Настройка времени mikrotik: Настройка синхронизации времени на MikroTik
Настройка и синхронизация точного времени в локальной сети
В условиях ведения современного бизнеса, время имеет ключевое значение, ведь время это деньги. Для ряда предприятий очень важным является обеспечение точного времени на всех этапах.
Как пример, это могут быть банковские учреждения, транспортные, перевозочные организации, предприятия, на которых используется система электронного учета за сотрудниками (приход на работу, открытие смены и т.д.), а также предприятия с полной или частичной автоматизацией бизнес-процессов.
В случаях, когда время на компьютерах отличается, могут возникать определенные проблемы, в частности речь идет о сетевом программном обеспечении. Примеров может быть множество, каждый сам решает насколько для вас важно точное время. Очень часто в торговых предприятиях рабочие станции (например, кассы) хоть и объединены в локальную сеть, но доступа к сети Интернет могут и не иметь. Использование локального сервера времени позволяет установить единое время для всех устройств, работающих в локальной сети предприятия, а также обеспечить автоматическую синхронизацию времени на ПК без доступа к сети Интернет.
Процесс настройки точного времени на примере маршрутизаторов компании Mikrotik.
Первоначальная настройка времени выполняется в разделе System – Clock.
Важно правильно указать часовой пояс. Заходим в раздел System – NTP Client.
Первым делом устанавливаем опцию Enabled, для активации клиента. Режим (Mode) оставляем без изменений – unicast. Далее нам необходимо указать 2 сервера времени, первичный и вторичный – Primary NTP Server и Secondary NTP Server.
Сервер времени достаточно просто найти в интернете, самым крупным сервисом является pool.ntp.org, здесь вы можете выбрать сервер NTP, исходя из своей локации. Поскольку мы находимся в Украине, то и сервера предполагается использовать украинские – чем меньше задержки при передаче пакетов, тем лучше.
Для Украины это серверы:
0.ua.pool.ntp.org
1.ua.pool.ntp.org
2.ua.pool.ntp.org
3.ua.pool.ntp.org
На сервисе существуют серверы для других стран и регионов, например, для Европы есть сервера верхнего уровня:
0. europe.pool.ntp.org
1.europe.pool.ntp.org
2.europe.pool.ntp.org
3.europe.pool.ntp.org
Пока клиент NTP не активен – система будет использовать локальные часы (using local clock). Поле того, как вы укажете серверы для синхронизации и нажмете применить, система преобразует DNS в IP-адреса и начнет синхронизацию (статус synchronized – синхронизация прошла успешно).
Преобразование в IP имеет недостаток, дело в том при смене IP сервера, в маршрутизаторе он автоматически не сменится. Будем надеяться, в последующих обновлениях RouterOS разработчики учтут этот недостаток.
На этом этапе наш маршрутизатор уже использует точное время и периодически выполняет синхронизацию. Осталось настроить его для использования в локальной сети.
Для этого нам потребуется специальный пакет NTP, который устанавливается отдельно. На официальном сайте Mikrotik в разделе загрузок (Downloads), необходимо скачать архив Extra packages для вашей платформы. В нашем случае это MIPS-BE.
Качаем all_packages-mipsbe-6.34.zip (архив для текущей версии 6.34) и извлекаем из него NPK-пакет ntp-6.34-mipsbe.npk.
Загружаем в Mikrotik, активируем, перезагружаем систему. После этого у вас появится новый раздел System – NTP Server.
Это и есть наш сервер NTP. Устанавливаем опцию Enabled, а также Multicast и Manycast.
Готово, теперь в нашей локальной сети есть свой сервер времени. Осталось настроить клиентские устройства. Большинство офисов используют Windows-платформу, поэтому настройку опишем на примере операционной системы Windows.
В настройках часов присутствует специальная вкладка «Время по Интернету», здесь можно указать сервер времени и выполнить ручную синхронизацию.
Недостаток этого метода в том, что настройку нужно произвести на всех компьютерах, а при переустановке ОС выполнять все действия повторно. Существует альтернативный и куда более удобный вариант решения данного вопроса. Дело в том, что по-умолчанию, операционная система Windows настроена на синхронизацию времени с сервером time. windows.com
Поскольку клиенты в локальной сети в качестве DNS-сервера используют локальный маршрутизатор, мы вполне можем «обмануть» Windows. Открываем раздел IP – DNS.
В настройках DNS необходимо добавить новую статическую запись, для чего нажимаем Static.
В поле Name указываем time.windows.com, в поле Address – IP маршрутизатора в локальной сети.
После этого у нас появится новая запись.
До того, как кеш DNS обновится может пройти достаточное количество времени, поэтому ускоряем процесс. В настройках DNS выбираем Cache (Кеш) и далее нажимаем Flush Cache, что приведет к его очистке.
На этом настройка завершена, а все системы на ОС Windows будут производить автоматическую синхронизацию времени с локальным сервером без каких-либо дополнительных настроек.
Настройка NTP на Mikrotik — Asterisk IP-телефония
В данной статье проведем настройку NTP.
Использование локального
сервера времени позволяет установить единое время для всех устройств,
работающих в локальной сети предприятия. NTP (Network Time Protocol) — протокол,
определяющий синхронизацию времени на устройстве с публичным или частным
сервером, который предоставляет данную информацию. Может показаться, что
установленное время на маршрутизаторе не играет особой роли, но это только на
первый взгляд. К примеру, протоколы IPSec и Kerberos
во время своей работы постоянно обманываются ключами и токенами, которые
обладают тайм-стампами т.е если на одном роутере время с не синхронизировано с
другим или присутствует большая погрешность то к примеру IPSec туннели вообще
могут не подняться.
В качестве такого локального сервера времени у нас будет выступать Mikrotik.
Первоначальная настройка:
Переходим в раздел System — Clock
Если у вас московский часовой пояс, то устанавливаете
время как ниже на скриншоте
После нажимаем ОК и переходим в следующий раздел System
– NTP Client
Для начала активируем клиент (устанавливаем опцию Enabled).
Пунтк «Mode» оставляем без изменений.
Теперь нам нужно указать 2 сервера времени: первичный (Primary NTP Server ) и вторичный (Secondary NTP
Server).
Существует много сервисов времени и их достаточно просто найти в сети интернет. Самым же крупным является pool.ntp.org, которым мы и воспользуемся.
Поскольку мы находимся в России, то и сервера будем
использовать российские.
0.ru.pool.ntp.org
1.ru.pool.ntp.org
2.ru.pool.ntp.org
3.ru.pool.ntp.org
Естественно, на данном сервисе есть серверы и для других
стран и регионов. К примеру, для Украины есть следующие сервера:
0.ua.pool.ntp.org
1.ua.pool.ntp.org
2.ua.pool.ntp.org
3.ua.pool.ntp.org
Пока NTP-client
не
активен система будет использовать локальные часы, которые мы задали ранее.
После того, как вы заполните информацию серверам и нажмете применить, система
преобразует DNS в IP адреса и начнет
синхронизацию.
Преобразование в IP имеет недостаток, дело в том, что при смене IP сервера, в маршрутизаторе он автоматически не сменится.
И так, наш mikrotick теперь использует точное
время и с определённой периодичностью проводит синхронизацию времени. Осталось
только настроить его для использования в локальной сети.
Для этого нужен специальный пакет, который обычно не включается в routeOS и его нужно устанавливать отдельно. Переходим по следующей ссылке.
В зависимости от оборудования и версии прошивки скачиваете Extra packages. Если у вас версия прошивки не соответствует не одной из перечисленных, то обновите прошивку. Если не знаете, как это сделать, то можете это узнать из этой статьи.
Рекомендуется использовать прошивки только из ветки Long-term или Stable т.к бэта версия содержит вместе с новым функционалом и ряд новых багов.
Извлеките из ранее скаченного архива NPK-пакет, а затем загрузите его в mikrotick
Активируем и перезагружаем
После этого должен будет появиться новый раздел NTP
Server
Переходим в него и активируем (Устанавливаем опцию Enabled, а также Multicast и Manycast. )
Готово, теперь в нашей локальной сети есть свой сервер
времени.
Настройка маршрутизатора MikroTik с нуля
Оборудование компании MikroTik получает всё большее распространение не только в корпоративном сегменте, но и в домашнем. Пользователи приобретают устройства по разным причинам, кому-то его посоветовали, кто-то нашел об этом оборудовании информацию в интернете. Настройка маршрутизатора у не подготовленного пользователя зачастую вызывает ступор, наличие подготовленной конфигурации от производителя и мастер быстрой настройки ситуацию спасают не всегда.
Ниже представленный материал описывает пошаговую настройку маршрутизатора MikroTik для дома или небольшого офиса от момента его подключения к электрической розетке до момента, когда роутер можно убрать на свое рабочее место и благополучно о нем забыть. Конфигурация включает в себя настройка проводных сетевых интерфейсов, работающих в локальной сети, настройка для работы с интернетом провайдера, настройка Wi-Fi, минимальная необходимая конфигурация Firewall и другие настройки для безопасной работы маршрутизатора и устройств подключенных к нему. 2 (RBD52G-5HacD2HnD), но другие устройства настраиваются точно так же, т.к. все маршрутизаторы работают под управлением единой системы RouterOS. Изначально настраиваемый экземпляр имел версию RouterOS 6.44. Настройка описывает подключение абонентов к сети интернет по технологии Ethernet.
Подготовка к настройке
Первым делом обзаводимся проводом UPT5 (патч-кордом), которым компьютер будет подключаться к маршрутизатору, к сожалению, производитель не комплектует свои устройства такой мелочью. Вторым, скачиваем программу WinBox с сайта MikroTik (прямые ссылки для версии WinBox_x32 и WinBox_x64). Маршрутизатор можно настраивать через Web интерфейс, через командную строку при помощи Telnet или SSH, но WinBox самый наглядный и удобный инструмент для настройки (особенно для не подготовленного пользователя). Третье, в настройках сетевой карты компьютера проверить, а по необходимости установить, получение IPv4 адреса по DHCP. Для компьютеров на ОС Windows это делается в Панель управления -> Все элементы панели управления -> Центр управления сетями и общим доступом -> Изменение параметров адаптера -> правой клавишей на Подключение по локальной сети -> Свойства -> IP версии 4 (TCP/IP) (Галочка должна быть установлена!!!) -> Свойства
, установить Получить IP-адрес автоматически
и Получить адрес DNS сервера автоматически
.
Первое подключение к маршрутизатору MikroTik
Провод провайдера, по которому приходит интернет, не подключаем!!! Это будет сделано позже.
Патч-кордом подключаем компьютер к устройству, на маршрутизаторе, для подключения используем порты со 2 по 5. Включаем устройство в электрическую розетку. Запускаем WinBox. После загрузки маршрутизатора в WinBox во вкладке Neighbors
мы увидим наше устройство. Нажимаем на него, в поле Login
пишем пользователя admin
, поле Password
оставляем пустым, кнопка Connect
.
При первом входе на устройство появляется сообщение с настройками роутера «из коробки». Те, кто хочет попробовать быстро настроить устройство, могут нажать кнопку OK
и далее попробовать настроить свое устройство через режим Quick Set
, у кого-то это получится, у кого-то нет, кто-то будет крыть устройство, компанию и тех, кто посоветовал это приобрести на чем свет стоит. Те, кто нажал кнопку OK
и у него ничего не получилось сбрасывает устройства к заводским настройкам: System -> Reset configuration -> Do Not Backup -> Reset Configuration
. Все остальные и вернувшиеся после сброса устройства читают дальше 🙂
При первом входе в появившемся окне нажимаем кнопку Remove Configuration
, это удалит все заводские настройки. Вот теперь, это абсолютно не настроенное устройство, мы будем конфигурировать под себя.
Настройка пользователей в MikroTik
После сброса конфигурации обычно происходит отключение от текущей сессии, в WinBox на странице авторизации в списке устройств отображается настраиваемый маршрутизатор. Т.к. назначенного адреса теперь у устройства нет, входим по MAC адресу нажав на соответствующее поле, Login: admin
, Password: оставляем пустым, далее Connect
.
Безопасность на первом месте, поэтому сразу меняем пароль пользователя admin
, меню System -> Users
, вкладка Users
, правой клавишей на пользователе Password. ..
и здесь же создаем нового пользователя с правами администратора, под которым будем работать постоянно, нажимаем + (Add)
, вводим имя нового пользователя, в выпадающем меню Group
выбираем full
, вводим пароль и подтверждение пароля, OK
. В верхнем меню нажимаем Session -> Disconnect
. Сложность пароля оставляю на совесть каждого, но лучше задать достаточно сложный пароль.
Повторяем подключение по MAC адресу, но уже под созданным новым пользователем. Если все хорошо, то опять переходим к списку пользователей и отключаем учетную запись admin
, предварительно выбрав ее и нажав красный крест. Изначально мы не отключили учетную запись администратора, чтобы если под новой учетной записью войти не удастся, то можно было бы зайти под админом. Пароль администратора был задан на случай, если учетная запись будет, по каким-то причинам включена, то защита паролем уже будет стоять.
Настройка локальной сети
В боковом меню выбираем Bridge
. На вкладке Bridge
нажимаем +
. В открывшемся окне в поле Name
вводим удобное для понимания имя и нажимаем OK
.
Для чего это делать? В обычном домашнем роутере, например, D-Link DIR-300, есть пять ethernet портов + Wi-Fi, четыре порта подписаны от 1 до 4, они предназначены для проводного подключения домашних устройств. Эти четыре порта объединены в один Bridge, в который объединен и Wi-Fi, устройства, подключенные к этим портам и Wi-Fi, объединяются в локальную сеть. В устройствах MikroTik другой подход, каждый проводной порт и каждый интерфейс Wi-Fi может быть настроен отдельно, и то, что на роутере сзади написано первый порт интернет, а со второго по пятый это локальная сеть, является только для конфигурации по умолчанию, которую мы успешно удалили 🙂 В MikroTik не обязательно первый порт может служить для выхода в интернет, настроить для этого можно любой порт, или два отдельных порта, в случае использования двух провайдеров. Но мы пока рассматриваем классический пример, созданный Bridge будет объединять проводные и беспроводные порты для локальной сети.
Переходим на вкладку Ports
. На вкладке Ports
нажимаем +
и последовательно по одному порту добавляем в созданный Bridge порты, к которым будут подключаться устройства локальной сети. Первый порт трогать не будем, он будет для подключения интернет, добавляем порты ethernet2
, ethernet3
, ethernet4
, ethernet5
. Сюда же добавляем интерфейсы wlan1
и, если есть, wlan2
(по умолчанию в устройствах MikroTik wlan1 это адаптер на 2.4GHz, wlan2 адаптер на 5GHz).
В соответствующие поля выбираем нужный интерфейс и созданный нами Bridge, нажимаем OK
. Затем опять +
, пока не добавим все необходимые интерфейсы.
Закрываем окно Bridge
. В боковом меню открываем IP -> Addresses
. Установим нашему маршрутизатору IP адрес в нашей маленькой локальной сети. В окне Address List
нажимаем +
. В открывшемся окне вносим:
- Address — IP адрес маршрутизатора, через
/
(прямой слеш) указываем маску подсети. Например, для нашей тестовой конфигурации будет 192.168.111.1/24. Префикс /24 соответствует маске 255.255.255.0 и позволяет использовать 254 адреса в локальной сети. - Network — в данном случае пропускаем, после нажатия кнопки
OK
, данное поле будет заполнено само. - Interface — выбираем созданный нами
Bridge
.
Нажимаем OK
, закрываем окно Address List
и переходим к настройке сервиса, выдающего IP адреса устройствам в локальной сети, а вместе с ними минимальный набор сетевых настроек — DHCP сервера. В боковом меню переходим IP -> DHCP Server
. В открывшемся окне нажимаем кнопку DHCP Setup
. В открывшемся окне последовательно выбираем/заполняем необходимые поля.
DHCP Server Interface — интерфейс, на котором будет работать данная конфигурация DHCP сервера, выбираем наш созданный ранее Bridge. Нажимаем Next
.
DHCP Address Space — используемое адресное пространство для раздачи адресов, указывается как Network/Mask
. Network мы могли видеть ранее, когда устанавливали IP адрес маршрутизатору, мы его не заполняли, но он установился сам, для данной конфигурации используем его. Mask — маска подсети, этот параметр тоже использовался ранее при назначении IP адреса маршрутизатору. Если ничего не понятно, что все это и зачем, то стоит почитать немного про сети, если лень, то делай как я :))) Для нашей конфигурации — это будет выглядеть так: 192.168.111.0/24
. Нажимаем Next
.
Gateway For DHCP Network — адрес маршрутизатора в сети. Здесь всё просто, поскольку мы настраиваем устройство как маршрутизатор, и он у нас единственный в сети, то в поле записываем выданный нами ранее адрес маршрутизатора — 192.168.111.1
(Здесь маска сети не указывается!). Нажимаем Next
.
Addresses to Give Out — диапазон IP адресов, выдаваемых DHCP сервером. Используемая маска /24 ограничивает нас количеством в 254 адреса, поскольку адрес 192.168.111.1 уже занят, то он не должен попадать в этот диапазон, если в сети нет других статических адресов, то можно использовать весь диапазон от 2 до 254. Описываемая конфигурация будет ограничиваться только сотней выдаваемых сервером адресов, 192.168.111.101 - 192.168.111.200
. Нажимаем Next
.
DNS Servers — адрес(а) сервера(ов) предназначенных для получения IP адресов в сети по имени хостов/доменов. Тоже всё просто, если в сети нет отдельных серверов DNS, сервера провайдера не считаются, то это наш маршрутизатор. Для нашей конфигурации это 192.168.111.1
. Нажимаем Next
.
Lease Time — Время аренды адреса. По истечении этого времени если адрес не используется, то он освобождается и может быть назначен другому устройству, если адрес используется, то аренда продлевается на время Lease Time. Одного часа достаточно. Next
и нам сообщают об успешной настройке DHCP сервера.
Переходим на вкладку Networks
. Дважды нажимаем на созданной конфигурации, в поле NTP Servers
(серверы времени) записываем адрес нашего маршрутизатора. Теперь устройства, поддерживающие данную настройку, будут синхронизировать свои часы с маршрутизатором.
Перейдя на вкладку Leases
можно увидеть, что одно устройство получило IP адрес в локальной сети, это компьютер, с которого происходит настройка маршрутизатора.
