MIKROTIK

solution ระบบ authentication การทำงานร่วมกัน ระหว่างอุปกรณ์ firewall 2 ยี่ห้อชื่อดังคือ paloalto และ Mikrotik

วันนี้ทีมงานบีเน็ตมาเล่าและแบ่งปันความรู้ใหม่ๆ กันนะครับ เป็น solution ระบบ authentication อาศัยการทำงานร่วมกัน ระหว่างอุปกรณ์ firewall 2 ยี่ห้อชื่อดังคือ paloalto และ Mikrotik พระเอกของงานนี้คืออุปกรณ์ PaloAlto ที่มีฟังก์ชันพิเศษ แบบว่าทึ่งในความสามารถเลยทีเดียว ส่วนตัว mikrotik ก็เป็นพระรอง ที่มาช่วยเสริมกัน ฟีเจอริ่ง กันได้แบบไม่น่าเชื่อครับ ลองมาดูกันนะครับ ปล. อาจจะยาวหน่อย และ เป็นเชิงเทคนิคเยอะหน่อยนะครับ พระเอกของงานอยู่บนสุดเลยครับ เกริ่นกันก่อนนะครับ PaloAlto เป็นไฟร์วอลล์แบบ Next-Generation ซึ่งมีความสามารถที่หลากหลาย ซึ่งสามารถควบคุมการใช้งานของ user ภายในองค์กร และป้องกันการโจมตีในรูปแบบต่างๆจากผู้ไม่ประสงค์ดีจากภายนอกเครือข่าย นอกจากนี้ ในองค์กรที่ต้องการมีระบบ authentication ซึ่งผู้ใช้งานเองจะต้องมีการระบุตัวตนก่อนเข้าใช้งานอินเตอรเน็ตนั้น (Captive Portal) ตัวอุปกรณ์เองก็รองรับการทำงานในลักษณะนี้ แต่ปัญหาหนึ่งที่ทางทีม paloalto เจอคือ เวลามี Read more…

MIKROTIK

Mikrotik Log file Analysis and Reporting

software สำหรับช่วยในการวิเคราะห์ raw log ที่มาจาก mikrotik กันนะครับ ปกติแล้วเวลาเราเก็บ log เพื่อให้ครอบคลุมตามพรบ. เราจะทำการ config ให้ mikrotik ส่ง log (more…)

MIKROTIK

Mikrotik Central RADIUS Server and Multiple NAS

Review การใช้งาน Radius Server ในรูปแบบของ Central RADIUS and multiple NAS(mikrotik)โดยติดตั้ง mikrotik เป็น Hotspot ตาม site งานต่างๆ ซึ่งแต่ละตัวจะถูกกำหนดให้เวลา user ต้องการ login ใช้งานอินเตอร์เนตให้ตรวจสอบ user&password จาก external radius (โดยแต่ละตัวชี้ไปที่ RADIUS Server ไปที่ตัวเดียวกัน) และข้อมูลการ authentication จะถูกส่งผ่านมาทาง vpn tunnel ที่ถูกสร้างขึ้นมา ดังในรูป Diagram จากรูปจะเห็นว่ามี mikrotik ที่ติดตั้งตาม site ต่างๆ เชื่อมต่อเข้ามาใช้ radius server ตัวเดียวกัน แสดง Concurrent User Online Read more…

MIKROTIK

Mikrotik Burst B/W with Radius Manager

ยกตัวอย่างการ Burst B/W โดยใช้ Radius External จากรูป กรอบสีนำเงินนั้น service ที่กำหนดให้ user คนนี้ไม่มีการ burst ทำให้ใช้งานได้ Limit ที่ 5M/512k อยู่ทุกช่วงเวลา กรอบสีแดง service ที่กำหนดได้ระบุการ burst ไว้ ดังนั้นเมื่อ average-rate ของ B/W ที่ใช้งานมีค่าน้อยกว่า burst-threshold จะทำให้ B/W ที่ user สามารถใช้งานได้ถูก burst ขึ้นมาที่ 8M/1M ตามรูป Concept ของการ Burst B/W ของ Mikrotik การ config ฝั่ง radius server ในเรื่องการกำหนดค่า Read more…

