Главная » Статьи » Сети » Mikrotik » Mikrotik, первоначальная настройка. Часть 1.

1 звезда2 звезды3 звезды4 звезды5 звезд (3 оценок, средняя оценка: 5,00 из 5)
Loading...Loading...
CHast-1.png
Print Friendly

Mikrotik, первоначальная настройка. Часть 1.

Решил начать серию статей на тему настроек  RouterOS Mikrotik. Вы скажете, на просторах интернета их и так полно, и будете правы. Не буду претендовать на эксклюзив, скажу более, основная масса информации будет взята именно оттуда, остальное свой опыт, и да, все что будет описано абсолютно работоспособно, т.к. проверено лично.  Так для чего же спросите вы? Все просто, в первую очередь я как всегда пишу для самого себя (в свете развивающегося склероза) шпаргалки.  Некоторые задачи появляются не так часто, поэтому несколько забываются и приходится искать нюансы, опять же где? именно, на просторах интернета. Во вторую, постоянно гуглить и искать, где точней описано то или иное  уже порядком поднадоело, хочется, что б все было в одном месте, быстро  и постоянно доступно. Я не буду объяснять элементарные вещи, надеясь, что читатель, т.е. вы, обладаете начальными знаниями.  Для настройки будем использовать исключительно Winbox  и графический интерфейс, хотя возможно будет и консольный вариант. Итак, начнем, от очень простого к простому.

Не обращайте внимание на некоторые несоответствия в одних и тех же вкладках на разных скриншотах, они делались с разных маршрутизаторов. На всех маршрутизаторах установлена последняя на сегодняшний день прошивка v.6.38.1

Подключаемся к любому порту кроме первого, запускаем Winbox (он у нас пуст), переходим на вкладку Neighbors, жмем на MAC адрес (он перенесется в поле Connect To:), вводим логин admin (пароль отсутствует) и жмем кнопку Connect.

00

Все мы подключились. При первом запуске появится предложение загрузить базовую конфигурацию или сбросить ее.

01

Выбираем Remove Configuration. Маршрутизатор перезагрузится. Подключаемся еще раз и видим:

02

Теперь немного отвлечемся от маршрутизатора и определимся, что обязательно должна включать в себя базовая настройка. На мой взгляд, она должно выглядеть так:

1 Создание нового пользователя и отключение (удаление) admin’a
2 Настройка адреса маршрутизатора;
3 Настройка DHCP сервера;
4 Настройка Firewall;
5 Настройка WLan;
6 Настройка доступа к провайдеру

Это обязательный минимум и настраивать будем именно в этой последовательности.

Перед тем как начать, хочу обратить внимание на вкладку Quick Set

03

На ней можно произвести практически всю первоначальную настройку, но сделая это, вы не поймете принципа настройки, иногда может начать казаться, что настройки дублированы. Поэтому мы не будем трогать эту вкладку, а будем настраивать все по порядку из мест прямо для этого предназначенных. А в конце настройки, вы увидите, что и откуда появилось на этой вкладке или наоборот, что где создается при вводе настроек на ней. Но, что б понять второе, надо идти первым путем.

1 Создание нового пользователя и отключение (удаление) admin’a

В левом меню нажимаем System->Users, в открывшемся окне нажимаем на плюс

04

Name – логин
Group – full

В поля Password и Confirm Passwords вводим новый пароль.

Жмем OK. Пользователь создан. Стандартного пользователя admin отключаем или удаляем.

2 Настройка адреса маршрутизатора

В этой и всех дальнейших настройках будем использовать сеть 192.168.20.0/24

В левом меню нажимаем Bridge, в открывшемся окне нажимаем на плюс,

05

В окне New Interface в поле Name вводим имя нашего моста. Имя ввести можно любое, главное, что б самому потом понять, что это и для чего. Предлагаю назвать его банально: bridge_local (локальный мост), в поле ARP выбираем proxy-arp, жмем OK.

ARP (Address Resolution Protocol) — протокол определения адреса, предназначенный для определения MAC-адреса по известному IP-адресу. Значения:
Disabled — на ARP запросы от клиента на этом интерфейсе маршрутизатор отвечать не будет. Клиентам нужно будет добавлять статические записи ARP.
Enabled — Режим по-умолчанию. Протокол ARP будет обнаружен автоматически. Новые динамические записи будут добавлены в таблицу ARP.
Local-Proxy ARP — позволяет маршрутизатору отвечать на ARP-запросы, даже если целевой IP-адрес находится в той же IP-подсети, откуда ARP-запрос поступил. Данная настройка может пригодится, если мы хотим, чтобы трафик в рамках одного широковещательного домена шёл через интерфейс нашего маршрутизатора.
Proxy ARP — Техника использования ARP-протокола, позволяющая объединить две не связанные на канальном уровне сети в одну. Хосты, находящиеся в этих сетях, могут использовать адреса из одной IP-подсети и обмениваться трафиком между собой без использования маршрутизатора (как им кажется). Такое поведение может быть полезным, например, если вы используете туннели (PPP, PPPoE, PPTP) и клиенты этих туннелей должны видеть хосты их локальной сети.
Reply Only — Если записи ARP нет в ARP-листе Микротик, то маршрутизатор не увидит хост, а хост не увидит маршрутизатор. В режиме ARP=reply-only будут работать только статические привязки.

