Микротик роутер настройка: Базовая настройка роутера mikrotik
Ручная настройка MikroTik роутера — Litl-admin.ru
Базовая настройка Wi-Fi роутера MikroTik вручную
Мои друзья прислали обзорный гайд по стартовой настройки оборудования Mikrotik (домашнего роутера). Большое им спасибо за этот качественный материал! Читаем!
Ручная настройка Mikrotik
Скачиваем Winbox
Для конфигурации и управления устройствами на базе RouterOS удобно пользоваться утилитой Winbox. Для скачивания идем на официальный сайт MikroTik в раздел download (http://www.mikrotik.com/download) и ближе к низу страницы в разделе useful tools and utilities выбираем winbox.
Сброс заводских настроек роутера
Т.к. мы настраиваем роутер вручную, заводские настройки не для нас.
Подключаемся патчкордом к роутеру, подаем на него питание, запускаем Winbox. Во вкладке Neighbors, спустя некоторое время, должен появиться наш роутер. Жмем на значение во вкладке MAC Address, оно должно появиться во вкладке Login, поле password оставляем пустым. Жмем login.
Winbox Mikrotik
При первом запуске роутера выскакивает приветственное окно с описанием заводской конфигурации. В нем же нам предлагают сбросить настройки, нажав [remove configuration]. Можем согласиться здесь. Роутер уйдет в перезагрузку.
Mikrotik сбросить настройки
Для самостоятельного сброса всех настроек необходимо пройти по вкладкам [System] > [Reset Configutaion] и, отметив пункт no default configuration, также нажать [Reset Configuration]. Как и в случае выше, роутер уйдет в перезагрузку.
Mikrotik Reset
Получаем роутер без каких-либо настроек или другими словами blank configuration.
Обновление прошивки
После сброса настроек желательно также обновить прошивку. Для этого, как и в первом пункте, на сайте MikroTik идем в раздел download (http://www.mikrotik.com/download). Для большинства устройств(перечень выделен) подходят прошивки из раздела MIPSBE. А для базовой настройки подходят прошивки из вкладки Main package (Current). Скачиваем.
Mirkotik прошивка
Скачанный файл необходимо загрузить на роутер, перетащив в окно, открывшееся после нажатия на вкладку [Files]. Далее роутер необходимо перезагрузить нажатием на [System] > [Reboot]. Прошивка обновится при перезагрузке, которая может длиться чуть дольше обычного.
Mikrotik прошивки
(в моем случае скачана прошика SMIPS, т.к. я обновляю hap lite)
После прошивки обновим загрузчик. Идем в [System] > [Routerboard]. Здесь должны быть одинаковыми поля Current Firmware и Upgrade Firmware, если не совпадают, жмем upgrade.
Версию прошивки можно посмотреть в [System] > [Packages]
Обновляем прошивку
Версии прошивок Mikrotik
Приступаем к настройке. Объединяем порты в бридж
Для тех, кто не знал, порты – слоты на борту роутера, куда мы подключаем кабель провайдера, а также свои устройства. Одна из особенностей MikroTik – каждый порт может быть настроен по-своему. В отличие от других дешевых роутеров, где первый порт чаще всего неизменно выступает в роли принимающего интернет(WAN-port) от кабеля провайдера.
Идем во вкладку [Interfaces]. Двойным нажатием выбираем интерфейс ether1.
Пусть, нашем случае, WAN-портом останется первый порт(переименуем в ether1-WAN).
Переименуем порт
Остальные мы объединим(сделаем bridge-LAN) в единую сеть, добавив в нее и Wi-Fi интерфейс. Главным портом(Master port) в нашей сети, допустим, будет четвертый порт(переименуем в ether4-Mater). Для этого выберем остальным портам 4-ый в качестве Master port. Делаем то же самое для оставшихся портов, кроме первого. При добавлении произойдет переподключение. Напротив настроенного порта появится буква S(slave) Мастер портом может быть выбран любой свободный порт.
eth5-Master
Выбрав мастер порт, мы получили свитч из всех портов, кроме первого (у hap lite четыре порта).
Mikrotik Switch
Добавим в него Wi-Fi интерфейс. Идем в раздел [Bridge], во вкладке [bridge] создаем(синий плюсик) bridge-LAN. Кроме названия оставляем всё без изменения.
bridge-LAN
Далее во вкладке [Ports] нажатием на тот же синий плюс добавляем wlan1 в наш bridge-LAN. Грубо говоря, бридж – логическое объединение нескольких интерфейсов в один. В нашем случае, свитча и беспроводного интерфейса.
Mikrotik wlan1
Аналогично добавим в наш бридж ether4-Master. Снова произойдет отключение от роутера. Не пугаемся. В итоге увидим следующее.
eth5 in bridge
Необходимые интерфейсы объединены в бридж. Устройства будут подключаться к единому логическому пространству, несмотря на разные физические среды подключения.
Задаем IP-адрес сети и MikroTik
Идем в [IP] > [Addresses].Нажатием на синий плюс добавляем диапазон адресов, допустим 192.168.4.1/24 и присваиваем его нашему bridge-LAN. Поле Network заполнится автоматически. Теперь наш роутер доступен по адресу 192.168.4.1, а любое устройство при подключении к нему может выбрать себе адрес из диапазона 192.168.4.1/24. Пока статически и не по wi-fi. Это позже.
bridge-LAN
Подключаем MikroTik к интернету. Варианты подключения. DHCP Client
Вариантов подключения к интернету множество. В качестве примера остановимся на двух наиболее распространенных:
- Динамическое получение настроек от провайдера
- Прописывание заранее полученных параметров
- MikroTik и 4g модем
Динамический вариант настраивается следующим образом. В первый порт(ether1-WAN) подключаем кабель провайдера. Далее идем в [IP] > [DHCP-client] и в качестве интерфейса указываем ether1-WAN.
mikrotik dhcp-client
Если всё окей, то можем увидеть полученный нами IP-адрес в [IP] > [Adresses]
dhc_adresses
Роутер к интернету подключен.
Mikrotik ping внешка
Подключаем MikroTIk к интернету. Static Routes
Теперь рассмотрим вариант, когда параметры для подключения выданы нам провайдером и необходимо прописать их самостоятельно. Допустим, параметры следующие:
- IP: 192.168.1.4
- Маска 255.255.255.0
- Шлюз: 192.168.1.1
- DNS: 192.168.1.1
Прописываем IP-адрес. Идем в [IP] > [Adresses]. Добавляем новый адрес 192.168.1.4. В качестве интерфейса – ether1-WAN
Mikrotik статика
Далее идем в [IP] > [Routes]. Добавляем новую запись(грубо говоря, маршрут в интернет). В поле dst.address 0.0.0.0/0 в поле gateway 192.168.1.1(наш шлюз).
Теперь в идем во вкладку [IP] > [DNS]. В поле servers прописываем 192.168.1.1(наш dns). Не забываем поставить галочку Allow Remote Request(без нее выход в интернет будет возможен только по ip-адресам).
dns
Проверяем интернет на роутере.
Mikrotik Ping
Роутер подключен к интернету. Заметим, что подключенные к нему устройства выходить в интернет пока не могут.
Подключаем MikroTIk к интернету. MikroTik, 4g, Yota
Для подключения MikroTik к интернету с помощью 4g модема, роутер должен иметь на борту usb micro-USB порт. Но во втором случаем также придется прибрести и OTG-кабель.
В нашем случаем мы пользуемся usb-модемом от компании Yota, но в целом установка других модемов принципиально не отличается. Имеет значение модель модема.
После подключения модема идем в Winbox, выбираем вкладку [Interfaces], где видим новый интерфейс lte1. Выбираем его и запускаем нажатием на синюю галочку.
Mikrotik LTE
Запустив интерфейс, идем в [IP] > [DHCP Client]. Нажатием на синий плюс добавляем нового клиента, в качестве интерфейса которого выбираем lte1.
Mikrotik lte dhcp client
Проверяем интернет на роутере. Готово.
Mikrotik hap + yota
(MikroTik hAP и 4g модем от Yota)
Настройка DHCP-сервера
Чтобы подключенные к роутеру устройства могли автоматически получать все необходимые сетевые параметры для выхода в интернет, настроим dhcp-сервер. Идем во вкладку [IP] > [DHCP Server], жмем [DHCP Setup].
DHCP setup Mikrotik
Выбираем интерфейс, на котором будет работать DHCP сервер.
Mikrotik DHCP interface
Жмем Next и выбираем пространство адресов dhcp-сервера
DHCP adress space
Снова Next. Теперь выбираем шлюз для подключаемых устройств – наш роутер.
mikrotik gateway
Next. Выбираем диапазон адресов, которые будут выдаваться подключаемым устройствам.
Mikrotik pool
Next. Выбираем dns-сервер для подключаемых устройств.
dns for dhcp server
Next. Выбираем время, на которое будут выдаваться сетевые параметры клиентам роутера.
lease time
Финальное Next и наш dhcp-сервер готов.
Mikrotik dhcp server
Теперь подключенное к роутеру устройство получит все необходимые сетевые параметры автоматически. Осталось настроить NAT, чтобы оно могло выходить в интернет.
Настройка NAT
NAT – Network Address translation – механизм трансляции сетевых адресов. Грубо говоря, NAT – то, с помощью чего много устройств со своими адресами могут выходить в интернет, маскируясь под одним адресом роутера. Тема большая. Ниже кратко, чтобы подключенные к нашему роутеру устройства могли выходить в интернет.
Идем в [IP] > [Firewall] > вкладка [NAT]. Добавляем новую запись. Где во вкладке General указываем всё как на фото. Идем во вкладку [Action]
Mikrotik Nat
Во вкладке [Action] в action указываем masquarade. Звучит:)
Mikrotik NAT
Соглашаемся с настройками, жмем [OK].
Mikrotik NAT
Настройка Wi-Fi точки доступа
Настройка Wi-Fi – большая тема. Беспроводной интерфейс имеет множетсво настроек и возможностей. Мы обойдемся минимум, который необходим для работы простого Wi-Fi-роутера.
Идем во вкладку [Wireless]. Далее [Security Profiles]. Тут новой записью мы создаем новый профиль безопасности, где в том числе создаем пароль будущей беспроводной сети. Остальные парамеры оставляем как на фото ниже.
Mikrotik профиль
Далее выбираем вкладку [Wireless]. Параметры, которые необходимо изменить, снова отмечены на фото. Отдельно стоить отметить параметры Frequency – частота одного из двендцати каналов диапазона 2.4 МГц, на которой будет работать наша точка доступа. Поищите информацию, как и зачем выбрать наименее занятый канал. Пока можете выбрать всё, как на фото. Ну, кроме нормального имени сети само собой.
Mikrotik настроить WIFi
Всё. Наконец-то наш wi-fi роутер готов к работе. Выбираем интерфейс wlan1 и запускаем его нажатием на синюю галочку. Беспроводная сеть работает. Подключаемся и проверяем доступ в интернет.
Пароль администратора
Для входа в панель управления роутером мы используем учетную запись admin без пароля. На данный момент, войти в ПУ может любой клиент нашей сети, подключившись к ней. Это нехорошо. Зададим пароль для учетки admin. Идем в [System] > [Users]. Двойным нажатием выбираем пользователя admin. В открывшемся окне жмем [password] и задаем пароль.
Mikrotik пароль администратора
Друзья! Вступайте в нашу группу Вконтакте, чтобы не пропустить новые статьи! Хотите сказать спасибо? Ставьте Like, делайте репост! Это лучшая награда для меня от вас! Так я узнаю о том, что статьи подобного рода вам интересны и пишу чаще и с большим энтузиазмом!
Также, подписывайтесь на наш канал в YouTube! Видео выкладываются весьма регулярно и будет здорово увидеть что-то одним из первых!
