剛剛才測試時, 發覺 winbox > log 跳出不尋常的訊息. 在之前測試 web-proxy 時, 把 web-proxy log 打開了.
竟然有人連上來偷用小弟的 web-proxy, 反查應該是來自烏克蘭, 在 drop 對方之前先在 firewall filter > log 下來看看
firewall rule 這塊還學的不是很透徹, 看來規則要設的更嚴謹些, service 該對誰開放都要訂的很清楚才是.
什麼是 Static interface & Dynamic interface?
對於初次使用 RouterOS 的 USER 一定會對於 PPP 裡面的設置感到困惑, 如下圖, 在 PPP > Interface > add 裡面可以新增一 PPTP server, 但它的右側卻又有一 PPTP Server 的選項. 這兩者到底有何不同.
其實小弟一開始也搞不清楚為何要如此設計, 反正就跟著前輩的路走, 這台 RouterBoard 要當做 PPTP VPN Server, 就去 enable "PPTP Server" 就好了.
後來看了官方的文件, 才了解了這兩者的不同.
官方文件: Interface/PPPoE
(節錄)
There are two types of interface (tunnel) items in PPTP server configuration - static users and dynamic connections. An interface is created for each tunnel established to the given server. Static interfaces are added administratively if there is a need to reference the particular interface name (in firewall rules or elsewhere) created for the particular user. Dynamic interfaces are added to this list automatically whenever a user is connected and its username does not match any existing static entry.
簡單說: 假設我們必須對於連線(tunnel)加以'控管',那麼就利用 interface add 的功能, 建立一 static interface, 那麼在之後的 firewall rule 就能夠透過這個 interface 來管理, 但如果僅是 enable 預設的 server, 那麼之後的 tunnel 是在實際連線時才動態生成.(並不是說 dynamic interface 不能以 ip firewall 來管制, 還是可以透過 ip, service type... 來設置)
例如:
如下, server 和 client 以 SSTP 建立 tunnel, 在 server 上建立一 static interface.
但如果是使用 dynamic interface. 系統在連線時才自動產生一個界面(如下 sstp-sstp1), 而前方的'D'代表這是 dynamic, 當連線中斷後, 這個 Interface 也會自動刪除.
ps: 不管是 static interface or dynamidc interface, 假設你欲使用 PPTP server, 那麼都一定要 enable 該功能 (/interface pptp-server server set enable=yes)
FB: Pctine
官方文件: VRRP Example
一般我們上網時必須在 PC 上設置 default gateway(或是透過 DHCP server 配置參數), 例如 GW=192.168.1.254, 表示要連上 Internet 都需要從該 Router 出去, 但萬一這台 Router 發生故障時, 那麼所有 LAN 端的電腦就無法上網了.
而 VRRP 主要的用意就是利用多台 Router 達到備援的目的, 當 master router 有狀況時, backup router 可以自動接手, 使得連線不致中斷, 至於更詳細有關於 VRRP 的說明, 就要自行 google 了.
這裡以二台 RouterOS device 為例. RB951G & RB450G, 這二台 Router 都連至 Internet, 以 RB951G 為 Master Router, 而 RB450G 為 Backup Router.
(圖片引自官網)
RB950G(R1)
# 在 etherx-lan 下新增一 vrrp interface
/interface vrrp
add interface=ether2-LAN name=vrrp1 priority=150
# R1 IP=192.168.38.1, vIP=192.168.38.254
/ip address
add address=192.168.38.1/24 interface=ether2-LAN
add address=192.168.38.254/24 interface=vrrp1 vrid=1
RB450G(R2)
# 在 etherx-lan 下新增一 vrrp interface
/interface vrrp
add interface=ether2-LAN name=vrrp1 priority=100
# R2 IP=192.168.38.2, vIP=192.168.38.254
/ip address
add address=192.168.38.2/24 interface=ether2-LAN
add address=192.168.38.254/24 interface=vrrp1 vrid=1
這樣大致就完成了, 而 'RM' 代表 Running & Master, 'B' 代表 Backup, 此時將 RB950G lan cable 拔除, RB450G 就會接手為 default gateway.
其他注意事項
官方文件大約也僅是點到為止, 但實務上仍然有許多要注意的地方, dhcp server 如何設置? WAN IP 如果是固定IP?
如同前面的例子, 假設今天斷線的是 R1 WAN 端的線路, 而我們 vrrp interface 是建在 LAN interface 上, 因為 R1 & R2 router 在 LAN 端還是彼此看的到對方, 那麼 R2 router 此時並不會接手, 所以 client 此時並無法上網, 或許 user 必須在 WAN 端也實作出另一層 VRRP 的機置, 透過 2WAN router + 2LAN router 交叉備援.
透過 VRRP 使得 client 連上 Internet 上網不中斷, 在 RouterOS 上非常容易設置, 但如果此時又涉及內部有 server 服務器時, 要考量的地方就不少了. user 可以搭配 RouterOS VRRP 的 on-master & on-backup script 做一些必要的切換工作.
實例:
小弟是使用中華電信 PPPoE, 以 @ip.hinet.net 連線取得固一IP, 如前面所提, 使用兩台 MikroTik Router 做 VRRP, 那麼在切換時, 又要保持 WAN IP 不能變動, 此時並無法在 R1 & R2 router 上都同時設置 pppoe-client 以 "@ip.hinet.net" 帳號登入. 那麼我們只要在兩端的 router on-master & on-backup 時寫些 script, 適時的去 enable & disable pppoe-out1 interface, 就可以達成目的了.
ps: 如果 MikroTik 能夠推出 High-Available 的機置會更方便!
FB: Pctine
官方文件: System/Watchdog
RouterOS 內建一 watchdog 機置, 當系統無法 ping 到指定的 host/gateway or 硬體運作不正常時, 可自動 reboot 裝置, 試圖使得整體運作恢復. 這就和我們一般 PC 運作不順時重新開機的做法類似, 只是 RouterOS 為自動偵測.
System > Watchdog 設定畫面如下:
官方文件寫的很詳細, 但小弟看的很模糊, 茲解釋如下;
在 RouterOS 有所謂的 software(ping) watchdog & hardward watchdog, 所謂 Software watch dog 即上圖在 Watch Address 指定一 address, 如果你是用固定 IP, 就設定為對接 gateway 的 IP, 基本上就是設置一個足以驗證是否連線正常的 IP address. 而 Ping Start After Boot 此處預設值為 5min, 也就是 Router 開機後, 會在 5min 後開始去 ping watch address, 每隔 10 秒 ping 一次, 監測是否連線正常, 如果連續 ping 6 次都沒有回應, 那麼 Router 就會自動重啟, 並在 system log 註明此一事件, 所以如果設定的 watchdog address 無回應, 在上述的設定下, 系統每 6 分鐘會 reboot 一次.
其他的 Automatic supout 為是否自動產生支援文件或是寄出. 就不多做解釋.
而什麼是 Hardware watchdog? 在上圖中的 "Watchdog Timer" 即為 Hardward watchdog, 它和剛才提的 software(ping) watchdog 並不相干, 所以即使你 disable 此選項, 所設定的 software watchdog 仍會繼續運作. 而 Hardward watchdog 是 RouterBoard 某些系列機種在 hardware/firmware 上已經設計在上面的, 當 router kernel 自己發現自身已經"不行"了(panic), 就把它想像成 router死機了, 它會自發性 reboot 自己.
FB: Pctine
內文搜尋
從 APP 打開
X