Настройка роутера mikrotik

Запретить доступ по Winbox

Рассмотрим теперь, как нам запретить подключение к микротику через winbox. Для начала запретим доступ по MAC адресу. Делайте это аккуратно, так как не настроив ip адрес и запретив доступ по mac, вы не оставите себе никакой возможности управлять роутером. Ему придется сбрасывать настройки.

Для запрета подключения по mac необходимо перейти в раздел Tools -> MAC Server и нажать на кнопку MAC WinBox Server.

Здесь вы можете выбрать списки интерфейсов, с которых разрешено подключение по MAC. Чтобы его запретить, надо выбрать none.

После этого подключиться по mac адресу с помощью winbox будет невозможно.

Собственные списки интерфейсов можно создать в разделе Interfaces, вкладка Interface List.

Для того, чтобы микротик вообще отсутствовал в списке устройств winbox, необходимо отключить службу Neighbor List. Для этого идем в раздел IP -> Neighbors и приводим настройки к следующему виду.

После этого устройство не даст себя обнаруживать в локальной сети.  С запретом доступа по MAC разобрались, теперь запретим и все остальные подключения. Для этого есть 2 способа:

  1. Отключить службу Winbox.
  2. Закрыть tcp порт 8291 на firewall.

В первом случае отключаем службу.

Во втором добавляем правило в firewall.

# ip firewall filter add action=reject chain=input dst-port=8291 protocol=tcp

Подробнее про настройку firewall читайте отдельную статью. Здесь не буду на этом останавливаться.

На этом по запрету доступа через Winbox все. Рассмотрел все возможные варианты блокировки подключения.

Таблица сравнения точек доступа MikroTik

Без антенны

Для внешнего и внутреннего использования (с водостойким корпусом)

Модель Код продукта Рекомендуемая цена ($) ЦП ОЗУ Пропускная способность Лицензия RouterOS Порты 1Гб/с Порты 100 Мб/с Порты другие PoE in/out Wi-Fi: стандарты Частота Wi-Fi: кол-во каналов Комментарий
NetMetal 5 RB922UAGS-5HPacT-NM 159 720 MHz 128 MB 986 Мб/с 4 1 1 x USB type A, 1 x SFP +/- 802.11a/n/ac 5 GHz 3
NetMetal 5 RB922UAGS-5HPacD-NM 149 720 MHz 128 MB 986 Мб/с 4 1 1 x USB type A, 1 x SFP +/- 802.11a/n/ac 5 GHz 2
NetMetal 5 RB921UAGS-5SHPacT-NM 169 720 MHz 128 MB 986 Мб/с 4 1 1 x USB type A, 1 x SFP +/- 802.11a/n/ac 5 GHz 3
NetMetal 5 RB921UAGS-5SHPacD-NM 159 720 MHz 128 MB 986 Мб/с 4 1 1 x USB type A, 1 x SFP +/- 802.11a/n/ac 5 GHz 2
Groove 52 RBGroove52HPn 59 600 MHz 64 MB 98 Мб/с 3 1 +/- 802.11a/b/g/n 2.4/5 GHz 1
Groove 52 ac RBGrooveG-52HPacn 79 720 MHz 64 MB 986 Мб/с 3 1 +/- 802.11a/b/g/n/ac 2.4/5 GHz 1
Metal 9 RBMetal9HPn 129 400 MHz 64 MB 98 Мб/с 4 1 +/- 802.11b/g/n 900MHz 1
Metal 2 RBMetal2SHPn 99 400 MHz 64 MB 98 Мб/с 4 1 +/- 802.11b/g/n 2.4 GHz 1
Metal 5 RBMetal5SHPn 99 400 MHz 64 MB 98 Мб/с 4 1 +/- 802.11a/n 5 GHz 1
Metal 52 ac RBMetalG-52SHPacn 119 720 MHz 64 MB 986 Мб/с 4 1 +/- 802.11a/b/g/n/ac 2.4/5 GHz 1

