Hướng dẫn cấu hình firewall router MikroTik

MikroTik là dòng router chạy hệ điều hành RouterOS nhân Linux, tích hợp nhiều tính năng và khả năng tùy biến phong phú. Ngoài việc thực hiện chức năng là một router, MikroTik còn có thêm phần firewall khá hay để cấu hình & nghiên cứu. Sau đây Viettelco sẽ hướng dẫn cấu hình firewall router MikroTik chặn web theo 2 cách thông dụng nhất.

Chặn bằng Content Filter

Đây là phương pháp hay được dùng nhất. Để thực hiện ta vào IP → Firewall → Filter Rules và thêm một rule mới với nội dung như ảnh dưới:

 

Content Filter.

 

Giải thích rule:

  • Chain: forward, xử lý các gói tin đi qua router.
  • Src. Address: Địa chỉ (hoặc nhóm địa chỉ) IP cần áp dụng rule firewall. Ở đây là IP máy tính cần test tính năng firewall.
  • Protocol: Giao thức, chọn 6 (tcp).
  • Dst. Port: Port (cổng) cần chặn, ở đây chọn port https 443.
  • In. Interface: Interface gói tin đi vào. Chọn bridge, VLAN hoặc interface cụ thể cần chặn.
  • Content: Nội dung cần chặn. Ví dụ: facebook, 24h, youtube,…
  • Action: Cách xử lý gói tin. Chọn drop (bỏ gói tin đi).

Sau khi cấu hình, thử truy cập vào viettelco.vn đã không được, thấy trên rule đã nhảy số:

 

Rule chặn truy cập theo content.

 

Chặn bằng Layer 7 Firewall

Đây là cách ít được dùng hơn, vì nó sẽ làm cho router hoạt động với công suất cao, tăng CPU.

Để cấu hình ta vào IP → Firewall → Layer7 Protocols và thêm một Regexp (Regular Expression) như sau:

 

Regexp.

 

Với cú pháp Regexp là ^.+(wifisukien.vn).*$ trong đó wifisukien.vn là trang web cần chặn.

Sau đó ta tạo rule mới trong IP → Firewall → Filter Rules với nội dung như sau:

 

Tạo rule chặn bằng Layer7.

 

Nội dung rule:

  • Chain: forward, xử lý các gói tin đi qua router.
  • Src. Address: Địa chỉ (hoặc nhóm địa chỉ) IP cần áp dụng rule firewall. Ở đây là IP máy tính cần test tính năng firewall.
  • Protocol: Giao thức, chọn 6 (tcp).
  • Dst. Port: Port (cổng) cần chặn, ở đây chọn port https 443.
  • In. Interface: Interface gói tin đi vào. Chọn bridge, VLAN hoặc interface cụ thể cần chặn.
  • Layer7 Protocol: chọn Regexp đã tạo trước đó.
  • Action: Cách xử lý gói tin. Chọn drop (bỏ gói tin đi).

Thử truy cập Facebook, thấy không vào được, trên rule nhảy số là đã thành công:

 

Rule số 1 chặn theo Layer7.

 

Ngoài ra ta có thể tùy chỉnh rule với thời gian có hiệu lực bằng việc chỉnh lại time trong tab Extra của rule đó. Ví dụ cần chặn truy cập Facebook trong giờ hành chính:

 

Tùy chỉnh time.

 

Với cảnh báo đỏ Inactive time chúng ta không cần quan tâm, đây chỉ là thông báo đã hết thời gian hiệu lực của rule. Khi đến khoảng thời gian mà chúng ta đã cài đặt thì cảnh báo này sẽ hết.

Phần firewall của router MikroTik cơ bản có các nội dung trên. Cần nhắc lại, nhiệm vụ chính của MikroTik vẫn là router, mục firewall chúng ta nên dùng hạn chế để đảm bảo được hiệu năng tối đa cho sản phẩm. Nếu cần thiết có thể đầu tư thêm firewall phần cứng chuyên dụng hoặc các firewall mềm mà nguồn mở như pfSense, OPNsense.

11 bước cấu hình router MikroTik mới

MikroTik là dòng router đến từ Latvia với hiệu năng mạnh mẽ, được tin dùng trong nhiều doanh nghiệp. Khác với dòng router Draytek, MikroTik có phần cấu hình khá phức tạp. Tuy nhiên chỉ cần chút thời gian làm quen, ta sẽ thật sự ngạc nhiên với nhiều tính năng hay ho mà router này mang lại. Viettelco sau đây hướng dẫn 11 bước cấu hình router MikroTik mới để từ LAN có thể ra được Internet.

