Getting Started
RouterOS는 Linux 커널 기반의 독립형 운영체제입니다. 이 운영체제는 MikroTik 하드웨어 디바이스를 구동하지만 가상 머신에서도 사용할 수 있습니다. 이 문서를 읽고 있지만 RouterOS를 사용해 본 경험이 없는 경우 왼쪽의 메뉴를 사용하여 RouterOS의 첫 단계에 대해 알아보시기 바랍니다. 장치에 연결하는 다양한 방법은 '관리 도구' 섹션에서 설명합니다.
- Hardware Support
- Feature support based on architecture
- First Time Configuration
- Securing your router
- Upgrading and installation
Hardware Support
하드웨어 지원
MikroTik에서 만든 장치: 라우터OS는 사전 설치되어 제공되는 MikroTik 하드웨어와 호환됩니다. 더 이상 제조되지 않는 MikroTik 디바이스도 최신 RouterOS 버전을 실행할 수 있으며 소프트웨어 업데이트를 받을 수 있습니다. 가장 오래된 제품 라인의 경우 몇 가지 예외가 있습니다. 최신 RouterOS v7은 모든 MIPS-LE 디바이스 제품군(예: RB100, 시리즈, 일부 RB700 시리즈 디바이스 등)과 호환되지 않으므로 해당 디바이스의 아키텍처를 확인하시기 바랍니다. 또한 RAM이 32MB 이하인 MikroTik 디바이스와는 호환되지 않으며, 최소 64MB를 권장합니다. 요컨대, 소프트웨어 호환성이나 업그레이드에는 정해진 제한이 없습니다. 더 이상 제조된 지 20년이 지나지 않은 디바이스라도 RAM이 충분하고 MIPS-LE CPU를 기반으로 하지 않는 한 소프트웨어 업데이트를 받을 수 있습니다.
타사 장치: 다음 요구 사항을 충족하는 경우 타사 장치에서도 라우터OS를 실행할 수 있습니다:
- x86 또는 AMPERE 기반 ARM CPU
- 최소 64MB RAM
- IDE, SATA, USB 및 최소 64MB 공간의 플래시 저장 매체
- Linux 커널에서 지원하는 네트워크 카드
참고: NVMe 스토리지는 CHR, x86, Tile 및 MMIPS 아키텍처에서만 지원됩니다. 자세한 내용은 각 제품 브로셔 또는 블록 다이어그램을 참조하세요.
참고: 최소 64MB의 RAM이 없는 하드웨어에서는 v7을 실행하지 않는 것이 좋습니다.
설치
- 네트워크 설치: PXE 또는 EtherBoot가 활성화된 네트워크 카드를 통해 네트워크 기반 완전 설치
- CHR: 가상 머신으로 실행하기 위한 RouterOS 버전
- CD 기반 설치
구성
- 초기 구성용 MAC 기반 액세스
- WinBox – 독립형 Windows GUI 구성 도구
- Webfig - 고급 웹 기반 구성 인터페이스
- MikroTik - Android 및 iOS 기반 구성 도구
- 강력한 명령줄 구성 인터페이스(스크립팅 기능 내장), 로컬 터미널, 시리얼 콘솔, Telnet 및 SSH를 통해 액세스 가능
- API - 자체 구성 및 모니터링 애플리케이션 개발을 위한 인터페이스
백업/복원
- 이진 구성 파일 백업 및 복원
- 인간이 읽을 수 있는 텍스트 형식으로 구성 파일 수출 및 수입
방화벽
- 상태 기반 필터링
- 소스 및 목적지 NAT
- NAT 헬퍼 (h323, pptp, quake3, sip, ftp, irc, tftp)
- 내부 연결, 라우팅 및 패킷 마크
- IP 주소 및 주소 범위, 포트 및 포트 범위, IP 프로토콜, DSCP 등에 따른 필터링
- 주소 목록
- 맞춤형 Layer7 매처
- IPv6 지원
- PCC - 연결별 분류기, 로드 밸런싱 구성에 사용
- RAW 필터링으로 연결 추적 우회.
라우팅
- 정적 라우팅
- 가상 라우팅 및 포워딩 (VRF)
- 정책 기반 라우팅
- 인터페이스 라우팅
- ECMP 라우팅
- IPv4 동적 라우팅 프로토콜: RIP v1/v2, OSPFv2, BGP v4
- IPv6 동적 라우팅 프로토콜: RIPng, OSPFv3, BGP
- 양방향 포워딩 감지 (BFD)
MPLS
- IPv4용 정적 라벨 바인딩
- IPv4용 라벨 분배 프로토콜
- RSVP 트래픽 엔지니어링 터널
- MP-BGP 기반 자동 발견 및 신호화
- MP-BGP 기반 MPLS IP VPN
VPN
- IPSec – 터널 및 전송 모드, 인증서 또는 PSK, AH 및 ESP 보안 프로토콜.
- IKEv2 지원
- IPSec용 AES-NI 하드웨어 가속화 지원
- 포인트 투 포인트 터널링 (OpenVPN, PPTP, PPPoE, L2TP, SSTP)
- 고급 PPP 기능 (MLPPP, BCP)
- BCP 지원 (SSTP, PPP, PPTP, L2TP 및 PPPoE)
- 간단한 터널 (IPIP, EoIP) IPv4 및 IPv6 지원
- 6to4 터널 지원 (IPv6 over IPv4 네트워크)
- VLAN – IEEE802.1q 가상 LAN 지원, Q-in-Q 지원
- MPLS 기반 VPN
- WireGuard
- ZeroTier
무선
- IEEE802.11a/b/g 무선 클라이언트 및 액세스 포인트
- 완전한 IEEE802.11n 지원
- Nstreme 및 Nstreme2 전용 프로토콜
- NV2 프로토콜
- 무선 분배 시스템 (WDS)
- 가상 AP
- WEP, WPA, WPA2
- 액세스 제어 목록
- 무선 클라이언트 로밍
- WMM
- HWMP+ 무선 MESH 프로토콜
- MME 무선 라우팅 프로토콜
DHCP
- 인터페이스별 DHCP 서버
- DHCP 클라이언트 및 중계
- 정적 및 동적 DHCP 할당
- RADIUS 지원
- 맞춤형 DHCP 옵션
- DHCPv6 접두사 위임 (DHCPv6-PD)
- DHCPv6 클라이언트
핫스팟
- 네트워크에 대한 플러그 앤 플레이 액세스
- 로컬 네트워크 클라이언트 인증
- 사용자 계정 관리
- 인증 및 계정 관리용 RADIUS 지원
QoS
- 계층형 토큰 버킷 (HTB) QoS 시스템 (CIR, MIR, 버스트 및 우선순위 지원)
- 기본 QoS 구현을 위한 단순하고 빠른 솔루션 - 단순 큐
- 동적 클라이언트 속도 균형 조정 (PCQ)
프로xy
- HTTP 캐싱 프로xy 서버
- 투명 HTTP 프로xy
- SOCKS 프로토콜 지원
- DNS 정적 항목
- 별도 드라이브에 캐싱 지원
- 부모 프록시 지원
- 액세스 제어 목록
- 캐싱 목록
도구
- 핑, 트레이서oute
- 대역폭 테스트, 핑 플러드
- 패킷 스니퍼, 토치
- 텔넷, SSH
- 이메일 및 SMS 전송 도구
- 자동 스크립트 실행 도구
- CALEA
- 파일 가져오기 도구
- 고급 트래픽 생성기
- WoL (Wake on LAN) 전송
기타 기능
- Samba 지원
- OpenFlow 지원
- 브리지링 – 스패닝 트리 프로토콜 (STP, RSTP), 브리지 방화벽 및 MAC 네팅.
