Как настроить микротик роутер: Настройка роутера MikroTik
MikroTik настройка для новичков » MHelp.kz
Цикл данных статей предназначен для неподготовленного пользователя и не требует наличия специальных знаний.
Статьи дадут базовые знания по настройке и возможностям данных устройств.
Содержание:
Знакомство с устройством
Статьи предназначены прежде всего для учителей информатики общеобразовательных школ, так как в большинстве случаев именно на них возложено поддержание работы локальной сети, при этом главным сетевым устройством в локальной сети является домашняя версия модема/роутера TP-Link, D-Link и прочие Asus.
Данные устройства не отличаются стабильностью работы под нагрузкой из 20+ компьютеров, не обладают гибкостью настройки, да и в целом не предназначены для поддержания большого количества клиентских устройств, тем самым вызывая многие проблемы.
Оборудование MikroTik может полностью снять большинство проблем сети, а так же благодаря своему функционалу быстро выявлять источник возникших проблем.
Все дальнейшие настройки будут показываться на примере настройки MikroTik Hap ac Lite, используемого в общеобразовательной школе.
Изображение 1. MikroTik Hap ac Lite
Роутеры MikroTik используют единую систему RouterOS на своих устройствах, поэтому данная статья подходит для настройки других устройств MikroTik или же чистой RouterOS установленной на обычном ПК (в зависимости от устройства, может быть доступен разный набор расширенных компонентов).
Вы можете купить Mikrotik RouterOS Level 4 отдельная лицензия для установки на компьютер (стоимость лицензии RouterOS около 42$).
В этом случае вы получите намного более мощный и дешевый «роутер», пожертвовав компактностью и надежностью, зависящей только от надежности компонентов ПК.
💡 В одной из школ моего города, настроен именно такой «роутер» на базе старого неактуального HP Proliant сервера с 1Gb памяти (для сравнения роутер MikroTik Hap ac Lite оснащен процессором 650MHz и 64Mb памяти).
За все годы работы сервера в качестве «роутера» с ним не было ни одной проблемы, количество обслуживаемых устройств около 120.
Итак, вы получили данное устройство и видите 5 доступных сетевых портов, первый из которых подписан Internet и PoE In, а пятый порт выделен желтым цветом и подписан PoE out (PoE технология).
Первое отличие роутеров MikroTik от более привычных TP-Link, D-Link и прочего доступного в магазинах то, что входящим интернет портом может быть любой порт роутера и даже несколько портов, так же как и исходящим портом (для локальной сети), а не один подписанный порт, как на привычных ранее роутерах.
Надпись Internet присутствует только для удобства пользователя и данный порт ничем не отличается от других.
Так же, присутствуют два PoE порта, 1й порт — входящий, 5й порт — исходящий, т.е. для установки роутера на месте, вы больше не привязаны к розетке.
Питание роутеру можно подать через обычный сетевой кабель, на первый порт, при этом этот сетевой кабель так же будет доступен для передачи данных .
С пятого порта вы можете запитать уже другое устройство с поддержкой данной технологии, например точку доступа.
Для нашей сети мы будем использовать подключение к интернету через первый порт (на котором подключен модем Beeline), кабель локальной сети, подключим в 2 порт.
(В данном примере мы рассматриваем MikroTik Hap ac Lite подключенный к интернету через другой модем. Другие способы подключения MikroTik через PPoE, L2TP, LTE будут рассмотрены в других статьях)
- адрес роутера 192.168.137.1
- диапазон адресов локальной будущей локальной сети: 192.168.137.0/24, причем первые 20 адресов выделим под служебные нужды
Настройка устройства
Адрес роутера MikroTik по умолчанию 192.168.88.1, логин admin пароль пустой.
Управлять роутером можно через веб интерфейс или через более удобную программу WinBox (скачать с официального сайта).
На этом список возможностей управления не закончен, но для ознакомления мы будем использовать управление через Winbox.
Запускаем программу Winbox, указываем адрес подключения 192.168.88.1, логин admin, пароль оставляем пустым, нажимаем Connect.
Обратите внимание, на вкладки Managed и Neighbors.
Изображение 2. Winbox обнаружение устройства MikroTik через Neighbours
На роутерах MikroTik, по умолчанию запущена служба обнаружения в сети Neighbors и если подключение по IP адресу или имени недоступно, попробуйте подключиться выбрав MAC Address роутера через вкладку Neighbors. При первом подключении появляется окно запроса использования стандартной конфигурации.
Удаляем стандартную конфигурацию, нажимаем Remove Configuration.
Изображение 3. Окно конфигурации по-умолчанию MikroTik
Если нас выбрасывает из панели управления роутером, подключимся снова через [WinBox]➙[Neighbors]➙[MAC Address]➙[Connect]
Задаем пароль администратора роутера [System]➙[Users]➙[admin]➙[Password]➙[пароль/подтверждение]➙[OK]
Изображение 4.
Установка пароля администратора MikroTik
Рекомендуется отключить учетную запись admin, создавая свою учетную запись с правами администратора, можете сделать это позже.
Настраиваем адрес роутера для локальной сети, кабель локальной сети подключаем во второй порт устройства ether2.
[IP]➙[Addresses]➙[+]➙[Address: 192.168.137.1/24; Interface:ether2]➙[OK]
Изображение 5. Задаем IP адрес устройства MikroTik в локальной сети
Теперь роутер доступен по адресу 192.168.137.1, из локальной сети подключенной к порту 2 (ether2).
Обратите внимание, в первой строке находится адрес полученный роутером MikroTik от модема включенного в первый порт (ether1-WAN).
Буква D означает автоматически присвоенное значение (DHCP сервер на модеме).
Настройка интерфейсов
Для дальнейшего удобства переименуем порт 1 (ether1) куда подключен кабель интернет, в ether1-WAN
[Interfaces]➙[ether1]➙[Name: ether1-WAN]➙[OK]
По-умолчанию, для каждого порта MikroTik можно назначить отдельную сеть, два интерфейса WiFi тоже представляют собой отдельные сети.
Чтобы не настраивать каждую из WiFi сетей отдельно и локальную сеть, объединяем их в одну «виртуальную» сеть, для этого в MikroTik есть понятие сетевого моста Bridge.
Создаем мост [Bridge]➙[+]➙[Name: bridge1-LAN; ARP: Enable]➙[OK]
Добавляем необходимые нам порты в нашу локальную сеть bridge1-LAN.
[Bridge]➙[Ports+]➙[+]➙[Interface: ether2; Name: bridge1-LAN]➙[OK]
[Bridge]➙[Ports+]➙[+]➙[Interface: wlan1; Name: bridge1-LAN]➙[OK]
[Bridge]➙[Ports+]➙[+]➙[Interface: wlan2; Name: bridge1-LAN]➙[OK]
[nx_spoiler title=»Развернуть» style=»fancy» icon=»chevron»][nx_note]Если при добавлении порта поставить галочку Auto Isolate, устройства подключенные к данному порту не смогут увидеть и получить доступ к устройствам подключенным к другим портам.
[/nx_note][/nx_spoiler]
Изображение 6. Настройка интерфейсов MikroTik
На изображении в окне Inrerface List видно созданный сетевой мост bridge1-LAN, а в окне Bridge перечислены сетевые порты добавленные в мост.
Настройка Wi-Fi
Данный роутер имеет две сети диапазона 2.4GHz (wlan1) и 5GHz (wlan2), для подключения к обеим сетям будет использоваться один пароль.
[Wireless]➙[Security Profiles]➙[default]
Выберем тип аутентификации WPA2 PSK и в поле WPA2 Pre-Shared Key укажем пароль для доступа к сетям WiFi.
Изображение 7. Установка пароля безопасности на WiFi MikroTik
Вернемся на вкладку Interfaces, выбирая каждый интерфейс для его настройки.