Настройка интернет на MikroTik
Закрываем все окна в WinBox. В боковом меню открываем Interfaces
. Дважды нажимаем на интерфейсе ether1
, в поле Name
пишем ehter1-wan
, сохраняем нажав OK
. Переименование сделано для удобства чтения конфигурации в будущем.
Переходим на вкладку Interface List
, нажимаем кнопку Lists
. В открывшемся окне создадим несколько новых списков интерфейсов. Списки удобно использовать что бы не добавлять в разных настройках несколько интерфейсов, достаточно использовать в настройке список, а необходимые интерфейсы добавлять уже в этот список. Последовательно добавляем списки нажав +
.
- list-wan — список интерфейсов, подключенных к провайдерам. В описываемой конфигурации в списке будет один интерфейс, но список может оказаться полезным при использовании подключений VPN или подключении второго канала интернет.
- list-discovery — список интерфейсов, которые будут использоваться службами Neighbor Discovery и MAC Server. Используется для безопасности нашего устройства.
В списках должно быть две новых записи:
Закрываем окно редактирования Interface Lists
. Добавляем в созданные списки необходимые интерфейсы.
- Интерфейс
ether1-wan
в списокlist-wan
- Созданный ранее Bridge интерфейс
bridge-home
в списокlist-discovery
В итоге должно получиться так:
Обезопасим маршрутизатор и устройства локальной сети от доступа к ним из сети интернет. Открываем окно IP -> Firewall
. На вкладке Filter Rules
нажимаем +
и добавляем новое правило. В открывшемся окне на вкладке General
добавляем:
- Chain — Input
- In Interface List — list-wan
- Connection State — отмечаем в окне первый не подписанный квадрат, он выделится восклицательным знаком, далее выбираем
established
иrelated
На вкладке Action
в разделе Action
выбираем drop
. Нажимаем OK
.
Созданное правило будет читаться так: Пакеты, приходящие на интерфейсы из списка list-wan не относящиеся (восклицательный знак в поле Connection State) к уже установленным и связанным подключениям будут отброшены. Цепочка (Chain) Input действует только на входящие пакеты, относящиеся к интерфейсам маршрутизатора. Действие (Action) drop отбрасывает все пакеты, попадающие под данное правило и в ответ, не отсылает никаких сообщений.
Создадим второе правило, точнее создадим его на основе первого. На созданном ранее правиле нажимаем дважды в открывшемся окне кнопку Copy
, откроется окно создания нового правила, но с настройками как у предыдущего. В поле Chain
нового правила выставляем forward
. Закрываем оба правила клавишей OK.
Второе правило будет похоже на первое за тем исключением, что оно действует только на пакеты, приходящие на интерфейсы из списка list-wan, но которые транслируются дальше на устройства локальной сети.
Два этих правила, это минимальная необходимая настройка Firewall для защиты от несанкционированного доступа из сети интернет. Весь остальной трафик будет никак не ограничен маршрутизатором, но поскольку настройка Firewall это отдельная большая тема, то описывать ее в рамках этой статьи не будем.
Предоставляем доступ в интернет устройствам подключенных к локальной сети обслуживаемой маршрутизатором с помощью службы NAT. Переходим на вкладку NAT
, добавляем новое правило +
. В открывшемся окне в поле Chain
выставляем srcnat
, в поле Out Interface List
— list-wan
.
На вкладке Action
в разделе Action
выбираем masquerade
. Нажимаем OK
.
Настраиваем DNS. В боковом меню переходим IP -> DNS
. В качестве используемых внешних серверов DNS будем использовать сервера Google. В открывшемся окне в поля Servers
вписываем IP адреса 8. 8.8.8
и 8.8.4.4
. Что бы наш маршрутизатор работал как DNS сервер для устройств в локальной сети включаем Allow Remote Requests
. Нажимаем OK
.
Некоторые провайдеры используют привязку MAC адреса интерфейса на своем оборудовании, поэтому перед подключением необходимо позвонить провайдеру и сообщить о том, что у вас поменялось устройство.
Если звонок провайдеру вызывает какие-либо проблемы, то можно сменить MAC адрес на интерфейсе, к которому подключается провод провайдера. К сожалению, в настройках интерфейсов нельзя сменить MAC адрес изменив соответствующее поле, но он меняется через команду в консоли. В боковом меню нажимаем New Terminal
и в открывшемся окне вводим:
/interface ethernet set ether1-wan mac-address="00:00:00:00:00:00"
Соответственно вместо 00:00:00:00:00:00 вводим необходимый MAC адрес.
Теперь подключаем провод провайдера в порт 1 нашего устройства!
Назначаем IP адрес нашему интерфейсу, к которому будет подключен провод провайдера, в нашем случае это ether1-wan
. IP адрес может быть назначен двумя способами.
- Получение IP адреса от оборудования провайдера по DHCP.
- Если первый вариант провайдером не поддерживается, то настройки вносятся в оборудование вручную.
Как назначается IP адрес обычно написано в договоре или памятке к договору, заключаемому с провайдером. Если нет уверенности, то узнать это можно в службе поддержки провайдера. Рассмотрим оба варианта.
Вариант #1. Получение IP адреса абонентским оборудованием происходит от оборудования провайдера по DHCP. Переходим в боковом меню IP -> DHCP Client
. В открывшемся окне выбираем интерфейс ether1-wan
, отключаем Use Peer DNS
(мы будем использовать свои DNS сервера, настройка выше) и Use Peer NTP
(мы настроим синхронизацию времени позднее), Add Defaut Gateway
выставляем yes
. Нажимаем OK
.
При успешном получении во вкладке IP -> Addresses
можно увидеть IP адрес устройства. Напротив, полученного адреса указана буква «D» означающая, что адрес получен динамически.
Вариант #2. Если настройки провайдера необходимо указать вручную, то назначение IP адреса происходит по аналогии как мы назначали адрес интерфейсу Bridge ранее. Переходим во вкладку IP -> Addresses
, нажимаем +
. В открывшемся окне выбираем WAN интерфейс ether1-wan
, вводим IP адрес с маской и заполняем поле Network
.
Здесь рассмотрим поподробнее. В договоре провайдера маска обычно записывается в виде X.X.X.X (например, 255.255.255.0), а в MikroTik ее надо записать префиксом /Y (например, /24), что бы перевести одно в другое, а заодно рассчитать поле Network
воспользуемся IP калькулятором (online калькулятор). В поле IP адрес, вносим адрес выданный провайдером, в поле маска подставляем подходящее значение, нажимаем Подсчитать
.
В полученном расчете нам понадобятся Bitmask
и Network
. Для описываемой конфигурации в поле Address
вводим IP адрес с префиксом маски 10.33.1.249/26
, в поле Network
вводим 10.33.1.192
. Нажимаем OK
.
После ввода IP адреса добавляем маршрут по умолчанию (при получении IP адреса по DHCP маршрут добавляется сам, т.к. был выставлен Add Default Gateway = yes
). В боковом меню переходим IP -> Route
, нажимаем +
. В открывшимся окне в поле Dst. Address
пишем 0.0.0.0/0
, это значит все доступные адреса, в поле Gateway
шлюз, указанный в настройках провайдера 10.33.1.193
. Нажимаем OK
.
После этого должен заработать интернет на маршрутизаторе и устройствах локальной сети. Бывает, что устройство необходимо перезагрузить, после чего все начинает работать.
Обновление RouterOS
RouterOS, как и любое программное обеспечение может содержать ошибки, некоторые из них мелкие и не мешают работе, но могут быть критические ошибки, которые могут повлиять на работу не только самого маршрутизатора, но и устройств, подключенных к нему. После того, как заработает интернет необходимо обновить версию RouterOS до последней. В боковом меню переходим System -> Packages -> Check For Update
, в строке Channel
выбрать stable
и нажать Check For Update
. В строке Installed Version
написана текущая версия установленной RouterOS, в строке Latest Version
последняя версия доступного ПО. Если новая версия RouterOS найдена, то будут доступны две кнопки Download
и Download&Install
, нажимаем на последнюю. После скачивания устройство будет перезагружено для обновления, в это время не рекомендуется отключать его от электрической сети.
Компания MikroTik постоянно выпускают обновления на свои устройства, без обновлений не остаются и старые устройства, поэтому рекомендуется периодически заходить в роутер и проверять доступность новой версии ПО.
Работа с пакетами
Ранее в настройках DHCP сервера мы установили настройку синхронизации времени устройствами локальной сети с маршрутизатора, но проблема в том, что в RouterOS нет сервера времени (NTP server). 2 работает на процессоре архитектуры ARM (посмотреть архитектуру процессора устройства можно в System -> Resources
пункт Architecture Name
). Находим наше устройство в списке раздела ARM. Скачиваем архив из подраздела Extra packages
для установленной нашей версии RouterOS, как видно из раздела обновления описанного выше, это версия 6.47.7 ветка Stable.
Распаковываем полученный архив, находим в распакованном каталоге файл ntp-xxx-yyy.npk
(xxx — версия RouterOS, для которой подходит данный пакет, yyy — архитектура процессора). Версии установленной RouteOS и файла обязательно должны совпадать!
В WinBox в боковом меню открываем раздел Files
. Перетаскиваем файл ntp-xxx-yyy.npk
в корень раздела Files
.
Перезагружаем маршрутизатор System -> Reboot
. После установки и перезагрузки файл ntp.npk
будет удален автоматически и появится в списке установленных пакетов System -> Packages
.
Что бы не занимать системные ресурсы маршрутизатора можно отключить некоторые пакеты. В домашних условиях пакеты hotspot
и mpls
не нужны, выделяем их и нажимаем кнопку Disable
, если используемый маршрутизатор без встроенного Wi-Fi, то можно отключить пакет wireless
. Т.к. данные пакеты являются частью RouterOS удалить их нельзя, а вот установленные пакеты, как пакет ntp из примера выше, можно не только отключать, но и удалить, для этого используется кнопка Uninstall
. После пометки необходимых пакетов, окончательное отключение/удаление происходит после перезагрузки роутера.
Настройка синхронизации времени
Настройка сервера времени (NTP server). Для настройки сервера времени на устройствах MikroTik необходима установка пакета ntp
из дополнительного архива пакетов Extra Packages
(установка описана выше в данной статье).
Сервер времени включается в разделе System -> NTP Server
, вся задача заключается только в выставление флажка на пункте Enabled
и нажатии кнопки OK
.
Настройка синхронизации времени с внешним источником (NTP Client).
Настройка NTP Client’a может быть выполнена двумя способами.
- В системе не установлен пакет
ntp
из дополнительного архива пакетовExtra Packages
- В системе установлен пакет
ntp
из дополнительного архива пакетовExtra Packages
Вариант #1. Данный раздел доступен только если не установлен дополнительный пакет NTP. Переходим System -> SNTP Client
. Выставляем настройки:
- Enabled — вкл.
- Primary NTP server — time.google.com
- Secondary NTP server — time1.google.com
Вариант #2. Данный раздел доступен только если установлен дополнительный пакет NTP. Переходим System -> NTP Client
. Выставляем настройки:
- Enabled — вкл.
- Mode — unicast
- Primary NTP server — time.google.com
- Secondary NTP server — time1. google.com
Настройка времени на устройстве. System -> Clock
, отключаем Time Zone Autodetect
, выставляем правильный часовой пояс и проверяем правильное ли выставлено время.
Настройка Wi-Fi
Настройка Wi-Fi производится в разделе Wireless
. Сначала создаем профиль безопасности, в котором описывается как устройства будут подключаться к точке доступа. Открываем вкладку Security Profiles -> +
. В открывшемся окне указываем имя профиля в поле Name
для удобства чтения конфигурации, в Authentication Types
выбираем только WPA2 PSK
(WPA PSK выбираем только в случае если какое-либо подключаемое устройство не умеет работать с WPA2), Unicast Ciphers
— aes ccm
, Group Chiphers
— aes ccm
, в поле WPA2 Pre-Shared Key
вводим пароль для подключения к точке доступа, включаем самый нижний раздел Disable PMKID
. 2 в списке два беспроводных интерфейса wlan1 и wlan2. Интерфейс wlan1 это модуль на 2.4GHz, wlan2 на 5GHz, настраиваются они раздельно. Дважды нажимаем на интерфейсе wlan1
, переходим на вкладку Wireless
, сбоку нажимаем кнопку Advanced Mode
. Заполняем настройки:
- Mode — ap bridge
- Band — 2GHz-B\G\N
- Channel Width — 20MHz
- Frequency — рабочий канал, частота 2412MHz = channel 1, 2417MHz = channel 2, и т.д. Выбираем который посвободней.
- SSID — имя точки доступа, например, myhomewifi
- Security Profile — профиль безопасности. Выбираем из списка созданный ранее профиль.
- WPS mode — disabled
- Frequency Mode — manual-txpower
- Country — в этом пункте должна быть выставлена страна russia3, это значение ограничивает силу мощности излучаемого сигнала в соответствии с законодательством РФ.
Нажимаем кнопку Apply
и Enable
. Открываем в телефоне/планшете/компьютере раздел WiFi и пробуем подключиться к созданной точке доступа.
Заходим в интерфейс wlan2
. Переходим в Advanced Mode
, настройка аналогичная настройке интерфейса wlan1.
Заполняем настройки:
- Mode — ap bridge
- Band — 5GHz-A\N\AC
- Channel Width — 20MHz
- Frequency — рабочий канал, частота 5180MHz = channel 36, 5200MHz = channel 40, и т.д. Выбираем который посвободней.
- SSID — имя точки доступа, например, myhomewifi. Некоторые любят разделять, добавив в конце _5G, что бы устройство соединялось только с 5GHz, спорное решение, т.к. те же многие так же подключают устройства и к 2.4GHz, а потом вручную выбирают необходимый. Если клиентское устройство хорошо ловит сигнал 5GHz оно само к нему подключится и при одинаковом названии точек для двух радиомодулей.
- Security Profile — профиль безопасности. Выбираем из списка созданный ранее профиль.
- WPS mode — disabled
- Frequency Mode — manual-txpower
- Country — в этом пункте должна быть выставлена страна russia3, это значение ограничивает силу мощности излучаемого сигнала в соответствии с законодательством РФ.
Нажимаем кнопку Apply
и Enable
. Открываем в телефоне/планшете/компьютере раздел WiFi и пробуем подключиться к созданной точке доступа, проверяем что бы устройство подключалось на частоте 5GHz.
Дополнительные настройки
В меню IP -> Services
отключаем все ненужные сервисы. Обычно для доступа к устройству оставляют winbox
и, кто пользуется командной строкой, ssh
. В поле Available From
можно прописать адреса, для которых будут доступны данные сервисы, но если такое ограничение необходимо, то лучше это реализовать через списки в Firewall
, т.к. списки для сервисов ограничены по количеству и на их проверку требуются дополнительные затраты ресурсов маршрутизатора.
MikroTik умеет обнаруживать другие устройства в сети, при этом он так же сообщает информацию о себе, что может быть не безопасно. Ограничим обнаружение только интерфейсами из созданного ранее списка list-discovery
. IP -> Neighbors
, в поле Interface
если в поле НЕ (восклицательный знак в квадрате) стоит восклицательный знак, то убираем его, в выпадающем списке выбираем list-discovery
.
По умолчанию в MikroTik включен Bandwidth Test server
, отключаем его Tools -> BTest Server
.
Разрешаем обнаружение и подключение по MAC только для локальной сети, для этого используем ранее созданный список сетевых интерфейсов list-discovery
. Tools -> MAC Server
. Последовательно меняем настройки для MAC Telnet Server
, MAC Winbox Server
и MAC Ping Server
.
MAC Ping Server Enabled
отключаем совсем
Сделанные выше настройки уменьшат количество сервисов, по которым можно обнаружить и идентифицировать ваше устройство в сети, уменьшит количество возможностей подключения к устройству, а значит повысит защищенность устройства.
В завершении настройки, меняем имя устройства в System -> Identity
.
Заключение
Маршрутизатор можно убрать в далекий угол и заходить на него только для периодического обновления RouterOS.
Статья местами, наверно, получилась слишком подробной, но, как показывает практика, зачастую пользователи покупают MikroTik, не имея какой-либо подготовки в работе с подобным оборудованием.
Для тех кому стало как минимум любопытно, то рекомендуется к прочтению:
Туннельный брокер IPv6, настройка 6to4 туннеля в Mikrotik
Настройка резервного канала в MikroTik с уведомлением в Telegram
Mikrotik- Дополнительный Функционал И Настройка
Все самое необходимое для настройки Mikrotik RouterOS Вы сможете найти в нашем пособии «Микротик.Базовая настройка». Настройка от А до Я с разбором функций и проблем, которые могут возникнут у простого пользователя в процессе внедрения Mikrotik под свои задачи. Mstream делает шаг помощи для своих клиентов. С нашим руководством настройка Mikrotik RouterOS не станет помехой для достижения поставленных целей. — mikrotik настройка mikrotik wiki русский wiki mikrotik ru mikrotik документация на русском —
Сюда вошли настройка дополнительного функционала микротик и решения некоторых задач.
Теперь они собраны в одном месте, а не разбросаны по крупицам по все му интернету.
Есть что добавить? — оставляйте Ваши комментарии.
Дополнительный функционал и настройка Mikrotik
8. Настройка WiFi
8.1. В режиме AP Bridge (раздача инета по Wi-Fi) 8.2. В режиме Station Bridge (прием интернета по WiFi)
9. Настройка USB модемов
10. Дополнительный функционал
10.1. Web-Proxy
11. Инструменты-помощники
11.1. Ping. Arp-Ping. Traceroute 11.2. IP Scan 11.3. Watch Dog. NetWatch
12. Терминал. Telnet. SSH. FTP. API
13. Скрипты Mikrotik
8. Настройка WiFi
8.1. В режиме раздачи AP
Настройка в режиме раздачи описана в первом разделе — «Микротик — быстрый старт»
8.2. В режиме клиента Station
В режиме клиента Station настройки аналогичны режиму раздачи AP.
Единственные отличия — это вместо режима AP нужно выбрать режим «Station Bridge»
И конечно же в RouterOS есть инструменты для сканирования и анализа Wi-Fi сетей.
…
9. Настройка USB модемов
Это пример показывает как настроить модем Option Globetrotter HSDPA USB для работы с LMT (Латвийской мобильной телефонной сетью UMTS/GPRS) или с Amigo (GPRS) в Латвии.
