Como instalar o MikroTik CHR em Cloud

Introdução

Estamos nos concentrando em instalar o SO Cloud Hosted Router (CHR) e fazer uma configuração básica nesta documentação. Para mais detalhes de configuração, dê uma olhada no wiki oficial do MikroTik .

Pré-requisitos

Certifique-se de que o servidor em nuvem atenda aos requisitos de seus desejos. Essa configuração pode ser realizada em qualquer servidor de nuvem disponível.

Passo 1 – Instalação

Se você ainda não o fez, crie um servidor de sua escolha. Em seguida, inicialize-o no rescuesistema. As credenciais de login são mostradas ao solicitá-lo. Para instalar o CHR, baixamos o site Raw disk image da MikroTik e extraímos diretamente no disco virtual via DD.

Esses comandos fazem todas as etapas necessárias:

# curl -L https://download.mikrotik.com/routeros/6.47.9/chr-6.47.9.img.zip > mikrotik-chr.zip
# funzip mikrotik-chr.zip > mikrotik-chr.img
# dd if=/path/to/mikrotik-chr.img of=/dev/sda bs=1M

Etapa 2 – Segurança

Depois, você pode reiniciar o servidor no sistema operacional recém-instalado.

Lembre-se de que as credenciais de login padrão são user : adminpassword : none. Portanto, é recomendável desabilitar imediatamente o usuário administrador e adicionar um novo. Para isso, faça login no seu servidor via ssh ou no console Hetzner e execute os seguintes comandos:

# /user add name=<username> password=<userpassword> group=full
# /user remove admin

Se desejar, você pode adicionar um endereço IP a um usuário, limitando o acesso a essa conta de usuário a partir do IP inserido.

# /user set <username> allowed-address=<IPv4>/<Netmask>

Agora queremos desabilitar todos os serviços desnecessários. Os serviços em execução atuais podem ser mostrados via # /ip service print. Nesse caso, desativaremos todos, exceto ssh:

# /ip service disable telnet,ftp,www,api,api-ssl,winbox

Recomendamos alterar o default ssh port 22por qualquer outra porta desejada.

# /ip service set ssh port=33458

Os comandos a seguir desabilitam o acesso de gerenciamento indesejado a dispositivos de rede, o que recomendamos.

# /tool mac-server set allowed-interface-list=none
# /tool mac-server mac-winbox set allowed-interface-list=none
# /tool mac-server ping set enabled=no
# /tool bandwidth-server set enabled=no
# /ip neighbor discovery-settings set discover-interface-list=none 
# /ip dns set allow-remote-requests=no
# /ip proxy set enabled=no
# /ip socks set enabled=no
# /ip upnp set enabled=no
# /ip cloud set ddns-enabled=no update-time=no
# /ip ssh set strong-crypto=yes

Passo 3 – Firewall Básico

Desde o início, o CHR tem uma configuração básica de firewall e é altamente recomendável não desativá-lo, se você não tiver 100% de certeza do que fazer. As regras a seguir o ajustam para torná-lo mais seguro:

# /ip firewall filter
# add action=accept chain=input connection-state=established,related # accept established/related connections 
# add action=accept chain=input src-address-list=<list-name> # IPs in <list-name> are allowed to access 
# add action=accept chain=input protocol=icmp # allows ICMP
# add action=drop chain=input # Other connections getting dropped
# /ip firewall address-list
# add address=10.0.0.1-10.0.0.254 list=<list-name> # adds addresses to <list-name>

Vamos agora criar alguns ajustes básicos nas regras de firewall para os clientes.

Primeiro adicione as redes privadas desejadas a uma lista:

# /ip firewall address-list
# add address=10.0.0.0/24 list=private_networks
# add address=10.0.1.0/24 list=private_networks
...

Agora queremos proteger essas redes.

Os primeiros pacotes com connection-state=established,relatedsão adicionados ao FastTrack e somente novas conexões serão permitidas pelo firewall. Em seguida, também definiremos uma regra para descartar qualquer conexão inválida. Esses são registrados com a tag invalid.

O mesmo é feito para IPs privados, que tentam alcançar um IP público. Para garantir que endereços não públicos de fora não possam acessar seu servidor, descartamos esses pacotes, bem como pacotes da LAN com IPs não privados.

# /ip firewall filter
# add action=fasttrack-connection chain=forward connection-state=established,related
# add action=accept chain=forward connection-state=established,related
# add action=drop chain=forward connection-state=invalid log=yes log-prefix=invalid
# add action=drop chain=forward dst-address-list=not_in_internet in-interface=bridge1 log=yes log-prefix=!public_from_LAN out-interface=!bridge1
# add action=drop chain=forward connection-nat-state=!dstnat connection-state=new in-interface=ether1 log=yes log-prefix=!NAT
# add action=drop chain=forward in-interface=ether1 log=yes log-prefix=!public src-address-list=private_networks
# add action=drop chain=forward in-interface=bridge1 log=yes log-prefix=LAN_!LAN src-address=!<privateIP-network>

Conclusão

Depois de seguir todas as etapas corretamente, você deve ter uma configuração básica estável do sistema operacional do MikroTik Cloud Hosted Router.

Mais instruções podem ser encontradas no wiki do MikroTik .

Rolar para cima