Part II

ITUniver

Mikrotik Құжаттамасына Қош Келдіңіз!

(Бұл құжаттың екінші бөлімі)

Бұл парақ Mikrotik құрылғыларымен жұмыс істеуге арналған толық нұсқаулықтарды, конфигурация үлгілерін және пайдалы кеңестерді ұсынады. Желілік шешімдеріңізді оңайлатыңыз.

Mikrotik Әлемін Ашыңыз

Маршрутизаторлар, коммутаторлар және сымсыз құрылғылар үшін егжей-тегжейлі нұсқаулықтарды, соңғы жаңартуларды және қауіпсіздік кеңестерін табыңыз. Сіз жаңадан бастаушы болсаңыз да, тәжірибелі маман болсаңыз да, біздің құжаттама сізге көмектеседі.

Бұл парақта ұсынылған барлық ақпарат тек танысу, білім алу мақсатында берілген. Барлық мазмұн, оның ішінде мәтін, графика және суреттер Mikrotik еншілігі болып табылады және олардың барлық құқықтары қорғалған.

Mikrotik өнімдері мен қызметтері туралы толық және ресми ақпарат алу үшін Mikrotik-тің ресми құжаттамасына жүгініңіз:
https://help.mikrotik.com/docs/

Сағат

ITUniver

Сағат (Clock)

Кіріспе (Introduction)

RouterOS TZ дерекқорынан (TZ database) деректерді пайдаланады. Бұл дерекқордағы уақыт белдеулерінің көпшілігі қосылған және бірдей атауларға ие. Маршрутизатордағы жергілікті уақыт негізінен уақыт белгілерін (timestamping) және уақытқа тәуелді конфигурацияны (time-dependent configuration) белгілеу үшін қолданылатындықтан, тарихи күн есептеулері (historical date calculations) үшін емес, өткен жылдар туралы ақпарат қосылмаған. Қазіргі уақытта тек 2005 жылдан бастап ақпарат қосылған.

Келесі параметрлер /system clock консоль жолында және WinBox терезесінің "System > Clock" бөліміндегі "Time" қойындысында қолжетімді.

Бастапқы күн мен уақыт: jan/02/1970 00:00:00 [+|-]gmt-offset.

Сипаттамалары (Properties)

Сипаттама (Property)	Сипаттамасы (Description)
`time` (HH:MM:SS)	HH - сағат (hour) 00..24, MM - минут (minutes) 00..59, SS - секунд (seconds) 00..59.
`date` (mmm/DD/YYYY)	mmm - ай (month), jan, feb, mar, apr, may, jun, jul, aug, sep, oct, nov, dec айларының бірі, DD - күн (date), 00..31, YYYY - жыл (year), 1970..2037. Күн мен уақыт маршрутизатордағы ағымдағы жергілікті уақытты көрсетеді. Бұл мәндерді `set` командасы арқылы реттеуге болады. Алайда, жергілікті уақытты экспорттау мүмкін емес және конфигурацияның қалған бөлігімен бірге сақталмайды.
`time-zone-name` (manual, немесе уақыт белдеуінің атауы; әдепкі мәні: manual)	Уақыт белдеуінің атауы. RouterOS-тағы мәтіндік мәндердің көпшілігі сияқты, бұл мән регистрге сезімтал (case sensitive). Арнайы `manual` мәні қолмен конфигурацияланған GMT ығысуын (GMT offset) қолданады, ол әдепкі бойынша жазғы уақытты үнемдеусіз (daylight saving time) 00:00 болып табылады.
`time-zone-autodetect` (yes немесе no; әдепкі: yes)	v6.27 нұсқасынан бастап қолжетімді функция. Егер қосулы болса, уақыт белдеуі автоматты түрде орнатылады. Уақыт белдеуін автоматты анықтау әдепкі бойынша жаңа RouterOS орнатуында және конфигурацияны қалпына келтіргеннен кейін қосулы болады. Уақыт белдеуі маршрутизатордың жалпыға ортақ IP мекенжайына және біздің Cloud серверлер дерекқорына байланысты анықталады. RouterOS v6.43 нұсқасынан бастап құрылғыңыз MikroTik Cloud серверімен байланысу үшін `cloud2.mikrotik.com` қолданады. Ескі нұсқалар MikroTik Cloud серверімен байланысу үшін `cloud.mikrotik.com` қолданады.

Маршрутизатордың ішкі CPU сағаты (CPU clock) дәл уақытты өлшеу операциялары үшін сенімді уақыт көзі емес екенін ескеріңіз, себебі оның жиілігі қуатты басқаруға, термиялық жағдайларға және аппараттық айырмашылықтарға байланысты, тіпті бірдей модельдер арасында да өзгеруі мүмкін. Бұл өзгеріс күтілетін және қалыпты маршрутизатор өнімділігіне әсер етпейді. Дәл уақытты сақтау үшін желіге негізделген уақыт синхрондауын, мысалы, NTP (Network Time Protocol) қолдану ұсынылады.

Конфигурация (Configuration)

Белсенді уақыт белдеуі туралы ақпарат (Active time zone information)

Сипаттама (Property)	Сипаттамасы (Description)
`dst-active` (yes немесе no; тек оқуға арналған сипаттама)	Бұл сипаттама ағымдағы уақыт белдеуінің жазғы уақыты (daylight saving time) белсенді болған кезде `yes` мәніне ие болады.
`gmt-offset` ([+\|-]HH:MM - сағаттар мен минуттардағы ығысу; тек оқуға арналған сипаттама)	Бұл жүйе қолданатын GMT ығысуының ағымдағы мәні, негізгі уақыт белдеуінің ығысуы және белсенді жазғы уақыт ығысуы қолданылғаннан кейін.

Қолмен уақыт белдеуін конфигурациялау (Manual time zone configuration)

Бұл параметрлер /system clock manual консоль жолында және WinBox терезесінің "System > Clock" бөліміндегі "Manual Time Zone" қойындысында қолжетімді. Бұл параметрлер тек time-zone-name=manual болған кезде ғана әсер етеді. Тек бір жазғы уақытты үнемдеу кезеңін қолмен конфигурациялауға болады.

Сипаттама (Property)	Сипаттамасы (Description)
`time-zone`, `dst-delta` ([+\|-]HH:MM - сағаттар мен минуттардағы уақыт ығысуы, алдыңғы плюс белгісі міндетті емес; әдепкі мәні: `+00:00`)	Жазғы уақыт белсенді емес кезде `time-zone` GMT ығысуын қолданыңыз. Жазғы уақыт белсенді болған кезде `time-zone + dst-delta` GMT ығысуын қолданыңыз.
`dst-start`, `dst-end` (mmm/DD/YYYY HH:MM:SS - күн мен уақыт, `set` командасында күн немесе уақытты қалдыруға болады; әдепкі мәні: `jan/01/1970 00:00:00`)	Жазғы уақыт басталатын және аяқталатын жергілікті уақыт.

Құрылғы режимі

ITUniver

Құрылғы режимі (Device Mode)

device-mode – бұл құрылғыға нақты шектеулер қоятын немесе нақты конфигурация опцияларына қолжетімділікті шектейтін функция. Мұндай функция маршрутизаторыңызды және желіңізді қандай да бір жолмен маршрутизаторыңызға қол жеткізіп, оны басқа желілерге шабуыл жасау үшін шлюз ретінде пайдалануы мүмкін шабуылдаушылардан қорғау үшін қажет. Құрылғыңызды осылай қорғау арқылы, шабуылдаушы сіздің қорғалмаған құрылғыңызға қол жеткізсе де, ол оны сіздің немесе кез келген басқа желіні теріс пайдалану үшін қолдана алмайды.

Үш қолжетімді режим бар: advanced, home және basic. Құрылғы режимдері маршрутизаторларға зауыттық алдын ала орнатылады, егер маршрутизатор MikroTik RouterOS v7.17 немесе одан кейінгі нұсқасымен өндіріліп, жеткізілсе. Advanced (бұрын enterprise деп аталған) режимі CCR және 1100 сериялы құрылғыларға тағайындалады, home режимі үй маршрутизаторларына, ал basic режимі басқа кез келген құрылғы түріне тағайындалады. RouterOS 7.17 нұсқасына дейінгі нұсқаларды іске қосатын құрылғылар үшін барлық құрылғылар advanced/enterprise режимін пайдаланады.

[admin@MikroTik] > system/device-mode/print
                          mode: advanced
            allowed-versions: 7.13+,6.49.8+
                      flagged: no
            flagging-enabled: yes
                    scheduler: yes
                        socks: yes
                        fetch: yes
                        pptp: yes
                        l2tp: yes
              bandwidth-test: yes
                  traffic-gen: no
                      sniffer: yes
                        ipsec: yes
                        romon: yes
                        proxy: yes
                      hotspot: yes
                          smb: yes
                        email: yes
                    zerotier: yes
                    container: no
          install-any-version: no
                  partitions: no
                  routerboard: yes
                attempt-count: 0

Құрылғы режимін пайдаланушы өзгерте алады, бірақ оны өзгерту үшін құрылғыға қашықтан қол жеткізу жеткіліксіз. Құрылғы режимін өзгерткеннен кейін, оны құрылғының өзіндегі батырманы басу арқылы растау қажет немесе "суық қайта жүктеу" (cold reboot) - яғни, қуатты ажырату керек. Өзгеріс расталған кезде, растау режиміне қарамастан, құрылғы қайта жүктеледі!

[admin@MikroTik] > system/device-mode/update mode=home
          update: please activate by turning power off or pressing reset or mode button
                  in 5m00s
        -- [Q quit|D dump|C-z pause]

Егер көрсетілген уақыт ішінде қуат өшірілмесе немесе батырма басылмаса, режим өзгерісі тоқтатылады. Егер басқа жаңарту командасы қатар іске қосылса, екеуі де тоқтатылады.

Қалпына келтіру батырмасын басу арқылы режим өзгерістерін "растамайтын" бірнеше EOL өнімдері бар. Бұл маршрутизаторлар режим өзгерісін тек қуат циклімен (power cycle) растай алады.

Құрылғыңызды маршрутизаторыңызға үнсіз кіріп, оны кейбір сценарийлермен теріс пайдаланып, сіз маршрутизаторыңызды қайта жүктегенше күтуге тырысатын және сол кезде сіз қандай да бір шабуылдаушы сұраған өзгерістерді қабылдап жатқаныңызды білмейтін шабуылдаушыдан қорғау үшін, сіз режимді тек үш рет "жаңарта" аласыз. Қанша жаңарту әрекеті жасалғанын есептейтін есептегіш бар және одан әрі жаңартуларға рұқсат бермейді. Бұл есептегішті әкімші маршрутизаторды қуат циклінен өткізгенде немесе режим параметрлерін жаңарту әрекетінде (кез келген жаңартуларды қабылдау сияқты) осындай ескертуді көргенде батырманы басқанда ғана қалпына келтіруге болады.

[admin@MikroTik] > system/device-mode/update container=yes
          update: too many unsuccessful attempts, turn off power or reboot by pressing 
          reset or mode button in 4m55s to reset attempt-count

Келесі командалар /system/device-mode мәзірінде қолжетімді:

Сипаттама (Property)	Сипаттамасы (Description)
`get`	Айнымалыға тағайындауға немесе экранға шығаруға болатын мәнді қайтарады.
`print`	Белсенді режимді және оның сипаттамаларын көрсетеді.
`update`	Көрсетілген сипаттамаларға өзгерістер енгізеді, төменде қараңыз.

Қолжетімді құрылғы режимдері (Available device-mode modes)

Конфигурация үшін үш құрылғы режимі қолжетімді (mode=advanced әдепкі болып табылады), әр режимде пайдаланылған кезде рұқсат етілмейтін функциялар жиынтығы бар. Барлық функциялар қосулы режим жоқ екенін ескеріңіз. Сізде "advanced" режимі қосулы болса да, кейбір функцияларды қосу қажет. Әр опция нені білдіретіні туралы толығырақ "Функцияны нақтылау" бөлімін қараңыз. Сонымен, төмендегі кестеде көрсетілгендей, "traffic-gen, container, partitions, routerboard" функциялары әкімші пайдаланушы арнайы қоспаса, әрқашан өшірулі болады.

Режим (Mode)	Өшірілген функциялардың сипаттамасы (Description of `disabled` features)
`advanced` (әдепкі)	`traffic-gen`, `container`, `install-any-version`, `partitions`, `routerboard`
`basic`	`socks`, `bandwidth-test`, `traffic-gen`, `proxy`, `hotspot`, `zerotier`, `container`, `install-any-version`, `partitions`, `routerboard`
`home`	`scheduler`, `socks`, `fetch`, `bandwidth-test`, `traffic-gen`, `sniffer`, `romon`, `proxy`, `hotspot`, `email`, `zerotier`, `container`, `install-any-version`, `partitions`, `routerboard`

email

ITUniver

Электрондық пошта құралы (E-mail tool)

Кіріспе (Introduction)

Электрондық пошта құралы (E-mail tool) – маршрутизатордан электрондық пошталарды жіберуге мүмкіндік беретін утилита. Бұл құралды желілік әкімшіге тұрақты конфигурациялық резервтік көшірмелерді және экспорттарды жіберу үшін қолдануға болады.

Электрондық пошта құралы тек қарапайым аутентификацияны (plain authentication) және TLS шифрлауын (TLS encryption) пайдаланады. Басқа әдістер қолдау көрсетілмейді.

Сипаттамалары (Properties)

/tool e-mail

Бұл ішкі мәзір қолданылатын SMTP серверін орнатуға мүмкіндік береді.

Сипаттама (Property)	Сипаттамасы (Description)
`address` (IP/IPv6 address; Әдепкі: `0.0.0.0`)	SMTP серверінің IP мекенжайы.
`from` (string; Әдепкі: `<>`)	Қабылдаушы ретінде көрсетілетін атау немесе электрондық пошта мекенжайы.
`password` (string; Әдепкі: `""`)	SMTP серверінде аутентификациялау үшін қолданылатын құпия сөз.
`port` (integer[0..65535]; Әдепкі: `25`)	SMTP серверінің порты.
`tls` (no\|yes\|starttls; Әдепкі: `no`)	TLS шифрлауын қолдану керек пе: `yes` - STARTTLS жібереді және егер серверде TLS қолжетімді болмаса, сессияны тастайды. `no` - STARTTLS жібермейді. `starttls` - STARTTLS жібереді және егер сервер TLS қолжетімді емес деп жауап берсе, TLS-сіз жалғастырады.
`user` (string; Әдепкі: `""`)	SMTP серверінде аутентификациялау үшін қолданылатын пайдаланушы аты.
`vrf` (VRF name; Әдепкі мәні: `main`)	Қызмет шығыс қосылымдарды жасайтын VRF-ті орнату.

Ескерту: Барлық сервер конфигурациялары (егер көрсетілсе) send командасы арқылы қайта анықталуы мүмкін.

Электрондық поштаны жіберу (Sending Email)

/tool e-mail send

send командасы келесі параметрлерді қабылдайды:

Сипаттама (Property)	Сипаттамасы (Description)
`body` (string; Әдепкі: )	Электрондық пошта хабарламасының нақты негізгі мәтіні (actual body).
`cc` (string; Әдепкі: )	Тізімделген алушыларға көшірме жіберу. Бірнеше мекенжайға рұқсат етіледі, жазбаларды бөлу үшін "," қолданыңыз.
`file` (File[,File]; Әдепкі: )	Поштаға тіркелетін файл атауларының үтірмен бөлінген тізімі.
`from` (string; Әдепкі: )	Жіберуші ретінде көрінетін атау немесе электрондық пошта мекенжайы. Егер көрсетілмесе, сервер конфигурациясынан мән қолданылады.
`password` (string; Әдепкі: )	SMTP серверінде аутентификациялау үшін қолданылатын құпия сөз. Егер көрсетілмесе, сервер конфигурациясынан мән қолданылады.
`port` (integer[0..65535]; Әдепкі: )	SMTP серверінің порты. Егер көрсетілмесе, сервер конфигурациясынан мән қолданылады.
`server` (IP/IPv6 address; Әдепкі: )	SMTP серверінің IP немесе IPv6 мекенжайы. Егер көрсетілмесе, сервер конфигурациясынан мән қолданылады.
`tls` (yes\|no\|starttls; Әдепкі: `no`)	TLS шифрлауын қолдану керек пе: `yes` - STARTTLS жібереді және егер серверде TLS қолжетімді болмаса, сессияны тастайды. `no` - STARTTLS жібермейді. `starttls` - STARTTLS жібереді және егер сервер TLS қолжетімді емес деп жауап берсе, TLS-сіз жалғастырады.
`subject` (string; Әдепкі: )	Хабарламаның тақырыбы (subject).
`to` (string; Әдепкі: )	Бағытталған электрондық пошта мекенжайы. Бір мекенжайға рұқсат етіледі.
`user` (string; Әдепкі: )	SMTP серверінде аутентификациялау үшін қолданылатын пайдаланушы аты. Егер көрсетілмесе, сервер конфигурациясынан мән қолданылады.

