Mikrotik, первоначальная настройка. Часть 1.
Решил начать серию статей на тему настроек RouterOS Mikrotik. Вы скажете, на просторах интернета их и так полно, и будете правы. Не буду претендовать на эксклюзив, скажу более, основная масса информации будет взята именно оттуда, остальное свой опыт, и да, все что будет описано абсолютно работоспособно, т.к. проверено лично. Так для чего же спросите вы? Все просто, в первую очередь я как всегда пишу для самого себя (в свете развивающегося склероза) шпаргалки. Некоторые задачи появляются не так часто, поэтому несколько забываются и приходится искать нюансы, опять же где? именно, на просторах интернета. Во вторую, постоянно гуглить и искать, где точней описано то или иное уже порядком поднадоело, хочется, что б все было в одном месте, быстро и постоянно доступно. Я не буду объяснять элементарные вещи, надеясь, что читатель, т.е. вы, обладаете начальными знаниями. Для настройки будем использовать исключительно Winbox и графический интерфейс, хотя возможно будет и консольный вариант. Итак, начнем, от очень простого к простому.
Подключаемся к любому порту кроме первого, запускаем Winbox (он у нас пуст), переходим на вкладку Neighbors, жмем на MAC адрес (он перенесется в поле Connect To:), вводим логин admin (пароль отсутствует) и жмем кнопку Connect.
Все мы подключились. При первом запуске появится предложение загрузить базовую конфигурацию или сбросить ее.
Выбираем Remove Configuration. Маршрутизатор перезагрузится. Подключаемся еще раз и видим:
Теперь немного отвлечемся от маршрутизатора и определимся, что обязательно должна включать в себя базовая настройка. На мой взгляд, она должно выглядеть так:
1 Создание нового пользователя и отключение (удаление) admin’a
2 Настройка адреса маршрутизатора;
3 Настройка DHCP сервера;
4 Настройка Firewall;
5 Настройка WLan;
6 Настройка доступа к провайдеру
Это обязательный минимум и настраивать будем именно в этой последовательности.
Перед тем как начать, хочу обратить внимание на вкладку Quick Set
На ней можно произвести практически всю первоначальную настройку, но сделая это, вы не поймете принципа настройки, иногда может начать казаться, что настройки дублированы. Поэтому мы не будем трогать эту вкладку, а будем настраивать все по порядку из мест прямо для этого предназначенных. А в конце настройки, вы увидите, что и откуда появилось на этой вкладке или наоборот, что где создается при вводе настроек на ней. Но, что б понять второе, надо идти первым путем.
1 Создание нового пользователя и отключение (удаление) admin’a
В левом меню нажимаем System->Users, в открывшемся окне нажимаем на плюс
Name – логин
Group – full
В поля Password и Confirm Passwords вводим новый пароль.
Жмем OK. Пользователь создан. Стандартного пользователя admin отключаем или удаляем.
2 Настройка адреса маршрутизатора
В левом меню нажимаем Bridge, в открывшемся окне нажимаем на плюс,
В окне New Interface в поле Name вводим имя нашего моста. Имя ввести можно любое, главное, что б самому потом понять, что это и для чего. Предлагаю назвать его банально: bridge_local (локальный мост), в поле ARP выбираем proxy-arp, жмем OK.
Disabled — на ARP запросы от клиента на этом интерфейсе маршрутизатор отвечать не будет. Клиентам нужно будет добавлять статические записи ARP.
Enabled — Режим по-умолчанию. Протокол ARP будет обнаружен автоматически. Новые динамические записи будут добавлены в таблицу ARP.
Local-Proxy ARP — позволяет маршрутизатору отвечать на ARP-запросы, даже если целевой IP-адрес находится в той же IP-подсети, откуда ARP-запрос поступил. Данная настройка может пригодится, если мы хотим, чтобы трафик в рамках одного широковещательного домена шёл через интерфейс нашего маршрутизатора.