Быстрая настройка маршрутизатора MikroTik с нуля за 5 минут
В этой статье рассмотрим пошаговую инструкцию по настройке роутеров МикроТик с нуля для чайников
Для базовой настройки маршрутизатора с нуля нам нужно проделать ряд несложных шагов.
Нужно разобраться с MikroTik, но не определились с чего начать? В курсе «Настройка оборудования MikroTik» все по порядку. Подойдет и для начала работы с этим оборудованием, и для того, чтобы систематизировать знания. Это видеокурс из 162 уроков и 45 лабораторных работ, построен на официальной программе MTCNA. Проходить можно, когда удобно и пересматривать по необходимости – материалы курса выдаются бессрочно. Также есть 30 дней на личные консультации с автором. На пробу выдают 25 уроков бесплатно, заказать их можно на странице курса.
Подключение маршрутизатора
Первым делом подключаем маршрутизатор как показано на рисунке
Будем считать что кабель провайдера у нас подключен в 1-й порт роутера, компьютер подключаем к любому другому порту. В параметрах сетевой карты компьютера ставим «Получить IP-адрес автоматически». Обычно этот параметр стоит по умолчанию.
Далее подключаемся к MikroTik через утилиту winbox, как это сделать читаем здесь. Напомню что пользователь по умолчанию admin пароль по умолчанию пустой. При первом подключении запустится скрипт автоконфигурации,
для простоты можно использовать его нажав кнопку OK. После чего маршрутизатор будет автоматически настроен и готов к работе.
Если же мы хотим самостоятельно настроить наш роутер, то жмем кнопку “Remove Configuration”, после чего МикроТик обнулит конфигурацию и можно настраивать все параметры вручную
Настройка подключения к провайдеру
Первым делом настроим подключение к провайдеру. Если провайдер выдает нам ip адрес автоматически (DHCP), то переходим в меню IP-DHCP Client b нажимаем кнопку добавить. Заполняем поля как показано на рисунке
Interface-выбираем интерфейс к которому подключен провайдер, в нашем случае это первый порт.
Add Default Route – ставим yes, если это подключение будет использоваться также в качестве маршрута по умолчанию.
Если же нужно настроить подключение к провайдеру по статическому ip адресу, то переходим в меню IP-Adresses Жмем на «+». В открывшемся окне заполняем параметры
Address — ip который нам выделил провайдер, обратите внимание, что адрес и маска подсети прописывается в одной строчке через слэш, например если провайдер выделил ip 10.10.10.10 маска подсети 255.255.255.0, то запись будет 10.10.10.10/24 или так же можно прописать 10.10.10.10/255.255.255.0
Interface— интерфейс подключения к провайдеру.
Подключение по PPPoE смотрите здесь
Подключение по PPTP смотрите здесь
Объеденение портов
Изначально на МикроТике все порты независимы, и изолированы друг от друга, нам же нужно объединить все остальные порты, кроме первого в один свич. Для этого объединим их в бридж, переходим в меню Bridge, вкладка Bridges и нажимаем добавить, вписываем имя интерфейса
И нажимаем ОК
Далее переходим на вкладку Ports и добавляем в созданный бридж оставшиеся порты по одному
Настройка локальной сети
Следующим шагом настроим нашу локальную сеть. Переходим в меню IP-Addresses и добавляем ip адрес для нашего локального интерфейса bridge.
В нашем примере сеть будет 192.168.0.1 c маской 255.255.255.0. В качестве интерфейса выбираем созданный выше бридж.
Настройка DHCP сервера
Что бы клиенты могли получать настройки сети автоматически нужно настроить DHCP сервер на MikroTik, для этого переходим в меню IP-DHCP Server b нажимаем кнопку DHCP Setup
После чего следуя указаниям мастера настраиваем необходимые параметры, более подробно по настройки сервера смотрите здесь
Настройка NAT
Для того что бы клиенты МикроТик могли выходить в интернет, нужно настроить трансляцию адресов или NAT. Для этого идем в меню IP-firewall. Вкладка NAT и добавляем правило.
Chain-srcnat
Out.Interface – порт подключения к провайдеру
Переходим на вкладку Action и выбираем masquerade
После чего жмем ОК. Более подробно по настройки NAT смотрите здесь
Настройка безопасности
После выше проделанных шагов, наш маршрутизатор готов к работе, и уже можно пользоваться интернетом, но нужно подумать о безопасности, что бы злоумышленники не смогли получить доступ к вашему МикроТику.
Первым делом установим пароль на маршрутизатор. Идем в меню System-Users? D открывшемся списке кликаем два раза по пользователю admin и нажимаем кнопку Password
В открывшемся окошке устанавливаем пароль, думаю не нужно напоминать, что пароль должен быть достаточно сложным
Следующим шагом в настройке безопасности будет настройка firewall, как это сделать читаем здесь.
На этом настройка маршрутизатора МикроТик завершена.
Вывод
Хотя роутеры MikroTik имеют очень много настроек, что пугает неопытных пользователей. На самом деле, как мы видим, что бы настроить маршрутизатор, для домашнего пользования нет ничего сложного.
Обучающий курс по настройке MikroTik
Нужно разобраться с MikroTik, но не определились с чего начать? В курсе «Настройка оборудования MikroTik» все по порядку. Подойдет и для начала работы с этим оборудованием, и для того, чтобы систематизировать знания. Это видеокурс из 162 уроков и 45 лабораторных работ, построен на официальной программе MTCNA. Проходить можно, когда удобно и пересматривать по необходимости – материалы курса выдаются бессрочно. Также есть 30 дней на личные консультации с автором. На пробу выдают 25 уроков бесплатно, заказать их можно на странице курса.
Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.
Настройка MikroTik и RouterOS с нуля
Про настройку Микротика и RoutOS написано огромное количество статей. Информации в них достаточно для настройки устройства для дома. Другое дело. когда речь идет о сети офиса. Мы решили собрать серию статей, в которых опишем необходимый функционал и методику его настройки.
Здравствуйте!
В интернете можно найти много статей по настройке разных конфигураций устройств MikroTik на RouterOS, но мало кто упоминает о некоторых подводных камнях, которые могут случаться. В этой серии статей я хотел бы описать настройку роутера MikroTik с нуля с применением некоторых фич, и с учетом всех сюрпризов, с которыми можно столкнуться в разных сценариях использования.
Содержание:
-
Начало работы. Установка доп. пакетов - Первичная настройка
- Настройка локальной сети
- Настройка выхода в интернет
- Настройка провайдеров
- Настройка маркировки пакетов
- Настройка Firewall и безопасности
Для начала стоит определиться с конфигурацией сети и задачами:
Сеть состоит из одного управляемого POE коммутатора, нескольких телефонов и компьютеров, интернет приходит от двух операторов, один из них за биллингом, подсеть биллинга, пару облачных решений, два контроллера домена, один находится в облаке, поэтому сразу видим несколько задач:
- Научить Mikrotik работать с двумя операторами одновременно;
- Сделать доступ к биллингу и подсети биллинга;
- Сделать безопасную локальную сеть;
- При работе двух операторов сделать так, чтобы не отвалились некоторые сервисы;
- Подключить и настроить маршрутизацию между облачными сетями и наземными.
Начало работы. Установка доп. пакетов
Настройку начнем с самого начала, необходимо скачать утилиту Winbox с оф. сайта изготовителя, далее подключаем наше устройство к компьютеру и к любому порту роутера, в первый (или любой, на ваше усмотрение) порт втыкаем интернет.
Перед настройкой необходимо понять нужно ли нам еще что-то кроме того функционала, который есть, к примеру NTP сервер, или DUDE сервер, если не нужен, то пропускам этот пункт и сразу переходим к настройке.
Те, кому нужен дополнительный функционал заходим в WinBox и смотрим название нашего устройства, в нашем случае это RB750Gr3.
Заходим на
официальный сайт, переходим в раздел »
Software», скачиваем Netinstall.
На сайте ищем нужное нам устройство и скачиваем к нему Extra packages.
Распаковываем Netinstall, распаковываем в другую папку Extra packages, ставим такие настройки сетевой карты: ip адрес – 10.1.1.2, маска 255.255.255.0 (Эти данные по умолчанию рекомендуются производителем).
Настройка роутера Mikrotik для различных задач в SOHO / Хабр
Данная статья является калькой с написанной мной собственноручно внутренней инструкции, по которой мы настраиваем новые маршрутизаторы в фирме. Пункты будут расположены в более-менее хронологическом порядке, но каждый из них является самостоятельной мини-инструкцией к одному из используемых в нашей компании сервисов.
1. Включение, начальная настройка
Первым делом надо подключиться к устройству. По умолчанию, конфигурация на маршрутизаторе настроена на подсеть 192.168.88.0/24
. Открываем в браузере адрес, скачиваем и сохраняем на компьютере, Winbox.exe
.
Запускаем Winbox
, Напротив Connect to
нажимаем кнопку "…"
, и спустя несколько секунд должен появится в списке ваш маршрутизатор.
Два раза щелкаем мышкой по МАС-адресу и подключаемся с именем admin
без пароля.
При первом входе, система предупредит что был запущен автоматический скрипт настройки маршрутизатора. Нажимаем кнопку Remove Configuration
:
После этого дожидаемся, пока консоль Winbox
закроется, и спустя несколько секунд опять запускаем Winbox
(от туда куда вы её сохранили) и опять подключаемся по MAC-адресу.
Подключившись, выбираем слева Interfaces
и удаляем лишние интерфейсы — VLAN, Bridge
. Заходим в настройки каждого интерфейса (на роутере компании их всего 5) и отключем Master-port
и proxy-arp
, приводя настройки к следующему виду:
2. Выдача IP
Заходим в IP — Addresses
. Выдаем нужным интерфейсам нужные адреса. В случае использования роутера в сети Эскорт, к нему подключаются 2 интернет-провайдера и внутренняя сеть. Вторая внутренняя сеть формируется через VPN. Указываем каждому интерфейсу нужный IP.
[admin@Mikrotik] /ip address> print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK INTERFACE
0 I ;;; , !!!
10.0.33.1/24 10.0.33.0 ether4-hosting-network
1 22.22.22.17/29 22.22.22.16 ether2-gateway2
2 11.11.11.1/28 11.11.11.0 ether1-gateway1
3 192.168.3.101/22 192.168.0.0 ether3-internal-network
4 I 192.168.4.2/22 192.168.4.0 ether4-hosting-network
3. Маршрутизация
3.1. Создание ведущего и ведомого маршрутов
Заходим в IP — Routes
. По умолчанию, вместо хостов для маршрутизации используются интерфейсы. Рекомендуется удалить все статические маршруты, а динамические после смены статики изменятся сами. Внимание: чтобы все безболезненно удалять, необходимо подключаться к роутеру по локальной сети, без использования маршрутов, иначе при удалении основного связь прервется. Далее создаем новые маршруты: в поле Dst.Address
указываем 0.0.0.0/0, в поле Gateway прописываем IP основного шлюза. Не забываем про дистанцию — у какого маршрута она короче, тот будет основным. В целом настройки маршрута должны выглядеть вот так:
Для внешних интерфейсов в качестве шлюзов указываем 11.11.11.11 с дистанцией 4 и 22.22.22.22 с дистанцией 3.
После добавления трех маршрутов (2 для внешних каналов и 1 для внутренней сети) роутер можно включать в сеть и подключаться по IP 192.168.3.101, используя внутренний IP.