Негізгі мысалдар (Basic examples)

Бұл мысал конфигурация экспортын әр 24 сағат сайын электрондық пошта арқылы қалай жіберуге болатынын көрсетеді.

1. SMTP серверін конфигурациялау (Configure SMTP server)

[admin@MikroTik] /tool e-mail> set server=10.1.1.1 port=25 from="router@mydomain.com"

2. "export-send" деп аталатын жаңа скрипт (script) қосу (Add a new script named "export-send")

/export file=export /tool e-mail send to="config@mydomain.com" subject="$[/system identity get name] export" \
        body="$[/system clock get date] configuration file" file=export.rsc

3. Скриптімізді іске қосу үшін жоспарлаушы (scheduler) қосу (Add scheduler to run our script)

/system scheduler add on-event="export-send" start-time=00:00:00 interval=24h

TLS/SSL шифрлауын (TLS/SSL encryption) пайдаланып серверге электрондық пошта жіберу. Мысалы, Google mail мұны талап етеді.

Google mail жаңа қауіпсіздік саясатын (new security policy) қосқаннан кейін, ол сіздің стандартты Gmail құпия сөзіңізді (Gmail password) пайдаланып 3-ші тарап құрылғыларына аутентификациялауға рұқсат бермейді, сондықтан сізге 16 таңбалы құпия кодты ("App password") жасап, оны Gmail құпия сөзіңіздің орнына пайдалану қажет. Мұны конфигурациялау үшін "Security > How you sign in to Google" бөліміне өтіп, келесі әрекеттерді орындаңыз:

2 қадамды тексеруді (2-Step Verification) қосыңыз;
Қолданба құпия сөзін (App password) жасаңыз.

Жаңадан жасалған қолданба құпия сөзін төменде көрсетілген "set password=mypassword" параметрінде пайдаланыңыз.

1. Дұрыс серверге қосылу үшін клиентті конфигурациялау (configure a client to connect to the correct server)

/tool e-mail set address=smtp.gmail.com
        set port=465
        set tls=yes
        set from=myuser@gmail.com
        set user=myuser
        set password=mypassword

2. Жіберу командасын пайдаланып электрондық пошта жіберу (send e-mail using send command)

/tool e-mail send to=myuser@anotherdomain.com subject="email test" body="email test"

Файлдар

ITUniver

Файлдар (Files)

Шолу (Overview)

Файл мәзірі маршрутизатордағы барлық пайдаланушы кеңістігі файлдарын көрсетеді. Жаңа файл, каталог жасауға, файл мазмұнын өңдеуге, файлды немесе каталогты жоюға болады. Егер RouterOS ".npk" пакеті жүктелсе, файл мәзірі пакетке тән ақпаратты, мысалы, архитектураны, құрастыру күні мен уақытын және т.б. көрсетеді.

Мазмұнды алуға және өлшемі 60КБ дейінгі файлдарды өңдеуге болады. Үлкен файлдардың мазмұнына қол жеткізу үшін "Файл мазмұнын алу (Get File Contents)" бөлімін қараңыз.

[admin@MikroTik] > file print detail
          0 name=wireless-7.16.1-arm.npk type=package size=1924.1KiB last-modified=2024-11-25
          13:14:28 package-name="wireless" package-version="7.16.1" 
          package-build-time=2024-10-10 14:03:32    package-architecture="arm"
          1 name=routeros-7.16.1-arm.npk type=package size=11.1MiB last-modified=2024-11-25 13:14:34
            package-name="system" package-version="7.16.1" 
            package-build-time=2024-10-10 14:03:32    package-architecture="arm"
          2 name=flash type=disk last-modified=2024-11-25 13:12:10
          3 name=flash/skins type=directory last-modified=2024-11-25 13:10:52
          4 name=flash/skins/newskin.json type=.json file size=0 last-modified=2024-11-25 13:10:52
          5 name=flash/filename type=file size=0 last-modified=2024-11-25 13:11:58
          6 name=flash/directory_name type=directory last-modified=2024-11-25 13:12:10

Жаңа файл немесе каталог жасау (Create new file or directory)

Жаңа файл немесе каталог жасау үшін:

[admin@MikroTik] > file add name=/flash/filename type=file
        [admin@MikroTik] > file add name=/flash/directory_name type=directory

Сипаттамалары (Properties)

Сипаттама (Property)	Сипаттамасы (Description)
`contents` (string; Әдепкі: )	Қосылатын файл мазмұны. Тек `type=file` үшін жұмыс істейді.
`name` (string; Әдепкі: )	Файл/каталог атауы.
`type` (file \| directory; Әдепкі: `file`)	Түрін (type) көрсетеді.

Егер құрылғының файл тізімінде "flash" деп аталатын каталог болса, онда жүйені қайта жүктегеннен/қуат циклінен кейін сақталуы керек файлдар оның ішінде сақталуы керек. Себебі одан тыс кез келген нәрсе RAM дискісінде сақталады және қайта жүктеген кезде жоғалады. Бұл .npk жаңарту файлдарын қамтымайды, себебі олар жүйе RAM дискісінің мазмұнын тастамас бұрын жаңарту процесі арқылы қолданылады.

NAND флэш-жады бар көп ядролы құрылғылар үшін (мысалы, CCR сериялы маршрутизаторлар, RB4011iGS), RouterOS файл өзгерістерін бірден флэш-медиаға жазудың орнына RAM жадына кэштейтін write-back қолданады. Файл өзгерістері флэш-жадта тек қажет болған жағдайда сақталады, жазу 40 секундқа дейін кешіктірілуі мүмкін. Бұл CPU циклдарын азайтуға көмектеседі, бұл өнімділікті арттырады. Алайда, бұл құрылғы кенеттен қуатты жоғалтқан кезде бос немесе нөлдік ұзындықтағы файлдарға әкелуі мүмкін, себебі файлдар флэш-жадта толық сақталмаған.

Сипаттамалары (Properties)

Сипаттама (Property)	Сипаттамасы (Description)
`contents` (string; Әдепкі: )	Файлдың нақты мазмұны (actual content).
`creation-time` (time)	RouterOS 7.16 нұсқасына дейін: Файл жасалған уақыт.
`last-modified` (time)	Файл жасалған немесе соңғы рет өзгертілген уақыт. RouterOS 7.16 нұсқасында `creation-time` орнына енгізілген.
`name` (string)	Файлдың атауы.
`package-architecture` (string)	Пакет құрастырылған архитектура. Тек RouterOS ".npk" файлдарына қатысты.
`package-built-time` (string)	Пакет құрастырылған уақыт. Тек RouterOS ".npk" файлдарына қатысты.
`package-name` (string)	Орнатылатын пакеттің атауы. Тек RouterOS ".npk" файлдарына қатысты.
`package-version` (string)	Орнатылатын пакеттің нұсқасы. Тек RouterOS ".npk" файлдарына қатысты.
`size` (integer)	Файл өлшемі байтпен.
`type` (string)	Файл түрі. Қалталар үшін файл түрі `directory` болып табылады.

Файл мазмұнын алу (Get file contents)

get командасын пайдаланып, файл мазмұнын тек өлшемі 60КБ дейінгі файлдардан алуға болады. Үлкен файлдардың мазмұнына қол жеткізу үшін read командасын қолданыңыз. Нәтиже массив ретінде қайтарылады.

Мысалы:

[admin@MikroTik] > :put [/file/get text.txt contents]
        123456

[admin@MikroTik] > /file/read file=text.txt offset=2 chunk-size=3
          data: 345

Сипаттамалары (Properties)

Сипаттама (Property)	Сипаттамасы (Description)
`chunk-size` (integer [1..32768]; Әдепкі: )	Файлдан оқылатын бөлік өлшемі (chunk size).
`file` (string; Әдепкі: )	Оқылатын файл атауы.
`offset` (integer; Әдепкі: )	Файлды оқуды бастау үшін ығысуды (offset) көрсетеді.

ID

ITUniver

Идентификатор (Identity)

Шолу (Overview)

Жүйе идентификаторын (System's Identity) орнату жүйе желідегі басқа маршрутизаторларға және DHCP, Neighbour Discovery, сондай-ақ әдепкі сымсыз SSID сияқты қызметтерге қол жеткізген кезде өзін таныстыру үшін бірегей сәйкестендіру атауын береді. Әдепкі жүйе идентификаторы 'MikroTik' болып орнатылған.

Жүйе идентификаторының максималды ұзындығы 64 таңбаны құрайды.

Конфигурация (Configuration)

RouterOS-та жүйе идентификаторын орнату үшін:

[admin@MikroTik] > /system identity set name=New_Identity
        [admin@New_Identity] >

Ағымдағы жүйе идентификаторы әрқашан кірген тіркелгі атауынан кейін және print командасымен көрсетіледі:

[admin@New_Identity] /system identity>print
        name: New_Identity
        [admin@New_Identity] /system identity>

SNMP

Маршрутизатор жүйесінің идентификаторын SNMP set командасы арқылы да өзгертуге болады:

snmpset -c public -v 1 192.168.0.0 1.3.6.1.2.1.1.5.0 s New_Identity

snmpset - желілік нысанда ақпаратты орнату үшін SNMP SET сұраулары үшін қолданылатын Linux негізіндегі SNMP қосымшасы;
public - маршрутизатордың қауымдастық атауы (community name);
192.168.0.0 - маршрутизатордың IP мекенжайы;
1.3.6.1.2.1.1.5.0 - маршрутизатор идентификаторы үшін SNMP мәні;

Интерфейс тізімі

ITUniver

Интерфейс тізімдері (Interface Lists)

Қысқаша мазмұны (Summary)

Көршілерді табу (Neighbor Discovery), Брандмауэр (Firewall), Көпір (Bridge) және Интернетті анықтау (Internet Detect) сияқты әртүрлі интерфейске негізделген конфигурация бөлімдерінде интерфейсті басқаруды жеңілдету үшін интерфейстер жиынтығын анықтауға мүмкіндік береді.

Тізімдер (Lists)

Ішкі мәзір: /interface list

Бұл мәзір маршрутизаторда қолжетімді барлық интерфейс тізімдері туралы ақпаратты қамтиды. Төрт алдын ала анықталған тізім бар - all (барлық интерфейстерді қамтиды), none (ешқандай интерфейсті қамтымайды), dynamic (динамикалық интерфейстерді қамтиды) және static (статикалық интерфейстерді қамтиды). Қосымша интерфейс тізімдерін жасауға да болады.

Динамикалық интерфейстер – "dynamic" жалаушасы бар интерфейстер. Динамикалық жалаушасы жоқ кез келген интерфейс static интерфейс тізімінің бөлігі болады.

Сипаттамалары (Properties)

Сипаттама (Property)	Сипаттамасы (Description)
`name` (string)	Интерфейс тізімінің атауы.
`include` (string)	Мүшелері тізімге қосылатын интерфейс тізімін анықтайды. Үтірмен бөлінген бірнеше тізімді қосуға болады.
`exclude` (string)	Мүшелері тізімнен алынып тасталатын интерфейс тізімін анықтайды. Үтірмен бөлінген бірнеше тізімді қосуға болады.

Мүшелер интерфейс тізіміне келесі ретпен қосылады:

include мүшелері интерфейс тізіміне қосылады.
exclude мүшелері тізімнен алынып тасталады.
Статикалық конфигурацияланған мүшелер тізімге қосылады.

Мүшелер (Members)

Ішкі мәзір: /interface list member

Бұл ішкі мәзір әр интерфейс тізіміне статикалық конфигурацияланған интерфейс мүшелері туралы ақпаратты қамтиды. include және exclude операторлары арқылы динамикалық қосылған интерфейстер бұл ішкі мәзірде көрсетілмейтінін ескеріңіз.

Сипаттамалары (Properties)

Сипаттама (Property)	Сипаттамасы (Description)
`interface` (string)	Интерфейстің атауы.
`list` (string)	Интерфейс тізімінің атауы.

Көпірлермен (bridges) және тізімдермен (lists) жұмыс істегенде мұқият болу керек. Көпірді мүше ретінде қосу оның барлық порттарын қосумен бірдей емес! Және барлық құл порттарды мүше ретінде қосу көпірдің өзін қосумен бірдей емес. Бұл әсіресе көршілерді табу (neighbor discovery) функциясына әсер етуі мүмкін.

Көрші құрылғылар

ITUniver

Көршілерді табу (Neighbor Discovery)

Шолу (Summary)

Көршілерді табу протоколдары (Neighbor Discovery protocols) бізге Layer2 хабар тарату доменінде MNDP (MikroTik Neighbor Discovery Protocol), CDP (Cisco Discovery Protocol) немесе LLDP (Link Layer Discovery Protocol) үйлесімді құрылғыларды табуға мүмкіндік береді. Оны желіңізді картаға түсіру үшін қолдануға болады.

Көршілер тізімі (Neighbor list)

Көршілер тізімі Layer2 хабар тарату доменінде табылған барлық көршілерді көрсетеді. Ол көршінің қай интерфейске қосылғанын, оның IP/MAC мекенжайларын және басқа да байланысты параметрлерді көрсетеді. Тізім тек оқуға арналған (read-only), көршілер тізімінің мысалы төменде берілген:

[admin@MikroTik] /ip neighbor print
          # INTERFACE ADDRESS         MAC-ADDRESS       IDENTITY   VERSION    BOARD
          0 ether13   192.168.33.2    00:0C:42:00:38:9F MikroTik   5.99       RB1100AHx2
          1 ether11   1.1.1.4         00:0C:42:40:94:25 test-host  5.8        RB1000
          2 Local     10.0.11.203     00:02:B9:3E:AD:E0 c2611-r1   Cisco I...
          3 Local     10.0.11.47      00:0C:42:84:25:BA 11.47-750  5.7        RB750
          4 Local     10.0.11.254     00:0C:42:70:04:83 tsys-sw1   5.8        RB750G
          5 Local     10.0.11.202     00:17:5A:90:66:08 c7200      Cisco I...

Discovery configuration

Жүйелік жазба

ITUniver

Жүйелік жазба (System Note)

Шолу (Summary)

/system note

Жүйелік жазба функциясы (system note feature) әр кірген кезде баннерден кейін көрсетілетін кез келген мәтіндік жазбаларды немесе хабарламаларды тағайындауға мүмкіндік береді. Мысалы, сіз жүйелік әкімшілер арасында ескертулерді осылай тарата аласыз немесе нақты маршрутизатордың не істейтінін сипаттай аласыз. Жүйелік жазбаны конфигурациялау үшін маршрутизатордың FTP серверіне sys-note.txt деп аталатын қарапайым мәтіндік файлды жүктей аласыз немесе қосымша, осы мәзірдегі параметрлерді өңдей аласыз.

Сипаттамалары (Properties)

Сипаттама (Property)	Сипаттамасы (Description)
`note` (string; Әдепкі: )	Көрсетілетін жазба.
`show-at-login` (yes \| no; Әдепкі: `yes`)	Әр кірген кезде жүйелік жазбаны көрсету керек пе.
`show-at-cli-login` (yes \| no; Әдепкі: `no`)	Telnet кіру сұрауынан бұрын жүйелік жазбаны көрсету керек пе.