Только для внутреннего использования

Модель Код продукта Рекомендуемая цена ($) ЦП ОЗУ Пропускная способность Лицензия RouterOS Порты 1Гб/с Порты 100 Мб/с Порты другие PoE in/out Wi-Fi: стандарты Частота Wi-Fi: кол-во каналов Комментарий
NetBox 5 RB911G-5HPacD-NB 109 720 MHz 128 MB 986 Мб/с 4 1 +/- 802.11a/n/ac 5 GHz 2
BaseBox 2 RB912UAG-2HPnD-OUT 89 600 MHz 64 MB 984 Мб/с 4 1 1 x USB type A +/- 802.11b/g/n 2.4 GHz 2
BaseBox 5 RB912UAG-5HPnD-OUT 89 600 MHz 64 MB 984 Мб/с 4 1 1 x USB type A +/- 802.11a/n 5 GHz 2

С всенаправленными антеннами

Для внешнего и внутреннего использования (с водостойким корпусом)

Модель Код продукта Рекомендуемая цена ($) ЦП ОЗУ Пропускная способность Лицензия RouterOS Порты 1Гб/с Порты 100 Мб/с Порты другие PoE in/out Wi-Fi: стандарты Частота Wi-Fi: кол-во каналов Wi-Fi: Antena gain (DBI) Комментарий
GrooveA 52 ac RBGrooveGA-52HPacn 99 720 MHz 64 MB 986 Мб/с 4 1 +/- 802.11a/b/g/n/ac 2.4/5 GHz 1 6dBi 2.4GHz, 8dBi 5GHz
GrooveA 52 RBGrooveA-52HPn 79 600 MHz 64 MB 98 Мб/с 4 1 +/- 802.11a/b/g/n 2.4/5 GHz 1 6

Только для внутреннего использования

Модель Код продукта Рекомендуемая цена ($) ЦП ОЗУ Пропускная способность Лицензия RouterOS Порты 1Гб/с Порты 100 Мб/с Порты другие PoE in/out Wi-Fi: стандарты Частота Wi-Fi: кол-во каналов Wi-Fi: Antena gain (DBI) Комментарий
OmniTIK 5 RBOmniTIKU-5HnD 89 400 MHz 32 MB 486 Мб/с 4 1 1 x USB type A +/- 802.11a/n 5 GHz 2 7.5
OmniTIK UPA-5HnD RBOmniTikUPA-5HnD 99 400 MHz 64 MB 5 5 1 x USB type A +/+ 802.11a/n 5 GHz 2 7.5
wAP RBwAP2nD 45 650 MHz 64 MB 98 Мб/с 4 1 +/- 802.11b/g/n 2.4 GHz 2 2
wAP ac RBwAPG-5HacT2HnD 89 720 MHz 64 MB 986 Мб/с 4 1 +/- 802.11a/b/g/n/ac 2.4/5 GHz 3 2
Модель Код продукта Рекомендуемая цена ($) ЦП ОЗУ Пропускная способность Лицензия RouterOS Порты 1Гб/с Порты 100 Мб/с Порты другие PoE in/out Wi-Fi: стандарты Частота Wi-Fi: кол-во каналов Wi-Fi: Antena gain (DBI) Комментарий
LHG 5 RBLHG-5nD 59 600 MHz 64 MB 98 Мб/с 3 1 +/- 802.11a/n 2.4/5 GHz 2 24.5
QRT 5 ac RB911G-5HPacD-QRT 199 720 MHz 128 MB 986 Мб/с 4 1 +/- 802.11a/n/ac 5 GHz 2 24
DynaDish 5 RBDynaDishG-5HacD 179 720 MHz 128 MB 986 Мб/с 3 1 +/- 802.11a/n/ac 5 GHz 2 25
SXT 5 ac RBSXTG-5HPacD 109 720 MHz 128 MB 986 Мб/с 4 1 1 x USB type A 802.3at/- 802.11a/n/ac 5 GHz 2 16
SXT SA5 ac RBSXTG-5HPacD-SA 119 720 MHz 128 MB 986 Мб/с 4 1 1 x USB type A 802.3at/- 802.11a/n/ac 5 GHz 2 13
mANTBox 15s RB921GS-5HPacD-15S 139 720 MHz 128 MB 986 Мб/с 4 1 1 x SFP +/- 802.11a/n/ac 5 GHz 2 15
mANTBox 19s RB921GS-5HPacD-19S 199 720 MHz 128 MB 4 1 1 x SFP +/- 802.11a/n/ac 5 GHz 2 19
SXT HG5 ac RBSXTG-5HPacD-HG 119 720 MHz 128 MB 986 Мб/с 4 1 1 x USB type A 802.3at/- 802.11a/n/ac 5GHz 2 17
SXT Lite2 RBSXT2nDr2 49 600 MHz 64 MB 98 Мб/с 3 1 +/- 802.11b/g/n 2.4 GHz 2 10
SXT Lite5 RBSXT5nDr2 59 600 MHz 64 MB 98 Мб/с 3 1 +/- 802.11a/n 5 GHz 2 16
SXT Lite5 ac RBSXT5HacD2n 65 650 MHz 64 MB 98 Мб/с 3 1 +/- 802.11a/n/ac 5 GHz 2 16
SXT 2 RBSXTG-2HnD 79 600 MHz 128 MB 984 Мб/с 4 1 +/- 802.11b/g/n 2.4 GHz 2 10
SXT 5 RBSXT5HPnDr2 89 600 MHz 64 MB 98 Мб/с 3 1 1 x USB type A +/- 802.11a/n 5 GHz 2 16
SXT HG5 RBSXTG-5HPnD-HGr2 95 600 MHz 64 MB 984 Мб/с 4 1 1 x USB type A +/- 802.11a/n 5GHz 2 16.5
SXT SA5 RBSXTG-5HPnD-SAr2 99 600 MHz 64 MB 984 Мб/с 4 1 1 x USB type A +/- 802.11a/n 5GHz 2 13
SEXTANT G RBSEXTANTG-5HPnD 110 600 MHz 64 MB 984 Мб/с 3 1 +/- 802.11a/n 5 GHz 2 18
QRT 2 RBQRTG-2SHPnD 149 400 MHz 64 MB 984 Мб/с 4 1 +/- 802.11b/g/n 2.4 GHz 2 17
QRT 5 RB911G-5HPnD-QRT 169 600 MHz 64 MB 984 Мб/с 4 1 +/- 802.11a/n 5 GHz 2 24