Переходим на вкладку Ports, жмем плюс

06

В поле Interface выбираем ether2, в поле Bridge выбираем созданный ранее bridge_local. Повторяем для всех последующих интерфейсов в зависимости от модели. В итоге у нас должно оказаться четыре порта для пяти-портовых или девять для десяти-портовых устройств, плюс интерфейс wlan1 для устройств с Wi-Fi.

Есть еще вариант объединением интерфейсов на аппаратном уровне, когда один из интерфейсов устанавливается первичным master, а остальные вторичными slave,а в мост добавляется только первичный, но его я рассматривать не буду, т.к. считаю его менее гибким в дальнейшем. Хотя как пишут, аппаратный снижает нагрузку на процессор и увеличивает пропускную способность, но я не заметил огромных нагрузок на процессор и падения пропускной способности.

Итак, мост создан, интерфейсы в него добавлены, переходим IP ->Addresses, В окне Address List жмем плюс

07

И заполняем поля

Address – в поле вводится адрес с маской. Задаем адрес нашего маршрутизатора 192.168.20.254/24 (в меру привычки шлюз в сети всегда назначаю последним адресом, об этой привычке подробней в статье о настройках dhcp)
Network – вводим адрес сети 192.168.20.0
Interface – выбираем из списка bridge_local

Сохраняем (OK). Итак, мы присвоили нашему роутеру на  виртуальном интерфейсе bridge_local адрес 192.168.20.254, теперь можно разлогиниться и зайти уже не по MAC, а по IP. Маршрутизатор по этому адресу будет доступен с любого интерфейса кроме ether1.

3 Настройка DHCP сервера

Открываем IP->Pool жмем плюс

08

Заполняем

Name – pool_local
Addresses – 192.168.20.1-192.168.20.49

Сохраняем.

Открываем IP->DHCP Servers жмем плюс заполняем как на скиншоте

09

Name – dhcp_local
Interface – bridge_local
Lease Time – указываем время в формате чч.мм.сс. если указать больше часа 60.00.00 то время отобразится 1d 00:00:00. На начальном этапе лучше оставить 10 минут(можно и меньше), т.к. если будете играть с привязкой IP по MAC быстрей обновиться привязка (без перезагрузок). После окончания, в зависимости от места использования установить большее время, для дома оптимально сутки, для офиса 10 часов, для кафе (Wi-Fi) 30 минут.
Address Pool – pool_local
И отмечаем Add ARP For Leases

Сохраняем.

Переходим на вкладку Networks жмем плюс

10

Заполняем. (Это то, что мы будем раздавать клиентам по DHCP)

Address – 192.168.20.0/24 (внимательно, это адрес сети, последний ноль)
Gateway – 192.168.20.254 (адрес нашего маршрутизатора)
Netmask – 24 (маска нашей сети)
DNS Servers – 192.168.20.254 (в качестве dns для клиентов используется маршрутизатор)
NTP Servers – 192.168.20.254 (если установлен пакет NTP, то маршрутизатор можно использовать для синхронизации времени в сети)

Сохраняем. DHCP сервер создан и готов к работе.

4 Настройка Firewall

Главное и я не побоюсь единственное правило для пакетов при настройке Firewall:

«Что НЕ РАЗРЕШЕНО!!, то ЗАПРЕЩЕНО!!!»

Ограничимся десятью основными правилами. Открываем IP->Firewall вкладка Filter Rules. Как видим, она у нас пуста, жмем плюс и начинаем создавать правила.

11

Здесь нам понадобятся две вкладки General и Action

12-112-2

Вкладка General

Chain – input/output/forward  То, к каким пакетам будет применяться правило входящие/исходящие/проходящие (перенаправленные) относительно маршрутизатора
Src. Adress – адрес источника пакета
Dst. Adress – адрес назначения пакета
Protocol – используемый протокол передачи
In. Interface – интерфейс на который приходит пакет
In. Interface List – список интерфейсов на который приходит пакет
Connection State – тип соединения invalid/established/related/new/untracked (соединения: не соотнесенное/существующее/Связанное/новое/ детально разберем значения в следующих статьях)

Вкладка Action

Action – действие которое надо применить к пакету. Из действий мы рассмотрим сейчас только accept/drop (разрешить/запретить)

Если значение в поле не указано, то оно равно «все»

У большинства параметров перед полем ввода есть чекбокс, если его отметить и указать значение, то поле «читается» как «все кроме указанного» ( на вкладке Firewall перед значением будет стоять знак восклицания).