Мысал (Example)

Кірістірілген мәтін редакторын (/system note edit note) пайдаланып көп жолдық жазбалар қосуға болады, мысалы, үй маршрутизаторыңызға ASCII өнерін қосу:

system/note/set note="
                                            .&
                                          @&   @&
                                          @@   @#
                                            @@&
                                      ,    @@@   .
                                      @@@@@@@@@@@@@@@@
                                            @@@
                                            @@@
                                            @@@
                                    ,@       @@@       &
                                    @@@@       @@@       @@@@
                                      @@        @@@        @(
                                        &@@       @@@      @@@
                                          @@@@@   @@@   &@@@&
                                            &@@@@@@@@@@@@@&
                                                  @@@@@
        "


            MMM      MMM       KKK                          TTTTTTTTTTT      KKK
            MMMM    MMMM       KKK                          TTTTTTTTTTT      KKK
            MMM MMMM MMM  III  KKK  KKK  RRRRRR     OOOOOO      TTT     III  KKK  KKK
            MMM  MM  MMM  III  KKKKK     RRR  RRR  OOO  OOO     TTT     III  KKKKK
            MMM      MMM  III  KKK KKK   RRRRRR    OOO  OOO     TTT     III  KKK KKK
            MMM      MMM  III  KKK  KKK  RRR  RRR   OOOOOO      TTT     III  KKK  KKK

NTP

ITUniver

NTP

Кіріспе (Introduction)

RouterOS v6 RFC4330-да анықталған SNTP протоколын іске асырады, manycast режимі қолдау көрсетілмейді. SNTP клиенті system пакетіне кіреді. NTP серверін пайдалану үшін ntp пакеті орнатылуы және қосылуы керек.

RouterOS v7 негізгі пакеті RFC5905 негізіндегі NTP клиенті мен сервер функцияларын қамтиды.

Клиент конфигурациясы /system ntp client консоль жолында және "System > SNTP Client" (RouterOS нұсқасы 6), "System > NTP Client" (RouterOS нұсқасы 7) WinBox терезесінде орналасқан. Бұл конфигурация system пакетіндегі SNTP клиентінің іске асырылуымен және ntp пакетіндегі NTP клиентінің іске асырылуымен бөлісіледі. ntp пакеті орнатылған және қосулы болса, SNTP клиенті автоматты түрде өшіріледі.

RouterOS нұсқасы 7 (RouterOS version 7)

NTP Клиентінің сипаттамалары (NTP Client properties):

Сипаттама (Property)	Сипаттамасы (Description)
`enabled` (yes, no; әдепкі: `no`)	Уақытты синхрондау үшін NTP клиентін қосу.
`mode` (broadcast, manycast, multicast, unicast)	NTP клиенті жұмыс істейтін режим.
NTP servers	NTP серверлерінің тізімі. Статикалық жазбаларды қосуға болады. Келесі форматтар қабылданады: FQDN ("Resolved Address" мекенжай шешілсе, "Servers" терезесінде тиісті бағанда пайда болады) немесе IP мекенжайы қолданылуы мүмкін. Егер DHCP-Client сипаттамасы `use-peer-ntp=yes` болса - DHCP арқылы жарияланған динамикалық жазбалар. ipv4 ipv4@vrf ipv6 ipv6@vrf ipv6-linklocal%interface
`vrf` (әдепкі: main)	Виртуалды маршруттау және бағыттау (Virtual Routing and Forwarding).
`Servers` (Батырма/Бөлім)	Динамикалық және статикалық қосылған NTP серверлерінің егжей-тегжейлі кестесі (Address, Resolved address, Min Poll, Max Poll, iBurst, Auth. Key).

NTP серверін оның FQDN арқылы орнату үшін. Домен атауы NTP сұрауы жіберілген сайын шешіледі. Маршрутизаторда /ip/dns конфигурацияланған болуы керек.

Теңдестер (Peers)

Ағымдағы параметр мәндері:

[admin@ntp-example_v7] > /system/ntp/monitor-peers type="ucast-client"
              address=x.x.x.x refid="y.y.y.y" 
              stratum=3 hpoll=10 ppoll=10 root-delay=28.869 ms root-disp=50.994 ms
              offset=-0.973 ms delay=0.522 ms disp=15.032 ms jitter=0.521 ms
        -- [Q quit|D dump|C-z pause]

Кілттер (Keys)

NTP симметриялық кілттері, NTP клиенті мен сервері арасындағы аутентификация үшін қолданылады. Кілт идентификаторы (Key ID) - хабарлама-аутентификация кодын жасау үшін қолданылатын криптографиялық кілтті анықтайтын бүтін сан.

Күйі (Status)

synchronized, stopped, waiting, using-local-clock - NTP клиентінің ағымдағы күйі.
Frequency drift - Бір уақыт бірлігіне шаққандағы бөлшек жиілік ығысуы.
synced-server - NTP серверінің IP мекенжайы.
synced-stratum - Әр сервердің дәлдігі stratum деп аталатын санмен анықталады, ең жоғарғы деңгей (негізгі серверлер) бір ретінде тағайындалады, ал иерархиядағы әрбір төменгі деңгей алдыңғы деңгейден бірге артық ретінде тағайындалады.
system-offset - Бұл NTP серверінің сағатының жергілікті сағатқа қатысты ығысуын секундтарда көрсететін таңбалы, тіркелген нүктелі сан.

NTP Серверінің параметрлері (NTP Server settings):

Сервер конфигурациясы /system ntp server бөлімінде орналасқан.

Сипаттама (Property)	Сипаттамасы (Description)
`enabled` (yes немесе no; әдепкі мәні: `no`)	NTP серверін қосу.
`broadcast` (yes немесе no; әдепкі мәні: `no`)	Белгілі бір NTP сервер режимін қосу, бұл режимнің жұмыс істеуі үшін `broadcast-addresses` өрісін орнату керек.
`multicast` (yes немесе no; әдепкі мәні: `no`)	Белгілі бір NTP сервер режимін қосу.
`manycast` (yes немесе no; әдепкі мәні: `no`)	Белгілі бір NTP сервер режимін қосу.
`broadcast-addresses` (IP address; әдепкі мәні: )	NTP серверінің broadcast режимі үшін қолданылатын broadcast мекенжайын орнату.
`vrf` (әдепкі: main)	Виртуалды маршруттау және бағыттау (Virtual Routing and Forwarding).
`use-local-clock` (yes немесе no; әдепкі мәні: `no`)	Егер басқалары қолжетімді болмаса, сервер өзінің жергілікті жүйе уақытын жарамды ретінде жеткізеді.
`local-clock-stratum`	Егер `use-local-clock=yes` болса, stratum-ды қолмен орнату.
`auth-key` (әдепкі мәні: `none`)	NTP симметриялық кілті, NTP клиенті мен сервері арасындағы аутентификация үшін қолданылады. Кілт идентификаторы (Key ID) - хабарлама-аутентификация кодын жасау үшін қолданылатын криптографиялық кілтті анықтайтын бүтін сан.

Егер сіз use-local-clock қолдансаңыз, маршрутизатордың ішкі CPU сағаты (CPU clock) дәл уақытты өлшеу операциялары үшін сенімді уақыт көзі емес екенін ескеріңіз, себебі оның жиілігі қуатты басқаруға, термиялық жағдайларға және аппараттық айырмашылықтарға байланысты, тіпті бірдей модельдер арасында да өзгеруі мүмкін. Бұл өзгеріс күтілетін және қалыпты маршрутизатор өнімділігіне әсер етпейді. Дәл уақытты сақтау үшін желіге негізделген уақыт синхрондауын, мысалы, NTP (Network Time Protocol) қолдану ұсынылады.

NTP Журнал хабарламалары (Log messages)

SNTP клиенті келесі журнал хабарламаларын шығара алады. Журналды орнату және журналдарды тексеру туралы "log" мақаласын қараңыз.

Журнал хабарламаларының мысалдары:

ntp,debug gradually adjust by OFFS
ntp,debug instantly adjust by OFFS
ntp,debug Wait for N seconds before sending the next message
ntp,debug Wait for N seconds before restarting
ntp,debug,packet packet receive an error, restarting
ntp,debug,packet received PKT
ntp,debug,packet ignoring received PKT
ntp,debug,packet error sending to IP, restarting
ntp,debug,packet sending to IP PKT

Журнал хабарламасы өрістерінің түсіндірмесі (Explanation of log message fields):

OFFS - екі NTP уақыт белгісі мәндерінің айырмашылығы, он алтылық форматта.
PKT - NTP пакетінің дампы. Егер пакет минималды 48 байттан қысқа болса, ол он алтылық жол ретінде дампингтеледі. Әйтпесе, пакет өріс атаулары мен мәндерінің тізімі ретінде, әр журнал жолына бірден дампингтеледі. Өріс атаулары RFC4330-ға сәйкес келеді.
IP - қашықтағы IP мекенжайы.

ЕСКЕРТУ: жоғарыдағы журналға енгізу ережелері тек кірістірілген SNTP клиентімен жұмыс істейді, бөлек NTP пакетінде журналға енгізу мүмкіндіктері жоқ.

PTP

ITUniver

Дәл уақыт протоколы (Precision Time Protocol)

Шолу (Summary)

Электр және электроника инженерлері институты (IEEE) әзірлеген Дәл уақыт протоколы (Precision Time Protocol - PTP) жергілікті желіде сағаттарды синхрондау үшін қолданылатын протокол болып табылады. Ол телекоммуникация, қаржы және өнеркәсіптік автоматтандыру сияқты дәл уақытты өлшеу өте маңызды салаларда және қолданбаларда маңызды. PTP әдетте микросекундтан төмен дәлдікті қамтамасыз етеді, бірақ аппараттық талаптар орындалған кезде наносекунд деңгейіндегі дәлдікке де қол жеткізуге болады. MikroTik-тің PTP іске асырылуы IEEE 1588-2008 (PTPv2) қолдайды және наносекунд диапазонында синхрондауды қамтамасыз ететін аппараттық уақыт белгілеу мүмкіндіктерін қамтиды. MikroTik-тің PTP функциялары туралы қосымша мәліметтер алу үшін төмендегі тізімді қараңыз.

Қолдау көрсетілетін функциялар (Supported Features):

Екі қадамды қарапайым сағат (Two-step Ordinary Clock) және шекаралық сағат (Boundary Clock).
Аппараттық уақыт белгілеу (Hardware timestamping), наносекунд (ns) диапазонында сағат синхрондауын қамтамасыз етеді.
IPv4 және Layer 2 (L2) multicast тасымалдау режимдері.
Нүктеден нүктеге (End-to-End - E2E) және тең-теңге (Peer-to-Peer - P2P) кідіріс механизмдері.
IEEE 1588-2008 (PTPv2)
Профильді қолдау (Profile Support) үшін:
- 802.1AS: Аудио-бейне көпірлеу (Audio Video Bridging - AVB) және уақытқа сезімтал желілеу (Time-Sensitive Networking - TSN).
- AES67: Жоғары өнімді аудио-IP арқылы өзара әрекеттесу (High-performance audio-over-IP interoperability).
- G.8275.1: PTP-ны білетін желілерде жиілік пен фазаны синхрондау (Frequency and phase synchronization in PTP-aware networks).
- SMPTE: Кәсіби хабар тарату орталарында аудио/бейне синхрондау (Audio/video synchronization in professional broadcast environments).

Mikrotik PTP қолдауы аппараттық құралға байланысты, қолдау көрсетілетін құрылғылар тізімін қараңыз.

Конфигурация (Configuration)

MikroTik құрылғыларында Дәл уақыт протоколын (PTP) конфигурациялау оңай процесс. Негізгі қадамдар PTP профилін жасауды және PTP жұмысы үшін тиісті порттарды осы профильге тағайындауды қамтиды.

PTP профилін жасау (Create a PTP Profile)

PTP профилін жасау үшін келесі команданы қолданыңыз. Бұл мысалда біз 802.1as профилін қолданамыз, бірақ қажет болған жағдайда басқа қолжетімді профильдерді таңдауға болады:

/system ptp add name=ptp1 profile=802.1as

Профильдің сәтті жасалғанын тексеру үшін келесіні орындаңыз:

/system ptp print

Шығыс жасалған профильді ағымдағы параметрлерімен көрсетеді:

 Flags: I - inactive, X - disabled
          0   name="ptp1" priority1=auto priority2=auto delay-mode=auto transport=auto profile=802.1as domain=auto

Әдепкі бойынша, әрбір профиль үшін параметрлер "auto" күйіне конфигурацияланған, бұл таңдалған профильге негізделген тиісті мәндерді автоматты түрде таңдайды. Қолмен реттеулер жасамас бұрын, параметрлердің тиісті стандарттарға (мысалы, ITU-T G.8275.1, IEEE 802.1as, SMPTE, AES67) сәйкес келетінін тексеріңіз.

Порттарды PTP профиліне тағайындау (Assign Ports to the PTP Profile)

Соңғы қадам ретінде PTP-ға қатысатын порттарды тағайындаңыз. Мысалы, бірнеше sfp28 интерфейсін қосайық. SFP28-12 grandmaster clock-қа қосылған, ал SFP28-1 және SFP28-2 ordinary clock/slave-ке қосылған:

/system ptp port add interface=sfp28-1 ptp=ptp1
        /system ptp port add interface=sfp28-2 ptp=ptp1
        /system ptp port add interface=sfp28-12 ptp=ptp1

Жоспарлаушы

ITUniver

Жоспарлаушы (Scheduler)

Шолу (Summary)

Жоспарлаушы (scheduler) скрипттің орындалуын белгілі бір уақытта, көрсетілген уақыт аралығынан кейін немесе екеуінде де іске қоса алады.

Сипаттамалары (Properties)

Сипаттама (Property)	Сипаттамасы (Description)
`interval` (time; әдепкі: `0s`)	Екі скрипт орындалуы арасындағы аралық. Егер уақыт аралығы нөлге орнатылса, скрипт тек басталу уақытында орындалады, әйтпесе ол көрсетілген уақыт аралығында қайталанады.
`name` (name)	Тапсырманың атауы.
`on-event` (name)	Орындалатын скрипттің атауы. Ол `/system script` бөлімінде болуы керек.
`run-count` (тек оқуға арналған: integer)	Скрипт қолданылуын бақылау үшін, бұл есептегіш скрипт орындалған сайын артады.
`start-date` (date)	Бірінші скрипт орындалуының күні.
`start-time` (time)	Бірінші скрипт орындалуының уақыты.
`startup`	Жүйе іске қосылғаннан кейін 3 секундтан соң скриптті орындау.

Ескертулер (Notes)

Маршрутизаторды қайта жүктеу run-count есептегішін қалпына келтіреді.
Егер бірнеше скрипт бір уақытта орындалуы керек болса, олар жоспарлаушы конфигурациясында көрсетілген ретпен орындалады. Егер бір жоспарланған скрипт басқасын өшіру үшін қолданылса, бұл маңызды болуы мүмкін.
Егер күрделірек орындау үлгісі қажет болса, оны әдетте бірнеше скриптті жоспарлау және оларды бір-бірін қосу және өшіру арқылы жасауға болады.
Ескерту: егер жоспарлаушы элементінің start-time параметрі startup күйіне орнатылса, ол консоль іске қосылғаннан кейін 3 секундтан соң start-time және start-date орнатылғандай әрекет етеді. Бұл start-time параметрі startup және interval параметрі 0-ге тең барлық скрипттер маршрутизатор әр жүктелген сайын бір рет орындалады дегенді білдіреді. Егер interval параметрі 0-ден басқа мәнге орнатылса, жоспарлаушы іске қосылғанда жұмыс істемейді.

Қызметтер (Ports)

ITUniver

Протоколдар және порттар (Protocols and ports)

Шолу (Summary)

Бұл бет әртүрлі MikroTik RouterOS қызметтері қолданатын протоколдар мен порттарды тізімдейді. Ол сізге MikroTik маршрутизаторыңыздың неліктен белгілі бір порттарды тыңдайтынын және белгілі бір қызметтерге кіруді болдырмау немесе рұқсат беру қажет болған жағдайда нені бұғаттау/рұқсат ету керектігін анықтауға көмектеседі. Толығырақ түсініктемелер алу үшін Нұсқаулықтың (Manual) тиісті бөлімдерін қараңыз.

