Mikrotik arşivleri - Sayfa 2 / 3 - MikroTik Distribütör Yetkili Satıcı ile Güvenli Ağ Kurulumları

Mikrotik Filtre Kuralları Nelerdir

17 Mayıs 2022/0 Yorumlar/in Genel, Mikrotik, Mikrotik Türkiye /tarafından admin

Mikrotik Filtre Kuralları Nelerdir

Mikrotik kullanıp yöneten kişiler bilirler. Paketler üzerinde işlem yapıp yasaklama, izin verme gibi kurallar yazmak gerekebilir. Mikrotik bu anlamda bayağı esnek bir yapıya sahiptir. İlk kullanmaya başlayanlar genelde kural yazarken zorlanabilirler. Eğer daha önce UTM yönetimi yaptı iseniz eminim karşınıza Mikrotik gelince yapısı çok farklı gelecektir. Bu yazıda Mikrotik tarafında Filtre Kurallarını ele almayı hedefliyorum. Yapı çok esnek olduğu için bazı durumlara değinmeyip temel kuralların yazılmasını göstereceğim.

Filtre Kuralları (Filter Rules)

Güvenlik duvarları üzerinden geçen paketleri filtreye tabi tutarak veri akışını yönetebilir. Gerekli paketleri engelleyebilir ya da izin verebilirler. Mikrotik bu işlemleri ve daha fazlasını yapabilecek yetenektedir. Geçen paketleri belirlediğimiz farklı parametrelere göre değerlendirebilir. Her cihazda olduğu gibi tanımlanan paketler yukarıdan aşağıya doğru işletilir.

Cihaz üzerinde tanımlı Networkler arasında güvenlik amaçlı denetme yapılması ağınızı en sağlık ve güvenli şekilde kullanmanızı sağlayacaktır.

Filtre kuralları bir Zincir (Chain) yapısında çalışırlar. Mikrotik tarafında zincirlerde işlenen bir sıra vardır.(input->forward->output). Kendi zincir yapınızı oluşturabileceğiniz gibi mevcut hazır yapıları da kullanabilirsin. Ben kural yazarken her iki durumu da kullanıyorum.

İnterface

Cihazın üzerinde fiziksel yer alan ya da sanal olarak oluşturulmuş data giriş ve çıkışı yapılabilen portlardır. Biz yazımızda interface için arayüz kelimesini kullanacağız.

Chain Türleri

Yeni bir kural oluşturduğunuzda zincir seçiminde aşağıdaki seçenekler yer alır.

Forward

Cihaz üzerinden geçen paketleri yakalayan zincirdir. İşlem yapılacak paketler cihaz üzerinden hedefe doğru geçip giderse bu zincire sahip kurallar çalıştırılır. Örneğin cihaz üzerinden geçip pppoe-out1 arayüz tarafına giden paketlerde QUIC (UDP 443) protokolünü engellemek istersek “Forward” zincirini kullanmamız gerekmektedir.

1 2	/ip firewall filter add action=drop chain=forward comment=“QUIC Yasakla” dst–port=443 out–interface=pppoe–out1 protocol=udp

Yukarıdaki kuralda cihaza gelip geçen trafikte çıkış arayüzü pppoe-out1 ise ve bu pakette hedef portu udp 443 ise paket direkt engellenecektir. Kabaca internet arayüzüne giden paketlerde QUIC protokolü yer alıyorsa paket engellenir.

İnput

IP adresine sahip olan bir arayüz üzerinden IP adresi ile cihaza giren paketleri yakalamak için kullanılan zincirdir.

Örneğin LOKAL arayüz üzerinden cihaza gelen DNS sorgularını engellemek istersek aşağıdaki gibi bir kural yazılması gerekir.

1 2	/ip firewall filter add action=drop chain=input dst–port=53 in–interface=LOKAL protocol=udp

Output

Arayüz üzerinden cihazı terk edip çıkan tüm paketleri yakalamak için kullanılır. Cihazın kendisinde oluşturulan paketler sadece output zinciri ile yakalanır.

Örneğin cihazın kendi DNS sunucusunun dış DNS sorgularını yakalayıp listelemek istersek output zinciri kullanmalıyız.

/ip firewall filter

add action=add–dst–to–address–list address–list=DNS–SORGU–LIST address–list–timeout=10s chain=output

dst–port=53 out–interface=pppoe–out1 protocol=udp

Yukarıdaki kural incelediğimizde cihazın pppoe-out1 arayüzü üzerinden dışarı yapılan DNS(udp 53) sorguları yakalanıp 10 saniye boyunca DNS-SORGU-LIST listesinde tutulur. “/ip/Firewall/Address Lists” kısmından oluşturulan listeyi görebilirsiniz.

Zincir (Chain) Oluşturma

Yazının başında zincir oluşturmaktan söz etmiştim. Aslında oluşturulan zincir, standart zincirlerden ibarettir. (input, forward, output) . Bazı durumlarda fazla olan zincir kurallarını bu yöntemle sadeleştirebilirsiniz.

Örneğin pppoe-out1 arayüzünden cihaza gelen bazı TCP paketlerini engellemek istiyoruz. Aşağıdaki gibi bir kuralla bunu çözebiliriz.

/ip firewall filter

add action=jump chain=input in–interface=pppoe–out1 jump–target=tcp

add action=drop chain=tcp dst–port=80 protocol=tcp

add action=drop chain=tcp dst–port=23 protocol=tcp

add action=drop chain=tcp dst–port=8080 protocol=tcp

add action=drop chain=tcp dst–port=22 protocol=tcp

add action=drop chain=tcp dst–port=53 protocol=tcp

Gördüğünüz gibi input zinciri ile pppoe-out1 arayüzüne direkt gelen paketleri yakalayıp “jump” ile “tcp” zincirine gönderiyoruz. Eğer parametrelere uyan bir paket olursa paketi engelliyoruz.

Kural Eylemleri (Action)

Fark etti iseniz kural zincirlerini anlatmaya çalışırken örneklerde sürekli “drop” eylemi ile paketleri engelledik. Şimdi bu eylemler üzerinde duracağım. Kural yazarken istediğiniz eyleme göre farklı işler yaptırabiliriz.

Eylemler Seçenekleri

accept : Parametrelere uygun paketler kabul edilir.

add-dst-to-address-list : Parametrelere uygun paketlerdeki, hedef adresleri barındıran liste oluşturur.

add-src-to-address-list : Parametrelere uygun paketlerdeki, kaynak adresleri barındıran liste oluşturur.

drop : Parametrelere uygun paketler geri cevap verilmeden engellenir.

fasttrack connection : Paketleri filter,NAT,Queues gibi işlemlerden bypass(atlatmak) edip hızlı şekilde sonuca ulaştırır.

jump : Kullanıcı tanımlı zincirlere yönlendirmek için kullanılır.

log : Parametrelere uygun paketleri tespit edip Log mesajı üretmek için kullanılır.

passthrough : Paket kurallara uyuyorsa sayac bir artar ve sonraki” kurala geçer.(Genelde istatistik almak için kullanılır.)

reject : Parametrelere uygun paketler, geri bilgi verilerek engellenir.

return : Atlama yapıldığı yerden zincire geri gönderir.

tarpit : Gelen TCP bağlantılarını yakalar ve tutar (TCP SYN paketine SYN/ACK ile cevap verir.)

Log kutucuğu: Hangi eylemi seçerseniz seçin Action tabında Log kutucuğu yer alır. Eğer Log kutucuğu seçilirse kural işletildiği zaman sisteme Log mesajı atacaktır. Hemen altında yer alan “Log Prefix” bölümüne ne yazarsanız Log mesajının başında yer alacaktır.

Adres Listeleri ve Adresler

Parametre olarak kaynak ve hedef adres listeleri oluşturularak kurala eklenir. Adres listeleri “/ip/Firewall/Address Lists” tabından elle oluşturulabilir. Oluşturduğunuz kuralda “Advanced” tabından “Src. Address List ve Dst. Address List” kısmından seçilerek kurala eklenebilir.

Src. Address List = Kaynak Adres Listesi (Paketlerin geldiği kaynak adreslerin listesi)

Dst. Address List = Hedef adres Listesi (Paketlerin gittiği hedef adreslerinin listesi)

Eğer Liste oluşturmadan tek ip yazılacaksa “General” Tabında “Src. Address ve Dst.Address” kısmına tanımlanabilir. Ama bu kısımlara tek IP adresi yazılabilir.

Fark etti iseniz kurallarda adres tanımları ve diğer parametrelerin girildiği kutuların başlarında ufak bir kutucuk yer alıyor. Bu kısma tıklarsanız seçili hale getirilir. Bu kısım seçili ise karşısındaki girilen parametreni tam tersi geçerlidir.

Mesela Src.Address kısmına 192.168.2.3 girili ise bu kutucuk seçilirse kural 192.168.2.3 dışındaki IP ler için geçerli olur. Diğer parametrelerde de bu durum geçerlidir.

Kelime Engelleme (Content)

En sevdiğim özelliklerinden birisi kelime engelleme diyebilirim. Forward olarak yazılan bir kuralda paket içerisinde ilgili kelime yazıyorsa paketi engellebilirsiniz.

Mesela LOKAL arayüzünden gelen paketlerde “youtube, mynet, haber” kelimeleri yer alıyorsa engellemek istiyorum. Yani bir kişi bilgisayarından adreslerinde “youtube, mynet, haber” kelimelerinin içerdiği sitelere girmesini istemiyorum. Content parametresi kullanılarak ile kural yazılabilir.

Kuralın en kötü tarafı her kuralda tek kelime tanımlanmasıdır. Bunun için kendi zincirimizi oluşturup kullanabiliriz. Aşağıda bu konuya uygun kural dizisi yer almaktadır. Kelime tanımlamalarını kuralın “Advanced” tabından bulunan “content” parametresinden yapılabilir.

Örnek Content parametresinin kullanımı.

/ip firewall filter

add action=jump chain=forward in–interface=LOKAL jump–target=kelime

add action=drop chain=kelime content=youtube

add action=drop chain=kelime content=mynet

add action=drop chain=kelime content=haber

Arayüz Tanımlama (interface)

Kuralları yazarken eğer arayüz belirtilmez ise tüm gelen paketler işletilir. Bu durumdan kaçmak istersek kuralın “General” tabında bulunan “In. Interface, Out. Interface, In. Interface List, Out. Interface List” parametrelerini kullanabiliriz.