Proxy ARP — Техника использования ARP-протокола, позволяющая объединить две не связанные на канальном уровне сети в одну. Хосты, находящиеся в этих сетях, могут использовать адреса из одной IP-подсети и обмениваться трафиком между собой без использования маршрутизатора (как им кажется). Такое поведение может быть полезным, например, если вы используете туннели (PPP, PPPoE, PPTP) и клиенты этих туннелей должны видеть хосты их локальной сети.
Reply Only — Если записи ARP нет в ARP-листе Микротик, то маршрутизатор не увидит хост, а хост не увидит маршрутизатор. В режиме ARP=reply-only будут работать только статические привязки.
Переходим на вкладку Ports, жмем плюс
В поле Interface выбираем ether2, в поле Bridge выбираем созданный ранее bridge_local. Повторяем для всех последующих интерфейсов в зависимости от модели. В итоге у нас должно оказаться четыре порта для пяти-портовых или девять для десяти-портовых устройств, плюс интерфейс wlan1 для устройств с Wi-Fi.
Есть еще вариант объединением интерфейсов на аппаратном уровне, когда один из интерфейсов устанавливается первичным master, а остальные вторичными slave,а в мост добавляется только первичный, но его я рассматривать не буду, т.к. считаю его менее гибким в дальнейшем. Хотя как пишут, аппаратный снижает нагрузку на процессор и увеличивает пропускную способность, но я не заметил огромных нагрузок на процессор и падения пропускной способности.
Итак, мост создан, интерфейсы в него добавлены, переходим IP ->Addresses, В окне Address List жмем плюс
И заполняем поля
Address – в поле вводится адрес с маской. Задаем адрес нашего маршрутизатора 192.168.20.254/24 (в меру привычки шлюз в сети всегда назначаю последним адресом, об этой привычке подробней в статье о настройках dhcp)
Network – вводим адрес сети 192.168.20.0
Interface – выбираем из списка bridge_local
Сохраняем (OK). Итак, мы присвоили нашему роутеру на виртуальном интерфейсе bridge_local адрес 192.168.20.254, теперь можно разлогиниться и зайти уже не по MAC, а по IP. Маршрутизатор по этому адресу будет доступен с любого интерфейса кроме ether1.
3 Настройка DHCP сервера
Открываем IP->Pool жмем плюс
Заполняем
Name – pool_local
Addresses – 192.168.20.1-192.168.20.49
Сохраняем.
Открываем IP->DHCP Servers жмем плюс заполняем как на скиншоте
Name – dhcp_local
Interface – bridge_local
Lease Time – указываем время в формате чч.мм.сс. если указать больше часа 60.00.00 то время отобразится 1d 00:00:00. На начальном этапе лучше оставить 10 минут(можно и меньше), т.к. если будете играть с привязкой IP по MAC быстрей обновиться привязка (без перезагрузок). После окончания, в зависимости от места использования установить большее время, для дома оптимально сутки, для офиса 10 часов, для кафе (Wi-Fi) 30 минут.
Address Pool – pool_local
И отмечаем Add ARP For Leases
Сохраняем.
Переходим на вкладку Networks жмем плюс
Заполняем. (Это то, что мы будем раздавать клиентам по DHCP)
Address – 192.168.20.0/24 (внимательно, это адрес сети, последний ноль)
Gateway – 192.168.20.254 (адрес нашего маршрутизатора)
Netmask – 24 (маска нашей сети)
DNS Servers – 192.168.20.254 (в качестве dns для клиентов используется маршрутизатор)
NTP Servers – 192.168.20.254 (если установлен пакет NTP, то маршрутизатор можно использовать для синхронизации времени в сети)
Сохраняем. DHCP сервер создан и готов к работе.
4 Настройка Firewall
Главное и я не побоюсь единственное правило для пакетов при настройке Firewall:
«Что НЕ РАЗРЕШЕНО!!, то ЗАПРЕЩЕНО!!!»
Ограничимся десятью основными правилами. Открываем IP->Firewall вкладка Filter Rules. Как видим, она у нас пуста, жмем плюс и начинаем создавать правила.