Әдепкі қызметтер:

Сипаттама (Property)	Сипаттамасы (Description)
`telnet`	Telnet қызметі.
`ftp`	FTP қызметі.
`www`	WebFig HTTP қызметі.
`ssh`	SSH қызметі.
`www-ssl`	WebFig HTTPS қызметі.
`api`	API қызметі.
`winbox`	Winbox құралына, сондай-ақ Tik-App смартфон қолданбасына және Dude зондына (probe) кіруге жауапты.
`api-ssl`	SSL арқылы API қызметі.

Сипаттамалары (Properties)

Жаңа қызметтерді қосу мүмкін емес, тек бар қызметтерді өзгертуге рұқсат етіледі.

Ішкі мәзір: /ip service

Сипаттама (Property)	Сипаттамасы (Description)
`address` (IP address/netmask \| IPv6/0..128; Әдепкі: )	Қызмет қолжетімді болатын IP/IPv6 префикстерінің тізімі.
`certificate` (name; Әдепкі: `none`)	Белгілі бір қызмет қолданатын сертификаттың атауы. Тек сертификаттарға тәуелді қызметтер үшін қолданылады (`www-ssl`, `api-ssl`).
`name` (name; Әдепкі: `none`)	Қызмет атауы.
`max-sessions` (integer: 1..1000; Әдепкі: `20`)	Қызмет үшін максималды бір мезгілдегі сессиялар саны.
`port` (integer: 1..65535; Әдепкі: )	Белгілі бір қызмет тыңдайтын порт.
`tls-version` (any \| only-1.2; Әдепкі: `any`)	Белгілі бір қызметке рұқсат етілетін TLS нұсқаларын көрсетеді.
`vrf` (name; Әдепкі: `main`)	Белгілі бір қызмет қолданатын VRF данасын көрсету.

Мысал (Example)

Мысалы, API-ға тек белгілі бір IP/IPv6 мекенжай диапазонынан рұқсат беру:

[admin@dzeltenais_burkaans] /ip service> set api address=10.5.101.0/24,2001:db8:fade::/64
        [admin@dzeltenais_burkaans] /ip service> print
        Flags: X - disabled, I - invalid
        #   NAME     PORT  ADDRESS                                       CERTIFICATE
        0   telnet   23
        1   ftp      21
        2   www      80
        3   ssh      22
        4 X www-ssl  443                                                 none
        5   api      8728  10.5.101.0/24
                            2001:db8:fade::/64
        6   winbox   8291

Протоколдар және порттар (Protocols and ports)

Төмендегі кесте RouterOS қолданатын протоколдар мен порттар тізімін көрсетеді.

Протокол/Порт (Proto/Port)	Сипаттамасы (Description)
20/tcp	FTP деректер қосылымы
21/tcp	FTP басқару қосылымы
22/tcp	Secure Shell (SSH) қашықтан кіру протоколы
23/tcp	Telnet протоколы
53/tcp	DNS
53/udp	DNS
67/udp	Bootstrap протоколы немесе DHCP Server
68/udp	Bootstrap протоколы немесе DHCP Client
80/tcp	World Wide Web HTTP
123/udp	Network Time Protocol (NTP)
161/udp	Simple Network Management Protocol (SNMP)
179/tcp	Border Gateway Protocol (BGP)
443/tcp	Secure Socket Layer (SSL) шифрланған HTTP
500/udp	Internet Key Exchange (IKE) протоколы
520/udp	RIP маршруттау протоколы
521/udp	RIP маршруттау протоколы
546/udp	DHCPv6 Client хабарламасы
547/udp	DHCPv6 Server хабарламасы
646/tcp	LDP тасымалдау сессиясы
646/udp	LDP hello протоколы
1080/tcp	SOCKS прокси протоколы
1698/udp	RSVP TE Tunnels
1699/udp	RSVP TE Tunnels
1701/udp	Layer 2 Tunnel Protocol (L2TP)
1723/tcp	Point-To-Point Tunneling Protocol (PPTP)
1900/udp	Universal Plug and Play (uPnP)
2828/tcp	Universal Plug and Play (uPnP)
1966/udp	MME originator хабарлама трафигі
1966/tcp	MME gateway протоколы
2000/tcp	Жылдамдықты тексеру сервері (Bandwidth test server)
5246,5247/udp	CAPsMAN
5350/udp	NAT-PMP клиенті
5351/udp	NAT-PMP сервері
5678/udp	Mikrotik Neighbor Discovery Protocol
6343/tcp	Әдепкі OpenFlow порты
8080/tcp	HTTP Web Proxy
8291/tcp	Winbox
8728/tcp	API
8729/tcp	API-SSL
20561/udp	MAC winbox/1
ICMP/2	Multicast \| IGMP
IPIP/4	IPIP инкапсуляциясы
IPv6/41	IPv6 (инкапсуляция)
RSVP TE tunnels/46	RSVP TE tunnels
GRE/47	General Routing Encapsulation (GRE) - PPTP және EoIP туннельдері үшін қолданылады
ESP/50	Encapsulating Security Payload for IPv4 (ESP)
AH/51	Authentication Header for IPv4 (AH)
OSPF/89	OSPF маршруттау протоколы
PIM/103	Multicast \| PIM
VRRP/112	VRRP

TFTP

ITUniver

TFTP сервері (TFTP Server)

Кіріспе (Introduction)

Trivial File Transfer Protocol немесе жай ғана TFTP – файлдарды тасымалдау үшін қолданылатын өте қарапайым протокол. Әрбір терминал емес пакет бөлек расталады.

ip/tftp/

Бұл мәзірде барлық TFTP кіру ережелері бар. Егер бұл мәзірде ережелер болмаса, RouterOS жүктелген кезде TFTP сервері іске қосылмайды. Бұл мәзір ереже жасау кезінде орнатуға болатынға қарағанда тек 1 қосымша атрибутты көрсетеді.

Параметрлер (Parameters)

Сипаттама (Property)	Сипаттамасы (Description)
`ip-address` (міндетті)	Клиенттер ретінде қабылданатын IP мекенжайларының диапазоны, егер бос болса `0.0.0.0/0` қолданылады.
`allow-rollover` (Әдепкі: No)	Егер `yes` күйіне орнатылса, TFTP сервері максималды мәнге жеткенде реттік нөмірдің айналуына рұқсат береді. Бұл TFTP серверін пайдаланып үлкен жүктеулерді қосу үшін қолданылады.
`req-filename`	Сұралған файл атауы тұрақты өрнек (regex) ретінде, егер өріс бос қалдырылса, әдепкі бойынша `.*` болады.
`real-filename`	Егер `req-filename` және `real-filename` мәндері орнатылған және жарамды болса, сұралған файл атауы сәйкес келген файлмен ауыстырылады. Бұл өріс орнатылуы керек. Егер `req-filename`-де бірнеше `regex` көрсетілсе, бұл өріс арқылы сіз қайсысы сәйкес келуі керектігін орната аласыз, осылайша бұл ереже расталады. Бірнеше `regex` қолдану үшін `real-filename` форматы `filename\0\5\6` болып табылады.
`allow` (әдепкі: yes)	Жоғарыдағы өрістер орнатылған болса, қосылымға рұқсат беру. Егер `no` болса, қосылым үзіледі.
`read-only` (әдепкі: no)	Файлға жазуға болатынын орнатады, егер "yes" күйіне орнатылса, жазу әрекеті қатемен аяқталады.
`hits` (тек оқуға арналған)	Бұл кіру ережесінің жазбасы қанша рет қолданылғаны (тек оқуға арналған).

Параметрлер (Settings)

/ip/tftp/settings

Бұл мәзірде барлық TFTP параметрлері бар.

Сипаттамалары (Properties)

Сипаттама (Property)	Сипаттамасы (Description)
`max-block-size` (әдепкі: 4096)	Қабылданған максималды блок өлшемі мәні. Тасымалдауды келіссөздер жүргізу кезеңінде RouterOS құрылғысы бұдан үлкен мәнді келіспейді.

REGEX

regex туралы толығырақ

Мысалдар (Examples)

Егер file.txt файлы сұралса, файлды sata1 қоймасынан қайтару:

/ip tftp add req-filename=file.txt real-filename=/sata1/file.txt allow=yes read-only=yes

Егер біз пайдаланушы не сұраса да, бір нақты файлды беруді қаласақ:

/ip tftp add req-filename=.* real-filename=/sata1/file.txt allow=yes read-only=yes

Егер пайдаланушы aaa.bin немесе bbb.bin сұраса, оларға ccc.bin беру:

/ip tftp add req-filename="(aaa.bin)|(bbb.bin)" real-filename="/sata1/ccc.bin\\0" allow=yes read-only=yes

RouterOS TFTP сұрауларын қабылдайды, бірақ клиент тасымалдау уақытының біткенін (timeout) алады ма?

Кейбір кірістірілген клиенттер үлкен блок өлшемдерін сұрайды, бірақ фрагменттелген пакеттерді дұрыс өңдемейді. Бұл клиенттер үшін RouterOS жағында "max-block-size" немесе Клиент жағында "blksize" мәнін желіңіздегі ең кіші MTU мәнінен 32 байтты (IP үшін 20 байт, UDP үшін 8, TFTP үшін 4) және желіңізде IP опцияларын қолдансаңыз, одан да көп мәнге орнату ұсынылады.

VPN

ITUniver

SSTP

Шолу

Secure Socket Tunneling Protocol (SSTP) PPP туннелін TLS арнасы арқылы тасымалдайды. TCP порты 443 арқылы TLS қолдану SSTP-ге барлық брандмауэрлер мен прокси-серверлер арқылы өтуге мүмкіндік береді.

Кіріспе

SSTP қосылу механизмін қарастырайық:

Клиенттен серверге TCP қосылымы орнатылады (әдепкі бойынша 443 портта);
SSL сервер сертификатын тексереді. Егер сертификат жарамды болса, қосылым орнатылады, әйтпесе қосылым тоқтатылады. (Бірақ төмендегі ескертуді қараңыз);
Клиент HTTPS сессиясы ішінде SSTP басқару пакеттерін жібереді, бұл екі жақта да SSTP күй машинасын орнатады;
SSTP арқылы PPP келіссөздері. Клиент серверде аутентификациядан өтеді және IP мекенжайларды SSTP интерфейсіне байланыстырады;
SSTP туннелі енді орнатылды және пакетті инкапсуляциялауды бастауға болады;

v5.0beta2 нұсқасынан бастап SSTP жұмыс істеу үшін сертификаттарды қажет етпейді және кез келген қолжетімді аутентификация түрін пайдалана алады. Бұл мүмкіндік тек екі MikroTik маршрутизаторы арасында жұмыс істейді, өйткені ол Microsoft стандарттарына сәйкес келмейді. Әйтпесе, қауіпсіз туннельдерді орнату үшін mschap аутентификациясы және бір тізбектегі клиент/сервер сертификаттары қолданылуы керек.

TLS SNI қолдауы 7.15beta10 нұсқасынан бастап қосылды, егер "Add SNI" құсбелгісі белгіленсе немесе CLI-де орнатылса, кеңейтім клиенттік сәлемдесу пакеттеріне қосылады:

interface/sstp-client/set add-sni=yes

SSTP Клиентінің Сипаттамалары

Property	Сипаттамасы
`authentication` (chap, mschap1, mschap2, pap; Әдепкі: "all")	Рұқсат етілген аутентификация әдістері, әдепкі бойынша барлық әдістерге рұқсат етілген.
`disabled` (yes \| no; Әдепкі: yes)	Туннельді қосады/өшіреді.
`add-default-route` (yes \| no; Әдепкі: no)	L2TP қашықтағы мекенжайын әдепкі маршрут ретінде қосу керек пе.
`default-route-distance` (byte; Әдепкі: )	Егер `add-default-route` таңдалса, автоматты түрде жасалған әдепкі маршрутқа қолданылатын қашықтық мәнін орнатады.
`mrru` (integer: 512..65535\|disabled; Әдепкі: disabled)	Сілтемеде қабылдауға болатын максималды пакет өлшемі. Егер пакет туннель MTU-дан үлкен болса, ол бірнеше пакетке бөлінеді, бұл толық өлшемді IP немесе Ethernet пакеттерін туннель арқылы жіберуге мүмкіндік береді.
`proxy-port` (string; Әдепкі: 443)	Прокси портын орнатады.
`add-sni` (yes \| no; Әдепкі: no)	Қызметті қосады/өшіреді.
`dial-on-demand` (yes \| no; Әдепкі: no)	Тек шығыс трафик жасалған кезде қосылады. Егер таңдалса, қосылым орнатылмаған кезде 10.112.112.0/24 желісінен шлюз мекенжайы бар маршрут қосылады.
`name` (string; Әдепкі: )	Интерфейстің сипаттамалық атауы.
`tls-version` (any \| only-1.2; Әдепкі: any)	Рұқсат етілетін TLS нұсқасын көрсетеді.
`numbers` (integer;)	ROS-тағы туннель үшін нөмірді орнатады.
`user` (string; Әдепкі: )	Аутентификация үшін қолданылатын пайдаланушы аты.
`certificate` (string \| none; Әдепкі: none)	Клиент сертификатының атауы.
`http-proxy` (string; Әдепкі: )	Прокси мекенжайы өрісі.
`password` (string; Әдепкі: "")	Аутентификация үшін қолданылатын құпия сөз.
`verify-server-address-from-certificate` (yes\|no; Әдепкі: no)	SSTP клиенті сертификаттағы сервер мекенжайын тексереді.
`verify-server-certificate` (yes\|no; Әдепкі: no)	SSTP клиенті сервер сертификатын тексереді.
`ciphers` (aes256-gcm-sha384 \| aes256-sha; Әдепкі: all)	Рұқсат етілген шифрлар.
`keepalive-timeout` (integer; Әдепкі: 60)	Keepalive timeout-ты секундпен орнатады.
`pfs` (yes \| no \| required; Әдепкі: no)	Қолданылатын TLS аутентификациясын көрсетеді. `pfs=yes` болса, TLS ECDHE-RSA- және DHE-RSA- қолданады. Максималды қауіпсіздік үшін `pfs=required` тек ECDHE қолданады.
`comment` (string; Әдепкі: )	Туннельдің қысқаша сипаттамасы.
`max-mru` (integer; Әдепкі: 1460)	Максималды қабылдау бірлігі.
`max-mtu` (integer; Әдепкі: 1460)	Максималды тасымалдау бірлігі.
`port` (integer; Әдепкі: 443)	Қосылатын порт.
`connect-to` (IP\|IPv6; Әдепкі: )	SSTP серверінің қашықтағы мекенжайы.
`profile` (name; Әдепкі: default)	Туннельді орнату кезінде қай PPP профилінің конфигурациясы қолданылатынын көрсетеді.

SSTP Серверінің Сипаттамалары

Сипаттама	Сипаттамасы
`authentication` (chap, mschap1, mschap2, pap; Әдепкі: "all")	Рұқсат етілген аутентификация әдістері, әдепкі бойынша барлық әдістерге рұқсат етілген.
`keepalive-timeout` (integer; Әдепкі: 60)	Keepalive timeout-ты секундпен орнатады.
`port` (string; Әдепкі: 443)	Қолданылатын портты орнатады.
`certificate` (string \| none; Әдепкі: none)	Қолданыстағы сертификаттың атауы.
`max-mru` (integer; Әдепкі: 1460)	Максималды қабылдау бірлігі.
`max-mtu` (integer; Әдепкі: 1460)	Максималды тасымалдау бірлігі.
`tls-version` (any \| only-1.2; Әдепкі: any)	Рұқсат етілетін TLS нұсқасын көрсетеді.
`ciphers` (aes256-gcm-sha384 \| aes256-sha; Әдепкі: all)	Рұқсат етілген шифрлар.
`verify-client-certificate` (yes\|no; Әдепкі: no)	SSTP сервері клиент сертификатын тексереді.
`mrru` (integer: 512..65535\|disabled; Әдепкі: disabled)	Сілтемеде қабылдауға болатын максималды пакет өлшемі. Егер пакет туннель MTU-дан үлкен болса, ол бірнеше пакетке бөлінеді, бұл толық өлшемді IP немесе Ethernet пакеттерін туннель арқылы жіберуге мүмкіндік береді.
`default-profile` (name; Әдепкі: default)	Туннельді орнату кезінде қай PPP профилінің конфигурациясы қолданылатынын көрсетеді.
`enabled` (yes \| no; Әдепкі: no)	Қызметті қосады/өшіреді.
`pfs` (yes \| no \| required; Әдепкі: no)	Қолданылатын TLS аутентификациясын көрсетеді. `pfs=yes` болса, TLS ECDHE-RSA- және DHE-RSA- қолданады. Максималды қауіпсіздік үшін `pfs=required` тек ECDHE қолданады.

