Mikrotik RouterOS – software poskytovatelů bezdrátového internetu
Blíží se vydání verze 5.0 operačního systému Mikrotik RouterOS, který je zvláště oblíbený mezi poskytovateli bezdrátového připojení k Internetu. Nedočkaví poskytovatelé již používají některou s RC verzí a bedlivě sledují novinky.
Co je RouterOS
RouterOS je specializovaný operační systém litevské společnosti MikroTikls, známé po světě jako MikroTik. Tento systém je dodávaný na různých variantách routerů od stejné společnosti Mikrotik RouterBOARD. Alternativou je možnost zakoupení samostatné licence RouterOS a instalace PC varianty na běžný počítač nebo server.
RouterOS se ovládá vzdáleně. Na výběr máte připojení pomocí protokolu SSH, pomocí grafického konfiguračního rozhraní instalovaného na některý počítač, a pár dalších, méně významných, možností. Grafický konfigurační program Winbox lze spustit na počítači s Microsoft Windows a pomocí programu Wine i na Linuxu.
Připojení po SSH nabízí přehledné hierarchické příkazové rozhraní s automatickým napovídáním a doplňováním příkazů. Pro pokročilé uživatele je tento způsob práce nesmírně efektivní.
Začátečníci, ale i mnozí ostřílení síťaři, dávají přednost přehledné grafické variantě s hiearchickou nabídkou a okénky. Obě rozhraní se řídí stejnou strukturou nastavení.
Linux
Pro zájemce doplním, že RouterOS má v sobě Linux, jádro používané v mnoha operačních systémech pro servery, pracovní stanice i různá specializovaná zařízení.
Malé operační systémy pro routery založené na Linuxu jsou v dnešní době jedny z nejoblíběnějších. Najdete je například v domácích routerech značek jako je Asus, Linksys, D-Link a mnohých dalších. Linuxové jádro najdete i v operačním systému AirOS firmy Ubiquiti Networks, která je významným výrobcem venkovních bezdrátových síťových prvků.
Vedle uživatelsky vyladěných systémů, jako je RouterOS, jsou tu i linuxové systémy pro náročnější, na kterých se dají stavět různá řešení na míru. Asi nejznámějším z nich je opensource distribuce OpenWRT.
Routery
Nejčastějším a nejoblíběnějším hardwarem s RouterOS, jsou malé routery, které v sobě typicky obsahují procesor, ethernetový switch a minipci sloty pro bezdrátová rozhraní.
Obvykle se dá koupit samotná deska, minipci wifi karty, krabička a napájení po ethernetu nebo samostatný napájecí kabel. Koupíte i kompletní sady, třeba i zabudované ve venkovním boxu, jehož součástí je i anténa. Takové routery se hodí do domácností, firem, i na vysílací body.
Procesor má zabudovaný řadič ethernetu, který je propojený se switchem. Na switchi jdou konfigurovat VLANy, které slouží k oddělení jednotlivých sítí, o které se router stará. Ve výchozím nastavení má obvykle každý ethernetový port svůj vlastní VLAN. O veškerou komunikaci se tedy stará procesor.
MiniPCI sloty se nejčastěji používají pro rozšíření o bezdrátové karty. Existují modely s mnoha pozicemi, které se hodí pro vysílací místa, kde potřebujete mít více antén.
V místech, kde potřebujete zapojit mnoho počítačů se vám může hodit router rackového formátu 1U, do kterého zapojíte až třináct zařízení. Naopak v centrálních bodech sítě se často používá klasický počítač s nainstalovaným RouterOS.
Konfigurace rozhraní
Jak už jsem psal, v RouterOS jde konfigurovat integrovaný switch, čímž zajistíte přímou komunikaci mezi místními počítači bez účasti procesoru.
V konfiguračním programu je dispozici fyzické rozhraní ethernetu a bezdrátového ethernetu, kde najdete pohromadě aktuální informace o jednotlivých rozhraních, i konfigurační volby. Graf právě probíhající komunikace je samozřejmostí.
Vedle fyzických rozhraní máte k dispozici mnoho typů virtuálních rozrhaní. Asi nejčastěji používaným je bridge, který vám umožní spojovat rozhraní a tím spojit více sítí do jednoho ethernetového segmentu s jednou podsítí.
Použití VLAN vám naopak umožňují jedno rozhraní rozdělit na více virtuálních rozhraní. To lze využít například v kombinaci s VLAN switchem, který vám tak zpřístupní své porty nebo skupiny portů, jako by byly přímo v routeru.
Další virtuální rozhraní tvoří různé druhy tunelů, od jednoduchých tunelů k propojování nezávislých sítí, přes podporu PPPoE pro připojení přes ADSL modem, až po různé VPN systémy. Jsou podporovány mimojiné PPTP a L2TP, které jsou nativně podporované v Microsoft Windows, a OpenVPN, která je velmi oblíbená na linuxových systémech.
V bezdrátové části najdete přehledný seznam připojených klientských zařízení. Pokud je připojený klient s RouterOS, nebo třeba i AirOS od Ubiquity, uvidíte sílu signálu v obou směrech. U běžných klientů pouze ve směru příchozím.
Protokol IPv4
Adresám a směrování se nekladou žádná zbytečná omezení, takže kromě klasického nastavení pomocí délky prefixu či síťové masky můžete sáhnout i po černé magii, jako je routing mezi veřejnou a neveřejnou adresou.
Nastavení protokolu ARP pro překlad mezi MAC adresami a IP adresami umožňuje dynamický i statický provoz. Pro milovníky černé magie je k dispozici Proxy ARP, tedy přeposílání arp dotazů mezi sítěmi.
