MODUS
Консультационный центр
Онлайн Кассы в наличии!тел: +7(495)368-91-51
Подключение к ОФД368-93-11
e-mail: modus@modus.ru
личный кабинет

Базовая настройка Mikrotik

    Устройства Mikrotik, в частности роутеры этой компании, достаточно давно присутствуют на рынке, но широкого распространения пока не получили. Хотя по возможностям и надежности, за их цену, конкурентов просто не имеют. На мой взгляд, их непопулярность обусловлена довольно сложной настройкой для неискушенного пользователя. В данной статье мы рассмотрим вопрос базовой настройки роутеров Mikrotik. Из нее будет понятно, что ничего особо сложного в ней нет. Итак приступим:

 

Подготовка

 

До непосредственной настройки Mikrotik надо немного подготовиться.

Нам необходимо узнать количество провайдеров и тип подключения к ним:
    DHCP – выяснить, есть ли привязка к MAC адресу, если таковая присутствовала, то узнать MAC предыдущего устройства, через которое происходило подключение.
    Статический IP – надо знать IP, который выделил нам провайдер, маску подсети, шлюз, а также DNS сервера.
    PPPOE – надо знать логин и пароль подключения.
Определимся с адресами нашей локальной сети: пусть, для примера, будет 192.168.10.0 с маской 255.255.255.0

Скачать с сайта Mikrotik “https://mikrotik.com/download” последнюю прошивку для вашего устройства (файл формата npk), и программу winbox.

 

Предварительная настройка
 

После того, как разобрались с вышеперечисленным, можем подключаться к самому устройству.


Включаем наш Mikrotik в сеть, цепляемся к нему патч-кордом, через третий интерфейс. И открыв winbox, находим его во вкладке Neighbors.


Щелкаем мышкой на его MAC адрес, и, введя логин admin без пароля, жмем кнопку Connect.


В появившемся окошке жмем Remove configuration. Ставим галочки No Default Configuration и Do Not Backup, подтверждаем перезагрузку роутера.


После перезагрузки снова подключаемся к нашему роутеру. В левом столбце выбираем files и перетаскиваем мышкой, предварительно скачанное обновление, для нашего устройства в открывшееся окошко. Затем снова перезагружаем роутер, нажав system – reboot – yes.


Вновь подключившись к роутеру, идем по следующим пунктам меню:


system – users в верхней части нажимаем {+}
Здесь заводим пользователя, под которым будем работать с роутером, так как встроенного админа лучше не оставлять. Выбираем имя пользователя Group – full, Allow Address – IP адреса, с которых этому пользователю разрешено подключаться. тут можем ввести адрес нашей локальной сети – 192.168.10.0/24, и устанавливаем взломостойкий пароль. Нажимаем ОК.


IP – Services


Чем больше сервисов, тем больше возможностей к нам залезть. Соответственно выключаем все лишнее (выделяем мышкой и жмем, красный крестик вверху), чем мы не намерены пользоваться. А также прописываем подсети, из которых эти сервисы будут доступны.


System – SNTP Client


Здесь задаем NTP сервера, по которым наш роутер будет сверять время. Ставим галочку напротив Enabled и вводим два адреса рабочих NTP серверов (для примера я укажу пару, но они довольно легко гуглятся, так что можете задать любые, главное удостовериться в их работоспособности): Primary NTP Server: 89.109.251.23; Secondary NTP Server: 129.69.1.153. Нажимаем ОК.


System – Clock


Вкладка Time. В пункте Time Zone Name выбираем свой часовой пояс. Нажимаем ОК.

 

Настройка интерфейсов

 

Настройка локальной сети
 

Начнем с настройки локальной сети. Оставим первую пару портов для провайдеров, даже если он у вас пока один. Если после вашего роутера в локальную сеть будет стоять коммутатор, то для локальной сети хватит и одного порта. Но при желании использовать порты самого роутера их необходимо объединить в общий коммутатор. Способ объединения зависит от модели и количества необходимых портов.

