MikroTik RouterOS

Présenté par SOME Pinguéné Ferdinand

Measure Evaluation mars 2019
 Objectifs de la formation
• Prise en main du routeur
• Aperçu des capacités de l’OS routeros et du routerboard
• Configuration du routeur
• Gestion des accès
• Gestion de la bande passante
• Filtrage
• Maintenance et troubleshooting basics
 Présentation de MikroTik
MikroTik est une société lituanienne basée à Riga qui développe depuis 1995
des solutions de routage et sans fil à destination des FAI dans le monde entier.

Mikrotik crée en 1997 un système d'exploitation nommé RouterOS capable de

tourner sur du matériel informatique standard et offre plusieurs avantages de
stabilité et flexibilité.
En 2002 Mikrotik crée son propre matériel et la marque Routerboard est née
et utilisant le systeme RouterOS.
En 2006 première rencontre MUM
 Présentation de MikroTik
Bureaux : Pernavas iela 46, Riga Lettonie LV-1009
Routerboard: www.routerboard.com
Portail vidéo Tiktube : www.tiktube.com
Événements MUM : mum.mikrotik.com
Documentation : wiki.mikrotik.com
Support technique : support@mikrotik.com
 Présentation de RouterOS
RouterOS est le système d'exploitation de Routerboard mais il peut
également être installé sur un ordinateur standard pour jouer le rôle
d’un routeur avec toutes les fonctionnalités necessaires à savoir
routage, pare-feu, gestion de la bande passante, point d'accès sans fil,
liaison terrestre, passerelle hotspot, serveur VPN, Qos, management et
plus.
RouteOS est basé sur le noyau Linux 2.6 fournissant tous les protocoles
nécessaires à la mise en service des réseaux LAN et WLAN.
 Matériel supporté
RouterOS supporte en plus des routeurs et cartes MikroTik Routerboard
les machines multi-core et multi-CPU.
Vous pouvez l'exécuter sur le dernier processeur d'Intel ou les cartes
mères utilisent les processeurs multi cœurs récents.
Selon le type d'architecture et de processeur utilisé, les performances
en routage atteignent les 450 000 pps pour des paquets de 512 Octets.
Le routerboard
Matériel fabriqué par Mikrotik,
gamme allant des petits routeurs
domestiques aux concentrateurs
d’accès de classe opérateur
 Fonctionnalités
 Support natif IPV4 et IPV6.
 Routage statique et dynamique (RIP OSPF BGP).
 Protocole MPLS, VPN MPLS et VPLS.
 Tunnels TE (Traffic Engineering).
 Gestion de la Qualité de Service QOS.
 Firewall de niveau 7 avec gestion du P2P.
 haute disponibilité (protocole VRRP)
 Fonctionnalités (Suite)
 Agrégation et équilibrage de charge.
 Tunnels GRE PPTP L2TP PPOE EOIP OpenVPN.
 Tunnels IPSEC DES 3DES AES128 AES256.
 Authentification locale et Radius AAA.
 Réseau WDS MESH et AP virtuelles.
 Protocole NstremeV2 basé sur TDMA.
 Solution HotSPOT intégrée et proxy Web.
 L’installation de RouterOS
L’installation de RouterOS prend en charge les supports de stockage IDE,
SATA, USB, cartes CF et SD, disques SDD et plus.
Pour l’installation de RouterOS vous devez avoir un minimum 64 Mo
d'espace qui sera partitionné pour devenir le système d'exploitation par
défaut du routeur préparé.
RouterOS prend en charge a une multitude d’interfaces et cartes
réseaux y compris les dernières cartes Ethernet 10 Gigabit, cartes sans
fil 802.11A/B/G/N et modems 3G.
L’installation de RouterOS
Mode d’accès
 Mode d’accès(2/4)
La configuration du RouterOS se fait au choix avec diverses méthodes de
configuration :
 Configuration locale avec le port série, Telnet et SSH( accès sécurisé).
 Configuration par réseau avec l'interface graphique personnalisée
appelée WinBox.
 Mode d’accès (3/4)
RouterOS prend en charge aussi la configuration avec une connexion
direct de niveau MAC en cas d’ echec de la connexion IP avec Telnet et
l’outil WinBox.
RouterOS dispose d'un puissant CLI facile à apprendre ligne et avec les
possibilités avec les scripts intégrés.
Depuis la version v4 du RouterOS Inclus le langage de script Lua qui
ouvre une multitude d'approches en matière d'automatisation et de
programmation de votre routeur.
 Mode d’accès
En conclusion la configuration se fait par :
 WinBox GUI sur IP et MAC téléchargeable sur www.mikrotik.com
 CLI via Telnet, SSH, console locale et console série
 API pour programmer vos propres outils
Winbox
Winbox est une application pour accéder au routeros. Elle est téléchargeable sur le
site de mikrotik: www.mikrotik.com
Connexion