3.2. Создание табличной маршрутизации
Созданная выше конфигурация позволяет создать 2 внешних интерфейса, из которых в единицу времени может работать только один — то есть постоянно работает тот, у которого дистанция меньше, а у которого она больше — будет работать лишь тогда, когда из первого интерфейса выдернут кабель. Нас это по понятным причинам не устраивает — нам нужна одновременная работа двух шлюзов. Для этого нужно научить роутер возвращать трафик на тот интерфейс, с которого пришел запрос. Делается это созданием двух дополнительных маршрутов и настройкой файерволла. Для начала создадим необходимые маршруты. Созданные ранее маршруты тоже пригодятся, но их можно склонировать, т.к. изменяться они будут незначительно. Для этого щелкаем на созданный ранее маршрут, жмем кнопку Copy
и добавляем Routing Mark
— маркируем маршруты именем интерфейса соответственно. Я назвал их to_ISP1
и to_ISP2
Далее заходим в
IP — Firewall — Mangle
Создаем правила:
Вкладка General:
Chain: prerouting
In-interface: указываем один из входящих интерфейсов
Connection Mark: no-mark
Далее, на вкладке Action:
Action: mark connection
New Connection Mark: ISP1_conn
Passthrough: убираем галку.
Картинки для закрепления материала
Эти действия нужно повторить дважды — для 2 внешних интерфейсов (марки ISP1_conn
и ISP2_conn
соответственно).
Далее нужно создать еще 2 правила, которые будут направлять исходящий трафик с пометками ISP1_conn
и ISP2_conn
на помеченные выше маршруты. Создаем правило:
General:
Chain: output
Connection Mark: ISP1_conn
Action: mark routing
New Routing Mark: to_ISP1
Passthrough: убираем галку.
4. Балансировка маршрутов в режиме Master-Slave
Итак, мы добились наличия двух одновременно работающих шлюзов, один из которых имеет высший приоритет, нежели второй. Проблема данной настройки в том, что переключение между шлюзами будет осуществляться исключительно при падении физического линка на интерфейсе устройства. Но бывают и другие ситуации: кончились деньги на счете, проблемы на стороне провайдера и прочее — ситуации, при которых даже основной шлюз доступен, но дальше него трафик не идет и штатно в этом случае переключение основного шлюза осуществлено не будет. Для автопереключения необходимо использовать функцию Netwatch
, которая следит за наличием трафика на интерфейсах и переключает трафик в зависимости от правил. Настройка данного функционала состоит из 3 этапов.
4.1. Создаем скрипты переключения
Заходим в System — Scripts
. Создаем 4 скрипта с именами ISP1-DOWN, ISP1-UP, ISP2-DOWN, ISP2-UP
. Всем скриптам выдаем максимальные права.
Содержимое скриптовISP1-DOWN:
/ip route disable [find dst-address=0.0.0.0/0 and gateway=11.11.11.11 and distance >=4];
ISP1-UP:
/ip route enable [find dst-address=0.0.0.0/0 and gateway=11.11.11.11 and distance >= 4];
ISP2-DOWN:
/ip route disable [find dst-address=0.0.0.0/0 and gateway=22.22.22.22 and distance >=3];
ISP2-UP:
/ip route enable [find dst-address=0.0.0.0/0 and gateway=22.22.22.22 and distance >=3];
4.2. Создаем правила Netwatch
Заходим в Tools — Netwatch
Создаем новое правило:
host: 8.8.4.4
Interval: 00:00:10
timeout: 1000ms
Up: ISP2-UP
Down: ISP2-DOWN
и второе правило:
host: 8.8.8.8
Interval: 00:00:10
timeout: 1000ms
Up: ISP1-UP
Down: ISP1-DOWN
Картинки
4.3. Создаем постоянные независимые маршруты
До каждого из хостов (8.8.8.8 и 8.8.4.4) прописываем уникальный маршрут с пониженной дистанцией через разные шлюзы (11.11.11.11 и 22.22.22.22).
Проверить работу netwatch
можно, разорвав логический (не физический) линк на одном из внешних интерфейсов. В моей фирме для этого использовался управляемый коммутатор, на котором тушился несмежный с роутером порт. Таким образом, пинг до хоста 8.8.8.8 обрывался, но физический линк был активен. После прекращения пинга Netwatch тушил необходимые маршруты и внутренняя сеть получала доступ в интернет через резервный интерфейс.
5. Создаем NAT
Заходим в IP — Firewall
, переходим на вкладку NAT
Создаем 2 правила для каждого из внешних интерфейсов:
Chain: srcnat
Out-Interface: указываем нужный внешний интерфейс
Action: masquerade
Картинка
Проверить NAT можно, пустив ping на один из сайтов в интернете с компьютера, подключенного к внутреннему интерфейсу роутера. Если отключать одно из двух правил NAT на роутере, можно увидеть, как меняется трассировка до выбранного хоста в интернете.
6. Создаем VPN-сервер
6.1. Создаем нужный нам пул IP-адресов.
В сети фирмы было решено использовать подсеть 192.168.168.0/22, с адресацией клиентов, начинающейся со 192.168.170.2 и адресом шлюза (самого роутера) 192.168.170.1
Заходим в IP — Pool
и создаем новый пул vpn-pool
с диапазоном 192.168.170.2-192.168.171.254:
6.2. Включаем PPTP-сервер
Заходим в пункт меню PPP
, далее на вкладке Interfaces
находим кнопку PPTP Server
. Ставим галки Enabled, mschap2
и выбираем Default Profile: default-encoding
.
6.3. Настраиваем шифрование
Переходим на вкладку PPP Profile
. На вкладке General
указываем Local Address: 192.168.170.1
, Remote Address: vpn-pool
. На вкладке Protocols
на опции Use Encryption
ставим вариант ответа Yes
.
6.4. Создаем аккаунты
Переходим на вкладку Secrets
. Создаем пользователя:
Name: указываем логин
Password: Указываем пароль
Service: any
Profile: default-encryption
Local Address: 192.168.170.1
Remote Address: указываем, если необходимо, адрес из диапазона, созданного в vpn-pool. Если не указать адрес, то при подключении VPN будет выдаваться первый свободный.
Картинка
6.5. Пакетное создание учетных записей
Для пакетного создания секретов (учетных записецй) VPN можно использовать скрипт.
Необходимо зайти в System — Scripts
, нажать «создать новый» и вставить туда нужный нам текст скрипта.
Текст скрипта
:global content [/file get [/file find name=vpnusers.txt] contents] ;
:global contentLen [ :len $content ] ;
:global lineEnd 0;
:global line "";
:global lastEnd 0;
:do {
:set lineEnd [:find $content "\r\n" $lastEnd ] ;
:set line [:pick $content $lastEnd $lineEnd] ;
:set lastEnd ( $lineEnd + 2 ) ;
:local tmpArray [:toarray $line] ;
:if ( [:pick $tmpArray 0] != "" ) do={
:put $tmpArray;
/ppp secret add name=[:pick $tmpArray 0] password=[:pick $tmpArray 1] \
local-address=[:pick $tmpArray 2] remote-address=[:pick $tmpArray 3] \
profile=[:pick $tmpArray 4] service=[:pick $tmpArray 5];
}
} while ($lineEnd < $contentLen)
После создания скрипта достаточно создать файл, в котором придерживаться следующего синтаксиса:
логин,пароль,IP_шлюза,IP_клиента,тип_шифрования,сервис
Готовый файл должен выглядеть примерно так
Прошу обратить внимание, что последняя строка пустая. Если ее не оставить пустой, то последняя заполненная строка не будет обработана.
Далее нужно открыть пункт меню Files
. Cозданный файл необходимо перетащить мышью в полученное окно. Файл обязан называться vpnusers.txt
, иначе скрипт не сработает.
После этих приготовлений можно заходить в System — Scripts
, выделять мышью нужный нам скрипт и нажимать Run Script
:
Как результат работы скрипта, в PPP — Secrets
можно видеть добавившиеся учетные записи
7. Настройка SSTP
Для работы SSTP требуются сертификаты. Я использовал самоподписанные сертификаты, выданные оснасткой OpenVPN. Для получения сертификатов не нужно ставить все компоненты, достаточно только указанные на скриншотах
Далее, запускаем cmd от имени администратора и переходим в каталог c:\Program Files\OpenVPN\easy-rsa\
(либо Program Files (x86)
, если вы поставили 32-битную версию OpenVPN на 64-битную Windows). Открываем для редактирования файл vars.bat
. Если его нет, то переименовываем vars.bat.sample
в vars.bat
и приводим его к виду:
vars.bat
@echo off
rem Edit this variable to point to
rem the openssl.cnf file included
rem with easy-rsa.
set HOME=%ProgramFiles%\OpenVPN\easy-rsa
set KEY_CONFIG=openssl-1.0.0.cnf
rem Edit this variable to point to
rem your soon-to-be-created key
rem directory.
rem
rem WARNING: clean-all will do
rem a rm -rf on this directory
rem so make sure you define
rem it correctly!
set KEY_DIR=keys
rem Increase this to 2048 if you
rem are paranoid. This will slow
rem down TLS negotiation performance
rem as well as the one-time DH parms
rem generation process.
set KEY_SIZE=1024
rem These are the default values for fields
rem which will be placed in the certificate.
rem Change these to reflect your site.
rem Don't leave any of these parms blank.
set KEY_COUNTRY=RU
set KEY_PROVINCE=Nsk
set KEY_CITY=Novosibirsk
set KEY_ORG=Escort
set [email protected]
set KEY_CN=87.245.176.183
set KEY_NAME=temp_nie
set KEY_OU=changeme
set PKCS11_MODULE_PATH=changeme
set PKCS11_PIN=1234
Далее я чисто для удобства подредактировал файл build-ca.bat
:
build-ca.bat
@echo off
cd %HOME%
rem build a cert authority valid for ten years, starting now
"c:\Program Files\OpenVPN\bin\openssl.exe" req -days 3650 -nodes -new -x509 -keyout %KEY_DIR%\%1.key -out %KEY_DIR%\%1.crt -config %KEY_CONFIG%
После этого запускаем в такой последовательности:
c:\Program Files\OpenVPN\easy-rsa>vars.bat
c:\Program Files\OpenVPN\easy-rsa>clean-all.bat
c:\Program Files\OpenVPN\easy-rsa>build-ca.bat newuser
На вопросы последней команды в можно просто нажимать enter (будут использоваться введенные в файл vars.bat
данные), а можно вводить новые данные. В общем, как удобно.
Выполнение команд
Результат
В Winbox
роутера щелкаем кнопку Files
и получившиеся файлы из папки копируем туда методом Drag’n’Drop.
Далее в Winbox
переходим в System — Certificates
. Жмем Import
, выбираем сначала один файл, затем второй:
Заходим в PPP — Profile
, открываем созданный ранее default-encryption
, жмем Copy
и на вкладке Protocol
меняем значение поля Use Encryption
с Yes
на Required
:
В качестве названия профиля указываем SSTPprofile
.
Затем, в System — PPP
переходим на вкладку Interface
и нажимаем там кнопку SSTP-Server
. Ставим галку Enabled
, выбираем SSTPProfile
в качестве Default Profile
и указываем необходимый нам сертификат. В качестве метода аутентификации выбираем только mschap2
.
Поскольку при создании секретов (логинов/паролей) для PPP
мы изначально тип сервиса указывали Any
, то сейчас нам не нужно дополнительно ничего создавать. Подключение готово.
Ввиду того, что данная статья о настройке роутера, а не клиента, указывать способы импорта этого сертификата в различные ОС и настройку клиентского SSTP-соединения рассматривать в данной статье я не буду. Упомяну лишь, что полученный сертификат необходимо добавить в доверенные корневые центры сертификации.