 

Если у вас модель без wi-fi и с одним свитч чипом то делаем так:

 

 Interfaces – вкладка interface, двойной щелчок на интерфейсе ether4 – поле Master Port выбираем ether3. Для того чтобы легче было ориентироваться в Comment подписываем интерфейс LAN-MASTER. По аналогии проделываем тоже самое с другими интерфейсами, кроме 1го и 2го. В комментариях к ним можете подписать их как lan-slave1, lan-slave2 и т.д. Или как вам удобно. Переименовывать сами интерфейсы я бы не советовал, а то со временем может возникнуть путаница.

Если у вас модель с несколькими свитч чипами и вам необходимо объединить их в общий коммутатор или у вас модель с Wi-Fi или вовсе без свитч чипов, то объединяем порты через бридж:

 

Сначала делаем, так же как и в примере с одним свитч чипом. Для объединения второго чипа заходим в ether7 и поле Master Port выбираем ether6, тоже проделываем и с другими портами, где в качестве Master Port выбираем ether6. Если у вас более двух свитч чипов или каждый из них обслуживает более 5 портов, поступаем соответственно модели вашего оборудования, где в качестве мастер порта указывается один из портов на свитч чипе, а остальные, по необходимости, переводятся в режим слейв. Затем нам надо объединить наши мастер порты и Wi-Fi (если требуется) в общий бридж:

 

Bridge – Вкладка bridge  – {+} вкладка General, в поле Name вбиваем имя нового бриджа, в нашем случае, “LAN-Bridge”. В поле ARP выбираем proxy-arp. Нажимаем ОК.


Bridge – Вкладка Ports  – {+}, вкладка General, в поле Interface выбираем ether3, в поле Bridge выбираем LAN-Bridge. Нажимаем ОК. Затем опять {+} , в поле Interface выбираем ether6 в поле Bridge выбираем LAN-Bridge. Нажимаем ОК. И опять {+} , в поле Interface выбираем wlan1 в поле Bridge выбираем LAN-Bridge. Нажимаем ОК.

 

Назначаем локальный адрес роутера

 

Теперь необходимо назначить нашему роутеру адрес, под которым он будет работать в нашей локальной сети.
IP – Addresses – {+}, в поле Address вводим 192.168.10.1/24; в поле Interface выбираем LAN-Bridge. Нажимаем ОК.

 

Настройка DHCP


Если нам необходимо, то поднимаем DHCP сервер для нашей локальной сети:


IP – Pool – вкладка Pools – {+}. В поле Name вводим название пула адресов для нашей сети, например: “LAN-Pool”. В поле Addresses указываем диапазон адресов для выдачи нашим dhcp сервером: 192.168.10.10-192.168.10.100. Нажимаем ОК.


IP – DHCP Server – Вкладка DHCP – {+}. В поле Name пишем имя нашего DHCP сервера: “DHCP-LOCAL”. В поле Interface выбираем LAN-Bridge. Lease Time указываем время аренды ip адреса, можно оставить по умолчанию 10 минут. В поле Address Pool выбираем LAN-Pool. Нажимаем ОК.


IP – DHCP Server – Вкладка Networks – {+}. Заполняем поля Address 192.168.10.0/24; Gateway 192.168.10.1; DNS Server 192.168.10.1, если нажать стрелку вниз рядом с адресом, то можно указать вторичный DNS 8.8.8.8 Нажимаем ОК.

 

Повторный вход на роутер

 

Если у вас на компьютере, с которого производите настройку было указано получение ip адреса автоматически или был прописан статический адрес из настраиваемой сети, то просто закрываем окно winbox и заходим заново на наш роутер, но на этот раз выбираем в качестве адреса подключения IP, а не MAC. Если у вас прописан адрес из другой сети, то стоит его сменить на автоматическое получение. В качестве логина и пароля вводим те данные, которые заводили в предварительной настройке. Затем удаляем встроенную учетную запись администратора:


System – вкладка Users. Выбираем встроенную учетную запись и нажимаем {-}.

 

Настройка подключения к интернет
 

Теперь нам необходимо произвести настройки для связи нашей сети с внешним миром. Для этого вставляем кабель от провайдера в первый интерфейс. А в winbox идем слева в меню Interfaces, вкладка Interface, там выбираем ether1 и комментируем его как ISP1. Далее, в зависимости от типа подключения, выполняем следующие действия:

 

DHCP подключение

 

В независимости от привязки по MAC, выполняем:

IP – DHCP Client – Вкладка DHCP Client – {+} в поле Interface выбираем ether1 и ставим галочку напротив Use Per DNS, а также проверяем значение поля и Add Default Route, там должно стоять yes. Нажимаем ОК.

