Để quay số PPPOE trên router chúng ta cần chuyển đổI mô hình internet thông thường sang ONT bridge, lúc này modem nhà mạng đóng vai trò chuyển đổI tín hiệu quang sang điện và router sẽ
Trang 1MỤC LỤC HƯỚNG DẪN MIKROTIK
Sơ lược router mikrotik 3
Kết nối đến internet bằng dịch vụ PPPOE 4
Kết nối internet với 4G 6
Kết nốI internet bằng tính năng DHCP Client 7
Tạo BridgeLan 8
DHCP Sever 10
DNS 11
DNS ứng dụng 12
NAT 14
BẢO VỆ ROUTER – HỆ THỐNG INTERNET 15
Memcrashed - Các cuộc tấn công khuếch đại UDP 11211 15
Chống tấn công DDoS 16
Chống QUÉT CỔNG 16
Chống Hack từ BruteForce FTP + SSH 16
Port Knocking Sử dụng Icmp + Kích thước gói 16
Cài đặt thời gian router Mikrotik 17
Nat và hairpinNat 20
Chặn repeat sóng wifi 24
Fasttrack 1 kết nối 24
CHỈ ĐƯỜNG – ĐỊNH TUYẾN 27
Ví dụ thực hiện định tuyến kết nối đi qua Wan2 khi truy cập youtube 28
Giới Hạn Băng Thông 31
Cách 1: giới hạn theo từng ip trong lớp mạng và được đặt sẵn bằng lệnh 31
Cách 2: giới hạn băng thông dựa vào kết nối của người dùng là bình thường hay nặng 31
Cách 3: Tập lệnh này kiểm tra xem tải xuống trên giao diện có lớn hơn 512kbps hay không, nếu đúng thì hàng đợi sẽ được thêm vào để giới hạn tốc độ ở 256kbps 32
Cách 4: xác định kết nối của dịch vụ, ứng dụng và ưu tiên hoặc giới hạn băng thông 33
CÂN BẰNG TẢI 2 WAN 33
Chuyển đổi dự phòng với NETWATCH PING 37
Trang 2Sử dụng ip tĩnh phân phối xuống các router 37
Thiết lập email cho công cụ phân tích, cảnh báo, backup 40
Tunnel giữa các chi nhánh 44
VPN ipsec theo kiểu client to site 46
PPPOE SEVER 49
RADIUS KẾT HỢP PPPOE SEVER 51
Tạo máy chủ radius: 51
HOTPOST KẾT HỢP MIKHMON 57
Tạo user và quản lý với mikhmon 62
Hướng dẫn nhanh Mikhmon + Webserver 63
Sơ lược router mikrotik
Trang 3File hướng dẫn bao gồm nhiều tính năng :
- bạn có 2 đường wan sẽ được loadbalance , dự phòng chủ động trên cơ chế ping qua wan 1 nếu loss sẽ down wan1 và Up wan2 lên đường chính cực nhanh và tự động vì nếu lỗi truy cập internet với wan mà
ko có thuật toán sẽ làm hệ thống loss gói tin toàn bộ
-ý tưởng tối ưu cho game, ứng dụng, dịch vụ bất kỳ sẽ làm cho hệ thống mạng nhanh chóng và không bị ảnh hưởng bởi người dùng có hành vi download Tập tin lớn
-Bảo vệ router khỏi các cuộc tấn công ddos, ftp, ssh, scan port, Điều mà nếu bỏ qua thì đôi khi bạn sẽ thấy mạng chậm lag tồi tệ
- định tuyến đem đến khả năng chủ động chỉ đường qua các đường wan tuyệt vời
-Nếu gia đình bạn e ngại vấn đề con cái truy cập trang web đen thì cũng đc xử lý với mikrotik Yên tâm cho quý phụ huynh
-Hệ thống lập lịch giúp quý phụ huynh định hướng cho con cái môi trường internet sạch và lối sống lành mạnh
- Dành cho mô hình quán cafe, nhà hàng có ý tưởng nhiều lớp mạng, phân tách khách hàng có môi trườnginternet ổn định
- Nếu bạn muốn hệ thống wifi dành cho nhà trọ, phòng trọ giá internet sinh viên thì đến với mô hình hotpost voucher hoặc quản lý user kết hợp kiểm toán mikhmon
-pppoe sever là một mô hình dành cho ISP mini, phù hợp chung cư v v
Trang 4Kết nối đến internet bằng dịch vụ PPPOE
Giao thức PPPOE (giao thức điểm - điểm qua Ethernet) cung cấp quản lý ngườI dùng, quản lý mạng và lợI Ích kế toán rộng rãI cho các ISP và quản trị viên mạng Để quay số PPPOE trên router chúng ta cần chuyển đổI mô hình internet thông thường sang ONT bridge, lúc này modem nhà mạng đóng vai trò chuyển đổI tín hiệu quang sang điện và router sẽ thực hiện nhiệm vụ xác thực, kết nối mạng,…v v…
Bước 1: Với ISP cần khai báo Vlan như Viettel ở Vlan 35 chúng ta cần khởi tạo Vlan
Với ethernet 1 trên mikrotik kết nốI vớI modem nhà mạng và cổng này không nằm trong giao diện bridge nào khác
VLAN ID = 35 : chỉ số vlan nhà cung cấp yêu cầu
Interface=ether1 là port kết nốI đến modem nhà mạng Cổng ether1 không nằm trong bridge
Bước 2: Quay pppoe trên VLan đã tạo
Trang 51 User và Pass : do ISP cung cấp cho bạn.