Сервис в Вашей стране возможно имеет другие требования и настройки. Это просто схема того, что нужно делать.
Железо
USB Модем: Option N. V. Globetrotter HSDPA USB Modem H7.2
Производитель: Teltonika, model number U3G150
Роутер: MikroTik Router с USB портом (RB230, любая x86 система, RB433UAH, или, RB411U)
Роутерный софт
RouterOS V4.2. Работает на предыдущих версиях 2.9 and 3, но с небольшими отличиями в конфигурации.
USB модем распознается RouterOS как USB устройство и определяется среди USB ресурсов:
[admin@rb411u] > /system resource usb print # DEVICE VENDOR NAME SPEED 0 2:1 RB400 EHCI 480 Mbps 1 1:1 RB400 OHCI 12 Mbps 2 1:3 Option N.V. Globetrotter HSDPA... 12 Mbps [admin@rb411u] >
Убедитесь, что USB порт виден разделе port:
[admin@rb411u] > /port print Flags: I - inactive # NAME CHANNELS USED-BY BAUD-RATE 0 serial0 1 Serial Console auto 1 usb2 3 9600 [admin@rb411u] >
До версии RouterOS V3. 23, для модема показывались все порты. Начиная с версии V3.23 — один порт на модем, и модем имеет каналы, используемые для команд и данных. Каналы имеют номера 0,1,2, и пр. Некоторые модемы могут иметь два канала, некоторые имеют больше. Установите baud rate в 9600 для связи с модемом, в случае если это уже не сделано:
[admin@rb411u] > /port set usb2 baud-rate=9600
Проверьте ответ модема используя serial-terminal, например:
[admin@rb411u] > /system serial-terminal usb2 channel=2 [Ctrl-A is the prefix key] ATI Manufacturer: Option N.V. Model: GTM378 Revision: 2.3.3Hd (Date: Jul 17 2007, Time: 15:49:23) OK
Разорвите связь с модемом, нажав «Ctrl-A», а затем «Q»:
[Q - quit connection] [B - send break] [A - send Ctrl-A prefix] [R - autoconfigure rate] Welcome back! [admin@rb411u] >
Обходной путь для устройств Globetrotter не имеющих модемного интерфейса
Нет никакой гарантии, что эти команды работают на всех модемах, которые нуждаются в HSO драйверах.
ТЕстируемые устройства — это T-Mobile branded Globetrotter iCON 225 «web’n’walk Stick».
Это устройство подключилось без проблем после описанного метода.
That device was able to connect without problems after the method described. Некоторые карты Globetrotter HSDPA, например iCON 225 (бренд Orange, T-Mobile web’n’walk stick, и пр. имеют последовательный интерфейс по умолчанию отключенным, и предлагают только NDIS интерфейс для соединения. Если команда дозвона сработала, но нет ответа соединения от модема, это может быть полезным для такой проверки. Для проверки настроек:
[admin@MikroTik] > /system serial-terminal port=usb1 channel=0 [Ctrl-A is the prefix key] ATZ OK ATI0 Manufacturer: Option N.V. Model: GlobeTrotter HSDPA Modem Revision: 2.5.24Hd (Date: Apr 17 2009, Time: 08:59:36) OK AT_OIFC? _OIFC: 2,1,1,0 OK AT_OIFC=? _OIFC: [2-3], [0,1], [1], [0-5] mdm, diag, app1, pcsc/gps MDM (0: N/A) (1: N/A) (2: ndis) (3: modem and ndis) DIAG (0: none) (1: enable) APP1 (0: none) (1: enable) PCSC/GPS (0: none) (1: pcsc enable) (2: GPS enable) (3: app2 enable) (4: GPS & PCSC) (5: GPS & app2) OK
В этом примере, MDM (модем) интерфейс установлен в 2, так, что не включен последовательный интерфейс модема.
Для изменения настроек:
AT_OIFC=3,1,1,0
Вы должны получить: OK
Для записи изменений в память NVRAM устройства:
AT&W
Отключите и включите устройство, и на выходе получим:
[admin@MikroTik] > /port print Flags: I - inactive # NAME CHANNELS USED-BY BAUD-RATE 0 usb1 4 9600
Число каналов должно быть увеличено. На тестовом устройстве, последний канал — это модемный интерфейс (номер 3 в RouterOS).
В соответствии со страницей драйверов Linux HSO, существует по меньшей мере пять устройств , которые не имеют интерфейс модема по умолчанию включенным.
Конфигурация роутера для PPP
Начиная с RouterOS V4 (и последней версси 3) настройка PPP клиента гораздо проще, чем в предыдущих версиях. Там не нужно использовать ppp профили, а интерфейс клиента ppp может быть добавлен автоматически /interface ppp-client:
[admin@rb411u] > /interface ppp-client [admin@rb411u] /interface ppp-client> print Flags: X - disabled, R - running 0 X name="ppp-out1" max-mtu=1500 max-mru=1500 mrru=disabled port=usb2 data-channel=2 info-channel=2 apn="internet" pin="" user="" password="" profile=default phone="" dial-command="ATDT" modem-init="" null-modem=no dial-on-demand=yes add-default-route=yes use-peer-dns=yes allow=pap,chap,mschap1,mschap2 [admin@rb411u] /interface ppp-client> info 0
Интерфейс имеет 3G/GPRS особые модемные аргументы, наподобие apn, pin. Узнайте у Вашего провайдера как использовать APN, user, и password. Подгоните настройки peer-dns и default-route в соответствии с тем, что Вы хотите сделать на Вшем интерфейсе!В нашем случае, мы хоти постоянное соединение, но не хотим дозвон по требованию:
[admin@rb411u] /interface ppp-client> set 0 dial-on-demand=no [admin@rb411u] /interface ppp-client> enable 0 [admin@rb411u] /interface ppp-client> print Flags: X - disabled, R - running 0 R name="ppp-out1" max-mtu=1500 max-mru=1500 mrru=disabled port=usb2 data-channel=2 info-channel=2 apn="internet" pin="" user="" password="" profile=default phone="" dial-command="ATDT" modem-init="" null-modem=no dial-on-demand=no add-default-route=yes use-peer-dns=yes allow=pap,chap,mschap1,mschap2 [admin@rb411u] /interface ppp-client>
После включения интерфейса проверьте логи, для того, чтобы увидеть установку соединения с USB-модемом.
[admin@rb411u] /interface ppp-client> /log print 12:29:16 async,ppp,info ppp-out1: initializing... 12:29:16 async,ppp,info ppp-out1: reseting link... 12:29:16 system,info device changed by admin 12:29:16 system,info dns changed 12:29:17 async,ppp,info ppp-out1: initializing modem... 12:29:17 async,ppp,info ppp-out1: dialing out... 12:29:17 async,ppp,info ppp-out1: authenticated 12:29:20 async,ppp,info ppp-out1: could not determine remote address, using 10.112.112.119 12:29:20 async,ppp,info ppp-out1: connected 12:29:20 system,info dns changed [admin@rb411u] /interface ppp-client>
Последовательные порты используемые в ppp клиенте:
[admin@rb411u] > /port print Flags: I - inactive # NAME CHANNELS USED-BY BAUD-RATE 0 serial0 1 Serial Console auto 1 usb2 3 PPP 9600 [admin@rb411u] >
Проверьте адреса, в нашем случае мы имеем:
[admin@rb411u] > /ip address print Flags: X - disabled, I - invalid, D - dynamic # ADDRESS NETWORK BROADCAST INTERFACE 0 D 10. 5.8.64/24 10.5.8.0 10.5.8.255 ether1 1 D 10.40.192.214/32 10.112.112.119 0.0.0.0 ppp-out1 [admin@rb411u] >
и маршруты:
[admin@rb411u] > /ip route print Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 ADS 0.0.0.0/0 10.112.112.119 1 1 ADC 10.5.8.0/24 10.5.8.64 ether1 0 2 ADC 10.112.112.119/32 10.40.192.214 ppp-out1 0 [admin@rb411u] >
Вы можете получить еще информацию о статусе модема и сети запусти команду info.
В нашем случае модем использует тот же самый канал для данных и info
[admin@rb411u] /interface ppp-client> info 0 failure: can't reuse channel while ppp-client running! [admin@rb411u] /interface ppp-client> disable 0 [admin@rb411u] /interface ppp-client> info 0 status: "ready" pin-status: "no password required" functionality: "minimum" gprs-class: "A - GPRS & GSM simultaneous" manufacturer: "Option N.V." model: "GTM378" revision: "2.3.3Hd (Date: Jul 17 2007, Time: 15:49:23)" serial-number: "356237010662581,S23977B51N" current-operator: "LV LMT GSM" access-technology: "3G" signal-strengh: -89 [admin@rb411u] /interface ppp-client>
Вам нужно использовать маскарадинг, чтобы спрятать локальную сеть когда выходите через ppp!
Привелигированные настройки модема
Опционально модемы могут быть установлены для привелигированных операций в UMTS(3G) or GPRS сетях.
Для изменения рабочего режима, используйте AT_OPSYS команду через терминалl, или включите это внутрь строки инциализации модема:
AT_OPSYS=0,2 Only GPRS AT_OPSYS=1,2 Only UMTS(3g) AT_OPSYS=2,2 Prefer GPRS over UMTS(3G) AT_OPSYS=3,2 Prefer UMTS(3G) over GPRS
Запрос текущих _OPSYS настроек используя AT_OPSYS? команду:
[admin@rb411u] > sys serial-terminal usb4 channel=0 [Ctrl-A is the prefix key] AT_OPSYS? _OPSYS: 3,2 OK
Настройка _OPSYS режима работы остается нетронутым после перезагрузки роутера и выключения/включения.
Если вы заблокируете режим настройки 3G для модема, то команда сканирования покажет GPRS сети и наоборот.
Неполадки
-
Вы не получили «authenticated» и «connected» -
Что-то неверно с Вашими настройками. Вероятно настройка интерфейса ppp-клиента должна быть изменена для совпадения с требованиями Вашего провайдера.
-
Если настройка data-channel неверна, то не будет никакого содеинения. Число доступных каналов показано в /port list, номер порта начинается с 0. Отключите интерфейс и попробуйте другой номер порта!
-
Проверьте, можете ли Вы соединиться с модемом используя serial-terminal! Удостоверьтесь, что ppp-client отключен!
-
Выключите запрос PIN-кода для Вашей SIM карты, это сделает жизнь намного проще. Сделайте это в телефоне, если Вы не знаетет правильную AT-команду.
-
Скорость линка, не такая, как ожидалась. -
Возможно, что модем соединился к GPRS сети, а не 3G. Используйте команду scan для поиска доступных сетей:
[admin@rb411u] /interface ppp-client> scan 0 Flags: C - current, A - available, F - forbidden OPERATOR CODE ACCESS-TECHNOLOGY SIGNAL-STRENGH C LV LMT GSM 24701 GSM compact -65 A LV LMT GSM 24701 3G F BITE LV 24705 3G F LV TELE2 24702 GSM compact F LV TELE2 24702 3G F BITE LV 24705 GSM compact -- [Q quit|D dump|C-z pause]
-
Требуется множественная инициализация (мультистрочная инициализация) -
Их возможно разделить используя символ ; .U2DIAG=256
-
Отсылка sms не работает
-
Проверьте порт -
Проверьте PIN-код -
Включите отладочное логирование GSM, DEBUG -
Проверьте log -
Создайте supout
-
Не удается получить SMS
-
Проверьте порт -
Проверьте PIN-код -
Сервис доставки sms настроен? -
Корректно ли введен код страны +XXX ? -
пароль совпадает? -
Проверьте sms хранилище /sys serial usbX путем ввода команды at+cmgl=1 (список всех сообщений в хранилище sms) -
Включите отладочное логирование GSM, DEBUG -
Проверьте log -
Создайте supout
-
PPP клиент не работает
-
Проверьте порт -
Проверьте PIN-код -
Дозвон по требованию отключен? -
apn верный? -
Нужна специальная инициализация модема (для обработки PIN используйте at+cpin=XXXX) ? -
Включите отладочное логирование ASYNC, DEBUG -
Проверьте log -
Создайте supout
-
PPP info — не работает
-
Проверьте порт -
Используйте тот же самый канал info-channel == data-channel (НЕ может работать пока ppp-client включен) ? -
Включите отладочное логирование ASYNC, DEBUG -
Проверьте log -
Создайте supout
-
Команда PPP info сообщает functionality=minimum
-
Используйте /system serial-terminal usbX channel=X и выполните at+cfun=1 -
Команда ppp info должна сообщить — functionality=full -
Если после каждой перезагрузки functionality снова становиться minimum, то добавьте в поле инициализации модема at+cfun=1
-
После выполнения некоторых AT команд модем не отвечает корректно или сообщает об ошибке переменных
-
Сброс модема может решить проблему -
Используйте /system serial-terminal usbX channel=X -
Выполните команду at+cfun=0 подождите несколько секунд и выполните at+cfun=1
-
Порт — invalid или не работает
-
Отсоедините модем -
Отключите интерфейс ppp-client -
Перезагрузите роутер -
Подключите моде и после 5 сек. продолжите следующий шаг -
Создайте supout
-
Модем перестал отвечать
-
Обновите прошивку модема и проверьте, решило ли это проблему -
Создайте supout
Типичные методы проверки
Для проверки порта-
порт занят ? /port print (проверьте used-by) -
канал занят ? (Два приложения не могут использовать один и тот же канал) -
Выбранный канал работает? Проверьте есть ли вывод /sys ser usbX channel=X с командой ATI -
порт отображается ? /port print -
Устройство отображается ? /sys reso usb pr -
Создайте supout
Для проверки PIN-кода-
/int ppp-client info CONNAME или запустите /sys serial usbX и затем at+cpin? -
Введите pin at+cpin=XXXX
Создайте supout:-
Запустите /sys sup-output -
Свяжитесь с поддержкой и приложите файл supout.rif
10. IP.
10.1. ARP
ARP-таблица соответствия MAC+IP.
Записи Динамические. Время жизни 5 минут.
Записи можно сделать статическими. Make Static.
Тут же можно сделать жесткую привязку клиентов MAC+IP.
ARP-таблица показывает, кто с каким MAC и IP подключился.
Так же она используется для блокировки левых MAC+IP.
Для включения блокировки нужно зайти в Interfaces, выбрать Ваш интерфейс и в опции ARP — Reply Only.
После этого динамические записи добавлятся не будут.
Доступ будет разрешен только тем, кто прописан в ARP-таблице.
Не забудьте добавить свой MAC+IP — иначе Вы не сможете зайти в админку роутера.
Также обязательно делелать Make Static в DHCP Server — Leases, чтобы клиенты получали свои IP-адреса.
Причем MAC+IP пары должны совпадать в DHCP Server — Leases и ARP таблице!
Советую пользоваться PPPoE авторизацией, если Вы не хотите заморачиваться контролем MAC-адресов.
10.2. Accounting
Используется для подсчета трафика между разными IP.
В том чиле для учета локального трафика.
10.3. Addresses
Список IP адресов, которые присвоены интерфейсам.
Любому интерфейсу нужно всегда назначать IP-адрес.
Следите, чтобы IP-адреса нигде не дублировались!
Адреса могут быть динамические и статические.
Динамические адреса и маршруты выдаются, если есть записи в DHCP-клиенте.
10.4. DHCP Client
Используется для поключения к провайдеру или серверу, который раздает IP адреса автоматически.
Для Dynamic IP.
Если нужно прописать настройки вручную, то
IP адрес и маска подсети прописываются в IP — Address
Шлюз прописывается в разделе IP — Route
DNS-сервера прописываются в IP — DNS.
DHCP — сервер нигде прописывать не нужно.
10.5. DHCP Relay
Перенаправляет DHCP запросы от клиентов на другой DHCP сервер.
Обычно используется для Микротиков, работающих в режиме NAS и при наличии биллинга.
Удобно, когда IP клиентам нужно выдавать централлизовано.
10.6. DHCP Server
Раздает IP адреса клиентам сети. А также может раздавать IP шлюза, DNS и DHCP -сервера.
Тут же можно посмотреть кто какие IP-адреса получил. Во вкладке Leases.
Можно делать Make Static. Т.е. определенному MAC-адресу выдается определнный IP-адрес.
На каждый физический интерфейс и bridge-интерфейс можно создавать свой DHCP-сервер.
DHCP сервер использует адреса из списка IP — Pool.
Pool — это диапазоны IP-адресов,
Также здесь можно указать DHCP-Relay для каждого DHCP-сервера в отдельности.
10.7. DNS
Сюда попадают DNS-сервера выданные провайдером.
При желании также можно прописать свои DNS-сервера.
Так же здесь сохраняется DNS-кеш клиентов.
И можно делать статические записи DNS — Static DNS.
Т.е. можно, к примеру, по адресу i.net — попадать на локальный IP 192.168.0.2
10.8. Firewall
Мощный инструмент для:
— разрешения и блокировки траффика — Filter
— организации NAT и проброса портов — NAT
— маркировки пакетов — Mangle.
— Создания Адрес-листов — Address List.
10.9. Hotspot
Тут можно организовать доступ в интернет через авторизацию посредством Web-страницы и логина-пароля.
Можно создать доступ по карточкам доступа. По времени или по траффику. Например на сутки или 1GB трафика.
К HotSpot есть модуль UserManager. Он позволяет генерировать логины-пароли и управлять HotSpot.
Используется для публичного доступа по карточкам в гостинницах, вокзалах, аэропортах, ВУЗах и др.публичных местах.
10.10. IPSec
Включает шифрование траффика IPSec.
Используется для защиты траффика от дешифровки.
Ресурсоемко.
10.11. Neighbors
Дословно — Соседи. Это список узлов (роутеров, точек доступа), которые подключены к Микротику.
Показывает версию прошивки, тип устройства, IP, MAC — адрес.
10.12. Packing
Упаковывает мелкие пакеты в более крупные.
Используется для ускорения передачи данных и интернета.
10.13. Pool
Диапазоны IP адресов. DHCP-сервер и HotSpot отсюда берут свободные IP для раздачи клиентам.
10.14. Routes
Маршрутизация. Маршруты могут быть как динамические так и статические.
Здесь определяется на какой интерфейс и через какой IP будет идти каждый пакет в зависимости от его адреса назначения.
Разруливает исходящие пакеты.