Если привязка к MAC адресу присутствует, то еще необходимо вытащить кабель провайдера, открыть окно терминала New Terminal в левом меню и ввести следующую команду:

/interface ethernet set ether1 mac-address=XX:XX:XX:XX:XX:XX
Где вместо XX прописать МАС адрес предыдущего устройства. Затем вставить кабель провайдера в первый интерфейс.
 

Статический IP

 

После настройки адреса и маски внешнего интерфейса необходимо прописать шлюз провайдера для выхода в интернет:

IP – Routes – Вкладка Routes – {+}. В поле Gateway вводим адрес шлюза, предоставленный провайдером. Нажимаем ОК.

Далее прописываем адреса DNS серверов провайдера и разрешаем DNS запросы из нашей сети:

IP – DNS В поле Servers вводим адреса серверов, нажав стрелку вниз, правее поля с адресом можно указать несколько адресов. И ставим галочку напротив Allow Remote Request.

 

PPPOE подключение

 

При таком типе подключения выполняем следующие действия:

PPP – вкладка Interface – {+} – PPPeE Client. Вкладка General в поле Name обозначаем наше соединение: “ISP1”. В поле interfaces выбираем ether1. Переходим на вкладку Dial Out, здесь заполняем поля User – ваш логин, выданный провайдером, Password – соответственно пароль. Также ставим галочки Use Peer DNS и Add Default Route. Нажимаем ОК. Напротив соединения должна появиться буква R как знак успешного соединения с провайдером.
 

Проверка соединения

 

По завершении создания соединения с провайдером необходимо проверить его работоспособность:

Tools – ping. В поле Ping To вводим 8.8.8.8 и жмем Start. Если пинги пошли, значит с соединением все в порядке. Теперь проверяем работоспособность DNS. В поле Ping To пишем google.com, если и тут все удачно, значит соединение полностью работоспособно и необходимо настроить соединение нашей локальной сети с интернет:

IP – Firewall – Вкладка NAT – {+} Вкладка General. В поле Chain выбираем srcnat, в поле Out interface выбираем ether1 или созданное нами PPPoE соединение до провайдера, в случае PPPoE подключения. Вкладка Action, в поле Action выбираем masquerade. Нажимаем ОК. Теперь интернет должен появиться и у нас на компьютере.

 

Настройка безопасности

 

Настройка Firewall

 

Поскольку сейчас мы смотрим в интернет "голым" интерфейсом, необходимо настроить минимальный набор правил для фаервола.

Для начала, для базовой диагностики, разрешим icmp запросы на наш роутер:

Ip – Firewall – Вкладка Filter Rules – {+} – Вкладка General. Поле Chain выбираем input; поле Protocol выбираем icmp.Вкладка Action. В поле Action выбираем accept.

Разрешим установленные соединения:

Ip – Firewall – Вкладка Filter Rules – {+} – Вкладка General. Поле Chain выбираем input; параметр Connection State выбираем established.Вкладка Action. В поле Action выбираем accept.

Разрешим зависимые соединения:

Ip – Firewall – Вкладка Filter Rules – {+} – Вкладка General. Поле Chain выбираем input; параметр Connection State выбираем related.Вкладка Action. В поле Action выбираем accept.

Блокируем все остальные входящие соединения:

Ip – Firewall – Вкладка Filter Rules – {+} – Вкладка General. Поле Chain выбираем input; поле In. Interface выбираем ether1.Вкладка Action. В поле Action выбираем drop.

И запрещаем все перенаправления в нашу сеть:

Ip – Firewall – Вкладка Filter Rules – {+} – Вкладка General. Поле Chain выбираем forward; поле In. Interface выбираем ether1; параметр Connection NAT State ставим галочку dstnat и восклицательный знак. В поле Action выбираем drop.

Более менее прикрылись. Теперь необходимо отключить Neighbors Discovery и МАС сервер с внешних интерфейсов.

 

Отключаем Neighbors Discovery
 

Поскольку нам не нужно чтобы мы светились в сеть провайдера, нам необходимо отключить Протокол Обнаружения Соседей, дабы не вызывать лишних желаний к нам постучаться:


IP – Neighbors – Вкладка Discovery Interfaces. Здесь выделяем внешние интерфейсы и переводим их в статус Disable.