2 Route Distance: chỉ số quyết định đường wan chính hay dự phòng Đường wan có số nhỏ hơn sẽ được active còn đường wan có số lớn hơn sẽ stanby
Nếu nhà cung cấp dịch vụ không yêu cầu vlan thì chúng ta trực tiếp đến bước 2
khai báo PPPoE.với interface là port số được cắm vào modem nhà mạng
Chỉ số : Distance là chỉ số ưu tiên nếu có nhiều đường wan thì đường wan có chỉ số nhỏ được hoạt động còn đường wan số lớn hơn sẽ ở chế độ dự phòng
Code Terminal:
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 \
password=1235678 use-peer-dns=yes user=ductv_ld01
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-out1
*Phần bôi đỏ: chỉnh sửa theo acc ISP cung cấp và port tương ứng
Trang 6Kết nối internet với 4G
Giao diện khi router nhận USB 4G của bạn sẽ có như thế này
Code Terminal:
/interface lte
set [ find ] name=lte1
/ip firewall nat
add action=masquerade chain=srcnat out-interface=lte1
Kết nốI internet bằng tính năng DHCP Client
1
2
3
54
Trang 7Tính năng này có tác dụng cho thiết bị mikrotik nhận ip từ thiết bị khác và truy cập internet bình thường Khác hoàn toàn với quay số PPPOE vì không cần xác thực.
Chỉ số ưu tiên giữa các đường kết nối internet
Cần lưu ý
Trang 8Tạo BridgeLan
Nhóm các cổng lan lại với nhau và chạy dhcp được thực hiện
Trang 9Đặt IP cho Lớp mạng Lan
Cài đặt nhanh dán lệnh dưới vào terminal:
/interface bridge
add add-dhcp-option82=yes dhcp-snooping=yes igmp-snooping=yes name=bridgeLAN/ip address
add address=192.168.1.1/24 interface=bridgeLAN network=192.168.1.0
/interface bridge port
add bridge=bridgeLAN interface=wlan1
add bridge=bridgeLAN interface=wlan2
add bridge=bridgeLAN interface=ether2
add bridge=bridgeLAN interface=ether3
add bridge=bridgeLAN interface=ether4
Trang 10DHCP Sever
Giao thức cấu hình cấp phát IP tự động được gọi tắt là DHCP sever dùng để phân phốI địa chỉ IP dễ dàng trong mạng nộI bộ.
Trang 11thế để chặn quảng cáo, bảo vệ quyền riêng tư và kiểm soát của phụ huynh Nó cung cấp một số tính năng bảo vệ cần thiết chống lại quảng cáo trực tuyến, trình theo dõi và lừa đảo, bất kể bạn sử dụng nền tảng và thiết bị nào.
Allow remote Requests: tính năng này khi click chọn sẽ áp dụng router có nhiệm vụ phân giải tên miền nên cân nhắc.