- 동적 DNS 업데이트 도구
- NTP 클라이언트/서버 및 GPS 시스템과의 동기화
- VRRP v2 및 v3 지원
- SNMP
- M3P - MikroTik 패킷 패커 프로토콜 (무선 링크 및 이더넷용)
- MNDP - MikroTik 이웃 발견 프로토콜, CDP (Cisco 발견 프로토콜) 지원
- RADIUS 인증 및 회계
- TFTP 서버
- 동기식 인터페이스 지원 (Farsync 카드 전용) (v5.x에서 제거됨)
- 비동기식 – 시리얼 PPP 다이얼인/다이얼아웃, 요구 시 다이얼
- ISDN – 다이얼인/다이얼아웃, 128K 번들 지원, Cisco HDLC, x75i, x75ui, x75bui 라인 프로토콜, 요구 시 다이얼
커널 버전
- RouterOS 버전 6.x는 3.3.5를 사용합니다
- RouterOS 버전 7.x는 5.6.3를 사용합니다
지원되는 암호화
RouterOS 7은 네트워크 (통신) 장치의 관리를 위해 사용됩니다.
- RouterOS 7에는 통신 채널 및 장치 제어 채널을 통해 전송되는 데이터 (정보) 보안을 위해 설계된 암호화 기능 (구성 요소)이 포함되어 있습니다.
- 모든 암호화 기능(구성 요소)은 RouterOS 7의 필수 구성 요소이며, 최종 사용자가 변경할 수 없습니다.
- RouterOS 7은 공급업체의 상당한 지원 없이 최종 사용자가 설치하도록 설계되었습니다.
- RouterOS 7은 다음과 같은 보안 프로토콜을 사용합니다:
Feature support based on architecture
아래 표에 명시된 몇 가지 예외를 제외하고 모든 디바이스는 동일한 기능을 지원합니다:
기능 외에도, 장치의 특정 모델에 따라 하드웨어 기능에 몇 가지 차이가 있습니다. 이러한 차이점에 대해서는 아래 기사들을 참고해 주시기 바랍니다:
- Wi-Fi - 802.11ax 장치용 새로운 드라이버 구현 및 지원되는 기존 장치 https://help.mikrotik.com/docs/display/ROS/Wifi
- L3 하드웨어 오프로딩 https://help.mikrotik.com/docs/display/ROS/L3+Hardware+Offloading#L3HardwareOffloading-L3HWDeviceSupport
- PTP https://help.mikrotik.com/docs/display/ROS/Precision+Time+Protocol
- 스위치 칩 기능 https://help.mikrotik.com/docs/display/ROS/Switch+Chip+Features
First Time Configuration
라우터에 연결하기
라우터에는 두 가지 유형이 있습니다:
- 기본 구성 설정된 라우터.
- 기본 구성 설정되지 않은 라우터. 특정 구성 설정이 없는 경우, IP 주소 192.168.88.1/24가 ether1, combo1, sfp1 또는 MGMT/BOOT에 할당됩니다.
현재 기본 구성에 대한 추가 세부 정보는 장치와 함께 제공된 Quick Guide 문서 참조하세요. 이 문서에는 연결 시 처음 사용할 포트와 장치 설정 방법에 대한 안내가 포함되어 있습니다.
이 문서는 장치를 처음부터 구성하는 단계별 과정을 설명합니다. 따라서 설정을 시작할 때 모든 기본 설정을 초기화하는 것을 권장합니다.
기본 사용자 이름 admin과 no password(또는 일부 모델의 경우 스티커에 표시된 사용자 및 무선 비밀번호를 확인하세요)으로 라우터에 처음 연결할 때, 초기 부팅 시 알림이 표시됩니다. 이 알림에서는 기본 구성 제거(기본 구성에 IP 주소만 있는 경우에도)를 선택하면 구성 없이 재부팅되거나, “스크립트 표시”를 선택하여 현재 기본 구성을 유지하고 해당 구성에 따라 적용할 수 있습니다. 이 글은 라우터에 구성 정보가 없다고 가정하므로, 키보드에서 “r”을 입력하거나 WinBox의 “Remove Configuration” 버튼을 클릭하여 구성 정보를 제거해야 합니다.
기본 구성 정보가 없는 라우터
라우터에 기본 구성 정보가 없는 경우 여러 가지 방법이 있지만, 이번에는 요구사항에 가장 적합한 방법을 선택합니다.
ISP 케이블을 라우터의 ether1 포트에 연결하고 PC를 ether1을 제외한 임의의 포트에 연결합니다. 그런 다음 WinBox를 실행하고 이웃 탐색 기능을 사용하여 라우터를 검색합니다. 자세한 예시는 Winbox 기사를 참조하세요.
라우터가 목록에 표시되면 MAC 주소를 선택하고 연결을 클릭합니다.
라우터를 완전히 초기화하는 가장 쉬운 방법은 CLI 명령어를 실행하는 것입니다.
/system reset-configuration no-defaults=yes skip-backup=yes
또는 WinBox에서:
IP 액세스 구성
MAC 연결이 때로는 불안정할 수 있으므로, 첫 번째 단계로 라우터를 구성하여 IP 연결을 활성화합니다:
- 브리지 인터페이스를 생성하고 브리지 포트를 할당합니다;
- 브리지 인터페이스에 IP 주소를 할당합니다;
- DHCP 서버를 구성합니다.
브리지 설정 및 IP 주소 할당은 간단한 과정입니다:
/interface bridge add name=bridge1
/interface bridge port add interface=ether2 bridge=bridge1
/ip address add address=192.168.88.1/24 interface=bridge1
WinBox/WebFig를 구성 도구로 선호하는 경우:
- Bridge 창을 열고 Bridge 탭이 선택되어 있는지 확인합니다;
- + 버튼을 클릭하여 새로운 대화 상자를 열습니다. 사용자 정의 브리지 이름을 입력하거나 기본값인 bridge1을 유지한 후 OK를 클릭하여 진행합니다;
- Ports 탭으로 전환하고 + 버튼을 클릭하여 다른 대화 상자를 열습니다;
- 드롭다운 목록에서 인터페이스 ether2와 브리지 bridge1을 선택한 후 OK 버튼을 클릭하여 설정을 적용합니다;
- 브리지 대화 상자를 닫을 수 있습니다.
- IP 메뉴에 액세스하고 주소 대화상자로 이동합니다;
- + 버튼을 선택하여 새로운 대화상자를 열습니다;
- IP 주소 192.168.88.1/24를 입력하고 드롭다운 목록에서 인터페이스 bridge1을 선택합니다;
- 설정을 확인하려면 OK를 클릭합니다.
다음으로 DHCP 서버를 설정합니다. 이 과정을 간소화하고 빠르게 진행하기 위해 setup 명령어를 실행합니다.
