Mikrotik HAP Lite - Deel 1

Door fvdberg op dinsdag 17 april 2018 17:00 - Reacties (23)
Categorie: Mikrotik, Views: 2.596

Welkom bij deel 1 van de Mikrotik HAP lite Howto reeks

Onderdeel van Hackers op je netwerk

We gaan gelijk beginnen.

We willen vanuit security overwegingen meerdere netwerken hebben.

Om meerdere netwerken te maken willen we eigenlijk ook de IP reeksen scheiden. Daarmee zien we gelijk duidelijk met welk subnet we te maken hebben. De mooiste optie daarvoor vind ik altijd een IP helper. Die versimpelt het hele verhaal behoorlijk.

Zie https://www.cisco.com/en/...ation/guide/htdhcpre.html

IP helper is een onderdeel van Cisco die op een Cisco device in de DHCP relay implementatie zit... En dus niet op onze Mikrotik. We moeten dus echt hardcore gaan routeren en kunnen ons er niet lui van af maken. Mooi, want daarmee krijg ik gelijk een kans om je echt een kijkje in de keuken van netwerk beheer te geven. En laten we eerlijk zijn...de IP helper op de Cisco is ook een lapmiddeltje en heeft weinig met bewust routeren te maken.

Wizards zijn handig en toegankelijk, dat is leuk maar niet leerzaam. Omdat we toch hardcore gaan kies ik dus ook bewust voor de console. Lekker old school, maar wel heerlijk duidelijk en nog leerzaam ook.

We hebben geen IP Helper op de Mikrotik. All is lost?

Nee, we nu eerst even de overige mogelijkheden bespreken.

Als we geen IP helper hebben.. hoe gaan we dan de boel opsplitsen?

Op de Mikrotik is wel de optie DHCP relay aanwezig...
En ja die kunnen we gebruiken icm een DHCP server met een brede scope.
Zie https://wiki.mikrotik.com/wiki/Manual:IP/DHCP_Relay

Als voorbeeld: 192.168.1.1 - 192.168.254.254 in de DHCP server geeft ons 254 ranges van 254 adressen. Met Subnet mask 255.255.0.0 kunnen we deze allemaal adresseren. Oftewel we moeten er een oplossing tussen plaatsen die alleen het gewenste deel van het subnet door laat. Hier komt DHCP relay in beeld. Hiermee kunnen we een soort van proxy die de aanvragen naar de DHCP beheerd plaatsen per interface en zo toch de DHCP server van ons modem gebruiken.

Dit werkt in de praktijk wel maar is niet de ultieme oplossing die de controle en bijbehorend veiligheidsniveau geeft die we onszelf als doel hebben gesteld. We routeren zo feitelijk ook helemaal niets met onze mikrotik router. We laten dat nog steeds compleet aan ons modem van de provider over. Vanuit het modem kunnen we nog steeds overal bij komen.

En vanuit het netwerk?

Als we op een client het subnet handmatig aanpassen naar 255.255.0.0 kunnen we gewoon op de andere subnetten binnen komen. En dat zullen we ook wel moeten want we moeten voor internet echt de gateway van het modem opvoeren.. Dit zouden we op kunnen vangen met een firewall... maar toch... Eigenlijk willen we echt per interface een eigen DHCP server, gateway, firewall en ip reeks hebben. We gebruiken de Mikrotik met bovenstaande config dus feitelijk enkel als een managed switch.

Kort om: fuck die shit...We gingen Hardcore, en gaan de Mikrotik gebruiken waar hij voor ontworpen is: Routeren. We gaan dus echt all the way. Cisco eat your heart out! IP helpers zijn voor dummy's De keuze voor routeren maakt het wel iets technischer... Maar het blijft Tweakers toch? Ik geloof in jullie!

Om de Mikrotik te configureren gaan we WINBOX gebruiken. Deze verbinden we op het mac adres van de 2e poort van de router. We beginnen met een "lege" Mikrotik. We laden dus geen Default Configuration in. We gaan vervolgens de boel vanuit de commandline interface (console screen) configureren. Dit om er mee bekend te raken.

