Базовая настройка маршрутизатора mikrotik
Базовая настройка маршрутизатора mikrotik включает описание настройки безопасности и настройки выхода в интернет для использования с приборами Барьер.
Сброс маршрутизатора к настройкам по умолчанию
- Отключите устройство от сети питания;
- Нажмите и удерживайте кнопку reset, затем подключите питание к устройству;
- Удерживайте кнопку сброс до тех пор, пока индикатор ACT не начнёт периодически моргать (с большим периодом, чем сразу после подключения питания);
- Отпустите кнопку сброс, устройство перезагрузится с заводскими настройками;
Подключение к маршрутизатору
Для подключения и настройки Mikrotik, рекомендуется использовать программу Winbox. Последняя версия доступна на официальном сайте производителя.
Далее Вам необходимо подключить сетевым кабелем компьютер, на котором Вы будете осуществлять настройку, к маршрутизатору, к любому порту.
Запускаем Winbox, заходим на вкладку Neighbors:
В списке должно появиться ваше устройство.
Выделяем его левой кнопкой мыши на поле MAC Address, вводим Login (по умолчанию – admin) и Password (по умолчанию – пустой). Нажимаем кнопку Connect. Вы должны попасть в меню настройки mikrotik.
Удаление конфигурации при первом запуске
При первом входе после сброса, Вам будет предложено воспользоваться стандартной настройкой маршрутизатора:
Нажмите Remove Configuration.
Настройка пользователей
В RouterOS (название операционной системы на устройствах Mikrotik) по умолчанию создан пользователь admin без пароля. Настоятельно рекомендуем отключить данного пользователя.
Для этого заходим в меню System, подменю Users.
Нажимаем добавить пользователя:
Name: Имя нового пользователя;
Group: Выбираем – full;
Password: Пароль нового пользователя.
Рекомендуется использовать сложные пароли: не менее 12 символов, заглавные и прописные буквы, цифры, специальные символы. Лучшим вариантом будет использование генератора паролей;
Пример: f$yRD44I@Dy^)
Confirm Password: Введите пароль ещё раз;
При необходимости предоставить доступ к маршрутизатору нескольким людям, создайте нужное количество пользователей.
В меню нажмите Exit и заново войдите под новым пользователем. Заходим в меню System – Users, выделяем правой кнопкой мыши пользователя admin. Нажимаем Disable.
Настройка безопасности
Перед настройкой доступа в интернет, следует настроить правила firewall и отключить неиспользуемые службы. Так же рекомендуется изменить стандартный порт Winbox. В данной статье, не приводится объяснение и настройка правил под широкий спектр задач. Вместо этого будет дан универсальный список правил, подходящий под максимально широкий круг потребностей.
Сначала создадим список внешних интерфейсов, меню Interfaces, вкладка Interface List:
Жмём кнопку Lists и добавляем новый список интерфейсов WAN:
Следующим шагом изменяем стандартный порт Winbox. Меню IP – Services:
Двойной щелчёк по winbox:
Задаём новый порт для Winbox и сохраняем.
Дальше настраиваем firewall. Итак, для настройки правил firewall, необходимо зайти в меню IP – Firewall:
Список правил должен быть пустой. Открываем терминал. Меню New Terminal:
Далее необходимо в скрипте ниже вместо знаков вопроса подставить ваш порт для Winbox.
/ip firewall filter
add action=accept chain=forward comment=
"Forward and Input Established and Related connections"
connection-state=established,related
add action=drop chain=forward connection-state=invalid
add action=drop chain=forward connection-nat-state=!dstnat connection-state=
new in-interface-list=WAN
add action=accept chain=input connection-state=established,related
add action=drop chain=input connection-state=invalid
add action=add-src-to-address-list address-list=ddos-blacklist
address-list-timeout=1d chain=input comment=
"DDoS Protect - connection Limit" connection-limit=100,32
in-interface-list=WAN protocol=tcp
add action=tarpit chain=input connection-limit=3,32 protocol=tcp
src-address-list=ddos-blacklist
add action=jump chain=forward comment="DDoS Protect - SYN Flood"
connection-state=new jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=jump chain=input connection-state=new in-interface-list=WAN
jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=return chain=SYN-Protect connection-state=new limit=200,5:packet
protocol=tcp tcp-flags=syn
add action=drop chain=SYN-Protect connection-state=new log=yes log-prefix=
SYN-Protect: protocol=tcp tcp-flags=syn
add action=drop chain=input comment="Protected - Ports Scanners"
src-address-list="Port Scanners"
add action=add-src-to-address-list address-list="Port Scanners"
address-list-timeout=none-dynamic chain=input in-interface-list=WAN
protocol=tcp psd=21,3s,3,1
add action=drop chain=input comment="Protected - WinBox Access"
src-address-list="Black List Winbox"
add action=add-src-to-address-list address-list="Black List Winbox"
address-list-timeout=none-dynamic chain=input connection-state=new
dst-port=????? in-interface-list=WAN log=yes log-prefix="BLACK WINBOX"
protocol=tcp src-address-list="Winbox Stage 3"
add action=add-src-to-address-list address-list="Winbox Stage 3"
address-list-timeout=1m chain=input connection-state=new dst-port=?????