[admin@MikroTik] > ip dhcp-server/ setup [enter]
DHCP 서버를 실행할 인터페이스를 선택합니다.
DHCP 서버 인터페이스: bridge1 [enter]
DHCP 주소 할당을 위한 네트워크를 선택합니다.
DHCP 주소 공간: 192.168.88.0/24 [Enter]
지정된 네트워크의 게이트웨이 선택
DHCP 네트워크의 게이트웨이: 192.168.88.1 [Enter]
DHCP 서버가 할당할 IP 주소 풀 선택
할당할 주소: 192.168.88.2-192.168.88.254 [Enter]
DNS 서버 선택
DNS 서버: 192.168.88.1 [Enter]
리스 시간 선택
리스 시간: 1800 [Enter]
대부분의 구성 옵션은 자동으로 결정되므로 엔터 키만 누르면 됩니다.
설정 도구는 WinBox/WebFig에서도 액세스 가능합니다:
- IP -> DHCP Server 창으로 이동하여 DHCP 탭이 선택되어 있는지 확인합니다;
- DHCP Setup 버튼을 클릭하여 새 대화 상자를 열습니다;
- bridge1을 DHCP Server Interface로 선택하고 Next를 클릭합니다;
- 마법사를 따라 설정을 완료합니다.
다음 단계를 따라 연결된 PC는 이제 동적 IP 주소를 할당받게 됩니다. Winbox를 닫고 IP 주소(192.168.88.1)를 사용하여 라우터에 다시 연결할 수 있습니다.
인터넷 연결 구성
라우터에 인터넷 액세스를 활성화하려면 다음 중 하나 이상의 일반적인 인터넷 연결 유형을 구성해야 합니다:
- 동적 공용 IP 주소.
- 정적 공용 IP 주소.
- PPPoE 연결.
동적 공용 IP
동적 주소 구성은 가장 쉬운 옵션입니다. 공용 인터페이스에 DHCP 클라이언트를 설정하면 됩니다. DHCP 클라이언트는 인터넷 서비스 제공자(ISP)로부터 IP 주소, DNS 서버, NTP 서버, 기본 경로 등 필요한 정보를 자동으로 획득하여 설정 과정을 간편하게 해줍니다.
/ip dhcp-client add disabled=no interface=ether1
클라이언트를 추가한 후 할당된 주소와 상태가 '바인딩됨'으로 표시되어야 합니다.
[admin@MikroTik] > ip dhcp-client print
열: 인터페이스, DNS 사용 여부, 기본 경로 추가 여부, 상태, 주소
# 인터페이스 DNS 사용 여부 기본 경로 추가 여부 상태 주소
0 ether1 yes yes bound 1.2.3.100/24
정적 공용 IP
정적 주소를 구성할 때 ISP는 다음과 같은 특정 매개변수를 제공합니다:
- IP: 1.2.3.100/24
- 게이트웨이: 1.2.3.1
- DNS: 8.8.8.8
이 세 가지 기본 매개변수는 인터넷 연결을 작동시키기 위해 필요합니다.
RouterOS에서 이를 구성하려면 IP 주소를 수동으로 추가하고 제공된 게이트웨이를 사용한 기본 경로를 추가하며 DNS 서버를 설정합니다.
/ip address add address=1.2.3.100/24 interface=ether1
/ip route add gateway=1.2.3.1
/ip dns set servers=8.8.8.8
PPPoE 연결
PPPoE 연결은 동적 IP 주소를 제공하며 DNS와 기본 게이트웨이를 동적으로 구성할 수 있습니다. 일반적으로 서비스 제공업체(ISP)는 연결을 위해 사용자 이름과 비밀번호를 제공합니다.
/interface pppoe-client
add disabled=no interface=ether1 user=me password=123 \
add-default-route=yes use-peer-dns=yes
Winbox/WebFig 작업:
- PPP 창에서 인터페이스 탭을 선택하고 “+” 버튼을 클릭합니다;
- 드롭다운 목록에서 PPPoE 클라이언트를 선택합니다;
- 이름을 설정하고 인터페이스로 ether1을 선택합니다;
- Dial Out 탭으로 이동하여 사용자 이름, 비밀번호 및 기타 매개변수를 구성합니다;
- OK를 클릭하여 설정을 저장합니다.
추가 설정에서 WAN 인터페이스는 이제 pppoe-out1 인터페이스로 변경되었으며, ether1이 아닙니다.
연결 확인
설정이 완료되면 라우터에서 인터넷에 접속할 수 있어야 합니다. IP 연결을 확인하려면 알려진 IP 주소(예: Google DNS 서버)로 ping을 실행해 보세요.
[admin@MikroTik] > /ping 8.8.8.8
SEQ HOST SIZE TTL TIME STATUS
0 8.8.8.8 56 55 14ms399us
1 8.8.8.8 56 55 18ms534us
2 8.8.8.8 56 55 14ms384us
DNS 요청 확인
[admin@MikroTik] > /ping google.com
SEQ HOST SIZE TTL TIME STATUS
0 142.250.74.14 56 55 14ms475us
1 142.250.74.14 56 55 14ms308us
2 142.250.74.14 56 55 14ms238us
모든 설정이 올바르게 구성되었다면 두 개의 ping 모두 성공해야 합니다.
실패가 발생하면 Troubleshooting 섹션을 참조하여 도움을 받으세요.
라우터 보호
라우터가 이제 전 세계에서 접근 가능하므로, 잠재적인 침입자와 기본 공격으로부터 보호하는 것이 중요합니다.
사용자 비밀번호 액세스
MikroTik 라우터에서는 비밀번호를 설정하는 것이 필수적입니다. 강력한 비밀번호를 생성하기 위해 비밀번호 생성 도구를 사용하는 것을 권장합니다. 비밀번호는 다음 기준을 충족해야 합니다:
- 최소 12자 이상;
- 숫자, 기호, 대문자, 소문자를 포함해야 합니다;
- 사전 단어 또는 그 조합을 사용하지 마세요.
/user set 0 password=“!={Ba3N!40TуX+GvKBzjTLIUcx/,”
현재 사용자의 비밀번호를 설정하는 또 다른 방법:
/password
비인가된 액세스로부터 보호하기 위해 추가 조치로, 비밀번호를 업데이트할 때는 보조 방법이나 Winbox 인터페이스를 사용하는 것을 강력히 권장합니다.
[admin@MikroTik] > /password
old-password: ********
new-password: ****************************
confirm-new-password: ****************************
비밀번호를 반드시 기억하십시오! 비밀번호를 잊어버리면 복구할 수 없습니다. 구성 재설정 또는 라우터 시스템 재설치가 필요합니다!
/user 메뉴에서 라우터에 대한 전체 또는 제한된 액세스 권한을 가진 추가 사용자를 생성할 수 있습니다.
최선의 방법은 강력한 비밀번호를 가진 새로운 사용자를 생성하고 기본 admin 사용자를 비활성화하거나 제거하는 것입니다.
/user add name=myname password=mypassword group=full
/user remove admin
참고: 새로운 자격 증명으로 라우터에 로그인하여 사용자 이름과 비밀번호가 정상적으로 작동하는지 확인하세요.