Сертификаттар

Қауіпсіз SSTP туннелін орнату үшін сертификаттар қажет. Серверде аутентификация тек пайдаланушы аты мен құпия сөз арқылы жүзеге асырылады, ал клиентте сервер сервер сертификатын пайдаланып аутентификацияланады. Ол сонымен қатар клиент тарапынан SSL және PPP аутентификациясын криптографиялық түрде байланыстыру үшін қолданылады, яғни - клиенттер SSTP қосылымы арқылы серверге арнайы мән жібереді, бұл мән PPP аутентификациясы және сервер сертификаты кезінде жасалған кілт деректерінен алынады, бұл серверге екі арнаның да қауіпсіз екенін тексеруге мүмкіндік береді.

Егер SSTP клиенттері Windows компьютерлерінде болса, онда өзін-өзі қол қойған сертификатты пайдаланған кезде қауіпсіз SSTP туннелін орнатудың жалғыз жолы - SSTP серверінде "сервер" сертификатын импорттау және Windows компьютеріне CA сертификатын сенімді түбірге қосу.

Егер сіздің сервер сертификатыңыз Windows-қа белгілі CA арқылы берілсе, онда Windows клиенті сенімді түбірге қосымша сертификаттарды импорттаусыз жұмыс істейді.

Егер сертификат SSTP арқылы қолданылса, RSA кілтінің ұзындығы кемінде 472 бит болуы керек. Қысқа кілттер қауіпсіздік қатерлері болып саналады.

RouterOS клиентіндегі ұқсас конфигурация CA сертификатын импорттау және verify-server-certificate опциясын қосу болып табылады. Бұл сценарийде ортадағы адам шабуылдары мүмкін емес.

Екі Mikrotik маршрутизаторы арасында сертификаттарды мүлдем пайдаланбай қауіпсіз емес туннель орнатуға да болады. Бұл жағдайда SSTP туннелі арқылы өтетін деректер анонимді DH қолданады және ортадағы адам шабуылдары оңай орындалады. Бұл сценарий Windows клиенттерімен үйлесімді емес.

Клиент сертификатымен қосымша авторизацияны қосу арқылы қауіпсіз SSTP туннелін жасауға да болады. Конфигурация талаптары:

серверде де, клиентте де сертификаттар
серверде және клиентте тексеру опциялары қосылған

Бұл сценарий Windows клиенттерімен де мүмкін емес, өйткені Windows-та клиент сертификатын орнату мүмкіндігі жоқ.

Сертификат қателік хабарламалары

SSL қол алысуы сәтсіз аяқталғанда, сіз келесі сертификат қателерінің бірін көресіз:

certificate is not yet valid - notBefore сертификат күні ағымдағы уақыттан кейін;
certificate has expired - сертификаттың жарамдылық мерзімі ағымдағы уақыттан бұрын;
invalid certificate purpose - берілген сертификатты көрсетілген мақсатта пайдалану мүмкін емес;
self signed certificate in a chain - сертификат тізбегі сенімсіз сертификаттарды пайдаланып құрылуы мүмкін, бірақ түбір жергілікті жерде табылған жоқ;
unable to get issuer certificate locally - CA сертификаты жергілікті жерде импортталмаған;
server's IP address does not match certificate - сервер мекенжайын тексеру қосылған, бірақ сертификатта көрсетілген мекенжай сервер мекенжайына сәйкес келмейді;

Жылдам Мысал

SSTP Клиенті

Келесі конфигурация мысалында біз сертификатты қолданбай қарапайым SSTP клиентін жасаймыз:

[admin@MikroTik > interface sstp-client add connect-to=192.168.62.2 
              disabled=no name=sstp-out1 password=StrongPass profile=default-encryption user=MT-User
        [admin@MikroTik > interface sstp-client print
        Flags: X - disabled; R - running
        0  R name="sstp-out1" max-mtu=1500 max-mru=1500 mrru=disabled connect-to=192.168.62.2:443
              http-proxy=0.0.0.0:443 certificate=none verify-server-certificate=no
              verify-server-address-from-certificate=yes user="MT-User" password="StrongPass"
              profile=default-encryption keepalive-timeout=60 add-default-route=no dial-on-demand=no
              authentication=pap,chap,mschap1,mschap2 pfs=no tls-version=any

SSTP Сервері

Біз белгілі бір пайдаланушы үшін PPP құпиясын конфигурациялаймыз, содан кейін SSTP серверін қосамыз:

[admin@MikroTik] > ppp secret add local-address=10.0.0.1
              name=MT-User password=StrongPass remote-address=10.0.0.5 service=sstp
        [admin@MikroTik] > interface sstp-server server set default-profile=default-encryption enabled=yes
        [admin@MikroTik] > interface sstp-server server print
                            enabled: yes
                              port: 443
                            max-mtu: 1500
                            max-mru: 1500
                              mrru: disabled
                  keepalive-timeout: 60
                    default-profile: default-encryption
                    authentication: pap,chap,mschap1,mschap2
                        certificate: none
          verify-client-certificate: no
                                pfs: no
                        tls-version: any

P2P орнатуларында желілік мекенжай басқа соңғы нүктенің жергілікті мекенжайымен бірдей болады.

Кез келген басқа ppp туннелі сияқты, SSTP де BCP-ді қолдайды, бұл оған SSTP туннелін жергілікті интерфейспен көпірлеуге мүмкіндік береді. Мысалы, маршрутизаторлар ether1 арқылы Интернетке қосылған, жұмыс станциялары мен ноутбуктер ether2-ге қосылған орнатуларда. Екі жергілікті желі де SSTP клиенті арқылы маршрутталады және олар бірдей хабар тарату доменінде емес, BCP қолданылады.

WireGuard

ITUniver

WireGuard

Кіріспе

WireGuard® - бұл ең заманауи криптографияны қолданатын өте қарапайым, бірақ жылдам және заманауи VPN. Ол IPsec-тен жылдамырақ, қарапайым, жеңіл және пайдалы болуды, сонымен қатар үлкен қиындықтарды болдырмауды мақсат етеді. Ол OpenVPN-ге қарағанда айтарлықтай өнімдірек болуға ниетті. WireGuard ендірілген интерфейстерде және суперкомпьютерлерде, көптеген әртүрлі жағдайларға сай жұмыс істеуге арналған әмбебап VPN ретінде жасалған. Бастапқыда Linux ядросы үшін шығарылған, қазір ол кросс-платформалық (Windows, macOS, BSD, iOS, Android) және кеңінен қолданылады.

Сипаттамалары

Сипаттама	Сипаттамасы
`comment` (string; Әдепкі: )	Туннельдің қысқаша сипаттамасы.
`disabled` (yes \| no; Әдепкі: no)	Туннельді қосады/өшіреді.
`listen-port` (integer; Әдепкі: 13231)	WireGuard қызметінің кіріс сессияларын тыңдайтын порты.
`mtu` (integer [0..65536]; Әдепкі: 1420)	Layer3 Максималды тасымалдау бірлігі.
`name` (string; Әдепкі: )	Туннельдің атауы.
`private-key` (string; Әдепкі: )	Base64 жеке кілті. Егер көрсетілмесе, интерфейс жасалған кезде автоматты түрде жасалады. Әрбір желілік интерфейсте жеке кілт және теңдер тізімі болады.

Тек оқуға арналған сипаттамалар

Сипаттама	Сипаттамасы
`public-key` (string)	Жеке кілттен есептелген Base64 жалпы кілті. Әрбір теңде жалпы кілт бар. Жалпы кілттер теңдерді бір-бірін аутентификациялау үшін қолданылады. Оларды конфигурация файлдарында пайдалану үшін таратуға болады.
`running` (yes \| no)	Интерфейстің жұмыс істеп тұрғаны немесе жоқтығы.

Теңдер, байланысушы жақтар:

Peers

Қолданба мысалдары

Сайттан сайтқа WireGuard туннелі

Төменде көрсетілген орнатуды қарастырыңыз. Екі қашықтағы кеңсе маршрутизаторы интернетке қосылған және кеңсе жұмыс станциялары NAT артында орналасқан. Әр кеңседе өзінің жергілікті ішкі желісі бар, Office1 үшін 10.1.202.0/24 және Office2 үшін 10.1.101.0/24. Екі қашықтағы кеңсе де маршрутизаторлардың артындағы жергілікті желілерге қауіпсіз туннельдерді қажет етеді.

WireGuard интерфейсінің конфигурациясы

Ең алдымен, автоматты жеке және жалпы кілттерді жасауға мүмкіндік беру үшін екі сайтта да WireGuard интерфейстері конфигурациялануы керек. Пәрмен екі маршрутизатор үшін де бірдей:

/interface/wireguardadd listen-port=13231 name=wireguard1

Енді интерфейс мәліметтерін басып шығарғанда, алмасуға мүмкіндік беру үшін жеке және жалпы кілттер де көрінуі керек. Кез келген жеке кілт қашықтағы құрылғыда ешқашан қажет болмайды - сондықтан оның аты жеке.

Office1

/interface/wireguard print Flags: X - disabled; R - running
        0  R name="wireguard1" mtu=1420 listen-port=13231 
        private-key="yKt9NJ4e5qlaSgh48WnPCDCEkDmq+VsBTt/DDEBWfEo="
              public-key="u7gYAg5tkioJDcm3hyS7pm79eADKPs/ZUGON6/fF3iI="

Office2

/interface/wireguard/print Flags: X - disabled; R - running
        0  R name="wireguard1" mtu=1420 listen-port=13231 
        private-key="KMwxqe/iXAU8Jn9dd1o5pPdHep2blGxNWm9I944/I24="
              public-key="v/oIzPyFm1FPHrqhytZgsKjU7mUToQHLrW+Tb5e601M="

Тең конфигурациясы

Тең конфигурациясы WireGuard интерфейсін кім қолдана алатынын және оның үстінен қандай трафик жіберілетінін анықтайды. Қашықтағы теңді анықтау үшін, оның жалпы кілті жасалған WireGuard интерфейсімен бірге көрсетілуі керек.

Office1

/interface/wireguard/peersadd allowed-address=10.1.101.0/24,10.255.255.1/32 
              endpoint-address=192.168.80.1 endpoint-port=13231 interface=wireguard1
        public-key="v/oIzPyFm1FPHrqhytZgsKjU7mUToQHLrW+Tb5e601M="

Office2

/interface/wireguard/peersadd allowed-address=10.1.202.0/24,10.255.255.2/32 
              endpoint-address=192.168.90.1 endpoint-port=13231 interface=wireguard1 \
        public-key="u7gYAg5tkioJDcm3hyS7pm79eADKPs/ZUGON6/fF3iI="

IP және маршруттау конфигурациясы

Соңында, трафикті туннель арқылы жіберуге мүмкіндік беру үшін IP және маршруттау ақпараты конфигурациялануы керек.

Office1

/ip/addressadd address=10.255.255.1/30 interface=wireguard1
        /ip/route
        add dst-address=10.1.101.0/24 gateway=wireguard1

Office2

/ip/addressadd address=10.255.255.2/30 interface=wireguard1
        /ip/route
        add dst-address=10.1.202.0/24 gateway=wireguard1

Брандмауэр ескертулері

Әдепкі RouterOS брандмауэрі туннельдің дұрыс орнатылуына кедергі жасайды. Трафик екі сайтта да кез келген тастау ережелерінен бұрын "input" тізбегінде қабылдануы керек.

Office1

/ip/firewall/filteradd action=accept chain=input dst-port=13231 protocol=udp src-address=192.168.80.1

Office2

/ip/firewall/filteradd action=accept chain=input dst-port=13231 protocol=udp src-address=192.168.90.1

Сонымен қатар, "forward" тізбегі ішкі желілер арасындағы байланысты да шектеуі мүмкін, сондықтан мұндай трафик кез келген тастау ережелерінен бұрын қабылдануы керек.

Office1

/ip/firewall/filteradd action=accept chain=forward dst-address=10.1.202.0/24 src-address=10.1.101.0/24
        add action=accept chain=forward dst-address=10.1.101.0/24 
        src-address=10.1.202.0/24

Office2

/ip/firewall/filteradd action=accept chain=forward dst-address=10.1.101.0/24 src-address=10.1.202.0/24
        add action=accept chain=forward dst-address=10.1.202.0/24 
        src-address=10.1.101.0/24

RoadWarrior WireGuard туннелі

RouterOS конфигурациясы

Жаңа WireGuard интерфейсін қосып, оған IP мекенжайын тағайындаңыз.

/interface wireguardadd listen-port=13231 name=wireguard1
        /ip address
        add address=192.168.100.1/24 interface=wireguard1

Жаңа WireGuard интерфейсін қосқанда, жеке және жалпы кілттер жұбы автоматты түрде жасалады. Сізге қашықтағы құрылғыларыңызда жалпы кілтті конфигурациялау қажет болады. Жалпы кілт мәнін алу үшін интерфейс мәліметтерін басып шығарыңыз.

[admin@home] > /interface wireguard print Flags: X - disabled; R - running
        0  R name="wireguard1" mtu=1420 listen-port=13231
        private-key="cBPD6JNvbEQr73gJ7NmwepSrSPK3np381AWGvBk/QkU="
              public-key="VmGMh+cwPdb8//NOhuf1i1VIThypkMQrKAO9Y55ghG8="

Келесі қадамдар үшін сізге қашықтағы құрылғының жалпы кілтін анықтау қажет болады. Оны алғаннан кейін, қашықтағы құрылғының жалпы кілтін және WireGuard туннелі арқылы рұқсат етілетін мекенжайларды көрсету арқылы жаңа теңді қосыңыз.

/interface wireguard peersadd allowed-address=192.168.100.2/32 interface=wireguard1 
              public-key="<қашықтағы құрылғыдан жалпы кілтті осы жерге қойыңыз>"

Брандмауэр ескертулері

Егер сізде әдепкі немесе қатаң брандмауэр конфигурацияланған болса, қашықтағы құрылғыға WireGuard қосылымын орнатуға рұқсат беруіңіз керек.

/ip firewall filteradd action=accept chain=input comment="allow WireGuard" 
              dst-port=13231 protocol=udp place-before=1

Қашықтағы құрылғылардың RouterOS қызметтеріне қосылуына рұқсат беру үшін (мысалы, DNS сұрау), WireGuard ішкі желісін input тізбегінде рұқсат етіңіз.

/ip firewall filteradd action=accept chain=input comment="allow WireGuard traffic" 
              src-address=192.168.100.0/24 place-before=1

Немесе жай ғана WireGuard интерфейсін "LAN" интерфейс тізіміне қосыңыз.

/interface list memberadd interface=wireguard1 list=LAN

iOS конфигурациясы

App Store-дан WireGuard қосымшасын жүктеп алыңыз. Оны ашып, нөлден бастап жаңа конфигурация жасаңыз.

Біріншіден, қосылымыңызға "Атау" беріңіз және кілт жұбын жасауды таңдаңыз. Жасалған жалпы кілт RouterOS жағындағы тең конфигурациясы үшін қажет.