Здесь нам понадобятся две вкладки General и Action
Вкладка General
Chain – input/output/forward То, к каким пакетам будет применяться правило входящие/исходящие/проходящие (перенаправленные) относительно маршрутизатора
Src. Adress – адрес источника пакета
Dst. Adress – адрес назначения пакета
Protocol – используемый протокол передачи
In. Interface – интерфейс на который приходит пакет
In. Interface List – список интерфейсов на который приходит пакет
Connection State – тип соединения invalid/established/related/new/untracked (соединения: не соотнесенное/существующее/Связанное/новое/ детально разберем значения в следующих статьях)
Вкладка Action
Action – действие которое надо применить к пакету. Из действий мы рассмотрим сейчас только accept/drop (разрешить/запретить)
У большинства параметров перед полем ввода есть чекбокс, если его отметить и указать значение, то поле «читается» как «все кроме указанного» ( на вкладке Firewall перед значением будет стоять знак восклицания).
И так первое правило
Разрешаем подключаться к нашему маршрутизатору через telnet, ssh, web, winbox с определенного IP внешней сети
Chain – input
Src. Adress – XXX.XXX.XXX.XXX (адрес с которого мы разрешим подключение)
Dst. Adress – XXX.XXX.XXX.XXX (внешний адрес маршрутизатора, можно неуказывать)
Protocol – tcp (протокол по которому происходит соединение, то же можно не указывать. После сохранения, перед названием протокола появляется его номер)
Dst. Port – 22,23,80,9821 (несколько портов вводится через запятую без пробела. То же можно не указывать)
In. Interface – ether1 ( на этом интерфейсе мы будем настраивать доступ к провайдеру, в принципе и его можно не указывать
Вкладка Action
Action – accept (разрешаем доступ)
Сохраняем. Вы спросите зачем я указал столько параметров и во всех кроме первого написал можно не указывать? Ну во первых, следующие правила я не буду расписывать, вы их увидите на скриншоте. Во вторых при использовании всех полей понятней для чего конкретно служит правило. В третьих, если вы открываете скажем доступ к маршрутизатору со своего рабочего места с белым IP адресом используемым исключительно вами, достаточно будет указать IP источника, но если вы хотите получать доступ к маршрутизатору из общественных сетей то разрешения необходимо давать узкие и желательно менять стандартные порты (о портах в следующий раз).
И так первое правило создали, разрешили доступ из дома к работе.
Создадим остальные
Второе правило, разрешает доступ к маршрутизатору с любого интерфейса добавленного в bridge_local, т.е. из локальной сети. Главное его ни когда не отключать. При работе маршрутизатора в общественном месте (офис, кафе), рекомендуется убрать общественные интерфейсы такие как wlan из разрешенных для доступа к маршрутизатору. Или, если доступ производится с одного рабочего места, установить значение Src. Adress
Третьим правилом разрешаем все входящие соединения на порт 53 по протоколу udp с любых интерфейсов добавленных в bridge_local. Разрешаем устройствам локальной сети пользоваться dns сервером на нашем маршрутизаторе
Четвертое разрешает icmp (ping) с любого интерфейса.
Пятое разрешает все пакеты существующих соединений.
Шестое разрешает все пакеты связанных соединений.
В принципе если в седьмое правило добавить входящий интерфейс ether1, то третье правило можно не использовать, но тем самым будет полностью открыт доступ к маршрутизатору со стороны локальной сети.
Если вы хотите иметь доступ к маршрутизатору из любой точки, то в первом правиле удалите адреса источника и назначения.
Создадим еще три правила для перенаправления пакетов. Единственное что меняется, Chain, вместо input выбираем forward (правила на скриншоте выше).
Теперь надо настроить правило трансляции адресов. Переходим на вкладку NAT (Network Address Translation), нажимаем плюс, использовать будем те же вкладки General и Action.
