Настройки приведены на примере сети видеонаблюдения нашей организации для MikroTik RB750Gr3.
Постановка задачи: необходимо настроить подключение локальной сети к интернету для работы спец. ПО и пользователей, а так же открыть порты для круглосуточной передачи изображения с видеокамер через внешний статический IP адрес.
Освоить MikroTik Вы можете с помощью онлайн-куса
«Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.
Схема подключения маршрутизатора MikroTik ниже.
Доступ к маршрутизатору.
Доступ осуществим через ПО WinBox для Windows. Предварительно скачиваем WinBox с официального сайта.
В первый порт, подписанный как Internet, включаем провод внешней сети (от оптического конвертера), во второй порт подключаем ПК или ноут-бук, с которого будем работать, подключаем провод питания. Питание от адаптера 24В 800мА.
Подключаем ответную часть патч-корда в сетевую карту ПК. В настройках TCP/IP указываем адрес в одном диапазоне с роутером. Обычно у MikrоTik ip-адрес 192.168.88.1.
Запускаем WinBox, подключаемся к роутеру по ip-адресу.
Можно подключиться по MAC-адресу. Переписываем его с коробки в поле вместо ip-адреса и нажимаем – Connect.
На вкладке Neighbors можно увидеть все доступные в сети роутеры микротик.
Перед началом выполнения настроек, желательно обновиться до последней версии прошивки. В новых прошивках, как правило, устранены известные проблемы.
После соединения, в главном меню выбираем New Terminal и смотрим версию прошивки. В данном случае видим 6.42.7.
Переходим на страницу загрузок официального сайта. Находим нужный нам роутер по названию, в нашем случае RB750Gr3. Выбираем версию прошивки Current (текущая) либо Stable (стабильная). Изменения на сайте происходят довольно часто и расположение как на скриншоте ниже может быть другим. Скачиваем из строчки с надписью Main package. Файл прошивки называется в моем случае routeros-mmips-6.43.npk
Открываем место, куда мы сохранили прошивку и перетягиваем её в окно MikroTik.
Появится сообщение о загрузке файла.
Перезагружаем роутер: System >> Reboot.
Подтверждаем перезагрузку и ждем примерно 1-2 мин.
После перезагрузки снова подключаемся к роутеру, запускаем терминал и проверяем версию прошивки. Она изменилась на 6.43.
Удаляем конфигурацию, настроенную по умолчанию. 
Нужно помнить, что удаляя базовые настройки, удалятся параметры безопасности и их нужно будет настроить.
Настройка портов.
Переименуем порты, для удобства пользования. Это действие не обязательное и выполняется по желанию.
Открываем вкладку Interfaces. Изменяем название первого порта на WAN и нажимаем Apply. 
Остальные порты переименовываем таким же образом и называем по порядку LAN1… LAN4.
Те же действия можно выполнить через текстовые команды в терминале. Открываем в боковом меню New Terminal и вводим команды.
|
1 2 3 4 5
| /interface ethernet set [ find default—name=ether1 ] name=WAN /interface ethernet set [ find default—name=ether2 ] name=LAN1 /interface ethernet set [ find default—name=ether3 ] name=LAN2 /interface ethernet set [ find default—name=ether4 ] name=LAN3 /interface ethernet set [ find default—name=ether5 ] name=LAN4 |
Создание моста.
Переходим на вкладку Bridge. Нажимаем синий крестик и добавляем новый интерфейс моста.
Name: LAN-BRIDGE
ARP: proxy-arp 
Через командную строку терминала:
|
1
| /interface bridge add name=LAN—BRIDGE arp=proxy—arp fast—forward=no |
Добавление портов в мост.
В разделе портов добавляем все наши LAN-порты (кроме WAN) нажимая синий крестик. 
В каждом добавленном порте указываем:
Intrface: LAN1… LAN4;
Bridge: LAN-BRIDGE.
Это нужно для организации коммутатора. Изначально в роутере все порты сами по себе.
*можно назначить один порт мастером и привязать к нему остальные, затем в мост добавить только мастера, это было актуально для прошивок ниже 6.41.
Через командную строку терминала:
|
1 2 3 4
| /interface bridge port add bridge=LAN—BRIDGE interface=LAN1 hw=yes /interface bridge port add bridge=LAN—BRIDGE interface=LAN2 hw=yes /interface bridge port add bridge=LAN—BRIDGE interface=LAN3 hw=yes /interface bridge port add bridge=LAN—BRIDGE interface=LAN4 hw=yes |
Подключение к интернету.
