Устройства Mikrotik, в частности роутеры этой компании, достаточно давно присутствуют на рынке, но широкого распространения пока не получили. Хотя по возможностям и надежности, за их цену, конкурентов просто не имеют. На мой взгляд, их непопулярность обусловлена довольно сложной настройкой для неискушенного пользователя. В данной статье мы рассмотрим вопрос базовой настройки роутеров Mikrotik. Из нее будет понятно, что ничего особо сложного в ней нет. Итак приступим:

 

Подготовка

 

До непосредственной настройки Mikrotik надо немного подготовиться.

Нам необходимо узнать количество провайдеров и тип подключения к ним:
    DHCP – выяснить, есть ли привязка к MAC адресу, если таковая присутствовала, то узнать MAC предыдущего устройства, через которое происходило подключение.
    Статический IP – надо знать IP, который выделил нам провайдер, маску подсети, шлюз, а также DNS сервера.
    PPPOE – надо знать логин и пароль подключения.
Определимся с адресами нашей локальной сети: пусть, для примера, будет 192.168.10.0 с маской 255.255.255.0

Скачать с сайта Mikrotik “https://mikrotik.com/download” последнюю прошивку для вашего устройства (файл формата npk), и программу winbox.

 

Предварительная настройка
 

После того, как разобрались с вышеперечисленным, можем подключаться к самому устройству.

Включаем наш Mikrotik в сеть, цепляемся к нему патч-кордом, через третий интерфейс. И открыв winbox, находим его во вкладке Neighbors.

Щелкаем мышкой на его MAC адрес, и, введя логин admin без пароля, жмем кнопку Connect.

В появившемся окошке жмем Remove configuration. Ставим галочки No Default Configuration и Do Not Backup, подтверждаем перезагрузку роутера.

После перезагрузки снова подключаемся к нашему роутеру. В левом столбце выбираем files и перетаскиваем мышкой, предварительно скачанное обновление, для нашего устройства в открывшееся окошко. Затем снова перезагружаем роутер, нажав system – reboot – yes.

Вновь подключившись к роутеру, идем по следующим пунктам меню:

system – users в верхней части нажимаем {+}
Здесь заводим пользователя, под которым будем работать с роутером, так как встроенного админа лучше не оставлять. Выбираем имя пользователя Group – full, Allow Address – IP адреса, с которых этому пользователю разрешено подключаться. тут можем ввести адрес нашей локальной сети – 192.168.10.0/24, и устанавливаем взломостойкий пароль. Нажимаем ОК.

IP – Services

Чем больше сервисов, тем больше возможностей к нам залезть. Соответственно выключаем все лишнее (выделяем мышкой и жмем, красный крестик вверху), чем мы не намерены пользоваться. А также прописываем подсети, из которых эти сервисы будут доступны.

System – SNTP Client

Здесь задаем NTP сервера, по которым наш роутер будет сверять время. Ставим галочку напротив Enabled и вводим два адреса рабочих NTP серверов (для примера я укажу пару, но они довольно легко гуглятся, так что можете задать любые, главное удостовериться в их работоспособности): Primary NTP Server: 89.109.251.23; Secondary NTP Server: 129.69.1.153. Нажимаем ОК.

System – Clock

Вкладка Time. В пункте Time Zone Name выбираем свой часовой пояс. Нажимаем ОК.

 

Настройка интерфейсов

 

Настройка локальной сети
 

Начнем с настройки локальной сети. Оставим первую пару портов для провайдеров, даже если он у вас пока один. Если после вашего роутера в локальную сеть будет стоять коммутатор, то для локальной сети хватит и одного порта. Но при желании использовать порты самого роутера их необходимо объединить в общий коммутатор. Способ объединения зависит от модели и количества необходимых портов.

 

Если у вас модель без wi-fi и с одним свитч чипом то делаем так:

 

 Interfaces – вкладка interface, двойной щелчок на интерфейсе ether4 – поле Master Port выбираем ether3. Для того чтобы легче было ориентироваться в Comment подписываем интерфейс LAN-MASTER. По аналогии проделываем тоже самое с другими интерфейсами, кроме 1го и 2го. В комментариях к ним можете подписать их как lan-slave1, lan-slave2 и т.д. Или как вам удобно. Переименовывать сами интерфейсы я бы не советовал, а то со временем может возникнуть путаница.

Если у вас модель с несколькими свитч чипами и вам необходимо объединить их в общий коммутатор или у вас модель с Wi-Fi или вовсе без свитч чипов, то объединяем порты через бридж:

 

Сначала делаем, так же как и в примере с одним свитч чипом. Для объединения второго чипа заходим в ether7 и поле Master Port выбираем ether6, тоже проделываем и с другими портами, где в качестве Master Port выбираем ether6. Если у вас более двух свитч чипов или каждый из них обслуживает более 5 портов, поступаем соответственно модели вашего оборудования, где в качестве мастер порта указывается один из портов на свитч чипе, а остальные, по необходимости, переводятся в режим слейв. Затем нам надо объединить наши мастер порты и Wi-Fi (если требуется) в общий бридж:

 

Bridge – Вкладка bridge  – {+} вкладка General, в поле Name вбиваем имя нового бриджа, в нашем случае, “LAN-Bridge”. В поле ARP выбираем proxy-arp. Нажимаем ОК.