Trang 12DNS ứng dụng
kết quả khiêu dâm bằng Tìm kiếm
an toàn của
add address=216.239.38.120 name=google.com comment= "Google SafeSearch"
add address=216.239.38.120 name=www.google.com comment= "Google SafeSearch"
add address=216.239.38.120 name=https://google.com comment= "Google SafeSearch"
add address=216.239.38.120 name=https://www.google.com comment= "Google SafeSearch"
add address=216.239.38.120 name=google.com.mx comment= "Google SafeSearch"
add address=216.239.38.120 name=www.google.com.mx comment= "Google SafeSearch"
add address=216.239.38.120 name=https://google.com.mx comment= "Google SafeSearch"
add address=216.239.38.120 name=https://www.google.com.mx comment= "Google SafeSearch"
2 Chặn các trang web từ khóa của người dùng Sử dụng Dns Cache
Đảm bảo chỉ sử dụng Mikrotik DNS:
/ip firewall nat add action=redirect chain=dstnat comment=DNS dst-port=53 protocol=tcp ports=53 add action=redirect chain=dstnat dst-port=53 protocol=udp to-ports=53
to-DNS or DoH, IPv4 - Mikrotik Script
/ip dns set allow-remote-requests=yes cache-max-ttl=1d servers= 94.140.14.14,94.140.15.15
use-doh-server= https://dns.adguard.com/dns-query
/ip dns static
add address=94.140.14.14 name=dns.adguard.com
add address=94.140.15.15 name=dns.adguard.com
DNS or DoH, IPv6 - Mikrotik Script
/ip dns set allow-remote-requests=yes cache-max-ttl=1d servers= 2a10:50c0::ad1:ff,
2a10:50c0::ad2:ff use-doh-server= https://dns.adguard.com/dns-query
/ip dns static
add address=2a10:50c0::ad1:ff name=dns.adguard.com
add address=2a10:50c0::ad2:ff name=dns.adguard.com
Verify DoH Certificate - Mikrotik Script (Optional)
Step1: /tool fetch url=https://cacerts.digicert.com/DigiCertGlobalRootCA.crt.pem
Step2: /certificate import file-name=DigiCertGlobalRootCA.crt.pem passphrase=""
Step3: /ip dns set verify-doh-cert=yes
Trang 13Chặn nó bằng cách thả nó vào Quy tắc lọc
/ip firewall filter add chain=forward dst-address-list=BLOCK_SITE action=drop
Vui lòng nhập nó vào lịch trình proxy hoặc thông qua một tập lệnh miễn phí và tốt hơn nếu thời gian chạy không quá nhanh, cá nhân tôi chỉ đặt nó trong 10 phút
# Find all entry on dns cache
:foreach iDNS in=[/ip dns cache all find where (name~"poker" || name~"porn" || name~"cheat" || name~"bokep" || name~"ngentot" || name~"qq.com" || name~"qq.net" || name~"qq.org" || name~"roulette" || name~"sbobet" || name~"casino" || name~"xvideos") && (type="A") ] do={
# find and filtering keyword and only find record for type A
# for keyword just add keyword || name~"KEYWORD") before && (type="A")
##########################################################################
:local tmpDNSsite [/ip dns cache get $iDNS name] ;
:local tmpDNSip [/ip dns cache get $iDNS address];
:local nameList "BLOCK_SITE";
# save to local cache by string
##########################################################################
delay delay-time=10ms
# wait for 10ms
##########################################################################
:if ( [/ip firewall address-list find where address=$tmpDNSip] = "") do={
# chek for no more duplicate site on cache
##########################################################################
:log warning ("Added site to block on dns: $tmpDNSsite : $tmpDNSip");
# show info on warning log
##########################################################################
/ip firewall address-list add address=$tmpDNSip list=$nameList comment=$tmpDNSsite;
# add site to add list entry.
/ip firewall nat
add action=redirect chain=dstnat dst-port=53 protocol=udp to-ports=53
add action=redirect chain=dstnat dst-port=53 protocol=tcp to-ports=53
4 Lọc kết quả khiêu dâm bằng Chế độ hạn chế của Youtube
Trang 14Cho dù bạn đang sử dụng Tìm kiếm trên Youtube tại nơi làm việc, với trẻ em hay cho chính bạn, Chế độ hạn chế của Youtube có thể giúp bạn lọc nội dung khiêu dâm khỏi kết quả của mình.