Přeskočím běžné funkce, které pravděpodobně od routeru očekávate, jako je konfigurace DNS resolveru, DHCP klienta, relay i serveru. Navíc nabízí TFTP protokol pro síťové bootování připojených zařízení. Standardní služby RouterOS, jako je přístup přes web, Winbox, SSH, FTP a další, lze jednotlivě vypnout či omezit.
Firewall v RouterOS je stavový paketový filtr založený na tabulkách, řetězech a pravidlech. Konfigurace přesně kopíruje model firewallu v linuxovém jádře, tudíž nabízí bohaté možnosti konfigurace. Každá tabulka obsahuje několik standardních řetězů a uživatelské řetězy. Každý řetěz obsahuje řadu pravidel, která jsou složena z výběrových polí a nějaké akce.
Stejné konfigurační rozhraní se používá i pro nastavení překladů adres, přepisu dalších polí paketů a značkování paketů. Součástí rozhraní je i seznam právě trasovaných spojení, a pohodlné zadávání adres do seznamů adres, které můžete v pravidlech používat. Pokročilou možností je zadávat regulární výrazy pro detekci aplikačních protokolů.
Zůstaneme-li u bezpečnosti, je na řadě IPsec. Tato technologie, vypůjčená od protokolu IPv6, vám umožní definovat pravidla pro autentizaci a šifrování komunikace s jinými stroji. IPsec umí pracovat jako šifrovaný tunel mezi routery, ale používá se i pro jednoduché zabezpečení o které se starají koncové body komunikace.
Další nabízenou funkcí je SOCKS proxy, což je proxy server s možností navazovat i očekávat spojení na různých portech. Dá se říci, že je to taková šikovnější alternativa NATu, kdy má aplikace přesnější informace o síti a může si sama otevírat porty na sdílené veřejné adrese. UPnP dodává podobnou schopnoust NATu. Obojí funguje jen pokud má router veřejnou IP adresu.
RouterOS poskytuje i možnost odesílání záznamů o komunikaci na k tomu určený server. To je potřeba u hraničních routerů ke splnění zákonné povinnosti.
Protokol IPv6
Už velmi dlouho se v RouterOS nachází základní podpora protokolu IPv6, ale žádná velká slává to nebyla. Poskytovatelé, kteří měli na RouterOS postavenou svoji síť, mohli jen těžko zavádět na IPv6 na své síti.
Přípravné verze, které předcházejí vydání RouterOS 5.0 vykazují obrovské množství práce věnované právě protokolu IPv6. Vývojáři postupně doplňují chybějící možnosti. Dá se očekávat, že verze 5.0 bude plně připravena na provoz IPv6 infrastruktury.
Směrování ve velkém
K dispozici je implementace nejpoužívanějších protokolů pro výměnu směrovacích informací, jako jsou BGP, OSPF a RIP.
Pro menší sítě a služby s vysokou dostupností využijete jednoduchý protokol OSPF ve variantách pro IPv4 i IPv6. OSPF slouží ke dvěma účelům. Jednak vás ušetří úprav směrovací tabulky na všech strojích na cestě ke směrované podsíti tím, že si routery předávají informace sami. Druhak vám zajistí plynulý přechod na záložní trasu při výpadku. Lze použít i při přesunu fyzických či virtuálních serverů.
Oproti tomu BGP využijete ve složitějších situacích, kdy potřebujete přesně vyladit pravidla, co kudy bude procházet. Pokud chcete provozovat autonomní systém s více poskytovateli Internetu, bez BGP se neobejdete. Opět bez problémů v RouterOS funguje i s IPv6.
Nástroje
RouterOS obsahuje sadu testovacích nástrojů, které využijete při hledání problémů na síti.
Ping vám umožní otestovat dostupnost nějaké IP adresy a čas odezvy. Traceroute vám zjistí informace o celé cestě k nějaké IP adrese a vypíše vám všechny kroky. Bandwidth test slouží k otestování datové propustnosti.
Abych nezapomněl, RouterOS má v sobě službu netwatch, která spouští ping periodicky na pozadí a do logu posílá pouze změny v dostupnosti cizích strojů, které jste zařadili na seznam. Na změny je možné reagovat pomocí skriptů.
Nepostradatelným testovacím nástrojem je odposlech sítě. Díky němu se například dozvíte, kam až pakety došly, jestli se odesala nějaká odpověď, jestli ji maškaráda správně přeložila, a tak dále. Zachrání vás, když už si nevíte rady.
Za zmínku stojí i vestavěný terminál, i možnost přihlásit se pomocí terminálu na další stroj, který by jinak nebyl dostupný. V praxi to oceníte zvláště při ladění dynamického routingu.
Skriptování
Příkazové rozhraní lze mimo interaktivní práce použí i pro tvorbu skriptů. Proto je příkazové rozhraní obohaceno o řídící prvky, jako jsou podmínky a cykly. Také lze vyhledávat v konfigurační databázi a pouštět příkazy na základě nalezených záznamů.
Skripty se dají v routeru uložit pro pozdější spuštění. Dají se naplánovat na konkrétní datum a čas s případným opakováním. Různé části systému navíc umožňují spouštět skripty v reakci na nějakou událost, například již zmíněný netwatch na změnu dostupnosti nějaké IP adresy.
Shrnutí
Routery od mikrotiku s RouterOS jsou vhodné nejen do domácích a firemních sítích, ale i jako nedílná součást sítě poskytovatele bezdrátového připojení k internetu. Software používá standardizované protokoly, kde se dá, a dobře spoluracuje s produkty jiných výrobců.
Společnost Mikrotik vás navíc nenutí kvůli „novému Internetu“ pořizovat nové routery, ale vylepšuje firmware, abyste mohli stávající síťové prvky nechat v provozu nebo použít jinde.