Налаштування Mikrotik в режимі роутера
Зміст
Підключення до комп'ютера
В маршрутизаторах Mikrotik всі порти можуть виступати як порт для підключення як інтернету так і клієнтів. Не дивлячись на широкі можливості налаштування портів у заводській конфігурації закладено що перший порт (ether1) �налаштован як порт приймаючий інтернет, через це провести налаштування через нього неможливо. Як наслідок для першого налаштування необхідно підключати патчкорд у будь-який порт окрім першого, наприклад другий (ether2)
Вхід до налаштувань за допомогою Winbox
Winbox це спеціальна програма для налаштування обладнання Mikrotik.
Налаштування можна проводити також через web інтерфейс. Ця інструкція передбачає що користувач користується програмою Winbox.
Скачати Windox з офіційного сайту
Winbox знайде маршрутизатор незалежно від призначеної йому адреси. Частіше за все стандартний ip маршрутизатора 192.168.88.1, але зустрічаються і 0.0.0.0, у такому разі підключатись необхідно через MAC адресу пристрою.
За замовчуванням
Логін = admin
Пароль =
На новіших серіях стандартний пароль написан на наклійці в нижній частині маршрутизатора
Скидання роутера до заводських налаштувань
За замовченням роутери Mikrotik мають налаштування від заводу, для повного налаштування заводську конфігурацію треба стерти. При першому підключенні роутер запропонує повністю стерти налаштування, для цього натискаємо кнопку Remove Configuration та чекаємо поки роутер перезавантажиться. Після завантаження всі налаштування будуть стерти
Якщо маршрутизатор не вивів вікно базової конфігурації, або вам необхідно стерти існуючі налаштування це можна зробити через меню.
Перейдіть у правому меню в пункт
System -> Reset Configuration
Встановіть галочку No Default Configuration
та натисніть кнопку Reset Configuration.
Після перезавантаження роутера всі налаштування будуть стерті.
Або теж саме можна зробити консольной командою:
/system reset-configuration no-defaults=yes
Оновлення програмного забезпечення
Оновлення обладнення дуже важливий етап.
Нове обладнання як правило приходить з трохи застарілою версією програмного забезпечення.
Щоб оновити обладнання Mikrotik необхідно перейти в правому меню в пункт
System -> Packages
Натискаємо кнопку Check for Updates
В меню Channel обираємо варіант який нам більше підходить, рекомендовано обирати stable це значить що версія програмного забезпечення перевірена та працює стабільно.
Також доступні варіанти:
long term - Застарілі версії, найбільш стабільні
testing - Проходить тестування, може мати проблеми та недоліки
development - Для розробників
Натискаємо Download&Install, буде завантажена та встановлена остання версія програмного забезпечення, після чого обладнання перезавантажиться, при цьому налаштування не пошкодяться
Для оновлення обладнання з версії 6 до версії 7 необхідно обрати channel -> testing. Переконатись що пропонуєма версія для встановлення 7.12Beta, встановлюємо її, після чого обираємо channel->stable та оновлюємось до останньої стабільної версії
Налаштування внутрішньої мережі
Основою роботи локальної мережі в обладнанні Mikrotik є Bridge, оскільки кожен порт є незалежним інтерфейсом за замовченням обміну даними між ними не відбувається.
Bridge - програмне об'єднання портів в світч. В склад Bridge може входити будь-яка послідовність портів в тому числі Wi-Fi інтерфейси. Якщо в Bridge додати всі порти маршрутизатор буде працювати як звичайний комутатор.
Важливо пам'ятати що таке поєднання повністю контролюється процесором маршрутизатора
Налаштування внутрішньої мережі складається з декількох етапів:
1. Налаштування вкладки Bridge
2. Налаштування ip-адрес
3. Налаштування DHCP-сервера
4. Налаштування DNS
Налаштування вкладки Bridge
Для початку налаштування необхідно в правому меню вибрати пункт Bridge та вкладку Bridge у відкрившемуся вікні.