Некоторые после просмотра правил  скажут, что в некоторых правилах можно использовать вместо интерфейсов адреса (адреса сети). Да можно, но если это возможно, то лучше указывать интерфейс, т.к. он по сравнению с адресом не может измениться и если мы изменим адресацию сети, то правило продолжит работать без корректировок адреса.

И так первое правило

Разрешаем подключаться к нашему маршрутизатору через telnet, ssh, web, winbox с определенного IP внешней сети

Chain – input
Src. Adress – XXX.XXX.XXX.XXX (адрес с которого мы разрешим подключение)
Dst. Adress – XXX.XXX.XXX.XXX (внешний адрес маршрутизатора, можно неуказывать)
Protocol – tcp (протокол по которому происходит соединение, то же можно не указывать. После сохранения, перед названием протокола появляется его номер)
Dst. Port – 22,23,80,9821 (несколько портов вводится через запятую без пробела. То же можно не указывать)
In. Interface – ether1 ( на этом интерфейсе мы будем настраивать доступ к провайдеру, в принципе и его можно не указывать

Вкладка Action

Action –   accept (разрешаем доступ)

Сохраняем. Вы спросите зачем я указал столько параметров и во всех кроме первого написал можно не указывать? Ну во первых, следующие правила я не буду расписывать, вы их увидите на скриншоте. Во вторых при использовании всех полей понятней для чего конкретно служит правило. В третьих, если вы открываете скажем доступ к маршрутизатору со своего рабочего места с белым IP адресом используемым исключительно вами, достаточно будет указать IP источника, но если вы хотите получать доступ к маршрутизатору из общественных сетей то разрешения необходимо давать узкие и желательно менять стандартные порты (о портах в следующий раз).

И так первое правило создали, разрешили доступ из дома к работе.

Создадим остальные

13

Второе правило, разрешает доступ к маршрутизатору с любого интерфейса добавленного в bridge_local, т.е. из локальной сети. Главное его ни когда не отключать. При работе маршрутизатора в общественном месте (офис, кафе), рекомендуется убрать общественные интерфейсы такие как wlan из разрешенных  для доступа к маршрутизатору. Или, если доступ производится с одного рабочего места, установить значение Src. Adress
Третьим правилом разрешаем все входящие соединения на порт 53 по протоколу udp  с любых интерфейсов добавленных в bridge_local. Разрешаем устройствам локальной сети пользоваться dns сервером на нашем маршрутизаторе
Четвертое разрешает icmp (ping) с любого интерфейса.
Пятое разрешает все пакеты существующих соединений.
Шестое разрешает все пакеты связанных соединений.

Детально типы соединений будут рассмотрены в следующих статьях посвященных непосредственно сетевому экрану.
Седьмое запрещает все остальные (не попавшие под разрешающие правила) входящие соединения по !всем интерфейсам.
В принципе если в седьмое правило добавить входящий интерфейс ether1, то третье правило можно не использовать, но тем самым будет полностью открыт доступ к маршрутизатору со стороны локальной сети.
Если вы хотите иметь доступ к маршрутизатору из любой точки, то в первом правиле удалите адреса источника и назначения.
Создадим еще три правила для перенаправления пакетов. Единственное что меняется, Chain, вместо input выбираем forward (правила на скриншоте выше).
Не забывайте, правила обрабатываются от первого в списке к последнему, поэтому запрещающее правило должно стоять последнем в группе. Правила можно перетаскивать в любое место списка мышью.
Для того, что б понять работает правило или нет, посмотрите в солбцы Bytes и Packets, если у них есть данные то правило работает. Кнопками «00 Reset Counters» и «00 Reset All Counters» можно очистить данные выбранного или всех столбцов соответственно.

Теперь надо настроить правило трансляции адресов. Переходим на вкладку NAT (Network Address Translation), нажимаем плюс, использовать будем те же вкладки General и Action.

Вкладка General

Chain – srcnat (обрабатываются пакеты из внутренней сети во внешнюю)
Out. Interface – ether1 (обрабатываются пакеты отправленные на интерфейс ether1)

Вкладка Action

Action –   masquerading (подменяем всем пакетам внутренний серый ip на внешний белый)

14

Далее переходим на вкладку Service Ports, выделяем все (Ctrl+A) и нажимаем красный крест (отключаем все сервисные порты)

На этом начальная настройка Firewall закончена.