Вкладка General
Chain – srcnat (обрабатываются пакеты из внутренней сети во внешнюю)
Out. Interface – ether1 (обрабатываются пакеты отправленные на интерфейс ether1)
Вкладка Action
Action – masquerading (подменяем всем пакетам внутренний серый ip на внешний белый)
Далее переходим на вкладку Service Ports, выделяем все (Ctrl+A) и нажимаем красный крест (отключаем все сервисные порты)
На этом начальная настройка Firewall закончена.
5 Настройка WLan
Я не буду подробно описывать настройку в этой статье. Для старта настроек не много. Позже я планирую написать статьи с детальным описанием настроек основных интерфейсов и функций.
Переходим в Wireless.
Сначала переходим на вкладку Security Profiles, жмем плюс и создаем новый профиль. Название как хотите, ключи (пароли) не менее восьми знаков одинаковые оба, остальное как на скриншоте
Переходим на вкладку Interfaces где у нас присутствует один интерфейс wlan1. Если он не активен, активируем его (выделяем и нажимаем синюю галочку), далее двойной клик на интерфейсе. Справой стороны жмем кнопку Advanced Mode (расширенный режим) и устанавливаем параметры
Вкладка General
Name – wlan1 (Можно оставить можно переименовать)
ARP – proxy-arp
Вкладка Wireless
Как на скриншоте
Вкладка Advanced
Distance – выбираем indoors
Вкладка HT
Отмечаем все чекбоксы у TxChains и Rx Chains
Вкладка TX Power
Tx Power Mode – all rates fixed
Tx Power – 15 dBm
Сохраняем.
6 Настройка доступа к провайдеру
Итак. Если я ни чего не забыл, а я могу, то нам осталось настроить соединение с провайдером. Учитывая что вариантов больше одного, решил остановиться на двух, которые в большинстве случаев (по крайней мере у нас в городе) являются основными, статическое и динамическое назначение. А вот настройку VPN мы рассмотрим в одной ближайшей (отдельной) статье. Почему именно так? Просто статья и так уже содержит много букв, и не буду усугублять.
Динамическое подключение (Получение настроек от провайдера по DHCP).
Тут все просто.
Переходим IP->DHCP Client. Жмем плюс. Выбираем в поле Interface наш интерфейс, смотрящий в сторону провайдера, в данном случае ether1. Под полем Interface есть два чек бокса Use Peer DNS и Use Peer NTP. Они отвечают за получение от провайдера адресов DNS и NTP серверов. Мой провайдер не выдает адреса NTP серверов, поэтому отметку с чек бокса я снял и использую локальный NTP. Сохраняем. Проверяем получили ли адрес от провайдера
Во вкладках DHCP Client и Address List у нас появился назначенный интерфейсу ether1 адрес. На вкладке Address List у назначенного адреса в первом столбце есть флаг D, который означает что адрес присвоен автоматически (DHCP).
Переходим IP->DNS. В поле Dynamic Servers у нас должны появиться адреса DNS сервера(ов) которые выдал нам провайдер. В верхнее поле Servers мы можем добавить любой DNS на свое усмотрение. Зачем? Об этом в следующих статьях. Так же обязательно отмечаем чек бокс Allow Remote Request. Сохраняем.
Статическое подключение (Ввод полученных настроек вручную).
Используем настройки выданные нам провайдером (адреса придуманы для примера):
IP 40.50.60.70
Mask 255.255.255.0 (24)
Gateway 40.50.60.1
DNS 40.50.61.2 и 40.50.61.3
Для настройки используются три вкладки, Address List, DNS Setting и Route List.
В Address List в поле Address вводим адрес и маску, в поле Network сеть, в поле Interface выбираем интерфейс смотрящий в сторону провайдера ether1. Сохраняем
В DNS Setting в поле Servers вводим адрес DNS. Для того что б ввести второй адрес необходимо нажать на стрелку вниз справа от поля. Сохраняем.
В Route List нам надо добавить Gateway (шлюз). Сохраняем.
В итоге Address List, DNS Setting и Route List будут выглядеть так
На этом начальная настройка закончена. Как обещая в самом начале, показываю откуда берутся настройки на вкладке быстрой настройки Quick Set.
На этом первоначальная настройка выполнена. Ждите продолжение.