Eerst maken we bruggen aan:

/interface bridge
add disabled=no name=LAN-bridge
add disabled=no name=LAN2-bridge
add disabled=no name=LAN3-bridge

Hier gaan we nu de Interfaces aanhangen:

/interface ethernet
set 0 disabled=no name=ether1-UPLINK
set 1 disabled=no name=ether2-LAN
set 2 disabled=no name=ether3-LAN2
set 3 disabled=no name=ether4-LAN3


Poort 1 gaat naar ons modem.
Poort 2 is LAN
Poort 3 is LAN2
Poort 4 is LAN3

Meer poorten hebben we niet. Ok. Klaar met poorten voor nu, terug naar de config

LAN willen we als reeks 10.0.0.1 t/m 10.0.0.254 geven.
LAN2 willen we als reeks 192.168.0.1 t/m 192.168.0.254 geven
LAN3 willen we als reeks 172.16.0.1 t/m 172.16.0.254 geven

Bewust maken we dus 3 verschillende subnets in 3 verschillende pools:

/ip pool
add name=lan ranges=10.0.0.1-10.0.0.254
add name=lan2 ranges=192.168.0.1-192.168.0.254
add name=lan3 ranges=172.16.0.1-172.16.255.254

Dit moeten we natuurlijk ook als dhcp servers aanmaken:

/ip dhcp-server
add address-pool=lan disabled=no interface=LAN-bridge lease-time=1d name=LAN
add address-pool=lan2 disabled=no interface=LAN2-bridge lease-time=1d name=LAN2
add address-pool=lan3 disabled=no interface=LAN3-bridge lease-time=1d name=LAN3

In dit voorbeeld kiezen we voor een lease van 1 dag. Een afgegeven IP wordt dus voor minimaal 24 uur gereserveerd.

Bij gasten netwerken die openbaar zijn kan dat misschien beter nog lager worden gezet. 1h bijvoorbeeld, 1 uur.

In netwerken met weinig apparaten kan zelfs voor 1 week worden gekozen (1w)
Ik vind een dag echter mooi zat.

Nu gaan we onze poorten koppelen aan de bruggen:

/interface bridge port
add bridge=LAN-bridge disabled=no interface=ether2-LAN
add bridge=LAN2-bridge disabled=no interface=ether3-LAN2
add bridge=LAN3-bridge disabled=no interface=ether4-LAN3

Nu hebben we 3 fysieke poorten op de Mikrotik met daar op 3 losse netwerken en nu moeten we daar dus de DHCP servers naar laten verwijzen, we willen wel automatisch adressen hebben wanneer we er iets aan hangen:

/ip address
add address=10.0.0.1/24 disabled=no interface=LAN-bridge
add address=192.168.0.1/24 disabled=no interface=LAN2-bridge
add address=172.16.0.1/24 disabled=no interface=LAN3-bridge

De /24 achter het adres staat voor 255.255.255.0 als subnetmask in CIDR notatie. Prima voor een thuis netwerk, laten we dit dus even simpel houden.

Vervolgens moeten we ook nog de adressen van de default gateway toekennen:

/ip dhcp-server network
add address=10.0.0.0/8 comment="lan" dns-server=8.8.8.8 gateway=10.0.0.1 netmask=24
add address=192.168.0.0/24 comment="lan2" dns-server=8.8.8.8 gateway=192.168.0.1 netmask=24
add address=172.16.0.0/16 comment="lan3" dns-server=8.8.8.8 gateway=172.16.0.1 netmask=24

Wederom keert de 24 hier weer terug.

De default gateway wordt onze toegang tot het internet.
De dns server is 8.8.8.8, oftewel google DNS.

De DNS komen we later in een andere blog over de Pi-Hole op terug. Voor nu is het prima.

We hebben nu alleen 1 ding gemist:

Onze default gateway hebben we wel opgevoerd in de DHCP-server, maar dat gaat zo niet werken. Wat we nu nog niet doen is het daadwerkelijke internet verkeer beschikbaar maken. Dit komt aan op ether1-UPLINK en is feitelijk onze toegang tot de DMZ. Dit moeten we dus nog gaan routeren. De wijze hoe heet NAT. NAT is kort voor Network Adress Translation We gaan eerst voor een werkende configuratie zonder IPTV, die kan je namelijk ook rechtstreeks op je modem steken voor nu.

