Mikrotik Groove configuratie scripts
In deze blogpost over de Mikrotik Groove configuratie scripts ga ik de mogelijkheden tonen over Mikrotik Groove. Voor veel mensen die niet overweg kunnen met Mikrotik is dat een moeilijke opgave. Daarom schrijf ik deze blogpost en maak ik Mikrotik configuratie scripts om je op een gemakkelijke manier op weg te helpen.
Op deze manier zal je in een mum van tijd een configuratie kunnen aanmaken.
Verwijder eerst de default configuratie om daarna de Mikrotik Groove scripts in te laden
Indien je gebruik wil maken van deze Mikrotik Groove scripts moet je eerst de default configuratie verwijderen. Omdat je anders twee configuraties door elkaar haalt.
Daardoor krijg je problemen omdat de default configuratie een alleenstaande configuratie is. Je kan eventueel indien nodig een export nemen van de firewall instellingen. Zo heb je steeds de basis firewall die je later kan gaan terug plaatsen. Veel Mikrotik scripts zijn daardoor onvolledig omdat de firewall nooit wordt terug geplaatst. Dit is een zeer belangrijke stap naar de veiligheid van je Mikrotik router en netwerk toe.
Wat zijn de stappen die je moet gaan nemen vooraleer je het Mikrotik script implementeert
De stappen zijn niet zo moeilijk. Ten eerste zorg ervoor dat de Mikrotik Groove over de laatste nieuwe RouterOS en firmware beschikt. Ten tweede reset de Mikrotik router zonder default configuratie. Daarna open het new terminal venster en plak het Mikrotik Groove configuratie script in dit venster. Start de Groove opnieuw op.
Deze onderwerpen kan je zien in Mikrotik voor beginners.
De Mikrotik scripts worden hier regelmatig gewijzigd en aangepast
De Mikrotik scripts worden regelmatig bijgewerkt. Dit omdat RouterOS soms wordt verbetert. Dit houd in dat de configuraties niet meer overeenkomen met de laatste nieuwe RouterOS. Dit kan soms voor problemen zorgen. Het zou dan ook goed zijn dat je fouten in deze Mikrotik Groove scripts zou melden. Dit draagt ertoe bij dat jij en andere mensen beter worden geholpen. En deze blogpost zal daardoor geoptimaliseerd worden. Aarzel niet en neem contact op.
Let op het model van de Mikrotik Groove
Mikrotik heeft verschillende modellen Grooves. Hiermee moet je wel opletten want de CPU snelheid kan verschillen naargelang het model. Dit is een tip dat ik je meegeef want anders zou het kunnen dat je de CPU in de Groove overbelast met schade als gevolg. Vele configuraties worden gemaakt met het model Mikrotik Groove A-52HPn. De vroegere modellen hadden een 400 MHz. CPU. De nieuwere daarentegen hebben een 600 MHz. processor. De ac versie heb ik nog niet uitgetest.
Mikrotik Groove configuratie scripts
Alle Mikrotik Groove configuratie scripts zijn gemaakt met RouterOS 6.47.2 stable version. En zal bij wijziging worden aangepast aan de nieuwere Mikrotik RouterOS.
| RouterOS versie | 6.47.2 |
| Firmware | 6.47.2 |
MikroTik Groove als AP-bridge configuratie
De eerste configuratie van de Mikrotik Groove doet dienst als een accespoint. Deze kan worden gebruikt als een extra accespoint voor buitengebruik of in grote ruimten.
Het is dan ook de bedoeling dat je een aangepaste antenne aansluit op de Groove. Op de ethernet aansluiting is een DHCP-cliënt geconfigureerd. Dit wil zeggen dat deze automatisch een IP-adres zal verkrijgen van de router. De draadloze wifi radio is nog niet beveiligd en de landinstellingen zijn op België ingesteld. Deze moet je alsnog wijzigen naargelang je land waarin je zich bevindt. Ik hoop dat deze eenvoudige configuratie een hulpmiddel is.
Safety first de Mikrotik firewall en paswoorden zijn zeer belangrijk
Zoals al aangehaald mag de firewall niet ontbreken in bepaalde Mikrotik scripts. Dit om de veiligheid van je router en netwerk te garanderen. Deze firewall volstaat en moet niet worden bijgewerkt. Dit omdat ik gebruik ga maken van de interface list. Opgelet de interface list wordt niet gebruikt bij de AP-bridge configuratie. Dit moet niet aangezien je router een firewall heeft en vervolgens je netwerk beschermt. Vergeet ook niet om een nieuwe login aan te maken zodat je router beveiligt is. Dit kan ik uiteraard niet in de Mikrotik scripts bij configureren. Maar je kan wel zien hoe je dit moet doen. Hier zie je hoe de login te wijzigen. Ook de security profile voor je draadloze verbinding is belangrijk. Pas dit ook aan. Hoe een security profile aanmaken zie je hier.
