Microtik - Cấu hình mạng cho Home Lab

Trong bài viết này, tôi sẽ chia sẻ lại các cấu hình mà tôi đã sử dụng cho router Microtik RB750Gr3 để phục vụ cho việc cấu hình mạng ở nhà cho Home Lab, bao gồm:

• Quay PPPoE và kết nối tới Internet của VNPT

• Cấu hình mạng nội bộ theo thiết kế Topology

• Thiết lập server VPN để truy cập mạng nội bộ từ xa

Bài viết này chỉ chia sẻ những cấu hình tôi sử dụng cho Router Microtik của mình, những hướng dẫn sử dụng Router Microtik bao gồm cách đăng nhập, cách sử dụng giao diện GUI/giao diện CLI thì mọi người có thể search trên mạng nhé.

1, Quay PPPoE trên Router Microtik RB750Gr3

Thông thường, để sử dụng được Internet, chúng ta sẽ cần kết nối với nhà cung cấp dịch vụ Internet (ISP - ở đây là VNPT) qua giao thức PPPoE trên modem nhà mạng cung cấp. Tuy nhiên, vì modem của nhà mạng không thể cân tải được quá nhiều thiết bị và cũng bị hạn chế rất nhiều tính năng. Do đó, tôi quay PPPoE trực tiếp trên Router Microtik và chỉ sử dụng modem nhà mạng để làm converter quang-điện (cổng quang kết nối đến switch nhà mạng - cổng điện kết nối vào Router).

a, Cấu hình PPPoE

              
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 service-name=VNPT user=pppoe-username password=pppoe-password
            

• /interface pppoe-client: Nhảy sang mode cấu hình PPPoE Client.
• add-default-route=yes: Router sẽ tự động thêm route mặc định khi kết nối PPPoE thành công.
• disabled=no: Kết nối PPPoE đang được kích hoạt.
• interface=ether1: PPPoE Client quay trên cổng ether1 (cổng kết nối tới modem nhà mạng).
• name=pppoe-out1: Đặt tên cho kết nối PPPoE.
• service-name=VNPT: Nhà cung cấp dịch vụ PPPoE (không cần nếu nhà mạng không yêu cầu).
• user=pppoe-username & password=pppoe-password: Thông tin tài khoản PPPoE do ISP cung cấp.

b, Cấu hình NAT cho PPPoE

Sau khi kết nối PPPoE thành công, nhà mạng sẽ cấp cho Router của bạn một IP Public. Chúng ta cần thêm cấu hình NAT để Router translate các IP Private (do Router cung cấp cho các thiết bị trong nhà) sang IP Public thì các thiết bị trong nhà mới có thể kết nối tới Internet mà ISP cung cấp.

              
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-out1
            

• /ip firewall nat: Nhảy sang mode cấu hình NAT.
• action=masquerade: Cho phép thiết bị trong mạng LAN truy cập Internet thông qua PPPoE.
• out-interface=pppoe-out1: NAT được áp dụng cho kết nối PPPoE đã thiết lập.

c, Disable DHCP client trên port kết nối tới ISP

Vì port dùng để quay PPPoE và kết nối tới ISP đã được cấp IP Public nên chúng ta cần disable dhcp client để router không cấp IP cho port kết nối với ISP này.

              
/ip dhcp-client
add disabled=yes interface=ether1
            

• /ip dhcp-client: Nhảy sang mode cấu hình DHCP Client.
• disabled=yes: Disable port.
• interface=ether1: Port bị disable là port ether1 (cổng kết nối tới modem nhà mạng).

2, Cấu hình mạng theo sơ đồ thiết kế

3, Cấu hình VPN để kết nối mạng nội bộ từ xa

4, Các cấu hình bổ sung

Ngoài các cấu hình chính ở trên, chúng ta có thể bổ sung một số cấu hình liên quan đến bảo mật và định dạng thông tin cho Router Microtik của mình.

              
/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh disabled=yes
set www-ssl tls-version=only-1.2
set api disabled=yes
set api-ssl disabled=yes

/system clock
set time-zone-name=Asia/Bangkok

/system identity
set name=your-microtik-name
            

Tắt các dịch vụ không dùng đến để bảo mật an toàn thông tin mạng

• /ip service: Nhảy sang mode cấu hình service.
• set telnet disabled=yes: Tắt dịch vụ Telnet để tránh các rủi ro bảo mật (Telnet không mã hóa dữ liệu).
• set ftp disabled=yes: Tắt dịch vụ FTP, giúp tránh rủi ro bị đánh cắp thông tin qua giao thức không mã hóa.
• set ssh disabled=yes: Tắt dịch vụ SSH (truy cập từ xa bảo mật), có thể giúp hạn chế truy cập không mong muốn (có thể bật nếu cần).
• set www-ssl tls-version=only-1.2: Cấu hình giao thức HTTPS trên router chỉ sử dụng TLS 1.2 (cải thiện bảo mật, không hỗ trợ TLS 1.0/1.1).
• set api disabled=yes: Tắt API HTTP, ngăn chặn truy cập từ các ứng dụng sử dụng API RouterOS qua HTTP.
• set api-ssl disabled=yes: Tắt API HTTPS, ngăn truy cập API RouterOS qua giao thức bảo mật HTTPS.