Настройка WAN интерфейса MikroTik

Смена MAC адреса WAN порта

Если Ваш провайдер блокирует доступ к сети по MAC адресу, то необходимо сначала изменить MAC адрес WAN порта роутера MikroTik. В противном случае пропустите этот пункт.

Чтобы изменить MAC адрес порта MikroTik, открываем в программе Winbox меню New Terminal и вводим команду:

, где ether1 — имя WAN интерфейса, 00:01:02:03:04:05 — разрешенный MAC адрес.

Изменить MAC адрес MikroTik

Чтобы вернуть родной MAC адрес порта, нужно выполнить команду:

, где ether1 — имя интерфейса.

Вернуть родной MAC адрес MikroTik

Настройка Dynamic IP

Если интернет провайдер выдает Вам сетевые настройки автоматически, то необходимо настроить WAN порт роутера MikroTik на получение настроек по DHCP:

  1. Открываем меню IP;
  2. Выбираем DHCP Client;
  3. В появившемся окне нажимаем кнопку Add (плюсик);
  4. В новом окне в списке Interface выбираем WAN интерфейс ether1;
  5. Нажимаем кнопку OK для сохранения настроек.

Настройка DHCP клиента MikroTik

Теперь мы получили IP адрес от провайдера, который отображается в столбце IP Adress.

Получение IP адреса по DHCP MikroTik

Проверим, что есть связь с интернетом:

  1. Открываем меню New Terminal;
  2. В терминале пишем команду ping 8.8.8.8 (пингуем сайт google) и жмем Enter на клавиатуре.

Как видим, идут пинги по 60ms, значит интернет подключен и работает. Остановить выполнение команды можно комбинацией клавиш на клавиатуре Ctrl+C.

ping MikroTik

На компьютерах, подключенных к роутеру MikroTik, интернет не будет работать, пока вы не настроите локальную сеть, Firewall и NAT.

Настройка Static IP

Если вы используете статические сетевые настройки, необходимо настроить WAN порт роутера MikroTik вручную.

Настроим статический IP адрес и маску подсети WAN порта MikroTik :

  1. Открываем меню IP;
  2. Выбираем Addresses;
  3. В появившемся окне нажимаем кнопку Add (плюсик);
  4. В новом окне в поле Address прописываем статический IP адрес / маску подсети;
  5. В списке Interface выбираем WAN интерфейс ether1;
  6. Для сохранения настроек нажимаем кнопку OK.