MAC 연결 액세스
기본적으로 MAC 서버는 모든 인터페이스에서 실행됩니다. WAN 포트에서 MAC 연결을 제한하려면 기본 모든 항목을 비활성화하고 LAN 인터페이스를 추가합니다.
먼저 인터페이스 목록을 생성합니다:
[admin@MikroTik] > /interface list add name=LAN
그런 다음, 이전에 생성한 “bridge1”이라는 이름의 브리지 인터페이스를 인터페이스 목록에 추가합니다:
[admin@MikroTik] > /interface list member add list=LAN interface=bridge1
Winbox MAC 액세스에도 동일한 작업을 수행합니다
[admin@MikroTik] > /tool mac-server mac-winbox set allowed-interface-list=LAN
Winbox/Webfig 작업:
- 인터페이스 → 인터페이스 목록 → 목록 창으로 이동합니다;
- 새 목록을 추가하려면 “+” 버튼을 클릭합니다;
- 이름 필드에 “LAN”을 입력하고 OK를 클릭합니다;
- 인터페이스 → 인터페이스 목록 섹션으로 돌아갑니다;
- “+” 버튼을 클릭합니다;
- 드롭다운 목록 옵션에서 “LAN”을 선택합니다;
- 드롭다운 인터페이스 옵션에서 “bridge1”을 선택합니다;
- 확인을 클릭하여 설정합니다;
- 도구 -> MAC 서버 창을 엽니다;
- MAC Telnet 서버 버튼을 클릭합니다;
- 새 대화상자에서 드롭다운 목록에서 새로 생성된 목록 “LAN”을 선택합니다;
- 확인을 클릭하여 설정을 적용합니다.
MAC Winbox Server 탭에서도 동일한 작업을 수행하여 인터넷에서 MAC Winbox 연결을 차단합니다.
네이버 디스커버리
MikroTik 네이버 디스커버리 프로토콜은 네트워크 내의 다른 MikroTik 라우터를 표시하고 인식하는 데 사용됩니다. 공용 인터페이스에서 네이버 디스커버리를 비활성화합니다:
/ip neighbor discovery-settings set discover-interface-list=LAN
IP 연결 액세스
방화벽이 외부 네트워크로부터 라우터에 대한 무단 액세스를 보호하지만, 특정 IP 주소에 따라 사용자 이름 액세스를 제한할 수도 있습니다.
/user set 0 address=x.x.x.x/yy
x.x.x.x/yy - 라우터에 액세스할 수 있는 귀하의 IP 또는 네트워크 서브넷입니다.
공용 인터페이스의 IP 연결은 방화벽에서 제한해야 합니다. ICMP(ping/traceroute), IP Winbox 및 SSH 액세스만 허용됩니다.
/ip firewall filter
add chain=input action=accept connection-state=established,related,untracked comment=“accept established,related,untracked”
add chain=input action=drop connection-state=invalid comment=“drop invalid”
add chain=input in-interface=ether1 action=accept protocol=icmp comment=“ICMP 허용”
add chain=input in-interface=ether1 action=accept protocol=tcp port=8291 comment=“Winbox 허용”;
add chain=input in-interface=ether1 action=accept protocol=tcp port=22 comment=“SSH 허용”;
add chain=input in-interface=ether1 action=drop comment=“모든 다른 패킷 차단”;
공용 인터페이스가 PPPoE, LTE 또는 기타 유형인 경우 'in-interface'를 해당 인터페이스로 설정해야 합니다.
첫 번째 규칙은 이미 설정된 연결에서 오는 패킷을 허용하며, CPU 과부하를 방지하기 위해 안전하다고 가정합니다. 두 번째 규칙은 연결 추적에서 무효로 식별된 패킷을 차단합니다. 그 후 특정 프로토콜에 대한 일반적인 허용 규칙을 설정합니다.
Winbox/WebFig를 사용하여 구성하는 경우, established/related/untracked 규칙을 추가하는 예시는 다음과 같습니다:
- IP -> Firewall 창을 열고 Filter Rules 탭으로 이동합니다;
- “+” 버튼을 클릭하여 새 대화 상자를 열습니다;
- 체인에 “input”을 선택합니다.
- “Connection state”를 클릭하고 “established,” “related,” 및 “untracked” 상자를 체크합니다.
- Action 탭으로 이동하여 “accept”가 선택되어 있는지 확인합니다.
- OK를 클릭하여 설정을 적용합니다.
추가 규칙을 추가하려면 각 새 규칙의 “+” 버튼을 클릭하고 콘솔 예시에서 제공된 동일한 매개변수를 입력하세요.
관리 서비스
방화벽은 라우터를 공개 인터페이스로부터 보호하지만, RouterOS 서비스를 비활성화하고 싶을 수 있습니다.
RouterOS 관리 도구의 대부분은 /ip service 메뉴에서 구성됩니다.
안전한 것만 남겨두세요,
/ip service disable telnet,ftp,www,api
기본 서비스 포트를 변경하면 대부분의 무작위 SSH 브루트 포스 로그인 시도가 즉시 중단됩니다:
/ip service set ssh port=2200
또한 각 서비스는 허용된 IP 주소 또는 주소 범위(서비스가 응답할 주소)로 보호할 수 있지만, 방화벽에서 불필요한 액세스를 차단하는 것이 더 권장됩니다. 방화벽은 소켓을 열지조차 허용하지 않기 때문입니다.
/ip 서비스 윈박스 주소=192.168.88.0/24
기타 서비스
대역폭 서버는 두 MikroTik 라우터 간의 전송 속도를 테스트하기 위해 사용됩니다. 생산 환경에서는 비활성화하세요.
/tool 대역폭 서버 활성화=no
라우터에 DNS 캐시가 활성화되어 있으면 클라이언트에서 원격 서버로 전송되는 DNS 요청의 해결 시간이 감소합니다. 라우터에서 DNS 캐시가 필요하지 않거나 다른 라우터가 해당 목적으로 사용되는 경우 이를 비활성화하십시오.
/ip dns set allow-remote-requests=no
일부 RouterBOARD에는 정보 표시용 LCD 모듈이 있습니다. 핀을 설정하거나 비활성화하십시오.
/lcd set enabled=no
라우터의 모든 사용하지 않는 인터페이스를 비활성화하는 것은 무단 액세스를 방지하기 위해 좋은 관행입니다.
/interface print
/interface set x disabled=yes
여기서 “X”는 사용하지 않는 인터페이스의 번호입니다.
RouterOS는 SSH에 더 강력한 암호화를 사용하며, 대부분의 최신 프로그램은 이를 사용합니다. SSH 강력한 암호화를 활성화하려면:
/ip ssh set strong-crypto=yes
다음 서비스는 기본적으로 비활성화되어 있지만, 실수로 활성화되지 않았는지 확인하는 것이 좋습니다:
- MikroTik 캐싱 프록시,
/ip proxy set enabled=no
- MikroTik 소크스 프록시,
/ip socks set enabled=no
- MikroTik UPNP 서비스,
/ip upnp set enabled=no
- MikroTik 동적 이름 서비스 또는 IP 클라우드,
/ip cloud set ddns-enabled=no update-time=no
NAT 구성
현재 PC는 인터넷에 액세스할 수 없습니다. 로컬에서 사용되는 주소가 인터넷을 통해 라우팅되지 않기 때문입니다. 원격 호스트는 로컬 주소에 대한 응답을 올바르게 전송할 수 없습니다.