8. Настройка ключевых правил файерволла
Заходим в IP — Firewall — Filter Rules
8.1. Доступ до роутера по Winbox
из внутренней сети
Создаем правило:
Chain: Input
Protocol: tcp
Dst.Port: 8291
In. Interface: ether3-internal
Action: accept
Картинка
8.2. Пинг наружу из внутренней сети
Создаем 2 правила:
Chain: forward
Protocol: icmp
Out. Interface: ether1-gateway1 и ether2-gateway2 (либо можно не указывать интерфейсы, т.к. вовнутрь пинг все равно будет закрыт натом. Тогда нужно одно правило, а не 2)
Action: accept
Картинка
8.3. Пинг внутренней сети из сети VPN
Chain: forward
Protocol: icmp
Src.Address: 192.168.170.0/24
Dst.Address: 192.168.0.0/22
Action: accept
Картинка
8.4. Доступ по протоколу RDP из сети VPN во внутреннюю сеть
Chain: forward
Protocol: tcp
Src.Address: 192.168.170.0/24
Dst.Address: 192.168.0.0/22
Dst.Port: 3389
Action: accept
Картинка
9. Публикация порта 80 машины 192.168.2.82 наружу
Переходим в IP — Firewall — NAT
Chain: dstnat
Protocol: tcp
Dst.Port: 80
In.Interface: ether1-gateway1 (для ether2-gateway2 надо создать точно такое же правило)
Action: netmap
To Addresses: 192.168.2.82
To Ports: 80
Картинка
10. Публикация порта 3389 машины 192.168.2.82 в сеть VPN
Данное правило необходимо для создания доступа без использования маршрутизации на клиентской машине, т.к. машина 2.82 будет иметь дополнительный IP-адрес:порт
из того же сегмента подсети, что и VPN-клиент.
Переходим в IP — Firewall — NAT
Chain: dstnat
Dst.Address: 192.168.170.82
Protocol: tcp
Dst.Port: 3389
Action: dst-nat
To Addresses: 192.168.2.82
To Ports: 3389
Картинка
пошаговая инструкция — блог DEPS
В данной статье мы рассмотрим два способа настройки роутера MikroTik. Для примера я буду использовать модель RB951Ui-2HnD. Эта модель, как и все роутеры MikroTik работаю под управлением операционной системой RouterOS, поэтому по данному примеру можно настроить любой роутер данного производителя.
Первый вариант. Самый быстрый и самый простой
Данный вариант настройки поможет быстро настроить роутер пользователям, которые впервые столкнулись с настройкой роутера и не хотят тратить времени на изучения принципов работы устройства.
1. Подключение роутера к сети
1.1. Подключение по Ethernet кабелю
- Распаковываем устройство MikroTik RB951Ui-2HnD (используем данный роутер для примера настройки)
Другие роутеры MikroTik настриваются по этой же схеме - Подключаем блок питания к роутеру и в сеть 220Вольт
Загрузка устройства займет несколько минут - Подключаем кабель Ethernet, одним концом в порт №2 в роутере, а другим концом к компьютеру из которого будет производиться настройка
1.2. Подключение по сети Wi-Fi
При отсутствии кабеля Ethernet или для упрощения задачи настройки Вы может подключиться к роутеру по сети Wi-Fi. При подключении по беспроводной сети, ниже указанные настройки можно производить из любого смартфона или планшета.
- Просканировав Wi-Fi сеть Вы обнаружите сеть с названием MikroTik-123456
(где цифры 123456 – это последние 6 символов MAC-адреса вашего роутера, Мак адрес указан на наклейке с моделью и серийным номером устройства).
По умолчанию данная сеть не защищена паролем и Вы можете к ней быстро подключится.
2. Настройка сетевой карты компьютера
Важно: в независимости от типа подключения по Wi-Fi или кабелю Ethernet Вы должны удостовериться, что сетевое интерфейс на вашем компьютере настроен нужным образом (принимать IP адрес автоматически) Пуск – Панель управления – Центр управления сетями и общим доступом – Изменение параметров адаптера:
И так роутер загрузился, и мы к нему подключились.
Важно: если Ваш роутер не выдает Wi-Fi сети как описано выше (MikroTik-123456) или при подключении к этой сети запрашивается пароль, то обьязательно нужно выполнить сброс настроек до заводских.
3. Сброс настроек роутера до заводских
- Зажмите и удерживайте кнопку Reset или RES
- Включите питание
- Дождитесь когда замигает индикатора ACT (примерно 5 секунд)
- После этого отпускаем кнопку Reset
- Все заводские настройки установлены
4. Вход на web-интерфей роутера
Для настройки я бы рекомендовал использовать браузер Chrome, так как все остальные браузеры вовремя настройки могут вызвать ошибки на странице и настройка будет осуществлена некорректно.
- Открываем браузер
- В адресной строке вводим IP адрес роутера 192.168.88.1 (адрес роутера по умолчанию)
- Нажимаем клавишу Enter
Важно: если после ввода IP адрес роутера 192.168.88.1 Вы не попадаете на web-интерфейс или попадаете на web-интерфейс роутера где требуется ввести пароль, то повторите процедуру сброса настроек до заводских.
Попадаем на web-интерфейс устройства как показано ниже, значит Вы все выполнили правильно.
5. Выбор режима работы (Home AP)
В правом верхнем углу в выпадающем меню Quick Set выбираем из предустановленных режимов работы: Home AP
6. Настройка Wi-Fi
- Название Wi-Fi сети: My_home (выбрано в качестве примера, здесь Вы можете вести название вашей беспроводной сети латинским буквами)
- Выбираем частоту, на которой будет работать ваша точка доступа, если Вы не знаете какую частоту выбрать, то оставляйте значение auto
- Устанавливаем стандарт вещания: 2GHz-B/G/N или 2GHz-G/N
- Устанавливаем пароль для подключения к Вашей беспроводной сети: qwerty12345 (если пароль не нужен оставляем поле не активным)
7. Настройка WAN порта для подключения к интернет провайдеру
Выбираем тип подключения к провайдеру (эта информация прописана в договоре с вашим интернет провайдером):
- Динамический (Automatic)
- Статический адрес (Static)
- PPPoE настройки.
7.1 Автоматическое получения адреса (Automatic)
Если у вас тип подключения динамический выбираем меню Automatic, и переходим к пункту №4 настройка локальной сети.
7.2 Статически назначение адреса (Static)
Заполняем все поля согласно данным прописанными в договоре с интернет провайдером:
(параметры сети выбраны мною лишь в качестве примера, ваши параметры будут отличаться)
- IP Address: 10.10.10.10
- Netmask: 255.254.0.0
- Gateway: 10.10.10.1
- DNS Server: 8.8.8.8 (в случае если интернет провайдер не предоставляет DNS Server, можно прописать публичный DNS Server)
- Firewall Router: включить (будут включены базовые настройки Firewall, что позволяет защитить вашу сеть)
7.3 Подключение по PPPoE
Заполняем все поля согласно данным прописанными в договоре с интернет провайдером:
(параметры сети выбраны мною лишь в качестве примера, ваши параметры будут отличаться)
- PPPoE User: my_admin
- PPPoE Password: qwerty123
- Firewall Router: включить (будут включены базовые настройки Firewall, что позволяет защитить вашу сеть)
8. Настройка локальной сети
- IP Address: 192.168.88.1 (это адрес вашего роутера, можете изменить по желанию, или оставить предложенный по умолчанию)
- Netmask: 255.255.255.0
- DHCP: включить
- DHCP Server Range: 192.168.88.10 – 192.168.88.100 (количество адресов, которые будут доступны в вашей локальной сети)
- NAT: включить
- UPnP: включить
-
9. Установка пароля администратора для роутера
Важно: не оставляйте данное поле пустым, а при вводе используйте буквы разных регистров, цифры спецсимволы, это не позволит злоумышленнику угадать ваш пароль методом подбора.
- Password: (ваш пароль)
- Confirm Password: (ваш пароль)
Еще раз проверяем все введенные данные и нажимаем кнопку Apply Configuration, после нажатии все настройки будут сохранены и роутер перегрузиться.
10. Обновление прошивки роутера MikroTik
Подключаем к роутеру кабель Ethernet который приходит от вашего интернет провайдера в порт №1 и получаем доступ в интернет.
Важно: после перезагрузки войдите еще раз на web-интерфейс устройства и нажмите кнопку Check For Updates.
Роутер самостоятельно проверит наличии обновлений и для обновления нажмите кнопку Download&Install. Через несколько минут (зависит от скорости соединения с интернетом) роутер установит новую прошивку, перезагрузиться и будет готов к работе.
Важно: версия прошивки вашего маршрутизатора должна быть всегда актуальной, это способствует безопасной и стабильной работы роутера.
Вариант №2. Настройка роутера вручную
Этим вариантном настройки могут воспользоваться пользователи, которые имеют базовые знания в области сетей и сетевого оборудования.
1. Скачиваем программу Winbox
Для начала, нам понадобиться программа Winbox, эту программу нужно выкачивать только с официально сайта, и желательно пользоваться самой последней версией.
Заходим на сайт mikrotik.com, раздел Software:
Выбираем и скачиваем Winbox:
2. Включение роутера и запуск Winbox
- Подключаем роутер кабелем Ethernet порт №2
- Включаем питание
- Запускаем Winbox
- Переходим во вкладку Neighbors, выбираем свой роутер,
- Нажимаем кнопку Connect (поле Login: admin, а поле Password: должно быть пуст):
Важно: запускать Winbox обязательно от имени администратора.
3. Первый запуск Winbox (Default Configuration)
При первом запуске появляется уведомление о предустановленной конфигурации устройства, так как мы будем настраивать все вручную выбираем кнопку Remove Configuration:
В случае, когда уведомление не появилось или, машинально, нажали кнопку OK. Выбираем меню System — Reset Configuration, ставим галочки на против пунктов No Default Configuration и Do Not Backup и нажимаем кнопку Reset Configuration, ждем перегрузки.
4. Установка пароля администратора для роутера
Перед началом настройки зададим пароль администратора нашего роутера:
- System — Password
- Поле текущего пароля оставляем пустым
- Пишем свой пароль
- Подтверждаем нажимаем кнопку Change.
5. Создание bridge (бридж)
В роутере MikroTik после сброса всех настроек порты Ethernet работают независимо друга, а также и от беспроводного модуля, для того что бы не настраивать каждый порт отдельно мы соединим их в одну группу: Bridge – и во вкладке Bridge нажимаем
плюс, даем имя бриджу (я использую название LAN) и нажимаем OK:
Переходим во вкладку Ports нажимаем плюс и добавляем порты в бридж LAN, нажимаем ОК. К сожалению, нет возможность добавить все порты в бридж одновременно, поэтому эту процедуру нужно повторить для каждого порта отдельно.
Важно: ether1 в бридж LAN не добавляем так как он будет использоваться в роли WAN порта, для подключения к интернет провайдеру (не обязательно использовать ether1, Вы можете использовать любой другой порт).
Важно: Wi-Fi данного роутера отображается как wlan1 (не путать с WAN портом) и его тоже нужно добавить в наш бридж LAN.
6. Настройка WAN порта для подключения к интернет провайдеру
Выбираем тип подключения к провайдеру (эта информация прописана в договоре с вашим интернет провайдером):
- Динамический (Automatic)
- Статический адрес (Static)
- PPPoE настройки.
6.1. Автоматическое получения адреса (Automatic)
- Переходим: IP – DHCP Client (вкладка DHCP Client)
- Нажимаем плюс вкладка DHCP
- Выбираем интерфейс ether1
- Нажимаем ОК.
6.2. Статически назначение адреса (Static)
- Переходим: IP – Addresses
- Нажимаем плюс и прописываем IP адрес и маску сети, которую вам предоставил интернет провайдер,
- Выбираем интерфейс ether1
- Нажимаем ОК.