Натискаємо "+" щоб додати новий Bridge
В полі Name вводимо ім'я для нового Bridge
Натискаємо ОК
/interface bridge add name=bridge1
Наступним кроком треба додати всі порти які будуть роздавати внутрішню мережу в наш Bridge
Для цього необхідно перейти в правому меню в пункт Bridge та на вкладку Ports
Натискаємо "+" щоб додати новий порт;
Обираємо необхідний порт з меню Interface;
Обираємо наш Bridge з меню Bridge;
Натискаємо ОК;
Повторюємо процедуру для всіх портів
/interface bridge port add bridge=bridge1 hw=yes interface=ether2
/interface bridge port add bridge=bridge1 hw=yes interface=ether3
/interface bridge port add bridge=bridge1 hw=yes interface=ether4
/interface bridge port add bridge=bridge1 hw=yes interface=ether5
/interface bridge port add bridge=bridge1 interface=wlan1
/interface bridge port add bridge=bridge1 interface=wlan2
Налаштування ip-адрес
Після створення Bridge та додавання портів необхідно определити мережу та надати їй ip-адресу
Для цього в правому меню переходимо в пункт IP->Addresses
Натискаємо "+" щоб додати нову ip-адресу;
В полі Address вписуємо ip-адресу з маскою підмережі в форматі 0.0.0.0/0;
В полі Network вписуємо ip-адреса тієї ж мережі але з 0 в останньому октеті;
Обираємо наш Bridge в меню Interface;
/ip address add address=192.168.0.1/24 interface=bridge1 network=192.168.0.0
Налаштування DHCP-сервера
DHCP сервер потрібен для автоматичної видачі ip-адрес всім пристроям в мережі
Перше що необхідно зробити для функціонування DHCP сервера задати pool адрес які будуть видаватись.
pool - діапазон адрес
В правому меню переходимо в пункт IP->pool
Натискаємо "+" щоб додати новий pool;
В поле Name водимо назву для нового pool;
В полі pool пишемо діапазон ip-адрес які буде видавати наш маршрутизатор;
/ip pool add name=pool-1 ranges=192.168.0.2-192.168.0.254
Наступний крок створення мережевих налаштувань для клієнтів
Для цього в правому меню переходимо в пункт IP->DHCP Server та на вкладку Networks
Натискаємо "+" щоб додати новий Network;
В полі Address вказуємо нашу ip мережу та маску підмережі в форматі 0.0.0.0/0;
В полі Gateway вказуємо ip адресу шлюзу, в нашому випадку це та ж адреса яку присвоїли нашому bridge;
В полі Netmask вказується маска підмережі, вона може бути вказана в форматі 24 або 255.255.255.0;
Поле DNS Servers заповнюється так само як і Gateway;
/ip dhcp-server network add address=192.168.0.0/24 dns-server=192.168.0.1 gateway=192.168.0.1 netmask=24
Останнє що необхідно зробити з DHCP сервером це створити сам сервер
Для цього в правому меню переходимо в пункт IP->DHCP Servers та на вкладку DHCP
Натискаємо "+" щоб додати новий сервер
В полі Name вписуємо назву для нашого сервера;
Обираємо наш Bridge в меню Interface;
В полі Lease Time виставляємо час який наше обладнання не буде забувати присвоєні ip адреси після відключення клієнтських пристроїв від нього;
В меню Address Pool обираємо створений раніше pool ip-адрес;
Після цих налаштувань можна перепідключитись до маршрутизатора та перевірити чи видав він вам ip адресу, якщо ви не отримали ip адресу перевірте правильність заповнення всіх полів
/ip dhcp-server add address-pool=pool-1 disabled=no interface=bridge1 lease-time=8h name=DHCP-Server
Налаштування DNS
Обладнання Mikrotik дозволяє налаштувати DNS в декількох варіантах. Найчастіше використовується налаштування самого маршрутизатора DNS сервером, або використання зовнішніх, кореневих серверів. Ми розглянемо варіант використання самого маршрутизатора DNS сервером
Для налаштування маршрутизатора DNS сервером переходимо в правому меню в пункт IP->DNS
Тут нам необхідно в полі Servers додати ip адреси зовнішніх DNS сервері до прикладу ip адреси серверів Google 8.8.8.8 та 8.8.4.4, або залишити це поле порожнім, в такому випадку будуть використовуватись DNS сервера вашого інтернет провайдера