10.15. SMB
Сетевое окружение. Можно расшарить флешку или винт. И она станет доступна всем в сети.
Можно ставить пароль на доступ. Или доступ только на чтение.
10.16. SNMP
Включает протокол SNMP — для управления Микротиком по этому протоколу
10.17. Services
Разрешенные сервисы на Микротике.
Можно указать на каких портах они работают и с каких IP разрешен к ним доступ.
Это сервисы — API, ftp, ssh, telnet, winbox, www, www-ssl
Сервисы также можно блокировать в Firewall
10.18. Socks
Включает контроль и работу через socks.
Можно разрешать и запрещать socks соединения по IP адресам. Можно ограничивать количество сессий.
10.19. TFTP
Включает работу по TFTP протоколу.
Это простой протокол обмена файлами между устройствами в сети, например Микротиком и видеокамерами.
10.20. Traffic Flow
Аналог NetFlow от Cisco.
На определенный IP адрес регулярно отсылает статистику по траффику клиентов.
10.21. UPnP
Включает поддержку UPnP устройств. Например телевизоры, приставки и пр.
10.22. Web-Proxy
Может кешировать весь проходящий. Используется для более полного контроля HTTP трафиком.
Эффективно ускоряет медленный интернет и уменьшает объем траффика.
Экономит до 20% траффика при среднестатистических клиентах.
11. SYSTEM. Дополнительный функционал.
11.1. Auto Upgrade
Автоматически обновляет прошивку с указанного ресурса.
Это может быть локальный ресурс сети или удаленный.
Удобно, когда нужно прошить много Микротиков на одну и туже прошивку.
11.2. Certificates
Импорт сертификатов.
11.3. Clock
Установка часов и временной зоны. Используется совместно с SNTP Client.
11.4. Console
Настройка Консольного подключения через COM-порт и нульмодемный кабель
11.5. Drivers
Установленные драйвера
11.6. Health
Здоровье системы. Может быть пустым. Зависит от модели Микротика.
Обычно это температура и вольтаж.
11.7. History
Список команд пользователя, которые возможно отменить с помощью UNDO.
11.8. Identity
Название железки.
11.9. LEDs
Управление лампочками на Микротике. У меня почему-то не управляется.
11.10. License
Тут можно обновить и поднять уровень лицензии.
11.11. Logging
Логирование всех событий.
11.12. Packages
Установленные пакеты. Лишние можно удалить. Пакеты можно скачать на сайте mikrotik.com.
Версия пакетов должна совпадать с версией Вашей RouterOS. Номер версии написан в самом верху окна WinBox.
Вот список пакетов ….-5.17-mipsbe.npk:..
Входят в RouterOS по умолчанию:
advanced-tools — Инструменты-помощники.
dhcp — службы DHCP. Входит в RouterOS по умолчанию.
hotspot — Доступ в интернет по карточкам. Входит в RouterOS по умолчанию.
ipv6 — поддержка IP6-протокола. Входит в RouterOS по умолчанию.
mpls — Поддержка MPLS. Входит в RouterOS по умолчанию.
ppp — Поддеряжка PPP-протоколов. Входит в RouterOS по умолчанию.
routerboard — . Входит в RouterOS по умолчанию.
routing — Маршрутизация. Входит в RouterOS по умолчанию.
security — Шифрование траффика. Входит в RouterOS по умолчанию.
system — Сама ОС. Входит в RouterOS по умолчанию.
wireless — Работа с WiFi. Входит в RouterOS по умолчанию на железках у которых есть WiFi.
Не входят в RouterOS по умолчанию:
gps — Поддержка GPS устройств
lcd — Поддержка LCD экранов.
ntp — Сервер-клиент времени. Для обновления времени с интернета.
multicast — Поддержка Multicast и IPTV.
ups — Работа с Источниками Бесперебойного питания.
user — Работа с HotSpot. Генерирование карточек доступа, страниц и пр.
calea
11.13. Password
Смена пароля админимстратора
11.14. Ports
Настройка режима работы портов. USB и COM.
11.15.1. Reboot — Перезагрузка роутера
11.15.2. Reset Configuration — Сброс конфигурации роутера.
11.15.3. Shutdown — Выключение роутера
11.17. Resource
Свободные ресурсы роутера. Его характеристики. Время работы после последней перезагрузки и пр.
11.18. RouterBoard
Модель и серийный номер роутера. Версия заводской прошивки.
Выбор частоты процессора. Выбор, откуда будет загружаться RouterOS — со встроенной памяти, с флешки или по сети.
Выбор протокола загрузки.
11.19. SNTP Client
Здесь указываем сервера времени, по которым Микротик будет обновлять свои часы.
Нужен доступ к интернету.
11.20. Sheduler
Планировщик.
Может запускать скрипты. Единоразово — через определенное время после старта Микротика .
Может запускать скрипты. Единоразово — через определенное время после старта Микротика .
Или Регулярно через определенный промежуток времени.
Имеет счетчик количества срабатываний скрипта.
Учитывайте, что после перезагрузки счетчик обнуляется.
Поэтому если в скрипте стоит к примеру перезегрузка роутера sys reb каждое утро в 4:00 — то счетчик всегда будет 0.
11.21. Script
Здесь можно создавать скрипты. И потом запускать эти скрипты по имени.
Также можно посмотреть все переменные окружения, счетчик запуска скриптов и время последнего запуска скриптов.
11.23. Special Login — Содание спец. логина для определенного порта.
11.24. Store — Работа с внешними накомпителями. Очистка, форматирование, монтирование.
11.25. Users — Созание групп с разными правами доступа, а также юзеров с логинами и паролями.
Тут же можно посмотреть список активных юзеров, и через что они подключены к Микротику.
Так же здесь можно импортировать SSH ключи для доступа к Микротику.
Это для защиты, чтоб каждый раз не пересылать логин-пароль к Микротику.
Например, здесь можно создать юзеров только с правами на перезагрузку роутера и чтение.
11.26. WatchDog
Watch Dog — если определенное время указанный IP не пингуется, то просто перезагружает роутер.
12. Tools. Инструменты-помощники.
12.1. Ping. Arp-Ping. Traceroute.
Это основные инструменты для проверки состояния узлов сети.
Ping — может пинговать как по IP так и по NS-адресу.
Arp-Ping пингует внутри сегмента сети.
Т.е. Arp-Ping-ом нельзя пропинговать удаленный ресурс.
Пингом также можно определить именно тот момент, когда узел готов к работе.
Классический метод ping 8.8.8.8, ping ya.ru. Проверка доступности и проверка DNS.
Есть также Flood Ping и Ping Speed.
Flood Ping — отсылает сразу большое количество ping пакетов.
Ping Speed — проверяет макс. скорость к узлу с помощью Ping.
Используется для проверки макс. скорости к любому узлу.
Tracerote — используется для определения всех промежуточных узлов сети.
Используется также для построения топологии и анализа сети.
12.2. IP Scan.
Это замечательный инструмент.
Позволяет сканировать сетку на наличие компов и устройств в сети.
Показывает также ихние IP, MAC адреса, DNS имена.
Использует ARP-Ping. Т.е. все машины в сети откликнутся
Может сканировать целые сегменты сети, причем очень быстро.
12.3. Watch Dog. NetWatch.
Это регулярные пинговалки IP-адресов.
Watch Dog — если определенное время указанный IP не пингуется, то просто перезагружает роутер.
Watch Dog находится в разделе System.
NetWatch — если указанный IP начал пинговаться или перестал пингуоваться, то выполняет скрипт.
По умолчанию просто показывает состояние удаленного IP.
Используется также для определения включено или выключено устройство.
Можно также вести статистику, кто и когда включался-выключался.
Но использует обычный пинг.
Поэтому некоторые устройства на пинг не ответят, даже будучи включенными.
Используйте IP SCAN.
12.4. BTest Server
Должен быть включен, если Вы хотите с иметь возможность проверять макс. скорость с другого Микротика.
11.5. Bandwidth Test
Проверка входящей-исходящей скорости. На другом Микротике должен быть включен BTest Server.
Можно проверять скорость с компом под Windows c помощью утилиты Bandwidth Test.
Для теста можно также использовать Traffic Generator и Ping Speed
12.6. Email
Здесь пропишите почтовый SMTP-сервер, от кого, логин и пароль.
Теперь Вы можете легко отправлять e-mail из скриптов или командной строки.
Также e-mail — можно отправлять прямо отсюда
12.7. Graphing
Тут включаются графики потребления трафика, загрузки процессора, оперативной памяти и флеш-памяти.
Графики по трафику доступны только для Simple Queue.
Графики доступны из Web-интерфейса Микротика.
12.8. MAC Server
Нужен для того, что бы Вы могли зайти на Микротик по его MAC-адресу. Через Winbox или Telnet.
Здесь должны быть интерфейсы, для которых разрешен вход по MAC-адресу.
12.9. Packet Sniffer
Простейший сниффер пакетов.
12.10. Profile
Показывает загрузку процессора по разным типам задач.
12.11. SMS
Можно отправлять и принимать SMS. Если конечно подключен USB-модем
Возможно реализовать, к примеру, ежедневные отчеты по траффику и удаленное управление Микротиком с помомщью SMS.
12.12. Telnet
Можно заходить на другие железки по Telnet, SSH и MAC-Telnet (для Микротик железок)
12.13. Torch
Утилита для анализа трафика. По сути тот же сниффер с фильтрами.
12.14. Traffic Generator
Используется для генерации траффика с разными размерами пакетов.
По сути тот же SpeedTest.
12.15. Traffic Monitor
Следит за траффиком на интерфейсах.
При достижении определенного лимита может выполнять скрипт.
13. Терминал. Telnet. SSH. FTP. API.
Терминал. Telnet. SSH — абсолютно идентичны между собой.
Заходить по Telnet и SSH можно с помощью программы Putty.
Используются как для локального так и для удаленного управления.
Имеют подсветку синтаксиса.
Поддерживают продвинутый TAB-автокомплит.
Поудобнеее, чем у Unix-Linux.
Есть очень полезные команды export и import.
Позволяют сохранять настройки любого раздела в файл. Ну и восстанавливать из файла.
Это очень мощное средство автоматизации.
Так же поддерживается язык программирования Lua. Но это делать лучше из Скриптов.
Есть кроме того ряд команд, которые доступны только из терминала.
Например, /system reset и Wake on LAN — /tool wol interface=ether1 mac=FF:FF:FF:FF:FF:FF
Т.е. удаленно в 8 утра можно включить все компы в локальной сети.
Сотрудники будут приятно удивлены такой заботой.
API — используется для управления Микротиком из языков программирования.
Есть готовое API для программистов на Delphi, PHP, С.
Но это не универсально. Управлять железками кроме Микротика Вы не сможете.
Если нужна универсальность, то используйте SSH или еще лучше Radius.
14. Скрипты
Микротик использует язык LUA.
В нем есть все необходимые конструкции для программирования.
Переменные, циклы, условия, массивы.
Может сохранять данные в файл или в лог по желанию.
Может работать с файлами на чтение-запись.
Так же поддерживает обычные и специальные типы переменных:
Обычные:
string, number, boolean, nil
Специальные:
ip, time — IP-адрес и дата и время;
а также array — массив данных.
По скриптам нужен отдельный мануал.
Понятнее будет всего — на простых примерах.Мы живем в Питере
Все команды, которые приводятся ниже, должны выполняться из командной строки. В Linux — это окно терминала, в Windows — командная строка (cmd.exe) с переходом в папку установки PostgreSQL.
Создание резервных копий
Базовая команда
Синтаксис:
pg_dump <параметры> <имя базы> > <файл, куда сохранить дамп>
Пример:
pg_dump users > /tmp/users.dump
Пользователь и пароль
Если резервная копия выполняется не от учетной записи postgres, необходимо добавить опцию -U с указанием пользователя:
pg_dump -U dmosk -W users > /tmp/users.dump
* где dmosk — имя учетной записи; опция W потребует ввода пароля.
Сжатие данных
Для экономии дискового пространства или более быстрой передачи по сети можно сжать наш архив:
pg_dump users | gzip > users.dump.gz
Скрипт для автоматического резервного копирования
Рассмотрим 2 варианта написания скрипта для резервирования баз PostgreSQL. Первый вариант — запуск скрипта от пользователя root для резервирования одной базы.5].*» -o -name «*-[023]?.*» \) -ctime +61 -delete
pg_dump -U $dbUser $database | gzip > $pathB/pgsql_$(date «+%Y-%m-%d»).sql.gzunset PGPASSWORD
* где password — пароль для подключения к postgresql; /backup — каталог, в котором будут храниться резервные копии; dbuser — имя учетной записи для подключения к БУБД; pathB — путь до каталога, где будут храниться резервные копии.
* данный скрипт сначала удалит все резервные копии, старше 61 дня, но оставит от 15-о числа как длительный архив. После при помощи утилиты pg_dump будет выполнено подключение и резервирование базы db. Пароль экспортируется в системную переменную на момент выполнения задачи.Для запуска резервного копирования по расписанию, сохраняем скрипт в файл, например, /scripts/postgresql_dump.sh и создаем задание в планировщике:
3 0 * * * /scripts/postgresql_dump.sh
* наш скрипт будет запускаться каждый день в 03:00.5].*» -o -name «*-[023]?.*» \) -ctime +61 -delete
for dbname in `echo «SELECT datname FROM pg_database;» | psql | tail -n +3 | head -n -2 | egrep -v ‘template0|template1|postgres’`; do
pg_dump $dbname | gzip > $pathB/$dbname-$(date «+%Y-%m-%d»).sql.gz
done;* где /backup — каталог, в котором будут храниться резервные копии; pathB — путь до каталога, где будут храниться резервные копии.
* данный скрипт сначала удалит все резервные копии, старше 61 дня, но оставит от 15-о числа как длительный архив. После найдет все созданные в СУБД базы, кроме служебных и при помощи утилиты pg_dump будет выполнено резервирование каждой найденной базы. Пароль нам не нужен, так как по умолчанию, пользователь postgres имеет возможность подключаться к базе без пароля.Зададим в качестве владельца файла, пользователя postgres:
chown postgres:postgres /scripts/postgresql_dump.sh
Для запуска резервного копирования по расписанию, сохраняем скрипт в файл, например, /scripts/postgresql_dump.sh и создаем задание в планировщике:
* мы откроем на редактирование cron для пользователя postgres.
3 0 * * * /scripts/postgresql_dump.sh
* наш скрипт будет запускаться каждый день в 03:00.
Права и запуск
Разрешаем запуск скрипта, как исполняемого файла:
chmod +x /scripts/postgresql_dump.sh
Единоразово можно запустить задание на выполнение резервной копии:
/scripts/postgresql_dump.sh
На удаленном сервере
Если сервер баз данных находится на другом сервере, просто добавляем опцию -h:
pg_dump -h 192.168.0.15 users > /tmp/users.dump
* необходимо убедиться, что сама СУБД разрешает удаленное подключение.
Дамп определенной таблицы
Запускается с опцией -t <table> или —table=<table>:
pg_dump -t students users > /tmp/students.dump
* где students — таблица; users — база данных.
Размещение каждой таблицы в отдельный файл
Также называется резервированием в каталог. Данный способ удобен при больших размерах базы или необходимости восстанавливать отдельные таблицы. Выполняется с ипользованием ключа -d:
pg_dump -d customers > /tmp/folder
* где /tmp/folder — путь до каталога, в котором разместяться файлы дампа для каждой таблицы.
Только схемы
Для резервного копирования без данных (только таблицы и их структуры):
pg_dump —schema-only users > /tmp/users.schema.dump
Только данные
pg_dump —data-only users > /tmp/users.data.dump
Использование pgAdmin
Данный метод хорошо подойдет для компьютеров с Windows и для быстрого создания резервных копий из графического интерфейса.
Запускаем pgAdmin — подключаемся к серверу — кликаем правой кнопкой мыши по базе, для которой хотим сделать дамп — выбираем Резервная копия:
В открывшемся окне выбираем путь для сохранения данных и настраиваемый формат:
При желании, можно изучить дополнительные параметры для резервного копирования:
После нажимаем Резервная копия — ждем окончания процесса и кликаем по Завершено.
Не текстовые форматы дампа
Другие форматы позволяют делать частичное восстановление, работать в несколько потоков и сжимать данные.
Бинарный с компрессией:
pg_dump -Fc users > users.bak
Тарбол:
pg_dump -Ft users > users.tar
Directory-формат:
pg_dump -Fd users > users.dir
Использование pg_basebackup
pg_basebackup позволяет создать резервную копию для кластера PostgreSQL.
pg_basebackup -h node1 -D /backup
* в данном примере создается резервная копия для сервера node1 с сохранением в каталог /backup.
pg_dumpall
Данная утилита делает выгрузку всех баз данных, в том числе системных. На выходе получаем файл для восстановления в формате скрипта.
Утилиту удобно использовать с ключом -g (—globals-only) — выгрузка только глобальных объектов (ролей и табличных пространств).
Для создание резервного копирования со сжатием:
pg_dumpall | gzip > cluster.tar.gz
Восстановление
Может понадобиться создать базу данных. Это можно сделать SQL-запросом:
=# CREATE DATABASE users WITH ENCODING=’UTF-8′;
* где users — имя базы; UTF-8 — используемая кодировка.
Базовая команда
Синтаксис:
psql <имя базы> < <файл с дампом>
Пример:
psql users < /tmp/users.dump
С авторизацией
При необходимости авторизоваться при подключении к базе вводим:
psql -U dmosk -W users < /tmp/users.dump
* где dmosk — имя учетной записи; опция W потребует ввода пароля.
Из файла gz
Сначала распаковываем файл, затем запускаем восстановление:
psql users < users.dump
Или одной командой:
zcat users.dump.gz | psql users
Определенную базу
Если резервная копия делалась для определенной базы, запускаем восстановление:
psql users < /tmp/database.dump
Если делался полный дамп (всех баз), восстановить определенную можно при помощи утилиты pg_restore с параметром -d:
pg_restore -d users cluster.bak
Определенную таблицу
Если резервная копия делалась для определенной таблицы, можно просто запустить восстановление:
psql users < /tmp/students.dump
Если делался полный дамп, восстановить определенную таблицу можно при помощи утилиты pg_restore с параметром -t:
pg_restore -a -t students users.dump
С помощью pgAdmin
Запускаем pgAdmin — подключаемся к серверу — кликаем правой кнопкой мыши по базе, для которой хотим восстановить данные — выбираем Восстановить:
Выбираем наш файл с дампом:
И кликаем по Восстановить:
Использование pg_restore
Данная утилита предназначена для восстановления данных не текстового формата (в одном из примеров создания копий мы тоже делали резервную копию не текстового формата).