이 문제를 해결하려면 아웃바운드 패킷의 소스 주소를 라우터의 공용 IP로 변경해야 합니다. 이는 NAT 규칙을 사용하여 수행할 수 있습니다:
/ip firewall nat
add chain=srcnat out-interface=ether1 action=masquerade
공용 인터페이스가 PPPoE, LTE 또는 기타 유형인 경우 'out-interface'를 해당 인터페이스로 설정해야 합니다.
이 구성의 또 다른 장점은 라우터 뒤에 있는 NAT된 클라이언트가 인터넷에 직접 연결되지 않기 때문에 외부 공격에 대한 추가 보호가 대부분 필요하지 않다는 점입니다.
포트 포워딩
일부 클라이언트 장치는 특정 포트를 통해 인터넷에 직접 액세스해야 할 수 있습니다. 예를 들어, IP 주소 192.168.88.254를 가진 클라이언트는 원격 데스크톱 프로토콜(RDP)을 통해 액세스 가능해야 합니다.
구글 검색을 통해 RDP가 TCP 포트 3389에서 실행된다는 것을 확인했습니다. 이제 클라이언트 PC로 RDP를 리디렉션하기 위해 목적지 NAT 규칙을 추가할 수 있습니다.
/ip firewall nat
add chain=dstnat protocol=tcp port=3389 in-interface=ether1 \
action=dst-nat to-address=192.168.88.254
엄격한 방화벽 규칙을 설정했다면 RDP 프로토콜은 방화벽 필터 포워딩 체인에서 허용되어야 합니다.
무선 설정
편의성을 위해 유선 호스트와 무선 클라이언트가 동일한 이더넷 브로드캐스트 도메인에 속하도록 브리지드 무선 설정을 적용합니다.
무선 네트워크의 보안을 확보하는 것이 중요하므로 첫 번째 단계는 보안 프로필을 설정하는 것입니다.
보안 프로필은 터미널의 /interface wireless security-profiles
메뉴에서 구성합니다.
/interface wireless security-profiles
add name=myProfile authentication-types=wpa2-psk mode=dynamic-keys \
Winbox/Webfig에서 Wireless를 클릭하여 무선 창을 열고 Security Profile 탭을 선택합니다.
WPA2를 지원하지 않는 구형 장치(예: Windows XP)가 있는 경우 WPA 프로토콜도 허용하는 것이 좋습니다.
WPA 및 WPA2 사전 공유 키는 동일하지 않아야 합니다.
이제 보안 프로필이 준비되면 무선 인터페이스를 활성화하고 원하는 매개변수를 설정할 수 있습니다.
/interface wireless
enable wlan1;
set wlan1 band=2ghz-b/g/n channel-width=20/40mhz-Ce distance=indoors \
mode=ap-bridge ssid=MikroTik-006360 wireless-protocol=802.11 \
security-profile=myProfile frequency-mode=regulatory-domain \
set country=latvia antenna-gain=3
Winbox/Webfig에서 동일한 작업을 수행하려면:
- 무선 창을 열고 wlan1 인터페이스를 선택한 후 enable 버튼을 클릭합니다;
- 무선 인터페이스를 두 번 클릭하여 구성 대화상자를 열습니다;
- 구성 대화상자에서 Wireless 탭을 클릭한 후 오른쪽에 있는 Advanced mode 버튼을 클릭합니다. 버튼을 클릭하면 추가 구성 매개변수가 표시되며 버튼 설명이 Simple mode로 변경됩니다;
- 스크린샷에 표시된 대로 매개변수를 선택합니다(국가 설정과 SSID 제외). 필요에 따라 다른 주파수 및 안테나 이득을 선택할 수 있습니다;
- 다음으로 HT 탭을 클릭하고 두 체인이 모두 선택되어 있는지 확인합니다;
- OK 버튼을 클릭하여 설정을 적용합니다.
클라이언트 보호
이제 LAN 내 클라이언트를 보호하기 위해 일부 규칙을 추가할 때입니다. 기본 규칙 세트로 시작하겠습니다.
/ip firewall filter
add chain=forward action=fasttrack-connection connection-state=established,related \
comment=“established,related에 대한 빠른 처리”;
add chain=forward action=accept connection-state=established,related \
comment=“established,related 허용”;
add chain=forward action=drop connection-state=invalid
add chain=forward action=drop connection-state=new connection-nat-state=!dstnat \
in-interface=ether1 comment=“WAN에서 NAT 뒤의 클라이언트에 대한 액세스를 차단합니다”
이 규칙 세트는 입력 체인 규칙(established/related 허용 및 invalid 차단)과 유사하지만, 첫 번째 규칙의 action=fasttrack-connection
이 다릅니다. 이 규칙은 확립된 및 관련 연결이 방화벽을 우회하도록 허용하여 CPU 사용량을 크게 줄입니다.
또 다른 차이점은 마지막 규칙으로, WAN 포트에서 LAN 네트워크로 들어오는 모든 새로운 연결 시도를 차단합니다(DstNat가 사용되지 않는 경우). 이 규칙이 없으면 공격자가 로컬 서브넷을 알고 있거나 추측하면 로컬 호스트에 직접 연결을 확립하고 보안 위협을 초래할 수 있습니다.
방화벽을 구축하는 방법에 대한 자세한 예제는 방화벽 섹션에서 논의됩니다.
원하지 않는 웹사이트 차단
때로는 특정 웹사이트를 차단하고 싶을 수 있습니다. 예를 들어, 직원들이 엔터테인먼트 사이트에 접근하지 못하게 하거나 포르노 사이트에 접근을 차단하는 등입니다. 이는 HTTP 트래픽을 프록시 서버로 리디렉션하고 액세스 목록을 사용하여 특정 웹사이트를 허용하거나 차단하는 방법으로 구현할 수 있습니다.
먼저 HTTP를 프록시 서버로 리디렉션하기 위해 NAT 규칙을 추가해야 합니다. 우리는 포트 8080에서 실행 중인 RouterOS 내장 프록시 서버를 사용할 것입니다.
/ip firewall nat
add chain=dst-nat protocol=tcp dst-port=80 src-address=192.168.88.0/24 \
action=redirect to-ports=8080
웹 프록시를 활성화하고 일부 웹사이트 차단:
/ip proxy set enabled=yes
/ip proxy access add dst-host=www.facebook.com action=deny
/ip proxy access add dst-host=*.youtube.* action=deny
/ip proxy access add dst-host=:vimeo action=deny
Winbox 사용 시:
- 왼쪽 메뉴에서 IP -> Web Proxy로 이동합니다.
- 웹 프록시 설정 대화상자가 표시됩니다.
- “Enable” 체크박스를 선택하고 “Apply” 버튼을 클릭합니다.
- 그 다음 “Access” 버튼을 클릭하여 “Web Proxy Access” 대화상자를 열습니다.