in-interface-list=WAN protocol=tcp src-address-list="Winbox Stage 2"
add action=add-src-to-address-list address-list="Winbox Stage 2"
address-list-timeout=1m chain=input connection-state=new dst-port=?????
in-interface-list=WAN protocol=tcp src-address-list="Winbox Stage 1"
add action=add-src-to-address-list address-list="Winbox Stage 1"
address-list-timeout=1m chain=input connection-state=new dst-port=?????
in-interface-list=WAN protocol=tcp
add action=accept chain=input dst-port=????? in-interface-list=WAN protocol=
tcp
add action=accept chain=input comment="Access Normal Ping"
in-interface-list=WAN limit=50/5s,2:packet protocol=icmp
add action=drop chain=input comment="Drop All Other" in-interface-list=
WAN
/ip firewall raw
add action=drop chain=prerouting dst-port=137,138,139 in-interface-list=WAN
protocol=udp
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set winbox port=?????
set api-ssl disabled=yes
Копируем то что получилось и вставляем в окно терминала:
В итоге, имеем следующую картину:
На этом настройка безопасности закончена.
Настройка доступа в интернет
Теперь необходимо настроить Вашего провайдера. Как правило, провайдеры используют следующие варианты подключения:
- DHCP – автоматическая настройка IP адреса, маршрута по умолчанию и DNS серверов;
- Ручная настройка вышеперечисленных параметров;
- Протокол PPPoE (Point-to-Point Protocol over Ethernet);
DHCP
Для настройки доступа в интернет с использованием автоматической настройки, необходимо зайти в меню IP, подменю – DHCP client.
Добавляем нового клиента DHCP
Выбираем интерфейс, к которому подключен провайдер, отключаем использование DNS и NTP провайдера.
Во вкладке Advanced, устанавливаем значение Default Route Distance (Метрика) – 10.
Ручная настройка
Меню IP – Addresses
Добавляем новый IP адрес, выданный провайдером:
Заполняем поля Address – IP адрес и Network – маска сети. Выбираем интерфейс, к которому подключен провайдер:
Меню IP – Routes. Добавляем новый маршрут по умолчанию:
Добавляем адрес назначения 0.0.0.0/0, IP адрес маршрутизатора (выдаётся провайдером) и устанавливаем значение Distance (метрика) – 10:
PPPoE
Меню PPP, вкладка Interface. Добавляем новый интерфейс PPPoE Client:
Вводим понятное имя для PPPoE интерфейса и выбираем интерфейс маршрутизатора, к которому подключен провайдер:
Вводим имя пользователя и пароль (выдаётся провайдером), устанавливаем значение Default Route Distance (метрика) в 10:
Добавляем внешний интерфейс в список интерфейсов WAN, меню Interfaces, вкладка Interface List, добавляем интерфейс в список:
List: WAN
Выбираем интерфейс провайдера, если провайдер использует PPPoE, то выбирать следует интерфейс PPPoE а не физический интерфейс, к которому подключен провайдер:
Настройка DNS серверов
Меню IP – DNS, добавляем сервера google, 8.8.8.8 и 8.8.4.4:
Если у вас несколько провайдеров, необходимо повторить всё то же самое необходимое количество раз. Необходимо указать разные значения Default Route Distance (метрика) для каждого провайдера. Чем меньше значение, тем выше приоритет. Например, для второго провайдера вы указываете значение 11, для третьего 12 и т.д. Выход в интернет будет осуществляться через провайдера с наименьшим значением метрики.
Проверка доступа в интернет
Для того, чтобы проверить наличие доступа в интернет, достаточно запустить терминал (меню New Terminal) и выполнить команду ping ya.ru:
На этом базовая настройка маршрутизатора mikrotik завершена. Подробнее о настройке маршрутизаторов Mikrotik, вы можете прочитать документацию на английском языке на официальном wiki сайте Mikrotik.
Следующая часть в которой приведены базовые настройки маршрутизатора Mikrotik для локальной сети.
1. Добавление bridge для локальной сети
Bridge используется для того, что бы объединить все интерфейсы локальной сети и применять к ним единые правила в настройках.
2. Добавление портов в bridge
Вам необходимо добавить в bridge все порты локальной сети, включая интерфейсы WiFi. Не добавляйте в bridge интерфейсы провайдеров!