In. Interface : Giriş arayüzü

Out. Interface : Çıkış arayüzü

In. Interface List : Giriş arayüz listesi

Out. Interface List : Çıkış arayüz listesi

Örneğin kuralda sadece LOKAL arayüzden gelen paketleri işlemek istiyorsak kuralda In. Interface kısmını LOKAL olarak seçmeliyiz.

Bazı kurallarda arayüzleri seçerken hata alabilirsiniz. Kuralın yapısı uygun değilse size hata verir ve tanımlama yapmaz.

Protokol ve Port Tanımlama

Kuralları yazarken belli protokoldeki portları parametre olarak verebiliriz. İlgili kuralın “General” tabında bulunan “Protokol, Src. Port, Dst. Port, Any. Port” kısımlarında gerekli tanımlamalar yapılabilir.

Protokol : IP protokol türü seçilir. (tcp,udp,icmp..)

Src. Port : İşlenen paket içeriğindeki kaynağın port numarası verilir.(0-65535)

Dst. Port : İşlenen paket içeriğindeki hedefin port numarası verilir.(0-65535)

Any. Port: İşlenen paket içeriğindeki hem kaynak hemde hedef port numarası verilir(0-65535)

Bir yere port ile erişim sağlandığında Src. Port kendi otomatik oluşturur. Bu şekildeki uygulamalarda Src. port değişkendir. Biz genelde Src.port sabit değilse Dst. Portu kullanıyoruz.

Port konusunu örnekle pekiştirelim.

pppoe-ou1 arayüzünden dışarı ilerleyen trafikte UDP 53 portunu engelleyelim.

1 2	/ip firewall filter add action=drop chain=forward dst–port=53 out–interface=pppoe–out1 protocol=udp

Gerekli parametreleri değiştirerek farklı kurallar yazabilirsiniz.

Bağlantı Durumları (Connection Type,State)

Kuralları yazarken bağlantıların durumuna göre işleyebiliriz. İlgili kuralın “General” Tabında bulunan “Connection Type, Connection State, Connection NAT State” özelliklerini amacımıza göre parametre olarak verebiliriz.

Connection Type : Bağlantı türü seçilir (ftp,h323,irc,pptp,quake3,sip,tftp)

Connection State :

invalid : Bir şekilde bağlantı oluşturulmamış geçersiz paketler.(Genelde engellenmesi tavsiye edilir.)

established : Mevcut çalışan bir bağlantıya ait bir paket

related : Başka bir paketin parçası olan ama başlı başına paket olmayan paketler.

new : Yeni oluşturulan bir bağlantıya ait bir paket

untracked : Bağlantı takibi RAW tablolarında atlatılmış paketler

Connection NAT State : Bağlantının Paket yönü belirtilir. İlk Yönü (Src. NAT , Dst. NAT olabilir)

Genelde aşağıdaki kuralları kullanıp cihazdaki geçersiz paketleri elemeyi tercih ediyorum.

/ip firewall filter

add action=accept chain=input comment=“Established,Related Kabul Et” connection–state=established,related

add action=accept chain=forward connection–state=established,related

add action=accept chain=output connection–state=established,related

add action=drop chain=input comment=“Invalid Paketleri Engelle” connection–state=invalid

add action=drop chain=forward connection–state=invalid

add action=drop chain=output connection–state=invalid

Yukarıdaki kuralları cihazınıza eklerseniz gelen giden tüm paketlerde geçersiz olan paketleri engelleyecektir. Tavsiyem mutlaka kullanın. İnternet trafiğiniz daha stabil çalışacaktır. Bu kurallar bütününü mutlaka diğer kuralların altına yerleştirin. Üstte kalırsa başka kuralları ezebiliyorlar.

Kaynak MAC adresi (Src. MAC Address)

Bazı kurallarda paketin kaynak MAC adresini belirtip işlem yaptırmak gerekebilir. Mesela ağınızda “00:01:02:03:04:05” adresine sahip bir cihaz varsa ve MAC adresine göre engellemek istiyorsak aşağıdaki gibi bir kural yazabiliriz.

Kuralı yazaken arayüz belirtmeniz ve “Advanced” tabından “Src.MAC Address” kısmına MAC adresi yazmalısınız.

1 2	/ip firewall filter add action=drop chain=forward out–interface=pppoe–out1 src–mac–address=00:01:02:03:04:05

“Content” tanımlamasında olduğu gibi MAC tanımlamasında da tek Mac adresi yazılabilir. Her MAC için ya zincir oluşturmanız ya da tek tek tanımlama yapmanız gerekmektedir.

Buraya kadar Mikrotik tarafında filtre kurallarına yer verdim. Yazmadığım bir çok özellik daha mevcut. Bu yazıda en çok kullanılan özelliklere yer vermeye çalıştım. Daha detaylı bilgileri Mikrotik Wiki sayfasından ulaşabilirsiniz.

address, address list, Chain, content, dst.nat, dst.port, filter rules, fitre kuralları, forward, input, interface, jump, kurallar, mikrotik, output, pars, protokol, Src MAC Address,

Mikrotik Hangi durumlarda Hacklenebilir

15 Mayıs 2022/0 Yorumlar/in Genel, Mikrotik, Mikrotik Türkiye /tarafından admin

Mikrotik Hangi durumlarda Hacklenebilir

Son zamanlarda karşıma gelmeye başladı. Sahada çalışan ve gerekli güncelleme yapılmayan cihazlar hackleniyor. Hackleyen kişiler ne amaçla kullanıyor bilmiyoruz ama cihazı ele geçirince istediği amaca hizmet ettirebilirler. Başınız ağrıyabilir.

Bu yazıda Hacklendiniz mi ? Hacklendi iseniz ne yapmalıyız ? sorularına cevap aramayı hedefliyorum.

Sistemizin omurgasını oluşturan Mikrotik cihazlarınızda maalesef bazı güvenlik açıkları var. Bunları kullanmayı bilen kişiler rastgele IP leri taratıp buluyorlar. Hedefte siz yoksunuz. Sizin güvenlik açığı bulunan cihazınız var. Bu yüzden kim nasıl eklemiş gibi soruları kenara bırakıp nasıl önlemler almamız gerektiğine bakalım.

Hangi durumlarda Hacklenebilir ?

Bu sorunun cevabını aşağıdaki gibi maddeler halinde vermek istiyorum. Yanlız vereceklerim bizlerden kaynaklanan güvenlik açıklarıdır. Eğer versiyonun bilinmeyen güvenlik açığı varsa listemizin dışındadır.

Kullandığınız cihazın versiyonu 6.40.8 (Bugfix Only) öncesi ise hackelebilirsiniz.
Kullandığınız winbox programının versiyonu v3.17 öncesi ise hacklenebilirsiniz.
Cihazlarınızın servis portlarının tamamı açıksa hacklenebilirsiniz. (/ip services)
Sürekli bağlantı kurduğunuz bilgisayarda virüs olabilir.(Keylocker vs)
Kullanıcı adını ve şifresini çok çok basit vermiş olabilirsiniz. (admin – 1234 gibi)
Hacklendiğimizi nasıl anlarız ?

İlk olarak hacklendiğinizde cihaza erişiminiz kesilebilir. Hackleyen kişi kullanıcı adı ve şifrenizi değiştirebilir. Eğer böyle bir durumla karşılaşırsanız cihazı komple resetleyip tekrar yapılandırmanız gerekir. Eğer cihaza erişiminiz varsa aşağıdaki maddeleri kontrol edip hacklendiğinizi anlayabilirsiniz. Bu maddelerin hepsini görebileceğiniz gibi bazılarını görmemeniz mümkündür. İnternet bağlantınız da kayda değer yavaşlama varsa ve arada iletişim kopukları yaşıyorsanız şüphelenmeye başlayabilirsiniz.
Cihaza giriş yaptığınızda “identity” bilgisini değiştirip “Hacked” veya benzeri bir ifade yazıyorlar.
Mevcut kullanıcılara yeni kullanıcı ekliyorlar. (System/Users) Eğer listede bildiklerinizden farklı bir kullanıcı ismi görürseniz hackleyen kişi kullanıcı açmış demektir.
Cihazın “interface” kısmında PPP bağlantısı kurmuş olabiliyorlar. Bir şekilde VPN yapıp üstünüzden data çıkartabiliyorlar.
Script kod ekleyip bazı işleri otomatik hale getirebiliyorlar. Eğer siz Script kod yazmadı iseniz kontrol edin. Aynı şekilde Scheduler kısmınıda kontrol edin. buradan Script kodu istediği zaman diliminde tetikleyebiliyorlar. (System-Scripts ve System-Scheduler)
DNS’lerinizi değiştiriyorlar. Sizin verdiklerinizi silip farklı DNS adresleri tanımlıyorlar. (IP->DNS) İlave olarak DNS kısmında Static DNS adresleri tanımlıyorlar. DNS trafiğini kendilerine yönlendiriyorlar. (IP->DNS->STATIC)
Socks bağlantısı kuruyorlar(IP-Socks) Eğer siz tarafından ayar yapılmadı ise bu özellik devredışıdır.
Files kısmına ne olduğu belli olmayan dosyalar atıyorlar. Ne olduklarını bilmiyorum ama bunlar çalıştırılabilir dosyalar olabilirler.
Filter Rules ve NAT kısımlarına kendileri için gerekli kuralları yazıyorlar.
Cihazınıza VPN Server kurup başka cihazları bağlayabiliyorlar.(PPP kısmından incelenebilir)

Hacklenmişim ne yapmalıyım ?

Kontrol ettiniz ve hacklendiğinize dair kanıtlar buldu iseniz Network yapısına göre farklı işlemler yapabilirsiniz.

