Software settings RB751 Mikrotik

De configuratie met het routerboard is opgezet om de volgende functionaliteit te bereiken.

Het Wireless-België netwerk is de ISP voor het 44.144.x.x netwerk in België. Dit houd in dat alle 44.144 routing internationaal over het datacentrum loopt van WB.

Door de verdere verdeling van de route heeft de WB node in Saffraanberg, club RST, een segment op het 44 netwerk verkregen nl 44.144.97.x. Voor het routing protocol BGP zal dus alle verkeer van en naar dit segment over Saffraanberg lopen.

Dit segment wordt in Saffraanberg verder verdeeld in twee stukken, zijnde het onderste deel 0-128, voor intern gebruik en het bovenste deel voor extern gebruik.

Op het onderste subsegment vinden we ON0BAF als DMR relais (44.144.97.25) met eventueel de VM voor het draaien van de RDAC en remote control

Op het bovenste subsegment wordt de router RST-Mobile gebruikt waarop op zijn beurt ON4BAF als B-EARS noodrelais is aangesloten (44.144.97.135) met een Acer Notebook voor het draaien van de RDAC en remote control.

De RST-mobile router is zodanig geconfigureerd dat de verbinding naar de router in Saffraanberg van om het even waar ter wereld via een VPN wordt opgezet. Dit houd in dat RST-mobile virtueel steeds in saffraanberg staat en we alle functionaliteit die we in Saffraanberg testen en opzetten ook wereldwijd kunnen toepassen.

Vermits de 44.x reeks van adressen “publiek” zijn en dus niet via een firewall “gemaskeerd” of omgevormd worden, hebben we op deze manier een mogelijkheid gecreëerd om een netwerk op te zetten dat in het kader van noodcommunicatie kan gebruikt worden om oa: DMR relais, SIP telefoon, Servers, video etc te gebruiken die rechtstreeks toegankelijk zijn vanuit het publieke internet.

Er is ook een nadeel aan deze opzet, nl “vertraging” van de pakketten. Doordat alles éérst naar Saffraanberg gaat om nadien terug te keren naar het internet kan de vertraging tot problemen leiden, vooral bij real-time communicatie zoals DMR. Dit zal vooral voelbaar zijn wanneer RST_mobile wordt aangesloten op een “publieke ISP”.

Echter wanneer RST_mobile wordt aangesloten op WB, via kabel of via wifi, zal deze vertraging minimaal zijn, door de toegepaste BGP routing, met als extra voordeel dat indien delen van het internet uitvallen in een regio door een algehele stroompanne, de verbindingen via WB nog steeds kunnen werken doordat de nodes zijn uitgerust met back-up batterijen waardoor het opzetten van een “fall-back” DMR server, SIP server, data server etc op het WB netwerk er kan voor zorgen dat een gedeelte van de functionaliteit behouden kan blijven.

1 Interface list definities

De interfaces zijn als volgt ingedeeld:

Eth1 als WAN poort, waarop de verbinding gemaakt wordt met het publieke netwerk. Deze poort kan dmv een UTP verbonden worden, of via een UBNT wifi station, zoals een Nano station.
Eth2-5 zijn Local LAN poorten en vormen samen een switch
De WIFI interface is “private” zodat enkel gebruikers met het WPA2 paswoord in de buurt hierop kunnen verbinden. De uitgedeelde adres range is in het 44.144.97 segment, tot dit is uitgeput om dan over te gaan naar een 10.x adres, wat niet publiek toegankelijk is. Het wifi paswoord staat vermeld op het routerboard. De SSID is “wireless belgie-RST-Mobile”
Er wordt eveneens een SSTP virtuele poort opgezet voor de VPN verbinding, waarover alle 44.x verkeer zal lopen.

2 Wireless

De wireless interface wordt opgezet met een WPA2 key, om de toegang lokaal te beveiligen tegen ongeoorloofd gebruik. De sleutel wordt vermeld op het RB751 bord.

3 Switch

Van de overige poorten wordt een switch gemaakt, gebruik makend van de interne switch hardware, cpu1-switch.

Hier worden de poorten eth2 als master en eth3,4,5 als slave aan toegevoegd.

4 Bridge

Er wordt één bridge voorzien voor het lokale gebruik .

Hierin wordt de Wifi interface en de lan switch toegevoegd

5 Address-list

Er worden IP segmenten gemaakt voor de verschillende interfaces. Deze adressen zijn gekozen door de mensen van WB om de routing te kunnen garanderen.

Het adres dat toegekend wordt aan de WAN interface en aan de VPN interface wordt bepaald dmv DHCP.

Op de bridge-lan worden twee segmenten voorzien nl 10.99.76.10/24 en 44.144.97.129/27. De bridge draagt dus twee adressen 10.99.76.10 dat enkel intern gebruikt wordt en 44.144.97.129, dat publiek routeerbaar is. Echter door een interne firewall rule verhinderen we een toegang op het routerboard vanuit het publieke internet.

6 IP Pool

Er worden twee DHCP pools aangemaakt voor lokaal gebruik. Waarbij één pool gebruikt wordt die niet toegankelijk is vanaf het publieke internet 10.x en een andere pool die gedeeltelijk de adressen gebruikt van het 44. segment dat toebedeeld is aan RST-mobile.