Обов'язково ставимо галочку Allow Remote Requests Для кеширування DNS запитів, що пришвидшить обробку повторних запитів
/ip dns set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
Налаштування інтернету
Налаштування зовнішнього підключення до інтернету відбувається в декількох варіантах що залежать від вашого інтернет провайдера:
1.Дінамічно отримуєма ip адреса (DHCP)
2.Статична ip адреса
3.Налаштування PPPoE підключення
Ми розглянемо обидва варіанти
Дінамічно отримуєма ip адреса (DHCP)
Для налаштування інтернету з дінамічно отримуємой ip адресою необхідно налаштувати DHCP Client
Переходимо в правому меню в пункт IP->DHCP Client
В меню Interface обираємо порт в який підключено кабель провайдера;
Встановлюємо галочки в пунктах Use Peer DNS та Use Peer NTP;
Use Peer DNS - Використовувати DNS сервери провайдера
Use Peer NTP - Використовувати NTP сервери провайдера
В меню Add Default Routs обираємо yes.
Це налаштування потрібне для автоматичного створення маршрутів
/ip dhcp-client add add-default-route=no dhcp-options=hostname,clientid disabled=no interface=ether1
Налаштування статичної ip адреси для інтернет інтерфейсу аналогічно налаштуванню статичної ip адреси будь-якого іншого інтерфейсу
Для цього переходимо в правому меню в пункт IP->Addresses
Натискаємо "+" додаючи нову статичну ip адресу;
В полі Address вписуємо ip адресу та маску підмережі отриману від провайдера в форматі 0.0.0.0/0. Якщо маску підмережі ви отримали в форматі 255,255,255,255 можна подивитись таблицю відповідності
В меню Interfsce обираємо наш порт в який підключен кабель від провайдера
Статична IP адреса
/ip address add address=81.21.12.15/27 interface=ether1 network=81.21.12.0
Оскільки налаштування ip адреси в ручну не передбачає автоматичного створення маршрутів їх необхідно додати вручну
Для цього переходимо в правому меню в пункт IP->Routes
Натискаємо "+" щоб додати нове правило маршрутизації;
В полі Dst. Address пишемо 0.0.0.0/0 це каже маршрутизатору що всі мережі можуть користуватись цим маршрутом;
В полі Gateway пишемо шлюз який нам надав провайдер;
В полі Distance ставимо 1
/ip route add distance=1 gateway=81.21.12.1 dst-address=0.0.0.0/0
Налаштування NAT сервера
NAT сервер це основна структура яка дозволяє зв'язувати внутрішню та зовнішні мережі, саме цей сервер і визначає що обладнання може працювати як маршрутизатор
Для налаштування переходимо в правому меню на пункт IP->Firewall та на вкладку NAT
В меню Chain обираємо srcnat;
В меню Out. Interface обираємо інтерфейс до якого підєднан кабель від провайдеру;
Переходимо на вкладку Action
В меню Action обираємо masquerade
Після цих налаштувань має з'явитись інтернет на вашому комп'ютері, але це ще не всі налаштування які необхідно зробити
/ip firewall nat add action=masquerade chain=srcnat ipsec-policy=out,none out-interface=ether1
Налаштування Firewall
Firewall основна система захисту мережевих підключень, неправильно налаштований firewall може призвести до перебоїв в роботі мережі, але і нехтувати цими налаштуваннями не варто бо саме від них залежить безпека та стабільніс�ть роботи мережі та обладнання
Для налаштування firewall необхідно перейти в правому меню на пункт IP->Firewall та на вкладку Firewall
Натискаємо "+" щоб додати нове правило;
В меню Chain обираємо forward;
В меню Connection State ставимо галочки established та related;
Переходимо на вкладку Action;
В меню Action обираємо accept;
Та приймаємо налаштування ОК;
Нам треба додати ще декілька правил фільтрації трафіка, в подальшому наведен список параметрів які треба вказати, без детального опису кнопок.