Укажем:
- Mode: ap bridge
- Band: стандарты которые будет поддерживать точка
- Frequency: 2437 или auto
- Channel Width: 20/40MHz eC — диапазон частот
- SSID: Название сети
- Security Profile: default, именно его мы изменяли в предыдущем шаге.
Изображение 8. Настройка WiFi MikroTik
Band — оставляя более новые стандарты связи G или N, вы увеличиваете минимальную скорость WiFi, но при этом отсекаете возможность устаревших устройств подключится к вашей сети.
Frequency — частота. Более привычное нам название — канал WiFi.
На канале 6 (частота 2437) точка доступа выдает самый большой уровень сигнала, но вы можете оставить значение auto, если рядом имеются другие WiFi сети.
Настройка локальной сети
MikroTik настройка DHCP
Настроим службу DHCP, зарезервировав первые 20 адресов, для служебных нужд (сервера, точки доступа и пр.).
Указываем выделяемый диапазон адресов нашей локальной сети, назовем его LAN.
[IP]➙[Pool]➙[+]➙[Name: LAN; Addresses: 192.168.137.21-192.168.137.254]➙[OK]
Изображение 9. Настройка диапазона адресов локальной сети
Создаем DHCP сервер (автоматическое назначение IP адреса устройствам в сети).
[IP]➙[DHCP Server]➙[+]➙[Name: LANDHCP; Interface: bridge1-LAN; Lease Time: 3d 00:00:00; Address Pool: LAN; Authoritative: yes; Отмечаем Add For Leases]➙[OK]
Изображение 10. Создание DHCP сервера локальной сети
Название сервера LANDHCP, работающего для устройств подключенных к интерфейсу bridge1-LAN, IP адрес выдаётся(и резервируется) на срок 3 суток, из указанного ранее диапазона IP адресов LAN, данный DHCP сервер объявлен главным Authoritative и полученные адреса будут заноситься таблицу ARP роутера.
Указываем настройки сервера DHCP.
[IP]➙[DHCP Server]➙[Networks]➙[+]
Укажем:
- Adresses: 192.168.137.0/24 — диапазон и размерность сети
- Gateway: 192.168.137.1 — шлюз интернета (адрес роутера)
- Netmask: 24
- DNS Servers: 192. 168.137.1 — управление доменными именами передаем нашему роутеру и его сервису DNS
- Domain: SCHOOL — необязательное поле
168.137.1 — управление доменными именами передаем нашему роутеру и его сервису DNSИзображение 11. Настройка DHCP сервера Mikrotik
MikroTik настройка DNS
Настраиваем службу преобразования доменных имен.
[IP]➙[DNS]
Укажем:
- Servers: 77.88.8.7 и 77.88.8.3 — указываем адреса семейных серверов Яндекс (подробней)
- Dynamic Servers заполняются автоматически, если в свойствах интерфейсов подключения к интернету стоит галочка Use peer DNS
- Allow Remote Requests проверяем установку галочки
- Cashe Size устанавливаем доступный объем памяти для хранения (кеширования) записей DNS
Изображение 12. Настройка DNS сервера Mikrotik
Кэширование DNS является очень полезной опцией, сокращая время повторного обращения к сайту, уменьшая количество интернет трафика, а так же позволяя администратору просмотреть адреса просмотренных сайтов из локальной сети(без привязки к конкретному устройству).
Так же, использование «семейных» DNS серверов Яндекса, здорово сокращает количество доступных вредоносных и взрослых сайтов, а значит и уменьшает количество возможных проблем с ПК вида «я скачал вот этот реферат и компьютер перестал работать» и помимо этого, благоприятно влияет на любого проверяющего с «Контролирующего отдела» показом настроенной системы блокировки сайтов.
Перезагрузите роутер [System]➙[Reboot] ➙[Yes] для применения настроек.
Это был последний шаг для настройки MikroTik в локальной сети, теперь каждый компьютер должен получать выделенный адрес и быть доступным через ping.
Настройка доступа к интернет
Огромное отличие MikroTik от любых домашних устройств является модуль Firewall пришедший (не полностью) от ОС Linux.
Это очень сильно усложняет настройку роутера для новичка, но при ознакомлении, впоследствии дает огромную широту и гибкость настроек, недоступную домашним устройствам.
Так же важно понимать, что правила перечисленные в Firewall обрабатываются по номерам.
Если первым правилом будет блокирующее, Firewall заблокирует трафик и обработка последующих правил не будет производится.
[IP]➙[Firewall]➙[NAT]
В данной вкладке настраиваются сети, которым нужно предоставить доступ к интерфейсу интернета.
Создаем следующее правило:
| Номер правила | Условия | Действие | ||
| # | Chain | Src. Address | Out. Interface | Action |
| 1 | srcnat | 192.168.137.0/24 | ether1-WAN | masquerade |
Это правило необходимо для того, чтобы компьютеры во внутренней сети 192.168.137.0/24 могли нормально обращаться к серверам в интернете, через интерфейс ether1-WAN.
[IP]➙[Firewall]➙[Filter Rules]
Основная вкладка управления правилами роутера.
Если в данной вкладке у нас уже имеются два Action правила: passthrough и fasttrack connection, не трогаем их и все создаваемые правила помещаем после них.
Создаем следующие правила:
| # | Chain | Src.Address | Dst. Address | Protocol | Dst.Port | In. Iterface | Out. Interface | Connection State | Action |
|---|---|---|---|---|---|---|---|---|---|
| 1 | Input | icmp | accept | ||||||
| 2 | Input | 192.168.137.0/24 | udp | 53,123 | bridge1-LAN | new | accept | ||
| 3 | Input | 192.168.137.0/24 | 8291,80 | bridge1-LAN | new | accept | |||
| 4 | Input | established,related | accept | ||||||
| 5 | Output | [!]Invalid | accept | ||||||
| 6 | Forward | 192.168.137.0/24 | bridge1-LAN | ether1-WAN | new, established | accept | |||
| 7 | Forward | 192. 168.137.0/24 | ether1-WAN | bridge1-LAN | established,related | accept | |||
| 8 | Input | reject | |||||||
| 9 | Forward | reject | |||||||
| 10 | Output | reject |
Правила:
- Разрешаем протокол ICMP (команда ping)
- Разрешаем DNS запросы к роутеру от внутренней сети
- Разрешаем доступ к управлению роутеру MikroTik для внутренней сети, через Winbox (порт 8291) и через браузер (порт 80)
- Разрешаем входящие пакеты, уже установленных и связанных соединений между интерфейсами
- Разрешать отправку пакетов, кроме помеченных недействительными. Признак [!]… — означает запись «всем кроме перечисленных»
- Разрешать пересылку пакетов между локальной сетью и интерфейсом внешней сети , для новых и уже установленных соединений
- Разрешить пересылку пакетов между интерфейсом внешней сети и локальной сетью, для уже установленных и связанных соединений
- Запретить все входящие соединения, не разрешенные предыдущими правилами
- Запретить все промежуточные соединения, не разрешенные предыдущими правилами
- Запретить все исходящие соединения, не разрешенные предыдущими правилами
Используйте комментарии к правилам Firewall, это сильно облегчит понимание правил в последующем.
На этом базовая настройка MikroTik Hap ac Lite закончена, на данном этапе у вас должна работать и локальная сеть, и доступ к интернету.
Дальнейшая настройка MikroTik будет продолжена в следующих статьях.
Настройка WiFi на роутере Mikrotik
Добрый день, коллеги!
С вами снова я, технический директор компании Первый Сервисный Провайдер.
Как и обещал, в этой статье я расскажу о настройке WiFi на роутере Mikrotik.
Начнём немного издалека. Компания Mikrotik, изначально, появилась на рынке как производитель оборудования для построения радио каналов. Причём оборудование у них строилось на чипах компании Atheros, т.к. инженеры компании, в своё время, получили спецификации данных чипов и список низкоуровневых команд, что в свою очередь, позволило им очень тонко тюнинговать данные чипы и на выходе получать оборудование, которое превосходило аналоги не только в цене, но и в характеристиках.