Câble Ethernet

2
c:

Winbox
Connexion
Cliquez sur Neighbors pour afficher les routeurs disponibles
Connexion
Cliquez sur l’adresse Mac ou sur l’adresse ip si vous y avez accès à l’IP (ping)
L’utilisateur par défaut est « admin » et sans password
Configuration
• Désactivez toutes les interfaces wifi de votre laptop
• Mettez 192.168.X.1/24 comme adresse IP
• 192.168.X.254 comme passerelle
Configuration
• Attribuer un nom à
votre routeur dans
« system »
« identity »

• Assigner une adresse

ip à l’interface ether1
Configuration
• Fermez winbox et reconnectez vous avec l’adresse IP
• L’adresse MAC ne doit être utilisée que lorsqu’il n’y a pas
d’accès IP
Configuration
Diagramme
Classe AP
votre Laptop votre Routeur
. • . • . 0

192.168.X.1 192.168.X.254
Configuration
• La passerelle Internet est accessible par wireless. C’est un point
d’accès (AP)
• Pour y accéder configurer la carte wifi de votre router en mode station
Configuration -routeur
• La passerelle Internet est accessible par wireless. C’est un point
d’accès (AP)
• Pour y accéder configurer la carte wifi de votre router en mode station
 Configuration -routeur
Pour configurer
le wifi double
cliquez sur
l’interface
wlan1 dans le
menu wireless
 Configuration -routeur
• Pour voir les AP disponibles cliquez sur le bouton scan
• Sélectionnez class1 et cliquez sur connect
• Fermez la fenêtre de scan
• Ainsi vous êtes connecté sur l’AP!
• Retenir le nom du SSID class1
 Configuration -routeur
• L’interface wireless a besoin d’une IP

• L’ AP attribue automatiquement des adresses IP par DHCP

• Activer le dhcp client sur votre routeur pour acquérir une

adresse IP
 Configuration -routeur
• Cliquez sur dhcp client dans le
menu IP

• Cliquez sur le
signe + pour
ajouter

• Choisir l’interface
wlan1
 Configuration -routeur
• Vérifiez la connectivité internet avec un traceroute ou un ping
 Configuration -routeur
Votre routeur peut servir
de serveur DNS pour
votre réseau local
 Configuration -laptop
• Configurez votre Laptop pour utiliser votre routeur
comme serveur DNS
• Entrez l’adresse IP de votre routeur (192.168.X.254)
comme serveur DNS dans la conf igurat ion
réseau de vot re lapt op
 Configuration - laptop - internet
• Laptop peut accéder au routeur et le routeur a accès à
internet, il ne reste plus qu’une étape
• Créer une règle Masquerade pour protéger votre LAN
et rendre internet accessible sur le laptop
 Espace privé et public

