Подробная настройка маршрутизатора MikroTik.

Настройки приведены на примере сети видеонаблюдения нашей организации для MikroTik RB750Gr3.

 

Постановка задачи: необходимо настроить подключение локальной сети к интернету для работы спец. ПО и пользователей, а так же открыть порты для круглосуточной передачи изображения с видеокамер через внешний статический IP адрес.

Схема подключения маршрутизатора MikroTik ниже.

 

Доступ к маршрутизатору.

Доступ осуществим через ПО WinBox для Windows. Предварительно скачиваем WinBox с официального сайта.

 

В первый порт, подписанный как Internet, включаем провод внешней сети (от оптического конвертера), во второй порт подключаем ПК или ноут-бук, с которого будем работать, подключаем провод питания. Питание от адаптера 24В 800мА.

 

Подключаем ответную часть патч-корда в сетевую карту ПК. В настройках TCP/IP указываем адрес в одном диапазоне с роутером.  Обычно у MikrоTik ip-адрес 192.168.88.1.

 

Запускаем WinBox, подключаемся к роутеру по ip-адресу.

 

Можно подключиться по MAC-адресу. Переписываем его с коробки в поле вместо ip-адреса и нажимаем – Connect.

         На вкладке Neighbors можно увидеть все доступные в сети роутеры микротик.

 

Смена прошивки.

 

Перед началом выполнения настроек, желательно обновиться до последней версии прошивки. В новых прошивках, как правило, устранены известные проблемы.

После соединения, в главном меню выбираем New Terminal и смотрим версию прошивки. В данном случае видим 6.42.7.

 

 

Переходим на страницу загрузок официального сайта. Находим нужный нам роутер по названию, в нашем случае RB750Gr3. Выбираем версию прошивки Current (текущая) либо Stable (стабильная). Изменения на сайте происходят довольно часто и расположение как на скриншоте ниже может быть другим. Скачиваем из строчки с надписью Main package. Файл прошивки называется в моем случае routeros-mmips-6.43.npk

 

Открываем место, куда мы сохранили прошивку и перетягиваем её в окно MikroTik.

 

Появится сообщение о загрузке файла.

 

Перезагружаем роутер: System >> Reboot.

 

Подтверждаем перезагрузку и ждем примерно 1-2 мин.

 

После перезагрузки снова подключаемся к роутеру,  запускаем терминал и проверяем версию прошивки. Она изменилась на 6.43.

 

Удаляем конфигурацию, настроенную по умолчанию.

 

Нужно помнить, что удаляя базовые настройки, удалятся параметры безопасности и их нужно будет настроить.

 

Настройка портов.

Переименуем порты, для удобства пользования. Это действие не обязательное и выполняется по желанию.

Открываем вкладку Interfaces. Изменяем название первого порта на WAN и нажимаем Apply.

 

Остальные порты переименовываем таким же образом и называем  по порядку LAN1… LAN4.

Те же действия можно выполнить через текстовые команды в терминале. Открываем в боковом меню New Terminal и вводим команды.

/interface ethernet set [ find default-name=ether1 ] name=WAN
/interface ethernet set [ find default-name=ether2 ] name=LAN1
/interface ethernet set [ find default-name=ether3 ] name=LAN2
/interface ethernet set [ find default-name=ether4 ] name=LAN3
/interface ethernet set [ find default-name=ether5 ] name=LAN4

 

Создание моста.

Переходим на вкладку Bridge. Нажимаем синий крестик и добавляем новый интерфейс моста.

Name: LAN-BRIDGE

ARP: proxy-arp

 

Через командную строку терминала:


/interface bridge add name=LAN-BRIDGE arp=proxy-arp fast-forward=no

Добавление портов в мост.

В разделе портов добавляем все наши LAN-порты (кроме WAN) нажимая синий крестик.

 

В каждом добавленном порте указываем:

Intrface: LAN1… LAN4;

Bridge: LAN-BRIDGE.

 

Это нужно для организации коммутатора. Изначально в роутере все порты сами по себе.

*можно назначить один порт мастером и привязать к нему остальные, затем в мост добавить только мастера, это было актуально для прошивок ниже 6.41.