Инженеры компании Mikrotik в собственной операционной системе RouterOS реализовали возможность изменять большинство настроек использующихся чипов Atheros.
Именно с этим связано большое количество проблем, с которыми сталкиваются администраторы при настройке WiFi на оборудовании Mikrotik.
В интернете много разных статей на эту тему, но выполняя настройки по ним администраторы сталкиваются с разными проблемами, например, не все устройства могут подключаться к WiFi, либо подключение происходит, но устройства не получают IP адрес и т.д.
В данной статье я поделюсь конфигурацией, которая работает на большинстве устройств.
Единственный случай, когда мне не удалось подружить Mikrotik с устройством – это когда я пытался подключить по WiFi смартфон на android 2.3 (андроид не имел поля Identification), в результате устройство подключалось по WiFi но не получало IP адрес.
Итак, приступим.
Подключаемся утилитой winbox к роутеру и переходим в раздел Wireless.
Дважды кликаем на наш WiFi интерфейс, попадаем в его настройки и в правой части окна сразу же нажимаем Advanced Mode.
На первой вкладке, в принципе, нам ничего менять не надо, тут указаны имя интерфейса, тип чипа, MTU, MAC-адрес.
Переходим на следующую вкладку Wireless.
Выставляем следующие настройки:
- SSID – имя нашей WiFi сети.
- Frequency Mode – регулирует набор доступных частот и мощности передатчика в зависимости от страны, рекомендую выбрать regulatory-domain во избежание даже гипотетических проблем от контролирующих органов.
- Country – собственно, выбираем страну нахождения, в нашем случае, это russia2.
На данной вкладке больше менять ничего не рекомендуется без необходимости.
Если всё же есть желание выставить канал вручную, то делается это в параметре Frequency.
Frequency – это частота вещания WiFi (в домашних роутерах это называется канал). В нашем случае выставлено auto, каждый раз при перезагрузке роутера он автоматически ищет наименее загруженную частоту и начинает вещать на ней.
Соответствие частот и каналов.
| Канал WiFi | Нижняя частота | Центральная частота | Верхняя частота |
| 1 | 2401 | 2412 | 2423 |
| 2 | 2406 | 2417 | 2428 |
| 3 | 2411 | 2422 | 2433 |
| 4 | 2416 | 2427 | 238 |
| 5 | 2421 | 2432 | 2443 |
| 6 | 2426 | 2437 | 2448 |
| 7 | 2431 | 2442 | 2453 |
| 8 | 2436 | 2447 | 2458 |
| 9 | 2441 | 2452 | 2463 |
| 10 | 2446 | 2457 | 2468 |
| 11 | 2451 | 2462 | 2473 |
| 12 | 2456 | 2467 | 2478 |
| 13 | 2461 | 2472 | 2483 |
Если внимательно посмотреть на данную таблицу, то можно заметить, что нижние и верхние частоты разных каналов пересекаются, поэтому не рекомендуется выбирать следующий канал, при занятости желаемого.
Более подробную информацию можно найти в гугле 🙂
Переходим дальше, вкладка Data Rates.
Мы оставим значение в default, т.к. хотим добиться работы WiFi на максимальном количестве устройств. Если выбрать configured, то можно отключить низкие скорости передачи.
Тут стоит упомянуть о большой проблеме самой технологии WiFi – все устройства WiFi всегда работают на скорости самого медленного из устройств, подключенных к данной сети, т.е. если у вас в сети 3 новых ноутбука, подключенных на скорости 54 Мбит/с и вы решили реанимировать старого мамонта из 90-х или начала 00-х годов и подключите его к WiFi на скорости в 5 Мбит/с, то все ноутбуки будут фактически работать на данной скорости.
Следующая вкладка Advanced.
Тут оставляем всё как есть, проверяем настройку Distance, она должна быть установлена в indoors, это добавит стабильности работе устройств.
Следующая вкладка HT.
Тут нужно проверить, чтобы стояли все галки Tx Chains и Rx Chains.
Остальные настройки оставлены для улучшения стабильности работы WiFi.
Вкладка HT MCS при нашей настройке нам не интересна, т.к. никакие параметры мы изменить там не сможем.
Следующая вкладка WDS.
Нужна при настройке WDS мостов, возможно, в одной из следующих статей рассмотрим их настройку.
Вкладка Nstreme нам тоже не интересна, она нужна для настройки мостов с использованием собственного протокола компании Mikrotik Nstreme.
Следующая интересная для нас вкладка Tx Power.
Проверьте, что выставлено default, что соответствует 17 dBm или 50 mW.
Позволяет задавать мощность передатчика WiFi, некоторые нехорошие администраторы, если у них где-то WiFi не добивает или уровень сигнала ниже желаемого, выбирают параметр all rates fixed и повышают значение вплоть до 30 dBm.
Тут сразу скажу, что делать этого не рекомендуется, т.к. 30 dBm соответствует мощности передатчика в 1Ватт.
Тут сразу есть 3 опасности:
- У вас в квартире/офисе появляется микроволновка в корпусе роутера 🙂
- Максимальная разрешённая мощность передатчика, не подлежащая лицензированию 100mW, что соответствует 20 dBm, а, следовательно, ребята из частотнадзора могут не обрадоваться 🙂
- Если серьёзно, то нужно понимать, что увеличивая мощность передатчика роутера, вы никак не манипулируете с мощностью передатчика подключаемого устройства, как результат, вы сможете добиться высокого уровня сигнала в самом дальнем кабинете, но ни одно устройство к данному WiFi подключиться не сможет, т. к. просто не сможет «докричаться» до вашего роутера. По этой причине, максимум, можно повысить мощность передатчика до 20 dBm, но уже со знанием всех возможных последствий.
к. просто не сможет «докричаться» до вашего роутера. По этой причине, максимум, можно повысить мощность передатчика до 20 dBm, но уже со знанием всех возможных последствий.Ниже привожу таблицу соответствия dBm и mW.
| dBm | мW |
| 0 | 1 |
| 1 | 1,3 |
| 2 | 1,6 |
| 3 | 2 |
| 4 | 2,5 |
| 5 | 3,2 |
| 6 | 4 |
| 7 | 5 |
| 8 | 6 |
| 9 | 8 |
| 10 | 10 |
| 11 | 13 |
| 12 | 16 |
| 13 | 20 |
| 14 | 25 |
| 15 | 32 |
| 16 | 40 |
| 17 | 50 |
| 18 | 63 |
| 19 | 79 |
| 20 | 100 |
| 21 | 126 |
| 22 | 158 |
| 23 | 200 |
| 24 | 250 |
| 25 | 316 |
| 26 | 398 |
| 27 | 500 |
| 28 | 630 |
| 29 | 800 |
| 30 | 1000 |
Следующие вкладки Current Tx Power, Status, Traffic имеют исключительно информационную направленность, на них вы можете посмотреть мощность передатчика по частотам, статус WiFi в целом (используемый канал, количество зарегистрированных, аутентифицированных клиентов и т.
д.) и проходящий через интерфейс трафик соответственно.
Далее в правой части окна настроек нажимаем на Apply и Enable (если как и у меня, у вас WiFi интерфейс был изначально выключен).
На данном этапе мы настроили всё, что касается интерфейса и радиочипа, но теперь нам нужно закрыть WiFi от посторонних, для этого переходим на вкладку Security Profiles.
Открываем имеющийся профиль default (это тот случай из немногих, когда дефолтный профиль микротика можно менять без последствий).
Выставляем следующие параметры:
- Mode – dynamic keys.
- Authentification Types – WPA2 PSK. Для совместимости с устройствами, которые не умеют работать с WPA2 можно поставить галку и на WPA, но взламывается такой WiFi очень легко, поэтому, пожертвуем такими клиентами нашего WiFi.
- WPA2 Pre-Shared Key – пароль для нашего WiFi.
Нажимаем OK.
На этом настройка WiFi завершена, при такой конфигурации большинство ваших клиентов будут работать без проблем.