- Прописываем Gateway: IP – Routes (вкладка Routes)
- Нажимаем плюс и заполняем поле Gateway
- Нажимаем ОК
- В завершении добавляем DNS сервер
- IP – DNS заполняем поле Servers
- Нажимаем ОК
6.3. Подключение по PPPoE
Настройка будет состоять из двух частей:
- Первая часть: нужно выполнить все настройки как при автоматическом получения адреса
- Вторая часть: создания соединения PPPoE:
- Нажимаем PPP во вкладке Interface
- Нажимаем плюс, выбираем PPPoE Client
- Во вкладке General называем соединение и выбираем интерфейс ether1
- Во вкладке Dial Out заполняем поля User и Password
- Нажимаем ОК
7. Настройка локальной сети
7.1. Настройка адреса устройства и адреса локальной сети
- IP – Addresses
- Нажимаем плюс и задаем параметры: IP адрес интерфейса (Addresses) и IP адрес локальной сети.
Для примера будут использоваться следующие параметры: IP адрес интерфейса, 192.168.5.1/255.255.255.0 (через слеш указывается маска вашей сети, другими словами общее количество компьютеров сети) - В меню Interface — выбираеем созданий нами бридж LAN.
- IP адрес локальной сети (Network): 192.168.5.0
Важно: Если не указать маску сети, то по умолчанию будет применена следующая маска 255.0.0.0, что в дальнейшем может привести к некорректной работе роутера.
7.2. Настройка DHCP сервера
- Устанавливаем диапазон IP адресов: IP – Pool
- Во вкладке Poll нажимаем плюс и создаем свой диапазон адресов.
Для примера я буду использовать следующий диапазон 192.168.5.10-192.168.5.50, - Нажимаем ОК.
Важно: При указании диапазона IP адресов нужно полностью указывать первый и последний IP адрес.
- Меню IP – DHCP Server
- Переходим во вкладку Networks и нажимаем плюс
- Пишем IP адрес локальной сети (192.168.5.0)
- Gateway – IP адрес нашего роутера (192.168.5.1)
- Маску локальной сети (255.255.255.0)
- Нажимаем ОК
- Далее переходим во вкладку DHCP
- Нажимаем плюс и настраиваем параметры выдачи IP адресов
- Задаем название сервера Name
- Выбираем куда отдавать IP адреса,
в нашем случаем это бридж LAN. - Время жизни IP адрес — Lease Time
(этот параметр определяет время аренды IP адреса устройствам в локальной сети: телефон, планшет, компьютер, телевизионная приставка или любое другое сетевое устройство подключенное к этому роутеру. Для домашней сети, в которой устройства будут находиться постоянно, можно установить долгий срок жизни до 24:00:00 это одни сутки). - Выбираем диапазона адресов который был создан ранее.
- Нажимаем ОК, тем самым завершая создание DHCP сервера.
7.3. Настройка DNS сервера
Важно: в случае статического подключения к интернету провайдеру, DNS сервер уже настроен и это этап можно пропустить.
Для корректного отображения страниц в интернет браузере, нужно настроить такой параметр как DNS. IP – DNS, если у вас нет информации о DNS сервере вашего провайдера, прописываем в строке Servers IP адрес нашего роутера 192.168.5.1, а вторим можно указать публичный DNS например 8.8.8.8, и нажимаем ОК.
7.4. Настройка NAT
Для того что бы все устройства в локальной сети попали в интернет сеть, нужно создать правила для NAT, переходим IP – Firewall и во вкладке NAT нажимаем плюс и создаем следующее правило:
- Во вкладке General выбираем цепочку событий (Chain) srcnat и исходящий WAN интерфейс (Out. Interface)
в нашем случае это порт ether1. - Переходим во вкладку действий (Action) и применяем masquerade,
- Нажимаем ОК.
Если все шаги были выполнены правильно, то все оборудование в вашей локальной сети должны попасть в сеть интернет.
8. Настройка Wi-Fi точки доступа
Переходим в меню Wireless, предустановленные настройки параметров беспроводной сети уже есть, их нудно слегка подправить и включить саму беспроводную сеть.
- В первую очередь установим пароль на доступ к беспроводной сети,
если пароль устанавливаться не будет этот шаг можно пропустить. - Переходим во вкладку Security Profiles,
кликаем два раза на уже существующий профиль и во вкладке General делаем следующие настройки:- Можно поменять имя профиля или оставить имя default:
- Меню Mode выбираем dynamic keys
Authentication Types: WPA, WPA2 - Unicast Ciphers: aes ccm
- Group Ciphers: aes ccm
- WPA Pre-Shared Key: пароль для доступу ка беспроводной сети
- WPA2 Pre-Shared Key: пароль для доступу ка беспроводной сети
- Важно: для стабильной работы два последних пароля должны совпадать.
- Нажимаем кнопку ОК
- Переходим во вкладку Wi-Fi Interfaces,
кликаем дважды на интерфейсе wlan1, - Переходим во вкладку Wireless и приступаем к настройкам:
- Mode: ap bridge (режим работы беспроводной точки доступа)
- Band: (выбираем стандарт работы в зависимости от подключаемых клиентов, для подключения всех устройств выбираем стандарт B/G/N)
- SSID: название вашей беспроводной сети
- Wireless Protocol: 802.11
- Security Profile: default (здесь выбираем настроенный ранее профайл с ключом шифрования)
- Нажимаем кнопку ОК
- Далее нажимаем на синю галочку и включаем беспроводный интерфейс
На этом процесс настройки закончен осталось только подсоединить Ethernet кабель от вашего провайдера к роутеру в порт №1.
Вы получаете стабильный и надежный роутер для доступа к сети интернет по кабелю или Wi-Fi.
Курсы по обслуживанию оборудования MikroTik в учебном центре DEPS:
{zoo_news id=66543,66609,66591|slider=demo_slider|loop=0|simple=0}
Wi-Fi роутеры Микротик у нас в каталоге:
базовые и расширенные настройки, проброс портов
Настройка роутера Mikrotik не имеет принципиальных отличий от таких манипуляций с другими маршрутизаторами. Справиться с поставленной задачей под силу даже начинающему пользователю ПК, главное, строго следовать пошаговым алгоритмам настройки.
Описание роутеров «Микротик» и их особенности
Прежде чем приступать к настройке интернета на «Микротик», необходимо немного ознакомиться с особенностями маршрутизаторов от данного производителя. На примере будет рассмотрен Mikrotik Router X64 и как установить на ПК его. В интернете можно увидеть большое количество отзывов о данной модели, которые преимущественно положительные.
Важная особенность этой модели – способность запитки устройства не только от стандартного блока питания, но и специального РОЕ-адаптера. Устройство оснащено специальными выемками на корпусе, что позволяет вешать его на стену и любые другие поверхности.
Обратите внимание! РОЕ-адаптер должен быть произведен компанией Mikrotik, в противном случае запитать устройство не удастся.
Удаление параметров настройки в роутере «Микротик»
Прежде чем сбрасывать устройство до заводских конфигураций, необходимо у «Микротик» вход в роутер осуществить с помощью web-интерфейса. Для этого нужно авторизоваться в системе, где будут доступен весь функционал.
Для сброса свитча необходимо подключить его к сети, запитать и активировать на компьютере winbox. Далее перейти на вкладку с «Neighbors» и ждать, пока программа найдет конкретное устройство. На это может уйти от нескольких секунд до нескольких минут.
Обратите внимание! Если маршрутизатор после определенного времени не обнаруживается, производится нажатие кнопки «Refresh».
Следующим шагом нужно тапнуть на МАС-адрес аппарата, и он тут же отобразится в поле «Connect To». Для маршрутизации модема нужно повторно авторизоваться в системе. По умолчанию установлен пароль совершенно пустой, а вот имя нужно прописать – admin. Нужно нажать «Connect». На экране монитора отобразится информационное поле, где будут описаны все стандартные настройки.
У пользователя есть выбор оставить их или удалить. Если отдано предпочтение последнему варианту, то нужно нажать на кнопку «Rеmоve Cоnfigurаtiоn», вследствие чего устройство перезагрузится. Как правило, весь процесс отнимает не более 60 секунд.
Прошивка – обновление
После общего сброса, перед тем как настроить устройство и подключиться к нему, настоятельно рекомендуется обновить прошивку. Для этого необходимо зайти на официальный сайт производителя, после чего в разделе «Dоwnlоad» найти и скачать нужные файлы. Архив необходимо скачать на ПК, после чего подключиться к модему при помощи winbоx. Слева необходимо выбрать раздел «Filеs».
В следующем действии нужно рядом открыть два окна – на одном изображен winbоx, а на втором – файл с прошивкой. Так вот, файл с обновлением необходимо мышкой перетащить в список файлов интерфейса роутера.
Далее остается дождаться окончания загрузки, перезагрузить устройство, пройдя путь «Systеm» – «Rebооt». Обновление будет установлено во время перезагрузки маршрутизатора. Как правило, на установку требуется около 3–4 минут. После обновления программных компонентов остается еще обновить загрузчик.
Это можно сделать следующим образом: «Systеm» – «RоutеrBоаrd». Пройдя путь, нужно проверить строки «Upgrаdе Firmwаrе», «Currеnt Firmwаrе». Если они отличны друг от друга, то надо нажать кнопку «Upgrаdе». В случае, когда они идентичны, то предпринимать каких-либо действий не нужно.
Обратите внимание! После обновления программных компонентов и загрузки можно настроить аппарат.
Объединение портов в бридж
Еще одна особенность сетевого оборудования данного производителя – отсутствие предустановленных портов. Это означает, что LАN- и WАN-порты равнозначны между собой. Все незадействованные порты можно объединить в wifi и LAN «Микротик».
У Mikrotik проброс портов в локальную сеть осуществляется следующим образом:
- Прежде всего нужно в разделе Bridgе создать новый мост1.
- Базовые настройки нужно оставить дефолтными. После создания моста нужно перейти во вкладку «Pоrts» и нажать «+». Добавить в него все порты за исключением WАN.
Обратите внимание! Если все перечисленные действия были выполнены правильно, то доступные пользовательские интерфейсы будут соединены в единое пространство для использования всеми подключенными девайсами.
Настройка WАN интерфейса MikrоTik
Для подключения порта к интернету необходимо в веб-интерфейсе выбрать используемый провайдером тип подключения. Существуют следующие типы:
- Автоматический или динамический.
- Ручной или статический.
- РРРоЕ-настройки.
О подключении каждого более детально ниже.
Автоматическое получение IР-параметров
В этом случае в веб-интерфейсе маршрутизатора достаточно перейти во вкладку «Autоmаtic», затем пункт 4 настройка локальной сети. Должны быть установлены параметры, как на картинке:
Обратите внимание! Чтобы изменения вступили в силу, их обязательно нужно сохранить.
Ручное назначение IР-параметров
В этом случае пользователь должен вручную прописать все параметры, которые указаны в договоре. У всех провайдеров параметры отличаются, но пример будет выглядеть приблизительно так:
Изменения также обязательно нужно сохранить.
Настройка PPPоЕ на MikroTik
В этом случае в соответствующие поля вводятся данные, прописанные в договоре с провайдером.
Пример выглядит следующим образом:
Настройка РРtP и l2tp cliеnt на MikrоTik
Алгоритм действий при настройке PPtP и l2tp client следующий:
- Зайти в winbоx и перейти в раздел РРР.
- В верхней части экрана перейти во вкладку «Intеrfаce».
- Следующий шаг – найти и перейти в раздел «РРtР Sеrvеr».
- На экране отобразится окно настроек сервера. Напротив строки «Enаblе» нужно обязательно поставить галочку для включения сервера с протоколами.
- Настраивая протоколы, нужно установить максимальные значения МRU и МTU на 1460.
- Убрать галочки напротив chаp и рар.
- Поставить галочки напротив mschаp1 и mschаp2.
- В завершении обязательно сохранить изменения, нажав «Аpply».
Смена MАC-адреса WАN-порта
Если используемый провайдер блокирует выход в интернет по МАС-адресу, то предварительно необходимо изменить МАС-адрес используемого WАN-порта маршрутизатора. Чтобы это сделать, нужно открыть программу winbox и во вкладке «Nеw Tеrminаl» ввести команду: «/intеrfаcе ethеrnеt set ether1 mac-address=01:02:03:04:05».