Eğer cihazı komple resetleyip yapılandırma durumunuz varsa mutlaka yapın.
Eğer çok fazla zarar yoksa problemli yerleri düzeltebilirsiniz. Ama kapılar açık olduğu için dikkatli olmalısınız.
Destek aldığınız firma/personel/danışman varsa mutlaka konuyu kendilerine iletin. Gerekli tedbirleri almalarını sağlayın.
Eğer sorun çok büyük ise ilk işiniz internet bağlantınızı kesin. Eski bir yedeğiniz varsa geri yükleyin. Cihazın versiyonu güncelleyin.(minimum 6.40.8 Bugfix Only)

Hacklenmemek için hangi tedbirleri almalıyım ?

Hacklendiniz ve farkına varıp gerekli ayarları yaptığınızı varsayıyorum. Ya da henüz hacklenmediniz ve önlem almak istiyorsunuz. Her iki durumda da aşağıdaki maddeleri uygulamaktan çekinmeyin.

Cihazda bulunan yabancı kullanıcıları silin. Mevcutlarında şifrelerini değiştirin. Fakat şifre verirken Karışık vermeye özen gösterin. Şifreyi oluştururken Büyük Harf, Küçük Harf, Rakam ve Noktalama kullanın.
Cihazın versiyonunu Minimum 6.40.8 “Bugfix Only” olarak güncelleyin. Eğer “Bugfix only” olarak yüksek versiyon varsa onu kurun.
IP-Services kısmıdan kullanmadığınız tüm portları kapatın. Sadece Winbox kalsın. Mümkünse onunda portunu değiştirin. Saldırılar genelde default portlara gelir. Kullandıklarınız portları da mümkünse standartta bırakmayın. Değiştirin.
DNS adreslerinizi özel bir amacınız yoksa güvenli DNS tanımlayın.(Yandex Aile vs..)
Yabancı gördüğünüz tüm Script, Scheduler komple temizleyin.
Dışarıdan çok fazla DNS ve benzeri port saldırısı gelir. Bunu engellemek için aşağıdaki kodu kendi sisteminize uyarlayın. DSL interface ismi ne ise “in-interface” kısmına onu yazın.

/ip firewall filter

add action=jump chain=input in–interface=pppoe–out1 jump–target=atak

add action=drop chain=atak dst–port=53,8080,80,445,135,137–139,21–23 protocol=tcp

add action=drop chain=atak dst–port=53 protocol=udp

Bağlantı kurduğunuz bilgisayardaki winbox 3.17 sürüme yükseltin. Yoksa etkili entüvirüs kullanın. (Kaspersky Free ücretsiz bir alternatif olabilir.)
Connectionlarınızın stabil çalışması içinde aşağıdaki kodu ekleyin. Filter Rules kısmında en altta yer alsın.

/ip firewall filter

add action=accept chain=input comment=“Established,Related Kabul Et” connection–state=established,related

add action=accept chain=forward connection–state=established,related

add action=accept chain=output connection–state=established,related

add action=drop chain=input comment=“Invalid Paketleri Engelle” connection–state=invalid

add action=drop chain=forward connection–state=invalid

add action=drop chain=output connection–state=invalid

Cihazı kurup kendi haline bırakmayın. Güncellemeleri takip edin. Özellikle “Bugfix only” olanları yükleyin.
Düzenli yedek alın. Olurda cihaz komple uçarsa elinizde yedeğiniz bulunsun. Aldığınız yedeği mutlaka cihaz üzerinde bırakmayın dışarıya çıkartın.

Bu konuda profesyonel destek almak isterseniz Safir teknoloji ile iletişime geçebilirsiniz.

bugfix only, hack, hacking, long term, mikrotik, mikrotik hack, pars, routerboard, routerOS, tdag, tekirdağ, trakya, winbox

mikrotikturkiye, wi.com, mikronbilgisayar, mikrotikdestek, merpazar,

Mikrotik – 2 DSL Hattını Yedekleme

13 Mayıs 2022/0 Yorumlar/in Genel, Mikrotik, Mikrotik Türkiye /tarafından admin

Mikrotik – 2 DSL Hattını Yedekleme

Yaşadığımız bu dönemde artık internet büyük bir ihtiyaç olarak görülmektedir. İnternetin olmadığı zamanlarda işler bir şekilde yavaşlar ya da durmaktadır. Resmi bir daireye gidince sistem yok, internet yok gibi söylenimleri mutlaka duymuşsunuzdur. Ya da bir otelde konaklama yapacağınız zaman internetin olmaması çok sıkıntılıdır. Bunun gibi örnekler çoğaltılabilir.

Bunun gibi sorunlardan etkilenmemek için farklı bir ISP firmasından internet alınması ve sistemde yedek olarak bekletilip sorun olunca sorunlu internetin kablosunun çıkartılıp yedek internetin kablosunun takılması en basit ve bilindik bir çözümdür. Biz bu işlemi mikrotik ile herhangi bir fiziksel bağlantı yapmadan sağlayabiliyoruz. Hatta sizin haberiniz bile olmadan sistem otomatikman internet olan diğer DSL hattına geçiş yapabiliyor. Bu sayede önemli işleriniz aksamıyor ve varsa müşterileriniz interneti kullanabiliyor.

İşin temel mantığı şu şekilde; mikrotik gateway adresine ping atarak kontrol ediyor ve ulaşamaz ise 2. tanımlı gatewaye geçiyor. Eğer 1. tanımlı gateway ulaşılabilir olursa sistem tekrar 1. Hattı kullanıma geçiriyor.

DSL Hattının bağlantısının gitmesi ve yedeğinin devreye geçirilmesi olayına “Fail Over” denilmektedir. İnternette araştırma yaparken bu kelimeleri kullanabilirsiniz.

Bu yazıda size en basit nasıl “Fail Over” yapabilirsiniz onu göstereceğim. 2 farklı yöntem için uygulama yapacağız. Aslında ikisi aynı yapıyı kullansa da farklı şekilde çalışmaktadırlar.

Gateway Kontrollü Fail Over Yöntemi

Bu yöntemde iki farklı ISP firmasından PPP hizmeti aldığınızı varsayıyoruz. TTNET, VODAFONE gibi firmalardan hizmet aldığınızda genelde PPPoE protokolünde çalışmak üzere kimlik bilgisi verirler. Verilen kimlik bilgileri ile gerekli ayarlar yapıldığında internet bağlantısı alırsınız. Bu senaryoda PPPoE protokolünde 2 bağlantımız mevcut olsun. 1. hattımız varsayılan olarak çalışırken 2. hattımız yedek olarak beklemektedir.

Yukarıdaki bilgiler eşliğinde gerekli yapılandırmayı yaptığınızda ve PPPoE Client interfacelerine DSL-1,DSL-2 isimlerinin veriyoruz. PPPoE bağlantılarını kurduğunuzda “Add Default Route” seçeneklerini her iki PPPoE Client interface kısmından kaldırın.

PPPoE interface kısmı aşağıdaki gibi olacaktır.

/interface pppoe–client

add add–default–route=no disabled=no interface=ether1 name=DSL–1 password=dsl1234 user=dsl1@dsl

add add–default–route=no disabled=no interface=ether2 name=DSL–2 password=dsl4321 user=dsl2@dsl

Bu şekilde iken NAT kısmında MasQ işlemini yapmamız gerekiyor. Her iki bacaktan da internete çıkış olursa Lokal IP adresini Bacak IP adresine çevirecektir. Gateway modundaki her kurulumda MasQ yapılması gerektedir.

/ip firewall nat

add action=masquerade chain=srcnat out–interface=DSL–1

add action=masquerade chain=srcnat out–interface=DSL–2

Cihazın DHCP,DNS ayarlarıda aşağıdaki gibi olacaktır.

/ip address

add address=192.168.2.1/24 interface=ether3 network=192.168.2.0

/ip pool

add name=dhcp_pool ranges=192.168.2.10–192.168.2.100

/ip dhcp–server

add address–pool=dhcp_pool authoritative=after–2sec–delay disabled=no interface=ether3 lease–time=1h name=dhcp

/ip dhcp–server network

add address=192.168.2.0/24 dns–server=8.8.8.8 gateway=192.168.2.1

/ip dns

set allow–remote–requests=yes servers=195.175.39.50,8.8.8.8

Route kısmı ve Fail Over ayarlarıda aşağıdaki gibi olması gerekmektedir.

/ip route

add check–gateway=ping comment=VARSAYILAN–DSL distance=1 gateway=DSL–1

add check–gateway=ping comment=YEDEK–DSL distance=2 gateway=DSL–2

Gördüğünüz gibi ayarlar çok basit. Normal ayarları yaptıktan sonra Route kısmında “Check Gateway” seçeneğini “ping” yapıp “Distance” kısmını varsayılan DSL hattı için “1“, Yedek DSL hattı için “2” yapmanız yeterlidir.

Bu senaryodaki yapılandırmada Cihaz DSL-1 gateway adresine ping atacak ve ulaşılamaz olduğunda DSL-2 üzerinden trafiği gönderecektir. Buradaki “Distance” kısmı önceliği belirler. Bu sayı küçük ise öncelik sırası öne gelecektir.

2 den fazla DSL hattınız varsa aynı yöntem ile Fail Over sayınızı arttırabilirsiniz. Aynı zamanda PPP bağlantı dışında Metro Ethernet bağlantısı ve benzeri hizmet alıyorsanız elle girilen gateway adresi için aynı yöntemler uygulanabilir. Bu arada örnekte PPP olarak yapmam genelde sahada göreceğiniz yapı olmasıdır. Burada Gatewayler otomatik alındığı için örneklendirme kolaylığı sunmaktadır.

Bu yöntem basit oluşu ile en çok kullanılanıdır. Fakat İnternet bağlantınız borcunuzdan veya ISP tarafından kesilmesinden kaynaklı olarak Gateway tarafına ulaşılması ama internet olmaması durumunda çalışmamaktadır. Çünkü bu yöntemde gateway adresine ulaşım kontrolü yapılmaktadır. Kritik önem taşıyan yerlerde bu yöntemi kullanmayın.

Dış IP Adresine Erişim Kontrolü Fail Over Yöntemi

Bu yöntem “Gateway Kontrollü Fail Over” yöntemine göre çalışsa da kontrol mekanizması internet üzerinde çalışan bir IP adresi üzerinden yapılmasına göre çalışır. Buradaki olay belirlediğiniz bir IP adresine ulaşılıp ulaşılmadığının gözlemlenmesi ve ulaşılmıyorsa yedek hatta geçilmesidir.