Terug naar NAT

We kijken even in de handleiding:
https://wiki.mikrotik.com/wiki/NAT_Tutorial is een optie, maar het staat iets simpeler in https://wiki.mikrotik.com...o_configure_a_home_router

We gaan beginnen met onze 1e netwerkpoort automatisch een IP op te laten halen op ons modem:

/ip dhcp-client
add interface=ether1-UPLINK add-default-route=yes use-peer-dns=yes

We hebben op dit moment nog steeds geen internet op de poorten.

De volgende stappen in dit verhaal zijn:

- NAT gebruiken als gateway,
- DMZ door laten verwijzen naar de Mikrotik
- Configureren van de firewall
- Port forwarding.

Als we dat onder de knie hebben kunnen we virtuele netwerken aanmaken, en Wifi inclusief meerdere vlans instellen of Mikrotiks koppelen via het LAN of door de lucht. Maar klaar voor nu, anders wordt de serie wel wat kort :)

En wie vindt als eerste de fout in deze blogpost... Ik ben namelijk het aller aller belangrijkste deel bewust vergeten.... De eerste die het in de comments meldt wint eeuwige roem!

Volgende keer gaan we compleet NAT

Volgende: Hackers op je netwerk! 16-04 Hackers op je netwerk!

Reacties


Door Tweakers user Mattie112, dinsdag 17 april 2018 23:24

"aller aller belangrijkste deel bewust vergeten...."

IPv6 natuurlijk :-)

Door Tweakers user fvdberg, dinsdag 17 april 2018 23:25

Nope dat komt nog :)
nee veel simpeler...


Door Tweakers user fvdberg, woensdag 18 april 2018 08:54

Nope die is genoemd. nog simpeler...

Door Tweakers user SpySeiko, woensdag 18 april 2018 09:02

Naam interface waar deze voor gebruikt gaat worden ?

Door Tweakers user Sterk1, woensdag 18 april 2018 09:37

Mattie112 schreef op dinsdag 17 april 2018 @ 23:24:
"aller aller belangrijkste deel bewust vergeten...."

IPv6 natuurlijk :-)
IPv6 is dat niet dat protocol dat al bijna 20 jaar de grote belofte voor de toekomst is en dat ook nog wel 20 jaar zal blijven.......

Door Tweakers user fvdberg, woensdag 18 april 2018 09:41

SpySeiko schreef op woensdag 18 april 2018 @ 09:02:
Naam interface waar deze voor gebruikt gaat worden ?
Nee is al genoemd.

Door Tweakers user fvdberg, woensdag 18 april 2018 09:43

Sterk1 schreef op woensdag 18 april 2018 @ 09:37:
[...]

IPv6 is dat niet dat protocol dat al bijna 20 jaar de grote belofte voor de toekomst is en dat ook nog wel 20 jaar zal blijven.......
Het is wel het protocol die de potentie biedt voor de toekomst, echter is de implementatie bij de providers nog zo dat ik externe adressen door moet natten omdat ik maar 1 IPv6 adres krijg van mijn provider, en dat is al luxe...

Door Tweakers user wizai, woensdag 18 april 2018 12:19

Zou het kunnen dat je alles hebt ingesteld, maar de uplink kabel bent vergeten in te pluggen? :)


Door Tweakers user fvdberg, woensdag 18 april 2018 12:51

Ik ga het zeggen.... Nee de uplink zit er ook bewust nog niet in....
Het admin wachtwoord is nog default

Door Tweakers user Sterk1, woensdag 18 april 2018 12:54

Wat ook een leuk onderwerp is: broadcast over vpn.
Hierdoor kan je bijvoorbeeld iptv streamen naar je ontvanger in je vakantiewoning / caravan.

Dit is een unieke optie van Mikrotik.

Door Tweakers user fvdberg, woensdag 18 april 2018 12:56

Ja dat is een goede! eens over denken... en nog eens een 2e met ac wifi en gbit poorten erbij kopen.