11 bước cấu hình router MikroTik mới

1. Đặt mật khẩu phức tạp cho admin

Đây là bước quan trọng cần làm khi lần đầu cấu hình router MikroTik. Mặc định tài khoản admin không có mật khẩu. Để thay đổi mật khẩu ta vào System → Password hoặc System → Users, nhấn chuột phải vào user và chọn Password:

 

Thay đổi mật khẩu.

 

Mật khẩu cần đặt phức tạp với tối thiểu 8 ký tự, có chữ hoa, thường, số và ký tự đặc biệt để đảm bảo bảo mật.

2. Tắt các dịch vụ không cần thiết

Để tránh bị các tool quét, dò tự động trên mạng tấn công brute force, ta cần tắt bớt các dịch vụ trong IP → Services và chỉ để lại mỗi winbox. Ngoài ra có thể tự đổi cổng (port) nhưng không khuyến cáo:

 

Tắt các dịch vụ.

 

Tấn công brute force.

 

3. Thêm bridge, gán port vào bridge

Ta thêm bridge trong tab Bridge → Bridge, Ports. Bridge trong MikroTik  là nhóm các cổng chung một dải mạng, chịu sự quản lý chung về mặt chính sách. Có thể hình dung bridge như là một “switch ảo”.

 

Bridge.

 

4. Chỉnh lại IP router phù hợp

Ta xóa địa chỉ mặc định 192.168.88.1/24 và thêm địa chỉ mới vào, gán interface tương ứng (ở đây là interface bridge). Truy cập IP → Addresses để thực hiện:

 

Đặt địa chỉ IP.

 

Lưu ý nên đặt IP router và dải cấp tránh các dải thông dụng như 192.168.0.0/24, 192.168.1.0/24 và 192.168.100.0/24.

5.Thêm pool cấp DHCP

Thêm dải IP cấp cho các máy tính trong LAN (bridge) ở IP → Pool:

 

Đặt dải IP cần cấp.

 

6. Tạo DHCP Server

Tiếp theo ở IP → DHCP Server ta tạo DHCP server mới. Đặt tên tùy ý, chọn interface cần cấp DHCP (ở đây là interface bridge), chọn pool đã tạo trước đó:

 

DHCP server.

 

7. Điền network

Điền network trong IP → DHCP Server, tab Networks:

 

Điền network.

 

8. Đặt DNS server

Đặt DNS cho router ở IP → DNS (thường đặt theo DNS Google hoặc Cloudflare):

 

DNS.

 

9. Kiểm tra DHCP

Tắt đi bật lại card mạng máy tính và xem lại đã nhận được IP từ MikroTik chưa. Nếu chưa thì kiểm tra lại các cấu hình phần IP address, pool, DHCP server,….

10. Thêm WAN

WAN có thể có các hình thức như PPPoE, nhận IP động từ router khác, đặt IP tĩnh:

– PPPoE: Interface → PPPoE Client hoặc PPP → PPPoE Client. Chọn Interface, nhập tài khoản mật khẩu trong tab Dial Out.

 

Quay số PPPoE.

 

– Nhận IP động: IP → DHCP Client.

– Đặt IP tĩnh: IP → Addresses và đặt IP, gán interface. Sau đó thêm route trong IP → Routes

11. NAT để ra ngoài Internet

MikroTik cần NAT để ra ngoài Internet. Từ IP → Firewall, trong tab NAT thêm rule mới với Chain là srcnat, Out. Interface là interface wan, Action chọn masquerade. Với kiểu PPPoE thì ta chọn interface PPPoE, ví dụ như pppoe-out1, còn với kiểu khác thì chọn interface tương ứng, ví dụ ether1, ether2,….

 

NAT để ra Internet.

Ngoài ra còn có thể cấu hình nhanh trong tab Quick Set. Tuy nhiên cần cấu hình theo 11 bước như trên để nắm rõ cách cấu hình, xử lý sự cố khi cần thiết.

Chúc các bạn thành công!

 

Hướng dẫn cấu hình sử dụng wifi open mesh-cloudtrax

Hướng dẫn cấu hình SETUP wifi open mesh-cloudtrax:

Open-Mesh là thiết bị Wi-Fi Access Point được quản lý, cấu hình và giám sát thông qua Cloud Server quản lý đám mây (Server có thể được truy cập từ bất kỳ nơi nào có Internet). Từ đây người quản trị có thể tạo một tài khoản dùng để quản lý các thiết bị của Open-Mesh.