Настройка статического адреса MikroTik

Настроим адрес интернет шлюза MikroTik:

  1. Открываем меню IP;
  2. Выбираем Routes;
  3. В появившемся окне нажимаем кнопку Add (плюсик);
  4. В новом окне в поле Gateway прописываем IP адрес шлюза;
  5. Нажимаем кнопку OK для сохранения настроек.

Настройка шлюза MikroTik

Добавим адреса DNS серверов MikroTik:

  1. Открываем меню IP;
  2. Выбираем DNS;
  3. В появившемся окне нажимаем кнопку Settings;
  4. В новом окне в поле Servers прописываем IP адрес предпочитаемого DNS сервера;
  5. Нажимаем кнопку «вниз» (черный треугольник), чтобы добавить еще одно поле для ввода;
  6. В новом поле прописываем IP адрес альтернативного DNS сервера;
  7. Ставим галочку Allow Remote Requests;
  8. Нажимаем кнопку OK для сохранения настроек.

Настройка DNS MikroTik

Проверим, что есть доступ к интернету:

  1. Открываем меню New Terminal;
  2. В терминале пишем команду ping 8.8.8.8 (пингуем сайт google) и жмем Enter на клавиатуре.

Как видим, идут пинги по 60ms, значит интернет подключен и работает. Остановить выполнение команды можно комбинацией клавиш на клавиатуре Ctrl+C.

ping MikroTik

На компьютерах, подключенных к роутеру MikroTik, интернет не будет работать, пока вы не настроите локальную сеть, Firewall и NAT.

Настройка PPPoE

Если вы используете ADSL модем, к которому по сетевому кабелю подключен роутер MikroTik, сначала необходимо настроить ADSL модем в режим Bridge (мост).

Настроим клиентское PPPoE соединение на роутере MikroTik:

  1. Слева выбираем меню PPP;
  2. Нажимаем кнопку Add (плюсик);
  3. Выбираем PPPoE Client.

Настройка PPPoE MikroTik

Настраиваем параметры PPPoE соединения MikroTik:

  1. В поле Name указываем имя соединения;
  2. В списке Interfaces выбираем первый WAN порт ether1, который подключен к провайдеру;
    Выбор интерфейса PPPoE MikroTik
  3. Переходим на вкладку Dial Out;
  4. В поле User указываем имя пользователя;
  5. В поле Password вводим пароль;
  6. Ставим галочку Use Peer DNS;
  7. Нажимаем кнопку OK.

Настройка пользователя и пароля PPPoE MikroTik

После создания PPPoE соединения напротив него должна появиться буква R, которая говорит о том, что соединение установлено.

PPPoE соединение на MikroTik установлено

Проверим, что есть связь с интернетом:

  1. Открываем меню New Terminal;
  2. В терминале пишем команду ping 8.8.8.8 (пингуем сайт google) и жмем Enter на клавиатуре.

Как видим, идут пинги по 60ms, значит интернет подключен и работает. Остановить выполнение команды можно комбинацией клавиш на клавиатуре Ctrl+C.

ping MikroTik

На компьютерах, подключенных к роутеру MikroTik, интернет не будет работать, пока вы не настроите локальную сеть, Firewall и NAT.

Расширенные настройки безопасности

Чтобы защитить роутер от нежелательной прослушки, отключим ненужные сервисы и трафик, который шлет девайс, пытая всех вокруг уведомить своим присутствием. Сперва отключим не нужные службы и немного кастомизируем их. Переходим в IP – Services. Видим список активных служб. Отключаем то, что не собираемся использовать.

И изменим дефолтные значения двойным кликом по каждому. Порты Winbox и SSH я изменил на не стандартные, а на веб-интерфейс разрешил ходить только с локальной сети – это первый контур безопасности для www.

Далее отключим аналог CDP на Mirkotik. Тот самый трафик, который выдаёт наш роутер. Скажем что можно слать его, только в интерфейс лист LAN созданный ранее.

Далее открываем MAC Server. Разрешаем подключаться по MAC Winbox и MAC Telnet только с листа LAN, а MAC Ping запрещаем вовсе.