Если при такой настройке вы столкнулись с проблемами – обязательно пишите в комментариях.
Статью подготовил технический директор компании Первый Сервисный Провайдер Гавриш Артём.
Настройка Mikrotik в качестве WI-FI клиента — TEHNOMOZG
Когда это нужно?
Первый сценарий. Допустим, есть какая-либо локальная сеть с вещающей WI-FI точкой доступа (роутером) и у нас есть устройство с ethernet-портом, которое невозможно воткнуть проводом напрямую. Поэтому используем второй роутер (тот, который нам предстоит настроить) в режиме «клиент» для подключения к ресурсам удаленной локальной сети.
Второй сценарий. Сосед решил скооперироваться с нами и снизить свои расходы на Интернет. Он поделился с нами паролем от своей WI-FI точки доступа и, подключившись нашим роутером Mikrotik в режиме «клиент», мы сможем получить Интернет и «перенаправить» его через Ethernet-порты на роутере к любым другим сетевым устройствам. В итоге можно даже создать собственную виртуальную точку доступа с совершенно другим паролем, что может значительно расширить зону покрытия беспроводного сигнала, например, для мобильных устройств таких как телефоны и планшеты.
Принципы и последовательность настройки нашего Mikrotik
- Сбрасываем настройки микротик и производим обновление прошивки
- При первом запуске отказываемся от предложенной конфигурации
- Заходим в раздел Wireless и настраиваем наш единственный интерфейс wlan1, а именно внутри его настроек в одноименной вкладке Wireless указываем режим работы точки доступа (Mode): Station, остальные параметры точки доступа, к которой происходит подключение, в том числе устанавливаем пароль для авторизации WPA2 PSK внутри профиля «default» (отдельном или том, который идет по умолчанию) на вкладке Security Profiles. Если все настройки установлены правильно и парольная фраза совпадает с той, которая настроена на точке доступа, к которой мы подключаемся, то на вкладке «Registration» мы увидим установившуюся сессию. Можно двигаться дальше
- При необходимости объединяем в мост (bridge1) те порты, которые нам нужны, те, которые будут использованы для доступа к нашим локальным адресам.
- IP -> Addresses. Устанавливаем IP-адрес для интерфейса wlan1, который должен обязательно совпадать с реальным диапазоном IP-адресов, который используется удаленной WI-FI точкой доступа для выдачи подключаемым клиентам. Не забываем и про интерфейс нашей внутренней сети (bridge1 или отдельно взятый порт), которому даем отличный адрес из другого диапазона.
- IP -> Firewall -> NAT. Создаем маршрут для того, чтобы все устройства нашей локальной сети «шли» за Интернетом через наш удаленный роутер. Chain: srcnat, Src. Address: <192.168.X.X/24> (наша локальная сеть), Action: masquerade.
- Проверяем пинг из нашей локальной сети (пока еще со статическим адресом) на любой внешний IP в Интернете, например, на гугловский 8.8.8.8. Пинг должен проходить нормально.
- IP -> DHCP Server. Для удобства «поднимаем» DHCP сервер на того порта или моста, который «смотрит» в нашу локальную сеть. Для этого предварительно задаем пул IP адресов в разделе IP -> Pool. Все, теперь можно перевести нашу сетевую карту на автоматическое получение настроек и убедиться в том, что происходит предоставление IP адреса из того диапазона, который мы задавали ранее в настройках Mikrotik. Пинг на внешние IP адреса также должен работать, но вот пинг по имени работать не будет, пока не настроим DNS.
- IP -> DNS. В параметре Servers указываем DNS-адреса удаленного роутера (обычно это адрес, который предоставляется провайдером, но ни в коем случае не 192.168.0.1 или 192.168.1.1) либо указываем любые другие DNS серверы, можно всё те же гугловские 8.8.8.8, 8.8.4.4 или используем Яндекс DNS чтобы сразу блокировать вредоносные сайты согласно базе Яндекса 78.88.8.88, 78.88.8.2. Ставим галку «Allow Remote Requests». После этого должен заработать пинг по именам и должны начать открываться сайты в браузере. Проверяем.
Все, теперь можно перевести нашу сетевую карту на автоматическое получение настроек и убедиться в том, что происходит предоставление IP адреса из того диапазона, который мы задавали ранее в настройках Mikrotik. Пинг на внешние IP адреса также должен работать, но вот пинг по имени работать не будет, пока не настроим DNS.Да, и еще, если вы не пользуетесь web-интерфейсом, то его лучше сразу отключить через IP -> Services, где отключаем 80 порт. При необходимости меняем MAC-адрес на интерфейсе wlan1, для этого два раза кликаем по самому интерфейсу и в открывшемся окне меняем MAC на новый.
При необходимости можно поменять MAC-адреса и на Ethernet-портах с помощью команды в Terminal:
interface ethernet set ether1 mac—address=D4:CA:6D:5C:69:B0
Выводы
Получилась такая небольшая шпаргалка, которая может пригодиться любому желающему настроить Mikrotik для приема Интернета из какой-либо WI-FI сети и «подать» его на любой компьютер или устройство, подключенные к lan-порту Mikrotik. Данные настройки были успено протестированы на роутерах Mikrotik RB751U-2HnD и RB951G-2HnD, но могут быть применены абсолютно на любом оборудовании, работающем на операционной системе RouterOS, например, в качестве WI-FI клиента могут быть настроены любые модели WI-FI маршрутизаторов: RB951Ui-2HnD, Mikrotik RB951G-2HnD, hAP, hAP lite, hAP ac, hAP mini, Mikrotik mAP 2nD, RB2011UiAS-2HnD-IN, SXT HG5, wAP, wAP AC и прочих. Настройка режима W-FI клиента на них точно такая же.
Удачи, коллеги!
Первый запуск и базовая настройка mikrotik RB951G-2HnD
Компания, в которой я работаю начала немного разрастаться и нам пришлось арендовать отдельное помещение, где всю сетевую инфраструктуру нужно было подымать и настраивать с нуля.
После долгого планирования кабельщики провели сеть, питание и у нас сформировалось маленькое подобие серверной комнатки. Туда, недолго думая, был поставлен UPS и заведен первый провайдер интернета. Изначально был поставлен слабенький, перешедший из прежнего офиса, роутер от которого не хватало много нужного функционала. Нужно было выбирать что ставить на вход: сервер или роутер. С серверами я и до того много работал, а вот с так хваленым mikrotik не приходилось, вот я и решил заказать фирме роутер, в котором есть весь, нужный на данный момент, функционал – и мне хорошо (skills improvement) и фирма не против.
Был приобретён mikrotik RB951G-2HnD (Рис 1).
Рисунок 1 – Внешний вид роутера RB951G-2HnD
Чтобы дать более точную информацию по модели – расшифруем её наименование (Рис 2).
Рисунок 2 – Пример наименования mikrotik роутера
Как видим, наименование нашего роутера состоит из четырех разделов. Распишем значения каждой группы.
| RB | Стандартное сокращение RouterBoard |
| 9 | Серия |
| 5 | Количество проводных интерфейсов |
| 1 | Количество беспроводных интерфейсов |
| G | Гигабитная и может включать: · “U“ – USB · “А“ – больше памяти · “Н“ – более мощный CPU Только, если не идет в сочетании с “L“ — light edition. В моем случаи с “U”. |
| 2 | Радиомодуль частотой 2.4 Ghz |
| H | Повышенной мощности: · 23-24dBm на 6Mbps 802.11a · 24-27dBm на 6Mbps 802.11g |
| n | Поддержка 802.11n протокола |
| D | “Dual chain”, т.е. MIMO (Multiple In Multiple Out), т.е. многопотоковая передача данных |
Чтобы расшифровать наименования вашего устройства – можете использовать официальную документацию . Исходя из вышеизложенной информации — у нас WiFi роутер с 5-ю Гигабитными Ethernet портами и USB.