/ip dns static
add address=216.239.38.119 name=youtube.com comment="Youtube SafeSearch"
add address=216.239.38.119 name=www.youtube.com comment="Youtube SafeSearch"
add address=216.239.38.119 name=https://www.youtube.com comment="Youtube SafeSearch"
add address=216.239.38.119 name=m.youtube.com comment="Youtube SafeSearch"
add address=216.239.38.119 name=https://m.youtube.com comment="Youtube SafeSearch"
add address=216.239.38.119 name=youtubei.googleapis.com comment="Youtube SafeSearch"
add address=216.239.38.119 name=https://youtubei.googleapis.com comment="Youtube SafeSearch"
add address=216.239.38.119 name=youtube.googleapis.com comment="Youtube SafeSearch"
add address=216.239.38.119 name=https://youtube.googleapis.com comment="Youtube SafeSearch"
add address=216.239.38.119 name=www.youtube-nocookie.com comment="Youtube SafeSearch"
NAT
Network Address Translation - NAT là tiêu chuẩn internet cho các thiết bị trên mạng nộI bộ cùng truy cập mạng vớI một bộ địa chỉ IP public
Masquerade giúp bạn ẩn mạng nộI bộ đằng sau ip public.
BẢO VỆ ROUTER – HỆ THỐNG INTERNET
Trang 15Bước 1: đổi Pass
Bước 2: tắt các dịch vụ không sử dụng
Bước 3: Chống hack Router coppy lệnh dưới mô tả và pass vào terminal
Memcrashed - Các cuộc tấn công khuếch đại UDP 11211
/ip firewall filter
add chain =forward dst-port =11211 protocol =udp action =drop comment = "Memcrashed - Amplification Attacks UDP 11211"
Trang 16Chống tấn công DDoS/ip firewall filter
add chain =forward connection-state =new action =jump jump-target =block-ddos comment = "Anti DDoS Attacks"
add chain =forward connection-state =new src-address-list =ddoser dst-address-list =ddosed action =drop
add chain =block-ddos dst-limit =50,50,src-and-dst-addresses/10s action =return
add chain =block-ddos action =add-dst-to-address-list address-list =ddosed address-list-timeout =10m
add chain =block-ddos action =add-src-to-address-list address-list =ddoser address-list-timeout =10m
Chống QUÉT CỔNG/ip firewall filter
add chain =input protocol =tcp psd =21,3s,3,1 action =add-src-to-address-list address-list = "port scanners" address-list-timeout =2w comment = "Mark Source ip port scanner to Address list " disabled =no
add chain =input protocol =tcp tcp-flags =fin,!syn,!rst,!psh,!ack,!urg action =add-src-to-address-list address-list = "port scanners" timeout =2w comment = "NMAP FIN Stealth scan"
address-list-add chain =input protocol =tcp tcp-flags =fin,syn action =add-src-to-address-list address-list = "port scanners"
address-list-timeout =2w comment = "SYN/FIN scan"
add chain =input protocol =tcp tcp-flags =syn,rst action =add-src-to-address-list address-list = "port scanners"
address-list-timeout =2w comment = "SYN/RST scan"
add chain =input protocol =tcp tcp-flags =fin,psh,urg,!syn,!rst,!ack action =add-src-to-address-list address-list = "port scanners" timeout =2w comment = "FIN/PSH/URG scan"
address-list-add chain =input protocol =tcp tcp-flags =fin,syn,rst,psh,ack,urg action =add-src-to-address-list address-list = "port scanners"
address-list-timeout =2w comment = "ALL/ALL scan"
add chain =input protocol =tcp tcp-flags =!fin,!syn,!rst,!psh,!ack,!urg action =add-src-to-address-list address-list = "port scanners" timeout =2w comment = "NMAP NULL scan"
address-list-add chain =input src-address-list = "port scanners" action =drop comment = "Drop port scanners" disabled =no
Chống Hack từ BruteForce FTP + SSH
/ip firewall filter
add action =drop chain =input comment = "drop ftp BRUTE FORCErs" dst-port =21 protocol =tcp src-address-list =ftp_blacklist
add action =accept chain =output content = "530 Login incorrect" dst-limit =1/1m,9,dst-address/1m protocol =tcp
add action =add-dst-to-address-list address-list =ftp_blacklist address-list-timeout =3h chain =output content = "530 Login incorrect" protocol =tcp add action =drop chain =input comment = "drop ssh BRUTE FORCErs" dst-port =22-23 protocol =tcp src-address-list =ssh_blacklist