Теперь мы спрятали роутер от чужих глаз. Но на этом не все. Нужно сделать дополнительный контур безопасности.

Как подключиться к Mikrotik через Winbox

Итак, утилиту мы скачали. Теперь рассмотрим варианты подключения к Mikrotik через Winbox. Тут проявляется еще одна очень полезная фишка микротиков. Если ты находишься с ним в одном широковещательном домене, то можно подключиться напрямую, используя mac адрес. Поясню для тех, кто не очень разбирается в теории сетей, о чем тут идет речь.

Расскажу по-простому. Единый широковещательный домен это как-будто вы подключены к микротику через общий свитч. Ваше соединение с ним осуществляется на канальном, втором уровне модели OSI. То есть вам не нужно ничего знать про ip адреса друг друга. Вы можете найти друг друга широковещательным запросом, а свитч вас соединит.

Такая возможность часто спасает, когда вы ошиблись в каких-то настройках ip адреса, или на фаерволе случайно закрыли себе доступ. Вы можете обойти ошибки на уровне ip, подключившись напрямую по mac адресу. Выглядит это следующим образом:

С помощью широковещательного запроса winbox обнаружил все доступные устройства Mikrotik в своем сегменте сети и получил возможность подключиться напрямую по mac адресу. Сразу скажу, что такое соединение менее стабильно, чем по ip. Вытекает это из особенностей протоколов подключения.

При подключении по IP адресу с помощью протокола TCP, осуществляется проверка целостности пакетов и подтверждение их доставки. При подключении по MAC этого не происходит, поэтому подключение менее стабильно. Это объясняет, почему во время подключения по mac часто происходит обрыв соединения и отключение от устройства. В общем случае лучше подключаться по ip адресу.

Когда мне приходилось удаленно настраивать Микротики, я всегда старался оставить себе возможность подключиться к устройству напрямую по mac. Понятно, что это не всегда получится и не всегда спасет, если ты по ошибке отключишь интернет. Но если была возможность подстраховаться, я ее использовал.

В общем случае для подключения по winbox достаточно убедиться в том, что включена соответствующая служба. Проверить это можно в разделе IP -> Services.

Если здесь отключить службу winbox, подключение через эту утилиту будет невозможно.

Быстрая настройка

После входа в настройки роутера с помощью утилиты Winbox перед пользователем открывается окно стандартной конфигурации Mikrotik. Ему предлагается удалить ее или оставить без изменений. Если нужно произвести настройку маршрутизатора максимально быстро — необходимо оставить заводскую конфигурацию без изменений, нажав на «OK».
Чтобы перейти к быстрым настройкам, требуется выполнить два простых шага:

  1. В левом столбце окна утилиты Winbox перейти на вкладку «Quick Set».
  2. В выпадающем списке в открывшемся окне выбрать режим работы роутера. В нашем случае больше всего подойдет «Home AP» (Домашняя точка доступа).


Окно Quick Set вмещает в себя все базовые настройки роутера. Вся информация в нем сгруппирована по разделам, посвященным настройкам Wi-Fi, интернета, локальной сети и VPN. Рассмотрим их подробнее.

Беспроводная сеть

Настройки беспроводной сети расположены в левой части окна Quick Set. Параметры, которые доступны там для редактирования, такие же как и при настройке маршрутизаторов других моделей.
Здесь пользователю необходимо:

  • Ввести имя своей сети;
  • Указать частоту сети или выбрать автоматическое ее определение;
  • Выбрать режим вещания модуля беспроводной сети;
  • Выбрать свою страну (необязательно);
  • Выбрать тип шифрования и задать пароль доступа к беспроводной сети. Обычно выбирают WPA2, но лучше отметить галочками все типы, на случай если устройства в сети не поддерживают его.

Практически все настройки осуществляются путем выбора из выпадающего списка или отметки в чекбоксе, поэтому придумывать ничего не потребуется.

Интернет

Настройки интернета находятся справа вверху окна Quick Set. Пользователю предлагается 3 их варианта, в зависимости от типа подключения, используемого провайдером:

  1. DHCP. В заводской конфигурации он присутствует по умолчанию, поэтому дополнительно настраивать ничего не придется. Разве что понадобится проверить МАС-адрес, если провайдер использует привязку к нему.
  2. Статический ІР-адрес. Здесь придется внести параметры, полученные от провайдера, вручную.
  3. РРРоЕ-соединение. Здесь также придется вручную ввести имя пользователя и пароль, а также придумать имя для своего соединения. После этого следует нажать на «Reconnect», и если параметры настроены сделаны правильно, в полях, расположенных ниже, отобразятся параметры установленного подключения.