• Masquerade est utilisé pour permettre aux adresses privée

d’accéder au réseau public
• Les réseaux privés incluent 10.0.0.0- 10.255.255.255,
172.16.0.0-172.31.255.255, 192.168.0.0-192.168.255.255
Configuration - laptop - internet
Connectivité laptop - internet
Ping www.mikrotik.com à partir du laptop
 Serveur DHCP
Le serveur dhcp sert à attribuer automatiquement des adresses

ip aux machines de votre réseau. Pour ce faire:

Cliquez sur le menu IP , choissisez « dhcp- server » , cliquez sur

« setup » et laissez vous guider

Exemple 2 : Serveur DHCP
Serveur DHCP
Gestion des utilisateurs
Pourquoi?
• Empêcher les personnes non autorisées à accéder
au système
• L’intrus peut vous voler des information ou même
vous refuser l’accès à vos ressources
• L’intrus peut utiliser vos ressources pour accéder à
d’autres systèmes
Gestion des utilisateurs
Pourquoi?
Gestion des utilisateurs
Comment?
• Garder le routeur à jour
• Sécuriser l’utilisateur et le mot de passe
• Sécuriser l’accès physique
• Renforcement des services en désactivant les services inutiles
• Paramétrer le pare –feu
• Journalisation des logs
• NTP sync
• Divers
Gestion des utilisateurs
Garder le routeur à jour
Gestion des utilisateurs
Garder le routeur à jour

• Utilisez la version stable

• Télécharger depuis une source fiable (site de mikrotik)
 Gestion des utilisateurs
Garder le routeur à jour
• Copiez la version télécharger dans le menu file du routeur
• Redémarrez le routeur pour appliquer la mise à jour
 Gestion des utilisateurs
Garder le routeur à jour
La mise à jour du routeur peut se faire directement dans le routeur
 Gestion des utilisateurs
Garder le routeur à jour
La mise à jour du routeur peut se faire directement dans le routeur

• Cliquez sur
download &
upgrade
• A la fin le routeur
va redémarrer
Gestion des utilisateurs
Sécurisez user ID et password
Cliquez sur user dans le menu
system
• Modifiez le nom du compte
admin
• Définir un password complexe
• Créer un compte séparé pour
chaque administrateur
• Définir les adresses autorisées
• Créer un utilisateur en lecture
seule
Gestion des utilisateurs
Sécurisez l’accès physique
• Toujours déconnecter sa session
• Désactiver les interfaces inutilisées
Gestion des utilisateurs
Sécurisation des services
• Désactiver le service non sécurisé (ex: telnet)
• Désactiver les services inutilisées
• Définir des listes d’accès pour chaque service
• Changer le port de service
Gestion des utilisateurs
Paramétrage du pare-feu
Le paramétrage du pare-feu ajoute une couche de sécurité
Gestion des utilisateurs
Journalisation
• Journalisation de la surveillance
• Sauvegarde sur le disque (journal RouterOs par
défaut en mémoire)
• Transferer le journal vers un serveur syslog
Gestion des utilisateurs
NTP sync
• Définir le
fuseau horaire
• Synchroniser
l’heure avec un
serveur NTP
 Sauvegarde configuration
La sauvégarde ou la restauration de la configuration du routeur se
fait via winbox à travers le menu “File” ou en ligne de commande
dans “Terminal”
 Sauvegarde configuration
• La sauvégarde de la
configuration du
routeur peut se faire
via winbox à travers le
menu “File”
• Cette sauvegarde
n’est pas editable
 Sauvegarde configuration
• La restauration de la
configuration du
routeur se fait en
cliquant sur la
sauvegarde
• Cliquez sur “Restore”
 Sauvegarde configuration
Pour avoir une
sauvegarde editable, il
faut la faire en ligne de
commande via le menu
“Terminal”
Dans cette sauvegarde le
password n’est pas
sauvegardé
Sauvegarde et restauration de la config
La restauration consiste remettre le routeur dans son
état initial. Elle peut se faire de deux façons:
 Menu file on clique sur le fichier de backup et on
clique sur restore
 En ligne de commande « new terminal », on édite
le fichier de sauvegarde d’extension.src on copie et
on colle