Mikrotik CubeSA 60Pro ac

Mikrotik CubeSA 60Pro ac

Hız ve kararlılık için kablolara güvenmeniz gereken günler geride kaldı. 60 GHz çözümleri, fiber benzeri hız ve kararlılık sunarken, kurulum ve bakımda size bol miktarda zaman ve para tasarrufu sağlar. En yeni Cube 60Pro ürün serimiz, daha da yüksek mesafeler, kararlılık, hız ve rahatlık için 802.11ay standardı ile 60 GHz ağ bağlantısının avantajlarını bir sonraki seviyeye taşıyor.

Birden fazla cihaz bağlamanız gerekiyorsa – CubeSA 60Pro ac sektör antenine bakın . Noktadan çok noktaya modda yaklaşık 600 metre mesafelere ulaşan bu cihaz, canlı gösteriler, festivaller ve atölyelerden şantiyelere, pop-up aşı kliniklerine vb. her türlü etkinlik yönetimi için çok yardımcı olabilir. Her yerde karmaşık kablolu kurulumlara gerek yok – taşınabilir ve kullanışlı CubeSA 60Pro ac , size yardımcı olur! Kurulumunuza bağlı olarak, mesafe daha da fazla olabilir. Örneğin MikroTik nRAY gibi cihazlarla 800 metreye kadar çıkabilirsiniz .

Otomatik 5 GHz yedekleme bağlantısıyla kesinti süresini unutun

60 GHz frekansı, kalabalık kablosuz spektrumdan etkilenmez, yüksek hız ve kapasite sunar. Ancak bazen kötü hava koşullarında zorlanabilir. Bu nedenle her iki Cube 60Pro cihazı da otomatik 5 GHz yük devretme özelliğine sahiptir. 5 GHz aralığının 60 GHz’e ayak uydurabilmesi için güçlü bir yönlü anten ekledik.

Daha fazla dayanıklılık, daha az istenmeyen ilgi

Daha iyi montaj ve soğutma seçenekleri için muhafazayı güçlü bir metal tabana sahip olacak şekilde yükselttik. Küp form faktörü saf pratiklikten doğar: dayanıklı, göze batmayan ve kompakttır.

CubeSA 60Pro ac CubeSA 60Pro ac

CubeSA 60Pro ac

Özellikler

Detaylar
Ürün Kodu CubeG-5ac60ay-SA
Mimari KOL 32bit
İşlemci IPQ-4019
CPU çekirdek sayısı 4
CPU nominal frekansı 716 MHz
RouterOS lisansı 4
İşletim sistemi RouterOS
RAM boyutu 256 MB
Depolama boyutu 64 MB
Depolama türü FLAŞ
MTBF 25C’de yaklaşık 200.000 saat
Test edilmiş ortam sıcaklığı -40°C ila 70°C
Önerilen fiyat 199,00 $

Güçlendirme

Detaylar
DC giriş sayısı 1 (PoE-GİRİŞİ)
Maksimum Güç Tüketimi 13W
Soğutma tipi Pasif
giriş noktası 802.3af/at
Giriş Voltajında ​​PoE 18-48V

Kablosuz özellikleri

Detaylar
Kablosuz 5 GHz Maks veri hızı 433 Mbit/sn
Kablosuz 5 GHz zincir sayısı 1
Kablosuz 5 GHz standartları 802.11a/n/ac
5 GHz için anten kazancı dBi 11.5
Kablosuz 5 GHz çip modeli IPQ4019
Kablosuz 5 GHz nesil kablosuz ağ 5

Ethernet

Detaylar
10/100/1000 Ethernet bağlantı noktası 1

Diğer

Detaylar
GNSS standartları Küresel Konumlama Sistemi

Sertifikasyon ve Onaylar

Detaylar
sertifika CE, FCC, IC, EAC, ROHS
IP IP54

Kablosuz özellikleri

5 GHz İletim (dBm) Duyarlılık Al
6MBit/sn 22 -93
54MBit/sn 18 -74
MC0 22 -93
MCS7 17 -71
MCS9 15 -68

Mikrotik Hakkında Daha Fazla Bilgi Almak İçin Tıklayınız

CubeSA 60Pro ac, MikroTik, MikroTik Türkiye, Mikrotik Cihazlar, mikrotik.com, wi.com, ip-sa.com, i.mt.lv, poyraznetwork

Mikrotik CCR2004-1G-2XS-PCIe

Mikrotik CCR2004-1G-2XS-PCIe Mikrotik CCR2004-1G-2XS-PCIe Mikrotik CCR2004-1G-2XS-PCIe

Mikrotik CCR2004-1G-2XS-PCIe

Sunucunun içine gerçek bir CCR2004.. ekleyerek sunucu odanızda yerden tasarruf edin! Bu benzersiz ürün, basit bir 2x 25 Gigabit PCIe Ethernet adaptörünü tam teşekküllü bir yönlendiricinin etkileyici yetenekleriyle birleştirir.

Varsayılan olarak, PCIe arabirimi dört sanal Ethernet arabirimi olarak görünecektir. 25G SFP28 kafeslerine geçiş modunda iki arayüz. Kalan iki sanal Ethernet-PCIe arabirimi, yönetim erişimi için Gigabit Ethernet bağlantı noktasıyla köprülenir. Burada tamamen işlevsel RouterOS çalıştırdığımız için kullanıcı tüm arayüzleri ve ayarları özgürce yapılandırabilir.

Bu CCR cihazının NIC olarak çalışmasını sağlamak için yeni bir Geçiş modu uygulandı. Temel olarak, donanım bağlantı durumlarını da geçebilen bir FastForward FastPath modu.

Bu NIC, Jumbo çerçevelerle kablo hızına (100 Gbps) ulaşabilir. Çoğu sunucu kurulumunda bu CCR ağ kartının darboğaz olmamasını sağlar.

4 GB RAM , 128 MB NAND depolama alanı ve güçlü bir dört çekirdekli ARMv8 64-bit CPU ile bu cihaz pek çok şeyin üstesinden gelebilir: güvenlik duvarları, ev medyası ve dosya sunucuları için kullanıcı yönetimi ve erişim denetimi ve hatta bazı trafik denetimi veri merkezlerinde – bağımsız bir yönlendiriciye ihtiyaç duymadan.

Bu form faktörü, aklınızda tutmanız gereken belirli sınırlamalarla birlikte gelir. ASIC tabanlı kurulumlara kıyasla CCR NIC kartının açılması biraz zamana ihtiyaç duyar. Ana sistem CCR kartından önce çalışırsa, mevcut cihazlar arasında görünmez. BIOS’ta açıldıktan sonra bir PCIe cihazı başlatma gecikmesi eklemelisiniz. Veya PCIe cihazlarını HOST sisteminden yeniden başlatmanız gerekecektir.

Bu alışılmadık cihaz için benzersiz kullanım durumlarınızı görmek için sabırsızlanıyoruz: Güçlü bir Bulut Çekirdek Yönlendirici ile birleştirilmiş basit bir yüksek hızlı ağ kartı.

RouterOS’un şiddetli gücü ile sunucunuzun potansiyelini açığa çıkarın!

CCR2004-1G-2XS-PCIe CCR2004-1G-2XS-PCIe

CCR2004-1G-2XS-PCIe

Özellikler

Detaylar
Ürün Kodu CCR2004-1G-2XS-PCIe
Mimari ARM 64bit
İşlemci AL52400
CPU çekirdek sayısı 4
CPU nominal frekansı 1500 MHz
RouterOS lisansı 6
İşletim sistemi RouterOS
RAM boyutu 4 CİGABAYT
Depolama boyutu 128 MB
Depolama türü NAND
MTBF 25C’de yaklaşık 200.000 saat
Test edilmiş ortam sıcaklığı -20°C ila 60°C
Önerilen fiyat 199,00 $

Güçlendirme

Detaylar
Maksimum Güç Tüketimi 29W
Ekler olmadan maksimum güç tüketimi 22W
Soğutma tipi 1

Ethernet

Detaylar
10/100/1000 Ethernet bağlantı noktası 1

Lif

Detaylar
25G SFP28 bağlantı noktası sayısı 2

Diğer

Detaylar
CPU sıcaklık monitörü Evet
Mevcut Monitör Evet
PCB sıcaklık monitörü Evet
Gerilim Monitörü Evet

Sertifikasyon ve Onaylar

Detaylar
sertifika CE, EAC, ROHS
IP 20

 

Mikrotik Hakkında Daha Fazla Bilgi Almak İçin Tıklayınız

CCR2004-1G-2XS-PCIe, MikroTik, MikroTik Türkiye, Mikrotik Cihazlar, mikrotik.com, wi.com, ip-sa.com, i.mt.lv, poyraznetwork

Mikrotik KNOT LR9 Kit

KNOT LR9 Kit KNOT LR9 Kit KNOT LR9 Kit KNOT LR9 Kit

Mikrotik KNOT LR9 Takımı

Farklı arayüzlere ve iletişim protokollerine sahip bu kadar çok cihazı yönetmenin zorluğunu hepimiz biliyoruz. Ayak uydurmak için kurulumunuza yeni çözümler eklemeye devam ediyorsunuz, ancak eski cihazlar hala onları bırakamayacak kadar iyi. Bunların hepsini size doğru hizmet edecek tek bir sisteme nasıl entegre edersiniz? Kolay – KNOT’u kullanarak onları birbirine “bağlarsınız”!