Các bước chuẩn bị :

– Một hoặc nhiều Access Point của Open-Mesh.

‐ Một máy tính có kết nối Internet.

‐ Một đường truyền Internet với Modem có sẵn.

‐ Cắm port trên AP của Open-Mesh vào port LAN trên Modem Internet để thiết bị có thể ra

Internet được.

Bước 1: Tạo tài khoản để quản lý và giám sát thiết bị.

Truy cập vào trang web: https://cloudtrax.com để tạo một tài khoản. Chọn “Create Account” vàđiền đầy đủ thông tin. Ngay sau đó bạn sẽ nhận một email yêu cầu xác nhận tài khoản vừa tạo. Click”Verify Account” để xác nhận tài khoản Login đăng nhập Cloudtrax.

Trang thông tin tạo tài khoản của bạn như ví dụ bên dưới:

Bước 2: Tạo Network.

Sau khi tạo xong tài khoản. Bạn truy cập vào trang web: https://cloudtrax.com để login vào tài khoản vừa tạo của bạn. Bạn sẽ được tự động đưa tới một trang để tạo một Network

Điền đầy đủ thông tin cho Network của bạn:

Bước 3 : Add thiết bị Open-Mesh vào Cloud.

Thiết bị Open-Mesh được quản lý và cấu hình trên Cloud do đó muốn quản lý và cấu hình ta phải Add

thiết bị vào bằng địa chỉ MAC được ghi trên thiết bịị

– Vào Manage –> Access Point –> Add New

Điền những thông tin cần thiết :

– Name : Tên để quản lý thiết bị.

– MAC : Địa chỉ MAC của thiết bị được in trên nhãn phía dưới thiết bị.

Chọn Add để hoàn tất quá trình

Bước  4.  Cấu hình cho Network.

Mỗi thiết bị Open-Mesh điều có thể phát đồng thời tối đa 4 SSID. Mỗi SSID điều vận hành và kiểm soát

độc lập trên Cloudtrax.

– Vào Configure –> Chọn SSID muốn cấu hình

+ SSID Name : Tên SSID mà bạn muốn người sử dụng thấy khi dò tín hiệu wifi. Bạn có thể chọn “Use

access point name” bên dưới nếu muốn SSID lấy theo tên thiết bị khi bạn add vào Cloudtrax.

+ Enable : Broadcast SSID này ( có thể hiểu đơn giản là sử dụng SSID này ).

Visible : Nếu On tính năng này người sử dụng sẽ thấy tên SSID khi dò tín hiệu wifi. Nếu Off người

sử dụng phải cấu hình tên SSID này trên máy tính.

Authentication : Đặt password cho SSID. Nếu Off người sử dụng sẽ kết nối mà không cần

password.

Bandwidth throttling : Giới hạn băng thông cho mỗi client.

Splash page : Thiết lập trang chào splash page có thể sử dụng tính năng Voucher hoặc check-in

Facebook.

Client force timeout : Thời gian hiển thị trang splash page lần kế tiếp.

Require Voucher : Nếu On, sử dụng tính năng Voucher trên trang splash page. Nếu Off, không sử

dụng tính năng Voucher trên trang splash page.

Redirect URL : Cho phép tự động hiện thị trang web sau trang splash page.

Block authenticated users : Nếu On, chặn tất cả các ports cho đến khi user được chứng thực. Nếu

Off, chỉ có truy cập web là bị chặn.

Whitelist : Danh sách các users sẽ không thấy trang splash page.

Walled garden : Danh sách các trang web mà user có thể truy cập trước khi chứng thực.

Blocked devices : Ngăn chặn thiết bị truy cập wifi.

Blocked message : Tin nhắn hiển thị trên trang splash page đến những users bị chặn.

Client isolation : Nếu On các users không thể truy cập lẫn nhau. Nếu Off các users có thể truy cập

lẫn nhau

Access Control list : Danh sách những users được truy cập, tất cả những users khác không nằm

trong danh sách này sẽ không được truy cập. Nếu để trống có nghĩa là cho phép tất cả được truy

cập

Bridge to VLAN : Cấu hình VLAN cho users trên SSID này

Bước 5. Chọn Country code, công suất phát và kênh tần số.

– Vào Configure –> Chọn Radio

Country : Chọn quốc gia để có công suất phát tốt nhất.

Transmit power : Chọn công suất phát.

Channels : Chọn Auto nếu muốn tự động phát một kênh tần số. Chọn Manual nếu muốn set

cố định một kênh tần số.