Hierdoor blijven een aantal 44.x adressen over om te gebruiken als fixed IP, voor hardware die wordt gekoppeld aan RST mobile, zoals de DMR relais.

44.144.97.129 -> RB751

44.144.97.130 - 135 -> fixed IP met 135 het DMR relais

44.144.97.136 - 158 -> DHCP pool

10.99.76.65 - 254 -> DHCP pool die gebruikt wordt als de vorige is uitgeput.

7 DHCP Server

De DHCP server wordt opgezet op de bridge-local, zodat de adressen kunnen uitgedeeld worden over zowel de switch alsook over de wifi interface.

De DHCP server kan twee IP pools uitdelen, waar de tweede pas wordt gebruikt indien de eerste is uitgeput. De gateway alsook DNS zijn telkens het RB751.

8 DHCP Client

Op de Wan interface stellen we de DHCP client in, zodat deze automatisch een IP adres krijgt op de interface waarop hij wordt aangesloten. Voor zowel DNS als NTP worden de gegevens van de ISP overgenomen.

9 DNS settings

De DNS server wordt ingesteld zodat lokale DNS requests aan het Routerboard geforward worden naar een externe DNS server op het WB netwerk.

10 PPP, SSTP client setup

SSTP-saffraanberg zal gebruikt worden om een verbinding op te zetten met 44.144.97.1, waarna de volledige VPN tunnel actief wordt.

Om dit te laten werken is er tevens een SSTP server setting nodig op de router in Saffraanberg, met de nodige credentials om toegang te verkrijgen.

11 Routing BGP

Het principe van BGP routing vereist dat de naaste buur bekend moet zijn om een nieuwe deelnemer te kunnen integreren in de routing. Vermits een VPN wordt opgezet met Saffraanberg, zal dus de BGP peer van Saffraanberg als naaste buur worden bekend gemaakt.

De host van de BGP peer zal op het routerboard zelf zijn met een AS nummer 3604, dit wordt door de mensen van WB toegekend.

Op deze route wordt het IP segment 44.144.97.128/27 bekend gemaakt, zodat het volledige netwerk te weten komt langs welke weg dit segment kan bereikt worden.

Dit doe je door aan te geven wat de volgende hop is in het netwerk. Hier is dit het adres wat verkregen wordt van Saffraanberg op de WAN interface van deze router 10.99.176.2.

12 IP Firewall settings

De firewall settings worden dusdanig opgesteld dat alle verkeer vanaf het publieke internet wordt toegelaten tot het lokale segment, behalve verkeer dat naar de locale PC gaat of naar het Routerboard, zodat deze door de firewall wordt afgeschermd van het internet. Toegang tot deze PC wordt verkregen via Teamviewer, waardoor de firewall wordt omzeilt voor dit specifiek Teamviewer account.

Toegang tot het routerboard kan wel vanaf bepaalde adressen.

Tevens willen we er voor zorgen dat alle verkeer op 44.144.97.128/27, het lokale 44 segment, niet langs de normale weg naar buiten gaat maar langs de VPN. Hierdoor dienen we dit type van verkeer te markeren om er nadien speciale regels op toe te passen. Dit kan je door gebruik te maken van de Mangle tool in de firewall. Dus wanneer er 44. verkeer is dat niet via de VPN interface loopt, wordt het onderschept en gemarkeerd.

Dit verkeer wordt verder doorgelaten naar de volgende filter chain.

Doordat alle verbindingen van binnen naar buiten worden weergegeven op het netwerk alsof deze van de WAN interface komen, kan een applicatie zoals Teamviewer, die van binnen uit geïnitieerd wordt toegang krijgen tot het internet. Dit noemt met Source nat of masquerading. Dit gebeurt met alle verkeer dat als Out interface eth1-Wan heeft.

13 IP Routing

Door in de routing tabel in te geven dat alle verkeer dat door de mangle rule gemarkeerd is als komende van 44.144.97.128/27, het lokale 44 segment, moet geforward worden naar het WAN adres aan de tegenpool van de VPN verbinding zorgen we ervoor dat dit verkeer enkel en alleen over de VPN kan verder gegeven worden.

14 Routing Filter

Doordat de mogelijkheid bestaat dat de 44. routing voor ons subsegment vanaf RST-mobile wordt overschreven door de algemene route die in het netwerk via BGP wordt doorgegeven, wordt in de routing filter een lijst opgenomen die er voor zorgt dat de aangeboden routes door BGP niet worden overgenomen.

Dit is zeker noodzakelijk voor de vaste 44. adressen op saffraanberg (DMR van ON0BAF en de bijbehorende server 44.144.97.0 25-32), maar ook voor de routing in België 44.144/16 en de algemene 44 routing 44./8. Alle andere adres routings worden wel aanvaard 0/0.

15 System settings

Een aantal settings zoals paswoorden, identity, NTP server en Client maken het geheel af.

Het routerbord noemen we RST-Mobile

De NTP Client laat toe om de tijdsynchronisatie automatisch te laten lopen.

Door het activeren van de NTP server kunnen ook de apparaten die verbonden zijn met deze router, de router gebruiken als tijdsynchronisatie bron.

Page updated

Report abuse