Чтобы сразу не положить офисную сеть, подключаем роутер на прямую к персональному компьютеру через сетевой кабель (Рис 3).
Рисунок 3 – Вид подключения роутера к ноутбуку
Следующим шагом нужно скачать последний winbox. Это софт, который позволяет подключаться и настраивать RouterOS.
На момент написания статье это версия 3.11.
Запускаем winbox -> переходим на вкладку Neighbors, выделяем запись с нашим роутером и нажимаем Connect (Рис 4). По умолчанию: пользователь admin и пустой пароль.
Рисунок 4 – Вид окна подключения к роутеру через WinBox
Первое, что мы увидим – это настройки роутера по умолчанию, что нам не интересно, так как мы хотим сами все настроить с нуля. Поэтому выбираем пункт – Удалить конфигурацию (Рис 5).
Рисунок 5 – Вид окна первого подключения к роутеру
Теперь роутер подумает над своим поведением, перезагрузиться и нужно будет опять к нему подключиться тем же способом (Рис 6).
Рисунок 6 – Вид окна подключения к роутеру через WinBox после удаления конфигурации
Если случайно нажали ОК вместо Reset Configuration, то можете сбить настройки роутера используя меню (Рис 7).
Рисунок 7 – Вид окна сброса настроек роутера mikrotik
Или же через кнопку RES, которую видно на рисунке 1:
- Отключите питание роутера;
- Нажмите и держите кнопку RES;
- Включите питание роутера;
- Дождитесь, пока замигает индикатор ACT, и отпустите кнопку RES.
ВАЖНО: Если не отпустите кнопку RES и дождетесь, когда индикатор ACT перестанет мигать, то устройство перейдет в режим Netinstall для переустановки операционной системы RouterOS.
Обновляем пакеты
Первым делом советую обновиться до последней версии всех пакетов, чтобы идти в ногу с баг фиксингом и безопасностью. Переходим в System -> Packages и жмем на кнопку Check For Updates (Рис 8).
Рисунок 8 – Вид окна Packages
Видим, что у нас версия немного застарелая. Можно почитать, что было добавлено/исправлено в новых версиях я нажимаем Download->Install (Рис 9).
Рисунок 9 – Вид окна проверки на обновления
Роутер скачает все что нужно, перезагрузиться и мы должны увидеть что-то типа этого (Рис 10).
Рисунок 10 – Вид окна Packages после обновления
Теперь мы на последней версии софта.
Настройка сетевых интерфейсов
Первым делом нужно поиздеваться над сетевыми интерфейсами. Если это домашняя сеть или просто одна линка провайдера, то можно просто переименовать сетевые интерфейсы, чтобы было понятно, что за что отвечает.
Когда добавляется уже два провайдера на один роутер, тогда предпочтение идет просто в группировании интерфейсов как они есть. В данном случаи мы переименуем все сетевые интерфейсы. Переходи в Interfaces -> Вкладка Interface (Рис 11).
Рисунок 11 – Вид вкладки Interfaces
Далее один за одним кликаем на интерфейс дважды и называем как нам нужно. Первый интерфейс у меня будет называться WAN (Рис 12).
Рисунок 12 – Вид окна настроек первого интерфейса: WAN
Все остальные порты должны быть объединены в один сегмент локальной сети. Mikrotik RouteOS позволяет это делать двумя способами: Bridging и Master port. На официальном форуме mikrotik не раз задавался вопрос, что лучше выбрать, и ответ всегда был: это зависит о конфигурации, которая вам нужна. Ответ от представителя mikrotik:
Bridge is software switching, master port is hardware switching. Use master ports to switch multiple physical interfaces where you want full wire speed. Use bridges to connect those master ports together, possibly with wlan ports as well.
With hardware switching alone there is no way to place a wired Ethernet segment on the same broadcast domain as a wireless segment, or interconnect different switch chips. For that, you need to use software switching (bridge functionality).
In a WISP situation, I usually do not bother with master/slave ports because it is rare, given the limitations of wireless PtMP radio equipment, that you will ever be in a situation where you are switching gigabit traffic; in such situations, where you are usually switching
Ми идем по пути уменьшения нагрузки на CPU, и поэтому в нашей номинации побеждает Master/Slave конфигурация. Следующим у нас будет порт с названием eth0, который будет мастером для всех остальных (Рис 13).
Рисунок 13 – Вид окна настроек второго интерфейса: LAN Master
Все остальные интерфейсы переименуем и поставим для них как мастер порт eth0 (Рис 14).
Рисунок 14 – Вид окна настроек второго интерфейса: LAN Slave
Те же действия проделаем с остальными проводными интерфейсами.
И на закуску переименуем беспроводной интерфейс (Рис 15).
Рисунок 15 – Вид окна настроек беспроводного интерфейса: LAN WiFi
Смотрим, что у нас получилось и также включаем WiFi (Рис 16).
Рисунок 16 – Вид окна списка интерфейсов
Настройка Интернет доступа
Чтобы у нас был доступ в Интернет – нужно настроить WAN интерфейс. В нашем случаи провайдер дает динамический IP адрес, поэтому нам нужно настроить DHCP клиент. Переходим в IP -> DHCP client вкладка DHCP Client жмем “+”, на вкладке DHCP выбираем Interface: WAN и жмем ОК (Рис. 17).
Рисунок 17 – Вид окна настроек DHCP client
И мы должны получить что-то типа этого (Рис 18).
Рисунок 18 – Вид окна полученных WAN настроек
Настройка WiFi доступа
Для WiFi доступа нам нужно подправить настройки интерфейса и профайл безопасности. Идем в Wireless вкладка Interfaces и там кликаем на wifi. В появившимся окне на вкладке Wireless выбираем Mode: ap bridge, Band: 2GHz-B/G/N, вписываем название SSID (в моем случаи OFFICE) и жмем ОК (Рис 19).
Рисунок 19 – Вид окна настроек Wifi Interface
Теперь нужно отредактировать профайл безопасности. Идем во вкладку Security Profiles кликаем на default, во вкладке General выставляем
- Mode: dynamic keys
- Authentication Types: WPA2 PSK
- Unicast Ciphers: aes ccm, tkip
- Group Ciphers: aes ccm, tkip
- WPA2 Pre-Shared Key:
И нажимаем ОК (Рис 20).
Рисунок 20 – Вид окна настроек WiFi Security Profiles
Теперь у нас есть рабочий WiFi который можно уже использовать (Рис 21).
Рисунок 21 – Вид окна настроек WiFi Interfaces после редактирования
Настройка сетевых мостов
С интерфейсами закончили. Теперь переходим к настройке bridge. Это нужно для того, чтобы все интерфейсы были в одном сегменте сети. Нажимаем на меню Bridge, на вкладке Bridge нажимаем символ “+”, в появившимся окне на вкладке General вписываем имя моста (Рис 22). В нашем случаи – LAN, который буде объединять все беспроводные и проводные интерфейсы, т.е. наш Wifi и Master port eth0.
Рисунок 22 – Вид окна настроек сетевого моста LAN
Теперь добавляем к нашему бриджу сетевые интерфейсы. Первым пойдет Мастер порт проводных интерфейсов. Переходим в вкладку Ports, нажимаем на значок “+”. В Interface выбираем eth0 и в Bridge ставим LAN (Рис 23).
Рисунок 23 – Вид окна настроек проводных портов для LAN bridge
Тоже делаем с беспроводным интерфейсом (Рис 24).
Рисунок 24 – Вид окна настроек беспроводного порта для LAN bridge
Настройка IP стека
Переходим к настройке IP адресов. Как так, что наш роутер до сих пор не имеет IP адреса – нужно это исправить. Нажимаем IP -> Addresses, далее на “+” и вводим IP, по которому буде доступен наш роутер (в моем случаи это 10.222.222.254/24) и в поле Interface ставим наш LAN bridge (Рис 25).