Mặc định thiết bị Open-Mesh nhận DHCP từ Router cấp và sẽ cấp phát một lớp mạng 10.x.x.x cho

clients. Do đó nếu muốn clients nhận IP cùng lớp với mạng nội bộ thì ta phải cấu hình tính năng Bridge

trên Cloud.

– Vào Configure –> chọn Advanced –> Bridge SSID –> chọn SSID

Cách để tạo một trang Splash page

Splash page là một trang chào quảng cáo được tự động bật lên khi người sử dụng kết nối wifi. Tính

năng này rất hữu ích cho những ai muốn quảng cáo đến người truy cập wifi.

– Vào Configure –> Chọn SSID –> Bật tính năng Splash page –> Chọn Custom –> Chọn Edit Splash page

Sau khi chọn Edit splash page một trang chào mặc định sẽ xuất hiện và ta có thể edit theo ý muốn của mình. Phía trên có một số Template có sẵn mà ta có thể lựa chọn.

Trên đây là bài hướng dẫn Config một chiếc OpenMesh đơn giản, mọi phản hồi có thể comment xuống bên dưới hoặc liên hệ với mình qua Email: truongpv@viettelco.com.vn


CÔNG TY CỔ PHẦN ĐIỆN TOÁN VIỄN THÔNG VIETTELCO CUNG CẤP DỊCH VỤ:

Dịch vụ bảo trì mạng doanh nghiệp Thi công mạng LAN – Quang
Thi công tổng đài điện thoại Giải pháp Wifi sự kiện

QUÝ KHÁCH VUI LÒNG LIÊN HỆ:

Mr Trường: 0911.471.191 – 02438.259.888 Email: truongpv@viettelco.com.vn
Web: Viettelco.net Địa chỉ : Số 1 Ngõ 92 Đào Tấn, Ba Đình, Hà Nội

Hướng dẫn cấu hình STATIC IP Router Draytek 2912, 2925

HƯỚNG DẪN CẤU HÌNH STATIC IP ROUTER DRAYTEK 2912, 2925

Việc cấu hình đường truyền internet hiện nay của các nhà mạng hiện nay chủ yếu cấu hình qua giao thức PPPoE.

Tuy nhiên đối với một trường hợp đặc thù như sử dụng kênh truyền internet trực tiếp khách hàng sẽ được cấp phát dải địa chỉ IP WAN và cấu hình sang một modem như Tplink, Totolink.

Có hai cách cấu hình khách hàng có thể bỏ modem của nhà mạng cấu hình trực tiếp vào router Draytek là phương án tối ưu tuy nhiên một số trường hợp đặc thù theo yêu cầu của mô hình mạng khách hàng cần cấu hình static IP từ modem nhà mạng sang router Draytek.

Sau đây chúng tôi sẽ hướng dẫn việc cấu hình static IP từ modem nhà mạng sang router Draytek.

Bước 1 : Chuẩn bị:

– Kiểm tra lớp mạng hiện tại của Router đang chạy và chọn một IP chưa được sử dụng

(Ví dụ: Router đang chạy có lớp mạng 192.168.1.1 và IP 192.168.1.250 chưa sử dụng)

– Chọn một lớp mạng cho Vigor2912 và phải khác với lớp mạng của Router đang chạy

(Ví dụ: 192.168.100.1 )

– Nối cáp mạng từ cổng LAN của Router đang chạy vào cổng W1 trên Router Draytek Vigor2912, Vigor2925

– Nối cáp mạng từ cổng P3 của Router Draytek Vigor2912, Vigor2925 và cổng LAN của máy tính

Bước 2: Đăng nhập vào giao diện web cùa Vigor: http://192.168.1.1 với user: admin / password: admin (Mặc định)

Bước 3: Thay đổi IP LAN thành 192.168.100.1

– Vào LAN >> General Setup

– Ở LAN 1 : Chọn Details Page

– IP Address : Địa chỉ IP LAN của Vigor – Bạn có thể thay đổi cho phù hợp với mạng LAN hiện tại là 192.168.100.1

– Nhấn OK

– Sẽ hiện ra thông báo yêu cầu khởi động lại Vigor >> Nhấn OK

– Sau khi Vigor khởi động lại bạn có thể sử dụng Vigor với IP mới là 192.168.100.1

Bước 4: Cấu hình cổng WAN1

– Vào WAN >> Internet Access

– Ở WAN 1 : Chọn Access Mode là Static or Dynamic IP và nhấn Details Page

– Ở Tab Static or Dynamic IP : chọn Enable

– Chọn Specify an IP Address

– IP Address : 192.168.1.250

– Subnet Mask : 255.255.255.0 (Giống với LAN của Router đang chạy)