Lakin seçilecek olan IP adresinden kaynaklı olarak ilgili IP adresine ulaşılmaz ise sağlıklı çalışmayacaktır. Ama diğerine göre daha verimlidir. Tavsiyem bu yöntemi kullanmanız ama seçtiğiniz IP adresinin sağlam olması yönündedir. Eğer düzgün IP adresi bulamazsanız Telekom,Google,Yandex DNS adreslerini kullanabilirsiniz. En kısa ping süresi Telekom DNS adresinde var. Ben genelde 195.175.39.50 kullanıyorum.

Yukarıdaki senaryodaki bilgiler eşliğinde bu yöntemle Fail Over yapacak isek Route kısmı aşağıdaki gibi olmalıdır.

/ip route

add distance=1 gateway=195.175.39.50 scope=10 target–scope=30 check–gateway=ping

add distance=2 gateway=8.8.8.8 scope=10 target–scope=30 check–gateway=ping

add distance=1 dst–address=195.175.39.50/32 gateway=DSL–1

add distance=1 dst–address=8.8.8.8/32 gateway=DSL–2

Yukarıdaki gibi Route ayarları oluşturulur ise cihaz verdiğiniz IP adresine ulaşılıp ulaşılmadığına bakacaktır. Ulaşılabiliyorsa ilgili Gateway üzerinden çıkış yapacaktır. Ulaşılamıyor ise yedek gateway üzerinden çıkış yapacaktır.

obifi, wi, logsistemleri, ayzbilisim, hmsotel, d2, mikronbilgisayar, bilgi.wi.com.tr

mikrotikturkiye, wi.com, mikronbilgisayar, mikrotikdestek, merpazar,

Mikrotik Hotspot Kurulumu

11 Mayıs 2022/0 Yorumlar/in Genel, Mikrotik, Mikrotik Türkiye /tarafından admin

Mikrotik Hotspot Kurulumu

Hotspot kamusal alanda kablosuz yerel ağdan internete erişim olanağı sağlayan bölgedir. WiFi teknolojisini kullanır. Kafelere, alışveriş merkezlerine, tren istasyonlarına, restoranlara, süpermarketlere, kampüslere, hastanelere ve bunun gibi birçok kamusal alana uygulanabilir.

Laptop, PDA ya da telefon gibi WiFi uyumlu herhangi bir cihazla evimizin dışında zaman geçirdiğimiz alanlarda kolaylıkla geniş bant internet erişimine olanak veren hotspot bölgeleri kamuya açık ücretsiz ya da ticari olabilirler. Tamamen korumasız kamuya açık alanlarda güvenlik sorunları olabildiğinden daha çok internet erişimi sınırlandırılmış ya da ücretli, kullanıcı takipli olarak kullanılır.

Ticari olanlarında kullanıcı ilk bağlantı isteği gönderdikten sonra giriş ve yetkilendirme sayfasına yönlendirilir. Burada kredi kartı ya da telefon aracılığıyla ödeme yapılıp erişim hakkı verilebilir ya da ön ödeme ile alınmış kullanıcı adı ve şifre vasıtasıyla erişim hakkı verilebilir. Bu şekilde kullanıcılar tanımlanıp takip edilebilir.

Mikrotik Hotspot Kurulumu

Mikrotik Örnek Hotspot Kurulumu

İlk olarak hotspot LAN bacağına bir ip atıyoruz. 5.Bacağı hostpot olarak kullanmak istediğim için

Sırasıyla IP/Adress/Add[fusion_builder_container hundred_percent=”yes” overflow=”visible”][fusion_builder_row][fusion_builder_column type=”1_1″ background_position=”left top” background_color=”” border_size=”” border_color=”” border_style=”solid” spacing=”yes” background_image=”” background_repeat=”no-repeat” padding=”” margin_top=”0px” margin_bottom=”0px” class=”” id=”” animation_type=”” animation_speed=”0.3″ animation_direction=”left” hide_on_mobile=”no” center_content=”no” min_height=”none”][+ İşareti] basıp atamak istediğimiz ip adresini yazıp interface’den 5.bacağı

Yani ether5’i seçiyorum. Atamak istediğim IP 192.168.10.205/24.

Adres ve interface seçimini yaptıktan sonra IP menüsünden Hotpsot seçeneğine tıklıyoruz.

Hotspot setup şecerek kuruluma başlıyoruz.

Hotspot kurmak istediğimiz interface seçerek next diyoruz

Bu aşamada bizim hotspot yapacağımız ip bloğunu seçmemiz ve otomatik olarak firewalldan maskeleme yapacağını gösteren bir ibare çıkıyor karşımıza bu kısmı next diyerek kurulumu devam ettiriyoruz.

Burada DHCP Server in dağıtacağı ip aralığı görünmektedir.

Hotspot’ da kullanılacak sertifika seçimi sormaktadır.

Sistemde mail server kullanılıyorsa ip adresi girilmelidir.

Buarada Hotspot da kullanılacak DNS’ ler çıkıyor. Ben daha önce DNS tanımladığım için otomatik olarak DNS’l er göründü

Bu bölümde hotspot kullanıcıları hotspot karşılama ekranında adres çubuğunda hotspot ip adresimizi yerine buraya yazmış olduğumuz ismi görürler Örnek olarak misafir yazdığımızda karşılama ekranında adres çubuğunda misafir/login yazacaktır.

Hotspot için bir kullanıcı oluşturuyoruz.

Hotspot başarıyla kuruldu.

Server Profile ayarlarını yaparak hotspot kurulumunu bitiriyoruz.

————————————————————————————————————

[fusion_highlight color=”#81d742″]Hotspot Server Profile Menüsündeki Sekmeler ve Özellikleri[/fusion_highlight]

[fusion_accordion]

[fusion_toggle title=”/ip hotspot profile” open=”no”]

Name : Profil İsmi

hotspot-address: Hotspot hizmetinin ip adresi

DNS Name :Hotspot Sunucusnun DNS adı. Hotspot kullanıcı karşılama ekranında adres çubuğunda yazacak olan isim.

html-directory :Hotspot HTML sayfalarının depolandığı dizin adı. Düzenlediğiniz HTML Sayfalarını farklı dizine atarak burada belirtir hotspot ekranını modifiye edebiliriz.Hospot HTML Sayfalarına Files Menüsünden ulaşabilirsiniz.

http-proxy : Hotspot hizmeti için proxy sunucusu ve portu

LOGIN / login-by

mac-cookie Mac bazlı cookie kaydeder tekrar girişte otomatik olarak giriş yapar.

Cookie : http kimlik doğrulama yöntemi ile kullanılır. Kullanıcısı hotspot servisinden giriş yaptıktan sonra birdahaki girişinde kullanıcı adı şifre istemez

http cookie-lifetime : Tutulan Cookie’ lerin yasam süresi

http-chap : HotSpot içinde kimlik doğrulaması için kullanıcı adı ve şifre gereklidir. MD5 algoritması ile şifreler korunur.

http-pap : HotSpot içinde kimlik doğrulaması için kullanıcı adı ve şifre gereklidir. Kullanıcı adı ve şifre düz metin olarak ağ üzerinden gönderilir.

https : HotSpot içinde kimlik doğrulaması için kullanıcı için gereklidir.Istemci ve sunucu arasında kullanıcı bilgileri SSL ile şifrelenir.

mac : HotSpot içinde kimlik doğrulaması için MAC adresi sorgulanır. Mac adresleri hotspot kullanıcı veri tabanına eklenir. Giriş izni verilen MAC adresleri haricinde kimse servisi kullanamaz.

Trial : Belirlenen zaman kadar müşteriye ücretsiz internet kullanımını sağlar.

mac-auth-password :MAC bazlı kimlik doğrulamada kullanıcılara şifre belirtmek için kullanılır.

split-user-domain Split username from domain name when the username is given in “user@domain” or in “domain\user” format from RADIUS server

ssl-certificate : Https kimlik doğrulaması için gerekli SSL sertifikası adı

trial-uptime ( 30m/1d) : Trial ile birlikte kullanılır. Kullanıcıların MAC adresleri kayıt edilir ve deneme kullanıcısı hotspot kimlik doğrulaması olmadan internete çıkış sağlar. Tekrar giriş yapmak istediğinde geçmesi gereken süresi ifade eden bölümdür.

trial-user-profile : Trial Kullanıcılar için hotspot kullanıcı profili belirlenir.

RADIUS

hotspot radius

use-radius :Kimlik doğrulama için RADIUS kullanın.

radius-default-domain : Hotspot servisi için ayrı kullanılacak RADIUS sunucusu adresi

radius-accounting :Evet kullanıldığında kullanıcıların muhasebe bilgileri RADIUS sunusuna gönderilir.

radius-interim-update Radius sunucusu ve hotspot servisinin haberleşme süresi

nas-port-type : RADIUS sunucusuna gönderilmek üzere NAS-PORT değerlerini yazın. Bu değer hotspot sunucusunun fiziksel port türünü gösterir.

[/fusion_toggle]

[fusion_toggle title=”/ip hotspot user ” open=”]

-GENERAL

Server : Kullanıcıya giriş izni verilen hotspot sunucu adı

Name : HotSpot giriş sayfası kullanıcı adı, MAC adresi kimlik doğrulaması kullanıldığında adı istemcinin MAC-adresi olarak yapılandırılmalı

Password: Kullanıcı şifresi

Address : IP address, when specified client will get the address from the HotSpot one-to-one NAT translations. Address does not restrict HotSpot login only from this address

mac-address: Kullanıcının MAC adresi belirtilir ve sadece bu MAC adresi ile giriş yapabilir.

Comment: Kullanıcı için açıklayıcı bilgiler. Notlar yorumlar.