-
Chain=input;
-
Connection state = established,related;
-
Action=accept.
-
Chain=forward;
-
In. Interface = Bridge1;
-
Action=accept.
-
Chain=input;
-
In. Interface =Bridge1;
-
Action=accept.
-
Chain=input;
-
Protocol = icmp;
-
In. Interface = ether1;
-
Action=accept.
-
Chain = input;
-
In. Interface = ether1;
-
Action = drop.
-
Chain = forward;
-
In. Interface = ether1;
-
Connection NAT State ! = dstnat;
-
Action = drop.
-
Chain = input;
-
Connection state = invalid;
-
Action = drop.
-
Chain = forward;
-
Connection state = invalid;
-
Action = drop.
/ip firewall filter add action=accept chain=input connection-state=established,related
/ip firewall filter add action=accept chain=forward in-interface=bridge1
/ip firewall filter add action=accept chain=input in-interface=bridge1
/ip firewall filter add action=accept chain=input protocol=icmp in-interface=ether1
/ip firewall filter add action=drop chain=input in-interface=ether1
/ip firewall filter add action=drop chain=input connection-state=invalid
/ip firewall filter add action=drop chain=forward connection-state=invalid
Налаштування Wi-Fi
У деяких моделях маршрутизаторів Mikrotik є модулі бездротової передачі інтернету Wi-Fi.
У деяких моделях є модулі тільки на 2.4Ghz або на 2.4Ghz та 5Ghz, у випадку якщо є обидва модуля вони налаштовуються по окремості та виглядають як різні інтерфейси.
Для налаштування Wi-Fi необхідно виконати декілька дій, та принципово вони не відрізняються від більшості роутерів:
1. Задати пароль для Wi-Fi мереж
2. Налаштувати сам Wi-Fi інтерфейс
Налаштування захисту Wi-Fi
Для налаштування необхідно в правому меню перейти в пункт Wireless та на вкладку Security Profiles
Натискаємо "+" щоб додати новий профіль, або відкриваємо профіль default
В меню Mode обираємо dynamic keys
В Authentication Type обираємо WPA2PSK
Обидва поля Ciphers обираємо aes com
В полі WPA2 Pre-Shared Key Вводимо пароль для нашого Wi-Fi
/interface wireless security-profiles set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" \ group-key-update=1h mode=dynamic-keys supplicant-identity=MikroTik \ wpa2-pre-shared-key=12345678
Налаштування Wi-Fi інтерфейса
В маршрутизаторах Mikrotik зустрічаються як один Wi-Fi інтерфейс з час�тотою 2.4 Ггц так і з двума інтерфейсами, другий інтерфейс з частотою 5 Ггц, налаштування цих інтерфейсів практично нічим не відрізняються один від одного
Для налаштування Wi-Fi інтерфейсу в правому меню переходимо на вкладку Wireless та на вкладку WiFi Interfaces
Встановлення пароля та прав користувачів
Для контролю доступу дуже важливо налаштовувати політику користувачів
Для цього переходимо в правому меню в пункт System->Users
Або додаємо нового користувача натиснувши "+", або змінюємо вже існуючого користувача
У відкрившемуся вікні необхідно змінити наступні поля:
В полі Name вводимо назву для користувача, вона ж є логіном
В меню Group обираємо які права надано користувачу
full - Повні права вони ж права Адміністратора
read - Права тільки на перегляд конфігурації
write - Права тільки на запис нових параметрів
В полі Password вказуємо пароль для користувача, та повторюємо його в полі Confirm Password
/user add name="admin-2" password="PASSWORD" group=full