– Gateway IP Address : 192.168.1.1 (IP LAN của Router đang chạy)

– Nhấn OK

– Sẽ hiện ra thông báo yêu cầu khởi động lại Vigor >> Nhấn OK

(Trong trường hợp muốn cổng WAN của Vigor2912 nhận IP động do Router đang chạy cấp, chọn Obtain an IP address

automatically)

– Sau khi đăng nhập lại Vigor, vào Online Status >> Physical Connection sẽ hiện thông tin về cổng WAN1

+ Hiện màu xanh, có đầy đủ IP WAN >> Cấu hình thành công, Còn đỏ thì phải kiểm tra lại nhé ^^

 

Trên đây là các các bước hướng dẫn cấu hình Static IP trên Draytek 2912, 2925… Nếu còn thắc mắc hay cần hỗ trợ các bạn có thể Comment xuống dưới hoặc liên hệ với chúng tôi qua Email: truongpv@viettelco.com.vn. Chúc các bạn thành công.


CÔNG TY CỔ PHẦN ĐIỆN TOÁN VIỄN THÔNG VIETTELCO CUNG CẤP DỊCH VỤ:

Dịch vụ bảo trì mạng doanh nghiệp Thi công mạng LAN – Quang
Thi công tổng đài điện thoại Giải pháp Wifi sự kiện
Lắp đặt hội nghị truyền hình Thi công wifi diện rộng
Dịch vụ IDC Dịch vụ bảo trì hạ tầng mạng

QUÝ KHÁCH VUI LÒNG LIÊN HỆ:

  • Số điện thoại: (0243).8259.888 hoặc hotline: 0911.471.191
  • Email: truongpv@viettelco.com.vn

 

Hướng dẫn cấu hình PPPoE Modem Router Draytek 2912, 2925

Cấu hình PPPoE với Username và Password

– Công ty có một đường truyền cáp quang.

– Nhà mạng đã cho mượn Converter quang và router

– Router đó không đáp ứng được nhu cầu và cần thay thế bằng Router Draytek 2912, 2925…

 

Bước 1 : Chuẩn bị

– Username và Password của đường truyền (Trong hợp đồng)

– Vlan ID của đường truyền (Nếu có – Trong hợp đồng)

– Nối cáp mạng từ converter quang vào cổng WAN1 Or WAN2 trên Router Draytek 2912, 2925…

– Nối cáp mạng từ cổng P3 của Router Draytek Vigor2912, Vigor2925… và cổng LAN của máy tính

Bước 2: Đăng nhập vào giao diện web cùa Vigor: http://192.168.1.1 với user: admin / password: admin (Mặc định)

Bước 3: Cấu hình internet

– Vào WAN >> Internet Access

– Ở WAN 1 : Chọn Access Mode là PPPoE và nhấn Details Page

– Ở Tab PPPoE : chọn Enable

– Username : (Hỏi nhà cung cấp)

– Password : (Hỏi nhà cung cấp)

– MTU : 1438 Tùy theo từng nhà mạng

– Nhấn OK

– Sẽ hiện ra thông báo yêu cầu khởi động lại Vigor >> Nhấn OK

– Sau khi đăng nhập lại Vigor, vào Online Status >> Physical Connection sẽ hiện thông tin về cổng WAN1

+ Hiện màu xanh, có đầy đủ IP WAN >> Cấu hình thành công

+ Hiện màu đỏ, Error (Username or password error) >> Kiểm tra lại thông tin

Done trên đây là các các bước hướng dẫn cấu hình PPPoE trên Draytek 2912, 2925… Nếu còn thắc mắc hay cần hỗ trợ các bạn có thể Comment xuống dưới hoặc liên hệ với chúng tôi qua Email: truongpv@viettelco.com.vn Chúc các bạn thành công.
——————————————————————————————————————–


CÔNG TY CỔ PHẦN ĐIỆN TOÁN VIỄN THÔNG VIETTELCO CUNG CẤP DỊCH VỤ:

Dịch vụ bảo trì mạng doanh nghiệp Thi công mạng LAN – Quang
Thi công tổng đài điện thoại Giải pháp Wifi sự kiện

QUÝ KHÁCH VUI LÒNG LIÊN HỆ:

Mr Trường: 0911.471.191 – 02438.259.888 Email:  truongpv@viettelco.com.vn
Web: Viettelco.net Địa chỉ : Số 1 Ngõ 92 Đào Tấn, Ba Đình, Hà Nội