Obtenez un accès complet à toutes nos leçons dès maintenant. Start $1 Trial

Configuration par Défaut du RouterOS

Chaque fois que vous achetez un appareil MikroTik, il est livré avec une configuration par défaut définie par la société MikroTik. La configuration par défaut diffère d’une Routerboard à l’autre en fonction du type de carte.

Jusqu’à présent, MikroTik classe ses Routerboards dans les catégories suivantes (qui ont chacune leur propre configuration par défaut) :

  • Routeur CPE
  • Routeur AP CPE LTE
  • Routeur AP (simple ou double bande)
  • Pont PTP (AP ou CPE)
  • Pont WISP (AP en mode pont ap)
  • Commutateur
  • IP uniquement
  • CAP (Point d’accès contrôlé)

 

Examinons brièvement chaque catégorie à part.

 

Routeur CPE

 

  • Dans ce type, le routeur est configuré en tant que dispositif client sans fil.
  • L’interface WAN est une interface sans fil.
  • Le port WAN a configuré un client DHCP et est protégé par IP.
  • Le pare-feu et la découverte/connexion MAC sont désactivés.

Voici une liste de quelques modèles de Routerboard considérés comme des routeurs CPE :

  • RB711, 911, 912, 921, 922 – avec licence de niveau 3 (CPE)
  • SXT
  • QRT
  • SEXTANT
  • LHG
  • LDF
  • DISC
  • Groove
  • Metal

 

Routeur LTE CPE avec point d’accès

 

  • Ce type de configuration s’applique aux routeurs disposant à la fois d’une interface LTE et d’une interface sans fil.
  • L’interface LTE est considérée comme un port WAN protégé par le pare-feu, avec la découverte/connexion MAC désactivée.
  • L’adresse IP sur le port WAN est obtenue automatiquement.
  • L’interface sans fil est configurée comme point d’accès et mise en pont avec tous les ports Ethernet disponibles.
  • Liste des routeurs utilisant ce type de configuration :
    • Kit wAP LTE
    • Kit LtAP mini

 

AP Router (simple ou double bande)

 

  • Ce type de configuration est appliqué aux routeurs de points d’accès domestiques afin qu’ils puissent être utilisés dès leur sortie de l’emballage sans configuration supplémentaire (à l’exception des mots de passe du routeur et du réseau sans fil).
  • Le premier port Ethernet est configuré comme port WAN (protégé par un pare-feu, avec un client DHCP et une connexion/découverte MAC désactivée).
  • Les autres ports Ethernet et interfaces sans fil sont ajoutés au pont LAN local avec une IP 192.168.88.1/24 et un serveur DHCP. Dans le cas des routeurs à double bande, l’une des interfaces sans fil est configurée comme point d’accès 5 GHz et l’autre comme point d’accès 2,4 GHz.
  • Liste des routeurs utilisant ce type de configuration :
    • RB450, 751, 850, 951, 953, 2011, 3011, 4011
    • mAP, wAP, hAP, OmniTIK

Pont PTP (AP ou CPE)

 

  • Ethernet ponté avec des interfaces sans fil.
  • L’adresse IP par défaut 192.168.88.1/24 est définie sur l’interface du pont.
  • Deux options sont possibles : CPE et AP.
  • Pour le CPE, l’interface sans fil est configurée en mode « station-pont ».
  • Pour l’AP, le mode « pont » est utilisé.
  • Liste des routeurs utilisant ce type de configuration :
    • DynaDish – comme CPE

 

Pont WISP

 

  • La configuration est la même que celle du pont PTP en mode AP, sauf que le mode sans fil est réglé sur pont ap pour les configurations PTMP.
  • Il est possible d’accéder directement au routeur à l’aide de l’adresse MAC.
  • Si un appareil est connecté au réseau avec un serveur DHCP activé, le client DHCP configuré sur l’interface du pont obtiendra l’adresse IP, qui peut être utilisée pour accéder au routeur.
  • Liste des routeurs utilisant ce type de configuration :
    • RB 911,912,921,922 – avec licence de niveau 4
    • cAP, Groove A, Metal A, RB711 A
    • BaseBox, NetBox
    • mANTBox, NetMetal

 

Switch

 

  • Cette configuration utilise les caractéristiques de la puce de commutation pour configurer un commutateur muet.
  • Tous les ports Ethernet sont ajoutés au groupe de commutateurs et l’adresse IP par défaut 192.168.88.1/24 est définie sur le port principal.
  • Liste des routeurs utilisant ce type de configuration :
    • FiberBox
    • CRS sans interface sans fil

 

IP seulement

 

  • Si aucune configuration spécifique n’est trouvée, l’adresse IP 192.168.88.1/24 est définie sur ether1, ou combo1, ou sfp1.
  • Liste des routeurs utilisant ce type de configuration :
    • RB 411,433,435,493,800,M11,M33,1100
    • CCR

 

CAP

 

  • Ce type de configuration est utilisé lorsqu’un appareil doit fonctionner comme point d’accès sans fil contrôlé par un CAPsMAN.
  • Lorsque la configuration par défaut du mode CAP est chargée, l’interface ether1 est considérée comme un port de gestion avec un client DHCP.
  • Toutes les autres interfaces Ethernet sont mises en pont, et toutes les interfaces sans fil sont configurées pour être gérées par CAPsMAN.
  • Aucune des cartes actuelles n’est livrée avec le mode CAP activé en usine. La configuration mentionnée ci-dessus est appliquée à toutes les cartes disposant d’au moins une interface sans fil lorsqu’elles sont configurées en mode CAP.

 

IPv6

 

  • Le paquet IPv6 est désactivé par défaut sur RouterOS v6.
  • Lorsqu’il est activé, après le premier redémarrage, la configuration par défaut sera également appliquée au pare-feu IPv6.

 

Configuration par défaut du pare-feu IP

 

Dans de nombreux cas, vous pouvez constater dans la configuration par défaut que MikroTik applique des règles de filtrage, en particulier pour les routeurs. Les principales règles que MikroTik applique sont :

 

  • Les paquets établis/liés sont ajoutés au fasttrack pour un débit de données plus rapide :
    • le pare-feu ne fonctionnera qu’avec les nouvelles connexions.
  • Abandonner les connexions non valides et les enregistrer avec le préfixe « invalid ».
  • Abandonnez les tentatives d’accès à des adresses non publiques à partir de votre réseau local :
    • appliquer address-list=not_in_internet avant.
    • bridge1 est l’interface réseau locale.
    • enregistrer les tentatives avec !public_from_LAN.
  • Détruire les paquets entrants qui ne sont pas protégés par la NAT :
    • ether1 est l’interface publique, enregistrez les tentatives avec le préfixe NAT.
  • Exclure les paquets entrants de l’Internet qui ne sont pas des adresses IP publiques :
    • ether1 est l’interface publique.
    • enregistrer les tentatives avec le préfixe !public.
  • Abandonner les paquets provenant du réseau local qui n’ont pas l’IP du réseau local :
    • 168.88.0/24 est le sous-réseau utilisé par le réseau local.

 

C’est tout ce que je voulais expliquer dans cette section, poursuivons maintenant notre discussion et parlons des meilleures pratiques pour l’accès à la gestion.

 

Course Content

0 commentaires

Soumettre un commentaire

About