Artık üretimde olmayan cihazlarınız, bu yıl çıkan cihazlarınız veya hatta teknisyeniniz tarafından sunulan bazı özel çözümler olup olmadığı önemli değil – KNOT hepsini halledebilir!

KNOT LR9 kiti, LoRa® teknolojisi için kullanıma hazır bir IoT Ağ Geçidi çözümüdür. Dar Bant ve CAT-M teknolojisini kullanır. Düşük maliyetli, düşük bant genişliğine sahip hücresel bağlantı nedeniyle, dünya çapında sayısız mobil operatör tarafından desteklenmektedir. Bu kit, herhangi bir genel veya özel LoRa® sunucusuna önceden yüklenmiş bir UDP paket iletici içerir. 8 farklı kanal desteği, Konuşmadan Önce Dinle (LBT) ve spektral tarama özellikleriyle bu ürün, cazip fiyatıyla sizi şaşırtacak.

Ethernet için yedek bağlantı veya ağınız için bir yönetim kanalı olarak kullanılabilir. NB/CAT-M aylık planı LTE’den çok daha ucuzdur. Neden ihtiyacınız olmayan bant genişliğine fazladan para harcayasınız? Örneğin, günde yalnızca birkaç megabayt ile sıcaklık ve nem sensörleri olan Düğümle çalışan bir otomat makinesini yönetebilirsiniz!

KNOT çok sayıda protokol desteği ve bağlantı seçeneği sunar: 2,4 GHz kablosuz, Bluetooth, LoRa®, PoE-in ve PoE-out ile 2x 100 Mbps Ethernet portları, Micro-USB. En düşük maliyetle maksimum kolaylık!

Bluetooth arayüzü ile, Bluetooth reklam paketlerine dayalı varlık takibi ve telemetri için KNOT’u kullanabilirsiniz. KNOT, reklam verileri gönderen herhangi bir BLE etiketini destekler. iBeacon, Eddystone veya başka bir format. Yalnızca ilgili paketleri iletmek ve diğerlerini yok saymak için güçlü filtrelere sahiptir.

Bu kit, en olağandışı durumlarda bile size yardımcı olabilir. Yerleşik GPIO’larla ilgili kısmı hatırlıyor musunuz? Bu pinler her türlü analog sensörü okumak, tek kartlı bir bilgisayar veya diğer özel elektroniklerle etkileşim kurmak için kullanılabilir – hobi kitleri, DIY robotik… Bu, bir İsviçre Çakısı yerine tüm İsviçre Ordusunu almak gibi!

KNOT, çoğu dış mekan kabin IoT uygulaması için de harika bir araçtır. Tarım ve varlık takibinden soğuk zincir izlemeye, endüstriyel üretime kadar her türlü kurulumla kolay entegrasyon sağlayan bir DIN ray montajı ile birlikte gelir.

MikroTik KNOT ile en uzak veya zorlu alanlara esnek, düşük maliyetli bağlantı getirin!

KNOT LR9 Kit KNOT LR9 Kit                                                            KNOT LR9 Kit

Özellikler

Detaylar
Ürün Kodu RB924iR-2nD-BT5&BG77&R11e-LR9
Mimari MIPSBE
İşlemci QCA9531
CPU çekirdek sayısı 1
CPU nominal frekansı 650 MHz
RouterOS lisansı 4
İşletim sistemi RouterOS
RAM boyutu 64 MB
Depolama boyutu 128 MB
Depolama türü NAND
MTBF 25C’de yaklaşık 200.000 saat
Test edilmiş ortam sıcaklığı -40 °C ila 70 °C
Önerilen fiyat 199,00 $

Güçlendirme

Detaylar
MicroUSB giriş Voltajı 5-5V
DC giriş sayısı 3 (MicroUSB, DC jakı, PoE-IN)
DC jak girişi Voltaj 12-57V
Maksimum Güç Tüketimi 23W
Ekler olmadan maksimum güç tüketimi 5W
Soğutma tipi Pasif
giriş noktası 802.3af/at
Giriş Voltajında ​​PoE 18-57V

PoE çıkışı

Detaylar
PoE çıkış portları eter2
PoE çıkışı 57V’a kadar Pasif PoE
Toplam çıkış gücü 12

Kablosuz özellikleri

Detaylar
Kablosuz 2,4 GHz Maksimum veri hızı 300 Mbit/sn
Kablosuz 2,4 GHz zincir sayısı 2
Kablosuz 2,4 GHz standartları 802.11b/g/n
2,4 GHz için anten kazancı dBi 1.5
Kablosuz 2,4 GHz çip modeli QCA9531
Kablosuz 2,4 GHz nesil Wi-Fi 4

Ethernet

Detaylar
10/100 Ethernet bağlantı noktası 2

çevre birimleri

Detaylar
SIM yuvası sayısı 1 Modem (Nano SIM)
MiniPCI-e yuvaları 1
Seri konsol bağlantı noktası RS485
USB bağlantı noktası sayısı 1
USB yuvası türü microUSB tipi AB
Maksimum USB akımı (A) 1

Diğer

Detaylar
PCB sıcaklık monitörü Evet
Gerilim Monitörü Evet
Bluetooth sürümü 5.2
Bluetooth RF konektör tipi uUFL

Sertifikasyon ve Onaylar

Detaylar
sertifika CE, FCC, IC, EAC, ROHS

Kablosuz özellikleri

2.4 GHz İletim (dBm) Duyarlılık Al
1MBit/sn 22 -96
11MBit/sn 22 -89
6MBit/sn 20 -93
54MBit/sn 18 -74
MC0 20 -93
MCS7 16 -71

 

Mikrotik Hakkında Daha Fazla Bilgi İçin Tıklayınız

MikroTik KNOT, MikroTik, MikroTik Türkiye, Mikrotik Cihazlar, mikrotik.com, wi.com, ip-sa.com, i.mt.lv, poyraznetwork

MikroTik Router Üzerinde Firewall Yapılandırılması

MikroTik Firewal Yapılandırılması MikroTik Firewal Yapılandırılması

MikroTik Router Üzerinde Firewall Yapılandırılması

Firewall: Firewall, Mikrotik Router tarafından kontrol edilen, giden ve gelen ağ trafiğini kontrol eden bir ağ güvenlik işlemidir. Bugün web sitesi ve web sitesi filtrelemesinin nasıl engelleneceğini öğreneceğiz. ağımızdaki belirli bir web sitesini engelleyebiliriz. Bugün Facebook ve YouTube’un ağımızda nasıl reddedileceğini göstereceğiz.

Adım 1: IP > Firewall > Katman 7 protokolleri + Ad=Siteyi engelle > Normal İfade ^.+(facebook|youtube).*$ Uygula>Tamam

MikroTik Firewal Yapılandırılması

Adım 2: IP > Firewall > Filtre Kuralları + Genel > Zincir=İlet > Kaynak. Adres=172.16.0.100 Uygula> Tamam

Adım 3: IP > Firewall > Kuralları Filtrele + İlerleme > 7 Katman protokolü= Siteyi engelle > Uygula > Tamam’ı seçin


Adım 4: IP > Firewall > Kuralları Filtrele > Eylem > bırak > Uygula > Tamam

MikroTik Firewal Yapılandırılması

Şimdi her şey tamamen kuruldu. Artık Dizüstü Bilgisayarınızın IP’sini 172.16.0.100 ayarlayabilir ve Facebook ve YouTube’a göz atabilirsiniz.
Facebook ve YouTube’a göz attığınızda, erişimin reddedildiğini gösterecektir.

Bireysel IP için Firewall yapılandırması:

Bireysel IP’ye nasıl izin verilir: Bireysel IP adresi oluşturmak istiyorsanız, her siteye göz atacaksanız, bu kuralın altında oluşturabilirsiniz.