- “웹 프록시 액세스” 대화 상자에서 “+”를 클릭하여 새로운 웹 프록시 규칙을 추가합니다
- 차단하려는 대상 호스트 이름을 입력합니다. 이 경우 “www.facebook.com”를 입력하고 동작으로 “거부”를 선택합니다
- 그런 다음 “확인” 버튼을 클릭하여 변경 사항을 적용합니다.
- 다른 규칙을 추가하려면 동일한 단계를 반복합니다.
문제 해결
RouterOS에는 ping, traceroute, torch, 패킷 스니퍼, 대역폭 테스트 등 다양한 문제 해결 도구가 내장되어 있습니다.
이 기사에서는 이미 ping 도구를 사용하여 인터넷 연결 상태를 확인했습니다.
ping이 실패할 경우 문제 해결
ping 도구의 문제는 목적지가 접근 불가능하다고만 표시되며 추가적인 세부 정보가 제공되지 않는다는 점입니다. 기본적인 오류를 살펴보겠습니다.
MikroTik 장치에 연결된 컴퓨터에서 www.google.com에 연결할 수 없습니다:
게이트웨이 장치를 어떻게 정확히 구성해야 할지 확실하지 않다면, MikroTik의 공식 컨설턴트에게 구성 지원을 요청해 주시기 바랍니다.
Securing your router
개요
다음 단계는 이미 구성된 강력한 방화벽 규칙을 통해 장치를 추가로 보호하는 방법에 대한 권장 사항입니다.
RouterOS 버전
먼저 RouterOS 버전을 업그레이드하세요. 일부 오래된 버전에는 특정 취약점이나 보안 문제가 있었으며, 이는 수정되었습니다. 장치를 최신 상태로 유지하여 보안이 유지되도록 하세요. WinBox 또는 WebFig에서 “업데이트 확인”을 클릭하여 업그레이드하세요. 새로운 보안 문제에 대해 알기 위해 우리 보안 공지 블로그의 공지사항을 확인하시기 바랍니다.
라우터에 액세스하기
사용자 이름
기본 사용자 이름 admin을 다른 이름으로 변경하세요. 사용자 정의 이름은 누군가가 라우터에 직접 액세스할 경우 라우터에 대한 액세스를 보호하는 데 도움이 됩니다:
/user add name=myname password=mypassword group=full
/user disable admin
접근 비밀번호
MikroTik 라우터는 비밀번호 설정이 필요합니다. 안전한 비밀번호를 생성하려면 비밀번호 생성 도구를 사용하는 것을 권장합니다. 안전한 비밀번호란 다음과 같습니다:
- 최소 12자 이상;
- 숫자, 특수 문자, 대문자 및 소문자를 포함해야 합니다;
- 사전 단어 또는 사전 단어의 조합이 아니어야 합니다;
- 비밀번호에 따옴표가 포함될 경우 이스케이프 처리해야 합니다;
/user set myname password=“!={Ba3N!40TуX+GvKBz?jTLIUcx/,”
장치에 대한 액세스 보안
원격 액세스를 방지하기 위해 WAN(인터넷 측) 연결을 차단하는 사전 구성된 방화벽이 있습니다. 이는 의도된 설정이며, 연결이 안전하다고 확신하지 않는 한 이 규칙을 제거하지 마십시오.
원격 액세스를 허용하려면 WireGuard와 같은 가상 사설 네트워크(VPN)를 사용하여 연결을 보호하는 것을 권장합니다.
WireGuard VPN 구성 가이드가 여기에서 제공됩니다.
RouterOS MAC 액세스
RouterOS는 네트워크 장치에 대한 관리 액세스를 쉽게 관리할 수 있는 내장 옵션을 제공합니다. 생산 네트워크에서는 다음 서비스를 반드시 비활성화해야 합니다: MAC-Telnet, MAC-WinBox, 및 MAC-Ping:
/tool mac-server set allowed-interface-list=none
/tool mac-server mac-winbox set allowed-interface-list=none
/tool mac-server ping set enabled=no
네이버 디스커버리
MikroTik 네이버 디스커버리 프로토콜은 네트워크 내 다른 MikroTik 라우터를 표시하고 인식하는 데 사용됩니다. 모든 인터페이스에서 네이버 디스커버리를 비활성화하세요:
/ip neighbor discovery-settings set discover-interface-list=none
대역폭 서버
대역폭 서버는 두 MikroTik 라우터 간의 전송 속도를 테스트하는 데 사용됩니다. 생산 환경에서는 이를 비활성화하세요:
/tool bandwidth-server set enabled=no
DNS 캐시
라우터에 DNS 캐시가 활성화되어 있으면 클라이언트에서 원격 서버로 전송되는 DNS 요청의 해결 시간이 감소할 수 있습니다. 라우터에서 DNS 캐시가 필요하지 않거나 다른 라우터가 해당 목적으로 사용되는 경우 이를 비활성화하세요:
/ip dns allow-remote-requests=no
기타 클라이언트 서비스
RouterOS에는 기본적으로 비활성화되어 있지만 다른 서비스가 활성화되어 있을 수 있습니다. MikroTik 캐싱 프록시, SOCKS, UPnP 및 클라우드 서비스:
/ip proxy enabled=no
/ip socks enabled=no
/ip upnp enabled=no
/ip cloud ddns-enabled=no update-time=no
더 안전한 SSH 액세스
다음 명령어로 더 엄격한 SSH 설정을 활성화할 수 있습니다(aes-128-ctr 추가 및 hmac sha1 및 sha1을 사용하는 그룹 금지):
/ip ssh set strong-crypto=yes
라우터 인터페이스
이더넷/SFP 인터페이스
라우터에 액세스하는 무단 접근을 줄이기 위해 사용하지 않는 모든 인터페이스를 비활성화하는 것이 좋습니다:
/interface print
/interface set X disabled=yes
여기서 X는 사용하지 않는 인터페이스의 수입니다.
LCD
일부 RouterBOARD에는 정보 표시용 LCD 모듈이 있습니다. 핀을 설정하려면:
/lcd/pin/set pin-number=3659 hide-pin-number=yes
또는 비활성화하려면:
/lcd/set enabled=no
Upgrading and installation
개요
MikroTik 장치는 RouterOS가 사전 설치되어 있으므로 일반적으로 설치가 필요하지 않습니다. 단, x86 PC 또는 가상 인스턴스 CHR에 RouterOS를 설치하는 경우를 제외합니다. 이미 설치된 장치에서의 업그레이드 절차는 간단합니다.
업그레이드
버전 번호 지정
RouterOS 버전은 시퀀스를 구분하는 데 사용되는 점이 소수점을 의미하지 않으며, 시퀀스에는 위치적 의미가 없습니다. 예를 들어 2.5는 “두와 반”이나 “세 번째 버전으로 가는 중간”을 의미하지 않으며, 두 번째 첫 번째 레벨의 다섯 번째 두 번째 레벨 개정판을 의미합니다. 따라서 v5.2는 v5.18보다 오래되었으며, v5.18은 더 새로운 버전입니다.
RouterOS 버전은 “릴리스 체인”이라는 여러 단계로 출시됩니다: 장기 지원, 안정화, 테스트, 개발. RouterOS를 업그레이드할 때 새로운 패키지를 설치할 릴리스 체인을 선택할 수 있습니다.