[Reactie gewijzigd op woensdag 18 april 2018 13:16]


Door Tweakers user Luuk1983, woensdag 18 april 2018 13:57

Ik vroeg mij af: waarom begin je praktisch iedere zin op een nieuwe regel? Ik vind het heel onrustig lezen eerlijk gezegd...

Door Tweakers user fvdberg, woensdag 18 april 2018 14:01

Het is stapsgewijs geschreven. Ik snap wat je bedoelt. Komt ook deels door de tekst editor van tweakblogs. Die is wat smal.
Ik zal eens kijken of ik de opmaak wat kan verbeteren om het rustiger te krijgen.

[Reactie gewijzigd op woensdag 18 april 2018 14:08]


Door Tweakers user fvdberg, woensdag 18 april 2018 14:09

@Luuk1984 Zo beter?

Door Tweakers user Luuk1983, woensdag 18 april 2018 16:34

Thanks, ik denk dat het zo een stuk beter leest! Ja die editor is behoorlijk bagger idd.

Door Tweakers user MdBruin, woensdag 18 april 2018 17:04

fvdberg schreef op woensdag 18 april 2018 @ 12:51:
Ik ga het zeggen.... Nee de uplink zit er ook bewust nog niet in....
Het admin wachtwoord is nog default
Dan moet je de lezers wel de kans geven om het te raden ;)

Ander punt vanuit mij, je geeft eigenlijk aan meer privacy en veiligheid te willen hebben. Waarom kies je dan voor de DNS server van Google? Google is nu niet echt het voorbeeld van een bedrijf wat dat respecteert.

Door Tweakers user fvdberg, woensdag 18 april 2018 17:29

Goede opmerking.
Eigenlijk omdat we voor nu gewoon een dns nodig hebben.

Later gaan we de pi als dns cache gebruiken icm pi-hole

Maar je hebt gelijk. Een dns die logging bij houdt is niet echt gewenst. Zeker niet een van een bedrijf als google

Alleen is voor een dns ook snelheid gewenst en dat is iets wat de google dns wel biedt.

Ik zal je opmerking mee nemen. Om zelf een dns te gaan draaien op de pi... dat is ook nog een optie op een virtuele nic.

Door Tweakers user pilon, zaterdag 28 april 2018 14:57

Leuke blogs, ik leer er veel van!
Ik had al een hele tijd een mikrotik router op mijn verlanglijstje staan. Naar aanleiding van je blogs heb ik een besteld, het is een hap ac 2 geworden omdat ik gigabit ethernet nodig heb.
Ook heb ik een pi-hole geïnstalleerd, maar de kpn experiabox v9 staat het niet toe om dns/dhcp instellingen te wijzigen of dhcp uit te zetten. Dus ik kijk uit naar je NAT stukje :D

Door Tweakers user ironman73, zaterdag 28 april 2018 18:46

Vervolgens moeten we ook nog de adressen van de default gateway toekennen:

/ip dhcp-server network
add address=10.0.0.0/8 comment="lan" dns-server=8.8.8.8 gateway=10.0.0.1 netmask=24
add address=192.168.0.0/24 comment="lan2" dns-server=8.8.8.8 gateway=192.168.0.1 netmask=24
add address=172.16.0.0/16 comment="lan3" dns-server=8.8.8.8 gateway=172.16.0.1 netmask=24
Deze ging me iets te snel.
Het is me duidelijk dat je bij, bijvoorbeeld lan, als gateway 10.0.0.1 hebt gekozen. Maar, en dan? Is daarmee de kous af, ik neem aan dat je niet 'zomaar' willekeurig een adres als gateway kan uitkiezen? Je zult toch ook ergens moeten aangeven dat dit de gateway is/wordt?

Verder top, ik heb een HEX PoE en nog niet alles is me duidelijk dus dit is welkom! _/-\o_

Door Tweakers user fvdberg, zondag 29 april 2018 00:54

Je kan inderdaad een willekeurig gateway adres uitzoeken. Komt goed in deel 2.


Om te kunnen reageren moet je ingelogd zijn. Via deze link kun je inloggen als je al geregistreerd bent. Indien je nog geen account hebt kun je er hier één aanmaken.