Configurer un RB600A pour un réseau local simple avec WiFi

Ayant reçu après un mois et demi d'attente mon RB600A (Merci la poste au passage pour ne pas avoir trouvé ma boite aux lettres et avoir renvoyé a l'expéditeur … aux US) je m'attele donc a le configurer selon mes besoins.

J'ai tout de même remarqué que les exemples, les guides et wiki de Mikrotik étaient faibles ou bien tout a base de capture d'écran, rien en ligne de commande … Bref on va écrire un article pour détailler un peu une configuration basique du RB600A.

Interfaces

Configurons donc les interfaces. ether1 sera la partie WAN connecté a la FreeBox ether2 sera le LAN, connecté a mon switch qui dessert tout mes équipements wlan1 est la carte WiFi

On se connecte en Telnet, SSH ou Série a la bestiole.

ether1,ether2

[admin@RB600A] > /interface ethernet
set 0 auto-negotiation=yes comment="WAN" disabled=no full-duplex=yes name=ether1 speed=1Gbps
set 1 auto-negotiation=yes comment="LAN" disabled=no full-duplex=yes name=ether2 speed=1Gbps
enable 0,1

Attention la syntaxe est perturbante, chaque élément est représenté par des arborescences.

Nous allons donc vérifier que nos cartes soient bien configurées et actives :

[admin@RB600A] /interface ethernet> print
Flags: X - disabled, R - running, S - slave 
 #    NAME                                   MTU   MAC-ADDRESS       ARP       
 0 R  ;;; WAN
      ether1                                 1500  00:0C:42:20:BD:F4 enabled   
 1 R  ;;; LAN
      ether2                                 1500  00:0C:42:20:BD:F5 enabled   
 2 X  ;;; ununsed
      ether3                                 1500  00:0C:42:20:BD:F6 enabled   

wlan1

Passons au WiFi, c'est plus “touchy”.

[admin@RB600A] > /interface wireless security-profiles
add authentication-types=wpa-psk group-ciphers=tkip group-key-update=5m \
    interim-update=0s management-protection=allowed \
    management-protection-key="" mode=dynamic-keys name=WPA \
    wpa-pre-shared-key=<Votre Clé WPA>

[admin@RB600A] > /interface wireless
set 0 allow-sharedkey=no arp=enabled band=2ghz-b/g/n comment="wlan1" country=france \
    default-authentication=yes default-forwarding=yes disabled=no frequency=2432 \
    hide-ssid=no mac-address=00:0C:42:3A:D1:E9 mode=ap-bridge name=wlan1 \
    radio-name=000C423AD1E9 security-profile=WPA ssid=RB600A

Nous verrons plus tard pour autoriser les adresses mac des clients WiFi

IP

Adresses IP des interfaces

Passons a la configuration IP des interfaces. Nous allons configurer deux subnets, un pour l'Ethernet pur, et l'autre pour le WiFi, ensuite on configure le DHCP pour l'interface WAN.

[admin@RB600A] > /ip address
add address=192.168.X.254/24 broadcast=192.168.X.255 comment="ether2" disabled=no \
    interface=ether2 network=192.168.X.0
add address=192.168.Y.254/24 broadcast=192.168.Y.255 comment="wlan1" disabled=no \
    interface=wlan1 network=192.168.Y.0
[admin@RB600A] > /ip dhcp-client
add add-default-route=yes comment="ether1" default-route-distance=0 disabled=no \
    interface=ether1 use-peer-dns=yes use-peer-ntp=yes

On vérifie le tout

[admin@RB600A] > /ip dhcp-client print
Flags: X - disabled, I - invalid 
 #   INTERFACE                         USE ADD STATUS        ADDRESS           
 0   ether1                            yes yes bound         W.X.Y.Z/24  
[admin@RB600A] > /ip address print 
Flags: X - disabled, I - invalid, D - dynamic 
 #   ADDRESS            NETWORK         BROADCAST       INTERFACE              
 0   192.168.X.254/24  192.168.X.0    192.168.X.255  ether2                 
 1   192.168.Y.254/24  192.168.Y.0    192.168.Y.255  wlan1                  
 2 D W.X.Y.Z/24        W.X.Y.0        W.X.Y.255       ether1  

Serveur DHCP

Pool d'IP

Commençons déjà par se rajouter deux pools d'IP

[admin@RB600A] > /ip pool
add name=dhcp_ether2_pool ranges=192.168.X.1-192.168.X.253
add name=dhcp_wlan1_pool ranges=192.168.Y.1-192.168.Y.253

On vérifie :

[admin@RB600A] /ip pool> print
 # NAME                                         RANGES                         
 0 dhcp_ether2_pool                             192.168.X.1-192.168.X.253    
 1 dhcp_wlan1_pool                              192.168.Y.1-192.168.Y.253    
dhcp-server
[admin@RB600A] > /ip dhcp-server
add add-arp=yes address-pool=dhcp_ether2_pool authoritative=after-2sec-delay \
    bootp-support=static disabled=no interface=ether2 lease-time=1d name=dhcp_ether2
add add-arp=yes address-pool=dhcp_wlan1_pool authoritative=after-2sec-delay \
    bootp-support=static disabled=no interface=wlan1 lease-time=1d name=dhcp_wlan1
[admin@RB600A] > /ip dhcp-server network
add address=192.168.Y.0/24 comment="" dns-server=192.168.Y.254 gateway=192.168.Y.254 netmask=24
add address=192.168.X.0/24 comment="" dns-server=192.168.X.254 gateway=192.168.X.254 netmask=24

NAT

[admin@RB600A] > /ip firewall nat
add action=masquerade chain=srcnat comment="ether2" disabled=no src-address=\
    192.168.X.0/24
add action=masquerade chain=srcnat comment="wlan1" disabled=no src-address=\
    192.168.Y.0/24

On va se protéger un peu au passage.