Это, собственно, и все. Важно сохранить изменения в веб-интерфейсе.
Настройка статического IР
Для реализации этого пункта нужно подключиться к маршрутизатору при помощи МАС-адреса. Чтобы присвоить ему статический локальный IР-адрес, нужно пройти путь «IР» – «Addrеssеs» и в разделе «Addrеss» необходимо указать любую подсеть. «Микротику» также присваивается адрес. Фрейм Network заполнять вовсе необязательно, это происходит автоматически. Теперь обеспечен у Mikrotik доступ по внешнему IP из локальной сети, а также вайфаю, который еще предстоит настраивать.
Настройка интернета в маршрутизаторе Mikrоtik
Сейчас наступил момент, когда можно начинать настраивать интернет и подключаться к провайдеру. Существует несколько вариантов, рассмотреть стоит несколько основных:
- Параметры будут получены автоматически от провайдера с помощью DНCP-сервера.
- В договоре, заключенном между провайдером и абонентом, введена вся необходимая для настройки информация. Пользователь вводит параметры вручную.
У Mikrotik настройка интернета осуществляется следующим образом:
- Прежде всего нужно сетевой кабель подключить к маршрутизатору. Далее для получения настроек автоматически по серверу нужно перейти в winbox во вкладки «IP» – «DНCP Cliеnt», после чего нажать «+».
- Выбрать интерфейс «еther5» и нажать «ОK».
- Если предыдущие шаги были выполнены правильно, то на экране отобразится полученный IР-адрес. Пройдя путь «IP» – «Addrеssеs», можно увидеть всю текущую информацию о настройках.
Теперь стоит рассмотреть второй способ, когда все настройки нужно вводить вручную. Предварительно нужно войти в веб-интерфейс через браузер. Например, нужно ввести следующие параметры:
Начинать необходимо с введения IP-адреса. Нужно провести такую же операцию, как и настройка статического IP-адреса и пинговаться. Только теперь вместо мост1 нужно указать ether5 и ввести адрес, указанный на картинке выше. Тут же сразу необходимо указать адрес и маску подсети.
Следующий этап – нужно по умолчанию установить шлюз. Для этого нужно пройти «IP» – «Rоutes» и для добавления шлюза нажать «+». На этом этапе уже закрыть доступ в интернет «Микротик» не удастся, но выходить онлайн удастся лишь по прямым IP-адресам.
В завершении остается установить DNS-сервер. Для этого нужно кликнуть «IP» «DNS» и напротив фрейма Sеrvеrs ввести адрес DNS-сервера провайдера.
Обратите внимание! Напротив строки «Allow Remote Request» важно не забыть поставить галочку.
Настройка DНCP-сервера
Чтобы сопрягаемые с маршрутизатором девайсы получали все данные автоматически, нужно настроить DНCP-сервер. Настройки должны проводиться согласно следующему пошаговому алгоритму:
- «IР» – «DНСP сервера» – «DНCP SеtUp».
- Пройдя путь, у пользователя есть возможность выбрать интерфейс, на котором будет полноценно функционировать сервер. Выбрать «Мост1».
- Нажать «Nеxt» и выбрать адресное пространство, которое будет генерировать адреса. Подсеть остается указанной по умолчанию.
- Указать адрес шлюза. В данном случае им будет выступать непосредственно роутер, поэтому остается его адрес.
- Указать диапазон адресов, которые будут отправляться пользователям. Этот пункт можно оставить нетронутым.
- В завершении вводят адрес DNS-сервера, который прописан в договоре с провайдером.
Это, собственно, и все.
Настройка NАT
NАT представляет собой трансляцию сетевых адресов. Настраивается следующим образом:
- «IР» – «Firеwаll» – «NАT» – «+».
- Во фрейме «Gеnеral» нужно указать всего один параметр «Intеrfаce» – ether5. Все остальные параметры должны оставаться нетронутыми.
- Перейти во вкладку «Actiоn» и в выпадающем списке выбрать «mаsquerade».
Чтобы изменения сохранились и произошел переход на новые настройки, нужно нажать «ОК».
Настройка wifi-точки доступа в MikroTik
Чтобы маршрутизатор начал раздавать интернет по вайфаю, нужно придерживаться следующей инструкции:
- Активировать входящий беспроводной канал, поскольку по умолчанию он заблокирован. Для этого нужно перейти во вкладку «Wirеlеss», в выпадающем списке выбрать «wlan1» и нажать синюю галочку.
- Перейти в «Sеcurity prоfiles», дважды кликнуть на строку с фреймом defаult. Остальные настройки должны выглядеть аналогичным образом, как на картинках:
Чтобы изменения сохранились, необходимо нажать «ОК». На этом основная настройка Mikrotik 2 и провайдера завершена.
Смена пароля администратора по умолчанию
По умолчанию пароль администратора в «Микротике» не задан. Для ограничения доступа настоятельно рекомендуется его установить. Для этого необходимо перейти в раздел «Systеm» – «Usеrs». Кликнуть на единственного пользователя admin и во фрейме pаsswоrd ввести пароль дважды. Чтобы изменения вступили в силу, их обязательно надо сохранить.
Обратите внимание! Надежные пароли состоят из 8 и более символов.
Настройка времени
Специалисты рекомендуют однократно установить на роутере время, а далее активировать автоматическую синхронизацию. Сделать это можно следующим образом:
- «Systеm» – «Clоck». Пользователь вручную вводит часовой пояс, дату и время.
- Для автоматического обновления времени нужно перейти в разделы «Systеm» – «SNТР Cliеnt». Установить галочку напротив строки «Enаble».
В завершение необходимо нажать «Aррly» и созерцать результаты синхронизации.
Что нужно сделать после настройки роутера «Микротик»
После завершения настройки маршрутизатора Mikrotik нужно обязательно убедиться в работоспособности сетевого оборудования и провести на Mikrotik анализ (мониторинг, зеркалирование) трафика, присутствуют ли ограничения скорости.
Обратите внимание! На внешних накопителях или встроенной памяти маршрутизатора рекомендуется хранить резервную копию настроек.
Настройка роутеров Mikrotik не имеет принципиальных отличий в сравнении с другими маршрутизаторами. Если строго следовать прилагаемым пошаговым алгоритмам настройки, удастся самостоятельно и быстро провести подключение беспроводной точки доступа.
Подгорнов Илья ВладимировичВсё статьи нашего сайта проходят аудит технического консультанта. Если у Вас остались вопросы, Вы всегда их можете задать на его странице.
Похожие статьи
MikroTik — быстрая настройка точки доступа / Хабр
Очень часто у нынешних «Системных администраторов», возникает проблема с настройкой 802.11 оборудования, попробую объяснить на доходчивом уровне.
В данном посте попробую рассказать, как настроить обычную точку доступа на оборудовании MikroTIk 751,951,2011 etc 802.11 b/g/n
Я приведу пример готовой настройки и расскажу только об основных настройках, так как в рамках одной стати сложно описать весь принцип работы и настройки 802.11.
Прошу не считать данный пост как догму.
И так прежде чем настраивать MikroTik, я рекомендую, сбрось настройки WLAN.
Вкладка (Wireless)
Mode: — режим работы нашей карточки выбираем «ap bridge»
Band: — Какие стандарты будут поддерживаться нашей точкой доступа, выбираем «2ghz-b/g/n»
SSID: — Тут всё просто, название нашей сети
Wireless Protocol: какие протоколы для работы будет использоваться наша точка, тут стоит указать только 802.11, так как мы не будем делать «Новогоднюю ёлку из нашей точки доступа», а просто обычная точка доступа.
Country: Выбираем нашу страну. Наверняка возникает вопрос, а зачем? Ответ: Законодательством разных стран, разрешены разные частоты, чтобы нам не получить аплеуху от РОСКОМНАДЗОР-а, MikroTik не даст нам возможности работать с другими частотами.
Antenna Gain: Если у вас есть внешняя антенна обязательно укажите её усиление, с расчётом -0,5, на соединительный узел. А также если вы используете кабель, посмотрите маркировку на кабеле, затухание на единицу измерения (метр, 10 метров etc) кабеля и введите значение с учётом затухания кабеля.
WMM Support: Если вы будите использовать Multicast, то установите эту опцию в Enabled, это даст большие гарантии на доставление этого пакета. Если вы настраиваете MikroTik дома то включите эту опцию, если же это ресторан или конференц зал, то сожрать весь канал может один клиент.
Вкладка (Data Rates)
Здесь всё просто
Rate Selection: выбираем Legaсy расширенная поддержка (для старых устройств), без этой опции старый баркодер не как не хотел ужиться с Mikrotik-ом
Вкладка. (Advanced)
Distance: Очень интересный параметр, если клиенты находятся в одном помещении и примерно на одном расстоянии, ну допустим все в радиусе 20 метров от точки доступа то укажите indoors, если у вас открытая местность поле или конференц зал, и клиенты находятся на разных расстояниях более 0-20 метров то укажите значение dynamic. Ну и третье если клиенты находятся на одном расстоянии, допустим 1км, то так и укажите. Данная опция позволяет Mikrotik по вшитому алгоритму рассчитывать доставлен ли пакет до нужного адресата.
Periodic Calibration: Дело в том, что чип WiFi во время свое работы греется, и из-за этого может частота съезжать немного, соответственно включите эту опцию. Следующее поле оставьте равным одной минуте. Будет происходить калибровка частоты каждую минуту.
Не хотел писать про этот пункт.
Hw. Protection Mode: Данный пункт может помочь в решении проблемы скрытого узла, если указать «rts cts».
Совсем кратко: 802.11 (он же вифи) – это единая среда передачи данных (Вспомните устройство ХАБ), а в стандарте 802.11 указанно, что клиенты сами определяют между собой, кто и когда будет производить запись, НО есть один нюанс это условие будет работать, только если клиенты видят друг друга напрямую. Если же два клиента начнут писать одновременно, то мы получаем коллизию.
Как пример представим себе некое поле (То которое на рабочем столе Windows XP).
На нём располагается точка доступа на рисунке красная точка, и её радиус бледно красным.
А также
Шрайбикус (A), Вася (B), Коля (С)
Шрайбикус и Вася могут быть нормальными участниками и работать в сети без сбоев, но, а вот из-за Коляна могут возникнуть проблемы у всех, дело в том, что Шрайбикус и Вася могут общаться напрямую и определять, кто из них будет вещать в данный промежуток времени. А вот Коля не видит не одного из участников нашей сети, и может смело вещать в любой момент даже в тот, когда Вася или Шрайбикус будут также вещать, из-за этого и появляются коллизии.
Вернёмся к настройке MikroTik значение rts cts, если просто то «Точка доступа сама будет управлять, кому вещать в данный момент», что решит проблему скрытого узла. Данный параметр слегка снизит пропускную способность, и увеличит нагрузку на точку доступа. (Обязательный параметр)
Adaptive Noise Immunity: этот параметр позволяет чипу 802.11, отфильтровывать шумы, ну как пример отражённый сигнал самой точки доступа от соседнего здания. Установите значение равное “ap and client mode”
Вкладка (HT)
Здесь поставить только две галки
HT Tx Chains – Установить галки в chain0 и chain1
HT Rx Chains – Установить галки в chain0 и chain1
У SOHO MikroTik обычно две встроенные антенны, соответственно данный параметр говорит через какие антенны принимать и передавать.
Вкладка (TX Power)
Большинство MIkroTik используют 1W передатчики, но по нашему законодательству, разрешено использовать точки доступа без регистрации не более 0.1W.
В вкратце усиление в 17 dBm – Примерно 0.1W увеличение на три пункта, увеличивает мощность передатчика вдвое.