Рисунок 25 – Вид окна IP настроек роутера
У роутера теперь есть IP адрес, но раздавать IP адреса из этой сети он не еще не может. Нужно ему в этом деле помочь. Переходим в меню IP -> DHCP Server. На вкладке DHCP нажимаем на кнопочку DHCP Setup и идем по гайду (Рис 26).
Рисунок 26 – Вид окна настроек DHCP server
Выбираем наш локальный LAN bridge, вводим пул адресов, IP адрес шлюза (что есть наш адрес роутера), диапазон адресов для раздачи, список DNS серверов и время резервирования адресов за клиентами (Рис 27).
Рисунок 27 – Вид окон мастера настроек DHCP server
Теперь мы получим IP при подключении к роутеру.
Настройка NAT
Теперь настроим правила для Firewall-а. Если этого не сделать, то наши пакеты смогут ходить только по локальной сети без надежды попасть во внешний мир. Идем в IP -> Firewall. Вкладка NAT и жмем “+”. Во вкладке General выбираем Chain: srcnat и ставим для нее Out. Interface: WAN (Рис 28).
Рисунок 28 – Вид окна настроек Firewall NAT
Переходим во вкладку Action, выбираем masquerade и жмем ОК (Рис 29).
Рисунок 29 – Вид окна настроек Firewall NAT Actions
Настройка времени
Чтобы время событий совпадало с нашей реальностью, нужно настроить часики на роутере. Переходим в System -> Clock, вкладка Time и выставляем нужные значения (Рис 30).
Рисунок 30 – Вид окна настроек времени
Смена пароля по умолчанию
Изначально мы подключались на систему без ввода пароля пользователем admin. Так делать нельзя – нужно поставить нормальный пароль. Идем в System -> Users. На вкладке Users кликаем на пользователя admin. В открывшимся окне нажимаем на кнопку Password. В следующем окне вводим пароль и жмем ОК (Рис 31).
Рисунок 31 – Вид окна смены пароля для пользователя admin
На этом этапе моя базовая настройка роутера закончилась.
Настройка точки доступа Mikrotik
Как настроить собственную точку доступа с маршрутизаторами MIKROTIK
Важное примечание: Для этого решения требуется учетная запись оператора точки доступа на HotSpotSystem.com. Здесь вы можете создать учетную запись оператора. Если вы хотите узнать, какие функции вы сможете использовать с нашими решениями, нажмите здесь. Если у вас уже есть учетная запись оператора, читайте дальше …
Не используйте последние версии RouterOS. v6.45.X не работает. Используйте последнюю версию LTS, которая на данный момент — v6.44.5.
Перед началом перезагрузите маршрутизатор. Если вы видите сообщение «Конфигурация по умолчанию», нажмите Удалить конфигурацию.
Вам необходимо настроить маршрутизатор Mikrotik с помощью Winbox. Winbox — это графический пользовательский интерфейс для настройки ОС Mikrotik Router. Вы можете получить Winbox на сайте Mikrotik.
1. Сначала нам нужно определить первый порт для подключения к глобальной сети, чтобы маршрутизатор подключался к Интернету через другой маршрутизатор с DHCP.
В winbox нажмите IP> DHCP Client и Add DHCP Client to port ether1
2. Давайте добавим службу точки доступа в wlan Нажмите IP> HotSpot и в поле «Настройка точки доступа » выберите wlan1 в качестве интерфейса точки доступа. Вы можете принять значения по умолчанию, но не выбрать ни одного сертификата. Оставьте IP как есть (10.5.50.x). Если вы измените этот IP-адрес, ссылки LOGIN и LOGOUT не будут работать на вашей странице-заставке.
3. Маршрутизатор должен быть переведен в режим моста AP.
Щелкните интерфейс, дважды щелкните wlan1, щелкните Mode: и выберите ap bridge
И убедитесь, что частота установлена на 2,4 b / G.
4. Вам необходимо добавить наш сервер RADIUS в качестве сервера аутентификации и учета.
В профилях точки доступа (IP> HotSpot> Профили) выберите свой профиль точки доступа и щелкните вкладку радиуса, отметьте разрешить радиус .Затем щелкните вкладку входа в систему и отмените выбор cookie, разрешите https, http pap и chap .
5. Вам необходимо определить наш радиус-сервер. Щелкните Radius и + знак , чтобы добавить наш сервер RADIUS.
Нажмите Services> Hotspot , введите адрес radius : radius.hotspotsystem.com, секрет: hotsys123
Установите флажок рядом с точкой доступа
Измените значение тайм-аута на 3000
6. Вам необходимо добавить вторичный сервер RADIUS. Щелкните Радиус и знак + .
Нажмите Services> Hotspot , введите радиус Адрес: radius2.hotspotsystem.com, Секрет: hotsys123
Установите флажок рядом с точкой доступа
Измените значение тайм-аута на 3000
7. Мы должны разрешить определенные сайты и серверы для неаутентифицированных пользователей, иначе они не смогут купить доступ.
В разделе IP> HotSpot> Walled Garden нажмите + подписать и добавьте следующие домены в Dst . Хост по очереди:
* .hotspotsystem.com
* .worldpay.com
* .paypal.com
* .paypalobjects.com
* .paypal-metrics.com
* .altfarm.mediaplex.com
* .akamaiedge.net
paypal.112.2O7.net
* .moneybookers.com
* .adyen.com
* .directebanking.com
* .paysafecard.com
betalen.rabobank.nl
ideal.ing.nl
ideal.abnamro.nl
Для БЕСПЛАТНЫХ СОЦИАЛЬНЫХ местоположений Hotspot: вам необходимо добавить несколько доменов / хостов в разрешенное поле, чтобы пользователи могли входить на любимый социальный сайт. Следуйте этой статье, чтобы добавить эти домены / хосты в белый список.
Затем в разделе IP> HotSpot> Walled Garden> IP List добавьте следующие IP-адреса в Dst . Адрес один за другим (если ваш Mikrotik не поддерживает значения сетевой маски (.0 / 24), вы можете пропустить значение сетевой маски):
194.149.46.0/24
198.241.128.0/17
66.211.128.0/17
216.113.128.0/17
70.42.128.0/17
128.242.125.0/24
216.52.17.0/24
62.249.232.74
155.136.68.77
66.4.128.0/17
66.211.128.0/17
66.235.128.0/17
88.221.136.146
195.228.254.149
195.228.254.152
203.211.140.157
203.211.150.204
82.199.90.136/29
82.199.90.160/27
91.212.42.0/24
Затем в разделе IP> HotSpot> Walled Garden> IP List добавьте следующие IP-адреса в Dst. Хост:
www.paypal.com
8. Вам необходимо синхронизировать время роутера с нашим сервером.
Щелкните Система > Клиент NTP . Введите первичный и вторичный серверы NTP. Чтобы найти серверы NTP, перейдите на http://www.pool.ntp.org/ и выберите континент местоположения в правой части страницы. Там вы найдете NTP-серверы.
Убедитесь, что в оставьте TimeZoneName: manual, а TimeZone: 00:00 в System> Clock . (Не устанавливайте свой часовой пояс, потому что маршрутизатор должен показывать время по Гринвичу!)
9. Вам необходимо изменить NASID маршрутизатора .Настройка NASID в Mikrotik находится в разделе System> Identity . По умолчанию — MikroTik.
Измените это следующим образом: OPERATORUSERNAME_LOCATIONNUMBER
Пример: имя пользователя оператора — globalhotspot, идентификатор местоположения: 2, тогда NASID должен быть: globalhotspot_2.
ПРИМЕЧАНИЕ. Если вы устанавливаете несколько маршрутизаторов в одном месте, следует использовать разные идентификаторы NAS. Для вторых маршрутизаторов вам нужно добавить _wds_1 к идентификатору NAS, для третьего маршрутизатора — _wds_2 и т. Д.Так, например, если вы хотите установить второй маршрутизатор в местоположении 3, NASID должен быть установлен на globalhotspot_3_wds_1.
10. Вам необходимо настроить страницы встроенных точек доступа Mikrotik.