5 Настройка WLan

Я не буду подробно описывать настройку в этой статье. Для старта настроек не много. Позже я планирую написать статьи с детальным описанием настроек основных интерфейсов и функций.

Переходим в Wireless.

Сначала переходим на вкладку Security Profiles, жмем плюс и создаем новый профиль. Название как хотите, ключи (пароли) не менее восьми знаков одинаковые оба, остальное как на скриншоте

15

Переходим на вкладку Interfaces где у нас присутствует один интерфейс  wlan1. Если он не активен, активируем его (выделяем и нажимаем синюю галочку), далее двойной клик на интерфейсе.  Справой стороны жмем кнопку Advanced Mode (расширенный режим) и устанавливаем параметры

Вкладка General

Name – wlan1 (Можно оставить можно переименовать)
ARP – proxy-arp

Вкладка Wireless

Как на скриншоте

16

Вкладка Advanced

Distance – выбираем indoors

Вкладка HT

Отмечаем все чекбоксы у TxChains и Rx Chains

Вкладка TX Power

Tx Power Mode – all rates fixed
Tx Power – 15 dBm

Tx Power. Это значение устанавливает мощность передатчика, не переборщите, максимально значение, на RB2011UiAS = 30 dBm. что равно 1 Ватт,  значение 17 dBm примерно равно 0.05 Ватт, чего вполне достаточно для квартиры.  Начните с 15 dBm (0,032Ватт) и если сигнал будет слабый увеличивайте до стабильного, и не забывайте, в данном случае больше не значит лучше.

Сохраняем.

6 Настройка доступа к провайдеру

Итак. Если я ни чего не забыл, а я могу, то нам осталось настроить соединение с провайдером. Учитывая что вариантов больше одного, решил остановиться на двух, которые в большинстве случаев (по крайней мере у нас в городе) являются основными, статическое и динамическое назначение. А вот настройку VPN мы рассмотрим в одной ближайшей (отдельной) статье. Почему именно так? Просто статья и так уже содержит много букв, и не буду усугублять.

Динамическое подключение (Получение настроек от провайдера по DHCP).

Тут все просто.

17

Переходим IP->DHCP Client. Жмем плюс. Выбираем в поле Interface наш интерфейс, смотрящий в сторону провайдера, в данном случае ether1. Под полем Interface есть два чек бокса Use Peer DNS и Use Peer NTP. Они отвечают за получение от провайдера адресов DNS и NTP серверов. Мой провайдер не выдает адреса NTP серверов, поэтому отметку с чек бокса я снял и использую локальный NTP. Сохраняем. Проверяем получили ли адрес от провайдера

18

Во вкладках DHCP Client и Address List у нас появился назначенный интерфейсу ether1 адрес. На вкладке Address List у назначенного адреса в первом столбце есть флаг D, который означает что адрес присвоен автоматически (DHCP).

Переходим IP->DNS. В поле Dynamic Servers у нас должны появиться адреса DNS сервера(ов) которые выдал нам провайдер. В верхнее поле Servers мы можем добавить любой DNS на свое усмотрение. Зачем? Об этом в следующих статьях. Так же обязательно отмечаем чек бокс Allow Remote Request. Сохраняем.

Стоит немного сказать о параметре Allow Remote Request.  Он разрешает нашему маршрутизатору отвечать на dns запросы по любому интерфейсу, и маршрутизатор работает как сервер пересылки на dns провайдера (либо на серверы указанные вручную). Если его отключить то запросы к DNS перенаправляться не будут. Имеет смысл его не отмечать в случае если используется внутренний DNS или сервер пересылки, но при этом их адреса надо раздавать через DHCP.

Статическое подключение (Ввод полученных настроек вручную).

Используем настройки выданные нам  провайдером (адреса придуманы для примера):

IP 40.50.60.70
Mask 255.255.255.0 (24)
Gateway 40.50.60.1
DNS 40.50.61.2 и 40.50.61.3

Для настройки используются три вкладки, Address List, DNS Setting и Route List.

19

В Address List в поле Address вводим адрес и маску, в поле Network сеть, в поле Interface выбираем интерфейс смотрящий в сторону провайдера ether1. Сохраняем

Сеть при маске 255.255.255.0 или 24 будет выглядеть ка IP адрес с нолем после последней точки

В DNS Setting в поле Servers вводим адрес DNS. Для того что б ввести второй адрес необходимо нажать на стрелку вниз справа от поля. Сохраняем.

В Route List нам надо добавить Gateway (шлюз). Сохраняем.

20

В итоге Address List, DNS Setting и Route List будут выглядеть так

21

На этом начальная настройка закончена. Как обещая в самом начале, показываю откуда берутся настройки на вкладке быстрой настройки Quick Set.

22+

На этом первоначальная настройка выполнена. Ждите продолжение.