Email: Kullanıcı mail adresi

Profile: Kullanıcı profili yapılandırması. – /ip hotspot user profile

Routes: Kullanıcı bağlantı kurduğunda routes hotspot gw eklenecek. (Örnek: 192.168.1.0/24-192.168.0.1)

-LIMITS

limit-uptime : Müşteri süresi belirleme. Belirtilen zaman aşıldığında hotspot bağlantıyı keser.

limit-bytes-in : Maksimum download miktarı. (Byte Cinsinden) Belirtilen miktar aşıldığında hotspot bağlantıyı keser

limit-bytes-out: Maksimum upload miktarı. (Byte Cinsinden) Belirtilen miktar aşıldığında hotspot bağlantıyı keser

limit-bytes-total : (limit-bytes-in+limit-bytes-out) . (Byte Cinsinden) Belirtilen miktar aşıldığında hotspot bağlantıyı keser

[/fusion_toggle]

[/fusion_accordion]

[/fusion_builder_column][/fusion_builder_row][/fusion_builder_container]

Mikrotik’in RouterOS Nasıl kurulur

7 Mayıs 2022/0 Yorumlar/in Genel, Mikrotik, Mikrotik Türkiye, Router /tarafından admin

Mikrotik’in RouterOS Nasıl kurulur

Mikrotik’in RouterOS’unun kurulumu

Bu makalemizde Mikrotik’in RouterOS’unun kurulumu konusunu işleyeceğiz. Mikrotik’in RouterOS Nasıl kurulur

Kurulum öncesinde kurulacak donanımın seçimi önemlidir. Seçeceğiniz donanımın mikrotik tarafından desteklenen bir donanım olmasına dikkat etmeliyiz.

Uygun donanımı seçerken ethernet kartlarımız ve disklerimiz önemli yer tutar. Disk öncelikli olarak sistemin stabil olması ve ileride sorun yaratmaması için sonrasında ise RouterOS’un lisans bilgisinin sabit diskinizin ID bilgisi ile birlikte işlenmesi nedeni ile önemlidir. Eğer disk bozulur ve siz yeniden bir kurulum yaparsanız yeni sabit diskiniz için yeniden lisans satın almanız gerekmektedir.

Lisanslar nelerdir? Güzel soru! RouterOS kapsam ve özelliklere göre birden fazla lisans seviyesi sunmaktadır.

Bu dökümanda Level 4 lisansına sahip olacağımız öngörülerek devam ediyoruz.

Donanımımızı seçtik, diskimize karar verdik. Şimdi boş bir cd ile RouterOS’u download edip cdye yazmamız gerekiyor.

Kurulum için mikrotik cd için iso, internetten kurulum için netinstall ve disketten kurulum için floppyinstall setlerini size sunuyor.

Biz CD install seçerek devam edeceğiz.

Bu bağlantıya tıklayarak “System Type” bölümünden INTEL/AMD PC seçeneğini seçiyoruz. Alt bölümden “all packages” seçeneğini seçerek indireceğiniz zip dosyası içerisinden çıkacak ISO’yu boş cd mize yazıyoruz. Bilgisayarı cd üzerinden boot ediyoruz.

Mikrotik BOOT Ekranı

Ardından karşımıza gelecek ekrandan ihtiyaç olacak paketleri seçiyoruz. Ürünler konusunda mikrotik sayfamızı inceleyebilirsiniz. Dilerseniz şimdilik tüm paketleri seçelim ve kurulum ekranında “i” tuşuna basarak INSTALL işleminin başlamasını izleyelim. DİKKAT etmemiz gereken nokta şuandan itibaren mikrotik’in tüm diskinizi formatlayacağı ve tamamen sıfırdan kurulum yapacağını bilmeniz gerekiyor. Bu konuda dikkatli olmalısınız.

Diskinizin boyutuna göre birkaç dakika içerisinde sistem kurulacaktır.

Kurulum sonrasında ENTER’a basarak sistemin reboot edilmesini bekleyecektir.

Mikrotik Kurulum Ekranı

Kurulum gördüğümüz üzere çok basit ve 3-5 dk içerisinde tamamlanan bir bölümdür.

obifi,
wi,
logsistemleri,
ayzbilisim,
hmsotel,
d2,
mikronbilgisayar,
bilgi.wi.com.tr

MikroTik Kablosuz AP Yapılandırması

5 Mayıs 2022/0 Yorumlar/in Genel, Mikrotik, Mikrotik Türkiye /tarafından admin

MikroTik Kablosuz AP Yapılandırması

Winbox kullanarak DHCP ile MikroTik Kablosuz AP Yapılandırması

MikroTik Kablosuz Yönlendirici , en popüler ve kararlı WiFi Yönlendiricilerden biridir. Bir ISS veya bir ofis veya bir ev için WiFi Zone, MikroTik WiFi Router ile kolayca yapılandırılabilir . MikroTik, WiFi Access Point (AP), WiFi İstasyonu veya WiFi Tekrarlayıcı olarak kullanılabilecek çok sayıda WiFi Yönlendiriciye sahiptir. MikroTik Kablosuz Yönlendirici aynı anda hem WiFi İstasyonu hem de WiFi AP olarak kullanılabilir. MikroTik Kablosuz Yönlendiricinin basit kullanımı MikroTik WiFi AP ile bir WiFi Bölgesi oluşturmaktır . Bu yazıda, MikroTik hAP lite kablosuz yönlendirici kullanarak bir evde veya ofiste veya hatta bir ISP ağında bir WiFi Bölgesi oluşturmak için MikroTik WiFi AP’nin nasıl yapılandırılacağını tartışacağım.

MikroTik WiFi Erişim Noktası

MikroTik Kablosuz Yönlendiricinin köprü veya ap-köprü modu, WiFi Access Point oluşturmak için kullanılır . MikroTik Kablosuz Yönlendirici, WPA ve WPA2 PSK güvenliği ile anlamlı SSID oluşturma imkanı sunar. Erişim Listeli MikroTik WiFi AP ve RADIUS Server’da MAC Adresi filtrelemesi de yapılabilmektedir. MikroTik’te farklı amaçlar için bir çok WiFi Router mevcuttur. Bunların arasında bir evde, ofiste veya ISP’de bir WiFi Bölgesi oluşturmak için bir hAP lite (RB941-2nD) kablosuz yönlendirici yapılandıracağız (ancak yapılandırma tüm MikroTik Kablosuz Yönlendiriciler için aynı olabilir).

ağ şeması

Bu makale yapılandırması için aşağıdaki ağ şeması izlenmektedir.

MikroTik Kablosuz AP Yapılandırması — MikroTik WiFi Yönlendirici

Bu ağ şemasında WiFi AP ve LAN ağ geçidi olarak hAP lite MikroTik Kablosuz Yönlendirici kullanılmaktadır. Bu kablosuz yönlendiricinin bir WLAN arabirimi ve dört Ethernet arabirimi vardır. Kablosuz cihazların bağlanabilmesi için WLAN arayüzünde WiFi AP oluşturulacaktır. Dört Ethernet arayüzü arasından ether1 portu, 192.168.70.0/30 IP ağı ile WAN bağlantısı olarak kullanılacaktır. Bir köprü arayüzü oluşturacağız ve bu köprü arayüzü üzerinde bir DHCP Sunucusu (IP blok 10.10.70.0/24 ile) yapılandıracağız ve ardından WiFi kullanıcıları ve LAN kullanıcılarının IP adresi alabilmesi için bu köprüye WLAN arayüzü ve ether2 ila ether4 arayüzleri ekleyeceğiz, varsayılan ağ geçidini ve diğer ağ parametrelerini bu DHCP Sunucusundan otomatik olarak alır.

MikroTik WiFi AP Yapılandırması

Şimdi MikroTik hAP light Wireless Router’da WiFi AP ve LAN ağ geçidini yapılandıracağız. Tam Kablosuz AP Kurulumu ve LAN Ağ Geçidi Yapılandırması aşağıdaki beş adıma ayrılabilir.

Varsayılan RouterOS Yapılandırmasını Sıfırlama
WLAN Arayüzünde WiFi AP Kurulumu
Köprü Arayüzü Oluşturma ve LAN ve WLAN Bağlantı Noktaları Ekleme
Temel RouterOS Yapılandırması
Köprü Arayüzünde DHCP Yapılandırması

Adım 1: RouterOS Varsayılan Yapılandırmasını Sıfırlama

MikroTik Wireless RouterOS genellikle varsayılan konfigürasyonla gelir. Ancak varsayılan yapılandırma bazen kafanızı karıştırır. Bu nedenle, her zaman varsayılan yapılandırmayı sıfırlamanızı ve kaldırmanızı öneririm. Aşağıdaki adımlar, RouterOS varsayılan yapılandırmasının nasıl sıfırlanacağını ve kaldırılacağını gösterecektir.

Yönetici kullanıcı veya herhangi bir tam izin kullanıcısı ile Winbox kullanarak RouterOS’ta oturum açın.
Sistem menü öğesine tıklayın ve ardından Yapılandırmayı Sıfırla seçeneğine tıklayın. Yapılandırmayı Sıfırla penceresi görünecektir.
Varsayılan Yapılandırma Yok onay kutusunu tıklayın.
Yapılandırmayı Sıfırla düğmesine tıklayın. Yapılandırmayı sıfırlamayı onaylamanızı isteyecektir. Onaylamak için Evet’e tıklayın.
Şimdi varsayılan yapılandırma sıfırlanacak ve Yönlendirici Tahta yeniden başlatılacak. Başarılı bir yeniden başlatmanın ardından, yeni ve sıfır konfigürasyonlu bir RouterOS alacaksınız.

2. Adım: WLAN Arayüzünde WiFi AP Kurulumu

MikroTik hAP lite kablosuz yönlendirici, WiFi AP’nin kurulması gereken bir WLAN arayüzüne sahiptir. MikroTik Kablosuz Router’da WiFi Access Point kurmak için önce Güvenlik Profili oluşturmamız, ardından kablosuz cihazları bağlamak için SSID oluşturmamız gerekiyor.

Güvenlik Profilleri Oluşturma

MikroTik WiFi AP ile kablosuz bir cihaza bağlanmak için kablosuz cihazların güvenlik anahtarı (şifre) sağlaması gerekir. MikroTik kablosuz, hem WPA PSK hem de WPA2 PSK kimlik doğrulama türünü destekler. Aşağıdaki adımlar, Güvenlik Profili ile MikroTik WiFi AP için nasıl geçiş anahtarı oluşturulacağını gösterecektir.