Нажмите на имена файлов, чтобы загрузить следующие файлы: login.zip (содержит 2 файла)
В боковом меню перейдите в раздел «Файлы» и найдите эти файлы в каталоге «горячей точки».
Разархивируйте загруженные файлы и перетащите их в каталог «точки доступа» в программе Winbox.Обязательно переместите курсор под каталог горячей точки.
Если вы хотите использовать FTP, вы можете подключиться к маршрутизатору mikrotik по FTP с помощью ИД пользователя и пароля администратора и заменить файл в каталоге ‘hotspot’.
11. Вы должны установить IP-адреса URL-адреса входа / выхода в Центре управления. Войдите в Центр управления с вашим именем пользователя и паролем оператора и перейдите в «Управление»> «Местоположения» . Щелкните местоположение, затем щелкните Modify Hotspot Data & Settings .В настройках страницы-заставки измените внутренний URL-адрес входа / выхода и установите на Mikrotik . Убедитесь, что для параметра «Отображать окно входа на главной странице-заставке» ПРОВЕРЕНО.
12. Увеличьте лимит общих пользователей в вашем профиле точки доступа.
Подменю: профиль пользователя / ip hotspot
или перейдите в IP> Hotspot> User Profiles> default> Shared-Users
Измените shared-users на 5.
13. В качестве последнего шага вы должны добавить ежечасную проверку статуса для функции Router Alert.
Перейдите в Система> Планировщик и добавьте новую задачу, нажав знак плюса.
Имя: up
Интервал: 01:00:00
По событию:
/ tool fetch keep-result = no mode = http address = tech.hotspotsystem.com host = tech.hotspotsystem.com src-path = («up.php \? Mac = «. [/ interface ethernet get 0 mac-address].» & nasid = «. [/ system identity get name].»& os_date = Mikrotik & uptime =». [/ system clock get time]. «% 20up% 20». [/ system resource get uptime]. «,% 20load% 20average:% 20». [/ system resource get cpu-load] . «%»)
Политика: включить все
Нажмите Применить и ОК.
Вот и все. Вы можете настроить службу точки доступа даже при проводном подключении. В этом случае вам нужно выбрать порт Ethernet вместо wlan или вы можете настроить точку доступа на обоих портах.
Если вы успешно настроили маршрутизатор mikrotik, при подключении по беспроводной сети вы должны увидеть окно входа в систему.Вы можете войти в систему с именем пользователя admin, пустым паролем.
Если у вас возникнут другие вопросы или проблемы, прочтите нашу базу знаний или обратитесь в службу поддержки.
Другие документы: Расширенная настройка развертывания точки доступа
Как настроить VPN на роутере МИКРОТИК
ВАЖНО. Не настраивайте ОС Mikrotik Router удаленно. Вы должны быть подключены через интерфейс LAN, иначе вы прервете соединение (доступ к маршрутизатору), и вы больше не сможете получить к нему удаленный доступ.
- Обновите ОС маршрутизатора на маршрутизаторе Mikrotik до последней версии (как минимум до версии v5.8).
- Подключитесь к маршрутизатору Mikrotik через WinBox.
- Настройте DNS-серверы вручную на Google DNS: IP -> DNS -> Настройки -> Серверы . Введите 8.8.8.8 и 8.8.4.4 и отключите Разрешить удаленные запросы .
- Добавьте новый маршрут, как вы можете видеть на следующих изображениях. Вам понадобится IP-адрес шлюза по умолчанию вашего интернет-провайдера (ISP) и IP-адрес VPN-сервера (свяжитесь с нами, если вы не знаете IP-адреса нашего VPN-сервера).
- Теперь ваша таблица маршрутизации не должна содержать никаких маршрутов по умолчанию. См. Экран ниже.
- Настройте клиент PPTP в соответствии с приведенными ниже снимками экрана. После нажатия кнопки «Применить» состояние должно отображаться как подключен .
- Перейдите в PPP -> Профили -> дважды щелкните «default-encryption» -> Protocols и установите для User Encryption значение .
- Перейдите в IP -> DHCP Client и отключите параметр Add Default Route .
- Теперь у вас должна быть возможность пинговать, например, google.com. Если все работает хорошо, вы можете настроить маскировку NAT в своей сети LAN, чтобы все устройства за маршрутизатором Mikrotik использовали VPN-соединение. Перейдите к IP -> Брандмауэр -> NAT -> кнопку «+» и установите маскарад для цепочки srcnat , как показано на снимке экрана ниже.
Как использовать VPN на роутерах MIKROTIK?
Вероятно, вы попали на эту страницу, потому что вам интересно, как настроить VPN на маршрутизаторах MIKROTIK.На самом деле это довольно простая задача, и настройка VPN на роутере MIKROTIK займет до 10 минут вашего времени. Единственное, что вам нужно сделать дополнительно, — это запросить IP-адреса VPN-серверов. После того, как вы это сделаете, просто следуйте скриншотам и пошаговым инструкциям. Текст выше является одним из простейших руководств по настройке VPN для маршрутизаторов MIKROTIK в Интернете, и каждый может их понять. Будьте внимательны и прочтите пошаговые инструкции, прежде чем приступить к настройке. Это руководство по настройке VPN для маршрутизаторов MIKROTIK может оказаться трудным для вас, если вы полный новичок и можете попросить кого-нибудь из наших сотрудников помочь вам.Мы предоставляем каждому нашему клиенту индивидуальный сеанс удаленной настройки, чтобы помочь с настройкой VPN на маршрутизаторах.
Дополнительные инструкции по настройке VPN на разных типах маршрутизаторов см. На этой странице.
Как выполнить захват пакетов с помощью маршрутизаторов Mikrotik — Часть 2 — Mikrotik Minute
Зеркалирование портов и потоковая передача
Следующие два метода очень удобны и могут заставить вас выглядеть круто в глазах ваших друзей и коллег по техническим вопросам. Ваше имя будет произноситься на одном дыхании со словами «Гуру», «Мозг», «Мозг», «Мозговой мастер» и т. Д. — вы поняли, что, кстати, является целью этих статей.Продавцы и руководители проектов будут спрашивать вас по имени «…. и удостовериться, что Brain Man находится на работе, когда мы должны сделать это, чтобы в случае возникновения каких-либо странных проблем с их сетью или оператором связи он мог с этим справиться… »
Какой из них вы будете использовать чаще всего, будет зависеть от того, как вы обслуживаете своих клиентов (если у вас есть выбор), и от ваших обстоятельств. Например, с зеркалированием портов вы, скорее всего, будете на месте. Однако для потоковой передачи вы можете быть где угодно, если есть хорошее подключение к Интернету.В любом случае цель состоит в том, чтобы дать вам возможность получить детальную информацию с помощью наилучшего из возможных методов.
Зеркалирование портов
Aka port spanning (если у вас есть фоновая земля, подобная Cisco), и обычно это происходит так;
Вы подключаете устройство к определенному порту вашего Mikrotik (например, порт 3), и все пакеты копируются / отражаются / отражаются в порт 4, где на вашем компьютере работает Wireshark. Вы можете сделать это одним из двух способов — из командной строки или через вкладку «Переключить» через Winbox.
Через командную строку
Просто сделайте это через Telnet, SSH или новый терминал;
Вы могли подумать, что перевод этого wiki.mikrotik был бы чем-то в этом роде, но… нет. Так что именно означает «переключатель2»? Хорошо, я тебе скажу.