Mikrotik default firewall
/ip firewall filter add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1 add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN /ip firewall nat add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
Deze bovenstaande Mikrotik firewall kan je altijd gebruiken indien je de interface list juist hebt geconfigureerd. Deze bied zowel bescherming voor de Mikrotik Groove zelf en voor je netwerk. Gebruik deze uitsluitend als je de Groove gebruikt als router. Als de Mikrotik Groove wordt gebruikt als AP-bridge hoef je dit niet te doen.
Mikrotik Groove als AP-bridge
/interface bridge add name=bridge1 /interface wireless set [ find default-name=wlan1 ] antenna-gain=2 band=2ghz-g/n country=belgium disabled=no frequency=2412 mode=ap-bridge ssid=WirelessInfo.be-test wireless-protocol=802.11 wps-mode=disabled /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /interface bridge port add bridge=bridge1 interface=wlan1 add bridge=bridge1 interface=ether1 /ip dhcp-client add disabled=no interface=bridge1
Mikrotik Groove als cliënt verbonden met Telenet homespot
Ofschoon ik deze Telenet verbinding als voorbeeld neem kan deze voor veel toepassingen worden gebruikt. Ook bij andere Mikrotik toestellen zoals een SXT en dergelijke meer. De draadloze wifi radio maakt verbinding met de Telenet hotspot of een andere hotspot. De wifi radio fungeert dus als WAN interface op deze configuratie. Verwar deze niet met het verbinden met Telenet WiFree deze configuratie kan je hier zien. De ethernet poort is de LAN interface waar je een switch kan op aansluiten. Daar is een DHCP-server op geconfigureerd zodat ieder netwerktoestel automatisch een IP-adres krijgt toegewezen. Je kan daar ook een accespoint op aansluiten zoals hierboven. Indien je met een andere hotspot wil gaan verbinden kan dit door naar de SSID te scannen en daarna te verbinden.
/interface wireless set [ find default-name=wlan1 ] antenna-gain=2 band=2ghz-g/n country=belgium frequency=auto ssid="TELENETHOMESPOT" /interface list add name=WAN add name=LAN /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /interface list member add interface=wlan1 list=WAN add interface=ether1 list=LAN /ip firewall filter add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1 add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN /ip firewall nat add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
/interface bridge
add name=bridge-gasten
add admin-mac=E4:8D:8C:F0:73:4F auto-mac=no comment=defconf name=bridge-privaat
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk eap-methods="" management-protection=allowed mode=dynamic-keys name=profile-gasten supplicant-identity="" wpa2-pre-shared-key=testtest
add authentication-types=wpa2-psk eap-methods="" management-protection=allowed mode=dynamic-keys name=profile-privaat supplicant-identity="" wpa2-pre-shared-key=testtest
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-g/n channel-width=20/40mhz-Ce disabled=no frequency=2412 mode=ap-bridge security-profile=profile-privaat ssid="privaat internet" wireless-protocol=802.11 \
wps-mode=disabled
add disabled=no keepalive-frames=disabled mac-address=E6:8D:8C:F0:73:50 master-interface=wlan1 multicast-buffering=disabled name=wlan-gasten security-profile=profile-gasten ssid="gasten internet" \
vlan-id=10 vlan-mode=use-tag wds-cost-range=0 wds-default-cost=0 wps-mode=disabled
/interface vlan
add interface=wlan-gasten name=vlan-gasten vlan-id=10
/ip pool
add name=dhcp_pool0 ranges=192.168.89.2-192.168.89.254
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=bridge-gasten name=dhcp-gasten
/interface bridge port
add bridge=bridge-privaat comment=defconf interface=ether1
add bridge=bridge-privaat comment=defconf interface=wlan1
add bridge=bridge-gasten interface=wlan-gasten
add bridge=bridge-gasten interface=vlan-gasten
/ip address
add address=192.168.89.1/24 interface=bridge-gasten network=192.168.89.0
/ip dhcp-client
add comment=defconf disabled=no interface=bridge-privaat
/ip dhcp-server network
add address=192.168.89.0/24 dns-server=8.8.8.8,1.1.1.1 gateway=192.168.89.1
/ip firewall nat
add action=masquerade chain=srcnat
In dit bovenstaande Mikrotik Groove configuratie script is de Mikrotik Groove een accespoint. Maar die zendt twee SSID's uit. Een privaat en een gasten netwerk.
Doch op de ethernet aansluiting heb je maar één internet aansluiting. Daar het gast netwerk een afzonderlijke IP-range heeft is het privaat netwerk veiliger.
De ethernet aansluiting is uitgerust met een DHCP-cliënt zodoende dat deze een IP-adres verkrijgt van de router waar je de Mikrotik Groove op aansluit.
Het privaat netwerk gebruikt dan ook de DHCP-server van de router. Het gasten netwerk heeft een afzonderlijke DHCP-server, je hoeft dus niets te doen.
Deze configuratie wordt tot stand gebracht met VLAN en NAT. Deze kan voor allerlei doeleinden worden gebruikt. Opgelet verwijder eerst de default configuratie vooraleer je dit bovenstaand script inlaad.
Steun WirelessInfo.be
Om de hosting en de kosten van plug-ins te helpen dragen stort een kleine bijdrage op Paypal alstublieft.