Winbox’tan Kablosuz menü öğesine tıklayın. Kablosuz Tablolar penceresi görünecektir.
Güvenlik Profilleri sekmesine ve ardından ARTI İŞARETİNE (+) tıklayın. Yeni Güvenlik Profili penceresi görünecektir.
Ad giriş alanına anlamlı bir profil adı (WiFi Profili) girin.
Mod açılır menüsünden dinamik tuşları seçin.
Kimlik Doğrulama Türleri panelinden WPA PSK ve WPA2 PSK onay kutusunu işaretleyin.
Şimdi WPA Pre-Shared Key ve WPA2 Pre-Shared Key şifre kutusunda güçlü şifre sağlayın.
Uygula ve Tamam düğmesine tıklayın.

MiKroTik Kablosuz AP Güvenlik Profili

MikroTik WiFi AP için SSID Oluşturma

Güvenlik Profili oluşturduktan sonra şimdi Kablosuz Modu ayarlayıp SSID (Service Set Identifier) oluşturacağız ki kablosuz cihazlar oluşturulan SSID ile MikroTik Erişim Noktamızı bulabilsin. Aşağıdaki adımlar hAP lite MikroTik Kablosuz Yönlendiricide SSID’nin nasıl oluşturulacağını ve kablosuz modunun nasıl ayarlanacağını gösterecektir.

WiFi Arayüzleri sekmesine tıklayın ve burada WLAN arayüzünü (varsayılan olarak: wlan1) bulacaksınız. İlk seferde devre dışı bırakılabilir. Bu nedenle, devre dışı bulursanız, farenin sağ düğmesine tıklayın ve ardından WiFi arayüzünü etkinleştirmek için Etkinleştir seçeneğine tıklayın.
Kullanılabilir ve etkin WiFi Arayüzüne çift tıklayın. Arayüz penceresi görünecektir.
Genel sekmesinden WiFi arabirim adını Ad giriş kutusundan ayarlayabilir veya varsayılan olarak tutabilirsiniz.
Kablosuz sekmesine tıklayın ve Mod açılır menüsünden ap köprüsünü seçin.
SSID giriş kutusuna SSID adını (MikroTik AP) girin.
Şimdi Gelişmiş Mod düğmesine tıklayın ve Güvenlik Profili açılır menüsünden oluşturduğunuz güvenlik profilini seçin.
Varsayılan Kimlik Doğrula ve Varsayılan İlet onay kutusunun işaretli olduğundan emin olun. Aksi takdirde cihazlar MAC kimlik doğrulaması yapılana kadar bağlanmayacaktır.
Uygula ve Tamam düğmesine tıklayın.

Artık oluşturulan SSID kablosuz cihazlarda bulunur ve şifre sağlanarak kablosuz cihaz bağlanabilir. Bağlı cihazları Kayıt sekmesinde bulacaksınız. Ancak internet almak için bağlantı yeterli değildir. Bağlı cihazlara internet erişimi sağlamak için IP adresi, varsayılan ağ geçidi ve diğer ağ parametrelerinin sağlaması gerekir. O halde şimdi MikroTik Router temel konfigürasyonunu köprü arayüzü oluşturarak yapacağız. Ayrıca DHCP Sunucusunu IP adresi, varsayılan ağ geçidi ve diğer ağ parametrelerini otomatik olarak atayacak şekilde yapılandıracağız.

Adım 3: Köprü Arayüzü Oluşturma ve LAN ve WLAN Bağlantı Noktaları Ekleme

Şimdi bir köprü arayüzü oluşturacağız ve LAN ve WiFi kullanıcılarına aynı blok IP adresini sağlamak istediğimiz için bu köprüye WLAN arayüzü dahil ether2’ye ether3 arayüzleri ekleyeceğiz. Aşağıdaki adımlar, köprü arayüzünün nasıl oluşturulacağını ve buna fiziksel arayüzlerin nasıl ekleneceğini gösterecektir.

Köprü menü öğesine tıklayın. Köprü arayüzü görünecektir.
Köprü sekmesine ve ardından ARTI İŞARETİNE (+) tıklayın. Yeni Arayüz penceresi görünecektir.
(LAN_Bridge) Ad giriş alanına köprü arabirim adını girin.
Uygula ve Tamam düğmesine tıklayın.
Şimdi Bağlantı Noktaları sekmesine tıklayın ve ARTI İŞARETİNE (+) tıklayın. Yeni Köprü Bağlantı Noktası penceresi görünecektir.
Arayüz açılır menüsünden ether2 arayüzünü seçin.
Köprü açılır menüsünden oluşturulan köprü arayüzünü (LAN_Bridge) seçin.
Uygula ve Tamam düğmesine tıklayın.
Benzer şekilde bu köprüye ether3, ether4 ve wlan1 arayüzlerini ekleyin.

Bridge'e Arayüz Ekleme — Bridge’e Arayüz Ekleme

Adım 4: Temel RouterOS Yapılandırması

Şimdi WAN IP, LAN Gateway, DNS IP ve Default Gateway IP’yi atadığımız ve NATing’i yapılandıracağımız RouterOS temel yapılandırmasını yapacağız. Aşağıdaki adımlar MikroTik Kablosuz Router’da temel konfigürasyonun nasıl yapıldığını gösterecektir.

IP > Adres menü öğesine gidin. Adres Listesi penceresi görünecektir.
ARTI İŞARETİNE (+) tıklayın. Yeni Adres penceresi görünecektir. ISP tarafından sağlanan IP adresini (192.168.70.2/30) Adres giriş kutusuna girin. Şimdi Arayüz açılır menüsünden ether1’i seçin. Uygula ve Tamam düğmesine tıklayın.
Aynı şekilde tekrar ARTI İŞARETİ (+)’ya tıklayın ve Adres giriş alanına LAN Ağ Geçidi IP’sini (10.10.70.1/24) girin ve Arayüz açılır menüsünden köprü arayüzünü (LAN_Bridge) seçin ve Uygula ve Tamam düğmesine tıklayın.
Şimdi IP > DNS menü öğesine gidin. DNS Ayarları penceresi görünecektir. ISS’nizin sağladığı DNS IP’sini veya Google Genel DNS IP’sini 8.8.8.8’i Sunucular giriş alanına koyun.
IP > Rotalar menü öğesine gidin. Rota Listesi penceresi görünecektir. Ağ Geçidi giriş alanına tıklayın ve bu alana ISP tarafından sağlanan ağ geçidi IP’sini (192.168.70.1) girin. Uygula ve Tamam düğmesine tıklayın.
IP > Güvenlik Duvarı menü öğesine gidin. Güvenlik duvarı penceresi görünecektir. NAT sekmesine ve ardından ARTI İŞARETİNE (+) tıklayın. Yeni NAT Kuralı penceresi görünecektir. Genel sekmesinden Zincir açılır menüsünden srcnat’ı seçin ve Src’ye LAN Bloğu (10.10.70.0/24) koyun. Adres giriş alanı. Eylem sekmesine tıklayın ve Eylem açılır menüsünden maskeli baloyu seçin ve ardından Uygula ve Tamam düğmesine tıklayın.
Şimdi Yeni Terminal menü öğesini tıklayın ve google.com’a ping atın. Her şey yolundaysa, yanıt alacaksınız, yani MikroTik Router artık internet ile iletişim kurmaya hazır.

Adım 5: Bridge Arayüzünde DHCP Sunucusu Yapılandırması

Şimdi DHCP Sunucusunu, WiFi kullanıcıları ve LAN kullanıcılarının IP adresini, varsayılan ağ geçidini ve diğer ağ parametrelerini otomatik olarak alabilmeleri için köprü arayüzü üzerinde kuracağız. Aşağıdaki adımlar, MikroTik RouterOS’ta köprü arayüzünde DHCP Sunucusunun nasıl kurulacağını gösterecektir.

IP > DHCP Sunucusu menü öğesine gidin. DHCP Sunucusu penceresi görünecektir.
DHCP Kurulumu düğmesine tıklayın. DHCP Kurulum penceresi görünecektir.
DHCP Sunucu Arayüzü açılır menüsünden köprü arayüzünü (LAN_Bridge) seçin ve ardından İleri düğmesine tıklayın.
LAN Bloğu (10.10.70.0/24), DHCP Adres Alanı giriş alanına otomatik olarak atanacaktır. Yani, yapacak bir şey yok. Sadece İleri düğmesine tıklayın.
LAN Ağ Geçidi (10.10.70.1), DHCP Ağı için Ağ Geçidi giriş alanında otomatik olarak atanacaktır. Yani, sadece İleri düğmesine tıklayın.
IP adresinin Kablosuz cihazlara atanacağı IP Havuzu ve LAN cihazları, Verilecek Adresler giriş alanında LAN Bloktan (10.10.70.2-10.10.70.254) otomatik olarak atanacaktır. Yani, sadece İleri düğmesine tıklayın.
Atanan DNS Sunucusu IP’niz, dosyalanan DNS Sunucusu girişinde otomatik olarak atanacaktır. Bu yüzden İleri düğmesine tıklayın.
Varsayılan DHCP kiralama süresi 10 dakikadır. Bu nedenle, dosyalanmış Kira Süresi girişinde 10 dakika atanmış olarak kalacaktır. İsterseniz kiralama süresini istediğiniz kadar artırabilirsiniz. İleri düğmesine tıklayın.
Şimdi DHCP Kurulumu başarılı mesaj penceresini göreceksiniz. Tamam düğmesini tıklamanız yeterlidir.

DHCP Sunuculu MikroTik WiFi AP artık hazır. Şimdi herhangi bir kablosuz cihazı bağlayın veya herhangi bir LAN cihazını bağlayın. Cihaz IP adresini, varsayılan ağ geçidini ve diğer ağ parametrelerini otomatik olarak alacak ve internet erişimi alabilecektir.

Bu MikroTik WiFi AP konfigürasyonu ile WiFi şifresini bilen herhangi bir kablosuz kullanıcı SSID ile bağlanabilir ve LAN kablosu ile bağlanacak herhangi bir LAN kullanıcısı DHCP Sunucusuna erişebilir ve DHCP Sunucusu kendisine IP adresini vermekten mutluluk duyacaktır, yetkisiz erişimi engelleyen bir filtre kuralı olmadığından varsayılan ağ geçidi ve diğer ağ parametreleri.