MIKROTIK

Mikrotik Hotspot users MAC authentication via Radius server

เราสามารถระบุ mac address ของอุปกรณ์ที่จะสามารถเข้ามาใช้งาน internet ผ่าน hotspot ของเราได้ โดยทั้งนี้อุปกรณ์ที่ได้ทำการลงทะเบียนไว้นั้น จะสามารถใช้งาน internet ได้ทันที โดยไม่ถูกถามหน้า Login Page (mac address ของเครื่อง client จะถูกใช้เป็น username ในการตรวจสอบสิทธิการใช้งาน internet)  

MIKROTIK

Mikrotik+Radius Manager VPN Solution

MIKROTIK + RADIUS MANAGER นอกจากทำงานร่วมกับระบบ Hotspot ที่เราคุ้นเคย ยังรองรับการทำงานอีกหลากหลายรูปแบบ (Multi protocol support) เช่น PPPoE, PPtP, L2tP โดยที่ PPPoE, PPtP, L2tP Server (Mikrotik) จะคอนฟิกว่าเมื่อ device หรือ user ที่เป็น client ต่างๆ พยายามเชื่อมต่อแบบ PPPoE, PPtP, L2tP เข้ามา ให้ทำการส่งข้อมูลดังกล่าวไปตรวจสอบการจาก Radius server (Authentication) ถ้ายืนยันตัวตนผ่านก็จะสามารถใช้บริการดังกล่าวได้ครับ ลองดูรายละเอียดในรูปที่ทีมงานได้ทำมานะครับ

MIKROTIK

Mikrotik forward port (Loadbalance PCC)

การใช้ Loadbance แบบ PCC และต้องการทำการ forward port จากข้างนอกเพื่อเข้ามาใช้งาน application ข้างในวง LAN เช่น ดูกล้อง cctv, web server หรืออื่นๆ ลองศึกษาดูใน link นี้นะครับ น่าจะมีประโยขน์กับเพื่อนๆ เลยเอามาแชร์กันครับ Credit : https://aacable.wordpress.com/…/playing-with-the-mikrotiks…/ ใน blog ของผู้เขียนคนนี้มีเรื่องราวที่เป็นเกียวกับรูปแบบการ config ต่างๆของ mikrotik และ solution ของ product อื่นๆ ที่เป็นประโยชน์อยุ่เยอะแยะเลย ว่างๆลองอ่านกันดูนะครับ

MIKROTIK

Mikrotik Wireless Access-List with RADIUS Server

Access-list บน Mikrotik Wireless ใช้สำหรับควบคุมและจำกัดว่า อุปกรณ์ไหนบ้าง (notebook,mobile หรือ CPE)ที่จะสามารถเชื่อมต่อเข้ามาใช้งานระบบ wireless ของเราได้หรือเรียกให้เข้าใจง่ายคือ MAC Address Filtering นั่นเองครับ ซึ่งปกติแล้วโดยทั่วไป Access Point จะอนุญาติให้อุปกรณ์ทุกเครื่องสามารถเชื่อมต่อได้อยู่แล้ว แต่ถ้าหากเราต้องการควบคุมว่าให้เฉพาะบางอุปกรณ์ที่มี MAC Address ตรงตามที่เราระบุเท่านั้นสามารถเชื่อมต่อได้ เราจะใช้วิธีการลงทะเบียน MAC Address ของอุปกรณ์ดังกล่าวเข้าไปใน Access Point แต่ถ้าหากมี mikrotik access point จำนวนมากในระบบ การกรอก MAC Address เข้าไปที่ AP แต่ละตัวอาจจะทำให้ไม่สะดวกแก่ admin ดังนั้น ถ้าเรามีการสร้างฐานข้อมูลของ MAC Address ไว้บน RADIUS Server เราก็เพียงแค่เพิ่ม MAC Read more…