PPPoE.
В нашем случае подключение PPPoE. Переходим на вкладку PPP. Нажимаем на синем крестике маленький треугольник и в выпадающем меню выбираем PPPoE Client в самом низу.
В создавшемся новом интерфейсе указываем на вкладке General имя и внешний порт WAN. 
На вкладке Dial Out указываем логин и пароль из договора с провайдером. Все галочки как на картинке ниже. Apply. OK.
Через командную строку терминала:
|
1
| /interface pppoe—client add name=ByFly interface=WAN user=123456789012345@beltel.by password=11111 use—peer—dns=yes add—default—route=yes disabled=no |
Правило для работы интернета.
Правило NAT выполняет замену IP-адресов локальной сети на IP-адрес внешней сети и обратно.
Переходим на вкладку IP. Выбираем Firewall.
В разделе NAT нажимаем синий крестик и добавляем новое правило как на картинке ниже.
На вкладке General выбираем:
Chain: srcnat;
Out. Interface: Byfly – наш ранее созданный внешний интерфейс PPPoE.
На вкладке Action в первом поле выбираем из выпадающего меню masquerade. Нажимаем Apply. OK.
Через командную строку терминала:
|
1
| /ip firewall nat add chain=srcnat out—interface=WAN action=masquerade |
DNS.
Переходим в IP >> DNS.
Здесь нужно либо прописать DNS, либо как у меня они уже сами определились.
Обязательно ставим галочку Allow Remote Requests.
OK.
Через командную строку терминала (если DNS статический):
|
1
| /ip dns set servers=8.8.8.8 allow—remote—requests=yes |
Локальная сеть.
Переходим в IP >> Addresses.
Пишем адрес для локальной сети. Выбираем ранее созданный интерфейс LAN-BRIDGE. Жмем Apply. OK. 
Маска указывается через слэш (например /24), Network может появится автоматически.
Через командную строку терминала:
|
1
| /ip address add interface=LAN—BRIDGE address=192.168.0.1/24 |
DHCP.
Настраиваем по необходимости. При DHCP сервере, подключаемые пользователи получают IP адреса от маршрутизатора автоматически.
Создаем так называемый пул – диапазон IP адресов, которые будет раздавать наш DHCP сервер. Переходив на вкладку IP >> Pool. Жмем на синий крестик. В открывшейся форме заполняем имя и адреса, какие мы хотим чтоб раздавались. Apply. OK.
Через командную строку терминала:
|
1
| /ip pool add name=POOL—DHCP ranges=192.168.0.10—192.168.0.99 |
Создаем DHCP Server. IP >> DHCP Server.
Вводим имя, выбираем наш созданный сетевой мост LAN-BRIDGE.
Выбираем созданный на предыдущем шаге пул IP адресов POOL-DHCP.
Apply. OK. 
Через командную строку терминала:
|
1
| /ip dhcp—server add name=DHCP—SERVER interface=LAN—BRIDGE address—pool=POOL—DHCP disabled=no |
Создадим DHCP сеть. Вводим как на картинке ниже адрес сети, шлюз, маску и DNS server. Apply. OK. 
Через командную строку терминала:
|
1
| /ip dhcp—server network add address=192.168.0.0/24 dns—server=192.168.0.1 gateway=192.168.0.1 netmask=24 |
Привязка нужна для того, чтоб при подключении к сети одному и тому же пользователю всегда присваивался один и тот же IP-адрес.
Переходим в IP->DHCP Server->Leases-> нажимаем +
Указываем (выбираем) IP, MAC (устройства, которое хотим привязать) и наш созданный DHCP сервер. OK.
Можно привязать розданный IP-адрес. Правой кнопкой мыши на клиента DHCP -> Make Static. Теперь этому клиенту всегда будет раздаваться один и тот же IP-адрес.
Через командную строку терминала:
|
1
| /ip dhcp—server lease add address=192.168.0.79 mac—address=A1:B2:C3:D4:E5:F6 server=DHCP—SERVER |
Открытие портов. (Проброс портов)
Переходим в IP >> Firewall >> NAT.
Добавляем новое правило на синий крестик.