- Long term: 매우 드물게 출시되며, 가장 중요한 수정 사항만 포함됩니다. 동일한 번호 분기 내의 업그레이드에는 새로운 기능이 포함되지 않습니다. Stable 릴리스가 일정 기간 동안 안정적으로 사용된 후에는 장기 지원 분기로 승격되어 이전 릴리스를 대체하며, 해당 릴리스는 아카이브로 이동됩니다. 이 과정이 반복되며 새로운 기능이 순차적으로 추가됩니다.
- Stable: 몇 달에 한 번씩 출시되며, 테스트를 거친 새로운 기능과 수정 사항을 모두 포함합니다.
- 테스트: 몇 주마다 출시되며 기본 내부 테스트만 거치며, 생산 환경에서 사용하지 않아야 합니다.
- 개발: 필요에 따라 출시됩니다. 원시 변경 사항을 포함하며, 새로운 기능을 테스트하려는 소프트웨어 애호가들을 위해 제공됩니다.
표준 업그레이드
패키지 업그레이드 기능은 MikroTik 다운로드 서버에 연결되어 선택한 릴리스 채널에서 해당 장치용 다른 RouterOS 버전이 있는지 확인합니다. 현재 안정 버전(stable release)을 사용 중이지만 릴리스 채널을 장기 지원 채널로 변경한 경우 다운그레이드에도 사용할 수 있습니다.
QuickSet(또는 시스템 → 패키지 메뉴)에서 업데이트 확인 버튼을 클릭하면 현재 또는 최신 변경 로그(더 새로운 버전이 존재하는 경우)가 표시된 업데이트 확인 창이 열립니다. 더 새로운 버전이 존재하는 경우 다운로드 및 다운로드 및 설치 버튼이 표시됩니다. Download 버튼을 클릭하면 최신 버전이 다운로드됩니다(수동 기기 재부팅이 필요합니다). Download&Install을 클릭하면 다운로드가 시작되며, 다운로드가 성공적으로 완료되면 기기가 재부팅되어 다운로드된 패키지가 설치됩니다.
제공되는 버전은 선택한 릴리스 채널에 따라 다릅니다. 모든 버전이 사용할 수 있는 것은 아닙니다. 업데이트 확인 방법을 사용할 경우, 이전 버전에서 최신 버전으로 한 번에 업그레이드할 수 없습니다. 예를 들어, RouterOS v6.x를 실행 중일 경우, 주요 릴리스 업그레이드 채널인 “업그레이드”를 선택하더라도 사용할 수 있는 버전은 v7.12.1만 표시됩니다. 먼저 해당 중간 버전을 업그레이드해야 하며, 그 후에 채널에 새로운 릴리스가 표시됩니다. 이 중간 단계는 업데이트 확인을 통해 수행할 수 있지만, 중간 버전으로 첫 번째 업데이트 후에는 업데이트 확인을 다시 수행해야 합니다.
맞춤형 패키지가 설치된 경우 다운로드 프로그램은 이를 고려하여 필요한 모든 패키지를 다운로드합니다.
RouterOS 업데이트 후 부트 로더를 업그레이드하는 것이 강력히 권장됩니다. 부트 로더를 업그레이드하려면 CLI에서 명령어 “/system routerboard upgrade”를 실행한 후 재부팅하십시오. 또는 GUI의 시스템 → RouterBOARD 메뉴로 이동하여 “업그레이드” 버튼을 클릭한 후 장치를 재부팅하십시오.
시스템 스케줄러에서 스크립트를 실행하여 업그레이드 프로세스를 자동화할 수 있습니다. 이 스크립트는 MikroTik 업그레이드 서버에 새로운 버전이 있는지 확인합니다. 응답이 “새로운 버전이 사용 가능합니다”라고 표시되면 스크립트는 아래의 업그레이드 명령어를 실행합니다. 중요 참고 사항: 이 방법은 이전 버전에서 처음 실행할 경우 작동하지 않습니다. 최신 버전이 사용 가능으로 표시되지 않을 수 있습니다. v6.x를 실행 중인 경우, 먼저 “Upgrade” 채널을 수동으로 선택하여 v7.12.1 중간 버전으로 주요 릴리스 업그레이드를 수행해야 하며, 그 이후에 업그레이드 채널에 새로운 v7 릴리스가 표시됩니다.
[admin@MikroTik] >/system package update
check-for-updates once
:delay 3s;
:if ( [get status] = “New version is available”) do={ install }
수동 업그레이드
RouterOS를 업그레이드하는 방법은 다음과 같습니다:
- WinBox – 파일을 Files 메뉴로 드래그 앤 드롭
- WebFig - Files 메뉴에서 파일을 업로드
- FTP - 파일을 루트 디렉토리에 업로드
RouterOS 업그레이드 후 부트로더를 업그레이드하는 것이 강력히 권장됩니다. 부트로더를 업그레이드하려면 CLI에서 명령어 “/system routerboard upgrade”를 실행한 후 재부팅하세요. 또는 GUI에서 시스템 → RouterBOARD 메뉴로 이동하여 “업그레이드” 버튼을 클릭한 후 장치를 재부팅하세요.
RouterOS는 시리얼 케이블을 통해 업그레이드할 수 없습니다. 이 방법으로는 RouterBOOT만 업그레이드 가능합니다.
수동 업그레이드 과정
- 첫 번째 단계 - www.mikrotik.com로 이동하여 소프트웨어 페이지로 이동한 후 RouterOS가 설치된 시스템의 아키텍처를 선택합니다(시스템 아키텍처는 시스템 → 리소스 섹션에서 확인할 수 있습니다);
- routeros (main) 및 장치에 설치된 추가 패키지를 다운로드합니다;
- 다음 중 하나를 사용하여 패키지를 장치에 업로드합니다:
메뉴: /system/package/update install ignore-missing 명령어는 수동 업그레이드 과정에서 누락되거나 업로드되지 않은 패키지를 제외하고 RouterOS 주요 패키지만 업그레이드합니다.
WinBox 사용
시스템 유형을 선택하고 업그레이드 패키지를 다운로드합니다. WinBox로 라우터에 연결한 후 마우스로 다운로드한 파일을 선택하고 파일 메뉴로 드래그합니다. 이미 일부 파일이 존재하는 경우 패키지를 루트 메뉴에 배치해야 하며, 핫스팟 폴더 내부에 넣지 마세요! 업로드가 시작됩니다.
업데이트가 완료되면 장치를 재부팅하세요. 새로운 버전 번호는 Winbox 제목과 패키지 메뉴에 표시됩니다.
FTP 사용
- 좋아하는 SFTP 프로그램(이 경우 Filezilla)을 열고 패키지를 선택한 후 라우터에 업로드하세요(이 예시에서 라우터 주소는 demo2.mt.lv입니다). 이미지에서는 여러 패키지를 업로드하고 있지만, 실제 경우 모든 파일을 포함하는 단일 파일 하나만 있을 것입니다.