WireGuard iOS Конфигурациясының бірінші қадамы

"Мекенжайлар" өрісінде сервер жағында конфигурацияланған ішкі желідегі IP мекенжайын көрсетіңіз. Бұл мекенжай байланыс үшін қолданылады. Бұл мысалда біз RouterOS жағында 192.168.100.1/24 қолдандық, мұнда 192.168.100.2 қолдануға болады. Қажет болса, DNS серверлерін конфигурациялаңыз. Егер RouterOS жағында IP/DNS бөлімінде allow-remote-requests "yes" деп орнатылса, мұнда қашықтағы WireGuard IP мекенжайын көрсетуге болады.

WireGuard iOS Конфигурациясының екінші қадамы

"Теңді қосу" түймесін басыңыз, ол қосымша параметрлерді көрсетеді.

"Жалпы кілт" мәні - RouterOS жағындағы WireGuard интерфейсінде жасалған жалпы кілт мәні.
"Соңғы нүкте" - iOS құрылғысы Интернет арқылы байланыса алатын RouterOS құрылғысының IP немесе DNS және порт нөмірі.
"Рұқсат етілген IP-лер" WireGuard туннелі арқылы барлық трафикті жіберуге рұқсат беру үшін 0.0.0.0/0 деп орнатылған.

WireGuard iOS Конфигурациясының үшінші қадамы

WireGuard iOS Конфигурациясының төртінші қадамы

Конфигурацияңызға байланысты сізге NAT ережесін қосу қажет болуы мүмкін:

chain=dstnat action=dst-nat to-ports=port protocol=udp in-interface=interface dst-port=port

Windows 10 конфигурациясы

WireGuard орнатушысын Wireguard сайтынан жүктеп алыңыз. Әкімші ретінде іске қосыңыз.

Жаңа бос туннель қосу үшін Ctrl+n басыңыз, интерфейс үшін атау қосыңыз, Жалпы кілт автоматты түрде жасалуы керек, оны RouterOS тең конфигурациясына көшіріңіз.

Сервер конфигурациясына қосыңыз, сонда толық конфигурация келесідей болады ([Interface] бөлімінде автоматты түрде жасалған PrivateKey-ді сақтаңыз):

[Interface]
        PrivateKey = your_autogenerated_private_key=
        Address = 192.168.100.2/24
        DNS = 192.168.100.1

        [Peer]
        PublicKey = your_MikroTik_public_KEY=
        AllowedIPs = 0.0.0.0/0
        Endpoint = example.com:13231

Сақтап, іске қосыңыз.

GRE

ITUniver

GRE

Кіріспе

Ішкі мәзір: /interface gre
Стандарттар: RFC1701

GRE (Generic Routing Encapsulation) — бастапқыда Cisco компаниясы әзірлеген туннелдеу протоколы. Бұл протокол әртүрлі желілік протоколдарды инкапсуляциялап, виртуалды нүкте-нүкте қосылымын жасауға мүмкіндік береді.

GRE — бұл IPIP және EoIP протоколдары сияқты туннельдер, олар бастапқыда күйсіз (stateless) ретінде жасалған. Бұл туннельдің қашықтағы ұшы өшіп қалса, туннель арқылы бағытталған барлық трафик "қара тесікке" (blackhole) түседі дегенді білдіреді. Бұл мәселені шешу үшін RouterOS GRE туннельдеріне арналған keepalive функциясын енгізді.

GRE туннелі 24 байт артық жүктеме қосады (4 байттық GRE тақырыбы + 20 байттық IP тақырыбы). GRE туннелі тек IP және IPv6 пакеттерін (Ethernet түрі 800 және 86dd) ғана өткізе алады. GRE туннелі маршруттың шлюзі ретінде пайдаланылғанда, "Check gateway" параметрін "arp" күйінде пайдаланбаңыз.

Properties

Ресми құжаттамаға сілтеме: GRE Properties

Орнату үлгісі

Бұл мысалдың мақсаты — интернет арқылы екі қашықтағы желі арасында 3-деңгейлі (Layer 3) қосылым орнату.

Бізде екі сайт бар: Site1 — жергілікті желі ауқымы 10.1.101.0/24, және Site2 — 10.1.202.0/24.

Бірінші қадам — GRE туннельдерін құру. Site1-дегі маршрутизаторда:

/interface gre add name=myGre remote-address=192.168.90.1 local-address=192.168.80.1

Site2-дегі маршрутизаторда:

/interface gre add name=myGre remote-address=192.168.80.1 local-address=192.168.90.1

Көріп отырғаныңыздай, туннель конфигурациясы өте қарапайым.

Бұл мысалда keepalive конфигурацияланбаған, сондықтан туннель интерфейсі жұмыс істеп тұрған күйде (running flag) көрінеді, тіпті туннельдің қашықтағы ұшы қол жетімді болмаса да.

Енді тек туннель мекенжайларын және дұрыс маршрутизацияны орнату қажет. Site1-дегі маршрутизаторда:

/ip address add address=172.16.1.1/30 interface=myGre
/ip route add dst-address=10.1.202.0/24 gateway=172.16.1.2

Site2-дегі маршрутизаторда:

/ip address add address=172.16.1.2/30 interface=myGre
/ip route add dst-address=10.1.101.0/24 gateway=172.16.1.1

Осы сәттен бастап, екі сайт GRE туннелі арқылы 3-деңгейлі қосылымға ие болды.

IPSec

ITUniver

IPSec

IPSec деген не?

IPSec (Internet Protocol Security) — IP желілері арқылы берілетін деректерді шифрлау және қорғау үшін қолданылатын протоколдар жиынтығы. Ол желілер арасында қауіпсіз байланысты қамтамасыз етуге арналған.

IPSec неге танымал?

IPSec кеңінен танымал болу себебі — оның қауіпсіздігі мен икемділігі. Ол:

IP деңгейінде шифрлау мен аутентификацияны қамтамасыз етеді;
Қоғамдық интернет арқылы жеке желілерді (мысалы, кеңселерді) қауіпсіз байланыстырады;
VPN (Virtual Private Network) шешімдерінің көпшілігінде стандарт ретінде қолданылады.

IPSec қолданудың артықшылығы неде?

IPSec қолдану арқылы сіз:

Деректердің құпиялылығы мен бүтіндігін сақтайсыз;
Трафикті бөгде адамдардан қорғайсыз;
Аутентификация және шифрлау арқылы желі қауіпсіздігін арттырасыз.

2025 жылы IPSec өзектілігін жоғалтты ма?

Жоқ, IPSec әлі де өзекті. Көптеген кәсіпорындар мен ұйымдар қауіпсіз қашықтағы қол жеткізу мен филиалдар арасындағы байланысты қамтамасыз ету үшін IPSec-ті қолдануды жалғастыруда. Бұл — сенімді және кеңінен қолдау табатын технология.

IPSec нақты қай жағдайда қажет?

IPSec келесі нақты жағдайларда пайдалы:

Қашықтағы қызметкерлерге VPN арқылы корпоративтік желіге қауіпсіз қол жеткізу;
Филиалдар арасындағы қауіпсіз байланыс орнату (site-to-site VPN);
Мемлекеттік немесе қаржылық мекемелерде деректерді шифрлау талабы болған жағдайда;
Серверлер мен мәліметтер орталықтары арасында қауіпсіз трафик қажет болғанда.

IPSec протоколдар жиынтығы келесі топтарға бөлінеді:

Internet Key Exchange (IKE) протоколдары — AH және ESP үшін криптографиялық кілттерді динамикалық түрде құрастырып, таратады.
Authentication Header (AH) — RFC 4302
Encapsulating Security Payload (ESP) — RFC 4303
Internet Key Exchange Protocol (IKE)

Internet Key Exchange (IKE)

IKE — бұл Internet Security Association and Key Management Protocol (ISAKMP) құрылымына арналған аутентификацияланған кілттерді қамтамасыз ететін протокол. ISAKMP-пен жұмыс істей алатын басқа да кілт алмасу схемалары бар, бірақ ең кеңінен қолданылатыны — IKE.

Олар бірлесе отырып, хосттарды аутентификациялау және қауіпсіздік байланыстарын (SA) автоматты басқару мүмкіндігін береді.

Көп жағдайда IKE демон (daemon) бос тұрады. Ол тек екі жағдайда іске қосылады:

Қандай да бір саясат ережесімен сәйкес келетін трафик шифрленуі немесе аутентификациялануы керек, бірақ саясатта SA жоқ. Бұл кезде саясат IKE демонын хабардар етеді, және демон қашықтағы хостпен байланыс орнатады.
IKE демон қашықтағы хосттан келген қосылуға жауап береді.

Екі жағдайда да қосылушы тараптар байланыс орнатып, екі кезеңнен өтеді:

1-кезең

Қарсы тараптар IKE хабарламаларында қолданылатын алгоритмдерді келісіп алады және бір-бірін аутентификациялайды. Осы кезеңде келесі параметрлермен кілттік материал жасалады:

аутентификация әдісі
DH тобы
шифрлау алгоритмі
алмасу режимі
хэш алгоритмі
NAT-T
DPD және өмір сүру мерзімі (қосымша)

2-кезең

Қарсы тараптар IPsec трафигін шифрлау үшін қолданылатын бір немесе бірнеше SA-ны орнатады. Бұл кезең келесі параметрлерді қамтиды:

IPSec протоколы
режим (туннель немесе транспорт)
аутентификация әдісі
PFS (DH тобы)
өмір сүру уақыты

Екі түрлі мерзім бар: soft және hard. Егер SA soft мерзіміне жетсе, IKE демон хабарлама алады және жаңа 2-кезеңді бастайды. Hard мерзіміне жетсе — SA жойылады.

DPD өшірілген кезде 1-кезең қайта кілттелмейді, тек 2-кезең қайта басталады. Егер 1-кезеңді қайта кілттеу керек болса — DPD қосыңыз.

PSK қауіптері

PSK (алдын ала ортақ кілт) әдісі "aggressive" режимінде offline шабуылдарға осал екені бұрыннан белгілі. Соңғы зерттеулер бойынша, бұл шабуыл түрі "main" және "ike2" режимдерінде де мүмкін. Жалпы ұсыныс — PSK аутентификация әдісінен аулақ болу.

Perfect Forward Secrecy (PFS)

PFS — кілт алмасудың қасиеті, бұл дегеніміз — егер ұзақ мерзімді 1-кезең кілті ашылып кетсе де, ол арқылы барлық IPsec мәліметтеріне қол жеткізу мүмкін емес болады. Себебі әрбір 2-кезең үшін жеке кілттік материал қайта жасалады.

Кілт жасау шығындары

Кілттерді жасау процесі өте ресурсоемкий. Мысалы, modp8192 тобы өте қуатты компьютерде де бірнеше секундқа созылуы мүмкін. Бұл, әдетте, тек 1-кезеңде орын алады және ұзақ уақытқа сақталады. Ал PFS қосылған жағдайда, мұндай операция әрбір 2-кезеңге де қосылады.

Diffie-Hellman топтары

Diffie-Hellman (DH) кілт алмасу протоколы екі тараптың алдын ала ортақ құпиясы болмаса да, бірлескен құпияны қауіпсіз түрде құруға мүмкіндік береді. Қолдау көрсетілетін MODP және ECP (Oakley деп те аталады) топтары:

1-топ — 768 биттік MODP тобы — RFC 2409
2-топ — 1024 биттік MODP тобы — RFC 2409
5-топ — 1536 биттік MODP тобы — RFC 3526
14-топ — 2048 биттік MODP тобы — RFC 3526
15-топ — 3072 биттік MODP тобы — RFC 3526
16-топ — 4096 биттік MODP тобы — RFC 3526
17-топ — 6144 биттік MODP тобы — RFC 3526
18-топ — 8192 биттік MODP тобы — RFC 3526
19-топ — 256 биттік кездейсоқ ECP тобы — RFC 5903
20-топ — 384 биттік кездейсоқ ECP тобы — RFC 5903
21-топ — 521 биттік кездейсоқ ECP тобы — RFC 5903

Стандарттар туралы толық ақпаратты мына жерден табуға болады: keylength.com

Қауіпсіздік пен процессор жүктемесі

Үлкен DH топтары жақсырақ қауіпсіздік береді, бірақ көбірек CPU қуатын қажет етеді. Төменде жиі қолданылатын DH топтары көрсетілген:

DH 14-топ (2048 бит) — қауіпсіздік пен CPU пайдалану арасындағы жақсы тепе-теңдік. Бүгінде көптеген қолданбалар үшін қауіпсіз және кеңінен қолдау табады.
DH 5-топ (1536 бит) — DH 14-топқа қарағанда сәл әлсіздеу қауіпсіздік береді, бірақ процессорға жүктемесі төмен. Көп жағдайда қолдануға болады.
DH 2-топ (1024 бит) — ең төменгі қауіпсіздік деңгейін береді. CPU жүктемесі аз, бірақ қазіргі заманғы шабуылдарға осал. Жаңа жүйелерде қолдану ұсынылмайды.

Ұсыныстар

Ең жоғары қауіпсіздік үшін DH 19-топ қолдану ұсынылады. Бұл топ жылдам әрі сенімді деп саналады.

DH 2-топ тек ескі құрылғылар қажет еткен жағдайда ғана қолданылуы тиіс, ал жаңа орнатылымдарда болдырмау керек.

Желілік инфрақұрылымыңызға қажетті қауіпсіздік деңгейін дұрыс есептеу үшін, алдымен сізге қажет болатын қауіпсіздік биттерінің санын анықтауыңыз қажет, содан кейін деректердің қанша уақытта шифрын шешуге болатынын бағалап, сәйкес алгоритмдерді таңдауыңыз керек.

Қосымша ақпарат үшін мына сілтемені қараңыз: https://www.keylength.com/en/4/

IKE трафигі

SPD ережесіне сәйкес келіп, әлі құрылмаған SA арқылы шифрлауды талап ететін IKE пакеттерімен мәселелерді болдырмау үшін, жергілікті шыққан UDP 500 портынан шыққан пакеттер SPD арқылы өңделмейді. Сол сияқты, жергілікті жеткізілуі керек UDP 500 портына арналған кіріс пакеттер де кіріс саясаты ережелерімен өңделмейді.

Орнату тәртібі

IPsec-ті IKE-ISAKMP автоматты кілт алмасуымен жұмыс істету үшін policy, peer, және proposal (қосымша) жазбаларын конфигурациялау қажет.

IPsec жүйесі уақыттың өзгеруіне өте сезімтал. Егер туннельдің екі шеті бірдей уақытпен синхрондалмаса (мысалы, әртүрлі NTP серверлері арқылы), туннель бұзылады және қайта құрылуы қажет болады.

EAP аутентификация әдістері

EAP-GTC
EAP-MD5
EAP-MSCHAPv2
EAP-PEAPv0
EAP-GPSK
EAP-TLS
EAP-TTLS
EAP-SIM
PAP
CHAP
MS-CHAP

Windows жүйесінде EAP-TLS "Smart Card or other certificates" деп аталады.

Шектеулер мен ескертулер

AES-GCM шифрлау алгоритмі IKEv2 аутентификациясында әзірше қолдау таппаған.
IPsec-ті сертификатпен (X.509) қолдану кезінде, сертификат ішінде "SubjectKeyIdentifier" кеңейтілімі болуы тиіс. Бұл тек 3-нұсқасында ғана қолдау көрсетіледі.
ed25519 аутентификациясы әзірге қолдау таппаған.

Қосымша ақпарат: MikroTik қолдау беті

Аутентификация тақырыбы (AH)

AH — бұл протокол, ол деректеме (datagram) мазмұнының барлығын немесе бір бөлігін аутентификациялау үшін қосымша тақырып (header) қосу арқылы жүзеге асады. Бұл тақырып деректеменің мәндеріне негізделіп есептеледі. Қандай бөліктер есепке алынатыны және тақырыптың қайда орналасатыны — туннель немесе транспорт режиміне байланысты.

AH тақырыбының болуы хабарламаның тұтастығын тексеруге мүмкіндік береді, бірақ деректерді шифрламайды. Сондықтан AH тек аутентификация береді, ал құпиялылықты қамтамасыз етпейді. Бұл жағынан ESP (Encapsulating Security Payload) протоколы тиімдірек, өйткені ол деректердің құпиялылығын және өзінің аутентификация әдісін қамтамасыз етеді.