Adım 1: IP > Firewall > Filtre Kuralları + Genel > Zincir=İlet > Kaynak Adresi=192.168.1.98 > Uygula > Tamam

MikroTik Firewal Yapılandırılması

step2: IP > Firewall >İşlem =Kabul Et > Uygula >Tamam

MikroTik Firewal Yapılandırılması

step3: IP >Firewall > Kuralları Filtrele > Kuralı kabul et seçeneğine tıklayın ve sürükleyin (kabul kuralının üzerinde olmalıdır)

TEKNİK DESTEK İÇİN TIKLAYINIZ

obifi, wi, logsistemleri, ayzbilisim, hmsotel, d2, mikronbilgisayar, bilgi.wi.com.tr

Mikrotik Kurulumu, MikroTik WinBox, Mikrotik eğitimi, Mikrotik oturum açma, MikroTik, MikroTik Türkiye

Mikrotik DHCP ile IP adresi Sabitleme

Mikrotik DHCP ile IP adresi Sabitleme Mikrotik DHCP ile IP adresi Sabitleme Mikrotik DHCP ile IP adresi Sabitleme

Mikrotik DHCP ile IP adresi Sabitleme

Bir çok kurulumda DHCP servisi etkin yapıldığı zaman statik bölge tanımlanmamaktadır. Statik bölgenin tanımlanmaması ileriye dönük IP çakışması yaratacaktır. Bunun yanında özel bir cihazın IP adresinin değişmesi gibi olaylar ile karşılaşılacaktır. Her DHCP sunucusunda mutlaka IP adresini sabitlemenin bir yolu bulunmaktadır.

Mikrotik üzerinde ip adresini sabitlemeden önce

DHCP sunucusunu yapılandırırken mutlaka statik bölge olarak adlandırdığımız bir boşluk bırakın. Örneğin 192.168.1.0/24 subnete sahip bir network için başlangıç-bitiş IP adreslerini belirtmeniz her zaman avantajınıza olacaktır. Network içinde bulunan cihazlar göz önünde bulundurularak (sunucular,yazıcılar,nvr,dvr..) başlangıç-bitiş IP adresleri belirlenebilir. Kabaca 10 adet statik IP vereceğiniz bir network için başlangıç 192.168.1.20, bitiş 192.168.1.254 vermek uygundur.Böylece 20 adet boş IP adresi elinizin altında duracaktır.

Bu IP adreslerini kullandıktan sonra DHCP sunucusu hiç bir şekilde adresleri aralıkta olmadığı için dağıtmayacaktır.

DHCP sunucusu IP adresi dağıtırken kiralama süresi olarak süreyi de verir. Bu süre doluncaya kadar atanan IP adresi ilgili Hosta atanmıştır.Sözünü ettiğimiz kiralama süresini ortalama olarak 1 gün vermeniz yeterlidir.

Bu satıra kadar yazdığımız öneriler genelde saha ortamlarında bilinçsiz arkadaşlar tarafından uygulanmamaktadır. Bundan kaynaklı olarak zaman zaman IP çakışması, IP adresinin değişmesi gibi bir sürü şikayet gelmektedir. Eğer Mikrotik kullanılan bir yer ise ve networkte IP değiştirilmesine izin verilmiyorsa o zaman yapılacak en güzel hareket IP adresini mikrotik üzerinden sabitlemek yada ilgili IP adresini ilgili MAC adresine atamaktır.

DHCP tarafından atanan IP adresinin Sabitlenmesi

Winbox ile mikrotik cihazınıza bağlanıp soldaki menüden IP>DHCP server seçeneğini seçin.

Açılan pencerede Leases sekmesine geldiğinizde karşınıza aşağıdaki şekilde pencere gelecektir.

Mikrotik DHCP ile IP adresi Sabitleme

Burada Mikrotik tarafından atanan ip adreslerini görebilirsiniz. Eğer bu pencerede çok fazla IP adresi varsa başlıklara tıklayarak sıralama şansınız olacaktır. Kısa yoldan arama yapmak isterseniz sağ üst köşede bulunan “find” bölümünü kullanarak bulabilirsiniz.

Statik yapmak istediniz IP adresini bularak çift tıklayın.

Mikrotik DHCP ile IP adresi Sabitleme

Açılan pencerede sağ tarafta bulunan butonlara bakacak olursak “Make Static” butonunu göreceksiniz. Buna basmanız durumunda artık ilgili IP adresi ilgili MAC adresine atanmış olacaktır.

Bu şekilde DHCP servisi tarafından atanan IP adresini sabitlemiş olduk. Fakat bu işlemden sonra IP adresini değiştirmek istersek tekrar “Leases” penceresine gelip statik yaptığımız IP adresini seçip üzerine çift tıklayın.

Mikrotik DHCP ile IP adresi Sabitleme

Açılan pencerede “Address” kısmındaki IP adresini değiştirip “OK” butonuna basın. Bu işlemden sonra Hostun yeni IP adresini alabilmesi için 2 seçenek var.Ya kiralama süresi bitince kendinin almasını bekleme yada network bağlantısını kesip tekrar bağlamak yeterli olacaktır.

DHCP ip adresi vermeden önce IP adresinin boşta olup olmadığını kontrol etmektedir. IP adresi listesinde yoksa ve networkte aktif değilse IP adresi atayacaktır. DHCP aralığında kalan bir IP adresini bir cihaza elle vermek zorunda olduğunuzu varsayarsak, cihaz açık olduğu sürece IP adresi başka bir cihaza atanmaz. Fakat cihaz bir şekilde kapanır ise işte o zaman IP adresi DHCP tarafından başka bir cihaza atanabilir.

Bunun önüne geçmek için tekrar “Leases” penceresine dönüyoruz. Sol üstte bulunan “+” butonuna basıyoruz.

Mikrotik DHCP ile IP adresi Sabitleme

Karşımıza gelen pencerede ihtiyacımız olan 2 parametre var. İlki atanacak IP adresi ikincisi ilgili makinanın MAC adresidir. Doğru şekilde girildiğinde “Ok” butonuna basılıp listeye ekleyin. Bu sayede Bu DHCP servisi IP adresini başka şekilde başka cihaza atamayacaktır.

İlgili Makaleler İçin Tıklayınız

 

Dhcp, ip, ip adresi, ip-mac, make statik, mikrotik, pars, rezerve, statik ip, MikroTik, MikroTik Türkiye,

Mikrotik Neden Kullanılır ?

Mikrotik Nerelerde Kullanılır Mikrotik Nerelerde Kullanılır Mikrotik Nerelerde Kullanılır Mikrotik Nerelerde Kullanılır Mikrotik Nerelerde Kullanılır Mikrotik Nerelerde Kullanılır

Mikrotik Neden Kullanılır ?

Kişilerin mikrotik ile neler yapılabileceğinden bihaber olduklarını keşfedince en mantıklı ve yararlı yazının bu başlık olabileceğini düşünerek bildiklerimi gözden geçirip ufak çaplı bir araştırma ile sizlere bir yazı hazırladık.

Şimdi gelelim asıl konumuza. Mikrotik markasını duyan ama cihazlarını bilmeyenler en çok “Ne işe yarar? Neden Kullanılır?, Nerede Kullanılır?” gibi sorular sormaktadırlar. Bu yazı ile bazı konulara ışık tutmak istesem de eminim unuttuğum yada atladığım konular karanlıkta kalacaktır.

Öncelikle şunu belirtmek istiyorum. Bu yazıyı anlamanız için temel network bilgisine ihtiyacınız var. Bu konuda nette bolca makale bulabilirsiniz. Ben çok derine inmeden bu cihazlar ile neler yapabiliriz? Nerelerde kullanabiliriz? Ne gibi senaryolarda çalıştırabiliriz? gibi konuları ele alacağım.

Günümüzde gerek bilişim alt yapıları gerek insan ilişkileri anlamında network tartışmasız gündemde olan bir konudur. Ama bizim konumuz bilişim alt yapıları olduğu için konuyu fazla dağıtmadan başlarsak; bilişim alt yapılarını yönetmek için bir çok marka bir çok çeşitlilikte cihaz üretmiş ve üretmeye devam etmektedir. Mikrotik firması da bu konuda 1995 yılından beri çalışmalarına devam etmektedir. Fiyat ve performans tarafından bakarsak ulaşılması güç olmayan Routerboard ailesi bir çok ihtiyacı karşılamaktadır.

Mikrotik Firması; Linux tabanlı RouterOS işletim sistemini hem yazılım olarak hemde kendi ürettiği donanımlar ile birleştirerek bize sunmaktadır. Yazılım olarak satın alıp bir x86 işlemciye sahip olan bilgisayarlardan router elde edebiliriz. Yada sanallaştırma ortamımız varsa kurup kullanabiliriz. Ama bana maliyeti düşürmek adına donanım ile satın almak ve kullanmak daha mantıklı gelmektedir.