Через командную строку терминала:


/interface bridge port add bridge=LAN-BRIDGE interface=LAN1 hw=yes
/interface bridge port add bridge=LAN-BRIDGE interface=LAN2 hw=yes
/interface bridge port add bridge=LAN-BRIDGE interface=LAN3 hw=yes
/interface bridge port add bridge=LAN-BRIDGE interface=LAN4 hw=yes

Подключение к интернету.

PPPoE.

В нашем случае подключение PPPoE. Переходим на вкладку PPP. Нажимаем на синем крестике маленький треугольник и в выпадающем меню выбираем PPPoE Client в самом низу.

 

В создавшемся новом интерфейсе указываем на вкладке General имя и внешний порт WAN.

 

На вкладке Dial Out указываем логин и пароль из договора с провайдером. Все галочки как на картинке ниже. Apply. OK.

 

 

Через командную строку терминала:

/interface pppoe-client add name=ByFly interface=WAN user=123456789012345@beltel.by password=11111 use-peer-dns=yes add-default-route=yes disabled=no

Правило для работы интернета.

Правило NAT выполняет замену IP-адресов локальной сети на IP-адрес внешней сети и обратно.

 

Переходим на вкладку IP. Выбираем Firewall.

В разделе NAT нажимаем синий крестик и добавляем новое правило как на картинке ниже.

На вкладке General выбираем:

Chain: srcnat;

Out. Interface: Byfly – наш ранее созданный внешний интерфейс PPPoE.

 

На вкладке Action в первом поле выбираем из выпадающего меню masquerade. Нажимаем Apply. OK.

 

Через командную строку терминала:

/ip firewall nat add chain=srcnat out-interface=WAN action=masquerade

 

DNS.

Переходим в IP >> DNS.

Здесь нужно либо прописать DNS, либо как у меня они уже сами определились.

Обязательно ставим галочку Allow Remote Requests.

OK.

Через командную строку терминала (если DNS статический):

/ip dns set servers=8.8.8.8 allow-remote-requests=yes

Локальная сеть.

Переходим в IP >> Addresses.

Пишем адрес для локальной сети. Выбираем ранее созданный интерфейс LAN-BRIDGE. Жмем Apply. OK.

Маска указывается через слэш (например /24), Network может появится автоматически.

Через командную строку терминала:

/ip address add interface=LAN-BRIDGE address=192.168.0.1/24

DHCP.

Настраиваем по необходимости.  При DHCP сервере, подключаемые пользователи получают IP адреса от маршрутизатора автоматически.

Создаем так называемый пул – диапазон IP адресов, которые будет раздавать наш DHCP сервер. Переходив на вкладку IP >> Pool. Жмем на синий крестик. В открывшейся форме заполняем имя и адреса, какие мы хотим чтоб раздавались. Apply. OK.

 

Через командную строку терминала:

/ip pool add name=POOL-DHCP ranges=192.168.0.10-192.168.0.99

Создаем DHCP Server. IP >> DHCP Server.

Вводим имя, выбираем наш созданный сетевой мост LAN-BRIDGE.

Выбираем созданный на предыдущем шаге пул IP адресов POOL-DHCP.

Apply. OK.

 

Через командную строку терминала:

/ip dhcp-server add name=DHCP-SERVER interface=LAN-BRIDGE address-pool=POOL-DHCP disabled=no

Создадим DHCP сеть. Вводим как на картинке ниже адрес сети, шлюз, маску и DNS server. Apply. OK.

 

Через командную строку терминала:

/ip dhcp-server network add address=192.168.0.0/24 dns-server=192.168.0.1 gateway=192.168.0.1 netmask=24

DHCP — привязка IP.

Привязка нужна для того, чтоб при подключении к сети одному и тому же пользователю всегда присваивался один и тот же IP-адрес.

Переходим в IP->DHCP Server->Leases-> нажимаем +

 

Указываем (выбираем) IP, MAC (устройства, которое хотим привязать) и наш созданный DHCP сервер. OK.

 

 

Можно привязать розданный IP-адрес. Правой кнопкой мыши на клиента DHCP -> Make Static. Теперь этому клиенту всегда будет раздаваться один и тот же IP-адрес.

 

 

Через командную строку терминала:

/ip dhcp-server lease add address=192.168.0.79 mac-address=A1:B2:C3:D4:E5:F6 server=DHCP-SERVER

Открытие портов. (Проброс портов)

Переходим в IP >> Firewall >> NAT.