Как видим, ничего трудного в изменении параметров интернет-соединения в роутере Микротик нет.

Локальная сеть

Сразу же под сетевыми настройками в окне Quick Set располагается конфигурация локальной сети. Здесь можно изменить IP-адрес роутера и настроить DHCP-сервер.
Чтобы интернет работал нормально, необходимо также обязательно разрешить трансляцию NAT, отметив галочкой соответствующий чекбокс.

Поочередно изменив все параметры в окне Quick Set, нажмите на кнопку «Apply». Соединение с роутером будет разорвано. Перезагрузите компьютер или просто отключите, а затем снова включите сетевое подключение. Все должно заработать.

Установка пароля администратора

В заводских настройках роутеров Mikrotik пароль отсутствует. Оставлять его в таком состоянии категорически нельзя из соображений безопасности. Поэтому, завершив базовую настройку устройства, следует обязательно установить пароль администратора. Для этого:

  1. В левом столбце окна утилиты Winbox открыть вкладку «System» и в ней перейти в подраздел «Users».
  2. В открывшемся списке пользователей двойным щелчком открыть свойства пользователя admin.
  3. Перейти к установке пароля пользователя, кликнув на «Password».
  4. Задать пароль администратора, подтвердить его и применить изменения поочередным нажатием на «Apply» и «OK».

На этом установка пароля администратора завершена. При надобности в этом же разделе можно добавить и других пользователей или группы пользователей с разным уровнем доступа к маршрутизатору.

Sniffer

Ещё одна полезная фикция в микротик находится Tools – Packet Sniffer позволяет захватывать и анализировать трафик. Доступны разные фильтры.

Сохранять дамп на диск указав максимальный его размер в File Limit. Memory Limit указывает на объем занимаемый в ОЗУ самого снифера.

Так же увидеть направление пакетов, протокол, размер в Packets. И дополнительную информацию в Connections, Hosts, Protocols.

Есть возможность передачи прослушанного трафика на удалённый сервер. Для этих целей подойдёт Wireshark на вашем ПК или ноутбуке.

Доступен так же в CLI. Можно просмотреть входящий/исходящий трафик по определённым портам, очень удобно при диагностировании блокировки L2TP/IPSEC со стороны провайдера, указав их через запятую. Стрелочки, отображают направление.

Настройка NAT в Mikrotik

Стоит до полноты картины добавить еще пару правил в закладке NAT. Первое непосредственно натит интернет из локалки, второе пробрасывает порт 45000 с внешнего интерфейса на торрент качалку с адресом 192.168.1.50

На этом все. Интернет лагать перестал. Стоит отметить, что я запретил все входящие подключения, кроме торрента. То есть удаленно моим mikrotik я управлять не смогу, все подключения закрыты firewall. Мне это просто не нужно. Если у вас есть такая потребность, то не забудьте разрешить входящие подключения в firewall для winbox.

И еще важное замечание. Я не рекомендую настраивать fierwall в mikrotik, да и не только в микротик удаленно

Я во время настройки ошибся и отключил себе доступ к устройству. Пришлось его ресетить и настраивать заново. Благо это не долго, не заняло много времени. Но имейте это ввиду. Лучше перед настройкой сделать backup, если вдруг ресетить придется 🙂

Помогла статья? Подписывайся на telegram канал автора

Рекомендую полезные материалы по схожей тематике:

Онлайн курсы по Mikrotik

Если у вас есть желание научиться работать с роутерами микротик и стать специалистом в этой области, рекомендую пройти курсы по программе, основанной на информации из официального курса MikroTik Certified Network Associate. Помимо официальной программы, в курсах будут лабораторные работы, в которых вы на практике сможете проверить и закрепить полученные знания. Все подробности на сайте .

