Skip to main content

2.4 Nastavenie adresy a overovanie spojenia

Nastavenie IPv4 adresy

11-ip-address.webpNa zariadeniach MikroTik s operačným systémom RouterOS nastavujeme IPv4 adresu vo WinBox ponuke IP → Addresses. Do kolonky Address je potrebné vyplniť IP adresu a skrátený tvar masky v podobe sieťového prefixu za lomkou, napríklad „192.168.1.1/24“. Položku Network môžeme nechať prázdnu - systém vypočíta adresu siete automaticky. Dôležité je správne zvoliť sieťové rozhranie (Interface), ktorému chceme prideliť adresu. Týmto rozhraním môže byť bridge (premostenie, budeme sa ním zaoberať neskôr), no môže sa jednať aj o individuálne porty. Je veľmi užitočné každé sieťové rozhranie vhodne pomenovať, pričom vždy ponecháme pôvodný názov aj s číslom, teda vhodný názov je napríklad „ether1-wan“, či „ether2-lan“.

ip-routeAdresa brány

Manuálne pridelenie IP adresy je postačujúce pre lokálnu komunikáciu v rámci siete daného rozhrania, čo je typicky situácia v izolovanej LAN - ak sú správne nastavené aj ďalšie zariadenia v nej, nič viac nám netreba. Pokiaľ sa jedná o prepínač, ktorý má byť dostupný len v danej sieti LAN, nemusíme riešiť ani WAN sieť, ani prístup do internetu. Iná situácia je však v prípade smerovača - na rozhraní WAN obvykle chceme mať dostupnú nielen bezprostredne pripojenú sieť nášho poskytovateľa internetu, ale aj internet. Preto je potrebné uviesť aj adresu brány - teda ďalšieho smerovača v sieti WAN, ktorý má spojenie do ďalších sietí (internetu). Adresu brány, na rozdiel od bežných operačných systémov, nenájdeme v rovnakom dialógu ako IP adresu, ale musíme zájsť do IP → Routes a pridať novú trasu. Adresu cieľa (Dst. Address) ponecháme na hodnote „0.0.0.0/0“ a do kolonky Gateway zadáme adresu brány - ostatnými parametrami sa zatiaľ zaoberať nebudeme.

Adresa brány musí byť z tej istej siete, ku ktorej je zariadenie pripojené - typicky sa jedná o sieť ISP.

DNS server

So správne nastavenou IP adresou na WAN rozhraní a s adresou brány sa zariadenie dokáže pripojiť do internetu, no len cez IP adresy a nie cez doménové mená. Teda nám nebude fungovať ani zistenie aktualizácií operačného systému, časom ani VPN pripojenia cez doménové mená, či firewall na základe doménových mien. Aby sme doménové mená mohli používať, je potrebné zadať DNS server. Opäť musíme hľadať inde - v ponuke IP → DNS, kde vyplníme aspoň jeden DNS server (Servers).

13-ip-dns.webpVyužiť môžeme napríklad rôzne obľúbené DNS servery, ktoré sú nielen rýchle, ale niektoré umožňujú aj čiastočné filtrovanie nebezpečného obsahu:

  • DNS4EU bez blokovania: 86.54.11.100 a 86.54.11.200
  • DNS4EU s blokovaním malware: 86.54.11.1 a 86.54.11.201
  • DNS4EU s blokovaním malware a obsahu pre dospelých: 86.54.11.12 a 86.54.11.212
  • DNS4EU s blokovaním malware, obsahu pre dospelých a reklamy: 86.54.11.11 a 86.54.11.211
  • CloudFlare bez blokovania: 1.1.1.1 a 1.0.0.1
  • CloudFlare s blokovaním malware: 1.1.1.2 a 1.0.0.2
  • CloudFlare s blokovaním malware a obsahu pre dospelých: 1.1.1.3 a 1.0.0.3
  • Google: 8.8.8.8 a 8.8.4.4

DNS server nemusí byť z našej siete, ani zo siete ISP. V podstate môžeme použiť akýkoľvek server odkiaľkoľvek na svete, no nemal by byť príliš ďaleko a mal by byť dostatočne výkonný (rýchly), čo spĺňajú všetky vyššie uvedené servery.

14-ip-dhcp-client.webpAutomatické sieťové nastavenie

Zrekapitulujme to: Kým na LAN rozhraní typicky definujeme len IP adresu, pre plnohodnotné pripojenie do internetu je potrebné na WAN rozhraní nastaviť nielen IP adresu, aj aj adresu brány a adresu DNS servera. Tieto údaje sú však často dané poskytovateľom internetu a prideľované cez DHCP, teda oveľa jednoduchšie je využiť toto automatické sieťové nastavenie. K tomu je k dispozícii ponuka IP → DHCP Client, kde stačí len zvoliť správne rozhranie (Interface) a potvrdiť.