RouterOS қолдайтын AH аутентификация алгоритмдері

SHA2 (256, 512)
SHA1
MD5

Транспорт режимі

Бұл режимде AH тақырыбы IP тақырыбынан кейін орналастырылады. Аутентификация мәнін есептеу үшін IP деректері мен тақырыбы қолданылады. Жол бойында өзгеруі мүмкін IP өрістері (мысалы, TTL және hop count) нөлге теңестіріледі.

Туннель режимі

Бұл режимде бастапқы IP пакеті жаңа IP пакеті ішінде инкапсуляцияланады. Бастапқы IP пакеттердің барлығы аутентификациядан өтеді.

Encapsulating Security Payload (ESP)

Encapsulating Security Payload (ESP) — бұл ортақ кілттік шифрлауды қолдана отырып деректердің құпиялылығын қамтамасыз ететін протокол. ESP өзінің аутентификациялау механизміне де ие, ол AH (Authentication Header) протоколындағы әдіске ұқсас жұмыс істейді.

ESP тақырыптарды AH сияқты бір ғана құрылымда бермейді. Оның орнына ESP үш бөлікке бөлінеді:

ESP тақырыбы (ESP Header) – Шифрланған деректер алдында орналасады. Оның нақты орналасуы ESP транспорт немесе туннель режимінде қолданылуына байланысты;
ESP трейлері (ESP Trailer) – Шифрланған деректен кейін орналасады. Мұнда деректерді туралау үшін пайдаланылатын толтырма (padding) болады;
ESP аутентификация деректері – Қаласа, ESP қосымша аутентификацияны қолдайды және бұл бөлікте AH сияқты тәсілмен есептелген бүтіндік тексеру мәні (ICV – Integrity Check Value) болады.

Транспорт режимі

ESP транспорт режимінде ESP тақырыбы бастапқы IP тақырыбынан кейін енгізіледі. ESP трейлері және аутентификация мәні пакеттің соңына қосылады. Бұл режимде тек IP жүгін (payload) шифрлау және аутентификациялау жүргізіледі, ал IP тақырыбы қорғалмайды.

Туннель режимі

Туннель режимінде бастапқы IP пакеті жаңа IP пакетінің ішіне инкапсуляцияланады. Бұл кезде IP жүктемесімен қатар IP тақырыбы да қорғалады.

Шифрлау алгоритмдері

RouterOS ESP протоколы келесі шифрлау және аутентификация алгоритмдерін қолдайды:

Аутентификация:

MD5
SHA1
SHA2 (256-бит, 512-бит)

Шифрлау:

AES – 128, 192, және 256-бит кілтпен AES-CBC, AES-CTR және AES-GCM алгоритмдері;
Blowfish – v4.5 нұсқасынан бастап қосылған;
Twofish – v4.5 нұсқасынан бастап қосылған;
Camellia – 128, 192, және 256-бит Camellia шифрлау алгоритмі (v4.5 бастап);
DES – 56-бит DES-CBC алгоритмі;
3DES – 168-бит DES шифрлау алгоритмі;

Аппараттық жеделдету (Hardware acceleration)

Аппараттық жеделдету — шифрлауды жылдам орындау үшін процессор ішіндегі арнайы шифрлау механизмін пайдалану. Бұл IPsec өнімділігін айтарлықтай арттыра алады.

* Тек 128 және 256-бит кілт өлшемдері ғана қолдау табады;
** 2016 жылдан кейін шығарылған құрылғылар ғана (сериялық нөмірі 5 немесе 7 санынан басталады);
*** Тек AES-CBC және AES-CTR шифрлау аппараттық жеделдетумен өңделеді, хэштеу бағдарламалық түрде;
**** DES шифрлауы қолдау таппайды, тек 3DES және/немесе AES-CBC;

Әртүрлі шифрлау және хэш алгоритмдерінің комбинациялары үшін IPsec өткізу қабілеттілігі MikroTik өнімдер бетінде жарияланған.

Policy (Саясаттар)

Policy кестесі пакеттерге қауіпсіздік параметрлерін қолдану қажет пе, соны анықтау үшін қолданылады.

Негізгі қасиеттер

Атрибут	Мәні / Анықтамасы
`action`	(discard \| encrypt \| none; әдепкі: encrypt) Пакетке қолданылатын әрекетті көрсетеді: none – пакетті өзгертпей жібереді; discard – пакетті тастайды; encrypt – осы саясатта көрсетілген трансформацияны және SA қолданады.
`comment`	Қысқаша сипаттама (әдетте бос).
`disabled`	(yes \| no; әдепкі: no) – саясаттың белсенділігін көрсетеді.
`dst-address`	Мақсатты IP/IPv6 мекенжай префиксі (тек tunnel=yes немесе template=yes болса ғана қолданылады).
`dst-port`	Мақсатты порт (0–65535 немесе any; әдепкі: any).
`group`	Бұл саясатқа жататын топ атауы (әдепкі: default).
`ipsec-protocols`	(ah \| esp; әдепкі: esp) – қолданылатын IPsec протоколы (аутентификация және шифрлау).
`level`	(require \| unique \| use; әдепкі: require) SA табылмаса не істеу керек екенін анықтайды: use – SA қолданбай, трансформацияны өткізіп жібереді; require – SA қажет, болмаса пакетті тастайды; unique – тек осы саясат үшін бірегей SA талап етіледі (NAT-тың артында бірнеше клиент болса пайдалы).
`peer`	Бұл саясат қолданылатын peer атауы.
`proposal`	SA орнату үшін IKE daemon арқылы жіберілетін ұсыныс атауы (әдепкі: default).
`protocol`	Сәйкестендірілетін IP протоколы (барлығы, icmp, tcp, udp және т.б.; әдепкі: all).
`src-address`	Дереккөз IP/IPv6 мекенжайы (тек tunnel=yes немесе template=yes болса).
`src-port`	Дереккөз порты (0–65535 немесе any; әдепкі: any).
`template`	Иә болса, бұл саясат үлгі ретінде топқа тағайындалады.
`tunnel`	(yes \| no; әдепкі: no) – туннель режимін пайдалану керектігін көрсетеді.

Template (үлгі) параметрлері

group – бұл үлгіге жататын саясаттар тобының атауы;
src-address, dst-address – екі бағыттағы ішкі желілер сәйкес келуі керек (мысалы, 0.0.0.0/0 барлық трафикке рұқсат береді);
protocol – сәйкестендірілетін протокол. Егер all болса, барлық протокол қабылданады;
proposal – осы үлгі үшін қолданылатын SA параметрлері;
level – NAT артында бірнеше клиент бар жағдайда unique деңгейін пайдалану ұсынылады.

Тек оқуға арналған қасиеттер (Read-only properties)

Бұл параметрлер MikroTik RouterOS жүйесінде автоматты түрде есептеледі немесе орнатылады және оларды өзгерту мүмкін емес.

Атрибут	Анықтамасы
`active`	Бұл саясат қазіргі уақытта қолданыста ма (yes \| no).
`default`	Жүйенің әдепкі (default) жазбасы ма (yes \| no).
`dynamic`	Бұл жазба динамикалық түрде жасалған ба (yes \| no).
`invalid`	Саясат жарамсыз ба (yes \| no). Жарамсыздықтың бір себебі — src-address және dst-address бірдей басқа саясаттың болуы (яғни қайталану).
`ph2-count`	Бұл саясатпен байланысты белсенді 2-фаза сессияларының саны.
`ph2-state`	Қауіпсіздік кілтін орнатудың күйі: expired – сессия мерзімі аяқталған; no-phase2 – 2-фаза сессиясы жоқ; established – сәтті орнатылған.
`sa-dst-address`	SA мақсатты мекенжайы (қашықтағы peer IP/IPv6 мекенжайы).
`sa-src-address`	SA бастау мекенжайы (жергілікті peer IP/IPv6 мекенжайы).

Қосымша түсіндірме

Саясаттардың орындалу реті маңызды. MikroTik RouterOS 6.40 нұсқасынан бастап саясаттар firewall filter тәрізді жоғарыдан төмен қарай орындалады. Ескі priority параметрі жойылған.

Егер сіз туннель режимін қолдансаңыз, барлық пакеттер IPIP арқылы инкапсуляцияланады және жаңа IP тақырыбының src-address және dst-address мәндері осы саясаттағы sa-src-address және sa-dst-address мәндеріне орнатылады.

Егер сіз transport режимін қолдансаңыз, тек пакеттердің бастапқы және мақсатты мекенжайлары SA мекенжайларымен дәл сәйкес келсе ғана шифрланады. Бұл режим тек peer құрылғылар арасындағы (мысалы, екі хост) байланыс үшін жарамды. Ал егер желілер арасында шифрлау қажет болса – тек туннель режимін қолдану керек.

IPsec статистикасы

Бұл бөлімде MikroTik маршрутизаторыңызда IPsec жұмысына қатысты әртүрлі статистика мен қателер көрсетіледі. Ол ақауларды анықтауға және IPsec трафигінің ағымдағы күйін бақылауға көмектеседі.

Қателер көбейіп кетсе немесе Replay саны артып жатса — конфигурацияны немесе уақытты тексеру қажет болуы мүмкін.

Бұл статистикалар әсіресе VPN және қауіпсіз байланыстарды мониторингтеуге өте пайдалы.

Көрсеткіш	Сипаттамасы
`Tx`	Жіберілген IPsec шифрланған пакеттердің саны.
`Rx`	Қабылданған IPsec шифрланған пакеттердің саны.
`Tx-Bytes`	Жіберілген шифрланған байттар саны.
`Rx-Bytes`	Қабылданған шифрланған байттар саны.
`Errors`	IPsec өңдеу кезінде орын алған қателер саны. Бұл параметр диагностикада маңызды.
`Replay`	Қайта жіберілген (replay) шабуылдарына қарсы қорғаныстың жұмысын көрсетеді. Бұл өрісте мән артып жатса — бірдей ESP пакеттері бірнеше рет қабылданды деген сөз.
`State`	IPsec құрылғыларының ағымдағы күйі, мысалы: `established` – туннель жұмыс істеп тұр, `expired` – мерзімі өткен және т.б.

Толық ақпаратты MikroTik ресми құжатынан қарауға болады:

MikroTik ресми құжатына өту

IPsec – Ұсыныстар (Proposals)

Ұсыныстар – бұл IKE демоны IPsec қауіпсіздік ассоциацияларын (SA) орнату үшін пайдаланатын шифрлау және аутентификация параметрлерінің жиынтығы. Белгілі бір Policy-ге сәйкес SA орнатқанда осы параметрлер қолданылады.

Параметр	Сипаттамасы
`auth-algorithms`	Аутентификация үшін қолданылатын алгоритмдер: `md5`, `sha1`, `sha256`, `sha512`. Әдепкі: `sha1`
`enc-algorithms`	Шифрлау үшін рұқсат етілген алгоритмдер: `des`, `3des`, `aes-128-cbc`, `aes-192-ctr`, `aes-256-gcm`, `blowfish`, `twofish`, `camellia-128`, т.б. Әдепкі: `aes-256-cbc, aes-192-cbc, aes-128-cbc`
`pfs-group`	Perfect Forward Secrecy үшін Diffie-Hellman тобы: `modp1024`, `modp2048`, `ecp256`, т.б. Әдепкі: `modp1024`
`lifetime`	Қауіпсіздік ассоциациясының (SA) өмір сүру уақыты. Уақыт аяқталған соң SA жойылып, жаңасы құрылады. Әдепкі: `30m`
`name`	Ұсыныс аты. Policy ішінде осы атау көрсетіледі.
`comment`	Қысқаша түсініктеме.
`disabled`	Бұл жазба белсенді ме, жоқ па. Мәндері: `yes` \| `no`

Тек оқуға арналған қасиеттер

default: Бұл жүйелік әдепкі жазба ма (yes | no).

IPsec – Топтар (Groups)

Бұл бөлімде Policy шаблондарында қолданылатын қосымша Policy топтарын жасауға болады.

Параметр	Сипаттамасы
`name`	Топтың атауы (string). Әдепкі бос.
`comment`	Топ туралы қысқаша түсініктеме (string). Әдепкі бос.

IPsec – Пирлер (Peers)

Peer конфигурация параметрлері IKE демондары арасында байланыс орнату үшін қолданылады. Бұл байланыс SAs (Security Associations) үшін кілттер мен алгоритмдерді келісу үшін пайдаланылады.

Ескерту: Exchange mode (алмасу режимі) пирлерді бірегей идентификациялайды. Яғни, бірдей remote-address мекенжайы бар бірнеше пир конфигурациясы болуы мүмкін, егер олардың exchange-mode әртүрлі болса.

Peers Property кестесі

IPsec Құрамдас Бөліктеріне Қысқаша Түсініктер

Profiles: IKE келіссөзінің 1-кезеңінде қолданылатын параметрлер жиыны. Бұл параметрлер бірнеше пир конфигурациясында ортақ қолданылуы мүмкін. [Құжаттама]

Identities: Қашықтағы пирге тән параметрлер. Бұл конфигурация пирді аутентификациялау мен оның тұтастығын тексеру үшін қажет. [Құжаттама]

Active Peers: Қазіргі уақытта 1-кезең байланысын орнатқан пирлер туралы статистика ұсынады. [Құжаттама]

Mode configs: ISAKMP және IKEv2 үшін конфигурация атрибуттарын орнатуға арналған мәзір. [Құжаттама]

Installed SAs: Орнатылған қауіпсіздік ассоциациялары (SA) туралы және олардың кілттері жөнінде ақпарат береді. [Құжаттама]

Keys: Пирді аутентификациялау үшін қолданылатын барлық импортталған ашық және жеке кілттердің тізімін көрсетеді. Бұл мәзірде кілттермен жұмыс істеуге арналған бірнеше командалар бар. [Құжаттама]

Терминдер

ITUniver

RouterOS 🛠️ — бұл MikroTik компаниясының Linux ядросына негізделген дербес операциялық жүйесі. Ол тек MikroTik құрылғыларында ғана емес, сонымен қатар виртуалды машиналарда да жұмыс істей алады.

Қарапайым тілмен айтқанда:

RouterOS — бұл маршрутизаторды басқаратын «ми»
Интернетті тарату, қауіпсіздік орнату, VPN құру, firewall фильтр жасау секілді функцияларды атқарады
Басқару графикалық интерфейс (Winbox), терминал немесе web арқылы жүзеге асады

📌 Неліктен маңызды?

Кәсіптік желілерді икемді басқаруға мүмкіндік береді
Бір ғана MikroTik құрылғысы арқылы бірнеше қызметті атқаруға болады (DHCP, DNS, Firewall, VPN және т.б.)
Шағын және орта бизнеске тиімді шешім

🧩 Мысалы:

RouterOS-пен сіз үй желісін толық бақылап, сайттарға кіруді шектеуге, Wi-Fi жылдамдығын үлестіруге немесе жұмысшылар үшін VPN қосуға болады
VM ішінде орнатып, тәжірибе жасап үйренуге болады

ℹ️ RouterOS — MikroTik-тің қуатты желілік жүйесі. Winbox, терминал немесе web-интерфейс арқылы конфигурация жасауға болады. Бастау үшін виртуалды машинада орнатып, тәжірибе жасау ұсынылады.

CHR (Cloud Hosted Router) ☁️ — бұл MikroTik компаниясының виртуалды серверлерге арналған арнайы RouterOS нұсқасы. Яғни, физикалық құрылғыны қолданбай-ақ, MikroTik маршрутизаторын бұлтта немесе локалды виртуалды ортада (VMware, VirtualBox, Hyper-V, KVM) іске қосуға болады.

Қарапайым тілмен айтқанда:

CHR — MikroTik RouterOS-тың виртуалданған нұсқасы
Ол серверде немесе ноутбугыңыздағы VMware секілді бағдарламада жұмыс істей алады
Физикалық құрылғысыз желілік функцияларды сынауға, оқуға және тіпті жұмысқа қолдануға болады

📌 Неліктен маңызды?

