IP по умолчанию 192.168.88.1 входящий линк в 1 порту, подключаться к роутеру в любой другой или по wifi
1. IP, DNS, ROUTE
Настраиваем локальную сеть оператора связи
/ip address add address=10.*.*.*/24 disabled=no interface=ether1 network=10.*.*.0
Прописываем ДНС сервера
/ip dns set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
Маршрут на провайдера
/ip route add dst-address=10.0.0.0/8 gateway=10.*.*.1 distance=1 comment="Alias route"
Отключаем автоматическое получение ip из сети провайдера. Если Провайдер выдает настройки автоматически, то эту команду не прописываем.
/ip dhcp-client disable 0
2. Пользователи
Добавляем пользователя роутера
/user add name=owner password=***** group=full
Перелогиниваемся
/quit
Отключаем дефолтную учетную запись
/user disable admin
3. PPPoE
Создаем pppoe подключение к сети провайдера
/interface pppoe-client add disabled=no interface=ether1 name=pppoe-out1 use-peer-dns=no user=*** password=***
Включаем NAT на pppoe, что бы появился интернет в локальной сети роутера
/ip firewall nat add action=masquerade chain=srcnat out-interface=pppoe-out1
Пишем статический маршрут, весь трафик на PPP
/ip route add dst-address=0.0.0.0/0 gateway=pppoe-out1
4. Настройка WiFi
Настройка пароля и wifi на роутере
/interface wireless security-profiles add name=profile-security mode=dynamic-keys authentication-types=wpa2-psk group-ciphers=aes-ccm unicast-ciphers=aes-ccm wpa2-pre-shared-key=******** /interface wireless set 0 ssid=Bla_bla_WiFi bridge-mode=enabled name=wlan1 disabled=no wireless-protocol=802.11 mode=ap-bridge security-profile=profile-security
5. Настройка Firewall
Настройка защиты, фаервола
/ip firewall filter add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp add action=drop chain=input comment="defconf: drop all from internet" in-interface=pppoe-out1 add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN add action=drop chain=input connection-state=invalid
5. Финальные проверки и донастройки
Проверяем наличие трафика на pppoe и wlan
/interface print status /tool traceroute 8.8.8.8
Дополнительные настройки безопасности сети:
/ip neighbor discovery set 6 discover=no /system backup save name=+%d.%m.%Y password=no updt for 6.40.5
Настройка роутера для IPoE
Отличие от предыдущих настроек заключается в том, что нужно не отключать dhcp-client на входящем порту и подправить фаерфол:
4 строчку фаерфола заменить на:
add action=drop chain=input comment="defconf: drop all from internet" in-interface=eth1
По желанию, если хотите оставить доступ к роутеру извне – добавляем IP или диапазон в исключения:
add action=drop chain=input comment="defconf: drop all from internet" in-interface=eth1 src=!XXX.XXX.XXX.XXX/24