Ďalšie podrobnosti v nastavení zatiaľ pre nás nie sú podstatné, v predvolenom stave získame nielen IP adresu a bránu, ale aj DNS server a časový server.

Časový server

15-system-ntp-client.webpV prípade, že DHCP server prideľuje klientovi aj adresu časového servera (NTP), môžeme využiť automatické nastavenie času z neho: v ponuke System → NTP Client stačí začiarknuť voľbu Enabled. Pokiaľ nám časový server nebol pridelený z DHCP, môžeme zadať adresu časového servera (alebo aj viacerých) ručne - napríklad sk.pool.ntp.org, pool.ntp.org alebo time.cloudflare.com.

Aj časový server môžeme použiť akýkoľvek na svete, nie je potrebné riešiť jeho časové pásmo (čas sa eviduje v UTC/GMT).

Konfigurácia koncového zariadenia a NAT

Pokiaľ chceme mať funkčné internetové spojenie IPv4 aj na koncovom zariadení (počítači), musíme mu samozrejme nastaviť:

  • IP adresu s maskou - musí byť z rovnakej siete, ako je na smerovači pre túto sieť LAN;
  • adresu brány - LAN adresu nášho smerovača;
  • DNS server - môže byť ľubovoľný z internetu.

Kým v praxi sa všetky tieto údaje prideľujú automaticky z DHCP servera, zatiaľ ho ešte nevieme vytvoriť a môžeme si experimentovať s manuálnym zadaním adries.

Z hľadiska rýchlosti a efektívnosti sa oplatí spustiť na svojom MikroTik zariadení vlastný „DNS server“ - v skutočnosti ide o „DNS preposielač“ (forwarder), no výhodou je cachovanie DNS dotazov, a teda oveľa rýchlejšie odpovede pri väčšom počte LAN klientov. Zapnutie je jednoduché: vo WinBox ponuke IP → DNS stačí zapnúť voľbu Allow Remote Requests. Prístup je však vhodné na firewalli obmedziť len pre dotazy z LAN - to sa naučíme až v druhej časti kurzu.

Preklad adresy (NAT)

Napriek správnemu zadaniu všetkých potrebných údajov nám v počítači nebude fungovať spojenie s internetom - dôvodom je, že ďalší smerovač (u ISP, či náš domáci smerovač) nepozná našu LAN. Tejto problematike sa budeme venovať podrobne až v druhej časti kurzu, no zatiaľ nám postač jednoduchá aktivácia NAT prekladu: vo WinBox ponuke IP → Firewall → NAT pridáme nové pravidlo a v ňom nastavíme:

  • Out. Interface: ether1-wan (alebo iné WAN rozhranie);
  • Action: masquerade

Vďaka tomu bude náš smerovač „maskovať“ spojenia z LAN za svoju vlastnú IPv4 adresu.

Overovanie spojenia

V prípade riešenia problémov s pripojením do siete / internetu nám prídu vhod diagnostické nástroje, prítomné nielen v počítači, ale aj v sieťovom zariadení MikroTik. Základnú diagnostiku pomocou ping nájdeme vo WinBox ponuke Tools → Ping, kde stačí zadať adresu cieľa do kolonky Ping To a spustiť tlačidlom Start. Ak nás zaujíma celá trasa spojenia, môžeme využiť nástroj Tools → Traceroute, kde je aj šikovná voľba DNS, ktorá zapne zobrazovanie doménových mien všetkých smerovačov na trase.

V nástrojoch môžeme zadávať aj doménové meno cieľa, no prevod na IP adresu sa realizuje v počítači a nie v zariadení! Ak nám v počítači nefunguje DNS preklad a chceme, aby sa vykonal v zariadení, môžeme v termináli (WinBox: New Terminal) použiť príkaz ping {cieľ}.

17-tools-traceroute.webp

Postup diagnostiky

Odporúčaný postup diagnostiky nefunkčného internetového spojenia na koncovom zariadení (počítači):

  1. Dostal počítač IP adresu a bránu? (riešime konfiguráciu LAN na smerovači / DHCP serveri)
  2. Funguje ping na bránu? (riešime masku siete a konfiguráciu LAN)
  3. Funguje ping / traceroute na ľubovoľnú IP adresu v internete, napríklad 1.1.1.1?
    • Ak nie, funguje ping zo smerovača na IP adresu v internete? (riešime konfiguráciu WAN na smerovači)
      • Ak áno, je zapnutý NAT preklad?
  5. Funguje ping na ľubovoľné doménové meno? (riešime nastavenie DNS)
Back to top