 

Отключаем MAC Сервер
 

Нам необходимо отключить возможность присоединиться к нашему роутеру с внешних интерфейсов по MAC. Для этого:

Tools – MAC Server – Вкладка Telnet Interfaces. Здесь отключаем интерфейс all и добавляем через {+} только те интерфейсы, с которых подразумевается подключение по MAC. На вкладке WinBox Interfaces проделываем те же действия.

 

Настройка Wi-Fi.
 

Если у вас модель с Wi-Fi, на подобии RB2011UAS-2HnD-IN, или любая другая с беспроводным модулем. То скорее всего, вы захотите воспользоваться и такой возможностью подключения к вашей сети. По умолчанию, беспроводной интерфейс отключен, и прежде чем включить, немного его настроим:

Wireless – Вкладка Interfaces. Выбираем наш интерфейс двойным щелчком мышки и переходим на вкладку Wireless. Здесь в параметре Mode выбираем ap bridge; параметр Band выбираем 2Ghz-B/G/N; Далее Channel Width – тут все по обстановке, смотрим как у нас в процессе эксплуатации соединения идут лучше 20/40MHz Ce, 20/40MHz eC или 20MHz; SSID – это имя вашей сети; Wireless Protocol выбираем 802.11; Frequency - данный параметр можно оставить как auto, но лучше просканировать частотное пространство рядом с нашем роутером. Для этого нажимаем Scan, выбираем наш беспроводной интерфейс wlan1 в графе interfaces и нажимаем кнопку Start. Вам отобразится список того, что происходит с wi-fi средой по соседству, так что примечаем наименее загруженную частоту и выбираем ее в поле Frequency; Security Profile оставляем default. Нажимаем OK.

Wireless – Вкладка Security Profile. Открываем профиль default двойным щелчком мышки. На вкладке General параметр Mode выбираем dynamic keys; Authentication Types ставим галочку только напротив WPA2 PSK; Unicast Ciphers и Group Ciphers ставим галочки только aes ccm; В поле WPA2 Pre-Shared Key вводим наш пароль. Нажимаем ОК. Перемещаемся обратно:

Wireless – Вкладка Interfaces. Выбираем наш интерфейс и включаем его. И пробуем подсоединиться по Wi-Fi.

    На этом БАЗОВАЯ настройка нашего маршрутизатора закончена. Про многопровайдерность, более гибкую настройку межсетевого экрана, защиту от DDoS и bruteforce, и о реализации прочих возможностей на оборудовании Mikrotik опишу в следующих материалах.
 

*Новости

02 сен 2017
Обновление программы Инфо-Бухгалтер 8.824 от 01.09.2017 Скачать обновления от 01.09.2017
14 июл 2017
Обновление программы Инфо-Бухгалтер 8.824 от 13.07.2017 Скачать обновления от 13.07.2017
04 июл 2017
Обновление программы Инфо-Бухгалтер 8.824 от 04.07.2017 Скачать обновления от 04.07.2017
13 июн 2017
На сайте опубликована статья по базовой настройке маршрутизаторов Mikrotik
31 май 2017
Обновление программы Инфо-Бухгалтер, новая версия 8.823 от 30.05.2017 Скачать обновления от 30.05.2017
11 апр 2017
Обновление для программы Инфо-Бухгалтер 8.822 от 11.04.2017 Скачать обновления от 11.04.2017
10 апр 2017
Обновление программы Инфо-Бухгалтер, новая версия 8.822 от 10.04.2017 Скачать обновления от 10.04.2017
25 окт 2016
СБИС Электронная отчётность 2.4.403 от 21.10.2016 Скачать обновления от 21.10.2016
12 окт 2016
Доступна версия «СБИС Электронная отчётность» 2.4.403 от 11.10.2016

Скачать обновления от 11.10.2016

12 окт 2016
СБИС Электронная отчётность 2.4.403 от 11.10.2016 Скачать обновления от 11.10.2016
Консультационный центр «Модус» Все права защищены. © 1996-2017г.
тел: +7(495)368-91-51, +7(495)368-93-11 modus@modus.ru
Яндекс.Метрика