name=cr-ros1
För att se alla fyra interface: [admin@cr-ros1] > int pr
                                                med fler detaljer [admin@cr-ros1] > int pr detail
Ta fram MAC-adresserna du antecknade vid installationen. För att ändra datornamnet ska du först identifiera interface med rätt MAC-adress. [admin@cr-ros1] > interface set name=WAN1 numbers=2
Gör det samma för interface till Quito och Lima
Adapter 4 ska inte ändras namn. För att addera en kommentar för ett gränssnitt kör: [admin@cr-ros1] > interface comment ether4 comment=”Host-Only”
[admin@cr-ros1] > int pr
Ett annat sätt [admin@cr-ros1] > int print (första kolumnen visar numrer som [Flags])
[admin@cr-ros1] > interface set comment=”Host-Only” numbers=3
För att konfigurera IP adress till interface: [admin@cr-ros1] > ip address add address=209.65.100.5/30 interface=WAN1
[admin@cr-ros1] > ip address add address=10.255.32.1/20 interface=Quito
[admin@cr-ros1] > ip address add address=10.255.16.1/20 interface=Lima
För att få fram IP adresser kör: [admin@cr-ros1] > ip ad pr
ROS2
För att ändra namn till router [admin@cr-ros2] > system identity set name=cr-ros2
[admin@cr-ros2] > int pr detail
För att ändra namn till interface [admin@cr-ros2] > interface set name=WAN1 numbers=2
Gör det samma för interface till Stockholm-se, Stockholm-com och WAN2
För att IP-konfigurera intrface [admin@cr-ros2] > ip address add address=209.65.100.6/30 interface=WAN1
[admin@cr-ros2] > ip address add address=172.16.8.1/21 interface=Stockholm-se
[admin@cr-ros2] > ip address add address=172.16.16.1/21 interface=Stockholm-com
[admin@cr-ros2] > ip address add address=209.65.100.9/30 interface=WAN2
ROS3
[admin@cr-ros3] > system identity set name=cr-ros2
[admin@cr-ros3] > int pr detail
[admin@cr-ros3] > interface set name=Chicago numbers=2
Gör det samma för interface till Washington och WAN2
[admin@cr-ros3] > ip address add address=10.1.16.1/21 interface=Chicago
[admin@cr-ros3] > ip address add address=10.1.8.1/21 interface=Washington
[admin@cr-ros3] > ip address add address=209.65.100.10/30 interface=WAN2

Routing

Routrar dirigerar nätverkstrafik mellan olika nätverk. För att göra detta behöver de routing-information exempelvis IP nätverksadresser till de olika nätverk och IP adresser för interface som ansluter samman nätverk.

Bild 2: Nätverkstopologi

Bilden ovan illustrerar:

  • ros1 har två LAN och ros1 är ansluten till ros2 via WAN1 nätverk
  • ros2 har två LAN och ros2 är ansluten till ros1 via WAN1 nätverk och till ros3 via WAN2 nätverk
  • ros3 har två LAN och ros3 är ansluten till ros2 via WAN2 nätverk

Varje router ansvarar endast för egna LAN därmed har ingen kännedom om andra LAN. Dessa lokala nätverk kallas ”direkt anslutna nätverk” eftersom de är anslutna till ett specifikt interface av en viss router. Router ros1 vidarebefordrar IP-paket till ROS2 och den till ROS3. IP-adresserna som ansluter samman måste programmeras in statiskt eller dynamiskt. Denna information är känd som ”route” eller väg till andra nätverk. För att programmera in routing-information på routrarna exekvera:

  • [admin@cr-ros1] > ip route add dst-address=172.16.8.0/21 gateway=209.65.100.6
  • [admin@cr-ros1] > ip route add dst-address=172.16.16.0/21 gateway=209.65.100.6
  • [admin@cr-ros1] > ip route add dst-address=209.65.100.8/30 gateway=209.65.100.6
  • [admin@cr-ros1] > ip route add dst-address=10.1.8.0/21 gateway=209.65.100.6
  • [admin@cr-ros1] > ip route add dst-address=10.1.16.0/21 gateway=209.65.100.6
  • [admin@cr-ros2] > ip route add dst-address=10.255.16.0/20 gateway=209.65.100.5
  • [admin@cr-ros2] > ip route add dst-address=10.255.32.0/20 gateway=209.65.100.5
  • [admin@cr-ros2] > ip route add dst-address=10.1.8.0/21 gateway=209.65.100.10
  • [admin@cr-ros2] > ip route add dst-address=10.1.16.0/21 gateway=209.65.100.10
  • [admin@cr-ros3] > ip route add dst-address=172.16.8.0/21 gateway=209.65.100.9
  • [admin@cr-ros3] > ip route add dst-address=172.16.16.0/21 gateway=209.65.100.9
  • [admin@cr-ros3] > ip route add dst-address=209.65.100.4/30 gateway=209.65.100.9
  • [admin@cr-ros3] > ip route add dst-address=10.255.16.0/20 gateway=209.65.100.9
  • [admin@cr-ros3] > ip route add dst-address=10.255.32.0/20 gateway=209.65.100.9

Andra konfigurationer

För att konfigurera ether1 som DHCP klient kör: [admin@cr-ros1] > ip dhcp-client add interface=ether1   use-peer-dns=yes   use-peer-ntp=yes add-default-route=yes  default-route-distance=0  disabled=no
För att verifiera om ether1 har fått en IP adress dynamiskt exekvera: [admin@cr-ros1] > ip dhcp-client print detail
För att konfigurera ether1 som NAT server exekvera: [admin@cr-ros1] > ip firewall nat add chain=srcnat action=masquerade out-interface=ether1
För att ändra inloggnings lösenord exekvera: [admin@cr-ros1] > password (tryck på Enter)
old-password:
new-password: ******** (ange det nya lösenordet)
confirm-new-password: ******** (ange det nya lösenordet)
För att verifiera IP konfigurationerna exekvera: [admin@cr-ros1] >ping 172.16.8.1 count=4