Стоимость обучения весьма демократична, хорошая возможность получить новые знания в актуальной на сегодняшний день предметной области. Особенности курсов:

  • Знания, ориентированные на практику;
  • Реальные ситуации и задачи;
  • Лучшее из международных программ.
  • Пример настройки роутера микротик с нуля для чайников.
  • Как настроить блокировку сайтов штатными средствами роутера Mikrotik.
  • Настраиваем wifi роуминг с помощью технологии capsman.
  • Записываем логи Mikrotik на удаленный rsyslog сервер.
  • Переключение канала интернет при использовании 2-х провайдеров в Микротик.

Настройка WAN

В ряде случаев может возникнуть потребность в изменении тех или иных параметров в настройках.

Смена MAC адреса WAN порта

Ее следует проводить при блокировании провайдером доступа к сети по данному адресу. Как правило, в таких случаях первым делом именно он меняется на маршрутизаторе. Если пользователь не имеет с этим проблем, данный подпункт можно пропустить.

Для внесения изменений в адреса порта заходим в New Terminal и задаем следующее значение

/interface ethernet set ether1 mac-address=00:01:02:03:04:05, где ether1 – имя интерфейса WAN, а последние цифры – имя разрешенного MAC адреса.

Для возврата родного параметра вписываем следующие значения:

/interface ethernet reset-mac ether1, где ether1, где ether1 – имя интерфейса.

Настройка Dynamic IP

Если поступление сетевых настроек происходит в автоматическом режиме, следует произвести настройку WAN-порта маршрутизатора, чтобы они поступали по DHCP. После открытия опции IP придерживаемся следующего алгоритма действий:

  1. Заходим на DHCP Client.
  2. Жмем в выпавшем окне опцию Add (плюс).
  3. Из перечня Interface (слева) выбираем ether1 WAN интерфейс.
  4. Сохраняем установки.

Теперь полученный от Интернет-провайдера IP-адрес станет виден в соответствующем столбике.

После завершения операции обязательно нужно протестировать качество Интернет-соединения. Начинаем процедуру с New Terminal и включаем следующие параметры: ping 8.8.8.8, то есть проводим пингование Google, жмем Enter.

В третьей колонке терминала в столбике ТАЙМ (справа) можно видеть поступление пингов. Значение 60ms свидетельствует об удачном подключении Интернета.

Приостановка заданной процедуры возможна при нажатии комбинации клавишей Ctrl+C.

Настройка Static IP

При использовании статических настроек сети, в частности IP-адреса и маски подсети WAN порта, понадобится их настраивание вручную:

  1. В меню IP нажимаем Addresses.
  2. Жмем в окошечке сверху слева Add (плюс).
  3. Указываем в Новых Адресах статический IP адрес/маску подсети.
  4. Из перечня интерфейса выводим в поле ether1 (WAN-интерфейс).
  5. Сохраняем установки.

Настройка адреса Интернет-шлюза

Осуществляется процесс там же – в IP. После его открытия нужно:

  1. Выбрать функцию Routes.
  2. В выпавшем окошке нажать кнопку Add (плюс).
  3. В новом окошке Gateway обозначить IP-адрес шлюза.
  4. Сохранить внесенную информацию.

Добавка адресов серверов

Она осуществляется в такой последовательности:

  1. После открытия меню IP переходим к DNS.
  2. Жмем кнопку Settings в выпавшем окне.
  3. В поле Servers (новое окно) осуществляем прописку IP-адрес желаемого DNS сервера.
  4. Для добавления еще одного поля жмем кнопку с черным треугольником «вниз».
  5. Делаем в представленном поле прописку IP-адреса (альтернативный вариант DNS сервера).
  6. Отмечаем галочкой пункт Allow Remote Requests (дает разрешение роутеру выступать DNS-сервером для сторонних клиентов).
  7. Сохраняем выполненные действия.

Обязательно нужно проверить, есть ли связь с глобальной сетью. Схема этой процедуры аналогична той, что была описана выше в пункте «Настройка Dynamic IP».

Настройка PPPoE

Данная процедура нужна пользователям, работающим с ADSL-модемом – к нему подключается маршрутизатор по сетевому кабелю. Рекомендуется настройка ADSL-модема в режиме Bridge.