Bridge – Вкладка Ports  – {+}, вкладка General, в поле Interface выбираем ether3, в поле Bridge выбираем LAN-Bridge. Нажимаем ОК. Затем опять {+} , в поле Interface выбираем ether6 в поле Bridge выбираем LAN-Bridge. Нажимаем ОК. И опять {+} , в поле Interface выбираем wlan1 в поле Bridge выбираем LAN-Bridge. Нажимаем ОК.

 

Назначаем локальный адрес роутера

 

Теперь необходимо назначить нашему роутеру адрес, под которым он будет работать в нашей локальной сети.
IP – Addresses – {+}, в поле Address вводим 192.168.10.1/24; в поле Interface выбираем LAN-Bridge. Нажимаем ОК.

 

Настройка DHCP

Если нам необходимо, то поднимаем DHCP сервер для нашей локальной сети:

IP – Pool – вкладка Pools – {+}. В поле Name вводим название пула адресов для нашей сети, например: “LAN-Pool”. В поле Addresses указываем диапазон адресов для выдачи нашим dhcp сервером: 192.168.10.10-192.168.10.100. Нажимаем ОК.

IP – DHCP Server – Вкладка DHCP – {+}. В поле Name пишем имя нашего DHCP сервера: “DHCP-LOCAL”. В поле Interface выбираем LAN-Bridge. Lease Time указываем время аренды ip адреса, можно оставить по умолчанию 10 минут. В поле Address Pool выбираем LAN-Pool. Нажимаем ОК.

IP – DHCP Server – Вкладка Networks – {+}. Заполняем поля Address 192.168.10.0/24; Gateway 192.168.10.1; DNS Server 192.168.10.1, если нажать стрелку вниз рядом с адресом, то можно указать вторичный DNS 8.8.8.8 Нажимаем ОК.

 

Повторный вход на роутер

 

Если у вас на компьютере, с которого производите настройку было указано получение ip адреса автоматически или был прописан статический адрес из настраиваемой сети, то просто закрываем окно winbox и заходим заново на наш роутер, но на этот раз выбираем в качестве адреса подключения IP, а не MAC. Если у вас прописан адрес из другой сети, то стоит его сменить на автоматическое получение. В качестве логина и пароля вводим те данные, которые заводили в предварительной настройке. Затем удаляем встроенную учетную запись администратора:

System – вкладка Users. Выбираем встроенную учетную запись и нажимаем {-}.

 

Настройка подключения к интернет
 

Теперь нам необходимо произвести настройки для связи нашей сети с внешним миром. Для этого вставляем кабель от провайдера в первый интерфейс. А в winbox идем слева в меню Interfaces, вкладка Interface, там выбираем ether1 и комментируем его как ISP1. Далее, в зависимости от типа подключения, выполняем следующие действия:

 

DHCP подключение

 

В независимости от привязки по MAC, выполняем:

IP – DHCP Client – Вкладка DHCP Client – {+} в поле Interface выбираем ether1 и ставим галочку напротив Use Per DNS, а также проверяем значение поля и Add Default Route, там должно стоять yes. Нажимаем ОК.

Если привязка к MAC адресу присутствует, то еще необходимо вытащить кабель провайдера, открыть окно терминала New Terminal в левом меню и ввести следующую команду:

/interface ethernet set ether1 mac-address=XX:XX:XX:XX:XX:XX
Где вместо XX прописать МАС адрес предыдущего устройства. Затем вставить кабель провайдера в первый интерфейс.
 

Статический IP

 

После настройки адреса и маски внешнего интерфейса необходимо прописать шлюз провайдера для выхода в интернет:

IP – Routes – Вкладка Routes – {+}. В поле Gateway вводим адрес шлюза, предоставленный провайдером. Нажимаем ОК.

Далее прописываем адреса DNS серверов провайдера и разрешаем DNS запросы из нашей сети:

IP – DNS В поле Servers вводим адреса серверов, нажав стрелку вниз, правее поля с адресом можно указать несколько адресов. И ставим галочку напротив Allow Remote Request.

 

PPPOE подключение

 

При таком типе подключения выполняем следующие действия:

PPP – вкладка Interface – {+} – PPPeE Client. Вкладка General в поле Name обозначаем наше соединение: “ISP1”. В поле interfaces выбираем ether1. Переходим на вкладку Dial Out, здесь заполняем поля User – ваш логин, выданный провайдером, Password – соответственно пароль. Также ставим галочки Use Peer DNS и Add Default Route. Нажимаем ОК. Напротив соединения должна появиться буква R как знак успешного соединения с провайдером.
 