MikroTik Kablosuz veya WiFi AP, MAC adresine göre erişim sağlayan yeterince akıllıdır. Ancak MAC adresi filtrelemesi yalnızca WiFi erişimini kaydedebilir. LAN kullanıcıları ayrıca MAC Adresine göre filtreleme yapmalıdır. Bunun için MAC Adresine göre erişimi filtreleyecek Statik DHCP Sunucu Yapılandırmasını kullanmak her zaman daha iyidir .

MİKROTİK TEKNİK DESTEK İÇİN TIKLAYINIZ

mikrotikturkiye,
wi.com,
mikronbilgisayar,
mikrotikdestek,
merpazar,

Routerboard Kurulumu

3 Mayıs 2022/2 Yorumlar/in Mikrotik, Mikrotik Teknik Destek, Mikrotik Türkiye, Router /tarafından admin

Routerboard Kurulumu

1. Yeni Bir Router Oluşturun

Panelden yeni router ekle diyerek Marka olarak Mikrotik seçiniz.
Bir isim girdikten sonra, Kaydet butonu ile sonraki adıma geçiniz.

2. Kurulum Ayarlarını Yapın

Nat Interface bölümüne kullanıcıların WAN olarak kullanacağı interfacei yazınız. (örn: ether2 veya bridge-wan)
Nat IP bölümüne girilen interface ait lokal ip adresini yazınız.
Hotspot DHCP IP bölümüne dağıtılacak IP bloğunu yazınız. (örn: 10.5.50.0)
Hotspot DHCP Subnet bölümüne IP subneti yazınız. (örn: 24)
Hotspot Uygulanacak Interfaceler bölümüne hotspot için kullanılacak interfaceleri yazınız. Birden fazla interface yazabilirsiniz. Bu durumda bu interfaceler bir bridge altında toplanacaktır.

3. Kurulumu Tamamlayın

Tüm bilgileri girdikten sonra Script Oluştur butonuna tıklayınız.

Oluşturulan scripti kopyalayınız.
Winbox yazılımı ile Mikrotik cihazınıza bağlanınız.
Terminali açarak bu scripti yapıştırın. Daha sonra enter tuşuna basınız.

Kurulumu başarıyla tamamladınız.

Mikrotik Firewall

1 Mayıs 2022/2 Yorumlar/in Genel, Mikrotik, Mikrotik Türkiye, Router /tarafından admin

Mikrotik Firewall

Mikrotik Linux çekirdeği üzerinde geliştirilen RouterOS (Router İşletim Sistemi) dur. Bu işletim sistemi ile pc tabanlı bir bilgisayar gelişmiş bir router a çevirebilirsiniz. Mikrotik uzun çalışma yılları sonrasında kendine has cihazlarda da çalışabilmektedir. Şu anda piyasada yaygın olarak kullanılan modeller port, performans ve moduler yapısına göre değişiklik göstermektedir. Başlıca kullanım alanlarına örnek vermek gerekirse Çok cuzi rakamlara 4 veya 5 ofisinizi birbirine vpn ile bağlayarak ortak çalışma alanlarına katabilirsiniz. İnterneti dağıtıyorsanız veya şirketinizde hız problemleri yaşıyorsanız mikrotik in bant genişliği özelliğini kullanarak paylaşılan interneti kısıtlayabilirsiniz. Bu örneklerle ilgi detaylı bilgi aşağıda sırayla anlatılmıştır.

Sizde Mikrotik RouterOS almak veya kurulu olan RouterOS unuza destek almak isitiyorsanız bizim ile iletişime geçebilirsiniz.

1. Mikrotik’i yönlendirici (Router) olarak kullanabilirsiniz.

Basit ara yüzü ile static router kurallarinizi kolaylikla yönetebilirsiniz.
Web sitelerini ziyaret ederken birinci modemi, e-posta hesabiniza bakarken ise
ikinci modemi kullanabilirsiniz.

2. Mikrotik’i Bandwidth Manager (Bant Genisligi Yönetimi) olarak kullanabilir.

Aginizdaki belli bir makineyi veya belli bir ip blogunda bulunan makinelerin trafigini kisabilir, bloklayabilir aginizi daha düzenli hale getirebilirisiniz.

3. Mikrotik’i Ates Duvari (Firewall) olarak kullanabilirsiniz.

Belli portlari ve belli protokolleri kisitlayabilir.
Aginizi ayrintili analiz edebilir gelen giden baglantilari görüp, yönlendirip,
bloklayabilirsiniz.

4. HotSpot Gateway olarak kullanilabilir. Local Network yada Wi-Fi Agnizda kullanici tanimlamalari yaparak user name
bazinda kisitlamalar yada yetkiler atanabilir ve intertnet kullanmak isteyen
kullanicilara (müsteri,misafir vss..) ücretli, ücretsiz, süreli, süresiz sekilde internet
hizmeti verebilirsiniz.

5. VPN (Virtual Private Network) uygulamalarin da VPN Server
olarak kullanabilirsiniz.
6. Mikrotik ile BGP yapabilir aginizda en alt seviye yönetime sahip olabilirsiniz.

7. Traffic Monitor ve Kullanici Loglama

Aginizdaki tüm trafigi tüm protokollerle birlikte izleyip 5651 yasasina uygun sekilde loglayabilirsiniz.

8. Dial-in ve Dial-out server olarak kullanabilir. Dial-Up hizmeti verebilirsiniz.

9. PPP, PPoE, PPPoA server ve clientile adsl aglarina baglanabilir. Mikrotiginize adsl ipsi aldirtabilirsiniz.

10. Load Balancing ile Biden fazla adsl hattinizi ayni anda yönetip kullanabilirsiniz.

11. Proxy server olarak kullanabilirsiniz. Mikrotigin Web-Proxy, Proxy Cache özellikleri ile içerigi yönetebilirsiniz. Ayrica Transparent Proxy destekler. Reverse Proxy olarak kullanilabilir olmasi, firewall üzerinden Transparan olarak çalisarak kullanicilara herhangi bir islem gerektirmeden trafikleri yönetmesi ve oldukça rahat yönetilebilen içerik filtreleme özellikleri sayesinde ofis ve internet cafelerin kullaniminda ciddi rahatliklar saglayabilir. Hatta bu konuda Web Server Load Balancing gibi islemleride ayni uygulamadan yapabilmektesiniz.

12. DHCP ile aginizdaki IP yönetimini tamamen mikrotige verebilirsiniz. MAC adresi tabanli filitreleme ve erisim denetlemeleri yapabilirsiniz.
13. DNSserver olarak kullanabilirsiniz.
14. SDSL Single Line DSL hizmetlerini destekler.
15. Voice Over IP (VoIP) destegi sayesinde bilgisayardan bilgisayar veya bilgisayardan telefona baglanti saglayabilirsiniz.
16. VLAN Trunking Protocol (VTP) Vlan Networks olusturarak aginizi genisletmenize olanak saglar.

Bu saydigimiz islemler en çok kullanilan islemlerden bazilari bunlarin disinda sayamadigimiz bir çok islemi yapmak ve çoklu kullanici destegi yönetimi ile erisim denetleyicisi kullanmaniz için sizi bekliyor.

obifi,
wi,
logsistemleri,
ayzbilisim,
hmsotel,
d2,
mikronbilgisayar,

Mikrotik RouterOS Firewall Nedir

29 Nisan 2022/1 Yorum/in Genel, Mikrotik, Mikrotik Türkiye, Router /tarafından admin

Mikrotik RouterOS Firewall Nedir?

Firewall cihazımız üzerinden geçen tüm paketleri izleyerek bu paketlere vereceğimiz parametrelere göre işlem yapmak üzere kurgulanmış bir uygulamadır.

Bu uygulama tüm işlemlerini 3 ana tablo altında toplamaktadır.

INPUT: Yani sadece router’ımıza giren paketler.
OUTPUT: Yani sadece router’ımızdan dışarı çıkan paketler.
FORWARD: Router’ımız üzerinden geçerek bir başka ip adresine giden paketler.(routing-nat)

Mikrotik Linux tabanlı bir sistem olduğundan Linux Kerneli üzerindeki IPTABLES sistemi ile birebir aynı mantığa sahiptir. Fakat kullanım açısından ciddi kolaylıklar sağlayarak çok daha rahat yönetim imkanı sunmaktadır.

Winbox Uzerinde Firewall Ekrani

Firewall özellikleri ile pek çok parametre sayesinde bize 120 den fazla seçenek ile filtreleme ve uygulama yapmamıza olanak tanır.

Son sürümlerde geliştirilen bu özelliği sayesinde pek çok işlemde SCRIPT yazarak algılama ve tespit konularında da beceriler eklenen Mikrotik Firewall ofis networklerinizde ciddi oranda kolaylıklar sağlamaktadır.

Firewall Planlama

Planlama konusunda 2 tip mantık üzerinden hareket edebiliriz.

İlk tip: Herşeyi kapatarak sadece ihtiyacımız olan portlara izin vererek.
İkinci tip: Herşeyi açık bırakarak, sadece engellemek istediğimiz portları engelleyerek.

Bu tiplerin kullanımlarına örnek:

Herşeyi engelle, sadece ihtiyacınız olan portlara izin ver:

Örnek olarak web, dns, mail gibi servisler sunduğunuz bir server’ınız veya serverlarınız var. Bu durumda sadece kullandığınız portlara izin vermeniz, ihtiyacınız olmayan diğer portları tamamen kapatmanız en doğru çözüm olacaktır.

Herşeye izin ver, sadece engellemek istediklerini engelle.

Bu durum bir ofis kullanımı için oldukça uygundur. Örnek olarak 50 kullanıcılık bir ofis networkünde MSN veya OYUN portlarını kapatmak fakat diğer tüm uygulamalara müsade etmek en kolay yönetimlerdendir.

Bu kullanımlardan hangisi size en uygun buna karar vererek işleme başlayabilirsiniz.

Adım adım aşağıdaki noktaların üzerinden geçerek firewall yapılandırmanızı planlayabilirsiniz.