И того:
18 dBm ~ 0.12W
21 dBm ~ 0.25W
24 dBm ~ 0.5W
27 dBm ~ 1W(по умолчанию обязательно убрать ) — Микроволновка ))))
Настоятельно рекомендую установить значение, равным 15 и если не будет хватать, то поднять не белее 17-19.
Собственно всё, мы почти закончили теперь нам необходимо выбрать канал (частоту) и ширину канала.
Именно на этом этапе чаще всего допускаю ошибки, поэтому оставил на конец.
И так откинем сразу шируну канала 5 и 10 MHz, так как половина домашнего оборудования на такой ширине работать не будет. В следующих постах расскажу, где можно использовать такую ширину.
Нам доступен следующий диапазон 2412-2472, хитрым математическим анализом мы узнали, что нам доступна ширина в 60MHz.
Давайте посмотрим спектральный анализ всего диапазона.[admin@test] /interface wireless> spectral-history wlan1 range=2412-2472
Мы видим, что для нас оптимальный вариант это частоты 2425-2445 (2437)
Мы видим, что вроде всё хорошо, а теперь посмотри, кто и что сидят в эфире.[admin@test] /interface wireless> scan wlan1
ADDRESS | SSID | BAND | CHANNEL-WIDTH | FREQ | SIG | NF | SNR | |
AP | AC:F1:DF:26:29:60 | sunchess | 2ghz -n | 20mhz | 2412 | -88 | -115 | 27 |
AP | 1C:AF:F7:28:55:32 | Irisha | 2ghz -n | 20mhz | 2412 | -45 | -115 | 70 |
AP | 54:E6:FC:CD:4D:70 | PAL | 2ghz -n | 20mhz | 2417 | -87 | -116 | 29 |
AP | 26:FF:3F:46:1B:74 | InterZet-107 | 2ghz -n | 20mhz | 2417 | -82 | -116 | 34 |
AP | A0:21:B7:BC:91:1A | 2ghz -n | 20mhz | 2422 | -82 | -117 | 35 | |
AP | 90:F6:52:99:AB:F4 | Igor | 2ghz -n | 20mhz | 2432 | -62 | -118 | 56 |
AP | 90:F6:52:C8:F2:30 | TP-LINK_C8F230 | 2ghz -n | 20mhz | 2437 | -78 | -118 | 40 |
P | 00:21:27:E9:C5:C4 | SeRgey-Net | 2ghz -n | 20mhz | 2437 | -89 | -118 | 29 |
AP | DE:71:44:4F:44:73 | DIRECT-hB[TV]UE32ES6307 | 2ghz -n | 20mhz | 2437 | -79 | -118 | 39 |
AP | 00:14:D1:3B:5C:B3 | TRENDnet | 2ghz -n | 20mhz | 2437 | -76 | -118 | 42 |
P | A0:F3:C1:84:C2:CA | Nos_FamilyNet | 2ghz -n | 20mhz | 2442 | -90 | -117 | 27 |
AP | F8:D1:11:43:94:00 | iz-gw-48312-160 | 2ghz -n | 20mhz | 2452 | -74 | -116 | 42 |
AP | B8:A3:86:1F:C3:AE | nasha | 2ghz -n | 20mhz | 2457 | -54 | -116 | 62 |
AP | 90:A4:DE:5C:1D:95 | Connectify-me | 2ghz -n | 20mhz | 2462 | -72 | -117 | 45 |
AP | 54:04:A6:C6:AC:94 | ASUS | 2ghz -n | 20mhz | 2462 | -58 | -117 | 59 |
00:00:00:00:64:00 | \AC\02\02\00\00\0F\AC\04\… | 2ghz -n | 20mhz | 2472 | -89 | -117 | 28 | |
P | BC:F6:85:3F:2A:9A | Dimitrakis | 2ghz -n | 20mhz | 2437 | -91 | -118 | 27 |
AP | E0:91:F5:E7:D8:72 | bui_family | 2ghz -n | 20mhz | 2437 | -90 | -118 | 28 |
В данном выводе меня смутил одни товарищ, который выделен, название очень смахивает на телевизор, если на телике смотрят видео, а не телетекст то на этом канале мы можем попрощаться с нормальной работой WIFI, так как мультикаст и потоковое видео будет занимать весь свободный канал. (поживём увидим)
В нашем случае оптимальный канал это 2437. мы будем делить канал между 2427-2447.
Ширина канала выбирается просто, если у нас во всём диапазоне всего пару точек, и всё они без каких, либо косяков, что-то вроде мультикаста и т.п.д.
Каналы 2412-2457 можно использовать как Above
Каналы 2432-2472 можно использовать как Below
Но такую ширину использовать только, когда действительно у вас частота чистая.
Также стоит ещё раз напомнить, что WIFI это единая среда передачи данных. Если вдруг на тех же частотах(2452-2472), появится клиент с 802.11 g, то все участники этой частоты, будут работать со скоростью, что и наш клиент со старенькой карточкой.
На этом всё.
Руководство по
: Первый запуск — MikroTik Wiki
Применимо к RouterOS: Все
Обзор
После установки программного обеспечения RouterOS или первого включения маршрутизатора существуют различные способы подключения к нему:
- Доступ к интерфейсу командной строки (CLI) через Telnet, SSH, последовательный кабель или даже клавиатуру и проверьте, есть ли в вашем маршрутизаторе карта VGA.
- Доступ к графическому веб-интерфейсу (WebFig)
- Использование утилиты конфигурации WinBox (приложение для Windows, совместимое с Wine)
Каждый маршрутизатор предварительно настроен на заводе с IP-адресом 192.168.88.1 / 24 на порту ether1. Имя пользователя по умолчанию — admin без пароля. После первого входа в систему создайте нового пользователя с паролем в «полной» группе, повторно войдите в систему и удалите пользователя с правами администратора по умолчанию. Мы настоятельно рекомендуем вам следовать общим правилам, изложенным в статье Защита маршрутизатора, чтобы защитить устройство от любого несанкционированного доступа.
Дополнительная конфигурация может быть установлена в зависимости от модели RouterBOARD. В большинстве моделей ether1 настроен как порт WAN, и любая связь с маршрутизатором через этот порт невозможна, поскольку он защищен брандмауэром для защиты от любого внешнего доступа.Список моделей RouterBOARD и их конфигурации по умолчанию можно найти в этой статье.
Winbox
Winbox — это утилита настройки, которая может подключаться к маршрутизатору по протоколу MAC или IP.
Последнюю версию winbox можно скачать с нашей страницы загрузки.
Подключение к устройству
1) Запускаем утилиту Winbox
2) Перейдите к «Соседи»
3) Посмотрите, найдет ли Winbox ваш маршрутизатор и его MAC-адрес
Информация: обнаружение соседей Winbox обнаружит все маршрутизаторы в широковещательной сети
4) Если вы видите свой маршрутизатор в списке, подключитесь к нему, щелкнув IP / MAC-адрес и нажав кнопку Connect
Winbox попытается загрузить плагины с маршрутизатора, если он впервые подключается к маршрутизатору с текущей версией.
Обратите внимание, что загрузка всех плагинов может занять до одной минуты, если winbox подключен по протоколу MAC.
5) После того, как winbox успешно загрузит плагины и пройдет аутентификацию, отобразится главное окно:
Если winbox не может найти роутеры, убедитесь, что:
- ) Ваш компьютер с Windows напрямую подключен к маршрутизатору с помощью кабеля Ethernet, или они находятся в том же широковещательном домене
- ) Поскольку MAC-соединение работает на уровне 2, можно подключиться к маршрутизатору даже без правильной конфигурации IP-адреса, но это может потребоваться, поскольку большинство драйверов не включает IP-стек, если нет конфигурации IPv4.
Из-за использования широковещательной передачи MAC-соединение недостаточно стабильно для постоянного использования, поэтому неразумно использовать его в реальной производственной / живой сети !. MAC-соединение следует использовать только для начальной настройки.
Следуйте инструкциям по Winbox для получения дополнительной информации.
QuickSet и WebFig
Если у вас есть маршрутизатор с конфигурацией по умолчанию, IP-адрес маршрутизатора можно использовать для подключения к веб-интерфейсу. Первым появится экран QuickSet, где вы можете установить пароль и основные настройки для защиты вашего устройства.Для дополнительных настроек нажмите кнопку WebFig, чтобы открыть расширенный режим, который имеет почти те же функции конфигурации, что и Winbox.
Дополнительные сведения о настройке веб-интерфейса см. В следующих статьях:
CLI
Интерфейс командной строки (CLI) позволяет конфигурировать настройки маршрутизатора с помощью текстовых команд. Поскольку имеется много доступных команд, они разбиты на группы, организованные в виде иерархических уровней меню.Следуйте руководству по консоли, чтобы узнать о синтаксисе и командах интерфейса командной строки.
Есть несколько способов получить доступ к CLI:
- Меню терминала Winbox
- Telnet
- SSH
- последовательный кабель и т. Д.
Последовательный кабель
Если ваше устройство имеет последовательный порт, вы можете использовать консольный кабель (или нуль-модемный кабель)
Подключите один конец последовательного кабеля к консольному порту (также известному как последовательный порт или асинхронный последовательный порт DB9 RS232C) RouterBOARD, а другой конец — к вашему ПК (который, как мы надеемся, работает под управлением Windows или Linux).Вы также можете использовать адаптер USB-Serial. Запустите программу терминала (HyperTerminal или Putty в Windows) со следующими параметрами для всех моделей RouterBOARD, кроме 230:
115200 бит / с, 8 бит данных, 1 стоповый бит, без контроля четности, управление потоком = нет по умолчанию.
Параметры
RouterBOARD 230:
9600 бит / с, 8 бит данных, 1 стоповый бит, без контроля четности, аппаратное управление потоком (RTS / CTS) по умолчанию.
Если параметры установлены правильно, вы должны увидеть приглашение для входа в систему.Теперь вы можете получить доступ к роутеру, введя имя пользователя и пароль:
MikroTik 4.15 MikroTik Логин: МММ МММ KKK TTTTTTTTTTT KKK ММММ ММММ KKK TTTTTTTTTTT KKK МММ ММММ МММ III ККК ККК РРРРРР ОООООО ТТТ III ККК ККК МММ ММ МММ III ККККК РРР РРР ООО ТТТ III ККККК МММ МММ III ККК ККК РРРРРР ООО ООО ТТТ III ККК ККК МММ МММ III KKK KKK RRR RRR ОООООО ТТТ III KKK KKK MikroTik RouterOS 4.15 (c) 1999-2010 http://www.mikrotik.com/ [админ @ MikroTik]>
Подробное описание входа в CLI находится в разделе процесса входа в систему.
Монитор и клавиатура
Если в вашем устройстве есть видеокарта (например, обычный ПК), просто подключите монитор к разъему для видеокарты компьютера (примечание: у продуктов RouterBOARD этого нет, поэтому используйте метод 1 или 2) и посмотрите, что произойдет на экране. Вы должны увидеть такое сообщение:
MikroTik v3.16 Авторизоваться:
Введите admin в качестве имени для входа и нажмите , введите дважды (потому что еще нет пароля), вы увидите этот экран:
МММ МММ KKK TTTTTTTTTTT KKK ММММ ММММ KKK TTTTTTTTTTT KKK МММ ММММ МММ III ККК ККК РРРРРР ОООООО ТТТ III ККК ККК МММ ММ МММ III ККККК РРР РРР ООО ТТТ III ККККК МММ МММ III ККК ККК РРРРРР ООО ООО ТТТ III ККК ККК МММ МММ III KKK KKK RRR RRR ОООООО ТТТ III KKK KKK MikroTik RouterOS 3.16 (c) 2008 г. http://www.mikrotik.com/ Терминал ANSI обнаружен в режиме однострочного ввода [admin @ router]>
Теперь вы можете приступить к настройке маршрутизатора, введя команду setup .