Из бинарника:
Из тарбола:
pg_restore -Ft users.tar
С создание новой базы:
pg_restore -Ft -C users.tar
Возможные ошибки
Input file appears to be a text format dump. please use psql.
Причина: дамп сделан в текстовом формате, поэтому нельзя использовать утилиту pg_restore.
Решение: восстановить данные можно командой psql <имя базы> < <файл с дампом> или выполнив SQL, открыв файл, скопировав его содержимое и вставив в SQL-редактор.
No matching tables were found
Причина: Таблица, для которой создается дамп не существует. Утилита pg_dump чувствительна к лишним пробелам, порядку ключей и регистру.
Решение: проверьте, что правильно написано название таблицы и нет лишних пробелов.
Too many command-line arguments
Причина: Утилита pg_dump чувствительна к лишним пробелам.
Решение: проверьте, что нет лишних пробелов.
Aborting because of server version mismatch
Причина: несовместимая версия сервера и утилиты pg_dump. Может возникнуть после обновления или при выполнении резервного копирования с удаленной консоли.
Решение: нужная версия утилиты хранится в каталоге /usr/lib/postgresql/<version>/bin/. Необходимо найти нужный каталог, если их несколько и запускать нужную версию. При отсутствии последней, установить.
No password supplied
Причина: нет системной переменной PGPASSWORD или она пустая.
Решение: либо настройте сервер для предоставление доступа без пароля в файле pg_hba.conf либо экспортируйте переменную PGPASSWORD (export PGPASSWORD или set PGPASSWORD).
На этом всё. Спасибо за внимание.
Тонкая настройка роутеров Mikrotik.
Старт и схема подключения.
В этой статье рассмотрим начальную настройку роутера Mikrotik, как роутера для домашнего пользования.
Прежде чем начинать настройку любого устройства, нам нужно представить, а лучше нарисовать общую схему нашей планируемой сети.
Наша схема будет выглядеть следующим образом:
1.В первом порту коммутатора будет вставлен кабель, который приходит от оператора связи. На операторском языке данный порт будет называться аплинком (англ. uplink), на языке клиента — это WAN-порт (англ. Wide Area Network — широкополосный доступ к сети).
2. Во втором порту у нас будет подключена TV-приставка, которая получает TV-поток через многоадресную рассылку от оператора (англ. multicast)
3. Третий и четвертый порты будут использоваться под рабочие станции
4. Беспроводной модуль (в терминологии Mikrotik — Wireless, в общепризнанной терминологии Wi-Fi) будет использоваться для подключения беспроводных устройств.Подключение к устройству
Для настройки будем использовать программу WinBox, которая разработана специалистами Mikrotik для удобства настройки продуктов Mikrotik. Для настройки, так же, можно использовать Web-интерфейс, то есть настраивать устройство через браузер, а, так же, через командную строку, заходя на устройство через Telnet или его защищенную версию SSH.Программу WinBox скачиваем о официального сайта Mikrotik: https://mikrotik.com/download
В этом же разделе мы будем скачивать последнюю версию программного обеспечения (прошивку).Подключаем роутер к нашей рабочей станции кабелем Ethernet. Поскольку маршрутизатор из коробки уже имеет какую-то первоначальную настройку, рекомендуется подключаться в любой порт, кроме первого.
После загрузки, маршрутизатор отобразится во вкладке Neibhors в программе WinBox.
Первоначальная настройка через WinBox хороша тем, что нам не обязательно знать какие IP-адреса прописаны на маршрутизаторе и будут ли они доступны с адресов, прописанных на нашей сетевой карте.
WinBox позволяет использовать протоколы MAC-Telnet и MAC-Winbox. Подключение происходит не с IP-адреса на IP-адрес, а с MAC-адреса на MAC-адрес.Нажимаем на MAC-адрес нашего маршрутизатора, он копируется в поле «Connect To», вводим Login и Password и нажимаем кнопку Connect.
По умолчанию у Mikrotik Login: admin, Password: `пустое поле`, то есть без пароля.
Если с роутером не производилось никаких действий по настройке, при первичном подключении через WinBox, он сообщит о неких уже произведенных на заводе предустановках. Не будем разбираться подходят они нам или нет и просто их сбрасываем.
Обновление RouterOS
Далее нам необходимо обновить программное обеспечение маршрутизатора. Заходим на https://mikrotik.com/download и видим, что огромное количество возможных загрузок операционной системы Router OS. Для того, что бы выбрать нужную, нам необходимо понять какая архитектура процессора используется в нашем настраиваемом устройстве. Ее тип можно увидеть в верхней части окна WinBox. В нашем случае это SMIPS. В нашем случае мы можем установить любую из трех веток RouterOS: Bugfix only, Current и Release candidate. Ветка Bugfix only используется там, где необходима максимальная стабильность программного обеспечения. Здесь нет новых «фишек» операционной системы. Здесь они появляется, в среднем, через полгода после появления в ветке Current. В данной ветке предложена самая последняя версия с новыми возможностями RouterOS, которая уже прошла тестирование, но тем не менее, в которой могут содержаться какие-либо ошибки. Вероятнее всего среднестатистический пользователь домашнего беспроводного роутера с ними просто не столкнется. В ветке Release candidate представлены самые последние разработки, которые еще проходят тестирование, которые постоянно дорабатываются в процессе тестирования. После того, как завершается тестирование, операционная система из ветки Release candidate перетекает в ветку Current, а когда из нее будут убраны все ошибки, перетекает в ветку Bugfix only. Для настройки нашего роутера возьмем ветку Current.Далее мы видим, что можно скачать Main package и Extra packages. В Main package уже содержится набор пакетов операционной системы, который необходим среднестатистическому пользователю данного типа устройств, т.е. ничего лишнего. В Extra packages представлены все возможные пакеты, нужные из которых мы можем выбрать для использования.
Несколько слов о предназначении пакетов:
Для работы маршрутизатора необходим пакет system. В нем находится ядро операционной системы. Что бы у роутера работал беспроводной (Wireless, WiFi) модуль, нам необходим пакет wireless. Для работы нам потребуется пакет dhcp — для получения IP-адресов от оператора и назначения IP-адресов нашим домашним устройствам. Если мы подключаемся к инетнету через протоколы PPPoE, PPTP или L2TP, нам необходим пакет ppp. Если мы планируем смотреть IPTV, которое работает через многоадресную рассылку multicast, нам потребуется пакет multicast. Если в нашем устройстве есть LCD-экран, то для него нужен пакет lcd.
Можно не выбирать пакеты, а установить сразу все. В случае с Extra packages не получится так, что какого-то пакета нам не хватает. Ненужные пакеты просто будут занимать память устройства. В дальнейшем, их можно отключить.Обновление RouterOS происходит очень просто: т.к. у нашего устройства еще нет доступа в интернет, мы просто выделяем нужные пакеты и перетаскиваем их в окно WinBox (drag-and-drop). После того, как пакеты скопировались, мы перезагружаем устройство, нажав в разделе System кнопку Reboot. Процесс обновления занимает примерно одну минуту, после чего мы можем нажать кнопку Reconnect в WinBox. После каждого обновдения операционной системы, нам нужно обновить и BIOS устройства. Для этого заходим в System — Routerboard и нажимаем кнопку Upgrade. В данном окошке мы видим текущую версию BIOS (Current Firmware), версию, на котоую можем обновить (Upgrade Firmware) и версию, которая была установлена при производстве устройства (Factory Firmware). После обновления обязательно необходимо перезагрузить устройство: System — Reboot. В дальнейшем, когда устройство будет подключено к Internet, его можно обновлять зайдя в System — Packages и нажав в открывшемся окне кнопку Check For Updates. При необходимости, здесь можно выбрать ветку RouterOS: Bugfix only, Current и Release candidate.
Подключение к Internet
После обновления RouterOS мы можем приступить к ее настройке.Прежде всего нам необходимо подключить устройство к интернету. Для этого нам важно знать какой тип подключения нам предлагает наш оператор связи. Если этой информации нет, необходимо выяснить это в технической поддержке Вашего оператора связи. У оператора связи ForceLine используется комбинация DHCP и PPPoE, т.е. необходимо настроить оба типа подключения.
Рассмотрим несколько возможных:
DHCP — когда мы все настройки от оператора получаем автоматически. Заходим в раздел IP — DHCP Client. Добавляем клиента, обязательно указав интерфейс (порт), в который подключен кабель, приходящий от оператора связи.
PPPoE — когда нам при подключении необходимо вводить логин и пароль, выданные оператором.
Заходим в раздел PPP. Во вкладке Interface добавляем PPPoE Client. В открывшемся окне обязательно выбираем интерфейс подключения к интернету, вводим логин и пароль, а, так же, ставим галочку Use Peer DNS.Безопасность
Прежде, чем перейти к дальнейшей настройке, необходимо защитить устройство от взлома злоумышленниками. Сначала зададим пароль для доступа к устройству. Для этого заходим в раздел System — Password и зададим новый пароль. Поле Old Password оставляем пустым, т.к. изначально пароля не было.
Далее необходимо отключить службы, которые Вы не будете в дальнейшем использовать. Заходим в раздел IP — Services. В открывшемся окне отобразятся все службы, через которые возможен удаленный доступ к Вашему устройству. Если Вы не планируете подключаться к роутеру через WEB-интерфейс, используя браузер, отключите все службы, кроме winbox, если планируете, оставьте включенной службу www.Настройка локальной сети
Что бы все наши устройства были в одной локальной сети, необходимо оставшиеся интерфейсы объединить в сетевой мост — это аналог функции коммутатора на маршрутизирующих устройствах.Объединение интерфейсов в сетевой мост.
Заходим в раздел Brigde и добавляем новый сетевой мост, назовем его bridge1.
Далее во вкладке Ports добавляем в наш мост интерфейсы (порты), который принадлежат нашей локальной сети. Интерфейс wlan1 — это беспроводной (Wireless, WiFi) интерфейс. Интерфейсы ether2(3-5) — это ethernet интерфейсы. Цифра соответствует номеру порта. При добавлении в сетевой мост порта, в который подключена рабочая станция, с которой производится настройка, произойдет отключение WinBox от маршрутизатора. Связано это с тем, что у порта маршрутизатора, при добавлении в сетевой мост, изменится MAC-адрес на MAC-адрес сетевого моста и нам необходимо подключиться к новому MAC-адресу. Новый MAC-адрес мы увидим во вкладке Neibhors WinBox`а.Назначение IP-адреса
Далее необходимо назначить IP-адрес марщрутизатору, который, так же, будет основным шлюзом для устройств локальной сети. Заходим в раздел IP — Adresses. Вводим IP-адрес. Для локальной сети будем использовать адресацию 192.168.20.0/24, где 192.168.20.1/24 — это IP-адрес маршрутизатора (основной шлюз), а адреса 192.168.20.2 — 192.168.20.254/24 будут использоваться остальными устройствам в локальной сети, подключаемыми к нашему маршрутизатору.
/24 указывает значение маски подсети, соответствующее значению 255.255.255.0, т.е. наша локальная сеть рассчитана на 254 IP-адреса. В поле Interface обязательно необходимо указать bridge1.Настройка DHCP-сервера
После установки IP-адреса, настроим службу, которая будет присваивать IP-адреса устройствам, которые будут подключаться к маршрутизатору.
Заходим в раздел IP — DHCP Server. Нажимаем кнопку DHCP Setup, выбираем DHCP Server Interface: bridge1 и нажимаем кнопку Next. В следующем окне предлагается указать DHCP Address Space. Это выбранная сеть 192.168.20.0/24, оставляем ее без изменения и жмем Next, следующее окно нам предлагает указать основной шлюз, который будет назначаться подключаемым к роутеру устройствам. Это IP-адрес, который мы назначили маршрутизатору 192.168.20.1, далее предлагается указать диапазон IP-адресов, которые будут назначаться подключаемым устройствам: 192.168.20.2 — 192.168.20.254, далее указываются DNS-сервера, которые будут использовать подключаемые устройства. Если роутер еще не подключен к интернету, эти поля будут не активны. Если их не заполнять, то будут назначаться те сервера, которые будут назначены оператором связи роутеру, когда он подключится к интернету. Можно указать другие DNS-сервера, например 8.8.8.8 (Google). Важно знать: не запрещено ли Вашим оператором использование сторонних (отличных от назначаемых оператором) DNS-серверов. Далее предлагается выбрать время, на которое подключаемому устройству будет назначен IP-адрес. Рекомендуется изменить его на значение 1d 00:00:00, т.е. на одни сутки. При нажатии на кнопку Next, DHCP-сервер будет создан и готов к работе.Настройка NAT
Чтобы подключаемые к маршрутизатору устройства могли получить доступ в интернет, необходимо настроить подмену IP-адресов с сетевых, на внешний, до которого есть доступ из интернета. Если данную подмену не настроить, то пакеты из локальной сети будут уходить, но вернуться уже не могут, поскольку Интернет «не знает» где находится Ваша локальная сеть с внутренними IP-адресами.
Для настройки заходим в раздел IP — Firewall, выбираем вкладку NAT. Настраиваем правила подмены по принципу: если пакету нужно уйти в интернет, т.е. исходящий интерфейс у него будет интерфейсом подключения к интернет — произвести подмену.
Важно отметить, что, если подключение к интернет происходит при помощи туннелей PPPoE, PPTP или L2TP, интерфейсом доступа в интернет у нас будет не порт (ether1), а созданный интерфейс ppp.
Для того, что бы был доступ к локальной сети оператора, для оператора ForceLine это адреса 10.216.0.0/16, добавляем еще одно похожее правило, где исходящим интерфейсом у нас будет ether1, подключенный к сети оператора.Настройка беспроводной сети
Для настройки беспроводной сети заходим в раздел Wireless, вкладка WiFi Interfaces.
Если у нас роутер с поддержкой 5ГГц, мы увидим 2 интерфейса. Обычно wlan2 — это интерфейс беспроводной сети 5ГГц. Производим двойной клик по интерфейсу wlan1 для его настройки.
Справа в открывшемся окне нажимаем кнопку Advenced Mode, длч получения доступа к всему спектру настроек.
В вкладке Wireless выбираем:
1. Mode: ap bridge — режим точки доступа
2. Band: 2GHz-G/N — для возможности подключения устройств стандартов 802.11g и 802.11n. Если Ваши беспроводные устройства достаточно современные, можете выбрать 2GHz-only-N, что бы исключить возможность устройствам подключаться по устаревшему протоколу 802.11g.
* При настройке беспроводного модуля 5ГГц, выбирайте диапазон 5GHz-A/N/AC.
3. Channel Width — 20 MHz. Устанавливать значение 20/40 MHz не рекомендуется, в силу большого количества помех в данном диапазоне. Значения 5 и 10 MHz устанавливать нельзя, беспроводные устройства перестанут подключаться.
* При настройке беспроводного модуля 5ГГц, можно смело выбирать 20/40/80 MHz
4. Frequency: auto. В данном случае роутер выберет самый свободный канал. Если беспроводная связь у Вас работает некорректно: пропадает связь, работает очень медленно — можно установить вручную один из каналов из ниспадающего меню. Путем перебора найти тот канал, который обеспечит наиболее корректную работу беспроводной сети.
5. SSID — Здесь указывается имя беспроводной сети, которую Вы будете выбирать на подключаемом устройстве.
6. Wireless Protocol: 802.11 — это общемировой стандарт беспроводной связи.
7. WPS Mode: disabled. Данный метод аутентификации беспроводных клиентов небезопасен и легко взламывается злоумышленниками.
8. Frequency Mode: regulatory-domain
9. Contry: russia
Данные настройки используются для приведения мощности излучаемого сиглана беспроводным подулем в рамки закона определенной страны.
10. WMM Support: enabled
Во вкладке Advanced:
1. Diatance: indoors
2. Adaptive Noice Immunity: ap and client mode. Данная настройка активирует алгоритмы устойчивости беспроводной связи к помехам.На этом закончим настройку беспроводного интерфейса и нажмем кнопку Ок.
Для установки пароля на беспроводную сеть переходим во вкладку Security Profiles. Двойным щелчком мыши открываем профиль default, устанавливаем Mode: dynamic keys. Authentifacation Types выбираем WPA2 PSK, устанавливаем галки напротив aes ccm в Unicast Ciphers и Group Ciphers. В поле WPA2 Pre-Shared Key вводим пароль, который будем использовать для подключения к нашей беспроводной сети.
По умолчанию беспроводной интерфейс выключен, его необходимо включить, выделив его и нажав на синюю галку.
На этом первоначальную настройку маршрутизатора Mikrotik можно считать законченной. Можно подключать устройтства как к проводной сети, так и беспроводной.
Важно отметить, что все подключаемые устройства должны быть настроеныпошаговая инструкция — блог DEPS
В данной статье мы рассмотрим два способа настройки роутера MikroTik. Для примера я буду использовать модель RB951Ui-2HnD. Эта модель, как и все роутеры MikroTik работаю под управлением операционной системой RouterOS, поэтому по данному примеру можно настроить любой роутер данного производителя.
Первый вариант. Самый быстрый и самый простой
Данный вариант настройки поможет быстро настроить роутер пользователям, которые впервые столкнулись с настройкой роутера и не хотят тратить времени на изучения принципов работы устройства.
1. Подключение роутера к сети
1.1. Подключение по Ethernet кабелю
- Распаковываем устройство MikroTik RB951Ui-2HnD (используем данный роутер для примера настройки)
Другие роутеры MikroTik настриваются по этой же схеме - Подключаем блок питания к роутеру и в сеть 220Вольт
Загрузка устройства займет несколько минут - Подключаем кабель Ethernet, одним концом в порт №2 в роутере, а другим концом к компьютеру из которого будет производиться настройка
1.2. Подключение по сети Wi-Fi
При отсутствии кабеля Ethernet или для упрощения задачи настройки Вы может подключиться к роутеру по сети Wi-Fi. При подключении по беспроводной сети, ниже указанные настройки можно производить из любого смартфона или планшета.