Adım 1: Öncelikle firewall’ın güvenliğini sağlamalıyız. Bu güvenliği firewall’a sadece belirli ip adreslerinden tüm erişimlere izin vererek, diğer erişimlerin tamamını kapatarak sağlayabiliriz. Ayrıca dışarıya açık olan servislerin erişim limitlerinide belirtebiliriz. Örnek olarak sadece ssh ve web portunu açık bırakarak diğer tüm portları kapatmak, ICMP üzerinden de gelen talepleride aynı şekilde belirli süre ve paket boyutuna limitlememiz yeterli olacaktır.

Firewall INPUT Kuralları

Grafikte göreceğiniz noktada Bytes ve Packet alanlarında bu girmiş olduğunuz kuralın kaç byte ve kaç paket için uygulandığınıda görebiliyorsunuz. Bu özellik sayesinde uygulanan kuralın işlevsellik durumunu kontrol edebiliyor, ne kadar etki yarattığını inceleyebiliyorsunuz.

Ayrıca kuralın üzerine 2 defa tıklamanız durumunda Trafik ve İstatistikler sekmelerinde anlık olarak trafik ve diğer istatistik verilerinide görebilirsiniz.

Adım 2: karar verdiğimiz kullanım tipini belirlediysek buna göre kuralları oluşturabiliriz. Örnek olarak herşeyi kapatarak sadece ihtiyacımız olan portlara açmayı görebilirsiniz.

Güvenlik Duvarı İleri Tablosu

Adım 3: Erişimlerin kayıtlarınıda tutmak istersek bu durumdada Firewall ayarlarımızı kullanarak erişimleri kaydedebiliriz. Bu işlem için yeni kural ekliyorsunuz. Kural ekleme ekranında Chain kısmına yeni yaratmak istediğiniz tabloyu yaratmanız yeterlidir. Winbox bu kuralı otomatik olarak yaratacaktır. Ekstra bir işlem yapmanıza gerek yoktur.

Winbox Güvenlik Duvarı

Bu işlemde Action kısmında işlem olarak LOG seçiyor ve LOG PREFIX olarak LOGANDDROP yazıyoruz. Bu işlem sayesinde bu kurallarca tutulacak kayıtların satır başlarında bu kural tarafından tutulduğuna dair bir belirti olacak böylece pek çok log üzerinde çalışırken hangi işlemden dolayı kayıt tutulduğunu karıştırmamış olacaksınız.

Winbox Güvenlik Duvarı

Yarattığımız LOGANDDROP tablosunu firewall penceresinin sağ tarafından seçerek bu tablo içerisindeki kurallarımızı görebilirsiniz.

Winbox Güvenlik Duvarı

Bu tabloda 2 kural uygulayacağız. 1. Kuralımız gelen tüm paketleri kaydet. Yani Log tutması. 2. kural ise tüm paketleri engellemesi olacak. Bu kural sonrasında tablomuzun görünümü şu şekilde olacaktır.

Winbox Güvenlik Duvarı

Şimdi bu tablomuzu yarattık. Fakat ana tablolarımız olan INPUT-FORWARD-OUTPUT veya diğer aktif tablolarımızdan herhangi bir işlemi bu tablomuza yönlendirmeden kullanılamayacaktır. Bu nedenle yapmak istediğimiz işleme göre kuralları bu tabloya yönlendirmemiz gerekecektir. Action kısmında JUMP özelliği bu işlem için kullanılmaktadır.

Örneğimizde istemediğimiz tüm paketleri DROP olarak seçmiştik. Şimdi bu filtreye giderek DROP yerine JUMP seçeceğiz. JUMP edilecek tablo olarakta yeni yarattığımız bu LOG_AND_DROP tablosunu seçeceğiz. Böylece bu filtreye uyan tüm paketler bu tablomuza gelecektir. Bu tablomuzda önce kaydedilecek sonrasında ise DROP edilecektir.

Winbox Güvenlik Duvarı

Ve bu kuralımızın ardından LOG kısmına girip baktığımızda pek çok kayıt göreceksiniz. Bu kayıtları incelerseniz hangi Source ip adresinden hangi destination’a gittiğine kadar pek çok detayı bulabilirsiniz.

Bu arada önemli bir özellik konusunda bilgi vermemiz gerekiyor. Sistemin default log özelliği 50-100 satırdan fazla kaydı tutmayacaktır. Log özelliğini genişletmek için daha sonraki makalelerimizde unix SYSLOGD üzerinde log tutulabilmesine ilişkin bazı özellikleri incelemeniz gerekmektedir.

Winbox Güvenlik Duvarı

Farklı tablolar kullanarak farklı kullanımlar veya farklı müşterileriniz için Mikrotik Firewall’ı oldukça iyi derecede düzenleyebilirsiniz.

obifi,
wi,
logsistemleri,
ayzbilisim,
hmsotel,
d2,
mikronbilgisayar

Mikrotik Hotspot Doğrulama Nasıl Yapılır

27 Nisan 2022/1 Yorum/in Genel, Mikrotik, Mikrotik Türkiye, Router /tarafından admin

Mikrotik Hotspot Doğrulama Nasıl Yapılır

Bu yazımızda Mikrotik Router üzerinde hotspot doğrulmadan bahsedeceğiz.

Madde (1-13 arası Mikrotik üzerinde oluşturulan kullanıcıların otantikasyon yapılandırmasını içermektedir. 13 – 17 harici radius server kullanılmak istenildiğindeki yapılandırma ayarlarını içerir.)

1- Aşağıda görüldüğü üzere 1 adet WAN bacağımız (ether1) ve 1 adet HOTSPOT etiketli Misafir ağımız mevcut (ether2)

2- Öncelikle IP – Accounting sekmesinden Enable Accounting ve Account Local Traffic isimli kutucukları seçip OK butonu ile yapmış olduğumuz değişiklikleri kayıt altına alıyoruz. Bu seçenekler otantike olan kullanıcılar ile alakalı bilgilerin döndürülmesini sağlayacak.

3- Daha sonra yine sol sekmede bulunan IP – Hotspot menüsüne gelerek aşağıda da göreceğiniz üzere Hotspot Setup butonuna basarak aşağıdaki işlemleri sırası ile yapıyor olacağız.

4- Hotspot yapılandırılmasının yapılacağı interface’i seçmemiz isteniyor. Yukarıda Hotspot ağımız ether2 de olduğundan ben ether2‘yi seçiyorum.

5- IP Adresi ve CIDR değerini gösteriyor Next butonuna basarak bir sonraki adıma geçiyoruz.

6- Mikrotik Hotspot ağı için otomatik olarak bir DHCP sunucusu ayarlıyor ve dağıtılacak olan IP aralığını gösteriyor siz burada aralığı istediğiniz gibi değiştirebilirsiniz.

7- SSL sertifikayı ben burada none olarak bırakıyorum ve devam ediyorum.

8- Yine SMTP server kısmını da aynı aşağıdaki gibi bırakıyorum.

9- DNS Servers kısmına birden fazla DNS girebilirsiniz ben Google DNS‘i kullanacağım.

10- DNS Name‘i aşağıdaki gibi giriyorum.

11- Yerel bir hotspot kullanıcısı oluşturmamız isteniyor.

12- Görüldüğü üzere Hotspot ayarlarımız tamamlanmış bulunmaktadır.

13- Eğer yerel kullanıcılar otantikasyon için kullanılmayacaksa ve harici bir Radius server’ınız varsa, en sol sekmedeki Radius kısmına gelip aşağıdaki bilgileri doldurup kayıt edebilir. External Radius Server‘ınızı otantikasyon için kullanabilirsiniz.

14- Radius ayarları yapıldıktan sonra aşağıdaki gibi gözükecektir.

15- Yine Radius penceresinde Incoming butonuna basarak 3799 CoA portundan gelen istekleri Accept kutusuna tıklayarak aktifleştiriniz.

16- Tekrar IP – Hotspot sekmesinden Hotspot Server Profile kısmına girip Otantikasyon ayarlarını yapıyoruz. Buradaki Cookie ve MAC Cookie seçenekleri seçilmesi halinde MAC Authentication‘u devreye almamızı sağlıyor. Bu sayede kullanıcı bir kez oturum açtıktan sonra belirtilen gün boyunca (HTTP Cookie Lifetime) MAC Adresini saklayıp tekrar kullanıcı ve şifresi girilmesine gerek kalmadan kullanıcıyı INTERNET’e çıkartacaktır.

17- Radius sekmesindeki yapılandırma da aşağıdaki gibidir:

Not: Varsayılan karşılama sayfasını isteğinize göre değiştirebilmeniz mümkün, sol alanda bulunan Files kısmında login ve alogin.html dosyasını düzenleyebilirsiniz.

wifiburada.com,
guvenliwifi.net,
beyaz.net,
loglama.net,
bergnet.com,

İnterface

Chain Türleri

Zincir (Chain) Oluşturma

Kural Eylemleri (Action)

Eylemler Seçenekleri

Adres Listeleri ve Adresler

Kelime Engelleme (Content)

Arayüz Tanımlama (interface)

Protokol ve Port Tanımlama

Bağlantı Durumları (Connection Type,State)

Kaynak MAC adresi (Src. MAC Address)

Mikrotik Hangi durumlarda Hacklenebilir

Hangi durumlarda Hacklenebilir ?

Hacklendiğimizi nasıl anlarız ?

Hacklenmişim ne yapmalıyım ?

Hacklenmemek için hangi tedbirleri almalıyım ?

Dış IP Adresine Erişim Kontrolü Fail Over Yöntemi

Adım 1: RouterOS Varsayılan Yapılandırmasını Sıfırlama

2. Adım: WLAN Arayüzünde WiFi AP Kurulumu

Adım 3: Köprü Arayüzü Oluşturma ve LAN ve WLAN Bağlantı Noktaları Ekleme

Adım 4: Temel RouterOS Yapılandırması

Adım 5: Bridge Arayüzünde DHCP Sunucusu Yapılandırması

1. Yeni Bir Router Oluşturun

2. Kurulum Ayarlarını Yapın

3. Kurulumu Tamamlayın

Mikrotik RouterOS Firewall Nedir?

Mikrotik Hotspot Doğrulama Nasıl Yapılır

MİKROTİK NEDİR ?

Mikrotik Türkiye

Bize Ulaşın!