[admin@RB600A] > /ip firewall filter
add action=accept chain=input comment="Accept established connections" \
    connection-state=established disabled=no
add action=accept chain=input comment="Accept related connections" \
    connection-state=related disabled=no
add action=drop chain=input comment="Drop invalid connections" \
    connection-state=invalid disabled=no
add action=accept chain=input comment=UDP disabled=no protocol=udp
add action=accept chain=input comment="Allow limited pings" disabled=no \
    limit=50/5s,2 protocol=icmp
add action=drop chain=input comment="Drop excess pings" disabled=no protocol=\
    icmp
add action=accept chain=input comment="From:ether2" disabled=no \
    in-interface=ether2 src-address=192.168.X.0/24
add action=accept chain=input comment="From:wlan1" disabled=no \
    in-interface=ether2 src-address=192.168.Y.0/24
add action=log chain=input comment="Log everything else" disabled=no \
    log-prefix="DROP INPUT"
add action=drop chain=input comment="Drop everything else" disabled=no

Fioritures diverses

UPNP

[admin@RB600A] > /ip upnp
set allow-disable-external-interface=no enabled=yes show-dummy-rule=yes
[admin@RB600A] > /ip upnp interfaces
add disabled=no interface=ether1 type=external
add disabled=no interface=ether2 type=internal

DNS

RouterOS (l'OS du RB600A) peut faire cache DNS, on va donc en profiter

[admin@RB600A] > /ip dns
set allow-remote-requests=yes cache-max-ttl=1w cache-size=2048KiB \
    max-udp-packet-size=512 primary-dns=<DNS de votre choix> secondary-dns=<DNS de votre choix>

Autoriser un client WiFi

[admin@RB600A] > /interface wireless access-list
add authentication=yes comment="Client WiFi" disabled=no \
    forwarding=yes interface=wlan1 mac-address=<Adresse Mac Du client Wifi> \

Remerciements spéciaux

J'aimerais remercier (et faire la pub) le vendeur de chez rOc-nOc qui à été d'un professionnalisme parfait.

En effet j'ai passé ma commandé le 12 Novembre elle a été expédiée le jour même. Hélas, trois fois hélas, la poste n'a jamais trouvé ma boite aux lettres … Personne à la poste n'a pu savoir où était le colis, et chez USPS encore moins. Le 10 Décembre, surprise, le numéro de tracking fonctionne comme par magie pour purement et simplement m'indiquer que le colis a été renvoyé a l'expéditeur la veille … Étrangement UPS eux n'ont eu aucun problème…

r0c-n0c m'a généreusement donné comme dédommagement une carte WiFi R52n en plus, alors que le “problème” n'était pas de son fait.

Bref je commanderais surement à nouveau chez ce vendeur et je recommande celui-ci ^^

Discussion

Olivier, Wednesday 23 December 2009

Je suis étonné que tu ais des problèmes avec la poste… c'est pas comme s'ils avaient l'habitude de perdre/voler/… des colis ou courriers… Perso, j'ai eu des problèmes avec la poste, UPS, DHL. Et pour l'instant aucun soucis avec Fedex.

Au fait, tu as dû payer des frais de douane ? Parce que UPS m'a fait payer des frais de douane pour un truc importé des US, et ils m'avaient promis de m'envoyer une facture pour détailler tout ça. J'attend toujours, car ils n'ont jamais été foutus de m'expliquer comemnt étaient calculés ces frais (somme beaucoup plus élevée que la simple TVA). Début Janvier je les appelle une nouvelle fois…

Kathryl, Thursday 24 December 2009

Hello,

Les griefs envers la Poste sont nombreux ^^ (Colis disparu, livreur qui se contente de poser un avis de passage car il a pas envie de se fader le colis 20m de plus ou qu'il a pas envie de voir des gens, etc)

Pas d'info sur le fait qu'il faille payer des frais de douanes pour l'instant. Je verrais bien :)

Entrer votre commentaire
 

Linkbacks

[...] Configurer un RB600A pour un réseau local simple avec WiFi [Kathryl.net] [...]
 
blog/mikrotik_rb600a_configuration_nat_wifi_upnp.txt · Dernière modification: Tuesday 22 December 2009 par kathryl
Flux RSS du Blog Driven by DokuWiki Gentoo Powered Valid XHTML1.0 Powered by Apache PHP Powered Coffee Powered