Проверка соединения

 

По завершении создания соединения с провайдером необходимо проверить его работоспособность:

Tools – ping. В поле Ping To вводим 8.8.8.8 и жмем Start. Если пинги пошли, значит с соединением все в порядке. Теперь проверяем работоспособность DNS. В поле Ping To пишем google.com, если и тут все удачно, значит соединение полностью работоспособно и необходимо настроить соединение нашей локальной сети с интернет:

IP – Firewall – Вкладка NAT – {+} Вкладка General. В поле Chain выбираем srcnat, в поле Out interface выбираем ether1 или созданное нами PPPoE соединение до провайдера, в случае PPPoE подключения. Вкладка Action, в поле Action выбираем masquerade. Нажимаем ОК. Теперь интернет должен появиться и у нас на компьютере.

 

Настройка безопасности

 

Настройка Firewall

 

Поскольку сейчас мы смотрим в интернет "голым" интерфейсом, необходимо настроить минимальный набор правил для фаервола.

Для начала, для базовой диагностики, разрешим icmp запросы на наш роутер:

Ip – Firewall – Вкладка Filter Rules – {+} – Вкладка General. Поле Chain выбираем input; поле Protocol выбираем icmp.Вкладка Action. В поле Action выбираем accept.

Разрешим установленные соединения:

Ip – Firewall – Вкладка Filter Rules – {+} – Вкладка General. Поле Chain выбираем input; параметр Connection State выбираем established.Вкладка Action. В поле Action выбираем accept.

Разрешим зависимые соединения:

Ip – Firewall – Вкладка Filter Rules – {+} – Вкладка General. Поле Chain выбираем input; параметр Connection State выбираем related.Вкладка Action. В поле Action выбираем accept.

Блокируем все остальные входящие соединения:

Ip – Firewall – Вкладка Filter Rules – {+} – Вкладка General. Поле Chain выбираем input; поле In. Interface выбираем ether1.Вкладка Action. В поле Action выбираем drop.

И запрещаем все перенаправления в нашу сеть:

Ip – Firewall – Вкладка Filter Rules – {+} – Вкладка General. Поле Chain выбираем forward; поле In. Interface выбираем ether1; параметр Connection NAT State ставим галочку dstnat и восклицательный знак. В поле Action выбираем drop.

Более менее прикрылись. Теперь необходимо отключить Neighbors Discovery и МАС сервер с внешних интерфейсов.

 

Отключаем Neighbors Discovery
 

Поскольку нам не нужно чтобы мы светились в сеть провайдера, нам необходимо отключить Протокол Обнаружения Соседей, дабы не вызывать лишних желаний к нам постучаться:

IP – Neighbors – Вкладка Discovery Interfaces. Здесь выделяем внешние интерфейсы и переводим их в статус Disable.

 

Отключаем MAC Сервер
 

Нам необходимо отключить возможность присоединиться к нашему роутеру с внешних интерфейсов по MAC. Для этого:

Tools – MAC Server – Вкладка Telnet Interfaces. Здесь отключаем интерфейс all и добавляем через {+} только те интерфейсы, с которых подразумевается подключение по MAC. На вкладке WinBox Interfaces проделываем те же действия.

 

Настройка Wi-Fi.
 

Если у вас модель с Wi-Fi, на подобии RB2011UAS-2HnD-IN, или любая другая с беспроводным модулем. То скорее всего, вы захотите воспользоваться и такой возможностью подключения к вашей сети. По умолчанию, беспроводной интерфейс отключен, и прежде чем включить, немного его настроим:

Wireless – Вкладка Interfaces. Выбираем наш интерфейс двойным щелчком мышки и переходим на вкладку Wireless. Здесь в параметре Mode выбираем ap bridge; параметр Band выбираем 2Ghz-B/G/N; Далее Channel Width – тут все по обстановке, смотрим как у нас в процессе эксплуатации соединения идут лучше 20/40MHz Ce, 20/40MHz eC или 20MHz; SSID – это имя вашей сети; Wireless Protocol выбираем 802.11; Frequency - данный параметр можно оставить как auto, но лучше просканировать частотное пространство рядом с нашем роутером. Для этого нажимаем Scan, выбираем наш беспроводной интерфейс wlan1 в графе interfaces и нажимаем кнопку Start. Вам отобразится список того, что происходит с wi-fi средой по соседству, так что примечаем наименее загруженную частоту и выбираем ее в поле Frequency; Security Profile оставляем default. Нажимаем OK.

Wireless – Вкладка Security Profile. Открываем профиль default двойным щелчком мышки. На вкладке General параметр Mode выбираем dynamic keys; Authentication Types ставим галочку только напротив WPA2 PSK; Unicast Ciphers и Group Ciphers ставим галочки только aes ccm; В поле WPA2 Pre-Shared Key вводим наш пароль. Нажимаем ОК. Перемещаемся обратно:

Wireless – Вкладка Interfaces. Выбираем наш интерфейс и включаем его. И пробуем подсоединиться по Wi-Fi.

    На этом БАЗОВАЯ настройка нашего маршрутизатора закончена. Про многопровайдерность, более гибкую настройку межсетевого экрана, защиту от DDoS и bruteforce, и о реализации прочих возможностей на оборудовании Mikrotik опишу в следующих материалах.