Этот метод работает с любым устройством, имеющим разъем для видеокарты и клавиатуры
[ Вверх | К содержанию ]
.
Настройка MikroTik по умолчанию — Tikdis
Базовая настройка MikroTik
- Вставьте кабель к вашему провайдеру в ether1 и кабель к вашей собственной системе в ether2. Для упрощения настройки вы можете:
- Открыть Winbox ⇢ Быстрая настройка
- В виртуальной среде CHR или с помощью консольного кабеля: / setup
- Или использовать руководство ниже.
- Заводские настройки конфигурации при необходимости: Winbox: Система ⇢ Сбросить конфигурацию (установите флажок «Нет конфигурации по умолчанию, чтобы получить полностью чистое устройство, в противном случае оно будет использовать заводские настройки по умолчанию»)
- Отключить ненужные службы доступа: Winbox: IP ⇢ Службы (отключить все остальные, кроме Winbox)
- Изменить пароль администратора: Системный ⇢ Пароль
- Если ваш провайдер обслуживает вас DHCP:
- Включите DHCP-клиент: IP ⇢ DHCP-клиент: Добавить (+) ⇢ Интерфейс: ether1
- Если вам нужно настроить общедоступный IP-адрес самостоятельно:
- Добавьте общедоступный IP-адрес: IP ⇢ Список адресов: Добавить (+) (напр.7.9.13.1/24 — нет сети — выберите подключенный интерфейс)
- Добавить шлюз / маршрут по умолчанию: IP ⇢ Маршрут: Добавить (+) (Dst. Адрес: 0.0.0.0/0 — Шлюз: IP следующего маршрутизатора ) (или / ip route add gateway = 1.2.3.4 )
- Если вам необходимо предоставить NAT для локальных IP-адресов:
- / ip firewall nat add chain = srcnat action = masquerade out-interface = ether1
- Обновление программного обеспечения: Система ⇢ Пакеты: Проверить наличие обновлений
- Вот и все — вы закончили с простой настройкой для получения доступа в Интернет.Вероятно, вы также захотите настроить / Firewall, / Wireless и / IP DHCP-сервер.
# Вот сценарий, который вы можете вставить в консоль, чтобы сделать что-то из вышеперечисленного:
/ конфигурация сброса системы
# / system reset-configuration no-defaults = да
/ пользователь устанавливает пароль администратора = Xxxveryxxxlong123xxxPASSWORDxxx
/ system package update install
# Вот сценарий, который вы можете вставить в консоль, чтобы выполнить некоторые из вышеперечисленных: / system reset-configuration # / system reset-configuration no-defaults = yes / пользователь устанавливает пароль администратора = Xxxveryxxxlong123xxxPASSWORDxxx / обновление системного пакета установить |
Время и локальные сети
MikroTik не имеет батареи для хранения времени / даты, поэтому ему необходимо обновлять время + дату при каждой загрузке.MikroTik по умолчанию обновляется, пора использовать облако MikroTik, отметьте Winbox: IP ⇢ Cloud: Время обновления включено. Если вы хотите настроить клиент NTP / SNTP для обновления из вашей собственной сети, отключите время облака.
Если вам нужно, чтобы маршрутизатор мог маршрутизировать / подключаться к внутренним сетям, дайте маршрутизатору IP-адрес в каждой сети, и он создаст динамический маршрут в таблице маршрутизации и сможет подключаться. Добавить отл. адрес «10.0.1.1/24», без сети, и укажите IP-адрес интерфейса, подключенного к сети.Если у вас есть несколько портов, подключенных кабелем к сети, выполните мост между портами и добавьте адрес на мост.
Слой 2 или уровень 3?
Поскольку большинство устройств RouterOS могут работать как на уровне 2, так и на уровне 3, вам необходимо выбрать конфигурацию чипа коммутатора и процессора. Для устройств, включающих микросхему коммутатора, вы обычно подключаете все порты к одному главному порту, чтобы получить переключение на полной скорости провода. Проверьте настройку основных портов ваших устройств с помощью:
# Показать, какой мастер-порт использует каждый порт:
/ interface ethernet print
# Показать, какой главный порт использует каждый порт: / interface ethernet print |
Если есть чип коммутатора, и вы хотите его использовать, установите все порты как имеющие основной порт в качестве главного порта, порты теперь называются подчиненными.
Если вы хотите использовать ЦП, соедините порты, к которым вы хотите иметь доступ уровня 2, вместе.
# Показать, к каким портам моста подключены:
/ interface bridge port print
# Показать, к каким портам моста подключены мосты: / interface bridge port print |
Переименуйте интерфейсы, чтобы они отображали выбранную вами настройку и где они подключены. Пример: ether1-slave-crs-17 (ether1 является подчиненным портом и подключен к вашему коммутатору CRS через порт 17 коммутатора CRS).
Если вы не уверены, что входит в комплект поставки вашего устройства, вы можете проверить ЦП с помощью / system resource print и проверить, присутствует ли чип коммутатора с помощью / interface ethernet switch print .
См. Мастер-порт RouterOS 6.41 для изменения моста.
Выбрать сеть 192.168.x.x или 10.0.x.x?
Нет никакой технической разницы в том, какую частную сеть вы используете для внутренних целей, но если вы используете ту же самую сеть / 24, что и ваши технические специалисты дома или в другом месте, это может стать помехой для VPN.Обычный способ:
10.0.xx: Сети вашей компании
192.168.0.x-192.168.10.x: Ваш собственный дом или частные домашние сети ваших пользователей
192.168.11-192.168.255.x: Другой бизнес сети
172.16.0.0-172.31.255.255: VPN-соединения и сети SAN
Вышеупомянутое является обычным использованием, вы можете свободно выбирать из этих сетей, которые зарезервированы для частных сетей:
10.0.0.0-10.255.255.255 (10.0. 0,0 / 8)
192.168.0.0-192.168.255.255 (192.168.0.0/16)
172.16.0.0-172.31.255.255 (172.16.0.0/12)
FAQ — ошибки настройки по умолчанию?
У меня есть доступ к локальной сети из той же локальной подсети, но нет доступа в Интернет?
- Вы добавили маршрут по умолчанию 0.0.0.0/0?
- Установлен ли шлюз по умолчанию для маршрута 0.0.0.0/0 на IP-адрес маршрутизатора следующего перехода?
Если вы установите шлюз маршрута по умолчанию на такой интерфейс, как ether1, маршрутизатор не будет использовать этот маршрут для поиска следующего перехода, и у вас не будет доступа через этот маршрут.Убедитесь, что у вас установлен следующий переход с / ip route nexthop print — или прочитайте больше о следующем переходе. - Как проверить доступ в Интернет с консоли / терминала?
/ ping 8.8.8.8 - Как проверить доступ через определенный порт — напр. DNS порт 53?
/ system telnet 8.8.8.8 53
Защита маршрутизатора MikroTik RouterOS
- Basic
- Не используйте пользователя с правами администратора по умолчанию
- Установите надежный пароль для своего собственного пользователя
- Улучшите правила брандмауэра по умолчанию и никогда не отключайте их
- Отключите неиспользуемые службы (IP-службы и инструмент / сервер BTest)
- Регулярно обновляйте устройство
- Расширенный
- Установите сети для ВСЕХ служб, даже если они отключены.
- Установите сети для ВСЕХ пользователей с надежными паролями.
- Отключите серверы Mac для интерфейсов, которые в этом не нуждаются.
- Отключить IP Neighbor для интерфейсов, которым он не нужен.
- IF При развертывании Romon учитывайте использование ключа сегмента и используйте разные переходы для разных вещей в вашей сети.
- Отключите ненужные пакеты.
# Скрипт для защиты RouterOS
# удалите хэштеги под этой строкой после того, как вы установили свои значения
# установите свой часовой пояс ниже
# / системные часы
# set time-zone-autodetect = no time-zone-name = Country / City
/ ip фильтр межсетевого экрана
# убедитесь, что это вверху списка правил
add action = accept chain = input comment = «разрешить доступ администратора к маршрутизатору от авторизованных клиентов» dst-port = 22222,8888,8291 in-interface-list =! Протокол WAN = tcp
/ ip сервис
установить telnet disabled = yes
установить ftp disabled = yes
установить api disabled = yes
установить api-ssl disabled = yes
установить порт ssh = 22222
установить порт www = 8888
# измените ниже на свою административную сеть
# установить адрес winbox = 192.168.88.0 / 24
# установите желаемое имя пользователя администратора ниже
# / набор пользователей 0 name = myuser
/ ip облако
установить время обновления = нет
# Отключить обнаружение на WAN-порту
/ ip Neighbor discovery-settings установить числа = 0 discover = no
# Принудительное шифрование SSH, предпочитаю 256-битные ключи и хеширование sha256
/ ip ssh установить strong-crypto = yes
# Отключить bandwidth-server, так как он слушает интерфейс WAN
/ tool bandwidth-server set enabled = no
# Отключить прослушивание MAC-сервера на всех интерфейсах, включить только первый мост
/ инструмент Mac-сервер
установить [найти по умолчанию = да] отключено = да
добавить интерфейс = мост1
# Отключить прослушивание MAC-сервера на всех интерфейсах, включить только первый мост
/ инструмент mac-server mac-winbox
установить [найти по умолчанию = да] отключено = да
добавить интерфейс = мост1
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 | # Сценарий для защиты RouterOS # удалите хэштеги под этой строкой после того, как вы установили ваши значения # установить часовой пояс ниже # / system clock # set time-zone-autodetect = no time-zone-name = Country / City / ip firewall filter 900 69 # убедитесь, что это вверху списка правил add action = accept chain = input comment = «разрешить доступ администратора к маршрутизатору от авторизованных клиентов» dst-port = 22222,8888,8291 in-interface-list =! Протокол WAN = tcp / ip service set telnet disabled = yes set ftp disabled = yes set api disabled = yes set api-ssl disabled = yes set ssh port = 22222 set www port = 8888 # измените ниже на свою административную сеть # установите адрес winbox = 192.168.88.0 / 24 # установите желаемое имя пользователя admin ниже # / user set 0 name = myuser / ip cloud set update-time = no # Отключить обнаружение на порте WAN / ip Neighbor discovery-settings set numbers = 0 discover = no # Принудительное шифрование SSH, предпочтение 256-битных ключей и хеширование sha256 / ip ssh set strong-crypto = yes # Отключить сервер пропускной способности, т.к. он прослушивает интерфейс WAN / tool bandwidth-server set enabled = no # Отключить MAC-сервер, прослушивающий все интерфейсы, включить только первый мост / tool mac-server set [find default = yes] disabled = yes add interface = bridge1 # Отключить прослушивание MAC-сервера на всех интерфейсах, включить только первый мост / tool mac-server mac-winbox set [find default = yes] disabled = yes add interface = мост 1 |
Более подробная информация на https: // wiki.mikrotik.com/wiki/Manual:Securing_Your_Router
Хотите узнать, насколько безопасен ваш маршрутизатор? Проверьте IP своего маршрутизатора на https://www.shodan.io/host/x.x.x.x
Очень безопасная установка
- Добавьте сертификат для входа и удалите логин по паролю
# Проверить сертификат включен для пользователя
/ пользовательские ssh-ключи распечатать
# 0 R admin 2048 пользователь @ хост
# Запретить вход по паролю
/ ip ssh set always-allow-password-login = no
# Проверка сертификата включена для пользователя / ssh-keys пользователя print # 0 R admin 2048 user @ host # Запретить вход по паролю / ip ssh set always-allow-password-login = no |
SSH-сервер RouterOS поддерживает переадресацию портов.Поэтому, если вы хотите управлять удаленным устройством через веб-интерфейс, вы можете открыть службу ssh для WAN, но закрыть http / https. Затем подключитесь к ssh с включенной переадресацией портов на порт 80/443 и используйте веб-интерфейс через туннель.
.