Повторяем то же для остальных портов локальной сети:
3. Добавляем IP адрес маршрутизатора в локальной сети
По этому адресу маршрутизатор будет доступен для управления, будет использоваться как IP адрес маршрутизатора:
4. Добавляем пул адресов для автоматического назначения DHCP
Из этого диапазона адресов автоматически будут выдаваться адреса для устройств в локальной сети:
5. Настраиваем сервер DHCP
Для устройств в сети, которым необходим постоянный IP адрес (серверы и т.д.) требуется настроить резервирование, в этом случае для этих устройств будет выдаваться всегда один и тот же адрес:
6. Настраиваем трансляцию адресов NAT
В качестве Out Interface выбираем интерфейс вашего провайдера:
На этом базовые настройки маршрутизатора Mikrotik для локальной сети закончены. Подробнее о настройке маршрутизаторов Mikrotik, вы можете прочитать в документации на английском языке на официальном wiki сайте Mikrotik.
В следующей части описана настройка маршрутизатора Mikrotik для работы с несколькими провайдерами. Сложность в данном случае – это маршрутизация ответов на пакеты в тот-же интерфейс через который эти пакеты пришли. Для такой реализации, необходимо маркировать пакеты. Затем маркированные пакеты маршрутизировать в нужный интерфейс.
Описанные здесь настройки позволяют работать с любым количеством провайдеров. Приборы могут работать с любым провайдером.
1. Маркировка трафика
Требуется для всех провайдеров создать по четыре правила. По одному для входящих соединений, цепочка input. Для исходящих соединений, цепочка output. Ещё одно для маршрутизируемых соединений, цепочка forward. И для маршрутизации в нужный интерфейс, цепочка prerouting.
Входящие соединения (input) – входящий трафик предназначенный для маршрутизатора. Например, когда вы подключаетесь к маршрутизатору при помощи приложения winbox, трафик как раз попадает в эту цепочку.
Исходящие соединения (output) – трафик, создаваемый самим маршрутизатором. Например, если вы выполните команду ping непосредственно с самого маршрутизатора, трафик попадет в эту цепочку.
Маршрутизируемые соединения (forward) – трафик, идущий через маршрутизатор. Например, если компьютер из локальной сети, установил соединение с внешним сайтом или прибор подключился к серверу.
Маршрутизация в нужный интерфейс (prerouting) – трафик направляется в нужный интерфейс на основании маркировки.
Меню IP – Firewall, вкладка Mangle. Добавляем новую запись:
То же самое в терминале Mikrotik:
/ip firewall mangle
add action=mark-connection chain=input in-interface=ether1 new-connection-mark=ISP1-conn passthrough=yes
add action=mark-routing chain=output connection-mark=ISP1-conn new-routing-mark=ISP1-route passthrough=no
add action=mark-connection chain=forward in-interface=ether1 new-connection-mark=ISP1-conn-f passthrough=no
add action=mark-routing chain=prerouting connection-mark=ISP1-conn-f in-interface=bridge new-routing-mark=ISP1-rout- ether1 – интерфейс провайдера. Настройки подключения маршрутизатора Mikrotik к сети интернет описаны в самом начале этого руководства;
- bridge – интерфейс бридж, который объединяет интерфейсы локальной сети. Настройки локальной сети маршрутизатора Mikrotik тоже описаны в нашем руководстве;
- ISP1-conn – метка входящих соединений провайдера;
- ISP1-conn-f – метка маршрутизируемых соединений провайдера;
- ISP1-route – метка маршрута провайдера.
Каждому из провайдеров соответствуют четыре правила. Не забываем выбирать соответствующий интерфейс провайдера. Метки для каждого провайдера должны отличаться. Например, если для первого – метка ISP1-conn, то для второго будет – ISP2-conn.
После настройки всех правил, можно пройти в Меню IP – Firewall, вкладка Connections. В колонке Connection Mark отображаются метки соединений:
2. Настройка маршрутизации
Необходимы маршруты по умолчанию для каждого провайдера, с разными параметрами Distance. Про настройку маршрутов по умолчанию смотрите выше в руководстве.
Наша задача настроить маршруты для маркированного трафика. Меню IP – Routes. Копируем маршрут по умолчанию для провайдера, меняем параметр Distance на меньший, например 5. Затем указываем соответствующую метку маршрута в поле Routing Mark. Повторяем для всех провайдеров:
На этом настройка маршрутизатора Mikrotik для работы с несколькими провайдерами завершена. Подробнее о настройке маршрутизаторов Mikrotik, вы можете прочитать в документации на английском языке на официальном wiki сайте Mikrotik.
Если у вас возникли сложности или остались вопросы то смело задавайте их в комментариях мы постараемся ответить вам.