На вкладке General отмечаем:
Chain: dstnat
Protocol: tcp
Dst.Port 81 (порт можно выбрать любой свободный)
На вкладке Action выбираем:
Action: dst-nat
To Addresses: 192.168.0.105 (адрес локальной камеры)
To Ports: 80 (локальный порт, у всех камер одинаковый) 
Нажимаем Apply или OK.
Через командную строку терминала:
|
1
| /ip firewall nat add action=dst—nat chain=dstnat dst—port=81 protocol=tcp to—addresses=192.168.0.105 to—ports=80 comment=«PORT 81» |
Проверяем, открылся ли порт и заработала камера.
У нас статический внешний IP адрес. Я захожу на него с указанием порта через браузер IE и вижу работающую камеру.
Открытый порт можно проверить на сервисе в интернете.
Если нужны еще камеры, создаем новые правила с другими внешними портами для других внутренних IP.
Правил достаточно много, по этому вводить их нужно через командную строку терминала. Правила взяты из настройки по умолчанию.
|
1 2 3 4 5 6 7
| /ip firewall filter add action=accept chain=input connection—state=established,related comment=«accept established,related» /ip firewall filter add action=drop chain=input connection—state=invalid comment=«drop invalid» /ip firewall filter add action=accept chain=input protocol=icmp comment=«accept ICMP» /ip firewall filter add action=drop chain=input in—interface=!LAN—BRIDGE comment=«drop all not coming from LAN» /ip firewall filter add action=accept chain=forward connection—state=established,related,untracked comment=«accept established,related, untracked» /ip firewall filter add action=drop chain=forward connection—state=invalid comment=«drop invalid» /ip firewall filter add action=drop chain=forward connection—nat—state=!dstnat connection—state=new in—interface=WAN comment=«drop all from WAN not DSTNATed» |
Установка пароля администратора.
В боковом меню выбираем System >> Users.
В открывшемся окне отмечаем admin или другого нужного пользователя.
Изменяем пароль нажав на кнопку Password.
Введя пароль, нажимаем Apply.
Учетную запись admin лучше заблокировать и не использовать в целях безопасности.
Создание учетной записи через командную строку терминала:
|
1
| /user add name=Batman password=Qetuoadgjl!@#12345 group=full |
Удаление стандартной учетной записи admin через командную строку терминала:
|
1
| /user remove admin |
Так же в целях безопасности нужно отключить неиспользуемые сервисные интерфейсы IP>>Services. У данного роутера оставлено подключение только через WinBox.
Через командную строку терминала:
|
1 2 3 4 5 6
| /ip service set telnet disabled=yes /ip service set ftp disabled=yes /ip service set www disabled=yes /ip service set ssh disabled=yes /ip service set api disabled=yes /ip service set api—ssl disabled=yes |
Когда все настройки выполнены и роутер работает как требуется делаем резервную копию конфигурации.
Резервная копия конфигурации.
В главном меню выбираем Files. Нажимаем Backup.
В открывшемся окне:
— в поле Name пишем имя для резервной копии;
— при желании устанавливаем пароль;
— отмечаем галочкой Don’t Encrypt.
Нажимаем Backup. 
Среди файлов появится наша новая резервная копия. Можно перетащить её мышкой в папку ПК для сохранности.
Через командную строку терминала:
|
1
| /system backup save name=config1 |
При восстановлении конфигурации из резервной копии выбираем нужный файл и нажимаем Restore. Перед этим рекомендуется выполнить сброс конфигурации.
В процессе настроек ситуация может выйти из под контроля, и к роутеру пропадет доступ. Если WinBox, ping или сканер сети не находят подключенного роутер, то ничего не остается, как выполнить сброс настроек до заводской конфигурации. Для этого:
1.Отключаем питание роутера.
2.Нажимаем внутреннюю кнопку RES (reset) сброс, как на фото и подаем питание.
3.Продолжаем удерживать кнопку еще 10-15 сек.
-USR загорится зеленым и начнет мигать, затем перестанет;
-прозвучит одинарный сигнал;
-затем двойной звуковой сигнал.
На этом всё. Роутер сброшен до заводской конфигурации. Подключаемся к нему через WinBox по MAC адресу, либо по IP 192.168.88.1
Освоить MikroTik Вы можете с помощью онлайн-куса
«Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.