MikroTik-ті үйренуге, лаборатория жасауға өте ыңғайлы
Cloud серверде (мысалы, VPS) орнатып, шынайы желілік қызметтерді іске асыруға болады
Физикалық құрылғыға қарағанда арзанырақ және икемді

🧩 Мысалы:

VMware Workstation бағдарламасында CHR орнатып, MikroTik конфигурациясын үйрену
Hetzner немесе DigitalOcean сияқты VPS-те CHR орнатып, VPN сервер ретінде қолдану
Cloud-та firewall және трафик маршрутизация жасау

ℹ️ CHR — бұлттық ортада немесе виртуалды машинада MikroTik RouterOS қолдануға мүмкіндік беретін қуатты құрал. Оқу, тестілеу және кейде өндірістік мақсаттарға да жарамды.

VMware Workstation 💻 — бұл компьютер ішінде виртуалды машиналар жасауға арналған бағдарлама. MikroTik-тің CHR (Cloud Hosted Router) нұсқасын осы ортада орнатып, физикалық құрылғысыз-ақ тәжірибе жасауға болады.

Қарапайым тілмен айтқанда:

VMware Workstation — компьютер ішінде «жеке компьютер» немесе «маршрутизатор» секілді виртуалды құрылғылар жасауға мүмкіндік береді
RouterOS жүйесін виртуалға орнатып, командаларды, NAT, firewall, VPN сияқты конфигурацияларды жаттықтыра аласыз
Физикалық MikroTik болмаса да, бәрін үйренуге мүмкіндік береді

📌 Неліктен маңызды?

RouterOS-ты тәуекелсіз сынап көруге және үйренуге жағдай жасайды
Көптеген виртуалды маршрутизаторды бір компьютер ішінде іске қосуға болады (лаб жасау үшін)
Физикалық желіге араласпай конфигурация жасап, сақтап, қайта жүктеуге ыңғайлы

🧩 Мысалы:

CHR v7.18.2 VMDK файлын VMware Workstation 17 Pro ішіне импорттап, RouterOS конфигурациясын жасау
Бірнеше виртуалды MikroTik қосып, оларды Bridge немесе NAT арқылы байланыстыру
VPN, Firewall, DHCP, Routing сияқты қызметтерді үйрену

ℹ️ VMware Workstation — MikroTik RouterOS-ты виртуалды түрде іске қосуға өте қолайлы орта. Бұл сізге шынайы құрылғысыз-ақ тәжірибе жинап, оқыту немесе демонстрация жасау мүмкіндігін береді.

Winbox — бұл MikroTik RouterOS құрылғыларын Windows жүйесінде графикалық түрде басқаруға арналған ресми бағдарлама. Winbox арқылы конфигурацияларды оңай өзгертуге, мониторинг жасауға және құрылғыға толық бақылау жүргізуге болады.

Қарапайым тілмен айтқанда:

Winbox — MikroTik-ті терезелік интерфейс арқылы басқаруға арналған ыңғайлы құрал
RouterOS командаларын термей-ақ, мәзірлер мен батырмалар арқылы жұмыс істеуге мүмкіндік береді
Бірнеше құрылғыны IP немесе MAC арқылы тез табуға және қосылуға болады

📌 Неліктен маңызды?

Жаңадан үйренушілер үшін командаларды жаттамай-ақ жұмыс бастауға ыңғайлы
Барлық негізгі функциялар (IP, Bridge, Firewall, Routing, DHCP және т.б.) қолжетімді
Live статистика мен графиктерді көруге мүмкіндік береді

🧩 Мысалы:

RouterOS құрылғысының IP немесе MAC адресін теріп, Winbox арқылы қосылу
Quick Set бетінен интернетті тарату конфигурациясын жасау
DHCP сервер немесе NAT firewall ережелерін бірнеше батырмамен орнату

ℹ️ Winbox — MikroTik RouterOS басқарудың ең танымал және қолайлы жолы. Әсіресе бастауыштар үшін түсінікті әрі тез игеріледі. MikroTik ресми сайтынан жүктеп алуға болады.

ether1 🔌 — бұл MikroTik маршрутизаторындағы бірінші физикалық Ethernet портының атауы. Әдетте, ether1 порты интернет-провайдерден (ISP) келетін кабельді қосу үшін пайдаланылады.

Қарапайым тілмен айтқанда:

ether1 — MikroTik құрылғысындағы бірінші желілік порт (кабель қосылатын орын)
Көп жағдайда бұл порт WAN немесе сыртқы желіге арналады
Басқа порттар ether2, ether3, т.с.с. болып жалғасады

📌 Неліктен маңызды?

Дұрыс портқа интернет кабелін қоспасаңыз — құрылғыда интернет жұмыс істемейді
Конфигурация кезінде қай порт WAN, қайсысы LAN екенін нақты білу қажет
Firewall, NAT, DHCP сияқты қызметтерде порт таңдау маңызды рөл атқарады

🧩 Мысалы:

Интернет кабелін ether1 портына қосып, IP → DHCP Client арқылы IP-адрес алу
ether1 портын WAN интерфейс ретінде белгілеу
Firewall ережелерінде in-interface=ether1 деп көрсету арқылы сырттан келетін трафикті шектеу

ℹ️ ether1 — MikroTik құрылғысындағы негізгі желілік порттардың бірі. Конфигурация жасағанда қай порт қай функцияда қолданылып жатқанын нақты білу өте маңызды.

combo1 🔀 — бұл MikroTik құрылғыларындағы арнайы порт, ол бір уақытта екі түрлі қосылу түрін қолдайды: RJ45 (мыс кабель) және SFP (оптикалық модуль). Алайда бұл екеуі бір уақытта емес, тек біреуін ғана белсенді етіп пайдалануға болады.

Қарапайым тілмен айтқанда:

combo1 — бір порт, бірақ екі түрлі қосылу нұсқасы бар: мыс (ethernet) және оптика (SFP)
Екеуінің қайсысы бірінші белсенді қосылса, сол жұмыс істейді
Қалғаны автоматты түрде өшіріледі

📌 Неліктен маңызды?

Инфрақұрылымға байланысты таңдау жасауға мүмкіндік береді (мыс/оптика)
Орында үнемдеу — бір порт екі функцияны атқарады
Сигнал сапасына немесе қашықтыққа байланысты оптика қолдану тиімді болуы мүмкін

🧩 Мысалы:

Интернет провайдеріңіз оптикамен жұмыс істесе — SFP модуль арқылы combo1 портына қосасыз
Егер классикалық RJ45 кабелімен қосылса — мыс портын пайдаланасыз
Екісін бір уақытта қоспау керек — қайсысы бірінші іске қосылса, соны RouterOS қолданады

ℹ️ combo1 порты — MikroTik құрылғыларындағы әмбебап порт. Ол желілік құрылғыларды қосу икемділігін арттырады және болашақта желіні жаңарту үшін ыңғайлы.

MGMT/BOOT 🛠️ — бұл MikroTik құрылғыларындағы арнайы порт, ол негізінен екі функция атқарады: құрылғыны басқару (MGMT) және жүктеу (BOOT) мақсатында қолданылады. Бұл порт көбінесе маршрутизатордың негізгі желілік порттарынан бөлек жұмыс істейді.

Қарапайым тілмен айтқанда:

MGMT — құрылғыны негізгі желіден бөлек, жеке басқаруға арналған Ethernet порты
BOOT — бұл порт арқылы құрылғыны арнайы режимде (netinstall сияқты) жүктеуге болады
Кей құрылғыларда бұл бір портта біріктірілген және атауы MGMT/BOOT деп көрсетіледі

📌 Неліктен маңызды?

MGMT порты желіде ақау болса да құрылғыны басқаруға мүмкіндік береді
Жүйені қалпына келтіру кезінде BOOT режимі арқылы RouterOS қайта орнатылады
Басқару мен жұмыс желісін бөліп, қауіпсіздікті арттырады

🧩 Мысалы:

MGMT портына тек администраторларға арналған IP беріп, басқа қолданушылардан оқшаулау
RouterOS зақымдалса, netinstall арқылы MGMT/BOOT портын қолданып қайта жүктеу
MGMT порты тек басқару үшін, ал басқа порттар деректерді жіберу үшін қолданылады

ℹ️ MGMT/BOOT порты — кәсіптік деңгейдегі MikroTik құрылғыларында жиі кездесетін, қауіпсіз басқару мен қалпына келтіруге арналған маңызды құрал.

sfp1 🔍 — бұл MikroTik құрылғысындағы бірінші SFP (Small Form-factor Pluggable) портының атауы. Бұл портқа арнайы SFP модулі орнатылып, оптикалық немесе кейде мыс байланыс арқылы желіге қосылады.

Қарапайым тілмен айтқанда:

sfp1 — MikroTik құрылғысындағы бірінші оптикалық порт
Бұл портқа SFP модуль салынады, мысалы: оптикалық модуль (fiber) немесе RJ45 SFP модуль
Жоғары жылдамдықтағы немесе ұзақ қашықтықтағы желілік қосылыстар үшін пайдаланылады

📌 Неліктен маңызды?

Оптика арқылы 1G, 10G жылдамдықпен қашықтағы желілерді қосуға мүмкіндік береді
Сигнал сапасы мен деректер жоғалу қаупі төмен
Модуль түрін таңдап, инфрақұрылымға икемдей аласыз (мыс/оптика)

🧩 Мысалы:

Екі ғимаратты бір-бірімен оптикалық кабельмен байланыстыру үшін sfp1 порты қолданылады
Жоғары жылдамдықтағы интернетті оптика арқылы маршрутизаторға қосу
sfp1 портына RJ45 SFP модулі салып, мыс кабельмен де қосуға болады

ℹ️ sfp1 — оптикалық байланысқа арналған порт. Желінің сенімділігі мен өткізу қабілетін арттыру үшін кеңінен қолданылады.

🌉 Бридж интерфейсін жасау және порттарды тағайындау (Winbox арқылы)

MikroTik жүйесінде Bridge — бірнеше физикалық портты (Ethernet, SFP т.б.) бір логикалық желі сегментіне біріктіретін интерфейс. Бұл порттар бір IP желіде жұмыс істеуі үшін қолданылады, мысалы: бірнеше LAN портты біріктіріп, оларды бірдей IP диапазонда ұстау.

📌 Неліктен маңызды?

Бірнеше портты бір IP диапазонда біріктіруге мүмкіндік береді
Switch сияқты жұмыс істейді — құрылғы ішіндегі L2 коммутация
DHCP Server немесе Firewall ережелерін бірден Bridge интерфейске орнатуға болады

🧩 Мысалы:

ether2, ether3, ether4 порттарын бір bridge1 деген бриджге біріктіріп, соларға IP мекенжай мен DHCP Server орнатасыз
Кейбір құрылғыларда бұл автоматты түрде Quick Set кезінде жасалады

ℹ️ Бридж интерфейсі — MikroTik жүйесінде LAN желісін конфигурациялаудың негізгі құралы. Winbox арқылы жасау оңай және визуалды түрде анық.

CAPsMAN (Controlled Access Point system Manager) 📡 — бұл MikroTik RouterOS жүйесінде бірнеше Wi-Fi Access Point-ті (CAP) бір орталықтан басқаруға арналған құрал. CAPsMAN арқылы барлық сымсыз құрылғыларды бір жерден баптап, басқаруға болады.

Қарапайым тілмен айтқанда:

Wi-Fi нүктелерін әрқайсысын бөлек конфигурацияламайсыз
Бір MikroTik маршрутизаторы арқылы барлық Wi-Fi құрылғылардың баптауы орталықтан беріледі
CAP құрылғылар тек орындаушы болады (Controller басқарады)

📌 Неліктен маңызды?

Wi-Fi желіні орталықтандыру және автоматтандыру
SSID, пароль, қауіпсіздік баптауларын бір рет орнатып, бірнеше құрылғыға бірдей қолдану
Қонақтарға арналған Wi-Fi жасау, роуминг мүмкіндіктері
Үлкен ғимараттарда, мектеп, офис, қонақүй сияқты мекемелерде өте ыңғайлы

🔧 Қалай жұмыс істейді?

CAPsMAN Controller — негізгі маршрутизаторда қосылады (мысалы, hAP ac²)
CAP (Controlled Access Point) — Wi-Fi модулі бар MikroTik құрылғылары, олар Controller-ден конфигурацияны алады
CAP құрылғылар Controller-мен Layer 2 немесе Layer 3 арқылы байланыса алады

🧩 Мысалы:

Сізде 1 негізгі MikroTik және 3 Wi-Fi нүкте (hAP lite) бар делік
Сол 3 нүктенің әрқайсысын бөлек баптамай, тек Controller-ге CAPsMAN арқылы қосасыз
Бір SSID мен бірдей қауіпсіздік параметрлерімен барлық Wi-Fi нүктелер бірдей жұмыс істейді

ℹ️ CAPsMAN — MikroTik желілерінде Wi-Fi желісін тиімді әрі кәсіби басқаруға мүмкіндік береді. Бұл — enterprise деңгейдегі шешім.

WebFig 🌐 — бұл MikroTik RouterOS жүйесіне веб-браузер арқылы графикалық интерфейспен (GUI) кіруге арналған құрал. WebFig арқылы конфигурацияны интернет шолғыштан жасауға болады, Winbox сияқты.

Қарапайым тілмен айтқанда:

Сізге Winbox орнатудың қажеті жоқ
Браузер ашып, MikroTik IP-мекенжайын енгізу арқылы кіре аласыз (мысалы: http://192.168.88.1)
Барлық баптаулар дәл Winbox-тағыдай бөлімдерге бөлінген

📌 Неліктен маңызды?

Windows, Linux, Mac — кез келген жүйеден кіре аласыз
Браузер арқылы қашықтан конфигурация жасау ыңғайлы
Желіде Winbox болмаса немесе USB флешкасыз болсаңыз — WebFig көмекке келеді

🔐 Қалай кіреміз?

Браузер ашыңыз
http://192.168.88.1 немесе MikroTik-тің IP-мекенжайын жазыңыз
Пайда болған WebFig терезесінде логин (әдетте admin) және пароль енгізіңіз

🔧 Қандай мүмкіндіктері бар?

Интерфейстерді басқару (Ethernet, Wireless)
IP баптаулар (address, routes, DHCP, DNS, NAT)
Firewall, VPN, Wireless, Tools т.б. толық конфигурация жасауға болады

ℹ️ WebFig — MikroTik құрылғысына веб арқылы ыңғайлы және толық бақылау жасау тәсілі. Winbox-пен бірдей мүмкіндіктерге ие.

RoMON (Router Management Overlay Network) 🛰️ — бұл MikroTik RouterOS жүйесінде қолданылатын жабық басқару желісі (overlay network), яғни маршрутизаторларға тікелей IP-мекенжайсыз, қауіпсіз және орталықтандырылған басқаруға мүмкіндік беретін технология.

Қарапайым тілмен айтқанда:

Егер сіз желідегі бір MikroTik-ке ғана кіре алсаңыз, сол арқылы болады
Бұл үшін құрылғыларда RoMON қосулы болуы керек
IP қажет емес — құрылғыларды MAC арқылы табасыз

📌 Неліктен маңызды?

Желідегі IP баптаулары дұрыс болмаса да, құрылғыны басқаруға мүмкіндік береді
Желілік ақаулар кезінде де MikroTik құрылғыларға қосылып, жөндеу жүргізуге болады
Layer 2 деңгейінде жұмыс істейді (IP емес, MAC арқылы)
Тек MikroTik құрылғылар арасында жұмыс істейді

🔧 RoMON қалай іске қосылады?

Winbox немесе WebFig арқылы құрылғыға кіріңіз
Tools → RoMON бөліміне өтіңіз
Enabled жалаушасын қосыңыз
Қаласаңыз, Secret (құпия сөз) орнатуға болады

💡 Winbox арқылы қалай көреміз?

Winbox ашқанда “RoMON” батырмасын басыңыз
RoMON арқылы байланысқан барлық MikroTik құрылғылар тізімде шығады
Керегін таңдап, MAC мекенжай арқылы қосыла аласыз

ℹ️ RoMON — бұл авариялық жағдайда немесе NAT артындағы құрылғыларды басқару қажет болғанда таптырмас құрал. IP жоқ кезде де MikroTik құрылғыларға қол жеткізуге мүмкіндік береді.