add action =add-src-to-address-list address-list =ssh_blacklist address-list-timeout =1w3d chain =input connection-state =new dst-port =22-23 protoc
add action =drop chain =forward comment = "drop ssh brute downstream" dst-port =22-23 protocol =tcp src-address-list =ssh_blacklist
Port Knocking Sử dụng Icmp + Kích thước gói
Kích thước gói duy nhất cho Key Knocking: 72 và 172
Ví dụ Mở Key Ping theo cách thủ công trong CMD Windows:
First Key Knock = ping -l 72 (Địa chỉ IP)
Khóa thứ hai Knock = ping -l 172 (Địa chỉ IP)
Ví dụ Mở khóa Ping theo cách thủ công trong Terminal Linux hoặc MacOS:
Trang 17Khóa đầu tiên Knock = ping -s 72 (Địa chỉ IP)
Khóa thứ hai Knock = ping -s 172 (Địa chỉ IP)
/ip firewall filter
add action =add-src-to-address-list address-list = "port-knocking-first" address-list-timeout = "00:00:00" chain =input packet-size = "100" protoco
l =icmp comment = "Port Knocking Use Icmp + Packet Size"
add action =add-src-to-address-list address-list = "port-knocking-second" address-list-timeout = "00:00:00" chain =input packet-size = "200" protoco
l =icmp src-address-list = "port-knocking-first"
add action =accept chain =input dst-port = "21,22,23" protocol =tcp src-address-list = "port-knocking-second"
add action =drop chain =input dst-port = "21,22,23" protocol =tcp src-address-list = "!port-knocking-second"
Cài đặt thời gian router Mikrotik
Thời gian trong hệ thống mikrotik cần thiết cho việc giám sát, đặt lịch chạy Script v v…
đôi khi bị sai lệch do quá trình thiết bị offline hoặc khởi động lại Để cài đặt giờ chính xác bạn hãy thực hiện:
Trang 18Đầu tiên với setup cho cloud:
Với lệnh như sau hãy dán vào terminal: Lệnh này tự động cập nhập múi giờ,thời gian ngay sau mỗi lần khởi động lại của router
/system clock
set time-zone-name=Asia/Bangkok
/system scheduler
add interval=1d name=SETTING-TIMEZONE on-event="/system scheduler\r\
\nadd interval=1d name=SETTING-TIMEZONE on-event=\"#======================\
Trang 19=======\\\r\
\n=================\\r\\\r\
\n# Auto Repair TimeZone and clock By BuanaNET\\r\\\r\
\n#==============================================\\r\\\r\ \n# Waktu Indonesia Barat (WIB) = +07:00\\r\\\r\
\n# Waktu Indonesia Tengah (WITA) = +08:00\\r\\\r\
\n# Waktu Indonesia Timur (WIT) = +09:00 \\r\\\r\
\n#==============================================\\r\\\r\ \n# Ganti \\\"+07:00\\\" sesuaikan dengan daerah masing-masing\\r\\\r\ \n#==============================================\\r\\\r\ \n/system clock manual set time-zone=\\\"+07:00\\\";\\r\\\r\
\n/system clock set time-zone-autodetec=no;\\r\\\r\
\n/system clock set time-zone-name=\\\"manual\\\";\\r\\\r\
\n/ip cloud set update-time=no;\\r\\\r\
\n:local ntpServer \\\"asia.pool.ntp.org\\\";\\r\\\r\
\n:local primary [resolve \\\$ntpServer];\\r\\\r\
\n:local secondary [resolve \\\$ntpServer];\\r\\\r\
\n/system ntp client set primary-ntp \\\$primary;\\r\\\r\
\n/system ntp client set secondary-ntp \\\$secondary;\\r\\\r\
\n/system ntp client set enabled=yes;\" policy=\\\r\
\nftp,reboot,read,write,policy,test,password,sniff,sensitive,romon start-t\ ime=startup" policy=\
ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \ start-date=jul/16/2022 start-time=startup
Trang 20SNTP Client Setup qua lệnh:
/system ntp client
set enabled=yes primary-ntp=202.65.114.202 secondary-ntp=212.26.18.41 \
server-dns-names=asia.pool.ntp.org
Nat và hairpinNat
Đứng từ ngoài internet có thể truy cập vào thiết bị trong nội bộ lan là mở port tuy nhiên phát sinh vấn đề đứng trong cùng mạng nội bộ truy cập vào ip wan thì cần them bước gọi là HairpinNat
Trang 23CHIA SẺ HƯỚNG DẪN CẤU HÌNH MIKROTIK
Bước 4: Nat – mở Port
Mỗi khi cần mở port thì thực hiện bước 4.