- 필요시 라우터에 파일이 성공적으로 전송되었는지 확인할 수 있습니다(선택 사항):
[admin@MikroTik] >/file print
열: 이름, 유형, 크기, 생성 시간
# 이름 유형 크기 생성 시간
0 routeros-7.9-arm.npk 패키지 13.0MiB 2023년 5월 18일 16:16:18
1 pub directory nov/04/2022 11:22:19
2 ramdisk directory jan/01/1970 03:00:24
- 라우터를 재부팅하여 업그레이드 프로세스를 시작하세요:
[admin@MikroTik] >/system reboot
재부팅하시겠습니까? [y/N]: y
- 재부팅 후 라우터가 최신 상태로 업데이트됩니다. 다음 메뉴에서 확인할 수 있습니다:
[admin@MikroTik] >/system package print
- 라우터가 정상적으로 업그레이드되지 않았다면 로그를 확인하세요
[admin@MikroTik] >/log print without-paging
RouterOS 로컬 업그레이드
서브 메뉴: system/package/local-update/
로컬 네트워크 내의 하나 또는 여러 MikroTik 라우터를 단일 장치로 업그레이드할 수 있습니다. 이 기능은 7.17beta3 버전부터 (시스템 > 패키지 로컬 업데이트) 메뉴에서 사용할 수 있으며, (시스템 > 자동 업데이트) 기능을 대체합니다. 다음은 3개의 라우터를 예시로 한 간단한 예시입니다 (이 방법은 무한한 수의 라우터가 있는 네트워크에서도 동일하게 적용됩니다):
필요한 패키지를 메인 라우터의 파일 메뉴 아래에 배치하세요:
선택 사항: 메인 장치와 미러 장치를 설정할 수 있습니다. 필요하지 않은 경우 이 단계를 건너뜁니다:
- 로컬 패키지 소스를 선택하고 미러 장치를 활성화합니다. 패키지가 위치한 주요 서버를 설정합니다(예: 10.155.136.50). 간격 최소 설정을 00:07:12로 설정할 수 있으며, 이 시간마다 장치가 Winbox를 통해 메인 장치에 연결되어 패키지 업데이트를 확인합니다.
- 새로운 패키지가 사용할 수 있는 경우 다운로드가 시작됩니다. 다운로드 과정은 느릴 수 있으며, 파일 수가 많은 경우 시간이 오래 걸릴 수 있습니다. 다운로드 중 오류가 발생하면 다음 확인 시 다운로드가 재개됩니다.
- 새로운 “packs” 폴더가 생성되며, 이 폴더에 미러 장치가 패키지를 저장합니다:
- 새로운 “packs” 폴더가 생성되며, 이 폴더에 미러 장치가 패키지를 저장합니다: 업데이트될 패키지 소스를 장치에 추가합니다. 이 예제에서는 미러 장치 10.155.136.71을 사용합니다:
- 로컬 업데이트 패키지 탭에서 '새로 고침'을 클릭하면, Winbox를 사용하는 장치가 소스 서버에 연결을 시도하고 새로운 패키지가 있는지 확인합니다.
- 패키지를 선택하고 다운로드 버튼을 클릭하세요. 다운로드가 완료되면 업데이트를 위해 기기를 재부팅해야 합니다.
- 스크립트 및 도구에서 이 작업을 자동화하려면 system/package/local-update/refresh를 사용하세요. fetch url=은 웹 페이지에서 패키지를 다운로드하는 데 사용할 수 있습니다. 예를 들어: tool/fetch url=https://download.mikrotik.com/routeros/7.16.1/routeros-7.16.1-arm.npk
RouterOS 업그레이드 방법 (Dude 사용)
Dude 자동 업그레이드
Dude 애플리케이션은 각 라우터당 한 번의 클릭으로 전체 RouterOS 네트워크를 업그레이드하는 데 도움을 줍니다.
- 업그레이드할 Dude 지도상의 모든 장치에 대해 RouterOS 유형과 올바른 비밀번호를 설정합니다.
- 필요한 RouterOS 패키지를 Dude 파일로 업로드합니다.
- RouterOS 목록에서 장치의 RouterOS 버전을 업그레이드합니다. 업그레이드 과정은 자동으로 진행되며, 업그레이드(또는 강제 업그레이드)를 클릭하면 패키지가 업로드되고 라우터가 Dude에 의해 자동으로 재부팅됩니다.
Dude 계층형 업그레이드
복잡한 네트워크에서 라우터가 순차적으로 연결된 경우, 가장 간단한 예시는 “1router-2router-3router| 연결”입니다. 이 경우 2router가 3router에 패키지가 업로드되기 전에 재부팅될 수 있습니다. 해결 방법은 Dude 그룹 기능으로, 라우터를 그룹화하고 한 번의 클릭으로 모두 업그레이드할 수 있습니다.
- 그룹을 선택하고 업그레이드(또는 강제 업그레이드)를 클릭하세요.
라이선스 문제
구버전에서 업그레이드 시 라이선스 키 관련 문제가 발생할 수 있습니다. 가능한 시나리오:
- RouterOS v2.8 또는 이전 버전에서 업그레이드 시 시스템이 업그레이드 시간이 만료되었다고 경고할 수 있습니다. 이를 무시하려면 Netinstall을 사용하여 업그레이드하세요. Netinstall은 기존 라이선스 제한을 무시하고 업그레이드합니다.
- RouterOS v4 또는 최신 버전으로 업그레이드 시 시스템은 라이선스를 새 형식으로 업데이트하도록 요청합니다. 이를 위해 Winbox PC(라우터가 아님)가 www.mikrotik.com에 제한 없이 연결되어 있는지 확인한 후 라이선스 메뉴에서 “라이선스 업데이트”를 클릭하세요.
Netinstall
NetInstall은 RouterOS에서 널리 사용되는 설치 도구입니다. Windows 시스템에서 실행되거나 Linux에서 명령줄 도구 netinstall-cli를 통해, 또는 Wine(슈퍼유저 권한 필요)을 통해 사용할 수 있습니다.
NetInstall 유틸리티는 MikroTik 다운로드 섹션에서 다운로드할 수 있습니다.
NetInstall은 이전 설치가 실패했거나 손상되었거나 액세스 비밀번호가 분실된 경우 RouterOS를 재설치하는 데도 사용됩니다.
NetInstall을 사용하려면 장치가 이더넷 부팅을 지원해야 하며, NetInstall 컴퓨터와 대상 장치 사이에 직접적인 이더넷 연결이 필요합니다. 모든 RouterBOARD는 PXE 네트워크 부팅을 지원하며, 이는 RouterOS의 “routerboard” 메뉴(RouterOS에 액세스 가능한 경우) 또는 시리얼 콘솔 케이블을 사용한 부트 로더 설정에서 활성화할 수 있습니다.
참고: 시리얼 포트나 RouterOS 액세스가 없는 RouterBOARD 장치의 경우, 리셋 버튼을 사용하여 PXE 부팅을 활성화할 수 있습니다.
NetInstall은 NetInstall Windows 머신에 연결된 디스크(USB/CF/IDE/SATA)에 RouterOS를 직접 설치할 수 있습니다. 설치 후 디스크를 Router 머신으로 옮기고 해당 디스크에서 부팅하면 됩니다.
주의! 시스템 드라이브에 RouterOS를 설치하려고 시도하지 마십시오. 이 작업은 하드 드라이브를 포맷하고 기존 운영 체제를 삭제합니다.
CD 설치
RouterOS 패키지 유형
RouterOS 패키지에 대한 정보는 여기에서 확인할 수 있습니다.