Mikrotik – block access between two networks

We have two local networks on Mikrotik router, for example:
Network1: 192.168.1.0/24 on ether1 interface
Network2: 192.168.2.0/24 on ether2 interface

Let’s prevent access between devices of this two networks.

In Mikrotik terminal go to Firewall Filter:

/ip firewall filter

And create this two rules:

add chain=forward action=drop src-address=192.168.2.0/24 dst-address=192.168.1.0/24
add chain=forward action=drop src-address=192.168.1.0/24 dst-address=192.168.2.0/24

That’s all, now Mikrotik will block all traffic from computers in Network1 to computers in Network2 and from Network2 to Network1.

All other traffic to Internet will be working normally.

If You want to block traffic only from Network2 to Network1 – write only one rule:

add chain=forward action=drop src-address=192.168.2.0/24 dst-address=192.168.1.0/24

Mikrotik firewall DNS attach prevent

If You have white IP on Your mikrotik You can watch high transmit traffic on the WAN interface.

To prevent this – block DNS traffic to 53 port on Your WAN interface (IP > Firewall > Filter):

On graph we can see that after blocking 53 port transmit traffic fell from 25 Mbit/s to 5 Mbit/s:

Mikrotik create SSTP server

1. Create CA certificate on Mikrotik:

On tab “Key Usage” leave only crl sign and key cert. sign

2. Create server certificate:

On tab “Key Usage” uncheck all options:

3. Open certificate CA and Sign it:

CA CRL Host – host where your certificate will be checked, write there IP address or domain name of Your Mikrotik.

Field CA need to be empty.

4. Now we signed root certificate, let’s sign Server certificate: open Server certificate, click Sign, in field CA select certificate CA.

That’s all we created our certificates, now let’s create SSTP Server on Mikrotik

5. Creating SSTP Server on Mikrotik.

And now create Your user profile: go to PPP > Secrets, click Add (+) and write user name, password, service, IP address like on screenshot:

Configure SSTP client in Windows 10

First go to the System > Certificates and Export CA certificate:

Download certificate from Mikrotik > Files to Your PC and install it:

Now create new VPN connection:

Also You can use this SSTP connection in Linux – How to install SSTP Client in Linux read in this article: Connect to SSTP server from Linux

Install Mikrotik RouterOS on PC or VirtualBox

Mikrotik RouterOS is a Linux based operating system. To install RouterOS on x86 PC or virtual machine do the several steps:

1. Download official ISO image from: www.mikrotik.com/download

2. On VirtualBox create virtual machine, on physical PC insert CD disk with RouterOS in your CD/DVD drive and start booting from CD

3. Choose which packages You want to install (to install all packages press letter “a“). To install operating system press letter “i“:

That’s all. Don’t forget to eject ISO image or CD disk and reboot PC.

To login in to the RouterOS for the first time use login “admin” and no password.

To set DHCP client on mikrotik interface use next commands:

ip dhcp-client
add interface=ether1 add-default-route=yes use-peer-dns=yes use-peer-ntp=yes 
enable 0

To connect to the Mikrotik RouterOS use official program WinBox:

How to view information about ONU on BDCOM OLT

I’ll give you an example of viewing information about ONT (ONU) on EPON OLT BDCOM P3310C, on other models is essentially the same.

Connect to OLT and go into configuration mode:

enable
config

To view the ONU list, use the commands:

show epon onu-information
show epon active-onu
show epon inactive-onu

To view all ONU MAC addresses on interface use command:

show epon onu-information interface EPON 0/1

Example of viewing clients routers MAC addresses on a port or ONU:

show mac address-table interface EPON0/1
show mac address-table interface EPON0/1:5
show mac address-table brief

Viewing the optical power of all ONUs on interface and a specific ONU:

show epon optical-transceiver-diagnosis interface EPON 0/1
show epon interface ePON 0/1:4 onu ctc optical-transceiver-diagnosis

View ONU models and firmware versions:

show epon onu-software-version
show epon onu-software-version interface EPON 0/1

View description and status of interfaces:

show interface brief

ONU ethernet port status and viewing statistics:

show epon interface epON 0/1:1 onu port 1 state
show epon interface epON 0/1:1 onu port 1 statistics
show epon interface epON 0/1:1 onu mac address-table

Also you can see in the saved and active OLT configuration which ONUs are registered:

show configuration
show running-config

ONU reboot example:

epon reboot onu interface ePON 0/1:1

How to change MAC address on Mikrotik Routerboard

By default changing MAC address of ethernet interface in Mikrotik Winbox is disabled:

But You can very simple change MAC in terminal.
In left side menu select New Terminal:

Then enter command:

/interface ethernet set ether1 mac-address=XX:XX:XX:XX:XX:XX

Where ether1 is required interface and XX:XX:XX:XX:XX:XX is new MAC address of your device.

Thats all.

Налаштування BDCOM P3310

bdcom p3310

Підключіть кабель в COM порт комп’ютера та Console порт на оптичному терміналі. Вікрийте програму Putty та підключіться до COM порта на швидкості 9600

Для входу в консоль введіть логін: admin, пароль: admin

Після підключення перейдемо в рожим налаштування, для йього введіть по черзі наступні команди:

enable
config

Щоб переглянути поточну збережену і активну конфігурацію введіть команди:

show configuration
show running-config

Приступаємо до налаштування!
1) Вилучимо стандартний vlan 1 і додамо vlan управління (у мене він 1000), vlan 1001 (клієнтський):

ІР адреса оптичного терміналу: 10.10.0.3
Шлюз по замовчуванню 10.10.0.1 (у вас ці настройки можуть бути іншими)

no interface vlan 1
vlan 1000,1001
exit
interface vlan 1000
description core
ip address 10.10.0.3 255.255.255.0
exit
ip default-gateway 10.10.0.1

П’ятий комбо порт я налаштував як вхідний (1000 – vlan управління, 1001 – клієнтський):

interface gigaEthernet 0/5
description UPLINK
no shutdown
switchport trunk vlan-allowed 1000
switchport trunk vlan-allowed add 1001
switchport trunk vlan-untagged none
switchport mode trunk
exit

Вибрав комбо порт щоб можна було включити вхідний лінк по міді або SFP.