- Просканировав Wi-Fi сеть Вы обнаружите сеть с названием MikroTik-123456
(где цифры 123456 – это последние 6 символов MAC-адреса вашего роутера, Мак адрес указан на наклейке с моделью и серийным номером устройства).
По умолчанию данная сеть не защищена паролем и Вы можете к ней быстро подключится.
2. Настройка сетевой карты компьютера
Важно: в независимости от типа подключения по Wi-Fi или кабелю Ethernet Вы должны удостовериться, что сетевое интерфейс на вашем компьютере настроен нужным образом (принимать IP адрес автоматически) Пуск – Панель управления – Центр управления сетями и общим доступом – Изменение параметров адаптера:
И так роутер загрузился, и мы к нему подключились.
Важно: если Ваш роутер не выдает Wi-Fi сети как описано выше (MikroTik-123456) или при подключении к этой сети запрашивается пароль, то обьязательно нужно выполнить сброс настроек до заводских.
3. Сброс настроек роутера до заводских
- Зажмите и удерживайте кнопку Reset или RES
- Включите питание
- Дождитесь когда замигает индикатора ACT (примерно 5 секунд)
- После этого отпускаем кнопку Reset
- Все заводские настройки установлены
4. Вход на web-интерфей роутера
Для настройки я бы рекомендовал использовать браузер Chrome, так как все остальные браузеры вовремя настройки могут вызвать ошибки на странице и настройка будет осуществлена некорректно.
- Открываем браузер
- В адресной строке вводим IP адрес роутера 192.168.88.1 (адрес роутера по умолчанию)
- Нажимаем клавишу Enter
Важно: если после ввода IP адрес роутера 192.168.88.1 Вы не попадаете на web-интерфейс или попадаете на web-интерфейс роутера где требуется ввести пароль, то повторите процедуру сброса настроек до заводских.
Попадаем на web-интерфейс устройства как показано ниже, значит Вы все выполнили правильно.
5. Выбор режима работы (Home AP)
В правом верхнем углу в выпадающем меню Quick Set выбираем из предустановленных режимов работы: Home AP
6. Настройка Wi-Fi
- Название Wi-Fi сети: My_home (выбрано в качестве примера, здесь Вы можете вести название вашей беспроводной сети латинским буквами)
- Выбираем частоту, на которой будет работать ваша точка доступа, если Вы не знаете какую частоту выбрать, то оставляйте значение auto
- Устанавливаем стандарт вещания: 2GHz-B/G/N или 2GHz-G/N
- Устанавливаем пароль для подключения к Вашей беспроводной сети: qwerty12345 (если пароль не нужен оставляем поле не активным)
7. Настройка WAN порта для подключения к интернет провайдеру
Выбираем тип подключения к провайдеру (эта информация прописана в договоре с вашим интернет провайдером):
- Динамический (Automatic)
- Статический адрес (Static)
- PPPoE настройки.
7.1 Автоматическое получения адреса (Automatic)
Если у вас тип подключения динамический выбираем меню Automatic, и переходим к пункту №4 настройка локальной сети.
7.2 Статически назначение адреса (Static)
Заполняем все поля согласно данным прописанными в договоре с интернет провайдером:
(параметры сети выбраны мною лишь в качестве примера, ваши параметры будут отличаться)- IP Address: 10.10.10.10
- Netmask: 255.254.0.0
- Gateway: 10.10.10.1
- DNS Server: 8.8.8.8 (в случае если интернет провайдер не предоставляет DNS Server, можно прописать публичный DNS Server)
- Firewall Router: включить (будут включены базовые настройки Firewall, что позволяет защитить вашу сеть)
7.3 Подключение по PPPoE
Заполняем все поля согласно данным прописанными в договоре с интернет провайдером:
(параметры сети выбраны мною лишь в качестве примера, ваши параметры будут отличаться)- PPPoE User: my_admin
- PPPoE Password: qwerty123
- Firewall Router: включить (будут включены базовые настройки Firewall, что позволяет защитить вашу сеть)
8. Настройка локальной сети
- IP Address: 192.168.88.1 (это адрес вашего роутера, можете изменить по желанию, или оставить предложенный по умолчанию)
- Netmask: 255.255.255.0
- DHCP: включить
- DHCP Server Range: 192.168.88.10 – 192.168.88.100 (количество адресов, которые будут доступны в вашей локальной сети)
- NAT: включить
- UPnP: включить
-
9. Установка пароля администратора для роутера
Важно: не оставляйте данное поле пустым, а при вводе используйте буквы разных регистров, цифры спецсимволы, это не позволит злоумышленнику угадать ваш пароль методом подбора.
- Password: (ваш пароль)
- Confirm Password: (ваш пароль)
Еще раз проверяем все введенные данные и нажимаем кнопку Apply Configuration, после нажатии все настройки будут сохранены и роутер перегрузиться.
10. Обновление прошивки роутера MikroTik
Подключаем к роутеру кабель Ethernet который приходит от вашего интернет провайдера в порт №1 и получаем доступ в интернет.
Важно: после перезагрузки войдите еще раз на web-интерфейс устройства и нажмите кнопку Check For Updates.
Роутер самостоятельно проверит наличии обновлений и для обновления нажмите кнопку Download&Install. Через несколько минут (зависит от скорости соединения с интернетом) роутер установит новую прошивку, перезагрузиться и будет готов к работе.
Важно: версия прошивки вашего маршрутизатора должна быть всегда актуальной, это способствует безопасной и стабильной работы роутера.
Вариант №2. Настройка роутера вручную
Этим вариантном настройки могут воспользоваться пользователи, которые имеют базовые знания в области сетей и сетевого оборудования.
1. Скачиваем программу Winbox
Для начала, нам понадобиться программа Winbox, эту программу нужно выкачивать только с официально сайта, и желательно пользоваться самой последней версией.
Заходим на сайт mikrotik.com, раздел Software:
Выбираем и скачиваем Winbox:
2. Включение роутера и запуск Winbox
- Подключаем роутер кабелем Ethernet порт №2
- Включаем питание
- Запускаем Winbox
- Переходим во вкладку Neighbors, выбираем свой роутер,
- Нажимаем кнопку Connect (поле Login: admin, а поле Password: должно быть пуст):
Важно: запускать Winbox обязательно от имени администратора.
3. Первый запуск Winbox (Default Configuration)
При первом запуске появляется уведомление о предустановленной конфигурации устройства, так как мы будем настраивать все вручную выбираем кнопку Remove Configuration:
В случае, когда уведомление не появилось или, машинально, нажали кнопку OK. Выбираем меню System — Reset Configuration, ставим галочки на против пунктов No Default Configuration и Do Not Backup и нажимаем кнопку Reset Configuration, ждем перегрузки.
4. Установка пароля администратора для роутера
Перед началом настройки зададим пароль администратора нашего роутера:
- System — Password
- Поле текущего пароля оставляем пустым
- Пишем свой пароль
- Подтверждаем нажимаем кнопку Change.
5. Создание bridge (бридж)
В роутере MikroTik после сброса всех настроек порты Ethernet работают независимо друга, а также и от беспроводного модуля, для того что бы не настраивать каждый порт отдельно мы соединим их в одну группу: Bridge – и во вкладке Bridge нажимаем
плюс, даем имя бриджу (я использую название LAN) и нажимаем OK:Переходим во вкладку Ports нажимаем плюс и добавляем порты в бридж LAN, нажимаем ОК. К сожалению, нет возможность добавить все порты в бридж одновременно, поэтому эту процедуру нужно повторить для каждого порта отдельно.
Важно: ether1 в бридж LAN не добавляем так как он будет использоваться в роли WAN порта, для подключения к интернет провайдеру (не обязательно использовать ether1, Вы можете использовать любой другой порт).
Важно: Wi-Fi данного роутера отображается как wlan1 (не путать с WAN портом) и его тоже нужно добавить в наш бридж LAN.
6. Настройка WAN порта для подключения к интернет провайдеру
Выбираем тип подключения к провайдеру (эта информация прописана в договоре с вашим интернет провайдером):
- Динамический (Automatic)
- Статический адрес (Static)
- PPPoE настройки.
6.1. Автоматическое получения адреса (Automatic)
- Переходим: IP – DHCP Client (вкладка DHCP Client)
- Нажимаем плюс вкладка DHCP
- Выбираем интерфейс ether1
- Нажимаем ОК.
6.2. Статически назначение адреса (Static)
- Переходим: IP – Addresses
- Нажимаем плюс и прописываем IP адрес и маску сети, которую вам предоставил интернет провайдер,
- Выбираем интерфейс ether1
- Нажимаем ОК.
- Прописываем Gateway: IP – Routes (вкладка Routes)
- Нажимаем плюс и заполняем поле Gateway
- Нажимаем ОК
- В завершении добавляем DNS сервер
- IP – DNS заполняем поле Servers
- Нажимаем ОК
6.3. Подключение по PPPoE
Настройка будет состоять из двух частей:
- Первая часть: нужно выполнить все настройки как при автоматическом получения адреса
- Вторая часть: создания соединения PPPoE:
- Нажимаем PPP во вкладке Interface
- Нажимаем плюс, выбираем PPPoE Client
- Во вкладке General называем соединение и выбираем интерфейс ether1
- Во вкладке Dial Out заполняем поля User и Password
- Нажимаем ОК
7. Настройка локальной сети
7.1. Настройка адреса устройства и адреса локальной сети
- IP – Addresses
- Нажимаем плюс и задаем параметры: IP адрес интерфейса (Addresses) и IP адрес локальной сети.
Для примера будут использоваться следующие параметры: IP адрес интерфейса, 192.168.5.1/255.255.255.0 (через слеш указывается маска вашей сети, другими словами общее количество компьютеров сети) - В меню Interface — выбираеем созданий нами бридж LAN.
- IP адрес локальной сети (Network): 192.168.5.0
Важно: Если не указать маску сети, то по умолчанию будет применена следующая маска 255.0.0.0, что в дальнейшем может привести к некорректной работе роутера.
7.2. Настройка DHCP сервера
- Устанавливаем диапазон IP адресов: IP – Pool
- Во вкладке Poll нажимаем плюс и создаем свой диапазон адресов.
Для примера я буду использовать следующий диапазон 192.168.5.10-192.168.5.50, - Нажимаем ОК.
Важно: При указании диапазона IP адресов нужно полностью указывать первый и последний IP адрес.
- Меню IP – DHCP Server
- Переходим во вкладку Networks и нажимаем плюс
- Пишем IP адрес локальной сети (192.168.5.0)
- Gateway – IP адрес нашего роутера (192.168.5.1)
- Маску локальной сети (255.255.255.0)
- Нажимаем ОК
- Далее переходим во вкладку DHCP
- Нажимаем плюс и настраиваем параметры выдачи IP адресов
- Задаем название сервера Name
- Выбираем куда отдавать IP адреса,
в нашем случаем это бридж LAN. - Время жизни IP адрес — Lease Time
(этот параметр определяет время аренды IP адреса устройствам в локальной сети: телефон, планшет, компьютер, телевизионная приставка или любое другое сетевое устройство подключенное к этому роутеру. Для домашней сети, в которой устройства будут находиться постоянно, можно установить долгий срок жизни до 24:00:00 это одни сутки). - Выбираем диапазона адресов который был создан ранее.
- Нажимаем ОК, тем самым завершая создание DHCP сервера.
7.3. Настройка DNS сервера
Важно: в случае статического подключения к интернету провайдеру, DNS сервер уже настроен и это этап можно пропустить.
Для корректного отображения страниц в интернет браузере, нужно настроить такой параметр как DNS. IP – DNS, если у вас нет информации о DNS сервере вашего провайдера, прописываем в строке Servers IP адрес нашего роутера 192.168.5.1, а вторим можно указать публичный DNS например 8.8.8.8, и нажимаем ОК.
7.4. Настройка NAT
Для того что бы все устройства в локальной сети попали в интернет сеть, нужно создать правила для NAT, переходим IP – Firewall и во вкладке NAT нажимаем плюс и создаем следующее правило:
- Во вкладке General выбираем цепочку событий (Chain) srcnat и исходящий WAN интерфейс (Out. Interface)
в нашем случае это порт ether1. - Переходим во вкладку действий (Action) и применяем masquerade,
- Нажимаем ОК.
Если все шаги были выполнены правильно, то все оборудование в вашей локальной сети должны попасть в сеть интернет.
8. Настройка Wi-Fi точки доступа
Переходим в меню Wireless, предустановленные настройки параметров беспроводной сети уже есть, их нудно слегка подправить и включить саму беспроводную сеть.
- В первую очередь установим пароль на доступ к беспроводной сети,
если пароль устанавливаться не будет этот шаг можно пропустить. - Переходим во вкладку Security Profiles,
кликаем два раза на уже существующий профиль и во вкладке General делаем следующие настройки:- Можно поменять имя профиля или оставить имя default:
- Меню Mode выбираем dynamic keys
Authentication Types: WPA, WPA2 - Unicast Ciphers: aes ccm
- Group Ciphers: aes ccm
- WPA Pre-Shared Key: пароль для доступу ка беспроводной сети
- WPA2 Pre-Shared Key: пароль для доступу ка беспроводной сети
- Важно: для стабильной работы два последних пароля должны совпадать.
- Нажимаем кнопку ОК
- Переходим во вкладку Wi-Fi Interfaces,
кликаем дважды на интерфейсе wlan1, - Переходим во вкладку Wireless и приступаем к настройкам:
- Mode: ap bridge (режим работы беспроводной точки доступа)
- Band: (выбираем стандарт работы в зависимости от подключаемых клиентов, для подключения всех устройств выбираем стандарт B/G/N)
- SSID: название вашей беспроводной сети
- Wireless Protocol: 802.11
- Security Profile: default (здесь выбираем настроенный ранее профайл с ключом шифрования)
- Нажимаем кнопку ОК
- Далее нажимаем на синю галочку и включаем беспроводный интерфейс
На этом процесс настройки закончен осталось только подсоединить Ethernet кабель от вашего провайдера к роутеру в порт №1.
Вы получаете стабильный и надежный роутер для доступа к сети интернет по кабелю или Wi-Fi.Wi-Fi роутеры Микротик у нас в каталоге:
Курсы по обслуживанию оборудования MikroTik в учебном центре DEPS:
21 октября 2018
Цель курса — освоение теоретических знаний и получение практических навыков работы с маршрутизаторами Mikrotik, работа которых основывается на операционной системе RouterOS, освоение навыков…
18 октября 2018
Этот курс расcчитан для сетевых инженеров, начинающих работу с оборудованием Mikrotik и стремящихся углубить свои знания; ИТ директоров, желающих получить представление о возможностях оборудования…
18 октября 2018
Цель курса это обучение слушателя построению мониторинга оборудования MiktoTik на базе DUDE. В течении этого курса вы научитесь устанавливать базу The Dude , проводить базовые настройки и мониторинг…
Настройка клиента NTP в Mikrotik — Центр программного обеспечения технологий
Какой NTP? Настройка клиента NTP в Mikrotik — Кто-нибудь знает , что такое NTP (сетевой протокол времени)? Наверняка многие не знают, что такое Network Time Protocol. NTP не кажется знакомым тем, кто не совсем разбирается в компьютерных сетях. Хорошо, чтобы узнать больше о том, что такое NTP (Network Time Protocol) и его применение для понимания NTP Mikrotik, пожалуйста, обратитесь к следующему:
понимание NTP
Network Time Protocol, или более часто называемый NTP, является механизмом или протокол, используемый для синхронизации часов в компьютерной системе и сети.Этот процесс синхронизации выполняется в линиях передачи данных, которые обычно используют протокол связи TCP / IP. Так что сам процесс можно рассматривать как процесс регулярной передачи данных только обменом пакетами данных.
NTP использует порт связи UDP с номером 123. Этот протокол разработан для хорошей работы, даже несмотря на то, что среда передачи данных варьируется от высокой до низкой латенсинии, от носителя до проводов мультимедиа в эфир. Этот протокол позволяет устройствам компьютера по-прежнему выполнять очень точную синхронизацию времени на различных носителях.Обычно в сети несколько узлов оснащены средствами NTP с целью формирования подсети синхронизации. Затем узлы будут связываться друг с другом и уравновешивать воздушную синхронизацию своего записанного времени. Хотя есть некоторые узлы, которые будут главными (первичными серверами), NTP не требует механизма выборов.
Хорошо, уже правильно знаешь , что такое NTP? Если так ясно насчет NTP, то теперь до настройки NTP на Mikrotik , позвольте Learning Mikrotik больше о NTP.
Настройка клиента протокола сетевого времени в Mikrotik
При определенных условиях Mikrotik Router должен работать в зависимости от времени, подходящих дат, дней или часов. Например, если вы хотите заблокировать доступ в Интернет в нерабочее время или заблокировать некоторые сайты в определенные часы. Если вы используете ПК в качестве маршрутизатора, Mikrotik, конечно, не проблема, потому что на материнской плате компьютера установлен аккумулятор, который может поддерживать время настройки. Но в Mikrotik RouterBoard у которых нет внутренней конфигурации батареи.Время будет сбиваться каждый раз, когда маршрутизатор будет перезагружен.
Что ж, чтобы на этот раз избежать неточностей настройки, его нужно настроить на Mikrotik Router Network Time Protocol (NTP). Маршрутизаторам Mikrotik необходимо знать NTP-сервер в Интернете, и они попытаются настроить конфигурацию времени на NTP-сервере. Чтобы синхронизировать время в конфигурации Mikrotik Router, вы можете использовать NTP-сервер для Турции с IP-адресом
217.162.232.173
.Для более удобного использования используйте Winbox для настройки клиента NTP.Откройте Winbox, перейдите в меню System -> NTP Client, как показано ниже:
Установите флажок Enabled -> Mode: uni-cast -> Primary NTP Server:
217.162.232.173
Или вы также можете использовать команду line:
[Admin @ MikroTik] > системный клиент ntp устанавливает primary-ntp =
217.162.232.173
enabled = yes uni-cast mode =Кроме того, установив время на его прокси, перейдя в меню System -> Часы, как показано ниже:
Или вы также можете использовать командную строку:
[admin @ MikroTik] > системные часы установить time-zone-name = Europe / Istanbul ваше время конфигурации Mikrotik Router подходит.