Для зеркалирования портов физические порты должны быть на одном физическом коммутаторе . На меньших платах маршрутизаторов, таких как серии 751/951, есть только один физический коммутатор, и вы можете узнать это, перейдя в Switch / Port в Winbox и посмотрев, сколько коммутаторов (т.е.е. физических коммутаторов) есть и какой порт на каком коммутаторе. Вы также можете увидеть это в разделе «Интерфейсы / Ethernet» и нажать на конкретный интерфейс или добавить столбец «переключатель», который будет отображаться, и вы увидите его там. RB3011 будет иметь два переключателя. Порты с 1 по 5 находятся на коммутаторе 1, а с 6 по 10 — на коммутаторе 2. На этом устройстве, например, вы можете зеркалировать порт 1 на порт 4, но не на порт 6. Еще одна сноска, даже если они не могут отображать 1 на 6, они все еще могут находиться на одном логическом мосту.Есть причины, по которым физические переключатели так сегментированы … но я не буду вдаваться в них. Для подробного объяснения и описания того, как Mikrotik разрабатывает свои коммутаторы, найдите книгу Стива Дишера «RouterOS by Example 2, nd Edition» и прочтите главу 18. Щелкните здесь (после того, как вы закончите читать это!), Чтобы прочитать мои просмотрите его книгу и нажмите здесь , чтобы перейти в ISP Supplies и заказать ее.
Через WinBox
Перейдите в Switch /, и сразу же вы увидите под первой вкладкой «Switch», имя, тип и — та-дааа! –Зеркальное отражение источника и зеркального отражения.Поговорим о том, чтобы быть скрытым на виду! Конечно, сколько раз у вас действительно была причина перейти в этот раздел? Как ни странно, вы не увидите упоминания об этом нигде в вики — просто скажите. Так что введите источник / цель соответственно, и все готово. Проверьте это, подключив компьютер, например, к порту 4 (или какому-либо другому устройству Mirror Target) с запущенным Wireshark, а затем подключите какое-нибудь устройство к порту Mirror Source. Без настройки зеркалирования портов проверьте соединение устройства с маршрутизатора с помощью Tools / Ping и отправьте его с моста.Вы не должны видеть, что какой-либо ICMP-трафик идет туда-сюда от маршрутизатора к устройству. Затем установите источник и цель для зеркалирования и снова начните пинговать. Если вы все сделали правильно, вы увидите, что ICMP-пакеты от Mikrotik попадают на устройство и отвечают.
Результатом всего этого является то, что теперь у вас есть простой и крутой метод локального зеркалирования портов «на лету», который одновременно удобен и портативен.
«Портативный?» ты спрашиваешь? О да!
До того, как я перешел на RouterOS, я носил с собой небольшой Dual-Comm ( www.dual-comm.com ) зеркальный коммутатор (все еще есть, и я объясню, почему через минуту) — стоимость около 70 долларов плюс доставка. Что касается этой статьи, под этим находится более новый RB952Ui, и это маршрутизатор и , он имеет Wi-Fi, так что, по сути, вы получаете многофункциональную версию устройства Leatherman вместо устройства с одним инструментом. Вы также можете запустить обычный сеанс сниффера пакетов во время зеркалирования, если вам по какой-то причине нужно оставить там свое устройство Mikrotik.
Однако есть 2 потенциальных проблемы;
- Если вы много используете VoIP и все телефоны / устройства поддерживают PoE, вам понадобится источник питания для работы этого устройства.Даже если вы видите «PoE» на портах коммутатора, это для другого устройства Mikrotik, а НЕ для вашего телефона VoIP.
- Снова связано с питанием, Dual-Comm может питаться от USB-порта вашего ПК, а Mikrotik — нет.
Я ношу оба, потому что они оба очень маленькие. Вы не поверите, но есть места, где я работаю, но не использую роутеры Mikrotik! (я знаю, я знаю, но я человек благотворительности и страстно люблю неосведомленных и менее удачливых). Итак, если я нахожусь на сайте, на котором нет маршрутизатора Mikrotik, и мне нужно выполнить захват пакетов, я достану Mikrotik и установлю его на соответствующее устройство / сеть.Один совет по безопасности в этом сценарии: обязательно выключите DHCP Mikrotik — все может стать действительно неудобным, если вы этого не сделаете.
О, и поверьте мне, есть много вещей, которые вы можете делать с Mikrotik за чужой сетью, о чем я расскажу в следующих частях.
Потоковое
На первый взгляд, этот метод довольно прост. В разделе Tools / Packet Sniffer / Streaming установите флажок Streaming Enable и IP-адрес конечного сервера, на котором вы запускаете Wireshark.Установите флажок Filter Stream и на вкладке Filter, как минимум, выберите интерфейс и направление. Щелкните Apply , а затем Start , чтобы начать потоковую передачу. Кстати, вот совет, вы можете одновременно запустить обычный захват пакетов и поток. Для этого просто введите обычную информацию на вкладке «Общие». Оба процесса выполняются, когда вы нажимаете Start.
Когда вы попробуете это в первый раз, подключите свой ноутбук / компьютер к локальной сети и убедитесь, что у вас запущен Wireshark — это довольно просто, и, по крайней мере, вы будете знать, что это работает.Как только вы освоитесь, попробуйте запустить его через pptp-соединение с сайта на ваш офис. Когда вы наберетесь смелости и у вас будет немного времени, отправьте его в глобальную сеть и создайте несколько правил брандмауэра, которые отправят его на ваш компьютер Wireshark в офисе — кстати, именно тогда он может принять участие, а не так просто. Это все выполнимо (сделав это) — я лично предпочитаю использовать соединение MPLS или pptp, если я не могу быть на сайте. Также имейте в виду, что потоковая передача осуществляется в режиме реального времени, и все правила отображения, которые вы знаете и любите в Wireshark, применяются так же, как если бы вы были в помещении.Круто, правда? Может быть, а может и нет.
Вот предостережение….
RouterOS имеет очень умный метод удаленного захвата — а затем потоковой передачи — путем предварительного ожидания кадра с заголовком TZSP (Tazmen Sniffer Protocol) и помещения всего в пакет обновления. Это означает 2 важные вещи;
- Вместо пакета уровня 2 у вас теперь есть пакет уровня 3 и маршрутизируемый. Итак, теоретически и на практике вы можете транслировать сеанс захвата пакетов на удаленный компьютер, на котором запущен Wireshark, практически в любом месте.
- Когда смотришь на пакеты, то поначалу тебя это определенно сбивает. Вы увидите 2 набора заголовков Ethernet (один из удаленной сети и один из локальной) и, как и в пакете ICMP, вы увидите 2 набора заголовков IP, за которыми следует остальное содержимое пакета. К счастью, Wireshark может это проанализировать, поэтому в столбце «Протокол» вы все равно увидите ARP, TCP, HTTP, DHCP и т. Д. На изображении ниже вы можете увидеть, что Wireshark идентифицировал метод TZSP, а затем правильно идентифицировал пакет 1813 как TCP.После того, как часть SYN, SYN / ACK, ACK стандартного подтверждения TCP завершена, Wireshark правильно анализирует ее как сеанс HTTP.
Если вы планируете передавать потоки на внешний сервер, просто помните, что вы собираетесь использовать пропускную способность, эквивалентную тому, что вы захватываете. Таким образом, если ваш интерфейс является мостом и нет другого фильтра, вы получите ВЕСЬ трафик — включая вещи, которые обычно маршрутизируются на , а не на , такие как ARP, Multicast и DHCP, — передаваемый к вам через интернет-соединение клиента.Кстати, Tazmen использует UDP-порт 37008 , поэтому обязательно настройте правила брандмауэра / NAT соответствующим образом, если вы отправляете эту информацию за пределы предприятия.
Заключительный Мысли
Итак, теперь вы знаете всю «магию» захвата пакетов, которую может сделать Mikrotik — по крайней мере, те, о которых я знаю. Из трех я обычно просто удаленно и начинаю захват, используя настройки на вкладках «Общие» и в фильтре. Однако было несколько раз, когда мне приходилось делать остальные.И хотя я уже упоминал об этом ранее, я объясню вам здесь — все эти методы можно использовать одновременно! Зачем вы это сделали — отдельная история и, возможно, еще одна запись. Если у вас есть история, где вы это сделали, дайте мне знать.
В следующем месяце, крутые вещи, которые вы можете сделать с чуваком!
.