3) Напишемо шаблон для онушок (надалі вони самі будуть реєструватися, потрібно буде тільки дописувати опис і зберігати конфиг):

epon onu-config-template user1
cmd-sequence 001 epon onu port 1 ctc vlan mode tag 1001
cmd-sequence 002 epon onu port 1 ctc loopback detect
cmd-sequence 003 epon onu port 2 ctc vlan mode tag 1001
cmd-sequence 004 epon onu port 2 ctc loopback detect
cmd-sequence 005 epon onu port 3 ctc vlan mode tag 1001
cmd-sequence 006 epon onu port 3 ctc loopback detect
cmd-sequence 007 epon onu port 4 ctc vlan mode tag 1001
cmd-sequence 008 epon onu port 4 ctc loopback detect
cmd-sequence 009 loopback-detection recovery-time 7200
exit

Налаштуємо EPON порти:

interface EPON0/1
no shutdown
description ixnfo
switchport trunk vlan-untagged none
switchport trunk vlan-allowed 1001
switchport mode trunk
epon pre-config-template user1 binded-onu-llid 1-64
filter dhcp
switchport protected 1
  
interface EPON0/2
no shutdown
description ixnfo
switchport trunk vlan-untagged none
switchport trunk vlan-allowed 1001
switchport mode trunk
epon pre-config-template user1 binded-onu-llid 1-64
filter dhcp
switchport protected 2
  
interface EPON0/3
no shutdown
description ixnfo
switchport trunk vlan-untagged none
switchport trunk vlan-allowed 1001
switchport mode trunk
epon pre-config-template user1 binded-onu-llid 1-64
filter dhcp
switchport protected 3
  
interface EPON0/4
no shutdown
description ixnfo
switchport trunk vlan-untagged none
switchport trunk vlan-allowed 1001
switchport mode trunk
epon pre-config-template user1 binded-onu-llid 1-64
filter dhcp
switchport protected 4

Добавимо адміністратора і пароль (замість слова TEXT введіть ваш пароль):

aaa authentication login default local
aaa authentication enable default none
aaa authorization exec default local
username admin password 0 TEXT
enable password 0 TEXT
service password-encryption

Вкажемо з яких адрес дозволено підключатися адміну:

ip access-list standard MANAGEMENT
permit 10.10.0.1 255.255.255.255
exit
ip telnet access-class MANAGEMENT

Вкажемо часовий пояс і NTP-сервер з яким синхронізувати час (на нових прошивках замість sntp потрібно писати ntp):

time-zone Kyiv +2
sntp server 10.10.0.1
sntp query-interval 3600

Налаштуємо SNMP для збору статистики:

snmp-server location test
snmp-server contact test
snmp-server community public ro MANAGEMENT

Налаштуємо ім’я пристрою (замість тексту olt_3 введіть назву вашого пристрою) і довжину консольного рядка:

hostname olt_3
terminal width 256
terminal length 256

Відключимо HTTP (за бажанням)

no ip http server

Або налаштуємо з доступом по IP з раніше створеного access-list

ip http server
ip http access-class MANAGEMENT

Вкажемо період в секундах через який повинен включаться порт після стану error-disable:

error-disable-recovery 10800

Зберігаємо налаштування:

write

На нових прошивках зберігаємо так:

write all

На цьому основна настройка завершена.

Додаткові налаштування

Виберемо потрібну ONU і додамо опис:

interface EPON0/1:1
description TEXT

За бажанням замість telnet можна використовувати SSH, який включається командою:

ip sshd enable

Якщо яка-небудь ONU флудить, наприклад EPON0/2:28, то можна відключити на ній ethernet порт (при петлі це не допоможе):

interface EPON0/2:28
epon onu port 1 ctc shutdown

При петлі можна додати ONU в чорний список і видалити з порта, після цього ONU не зможе автоматично зареєструватися, а в лог файлі будуть записи «reject»:

interface EPON0/2
epon onu-blacklist mac e067.b37d.d3d3
no epon bind-onu mac e067.b37d.d3d3

Дозволити на ONU тільки два MAC адреси можна так:

interface EPON0/2:2
switchport port-security dynamic maximum 2
switchport port-security mode dynamic

Перегляд версії прошивки, MTU, списку адміністраторів:

show version
show system mtu
show local-users

Скидання на заводські налаштування:

delete startup-config
reboot

How to reboot Mikrotik if ping failed

Let’s write script that reboot mikrotik device if no ping to gateway.

First of all lets go to menu System -> Script in Winbox and create new script with name PingCheck

Write this core in field Source:

:if ([/ping 10.21.2.1 count=10] = 0) do={
     /system reboot
}

Don’t forget to change IP 10.21.2.1 to yours gateway IP address.

Now lets create scheduler that will start this script every 10 minutes. Go to menu System -> Scheduler and create new task:

Write some name of new task, set start date Jan/01/1970, time 00:00:00 and run interval 00:10:00. Don’t forget to write script name PingCheck in field On Event.

That’s all.