Надеюсь, эта статья techsoftcenter.com про Что такое NTP? Настройка клиента NTP в Mikrotik может быть полезной.Freaks Содержание: Установка времени на Mikrotik
Установка времени на Mikrotik
Параметр
время (час / день / месяц / год) на Mikrotik Router абсолютно
необходимо, когда вы реализуете какие-то правила, основанные на временных параметрах,
где правило настроено для запуска в определенное время. Например планировщик.
Несоответствие времени Mikrotik Router реальным обстоятельствам приведет к тому, что правило не будет соответствовать потребностям.Кроме того, журнал записи на маршрутизаторе также является информацией в
времени, когда журнал был сделан, поэтому показания будут сбивать с толку, если
информация не соответствует времени реальной ситуации.
Отсчет времени на Mikrotik Router можно выполнить в System> Clock. По умолчанию время на Mikrotik Router показывает дату 02 января 1970 года 0:00:00 часов. Должно быть время настройки на маршрутизаторе.В RouterBoard ручные настройки System> Clock вернутся к настройкам по умолчанию при перезагрузке маршрутизатора.Оборудование RouterBoard не предназначено для хранения в качестве корпуса компьютера.
В качестве альтернативы можно использовать службу NTP (Network Time Protocol) , которая позволяет маршрутизатору синхронизировать время с другими устройствами в сети.
Mikrotik может одновременно работать как NTP-сервер и NTP-клиент или его второй.Mikrotik в качестве клиента NTP
В системе пакетов Mikrotik RouterOS уже есть функции клиента SNTP (Simple Network Time Protocol) , который можно использовать для включения маршрутизатора в качестве клиента NTP.Когда горит, маршрутизатор автоматически синхронизирует время на NTP.
сервер, назначенный таким образом, чтобы время оставалось обновленным.
В Интернете есть много серверов NTP, которые можно использовать. Пример: id.pool.ntp.org, ntp.nasa.gov и т. Д. Используйте режим = unicast.В клиенте SNTP есть только два режима: широковещательный и одноадресный. Для другого режима (Multicast и Manycast) может использовать установочный пакет клиента NTP ntp.npk.
Похоже, что клиент SNTP успешно синхронизировался.После успешной синхронизации, не обязательно, если маршрутизатор исправен. Проверяет систему > Часы. Вы заметите, что дата была подходящей, но час еще не наступил. Отрегулируйте, чтобы установить имя часового пояса .
Mikrotik как NTP-сервер
NTP-сервер в Mikrotik Функции не найдены в пакете RouterOS по умолчанию, поэтому его необходимо установить вручную пакет ntp.npk.
С помощью функции NTP-сервера мы могли бы иметь сервер в нашей сети, чтобы
другой RouterBoard достаточно времени для поиска информации на локальном
сети, нет необходимости использовать полосу пропускания для публичного доступа к NTP
сервер в Интернете.Серверы NTP
мы можем построить на оборудовании, которое может выполнять время хранения, то есть на маршрутизаторе.
Мы можем определить методы распространения времени, можем использовать Broadcast, Multicast или Manycast.
Вот пример настройки NTP-сервера для прослушивания на IP-адресе 192.168.30.0/24 сетевого сегмента.Настройка сервера NTP с использованием типа развертывания Broadcast , чтобы клиент NTP использовал тот же режим для синхронизации времени на сервере NTP.
Mikrotik NTP Synchronization — Manito Networks
Руководство по безопасности MikroTik и Networking with MikroTik: MTCNA Study Guide by Tyler Hart доступны в мягкой обложке и Kindle!
Синхронизация часов между всеми вашими устройствами является важной частью поддержания работоспособности ваших сетей. Время влияет на безопасность сети, стабильность VPN и многое другое.
- Опираясь на NTP
- Опции NTP
- Часовые пояса
Протоколы, такие как IPSEC и Kerberos, обмениваются ключами и токенами с отметками времени и значениями времени жизни, определяющими действительность.Если часы одного маршрутизатора быстрее, чем часы другого, срок действия этих ключей истечет раньше, что приведет к отказу туннелей IPSEC. Если часы достаточно далеко друг от друга, туннели IPSEC могут вообще не сработать, потому что ключи с одной стороны туннеля никогда не будут действительными на другой стороне.
Также есть последствия для безопасности — в случае нарушения безопасности, если журналы на ваших устройствах имеют несовместимые временные метки, корреляция событий будет невозможна. При расследовании инцидента крайне важно, чтобы журналы были надежными и точными.Говоря о ведении журнала, также разумно централизовать его на сервере, обычно с помощью Syslog и The Dude. Для событий системного журнала мы хотим, чтобы сообщаемые временные метки были точными по всем направлениям.
Что касается серверов NTP, у вас есть несколько вариантов: разместить сервер NTP в своей сети, направить свои устройства на внешний сервер NTP или сделать и то, и другое. Для целей этой статьи мы просто будем использовать внешнюю службу NTP, размещенную в проекте NTP.org. Это фантастический проект, на который полагаются миллионы пользователей Интернета, и если у вас есть запасной сервер, который вы могли бы добровольно принять участие в их сети, пожалуйста, сделайте это.
Одна простая команда сообщит вашим маршрутизаторам о необходимости синхронизации со службой pool.ntp.org, которая является надежной и сбалансированной по нагрузке:
/ system ntp client set enabled = yes server-dns-names = time.google.com, 0.pool.ntp.org, 1.pool.ntp.org, 2.pool.ntp.org, 3.pool. ntp.org
Ваш маршрутизатор синхронизирует свои часы с ближайшим NTP-сервером, участвующим в пуле, и продолжит регулярно вносить небольшие корректировки часов по мере необходимости. Имейте в виду, что если вы используете службы, зависящие от временных меток (например, IPSEC), это может вызвать кратковременное прерывание, если ваши часы значительно отстают.
Есть еще одна важная проблема, особенно если у вас несколько сетей в разных часовых поясах. В зависимости от вашей конфигурации может быть разумным настроить все ваши устройства на часовой пояс UTC. Это гарантирует, что все устройства имеют согласованные конфигурации времени и корреляцию записей журнала между устройствами в разных часовых поясах, вам не придется настраивать местное время. Если у вас есть маршрутизаторы в разных штатах или странах, которые по-разному соблюдают летнее время, UTC еще больше упрощает ситуацию.
/ system clock set time-zone-name = UTC
Имейте в виду, что изменение часовых поясов на ваших устройствах, скорее всего, на мгновение приведет к сбоям в туннелях VPN, и важно, чтобы на всех устройствах было время в формате UTC.
Как настроить MikroTik в первый раз. — wintips.org
Это руководство содержит инструкции по настройке MikroTik в первый раз. Маршрутизаторы MikroTik стали очень популярными в последние годы, потому что они помогают создать стабильную и безопасную домашнюю или офисную сеть по доступной цене.
Для этого урока я использовал 5-портовый гигабитный Ethernet-маршрутизатор MikroTik RB760iGS — hEX S и утилиту WinBox для настройки MikroTik для работы в качестве маршрутизатора (с NAT) со следующими настройками IP:
Eth2 (порт WAN / Интернет)
IP-адрес WAN: 192.168.1.151 (предоставляется интернет-провайдером)
WAN GATEWAY: 192.168.1.1 (предоставляется ISP)
WAN DNS1: 192.168.1.1 (предоставляется ISP)
WAN DNS2: 8.8.8.8 (общедоступный DNS-сервер Google)Eth3, Eth4, Eth5 и т. Д.(Частная сеть)
LAN IP: 192.168.88.1
Диапазон IP-адресов LAN (DHCP): 192.168.88.10-192.168.88.254Как настроить MikroTik с помощью WinBox.
Шаг 1. Подключите MikroTik к сети и к компьютеру.
1. Подключите с помощью кабеля Ethernet (RJ45) порт MikroTik Eth2 к Интернет-модему / маршрутизатору вашего провайдера.
2. Подключите другим кабелем Ethernet (RJ45) один из других портов Ethernet MikroTik (например,грамм. Eth3 ) на вашем ПК.
Шаг 2. Настройте MikroTik с WinBox.
1. В зависимости от версии Windows (32- или 64-битной) загрузите утилиту WinBox.
2. Запустите приложение WinBox и щелкните Connect . ** Примечание. Каждый маршрутизатор предварительно настроен на заводе с IP-адресом 192.168.88.1 на порту Eth2. Имя пользователя по умолчанию — admin без пароля.
3. Щелкните OK в информационном сообщении о конфигурации по умолчанию — окне.
4. Теперь нажмите кнопку Quick Set на левой панели.
5. В окне «Быстрые настройки» примените следующие настройки:
A. В «Режиме конфигурации» выберите Маршрутизатор .
B. В разделе «Интернет» выберите порт Eth2, , который подключен к модему / маршрутизатору вашего интернет-провайдера.(Этот порт будет использоваться для доступа к общедоступной сети и Интернету).
C. В разделе «Получение адреса» выберите Статический и ниже укажите IP-адрес и заполните все остальные данные IP (сетевая маска, шлюз и DNS), которые необходимы для доступа к общедоступной сети, в соответствии с конфигурацией вашего интернет-провайдера. В этом примере я использую следующую конфигурацию:
D. В разделе «Локальная сеть» вы можете указать настройки IP для внутренней / частной сети.В этом примере оставьте IP-адрес по умолчанию «192.168.88.1» и диапазон DHCP-сервера по умолчанию «192.168.88.10-192.168.88.254».
E. Когда закончите, введите Пароль , чтобы защитить маршрутизатор от несанкционированного доступа, а затем нажмите OK , чтобы применить изменения.
Шаг 3. Настройте NAT на MikroTik.
Теперь пора настроить NAT, чтобы разрешить пользователям локальной сети доступ в Интернет. Для этого:
1. В утилите WinBox щелкните IP -> Firewall
2. Выберите вкладку NAT и затем дважды щелкните существующее правило NAT.
3. На вкладке General , в Chain выберите srcnat и ниже (в поле ввода Src. Address) введите IP-блок LAN: 192.168.88.0/24 для частной сети.
4. Затем щелкните вкладку Action , выберите masquerade и щелкните OK , чтобы применить изменение.
5. На этом этапе вы завершили базовую настройку MikroTik. Подключите все свои компьютеры к MikroTik и, если у вас есть доступ в Интернет, вы успешно выполнили задачу.
Вот и все! Сообщите мне, помогло ли вам это руководство, оставив свой комментарий о своем опыте. Пожалуйста, поставьте лайк и поделитесь этим руководством, чтобы помочь другим.
Если эта статья была для вас полезной, поддержите нас, сделав пожертвование. Даже 1 доллар может иметь огромное значение для нас в наших усилиях продолжать помогать другим, сохраняя при этом этот сайт бесплатным:
Если вы хотите, чтобы постоянно защищал от вредоносных угроз, существующих и будущих , мы рекомендуем вам установить Malwarebytes Anti-Malware PRO , нажав ниже (мы
действительно зарабатываете комиссию от продаж, произведенных по этой ссылке, но без каких-либо дополнительных затрат для вас.У нас есть опыт работы с этим программным обеспечением, и мы рекомендуем его, потому что оно полезно и полезно):Полная защита домашнего ПК — Защитите до 3 ПК с помощью НОВОГО ПО Malwarebytes Anti-Malware Premium!
Cara Konfigurasi NTP (Сетевой протокол времени) Di Mikrotik
Пада учебник Кали Ини Сая Акан Поделиться Багаймана Кара настройки NTP ди Mikrotik, serta penerapannya di mikrotik. Namun sebelumnya ada baiknya kita mempelajari terlebih dahulu apa itu NTP?
Network Time Protocol atau lebih sering disbut dengan istilah NTP merupakan sebuah mekanisme atau protokol yang bisa digunakan UntukINKronisasi terhadap penunjuk waktu dalam sebuah sistem jaringan dan komputer.
Sinkronisasi ini biasa dilakukan di dalam jalur komunikasi data yang biasanya menggunakan protokol komunikasi yaitu TCP / IP. Sehingga proses ini sendiri dapat dilihat sebagai proses komunikasi data biasa yang hanya melakukan pertukaran paket — пакет данных.
NTP menggunakan port komunikasi UDP 123. Protokol ini memang didesain untuk dapat bekerja dengan baik meskipun media komunikasinya bervariasi, mulai dari yang waktu litensinya tinggi hingga ke yang rendah, ulai de kabel media.
Protokol ini memungkinkan perankat -perangkat komputer untuk tetap dapat melakukaninkronisasi waktu dengan sangat tepat дан akurat dalam berbagai media.
Biasanya dalam sebuah jaringan, beberapa node dilengkapi dengan fasilitas NTP dengan tujuan Untuk membersuk sebuah subnetinkronisasi. Узел — узел кратко, но кэмудиан акан салинг беркомуникаси дан бер синкронисаси меньямбут вакту ян дирекан.
Meskipun ада beberapa узел ян акан menjadi мастер (основной сервер), протокол NTP tidak membersuhkan mekanisme pemilihan tersebut.Sekarang kita akan melanjutkan bagaimana установка NTP pada Router Mikrotik.
Установка клиента NTP в Mikrotik Далам разрешить третью biasanya Маршрутизатор Mikrotik bekerja berdasarkan waktu, baik itu hari, tanggal, buan, maupun jam. Apabila andamblokir sebuah akses internet di luar jam tertentu bisa jugamblokir situs — situs tertentu pada jam — jam tertentu.
Apabila Anda menggunakan Komputer untuk di jadikan Router tidak akan ada masalah karena di Motherboard komputer sudah ada baterai yang bisa mempertahankan konfigurasi waktu.
Namun jika anda menggunakan Routerboard Mikrotik ян тидак memiliki baterai внутренний сеперти halnya komputer maka semua konfigurasi waktu akan kacau setiap kali router mengalami restart. Багаймана чара менгатаси кетидакакуратан иници?
Untuk mengatasi ketidakakuratan ini kita akan mengkonfigurasi Network Time Protokol (NTP). Sebelumnya маршрутизатор mikrotik harus mengetahui NTP server yang ada di internet supaya bisa menyesuaikan dengan konfigurasi waktu yang berada di NTP server tersebut.
Untuk Sinkronisasi konfigurasi waktu pada router mikrotik, bisa anda menggunakan NTP Server Untuk Indonesia dengan IP Address 203.160.128.3
Langkah — Lankah mengkonfigurasi NTP pada Mikrotik:
- Система меню Klik -> Клиент SNTP (простой протокол сетевого времени)
- Setelah itu kita ceklis Enabled dan isikan Primary NTP Server dengan alamat IP Address 203.160.128.3 (NTP Server Indonesia)
- Sekarang kita coba cek apakah Router Mikrotik sudahinkron dengan waktu di indonesia, cara untuk mengeceknya anda klik menu system -> часы
Pada tahap ini Anda telah berhasil melakukan konfigurasi NTP di Mikrotik, selamat mencoba semoga bermanfaat 🙂
Установка времени
на MikroTik — Блог Nest Wireless
Установка времени на MikroTik Router абсолютно необходима, если вы внедрили правила, основанные на временных параметрах, например, где правила настроены для запуска в определенное время.Одним из примеров может быть планировщик сценариев.
Любое несоответствие времени между MikroTik Router и реальной ситуацией приведет к тому, что правило не будет работать должным образом. Кроме того, системный журнал на маршрутизаторе содержит информацию о времени, когда эта запись в журнале была создана, поэтому будет затруднительно читать информацию о времени, которая не соответствует реальной ситуации.
Настройки времени на MikroTik Router можно выполнить в меню System> Clock . По умолчанию время на маршрутизаторе MikroTik Router 00:00:00 2 января 1970 года.С помощью этого меню можно вручную настроить время на маршрутизаторе.
Ручная установка системных часов
RouterOS регулярно сохраняет текущую дату и время на диск. Поэтому, когда маршрутизатор перезагружается, часы будут возвращены к последней сохраненной дате и времени, а затем будут увеличиваться каждую секунду, но не будут отражать фактические текущие реальные дата и время. Оборудование RouterBOARD не имеет резервной батареи часов реального времени (RTC). Хотя дата и время, скорее всего, будут примерно правильными, единственный способ убедиться, что дата и время действительно правильные, — это синхронизировать внутренние часы с внешним и более точным источником времени.
Мы можем использовать службу NTP (Network Time Protocol) , которая позволяет маршрутизатору синхронизировать время с другими устройствами в сети. MikroTik может функционировать как NTP-сервер или как NTP-клиент, или даже как оба одновременно.
Mikrotik в качестве клиента NTP
В системном пакете RouterOS MikroTik уже есть функция SNTP (Simple Network Time Protocol) Client , которая может использоваться, чтобы позволить RouterOS функционировать как NTP-клиент. Поэтому никаких дополнительных пакетов не требуется.При правильной настройке и включении маршрутизатор автоматически синхронизирует время маршрутизатора с назначенным сервером NTP, чтобы настройки времени оставались актуальными.
В Интернете есть много серверов NTP, которые можно использовать, и полезное место для поиска ближайшего к вам сервера времени NTP — https://www.ntppool.org /.
Если DNS-клиент уже правильно работает на маршрутизаторе, можно ввести полное доменное имя. При нажатии на «Применить» с серверами NTP свяжутся, и дата и время будут обновлены.
После успешной синхронизации с восходящий сервер времени, это не обязательно означает, что время маршрутизатора полностью правильное.Проверьте меню Система> Часы . Вы увидите, что можно выбрать Имя часового пояса . Это обеспечит применение дневного света и правильное смещение часового пояса ко времени, полученному от сервера времени.
MikroTik как сервер NTP
Функция NTP-сервера на Mikrotik не включена в стандартный пакет RouterOS, поэтому вам придется вручную установить пакет ntp.
С помощью функции сервера NTP мы можем иметь сервер в нашей сети, чтобы другие платы RouterBoard получали информацию о времени в локальной сети, и нет необходимости использовать полосу пропускания для доступа к общедоступным серверам NTP в Интернете.
Также можно настроить RouterBOARD со встроенным GPS в качестве сервера времени.
Мы можем использовать методы Broadcast, Multicast или Manycast для передачи информации в сеть. Чаще всего используется режим Manycast .
Ниже приведен пример настройки сервера NTP на Manycast.