Chặn repeat sóng wifi
ĐỨCTẰNGVĂN-MIKROTIK-0869529252
Trang 24CHIA SẺ HƯỚNG DẪN CẤU HÌNH MIKROTIK
Có rất nhiều thiết bị có chức năng chuyển tiếp sóng wifi Với mục đích mở rộng phủ sóng Tuy nhiên lỗi
phát sinh không mong muốn từ các thiết bị này rất nhiều
Và nếu bạn không muốn hệ thống wifi của mình lại bị repeat lại do một ai đó không có sự cho phép của
bạn mà thực hiện Trên router của mikrotik sẽ thiết lập lệnh này :
Fasttrack 1 kết nối
Nguyên lý thực thi:
1 Tạo ra list ip đích đến sẽ đc tối ưu hiệu năng kết nối
2 Xác định kết nối đến list ip đã tạo
3 Fasttrack kết nối đó.
Ý tưởng để ưu tiên mạnh mẽ cho kết nối đi mạng xã hội chúng ta thực hiện:
ĐỨCTẰNGVĂN-MIKROTIK-0869529252
Trang 25CHIA SẺ HƯỚNG DẪN CẤU HÌNH MIKROTIK
Từng bước sau : Bước 1: lập list IP lan và IP Wan
Code:
/ip firewall address-list
add address= 192.168.10.0/24 list=LAN
add address= e5780f2c036.sn.mynetname.net list=Wan
ĐỨCTẰNGVĂN-MIKROTIK-0869529252
Trang 26CHIA SẺ HƯỚNG DẪN CẤU HÌNH MIKROTIK
Bước 2: chạy code để bắt kết nối đến mạng xã hội bằng terminal
/ip firewall layer7-protocol
add name=MXH regexp=\
Trang 27CHIA SẺ HƯỚNG DẪN CẤU HÌNH MIKROTIK
address-list-timeout=none-dynamic chain=prerouting connection-mark=\
no-mark dst-address-list=!Wan layer7-protocol=*3 src-address-list=LAN
add action=mark-connection chain=prerouting dst-address-list=MXH-IP-list \
new-connection-mark=KetNoiMXH
add action=fasttrack-connection chain=prerouting connection-mark=KetNoiMXH
CHỈ ĐƯỜNG – ĐỊNH TUYẾN
Có nhiều trường hợp cần chỉ đường:
Lớp mạng X qua đường wan1, lớp mạng Y qua đường Wan2
Khi truy cập vào dịch vụ Z thì đi qua đường wan1
Chặn các phân đoạn,lớp mạng thấy nhau trong cùng router
Nguyên tắc cơ bản cần lắm để thực hiện bất kỳ chỉ đường nào đó là :
1 Xác định ip nguồn , ip đích Là dải ip của web của app bằng content, l7 protocol hoặc cổng TCP,UDP.
2 Đánh dấu kết nối đến ip đích và chỉ đường cho kết nối đó bằng “định danh”.