Cài đặt thông tin cho Router

• /system clock: Nhảy sang mode cấu hình thời gian.
• set time-zone-name=Asia/Bangkok: Thiết lập múi giờ của router thành Asia/Bangkok (GMT+7) để đồng bộ thời gian cho các tính năng như log hệ thống hoặc firewall rule.
• /system identity: Nhảy sang mode cấu hình tên thiết bị.
• set name=your-microtik-name: Đổi tên thiết bị MikroTik thành tên bạn muốn.

Tổng hợp các cấu hình đã khai trên router

Dưới đây là toàn bộ tất cả các cấu hình tôi đã khai trên Router của mình:

              
/interface bridge
add add-dhcp-option82=yes arp=proxy-arp dhcp-snooping=yes igmp-snooping=yes name=IoT-Bridge
add add-dhcp-option82=yes arp=proxy-arp dhcp-snooping=yes igmp-snooping=yes name=USR-Bridge

/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 service-name=VNPT user=pppoe-username password=pppoe-password

/interface vlan
add interface=USR-Bridge name=vlan10 vlan-id=10
add interface=USR-Bridge name=vlan20 vlan-id=20

/ip pool
add name=dhcp-pool-vlan10 ranges=10.0.10.128-10.0.10.254
add name=dhcp-pool-vlan20 ranges=10.0.20.128-10.0.20.254

/ip dhcp-server
add address-pool=dhcp-pool-vlan10 interface=vlan10 lease-time=12h name=dhcp-vlan10
add address-pool=dhcp-pool-vlan20 interface=IoT-Bridge name=dchp-vlan20

/interface bridge port
add bridge=USR-Bridge ingress-filtering=no interface=ether2 trusted=yes
add bridge=IoT-Bridge ingress-filtering=no interface=ether3 trusted=yes
add bridge=IoT-Bridge ingress-filtering=no interface=ether4 trusted=yes
add bridge=IoT-Bridge ingress-filtering=no interface=ether5 trusted=yes
add bridge=IoT-Bridge ingress-filtering=no interface=vlan20 trusted=yes

/interface bridge vlan
add bridge=USR-Bridge tagged=ether2,ether3,ether4,ether5 vlan-ids=10
add bridge=USR-Bridge tagged=ether2,ether3,ether4,ether5 vlan-ids=20

/interface l2tp-server server
set enabled=yes use-ipsec=required

/interface ovpn-server server
set auth=sha1 certificate=server cipher=aes256-cbc default-profile=default-encryption enabled=yes require-client-certificate=yes

/ip address
add address=10.0.10.1/24 interface=vlan10 network=10.0.10.0
add address=10.0.20.1/24 interface=vlan20 network=10.0.20.0

/ip cloud
set ddns-enabled=yes ddns-update-interval=10m

/ip dhcp-client
add disabled=yes interface=ether1

/ip dhcp-server network
add address=10.0.10.0/24 dns-server=8.8.8.8,8.8.4.4,1.1.1.1 gateway=10.0.10.1
add address=10.0.20.0/24 dns-server=8.8.8.8,8.8.4.4,1.1.1.1 gateway=10.0.20.1

/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4,1.1.1.1

/ip firewall filter
add action=accept chain=forward dst-address=10.0.20.0/24 src-address=10.0.10.0/24
add action=accept chain=forward dst-address=10.0.10.0/24 src-address=10.0.20.0/24

/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-out1

/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh disabled=yes
set www-ssl tls-version=only-1.2
set api disabled=yes
set api-ssl disabled=yes

/ppp secret
add local-address=10.0.30.1 name=l2tp-user-name password=l2tp-user-password profile=default-encryption remote-address=10.0.30.25 service=l2tp
add local-address=10.0.20.1 name=ovpn-user-name password=ovpn-user-password profile=default-encryption remote-address=10.0.20.50 service=ovpn

/system clock
set time-zone-name=Asia/Bangkok

/system identity
set name=user-microtik
            

Cảm ơn các bạn đã đọc bài viết của tôi!

Kim,

15/02/2025