Добавляем новое правило на синий крестик.

На вкладке General отмечаем:

Chain: dstnat

Protocol: tcp

Dst.Port 81 (порт можно выбрать любой свободный)

 

На вкладке Action выбираем:

Action: dst-nat

To Addresses: 192.168.0.105 (адрес локальной камеры)

To Ports: 80 (локальный порт, у всех камер одинаковый)

 

Нажимаем Apply или OK.

Через командную строку терминала:

/ip firewall nat add action=dst-nat chain=dstnat dst-port=81 protocol=tcp to-addresses=192.168.0.105 to-ports=80 comment="PORT 81"

Проверяем, открылся ли порт и заработала камера.

У нас статический внешний IP адрес. Я захожу на него с указанием порта через браузер IE и вижу работающую камеру.

 

 

Открытый порт можно проверить на сервисе в интернете.

Если нужны еще камеры, создаем новые правила с другими  внешними портами для других внутренних IP.

 

Firewall.

Правил достаточно много, по этому вводить их нужно через командную строку терминала. Правила взяты из настройки по умолчанию.

/ip firewall filter add action=accept chain=input connection-state=established,related comment="accept established,related"
/ip firewall filter add action=drop chain=input connection-state=invalid comment="drop invalid"
/ip firewall filter add action=accept chain=input protocol=icmp comment="accept ICMP"
/ip firewall filter add action=drop chain=input in-interface=!LAN-BRIDGE comment="drop all not coming from LAN"
/ip firewall filter add action=accept chain=forward connection-state=established,related,untracked comment="accept established,related, untracked"
/ip firewall filter add action=drop chain=forward connection-state=invalid comment="drop invalid"
/ip firewall filter add action=drop chain=forward connection-nat-state=!dstnat connection-state=new in-interface=WAN comment="drop all from WAN not DSTNATed"

Установка пароля администратора.

В боковом меню выбираем System >>  Users.

В открывшемся окне отмечаем admin или другого нужного пользователя.

 

Изменяем пароль нажав на кнопку Password.

Введя пароль, нажимаем Apply.

Учетную запись admin лучше заблокировать и не использовать в целях безопасности.

Создание учетной записи через командную строку терминала:

/user add name=Batman password=Qetuoadgjl!@#12345 group=full

Удаление стандартной учетной записи admin через командную строку терминала:

/user remove admin

Так же в целях безопасности нужно отключить неиспользуемые сервисные интерфейсы IP>>Services. У данного роутера оставлено подключение только через WinBox.

 

Через командную строку терминала:

/ip service set telnet disabled=yes
/ip service set ftp disabled=yes
/ip service set www disabled=yes
/ip service set ssh disabled=yes
/ip service set api disabled=yes
/ip service set api-ssl disabled=yes

Когда все настройки выполнены и роутер работает как требуется делаем резервную копию конфигурации.

 

Резервная копия конфигурации.

В главном меню выбираем Files. Нажимаем Backup.

 

В открывшемся окне:

  • в поле Name пишем имя для резервной копии;
  • при желании устанавливаем пароль;
  • отмечаем галочкой Don’t Encrypt.

Нажимаем Backup.

 

Среди файлов появится наша новая резервная копия. Можно перетащить её мышкой в папку ПК для сохранности.

 

Через командную строку терминала:


/system backup save name=config1

При восстановлении конфигурации из резервной копии выбираем нужный файл и нажимаем Restore. Перед этим рекомендуется выполнить сброс конфигурации.

 

Сброс в заводские настройки.

В процессе настроек ситуация может выйти из под контроля, и к роутеру пропадет доступ. Если WinBox, ping или сканер сети не находят подключенного роутер, то ничего не остается, как выполнить сброс настроек до заводской конфигурации. Для этого:

1.Отключаем питание роутера.

 

2.Нажимаем внутреннюю кнопку RES (reset) сброс, как на фото и подаем питание.

 

3.Продолжаем удерживать кнопку еще 10-15 сек.

  • USR загорится зеленым и начнет мигать, затем перестанет;
  • прозвучит одинарный сигнал;
  • затем двойной звуковой сигнал.

На этом всё. Роутер сброшен до заводской конфигурации. Подключаемся к нему через WinBox по MAC адресу, либо по IP 192.168.88.1