Установите для Enabled и Manycast
Замена маршрутизатора: Mikrotik RB4011 и TIME DotCom 1Gbps Internet Service
Я купил маршрутизатор Mikrotik RB4011, чтобы заменить маршрутизатор для моей службы Интернета TimeDotCom Fiber.В основном для веселого обучения. ☺
На самом деле у меня возникли некоторые проблемы с маршрутизатором DIR-882, поставляемым компанией TIME. Это быстрый маршрутизатор, но мне не удалось заставить работать обратную петлю NAT, поиск DNS с помощью Google DNS кажется вялым, и я хотел контролировать свой трафик с помощью SNMP. Хотя прошивка настроена для работы с TIME, служба поддержки TIME направила меня в D-Link по вопросам, касающимся маршрутизатора.
Но основная причина заключалась в том, что мне нужна была точка доступа Wi-Fi в другом месте, поэтому было лучше использовать DIR-882 в качестве точки доступа и получить новый маршрутизатор.Раньше я прошивал свои маршрутизаторы с помощью OpenWRT, и он имел большинство необходимых мне функций. Но найти хороший маршрутизатор, с которым openWRT совместим, работает надежно и оптимально, непросто. Поэтому я решил поискать маршрутизатор со стандартной прошивкой, у которой было бы много функций и вычислительных мощностей, которые я мог бы использовать.
Интернет-сервис TIME легче настроить, чем UniFi или Maxis, поскольку не требуется настройка VLAN. Однако это был мой первый опыт использования RouterBoardOS, поэтому большая часть усилий была направлена на поиск в Google того, как что-то делать.В целом я очень впечатлен набором функций. RB4011, вероятно, является излишним для этого, но я не хотел разочаровываться, если модель меньшего размера оказалась медленнее, чем предоставленный маршрутизатор TIME. Также есть много вещей, которые я смогу изучить и поэкспериментировать. Я также могу получить меньший MikroTik hAP AC2 для игры в будущем … так что я могу также поиграть с функциями Wi-Fi (вариант RB4011, который у меня есть, не имеет Wi-Fi, поскольку мне не нужен Wi-Fi в этом месте) .
Базовая установка и конфигурация
В заводском состоянии или после сброса настроек (чтобы сбросить маршрутизатор до заводской конфигурации, удерживайте кнопку сброса во время загрузки, пока индикатор не начнет мигать, затем отпустите ее) RB4011 запускается со следующими настройками:
Режим маршрутизатора:
Порт WAN защищен брандмауэром и включен DHCP-клиент
Интерфейсы Ethernet (кроме порта WAN ether1) являются частью моста LAN
Конфигурация LAN:
Конфигурация WAN (шлюз):
шлюз: ether1;
Межсетевой экран ip4: включен;
NAT: включен;
DHCP-клиент: включен;
DNS: включен;
Я подключил питание к RB4011 и подключил порт 1 к порту WAN на TIME BTU, а порт 2 — к своему коммутатору LAN.Я отключил имеющийся DIR-882. Поскольку IP-адрес локальной сети RB4011 по умолчанию находится в другой подсети, чем моя, я временно добавил виртуальный сетевой интерфейс для этой подсети на своем настольном ПК:
Теперь я могу проверить связь с RB4011 и перейти к веб-интерфейсу через http://192.168.8.1/.
RB4011 можно настроить из утилиты командной строки (через telnet), через веб-интерфейс пользователя или клиентскую программу на базе Windows под названием WinBox. Большинство онлайн-руководств основаны на WinBox, и, хотя WinBox можно запускать в Linux через Wine, я хотел бы посмотреть, насколько я могу обойтись без этого.Веб-интерфейс, похоже, выполняет все те же функции, что и WinBox, однако требует наличия сетевого доступа к устройству.
RB4011 также имеет порт RJ45, выступающий в качестве последовательной консоли, поэтому я думаю, что если бы я потерял IP-доступ, я смог бы использовать этот порт для восстановления доступа. Однако у меня нет назначений контактов RJ45 RS232, для которых мне нужно выследить и сделать кабель (TODO). Настройки RS232: 115200, 8N1.
Winbox / WebFig предлагает огромное количество настроек, однако для новичков обычно доступны стандартные предустановки под так называемым «Quickset».RB4011, у которого нет портов Wi-Fi или USB, имеет только два варианта QuickSet: он может работать как маршрутизатор или как мост. Поэтому экран QuickSet RB4011 довольно прост.
Вот сделанные мной настройки:
Режим: Маршрутизатор
Интернет
Порт: eth2
Получение адреса: PPPoE
Пользователь PPPoE: «Сетевой идентификатор пользователя PPPo125 из моего сообщения
. : «Сетевой пароль» из моего приветственного письма TIME
Имя службы PPPoE: не заполнено
Локальная сеть
VPN:
Система:
22 Пароль:
Пароль:
Вот как выглядела страница быстрых настроек:
Я нажал Применить конфигурацию.Затем мне пришлось отключить и снова подключить локальную сеть моего ноутбука, так как IP-адрес локальной сети изменился. Как только я это сделал, я перешел на http://192.168.1.1 и снова смог войти в свой маршрутизатор, который теперь требует пароль для входа. Тем временем PPPoE установил соединение с Интернетом, и теперь я снова был в сети через RB4011. Эээ … вот и все! Базовая настройка маршрутизатора завершена!
Я был рад обнаружить, что производительность примерно такая же, как у DIR-882:
Обновление прошивки
Рекомендуется проверить наличие обновленной прошивки, как только маршрутизатор сможет выйти в Интернет.В самом низу меню «Быстрые настройки» есть кнопка «Проверить наличие обновлений». При щелчке по нему появилось сообщение «Доступна новая версия»:
Я нажал «Загрузить и установить», и через несколько секунд он сказал, что маршрутизатор перезагружается. Я немного подождал, обновил браузер и вошел в систему. Теперь моя прошивка была последней:
Изменить IP-адрес LAN с «ether2» на «Bridge»
Я намереваюсь использовать несколько портов Ethernet на RB4011 в качестве портов коммутатора для моей локальной сети, поэтому IP-адрес локальной сети, который назначается ether2 программой QuickSet, необходимо изменить на «Мост».
Удаленное сканирование сетевых портов
С внешнего хоста запустите nmap на внешнем ipv4-адресе:
Хм … порт 50805 кажется какой-то функцией удаленного управления. Не знаю как отключить, если кто знает, поделитесь.
Назначение адресов DHCP для IPV4
Для настройки аренды DHCP с фиксированными адресами IPV4:
IPV6
ОС RouterBoard объединяет свои функции в пакеты. По умолчанию установлены и включены только базовые пакеты.IPV6 предоставляется пакетом «ipv6». На моем маршрутизаторе, если заглянуть в «Система» → «Пакеты», он был установлен, но отключен.
Для включения пакета IPV6 достаточно было щелкнуть строку этого пакета с последующим нажатием кнопки «Включить». Как только я это сделал, на экране появилась запись «Запланировано для включения». Я перезагрузил роутер, выбрав «Система» → «Перезагрузка». После перезагрузки пакет ipv6 был включен:
И теперь есть пункт меню «IPV6».Чтобы получить IPV6-адрес и префикс из TIME, нам необходимо:
И после этого маршрутизатор немедленно получил IPV6-адрес и префикс от провайдера. Полученный префикс IPV6 автоматически помещается в пул, где он может быть разделен маршрутизатором (проверьте в разделе «IPV6» → «Пул»):
Далее нам нужно назначить один из IP-адресов из пула нашему интерфейсу LAN:
«IPV6» → «Адреса»
Нажмите «Добавить»
Адрес: «:: / 64»
Из пула: «ISP»
Интерфейс: « мост »
Реклама: отметьте
Нажмите« ОК »
Интерфейс моста теперь будет иметь IPV6-адрес из пула «isp»:
Поскольку мы отметили «Объявление» в IPV6-адресе маршрутизатора в локальной сети, все устройства в локальной сети будут получать объявления маршрутизатора, содержащие префикс IPV6, и автоматически настраиваются на глобальный IP-адрес.Вот результаты теста IPV6:
Кто-то должен заставить инженеров TIME зарегистрировать обратный поиск имени хоста для всех их адресов IPV4 и IPV6.
Межсетевой экран IPV6
Когда я впервые установил свой RB4011, правил брандмауэра IPV6 по умолчанию не было, вероятно, потому, что пакет IPV6 был изначально отключен. Но позже, как только пакет IPV6 был включен, после того, как я сбросил маршрутизатор до заводских настроек, правила IPV6 по умолчанию уже действовали. Я разместил команды для воссоздания правил ниже:
/ ipv6 firewall filter
добавить действие = принять цепочку = входной комментарий = «defconf: принять установленное, связанное, неотслеживаемое» состояние соединения = установлено, связанное, неотслеживаемое
add action = drop chain = input comment = «defconf: drop invalid» состояние соединения = недопустимое
добавить действие = принять цепочку = входной комментарий = «defconf: принять ICMPv6» протокол = icmpv6
add action = accept chain = input comment = «defconf: accept UDP traceroute» порт = 33434-33534 протокол = udp
добавить действие = принять цепочку = входной комментарий = «defconf: принять делегирование префикса DHCPv6-клиента.»dst-port = 546 protocol = udp src-address = fe80 :: / 10
add action = accept chain = input comment = «defconf: accept IKE» dst-port = 500,4500 protocol = udp
добавить действие = принять цепочку = входной комментарий = «defconf: принять ipsec AH» протокол = ipsec-ah
добавить действие = принять цепочку = входной комментарий = «defconf: принять ipsec ESP» протокол = ipsec-esp
добавить действие = принять цепочку = входной комментарий = «defconf: принять все, что соответствует политике ipsec» ipsec-policy = in, ipsec
add action = drop chain = input comment = «defconf: отбросить все остальное, не поступающее из LAN» in-interface-list =! LAN
добавить действие = принять цепочку = вперед комментарий = «defconf: принять установленное, связанное, неотслеживаемое» состояние соединения = установлено, связанное, неотслеживаемое
add action = drop chain = forward comment = «defconf: drop invalid» состояние соединения = недопустимое
добавить действие = drop chain = forward comment = «defconf: отбрасывать пакеты с неверным src ipv6» src-address-list = bad_ipv6
add action = drop chain = forward comment = «defconf: отбрасывать пакеты с неверным dst ipv6» dst-address-list = bad_ipv6
добавить действие = drop chain = forward comment = «defconf: rfc4890 drop hop-limit = 1» hop-limit = equal: 1 protocol = icmpv6
добавить действие = принять цепочку = вперед комментарий = «defconf: принять ICMPv6» протокол = icmpv6
add action = accept chain = forward comment = «defconf: accept HIP» protocol = 139
добавить действие = принять цепочку = вперед комментарий = «defconf: принять IKE» dst-port = 500,4500 протокол = udp
добавить действие = принять цепочку = вперед комментарий = «defconf: принять ipsec AH» протокол = ipsec-ah
добавить действие = принять цепочку = вперед комментарий = «defconf: принять ipsec ESP» протокол = ipsec-esp
добавить действие = принять цепочку = вперед комментарий = «defconf: принять все, что соответствует политике ipsec» ipsec-policy = in, ipsec
добавить действие = drop chain = forward comment = «defconf: отбросить все остальное, что не поступает из LAN» in-interface-list =! LAN
Если выбрать «IPV6 → Firewall → Filter Rules → All» не показать любые правила, правила можно воссоздать, выполнив вышеуказанное с терминала.
Эти правила не только защищают внешний IPV6 IP, но и блокируют пересылку пакетов IPV6 на внутренние хосты. Без них все устройства с поддержкой IPV6 в вашей локальной сети будут доступны извне напрямую. Это отличается от IPV4, где мы используем частный адрес локальной сети, который «естественным образом» защищен извне за счет невозможности маршрутизации из Интернета. С IPV6 всем вашим внутренним устройствам назначается общедоступный («глобальный») IPV6-адрес из назначенного префикса. Это означает, что они полностью доступны извне, т.е.е. любой может ssh или получить доступ к любому порту на ваших устройствах LAN, если они знают ваш IPV6 IP.
Приведенные выше правила «пересылки» запрещают внешнему трафику инициировать подключения к IPV6-адресам в локальной сети. Устройства с поддержкой IPV6 в локальной сети могут по-прежнему получать доступ к Интернету через IPV6, без какого-либо NAT, просто Интернет не может получить к ним доступ через IPV6. Вероятно, это лучший способ сделать это на данный момент.
Я не нашел способа избирательно разрешить IPV6-доступ к определенным портам на определенных устройствах в вашей локальной сети.Теоретически нужно просто добавить правило, чтобы «разрешить» соединения с этим адресом и портом в цепочке «вперед». Проблема в том, что IP-адрес является частью назначаемого префикса, который обычно является динамическим. Поэтому я не уверен, как вы могли создать такое правило.
Google DNS + кэширование DNS
Чтобы полностью переключиться на Google DNS, мне сначала пришлось отключить использование одноранговых (Time’s) DNS-серверов. Это делает:
Далее мы можем настроить IP-адреса DNS-серверов Google:
Выберите «IP» → «DNS»
«Динамические серверы» должны быть пустыми
Введите «8.8.8.8 «в поле» Серверы «
Затем щелкните стрелку вниз, чтобы создать второе поле, и введите для этого» 8.8.4.2 «.
Нажмите Применить.
Динамический DNS (облачный IP)
Mikrotik имеет собственную реализацию динамического DNS, которая называется «Cloud IP». Он использует серверы, управляемые mikrotik, и сопоставляется с именем, содержащим серийный номер вашего маршрутизатора + фиксированное доменное имя.
Для настройки IP-адреса облака:
После включения маршрутизатор зарегистрирует DNS-имя (на основе серийного номера вашего маршрутизатора), и будет отображено DNS-имя.Это имя всегда будет указывать на последний обновленный IP-адрес вашего маршрутизатора. Запись AAAA также регистрируется для IP-адреса IPV6 на вашем порту WAN.
Если у вас есть собственное доменное имя, вы можете зарегистрировать CNAME для этой записи, чтобы ее было легче запомнить.
Тот факт, что он также отображает запись IPV6 DNS AAAA, является для меня проблемой, потому что у меня еще нет виртуальных серверов LAN, сопоставленных с общедоступным IP-адресом маршрутизатора IPV6 (только на IPV4). Поэтому, когда я использую клиентов, которые предпочитают IPV6, они пытаются подключиться к IPV6 IP маршрутизатора и не смогут подключиться к внутреннему виртуальному серверу.Мне было бы интересно найти решение для этого. Так что пока я продолжаю использовать свою службу DynDNS и обновляю только запись «A».
Перенаправление портов
Переадресация портов — это когда вы хотите, чтобы определенный порт на внутреннем сервере стал доступным из Интернета на определенном порту.
Чтобы создать переадресацию порта с внешнего порта публичного IP-адреса 32410 на внутренний IP-адрес 192.168.1.6, внутренний порт 3240, я сделал:
Это правило переадресации портов отображает только внешний трафик на внутренний сайт.Если у вас есть внутренний трафик на внутренний сайт, но вы хотите получить к нему доступ с помощью внешнего IP-адреса или динамического DNS-имени, вам необходимо добавить NAT Loopback / Hairpin Nat для этой службы.
NAT Петля / шпилька NAT
NAT Loopback / Hairpin Net требуется, если у вас есть внутренний сервер, к которому вы хотите получить доступ от внутреннего клиента, но с использованием внешнего IP / динамического DNS-имени. По умолчанию переадресация портов отображает только внешний трафик на внутренний сервер. Он не знает, как сделать «разворот» для внутреннего трафика.Если вам нужен шлейф NAT, вам нужно будет настроить его, как показано ниже:
Когда вы нажмете «ОК», в окне «Списки адресов» будет сделана вторая запись с фактическим IP-адресом вашего WAN-IP на тот момент. Это обновится автоматически. Таким образом, вы можете в любое время обратиться к списку адресов с именем «WAN-IP», чтобы указать свой фактический динамический IP-адрес в глобальной сети.
Затем добавьте запись «Переадресация порта», чтобы внешний трафик, подключенный к порту X, перенаправлялся на порт Y на внутреннем IP-адресе.В отличие от стандартной переадресации портов, мы не соответствуем правилу «In. Interface», а скорее «Dst. Address List», который мы установили для WAN-IP. Таким образом, он захватывает не только внешний трафик, указывающий на IP-адрес WAN, но и внутренний трафик.
Динамический DNS (DynDNS)
Нет встроенной поддержки для обновления серверов DynDNS, поэтому это нужно делать с помощью скрипта. Сначала загружаю скрипт:
: глобальный ddnsuser «theddnsusername»
: глобальный пароль ddnspass «theddnspassword»
: глобальный интерфейс «interfacename»
: глобальный ipddns [: resolve $ ddnshost];
: глобальный ipfresh [/ ip address get [/ ip address find interface = $ theinterface] address]
: если ([: typeof $ ipfresh] = nil) do = {
: информация журнала («DynDNS: нет IP-адреса на $ theinterface.»)
} else = {
: для i от = ([: len $ ipfresh] — 1) до = 0 do = {
: if ([: pick $ ipfresh $ i] = «/») do = {
: установить ipfresh [: выбрать $ ipfresh 0 $ i];
}
}
: если ($ ipddns! = $ Ipfresh) do = {
: информация журнала («DynDNS: IP-DynDNS = $ ipddns»)
: информация журнала («DynDNS: IP-Fresh = $ ipfresh»)
: информация журнала «DynDNS: требуется обновление IP, отправка UPDATE …!»
: global str «/ nic / update \? Hostname = $ ddnshost & myip = $ ipfresh & wildcard = NOCHG & mx = NOCHG & backmx = NOCHG»
пароль = $ ddnspass dst-path = («/ DynDNS.». $ ddnshost)
: задержка 1
: global str [/ file find name = «DynDNS. $ Ddnshost»];
/ файл удалить $ str
: глобальный ipddns $ ipfresh
: информация журнала «DynDNS: IP обновлен до $ ipfresh!»
} else = {
: информация журнала «DynDNS: изменять не нужно»;
}
}
Если все прошло хорошо, вы должны увидеть запись в нижней части «Журнала» следующего содержания:
Для автоматического запуска скрипта в планировщике необходимо сделать запись:
Добавить графики трафика
Графики доступны через пункт меню «Графики»:
Советы по работе из командной строки
Чтобы распечатать настройки для раздела (например,грамм. Фильтры брандмауэра IPV6:
Чтобы удалить все настройки из раздела (например, фильтры брандмауэра IPV6):
Чтобы сбросить все настройки из раздела (например, фильтры брандмауэра IPV6):
Установить IP-адрес на интерфейс:
Список литературы
.
-