Mikrotik Routerboard ailesi temelde Router olan cihazlardan ibarettir. Fakat firma radikal kararlar alarak router üzerine bir çok modül geliştirmiş ve çok yönlü bir cihaz ortaya çıkarmıştır. Temelde Router olan cihazlar hemen hemen tüm network gereksinimlerini karşılayabilecek esnek cihazlar haline gelmişlerdir.

Mikrotik ürünleri Ipv4 ve Ipv6 temelli tüm networklerde kullanılabilirler. Kullanım amaçları ihtiyaca göre değişsede genelde Firewall,DNS Server,VPN Server, Hotspot Gateway, AP gibi spesifik görevlerde rol alabilirler.

Mikrotik ile neler yapabilirim ?

Router olarak Kullanılabilir.

Cihazlar temel olarak Router olduğu için aynı ortamda bulunan, aynı türdeki farklı networklerin birbirleri ile konuşması sağlanabilir. İhtiyaca göre interface bazında olabileceği gibi VLAN bazında da konuşmaları mümkündür.

Firewall olarak kullanılabilir.

Eğer network ortamınızda next generation güvenlik duvarından ziyade temel işlemleri yapmak isterseniz mikrotik yeterli olacaktır. Giren veya Çıkan trafik üzerinde Protokol ve port bazında networkü kontrol edebilir ve istediğiniz protokolleri veya portları drop ya da accept edebilirsiniz. ICMP/TCP/UDP akışı içerisinde Layer7 modellerini bulup yönetim sağlayabilirsiniz.  Protokol ve port bazlı saldırıları kural yazarak engelleyebilirsiniz.

Torrent,ares,p2p.. gibi dosya paylaşımlarını engelleyebilirsiniz.

Hotspot Gateway olarak kullanabilirsiniz.

Kimlik doğrulamalı wifi yayını yapmak isterseniz mikrotik içerisindeki dahili Radius ile birlikte User manager modülünü kullanarak gerekli ayarları yapabilirsiniz. İsteğe bağlı olarak farklı ortamlardaki Radius serverlar ile bağlantısını sağlayıp kullanabilirsiniz. API kullanarak kendi uygulamalarınızı yazıp Hotspot tarafını isteğinize uygun şekillendirebilirsiniz.

Bant genişliği kontrolü yapabilirsiniz.

Ağınızdaki internet kullanımını sayısal değerlerle kısıtlayabilirsiniz. Örnek olarak 10 kullanıcı için 10 Mbit değerindeki bant genişliğini herkese max 1 Mbit düşecek şekilde ayarlayabilirsiniz. Yada belli kullanıcılara 2 Mbit kalanı da diğerlerinin paylaşmasını sağlayabilirsiniz.

Farklı protokoller yada uygulamalar için bant genişliği atayabilirsiniz. Örnek olarak VOIP için 5 Mbit ayırıp kalan bant genişliğini farklı değerlerde kullanıcılara paylaştırabilirsiniz.

DHCP sunucu olarak kullanabilirsiniz.

Ağınızda DHCP kullanmak isterseniz ortamda bulunan mikrotik üzerinde IP dağıtılmasını sağlayabilirsiniz. İhtiyaca göre atanan IP adreslerini sabitleyebilir yada IP adresini değiştirebilirsiniz. Aynı zamanda özel ihtiyaçlarınız için “options” kısmından farklı DHCP için alt seçimler tanımlayabilirsiniz.

DHCP sunucunuz varsa mikrotik ile farklı networklere relay edilebilir. Mikrotik DHCP isteklerini ilgili sunucuya yönlendirebilir.

DNS Server olarak kullanabilirsiniz.

Ağınızda yerel DNS server kullanmak isterseniz mikrotik bu işi de yapabilir. Tanımladığınız DNS adreslerinden sorguları alır ve kendi önbelleğinde tutarak bir daha aynı sorgu yapıldığında önbellekten dönüş yapar. Buda sorguların hızlanmasını sağlar. İlavetten statik DNS tanımlamaları yapıp kendi DNS veritabanınızı oluşturabilirsiniz.

VPN Server yada VPN Client olarak kullanabilirsiniz.

Farklı lokasyonları olan işletmelerde network trafiğini birleştirmek isterseniz mikrotik ile çözüm üretebilirsiniz. Mikrotik, VPN tarafında PPTP, L2TP, SSTP, OVPN, PPPoE, IPSec servislerini desteklemektedir. Lokasyonların networklerini birleştirip gerekli kuralları yazdığınızda isteğe göre trafiği istediğiniz tarafa basabilir yada sadece erişim sağlayabilirsiniz. Mikrotik hem vpn server hemde client olarak çalışabilmektedir.

İlavetten VPN server olarak yapılandırdığınız lokasyona farklı bir lokasyondaki bilgisayarı VPN programı kurarak bağlayabilirsiniz.

Kablosuz erişim noktası olarak kullanabilirsiniz.

WLAN özelliği bulunan modelleri sadece kablosuz erişim noktası olarak yapılandırabilirsiniz. Bazı modellerin çok gelişmiş wlan kartları mevcut olduğu için performanslı çözümler üretebilirsiniz. Bir çok markanın erişim noktasına göre çok daha iyi olduğunu söyleyebilirim.

Kablosuz tekrarlayıcı olarak kullanabilirsiniz.

Mevcut kablosuz ağınızın alanını genişletmek için wlan özelliği olan cihazınızı uygun konuma koyarak Kablosuz tekrarlayıcı olarak ayarlayabilir ve sinyali güçlendirebilirsiniz.

Kablosuz aktarıcı olarak kullanabilirsiniz.

Linker olarak tasarlanmış ürünlerde noktadan noktaya yada noktadan çok noktaya network aktarımları yapabilirsiniz. Ucuz ve oldukça performanslı olan bu cihazlar bir çok mobese ve wifi servis sağlayıcıları tarafından kullanılmaktadır.

Kablosuz Cihazlar için merkezi kontrol yöneticisi olarak kullanabilirsiniz.

Mikrotik marka erişim noktalarını merkezde bulunan mikrotik marka cihaza CAPsMAN özelliği ile bağlayıp yönetebilirsiniz. Merkez cihaz üzerinde ağ ayarlarını yaptığınızda otomatik olarak tüm erişim noktalarına ayarlar gidecektir.

Kablosuz sinyali Kablolu sinyale çevirebilirsiniz.

Ortamda bulunan wifi yayınını alıp bakır portlara çevirebilirsiniz. Bazı durumlarda hayat kurtarıcı olduğunu söyleyebilirim.

Kablosuz Mesh yapıp kullanabilirsiniz.

Birden fazla mikrotik cihazınız ile Mesh topolojisini uygulayabilirsiniz. Bu sayede kablosuz networkünüzü genişletebilir ve sürekliliği sağlayabilirsiniz.

Switch olarak kullanabilirsiniz.

Switch olarak tasarlanmış modelleri mevcuttur. Ama birden fazla portu olan bütün modelleri switch gibi kullanabilirsiniz. Switch olarak kullandığınızda VLAN tanımlamalarını yapabileceğiniz gibi istediğiniz portun istediğiniz portla ilişkisini ayarlayabilirsiniz. STP protokolünü ve storm control desteklediği için trafiği yönetebilirsiniz. İlavetten switch ürünleri tüm RouterOS yeteneklerini kullanabilmektedir.

Yük Dengeleyici olarak kullanabilirsiniz.

Birden fazla WAN çıkışınız üzerindeki trafiği NTH yöntemi ile eşit olarak bölebilirsiniz. Ya da istediğinize göre şekillendirebilirsiniz. Mesela 50 kullanıcıyı 3 modeme 20,10,10 kullanıcı olacak şekilde dağıtabilirsiniz.

Farklı bir yöntem olarak PCC yöntemi ile hatları birleştirip kullandırabilirsiniz. Çalışma mantığı olarak kullanıcıları NTH gibi eşit bölmekten ziyade hattın kapasitesi aşınca diğer hattı devreye sokma şeklinde çalışmaktadır.

Wan portlarında Fail Over  yapabilirsiniz.

İnternet hattınızı yedeklemek isterseniz başka bir internet hattını yedek olarak kullanıp, hat düştüğünde devreye alabilirsiniz. Bu sayede bir internet hattına bağlı kalıp sürekliliğini sağlar. Load balance ile aynı anda çalışabilir.

USB’li modellerde desteklediği USB 3G modemleri yedek hat olarak kullanabilirsiniz.

SMB sunucusu olarak kullanabilirsiniz.

Cihaz üzerindeki klasörleri paylaşıma açabilir ve kullanıcılara yetki vererek ağda kullanmalarını sağlayabilirsiniz. USB ve SD kart girişi olan modelerde depolama birimi takıp networke paylaşım açabilir istediğiniz kullanıcılara yetki verebilirsiniz.