3 Thực thi “định danh” với bảng Router
Ví dụ thực hiện định tuyến kết nối đi qua Wan2 khi truy cập youtube
Bước 1.Ip nguồn là ip “local-lan” của bạn
ĐỨCTẰNGVĂN-MIKROTIK-0869529252
Trang 28CHIA SẺ HƯỚNG DẪN CẤU HÌNH MIKROTIK
Ví dụ bạn xác định các kết nối đi qua youtube bằng l7 protocol
Dán vào terminal lệnh dưới:
/ip firewall layer7-protocol
add name=Youtube regexp=\
"^ +\\.(youtube.com|googlevideo.com|akamaihd.net|youtu.be).*\$"
ĐỨCTẰNGVĂN-MIKROTIK-0869529252
Trang 29CHIA SẺ HƯỚNG DẪN CẤU HÌNH MIKROTIK
Xác định địa chỉ đến Youtube:
ĐỨCTẰNGVĂN-MIKROTIK-0869529252
Trang 30CHIA SẺ HƯỚNG DẪN CẤU HÌNH MIKROTIK
Định danh kết nối đến youtube: tiếp tục với mangle
Thực hiện chỉ đường với bảng router:
1 Để tạo list ip đích: click ip firewall address list
ĐỨCTẰNGVĂN-MIKROTIK-0869529252
Trang 31CHIA SẺ HƯỚNG DẪN CẤU HÌNH MIKROTIK
Giới Hạn Băng Thông
Cách 1: giới hạn theo từng ip trong lớp mạng và được đặt sẵn bằng lệnh:
for X from=2 to=254 do={ /queue simple add name="IP-$X" target="192.168.1.$X" max-limit=5M/5M}
Kết quả:
Cách 2: giới hạn băng thông dựa vào kết nối của người dùng là bình thường hay nặng
Terminal:
/ip firewall address-list
/ip firewall mangle
add action=mark-connection chain=prerouting connection-bytes=512000-0 \
connection-rate=512k-100M dst-address-list=!LOCAL-IP new-connection-mark=\
KetNoiNang src-address-list=LOCAL-IP
add action=mark-connection chain=prerouting connection-mark=!KetNoiNang \
ĐỨCTẰNGVĂN-MIKROTIK-0869529252
Trang 32CHIA SẺ HƯỚNG DẪN CẤU HÌNH MIKROTIK
add name=upload parent=global priority=1
add name=Download parent=BridgeLan priority=1
add name=U_nhe packet-mark=GT-Nhe parent=upload priority=1 queue=\
Sử dụng đặt lịch trong hệ thống để kiểm tra và giới hạn băng thông:
Dán lệnh dưới đây vào Script của trình lập lịch
ĐỨCTẰNGVĂN-MIKROTIK-0869529252
Trang 33CHIA SẺ HƯỚNG DẪN CẤU HÌNH MIKROTIK
:foreach i in=[/interface find] do={ /interface monitor-traffic $i once do={ :if ($
"received-bits-per-second" > 0 ) do={ :local tmpIP [/ip address get [/ip address findinterface=$i] address] ; #:log warning
$tmpIP ; :for j from=( [:len $tmpIP] - 1) to=0 do={ :if ( [:pick $tmpIP$j] = "/") do={ /queue simple add
name=$imax-limit=256000/256000 dst-address=[:pick $tmpIP 0 $j] ; } } } } }
Cách 4: xác định kết nối của dịch vụ, ứng dụng và ưu tiên hoặc giới hạn băng thông
Bước 1: bắt gói tin của ứng dụng sử dụng L7 protocol
/ip firewall layer7-protocol
add name=Zalo regexp=\
add name=Twitter regexp="^.+(twitter.com|twimg.com).*\$"
add name=Telegram regexp="^.+(telegram.com).*\$"
add name=Netflix regexp="^.+(netflix.com).*\$"
add name=Tiktok regexp="^.+(tiktok.com|musical.ly).*\$"
CÂN BẰNG TẢI 2 WAN
#Bước 1: thiết lập router có internet và bridge như bình thường
/interface bridge
add name=BridgeLan
/interface bridge port
add bridge=BridgeLan interface=wlan1
add bridge=BridgeLan interface=wlan2
ĐỨCTẰNGVĂN-MIKROTIK-0869529252
Trang 34CHIA SẺ HƯỚNG DẪN CẤU HÌNH MIKROTIK
add bridge=BridgeLan interface=ether3
add bridge=BridgeLan interface=ether4
add bridge=BridgeLan interface=ether5
add address-pool=dhcp_pool0 disabled=no interface=BridgeLan name=dhcp1
/ip dhcp-server network
add address= 123.123.123.0/24 gateway= 123.123.123.1
/ip firewall address-list
add address= 123.123.123.0/24 list=LOCAL-IP
#Bước 2: thiết lập pppoe cho các wan
/interface pppoe-client
add add-default-route=yes disabled=no interface= ether1 name=pppoe-out1 \
password= 12345678 user= ductv_ld01
add add-default-route=yes default-route-distance=2 disabled=no interface=\
ether2 name=pppoe-out2 password= 12345678 user= ductv_ld02
ĐỨCTẰNGVĂN-MIKROTIK-0869529252
Trang 35CHIA SẺ HƯỚNG DẪN CẤU HÌNH MIKROTIK
#Nat masquede để có internet cho lan-local
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-out1
add action=masquerade chain=srcnat out-interface=pppoe-out2
#Cân Bằng tải PCC
/ip firewall mangle
add action=mark-connection chain=input in-interface=pppoe-out1 \