Loglama cihazı(Traffic Monitor) olarak kullanabilirsiniz.

internet trafik logu, DHCP logu gibi logları yazacağınız kurallar ile izleyebilir, log server üzerine yönlendirebilir yada kendi üzerindeki depolama biriminde saklayabilirsiniz. Özellikle 5651 loglaması için loglar toplatabilirsiniz.

NTP Sunucusu olarak kullanabilirsiniz.

Network içerisindeki cihazlar için zaman bilgi sunucusu olarak çalıştırabilirsiniz. Bu sayede NTP bilgisini çekmek isteyen sunucular yada clientler için yerel çözüm oluşturabilirsiniz.

Sanal port üzerinden bağlantı yedekleyebilirsiniz.

Mikrotik üzerinde min 2 adet bağlantıyı sanal olarak birbirine bağlayabilir ve birbirinin yedeği olarak yada load balance olarak çalıştırabilirsiniz. Örneğin Omurga switch üzerinden 2 adet bağlantıyı mikrotik cihazınızın 2 farklı portuna girdiğinizde bu portlar normalde birleştirilmiş gibi çalıştırabilir, biri devre dışı kalınca trafik sağlam olandan aktarılmasını sağlayabilirsiniz.

SFP,Kablosuz, Bakır Ethernet, USB Modem dönüşümü yapabilirsiniz.

SFP yuvalı olan, Kablosuz özelliği olan, USB Modem desteği olan, Ethernet portu olan tüm modellerde fiziksel bağlantıları kendi aralarında dönüştürebilirsiniz. Örneğin SFP yuvasına takılı olan fiber bağlantıyı Bakır ethernet‘e yada tam tersine çevirebilirsiniz. Converter olarak çalışabilir.

Proxy server olarak kullanabilirsiniz.

Web-Proxy, Proxy Cache özelliği sayesinde web içeriği yönetebilirsiniz. Transparent Proxy desteği sayesinde kullanıcılara işlem yaptırmadan trafiğin yönetilmesine olanak verir. İçerik filtremelesi amacıylada kullanılabilir. Bu sayede zararlı içerikler engellenebilir.

Mikrotik Nerelerde Kullanılır Mikrotik Nerelerde Kullanılır Mikrotik Nerelerde Kullanılır Mikrotik Nerelerde Kullanılır Mikrotik Nerelerde Kullanılır Mikrotik Nerelerde Kullanılır

Mikrotik ne işe yarar, MikroTik, MikroTik Türkiye, Mikrotik Nasıl Çalışır, porraznetwork, bilgi.wi.com, blog.oguzhan, mum.mikrotik,

Mikrotik Hız Sınırlama

Mikrotik DHCP ile Hız Sınırlama

Ne ile alakalı yazsam diye düşünürken aklıma sürekli uyguladığım DHCP ile hız sınırlamanın nasıl yapıldığını yazmak geldi. Zaten Mikrotikle ilgili son yazının üstünden bayağı zaman geçmiş. Hız sorunu yaşadığınız yerlerde rahatlıkla kullanabileceğiniz bir uygulama olduğunu düşünüyorum. 24 Mbit hızı olan bir bağlantıda birinin bilgisayarı aşırı bant genişliğini kullanırsa geriye kalanlar için internet çok işkenceli bir duruma gelecektir.

Bu gibi durumlarda ortamda bulunan Modem, Firewall, Router, Switch, AP vs. üzerinden QOS diye adlandırılan bir servisi varsa gerekli ayarlamalar yapılır. Bu sayede internet kişi başına limitlenir. QOS Türkçe’ye Servis Kalitesi olarak geçer. QOS ile tanımlanan protokoller, uygulamalar, teknoloji, mimari, VOIP gibi kriterler sayesinde bant genişliği ayarlanır. İstediğinilen kritere gerekli hız tanımlamaları yapılabilir. Mesela VOIP trafiğine 5 Mbit, Web Trafiğine 2 Mbit, Torrent Trafiğine 3 Mbit.. gibi değerler atanabilir.

Mikrotik tarafında QOS çok kapsamlı bir konudur. Mikrotik tarafında Hız sınırlamak için farklı yollar tabiki de mevcut. Ama bu yazının konusu Mikrotik üzerinde bulunan DHCP Server ile entegre çalışabilen bir kısıtlama yapabilmektir. İstemci IP talebinde bulunduğunda DHCP server IP verirken yanında hız ile ilgili bir kural eklemektedir. DHCP lease time süresi dolduğunda ya da lease listesinden silindiğinde otomatik olarak hız kısıtlaması silmektedir.

Fakat burada bir konuda dikkatinizi çekmek isterim. Eğer kullanıcı istemcisine elle IP adresi verirse ilgili istemci Hız sınırlamasına tabi tutulmaz. Bu durumla karşılaşmamak için tüm networkü ilgilendiren bir hız kuralı yazmalısınız. (Başka bir yazıda PCQ konusunu yazacağım.)

Eğer herkes DHCP den IP alıyorsa elle verilmesinin önüne geçiliyorsa bu yöntem ile kişi bazlı Hız sabitleme yapılabilir ve Queues Listesinden takip edilebilir.

Bu işlemi yapmak için öncelikle Script Koda ihtiyacımız olacaktır.

Bu örnekte Download değerini 2M, upload Değerini 256kbit ile sınırlandırdık. (limit-at=256k/2M max-limit=256k/2M

Eğer Değiştirmek isterseniz “limit-at=256k/2M max-limit=256k/2M” kısmında bulunan değerleri değiştirebilirsiniz. Her iki değeride değiştirin. “limit-at=Upload/Download max-limit=Upload/Download“. k=Kilobit, M=Megabit.

Winbox ile bağlandığınızda System>Script menüsüne gelin. “+” ile yeni kural ekleyin ve kodu yapıştırın. isimini verin. (Boşluk ve Türkçe Karakter içermesin.)

Mikrotik Hız Sınırlama

Şimdi IP>DHCP Server menüsüne gelin. Listedeki ilgili DHCP Server üstüne çift tıklayın. Açılan pencerede “Lease Script” bölümüne Script Listesinde girdiğiniz ismi girin.  “OK” deyip Kayıt Edin.

Mikrotik Hız Sınırlama

Artık IP alan istemciler için Queues Listesine yeni kural ekleyecektir. Deneme yaptığımda aşağıdaki gibi çalıştığını gördüm. “Comment” olarak istemcinin “Hostname” kısmını alıp yazmaktadır.

Mikrotik Hız Sınırlama

Mikrotik DHCP ile Hız Sınırlama

  bandwidth, Dhcp, dhcp qos, hız, lease, mikrotik, pars, qos, script, tda, tdag,

Mikrotik Filtre Kuralları Nelerdir

Mikrotik Filtre Kuralları Nelerdir

Mikrotik kullanıp yöneten kişiler bilirler. Paketler üzerinde işlem yapıp yasaklama, izin verme gibi kurallar yazmak gerekebilir. Mikrotik bu anlamda bayağı esnek bir yapıya sahiptir. İlk kullanmaya başlayanlar genelde kural yazarken zorlanabilirler. Eğer daha önce UTM yönetimi yaptı iseniz eminim karşınıza Mikrotik gelince yapısı çok farklı gelecektir. Bu yazıda Mikrotik tarafında Filtre Kurallarını ele almayı hedefliyorum. Yapı çok esnek olduğu için bazı durumlara değinmeyip temel kuralların yazılmasını göstereceğim.

Filtre Kuralları (Filter Rules)

Güvenlik duvarları üzerinden geçen paketleri filtreye tabi tutarak veri akışını yönetebilir. Gerekli paketleri engelleyebilir ya da izin verebilirler.  Mikrotik bu işlemleri ve daha fazlasını yapabilecek yetenektedir. Geçen paketleri belirlediğimiz farklı parametrelere göre değerlendirebilir. Her cihazda olduğu gibi tanımlanan paketler yukarıdan aşağıya doğru işletilir.

Cihaz üzerinde tanımlı Networkler arasında güvenlik amaçlı denetme yapılması ağınızı en sağlık ve güvenli şekilde kullanmanızı sağlayacaktır.

Filtre kuralları bir Zincir (Chain) yapısında çalışırlar. Mikrotik tarafında zincirlerde işlenen bir sıra vardır.(input->forward->output). Kendi zincir yapınızı oluşturabileceğiniz gibi mevcut hazır yapıları da kullanabilirsin. Ben kural yazarken her iki durumu da kullanıyorum.

İnterface

Cihazın üzerinde fiziksel yer alan ya da sanal olarak oluşturulmuş data giriş ve çıkışı yapılabilen portlardır. Biz yazımızda interface için arayüz kelimesini kullanacağız.

Chain Türleri

Yeni bir kural oluşturduğunuzda zincir seçiminde aşağıdaki seçenekler yer alır.

Forward

Cihaz üzerinden geçen paketleri yakalayan zincirdir. İşlem yapılacak paketler cihaz üzerinden hedefe doğru geçip giderse bu zincire sahip kurallar çalıştırılır. Örneğin cihaz üzerinden geçip pppoe-out1 arayüz tarafına giden paketlerde QUIC  (UDP 443) protokolünü engellemek istersek “Forward” zincirini kullanmamız gerekmektedir.

Yukarıdaki kuralda cihaza gelip geçen trafikte çıkış arayüzü pppoe-out1 ise ve bu pakette hedef portu udp 443 ise paket direkt engellenecektir. Kabaca internet arayüzüne giden paketlerde QUIC protokolü yer alıyorsa paket engellenir.

İnput

IP adresine sahip olan bir arayüz üzerinden IP adresi ile cihaza giren paketleri yakalamak için kullanılan zincirdir.

Örneğin LOKAL arayüz üzerinden cihaza gelen DNS sorgularını engellemek istersek aşağıdaki gibi bir kural yazılması gerekir.

Output

Arayüz üzerinden cihazı terk edip çıkan tüm paketleri yakalamak için kullanılır. Cihazın kendisinde oluşturulan paketler sadece output zinciri ile yakalanır.

Örneğin cihazın kendi DNS sunucusunun dış DNS sorgularını yakalayıp listelemek istersek output zinciri kullanmalıyız.

Yukarıdaki kural incelediğimizde cihazın pppoe-out1 arayüzü üzerinden dışarı yapılan DNS(udp 53) sorguları yakalanıp 10 saniye boyunca DNS-SORGU-LIST listesinde tutulur. “/ip/Firewall/Address Lists” kısmından oluşturulan listeyi görebilirsiniz.

Zincir (Chain) Oluşturma

Yazının başında zincir oluşturmaktan söz etmiştim. Aslında oluşturulan zincir, standart zincirlerden ibarettir. (input, forward, output) . Bazı durumlarda fazla olan zincir kurallarını bu yöntemle sadeleştirebilirsiniz.

Örneğin pppoe-out1 arayüzünden cihaza gelen bazı TCP paketlerini engellemek istiyoruz. Aşağıdaki gibi bir kuralla bunu çözebiliriz.

Gördüğünüz gibi input zinciri ile pppoe-out1 arayüzüne direkt gelen paketleri yakalayıp “jump” ile “tcp” zincirine gönderiyoruz. Eğer parametrelere uyan bir paket olursa paketi engelliyoruz.

Kural Eylemleri (Action)

Fark etti iseniz kural zincirlerini anlatmaya çalışırken örneklerde sürekli “drop” eylemi ile paketleri engelledik. Şimdi bu eylemler üzerinde duracağım. Kural yazarken istediğiniz eyleme göre farklı işler yaptırabiliriz.

Eylemler Seçenekleri

accept : Parametrelere uygun paketler kabul edilir.

add-dst-to-address-list : Parametrelere uygun paketlerdeki, hedef adresleri barındıran liste oluşturur.

add-src-to-address-list : Parametrelere uygun paketlerdeki, kaynak adresleri barındıran liste oluşturur.

drop : Parametrelere uygun paketler geri cevap verilmeden engellenir.

fasttrack connection : Paketleri filter,NAT,Queues gibi işlemlerden bypass(atlatmak) edip hızlı şekilde sonuca ulaştırır.

jump : Kullanıcı tanımlı zincirlere yönlendirmek için kullanılır.

log : Parametrelere uygun paketleri tespit edip Log mesajı üretmek için kullanılır.

passthrough : Paket kurallara uyuyorsa sayac bir artar ve sonraki” kurala geçer.(Genelde istatistik almak için kullanılır.)

reject : Parametrelere uygun paketler, geri bilgi verilerek engellenir.

return : Atlama yapıldığı yerden zincire geri gönderir.

tarpit : Gelen TCP bağlantılarını yakalar ve tutar (TCP SYN paketine SYN/ACK ile cevap verir.)

Log kutucuğu: Hangi eylemi seçerseniz seçin Action tabında Log kutucuğu yer alır. Eğer Log kutucuğu seçilirse kural işletildiği zaman sisteme Log mesajı atacaktır. Hemen altında yer alan “Log Prefix” bölümüne ne yazarsanız Log mesajının başında yer alacaktır.

Adres Listeleri ve Adresler

Parametre olarak kaynak ve hedef adres listeleri oluşturularak kurala eklenir. Adres listeleri “/ip/Firewall/Address Lists” tabından elle oluşturulabilir. Oluşturduğunuz kuralda “Advanced” tabından “Src. Address List ve Dst. Address List” kısmından seçilerek kurala eklenebilir.

Src. Address List = Kaynak Adres Listesi (Paketlerin geldiği kaynak adreslerin listesi)

Dst. Address List = Hedef adres Listesi (Paketlerin gittiği hedef adreslerinin listesi)

Eğer Liste oluşturmadan tek ip yazılacaksa “General” Tabında “Src. Address ve Dst.Address” kısmına tanımlanabilir. Ama bu kısımlara tek IP adresi yazılabilir.

Fark etti iseniz kurallarda adres tanımları ve diğer parametrelerin girildiği kutuların başlarında ufak bir kutucuk yer alıyor. Bu kısma tıklarsanız seçili hale getirilir. Bu kısım seçili ise karşısındaki girilen parametreni tam tersi geçerlidir.

Mesela Src.Address kısmına 192.168.2.3 girili ise bu kutucuk seçilirse kural 192.168.2.3 dışındaki IP ler için geçerli olur. Diğer parametrelerde de bu durum geçerlidir.

Kelime Engelleme (Content)

En sevdiğim özelliklerinden birisi kelime engelleme diyebilirim. Forward olarak yazılan bir kuralda paket içerisinde ilgili kelime yazıyorsa paketi engellebilirsiniz.

Mesela LOKAL arayüzünden gelen paketlerde “youtube, mynet, haber” kelimeleri yer alıyorsa engellemek istiyorum. Yani bir kişi bilgisayarından adreslerinde “youtube, mynet, haber” kelimelerinin içerdiği sitelere girmesini istemiyorum. Content parametresi kullanılarak ile kural yazılabilir.

Kuralın en kötü tarafı her kuralda tek kelime tanımlanmasıdır. Bunun için kendi zincirimizi oluşturup kullanabiliriz. Aşağıda bu konuya uygun kural dizisi yer almaktadır. Kelime tanımlamalarını kuralın “Advanced” tabından bulunan “content” parametresinden yapılabilir.

Örnek Content parametresinin kullanımı.

Arayüz Tanımlama (interface)

Kuralları yazarken eğer arayüz belirtilmez ise tüm gelen paketler işletilir. Bu durumdan kaçmak istersek kuralın “General” tabında bulunan “In. Interface, Out. Interface, In. Interface List, Out. Interface List” parametrelerini kullanabiliriz.

In. Interface : Giriş arayüzü

Out. Interface : Çıkış arayüzü

In. Interface List : Giriş arayüz listesi

Out. Interface List : Çıkış arayüz listesi

Örneğin kuralda sadece LOKAL arayüzden gelen paketleri işlemek istiyorsak kuralda In. Interface kısmını LOKAL olarak seçmeliyiz.

Bazı kurallarda arayüzleri seçerken hata alabilirsiniz. Kuralın yapısı uygun değilse size hata verir ve tanımlama yapmaz.

Protokol ve Port Tanımlama

Kuralları yazarken belli protokoldeki portları parametre olarak verebiliriz. İlgili kuralın “General” tabında bulunan “Protokol, Src. Port, Dst. Port, Any. Port” kısımlarında gerekli tanımlamalar yapılabilir.

Protokol : IP protokol türü seçilir. (tcp,udp,icmp..)

Src. Port : İşlenen paket içeriğindeki kaynağın port numarası verilir.(0-65535)

Dst. Port : İşlenen paket içeriğindeki hedefin port numarası verilir.(0-65535)

Any. Port: İşlenen paket içeriğindeki hem kaynak hemde hedef port numarası verilir(0-65535)

Bir yere port ile erişim sağlandığında Src. Port kendi otomatik oluşturur. Bu şekildeki uygulamalarda Src. port değişkendir. Biz genelde Src.port sabit değilse Dst. Portu kullanıyoruz.

Port konusunu örnekle pekiştirelim.

pppoe-ou1 arayüzünden dışarı ilerleyen trafikte UDP 53 portunu engelleyelim.

Gerekli parametreleri değiştirerek farklı kurallar yazabilirsiniz.

Bağlantı Durumları (Connection Type,State)

Kuralları yazarken bağlantıların durumuna göre işleyebiliriz. İlgili kuralın “General” Tabında bulunan “Connection Type, Connection State, Connection NAT State” özelliklerini amacımıza göre parametre olarak verebiliriz.

Connection Type : Bağlantı türü seçilir (ftp,h323,irc,pptp,quake3,sip,tftp)

Connection State : 

invalid : Bir şekilde bağlantı oluşturulmamış geçersiz paketler.(Genelde engellenmesi tavsiye edilir.)

established : Mevcut çalışan bir bağlantıya ait bir paket

related : Başka bir paketin parçası olan ama başlı başına paket olmayan paketler.

new : Yeni oluşturulan bir bağlantıya ait bir paket

untracked : Bağlantı takibi RAW tablolarında atlatılmış paketler

Connection NAT State : Bağlantının Paket yönü belirtilir. İlk Yönü (Src. NAT , Dst. NAT olabilir)

Genelde aşağıdaki kuralları kullanıp cihazdaki geçersiz paketleri elemeyi tercih ediyorum.

Yukarıdaki kuralları cihazınıza eklerseniz gelen giden tüm paketlerde geçersiz olan paketleri engelleyecektir. Tavsiyem mutlaka kullanın. İnternet trafiğiniz daha stabil çalışacaktır. Bu kurallar bütününü mutlaka diğer kuralların altına yerleştirin. Üstte kalırsa başka kuralları ezebiliyorlar.

Kaynak MAC adresi (Src. MAC Address)

Bazı kurallarda paketin kaynak MAC adresini belirtip işlem yaptırmak gerekebilir. Mesela ağınızda “00:01:02:03:04:05”  adresine sahip bir cihaz varsa ve MAC adresine göre engellemek istiyorsak aşağıdaki gibi bir kural yazabiliriz.

Kuralı yazaken arayüz belirtmeniz ve “Advanced” tabından “Src.MAC Address” kısmına MAC adresi yazmalısınız.

Content” tanımlamasında olduğu gibi MAC tanımlamasında da tek Mac adresi yazılabilir. Her MAC için ya zincir oluşturmanız ya da tek tek tanımlama yapmanız gerekmektedir.

Buraya kadar Mikrotik tarafında filtre kurallarına yer verdim. Yazmadığım bir çok özellik daha mevcut. Bu yazıda en çok kullanılan özelliklere yer vermeye çalıştım. Daha detaylı  bilgileri Mikrotik Wiki sayfasından ulaşabilirsiniz.

address, address list, Chain, content, dst.nat, dst.port, filter rules, fitre kuralları, forward, input, interface, jump, kurallar, mikrotik, output, pars, protokol, Src MAC Address,

Mikrotik Hangi durumlarda Hacklenebilir

Mikrotik Hangi durumlarda Hacklenebilir

Mikrotik Hangi durumlarda Hacklenebilir

Son zamanlarda karşıma gelmeye başladı. Sahada çalışan ve gerekli güncelleme yapılmayan cihazlar hackleniyor. Hackleyen kişiler ne amaçla kullanıyor bilmiyoruz ama cihazı ele geçirince istediği amaca hizmet ettirebilirler. Başınız ağrıyabilir.

Bu yazıda Hacklendiniz mi ? Hacklendi iseniz ne yapmalıyız ? sorularına cevap aramayı hedefliyorum.

Sistemizin omurgasını oluşturan Mikrotik cihazlarınızda maalesef bazı güvenlik açıkları var. Bunları kullanmayı bilen kişiler rastgele IP leri taratıp buluyorlar. Hedefte siz yoksunuz. Sizin güvenlik açığı bulunan cihazınız var. Bu yüzden kim nasıl eklemiş gibi soruları kenara bırakıp nasıl önlemler almamız gerektiğine bakalım.

Hangi durumlarda Hacklenebilir ?

Bu sorunun cevabını aşağıdaki gibi maddeler halinde vermek istiyorum. Yanlız vereceklerim bizlerden kaynaklanan güvenlik açıklarıdır. Eğer versiyonun bilinmeyen güvenlik açığı varsa listemizin dışındadır.

  • Kullandığınız cihazın versiyonu 6.40.8 (Bugfix Only) öncesi ise hackelebilirsiniz.
  • Kullandığınız winbox programının versiyonu v3.17 öncesi ise hacklenebilirsiniz.
  • Cihazlarınızın servis portlarının tamamı açıksa hacklenebilirsiniz. (/ip services)
  • Sürekli bağlantı kurduğunuz bilgisayarda virüs olabilir.(Keylocker vs)
  • Kullanıcı adını ve şifresini çok çok basit vermiş olabilirsiniz. (admin – 1234 gibi)
  • Hacklendiğimizi nasıl anlarız ?

    İlk olarak hacklendiğinizde cihaza erişiminiz kesilebilir. Hackleyen kişi kullanıcı adı ve şifrenizi değiştirebilir. Eğer böyle bir durumla karşılaşırsanız cihazı komple resetleyip tekrar yapılandırmanız gerekir. Eğer cihaza erişiminiz varsa aşağıdaki maddeleri kontrol edip hacklendiğinizi anlayabilirsiniz. Bu maddelerin hepsini görebileceğiniz gibi bazılarını görmemeniz mümkündür. İnternet bağlantınız da kayda değer yavaşlama varsa ve arada iletişim kopukları yaşıyorsanız şüphelenmeye başlayabilirsiniz.

  • Cihaza giriş yaptığınızda “identity” bilgisini değiştirip “Hacked” veya benzeri bir ifade yazıyorlar.
  • Mevcut kullanıcılara yeni kullanıcı ekliyorlar. (System/Users) Eğer listede bildiklerinizden farklı bir kullanıcı ismi görürseniz hackleyen kişi kullanıcı açmış demektir.
  • Cihazın “interface” kısmında PPP bağlantısı kurmuş olabiliyorlar. Bir şekilde VPN yapıp üstünüzden data çıkartabiliyorlar.
  • Script kod ekleyip bazı işleri otomatik hale getirebiliyorlar. Eğer siz Script kod yazmadı iseniz kontrol edin. Aynı şekilde Scheduler kısmınıda kontrol edin. buradan Script kodu istediği zaman diliminde tetikleyebiliyorlar. (System-Scripts ve System-Scheduler)
  • DNS’lerinizi değiştiriyorlar. Sizin verdiklerinizi silip farklı DNS adresleri tanımlıyorlar. (IP->DNS) İlave olarak DNS kısmında Static DNS adresleri tanımlıyorlar. DNS trafiğini kendilerine yönlendiriyorlar. (IP->DNS->STATIC)
  • Socks bağlantısı kuruyorlar(IP-Socks) Eğer siz tarafından ayar yapılmadı ise bu özellik devredışıdır.
  • Files kısmına ne olduğu belli olmayan dosyalar atıyorlar. Ne olduklarını bilmiyorum ama bunlar çalıştırılabilir dosyalar olabilirler.
  • Filter Rules ve NAT kısımlarına kendileri için gerekli kuralları yazıyorlar.
  • Cihazınıza VPN Server kurup başka cihazları bağlayabiliyorlar.(PPP kısmından incelenebilir)

Hacklenmişim ne yapmalıyım ?

Kontrol ettiniz ve hacklendiğinize dair kanıtlar buldu iseniz Network yapısına göre farklı işlemler yapabilirsiniz.

  • Eğer cihazı komple resetleyip yapılandırma durumunuz varsa mutlaka yapın.
  • Eğer çok fazla zarar yoksa problemli yerleri düzeltebilirsiniz. Ama kapılar açık olduğu için dikkatli olmalısınız.
  • Destek aldığınız firma/personel/danışman varsa mutlaka konuyu kendilerine iletin. Gerekli tedbirleri almalarını sağlayın.
  • Eğer sorun çok büyük ise ilk işiniz internet bağlantınızı kesin. Eski bir yedeğiniz varsa geri yükleyin. Cihazın versiyonu güncelleyin.(minimum 6.40.8 Bugfix Only)

Hacklenmemek için hangi tedbirleri almalıyım ?

Hacklendiniz ve farkına varıp gerekli ayarları yaptığınızı varsayıyorum. Ya da henüz hacklenmediniz ve önlem almak istiyorsunuz. Her iki durumda da aşağıdaki maddeleri uygulamaktan çekinmeyin.

  • Cihazda bulunan yabancı kullanıcıları silin. Mevcutlarında şifrelerini değiştirin. Fakat şifre verirken Karışık vermeye özen gösterin. Şifreyi oluştururken Büyük Harf, Küçük Harf, Rakam ve Noktalama kullanın.
  • Cihazın versiyonunu Minimum 6.40.8 “Bugfix Only” olarak güncelleyin. Eğer “Bugfix only” olarak yüksek versiyon varsa onu kurun.
  • IP-Services kısmıdan kullanmadığınız tüm portları kapatın. Sadece Winbox kalsın. Mümkünse onunda portunu değiştirin. Saldırılar genelde default portlara gelir. Kullandıklarınız portları da mümkünse standartta bırakmayın. Değiştirin.
  • DNS adreslerinizi özel bir amacınız yoksa güvenli DNS tanımlayın.(Yandex Aile vs..)
  • Yabancı gördüğünüz tüm Script, Scheduler komple temizleyin.
  • Dışarıdan çok fazla DNS ve benzeri port saldırısı gelir. Bunu engellemek için aşağıdaki kodu kendi sisteminize uyarlayın. DSL interface ismi ne ise “in-interface” kısmına onu yazın.
  • Bağlantı kurduğunuz bilgisayardaki winbox 3.17 sürüme yükseltin. Yoksa etkili entüvirüs kullanın. (Kaspersky Free ücretsiz bir alternatif olabilir.)
  • Connectionlarınızın stabil çalışması içinde aşağıdaki kodu ekleyin. Filter Rules kısmında en altta yer alsın.
  • Cihazı kurup kendi haline bırakmayın. Güncellemeleri takip edin. Özellikle “Bugfix only” olanları yükleyin.
  • Düzenli yedek alın. Olurda cihaz komple uçarsa elinizde yedeğiniz bulunsun. Aldığınız yedeği mutlaka cihaz üzerinde bırakmayın dışarıya çıkartın.

Bu konuda profesyonel destek almak isterseniz Safir teknoloji ile iletişime geçebilirsiniz.

bugfix only, hack, hacking, long term, mikrotik, mikrotik hack, pars, routerboard, routerOS, tdag, tekirdağ, trakya, winbox

mikrotikturkiye, wi.com, mikronbilgisayar, mikrotikdestek, merpazar,

Mikrotik – 2 DSL Hattını Yedekleme

Mikrotik – 2 DSL Hattını Yedekleme 

Yaşadığımız bu dönemde artık internet büyük bir ihtiyaç olarak görülmektedir. İnternetin olmadığı zamanlarda işler bir şekilde yavaşlar ya da durmaktadır. Resmi bir daireye gidince sistem yok, internet yok gibi söylenimleri mutlaka duymuşsunuzdur. Ya da bir otelde konaklama yapacağınız zaman internetin olmaması çok sıkıntılıdır. Bunun gibi örnekler çoğaltılabilir.

Bunun gibi sorunlardan etkilenmemek için farklı bir ISP firmasından internet alınması ve sistemde yedek olarak bekletilip sorun olunca sorunlu internetin kablosunun çıkartılıp yedek internetin kablosunun takılması en basit ve bilindik bir çözümdür. Biz bu işlemi mikrotik ile herhangi bir fiziksel bağlantı yapmadan sağlayabiliyoruz. Hatta sizin haberiniz bile olmadan sistem otomatikman internet olan diğer DSL hattına geçiş yapabiliyor. Bu sayede önemli işleriniz aksamıyor ve varsa müşterileriniz interneti kullanabiliyor.

İşin temel mantığı şu şekilde; mikrotik gateway adresine ping atarak kontrol ediyor ve ulaşamaz ise 2. tanımlı gatewaye geçiyor. Eğer 1. tanımlı gateway ulaşılabilir olursa sistem tekrar 1. Hattı kullanıma geçiriyor.

DSL Hattının bağlantısının gitmesi ve yedeğinin devreye geçirilmesi olayına “Fail Over” denilmektedir. İnternette araştırma yaparken bu kelimeleri kullanabilirsiniz.

Bu yazıda size en basit nasıl “Fail Over” yapabilirsiniz onu göstereceğim. 2 farklı yöntem için uygulama yapacağız. Aslında ikisi aynı yapıyı kullansa da farklı şekilde çalışmaktadırlar.

Gateway Kontrollü Fail Over Yöntemi

Bu yöntemde iki farklı ISP firmasından PPP hizmeti aldığınızı varsayıyoruz. TTNET, VODAFONE gibi firmalardan hizmet aldığınızda genelde PPPoE protokolünde çalışmak üzere kimlik bilgisi verirler. Verilen kimlik bilgileri ile gerekli ayarlar yapıldığında internet bağlantısı alırsınız. Bu senaryoda PPPoE protokolünde 2 bağlantımız mevcut olsun. 1. hattımız varsayılan olarak çalışırken 2. hattımız yedek olarak beklemektedir.

Mikrotik – 2 DSL Hattını Yedekleme (DSL Fail Over)

Yukarıdaki bilgiler eşliğinde gerekli yapılandırmayı yaptığınızda ve PPPoE Client interfacelerine DSL-1,DSL-2 isimlerinin veriyoruz. PPPoE bağlantılarını kurduğunuzda “Add Default Route” seçeneklerini her iki PPPoE Client interface kısmından kaldırın.

PPPoE interface kısmı aşağıdaki gibi olacaktır.

Bu şekilde iken NAT kısmında MasQ işlemini yapmamız gerekiyor. Her iki bacaktan da internete çıkış olursa Lokal IP adresini Bacak IP adresine çevirecektir. Gateway modundaki her kurulumda MasQ yapılması gerektedir.

Cihazın DHCP,DNS ayarlarıda aşağıdaki gibi olacaktır.

Route kısmı ve Fail Over ayarlarıda aşağıdaki gibi olması gerekmektedir.

Gördüğünüz gibi ayarlar çok basit. Normal ayarları yaptıktan sonra Route kısmında “Check Gateway” seçeneğini “ping” yapıp “Distance” kısmını varsayılan DSL hattı için “1“, Yedek DSL hattı için “2” yapmanız yeterlidir.

Bu senaryodaki yapılandırmada Cihaz DSL-1 gateway adresine ping atacak ve ulaşılamaz olduğunda DSL-2 üzerinden trafiği gönderecektir. Buradaki “Distance” kısmı önceliği belirler. Bu sayı küçük ise öncelik sırası öne gelecektir.

2 den fazla DSL hattınız varsa aynı yöntem ile Fail Over sayınızı arttırabilirsiniz. Aynı zamanda PPP bağlantı dışında Metro Ethernet bağlantısı ve benzeri hizmet alıyorsanız elle girilen gateway adresi için aynı yöntemler uygulanabilir. Bu arada örnekte PPP olarak yapmam genelde sahada göreceğiniz yapı olmasıdır. Burada Gatewayler otomatik alındığı için örneklendirme kolaylığı sunmaktadır.

Bu yöntem basit oluşu ile en çok kullanılanıdır. Fakat İnternet bağlantınız borcunuzdan veya ISP tarafından kesilmesinden kaynaklı olarak Gateway tarafına ulaşılması ama internet olmaması durumunda çalışmamaktadır. Çünkü bu yöntemde gateway adresine ulaşım kontrolü yapılmaktadır. Kritik önem taşıyan yerlerde bu yöntemi kullanmayın.

Dış IP Adresine Erişim Kontrolü Fail Over Yöntemi

Bu yöntem “Gateway Kontrollü Fail Over” yöntemine göre çalışsa da kontrol mekanizması internet üzerinde çalışan bir IP adresi üzerinden yapılmasına göre çalışır. Buradaki olay belirlediğiniz bir IP adresine ulaşılıp ulaşılmadığının gözlemlenmesi ve ulaşılmıyorsa yedek hatta geçilmesidir.

Lakin seçilecek olan IP adresinden kaynaklı olarak ilgili IP adresine ulaşılmaz ise sağlıklı çalışmayacaktır. Ama diğerine göre daha verimlidir. Tavsiyem bu yöntemi kullanmanız ama seçtiğiniz IP adresinin sağlam olması yönündedir. Eğer düzgün IP adresi bulamazsanız Telekom,Google,Yandex DNS adreslerini kullanabilirsiniz. En kısa ping süresi Telekom DNS adresinde var. Ben genelde 195.175.39.50 kullanıyorum.

Yukarıdaki senaryodaki bilgiler eşliğinde bu yöntemle Fail Over yapacak isek Route kısmı aşağıdaki gibi olmalıdır.

Yukarıdaki gibi Route ayarları oluşturulur ise cihaz verdiğiniz IP adresine ulaşılıp ulaşılmadığına bakacaktır. Ulaşılabiliyorsa ilgili Gateway üzerinden çıkış yapacaktır. Ulaşılamıyor ise yedek gateway üzerinden çıkış yapacaktır.

obifi, wi, logsistemleri, ayzbilisim, hmsotel, d2, mikronbilgisayar, bilgi.wi.com.tr

mikrotikturkiye, wi.com, mikronbilgisayar, mikrotikdestek, merpazar,