Настройка клиентского PPPoE-соединения осуществляется в такой последовательности:

  1. В колонке Bridge слева выберете PPP.
  2. Нажмите кнопку Add (плюс).
  3. В нижней строчке столбца выберете PPPoE Client.
  4. Перейдите к настройке установок PPPoE-соединения маршрутизатора в новом интерфейсе. В первой колонке выберете Name, в поле введите имя соединения.
  5. В окне Interfaces из списка нужно выбрать первый ether1 (WAN порт). Он, как правило, подключается к провайдеру.
  6. После этого работайте на вкладке Dial Out. В поле напротив опции User нужно указать пользователя, а в Password – ввести пароль. Отметить галочкой Use Peer DNS (чтобы MikroTik получал DNS от провайдера). Последним действием будет нажатие кнопки OK.

Если процедура выполнена правильно, с левого края в поле PPPoE-соединения появится буква R – значит, подключение установлено.

Последним этапом, как и при предыдущих настройках, будет проверка связи с Интернетом (см. пункт «Настройка Dynamic IP»).

Перенаправление портов Mikrotik

Все настройки по прокидыванию портов делаются в разделе IP -> Firewall -> Nat. Ниже опишу все параметры и на примере пробросим RDP 3389 на сервер или компьютер.

Стрелочками показано в какой раздел заходить, нажимаем + и создадим новое правило NAT. Итак:

  • Chain – здесь выбираем что будем заменять в ip пакете (то есть адрес отправителя или получателя). Для нашего примера с RDP выбираем dstnat.
  • Src. Address – можем указать тут конкретный ip с которого нужно осуществлять проброс порта (то есть если здесь указать 2.45.34.77, то при работающем правиле проброс будет работать только при подключении с этого адреса). Нам этого не надо поэтому оставляем пустым.
  • Dst. Address – здесь указываем белый ip нашего роутера к которому будет подключаться по RDP а он в свою очередь будет натить на сервер. (Здесь имеет смыслю указывать ip если у вас несколько белых адресов на интерфейсе.) В нашем случае оставляем пустым.
  • Protocol – выбираем какой протокол будем пробрасывать (RDP работает по TCP протоколу и порту 3389). Очевидно, выбираем
  • Src. Port – Порт с которого будет подключения. Оставляем пустым, для нашего примера он не нужен.
  • Dst. Port – вот здесь указываем 3389 как писалось выше.
  • Any. Port – бываю случае порты src и dst одинаковые его можно вписать сюда, или когда нужно пробросить все TCP. (оставляем пустым)
  • In. Interface – входящий интерфейс микротика, указываем тот на котором висит белый ip. У меня этот. 
  • Out. Interface – исходящий интерфейс, тут можно указать тот который смотрит в вашу локальную сеть а можно и ничего не указывать, тогда mikrotik сам выберет его по адресу подсети.
  • In. Interface list – тут указывается интерфейс лист. То есть, если у вас 2 и более каналов в интернет, их можно все объединить в interface list и указать тут. Тогда не надо будет для каждого провайдера делать правило проброса RDP.
  • Out. Interface List – тоже самое что и 10 пункт только исходящий.

Остальные пункты с 12 по 16 вам сейчас не нужны, они используются для более сложных схем, таких как маркировка трафика и отправка его в конкретную таблицу маршрутизации и тд.

Теперь переходим на вкладку Action на которой мы скажем роутеру что делать с полученным пакетом и куда его отправлять.

Здесь настраиваем так:

  • Action – действие которое mikrotik должен произвести, выбираем dst-nat, так как нам надо запрос приходящий на белый ip с портом 3389 перенаправить на адрес из серой сети.
  • Галочка Log будет писать все nat трансляции в лог файл – этого делать не стоит.
  • Log Prefix – будет добавлять в лог в начало строки произвольные символы которые тут напишете.
  • To Addresses – люда вписываем ip сервера (серый) на который нужно настроить перенаправление портов на mikrotik.
  • To Ports – ну и TCP порт на который пересылать.

Вот так просто настраивается проброс портов на mikrotik, дальше приведу еще несколько примеров для различных сервисов.

Быстрая настройка интернета с помощью QuickSet.

В мастере быстрой настройки «Quick Set» предусмотрено несколько режимов работы роутера:

  • CAP: Контролируемая точка доступа, которая управляется CAPsMAN сервером
  • CPE: Режим клиента, который подключается к точке доступа AP.
  • Home AP: Домашняя точка доступа. Этот режим подходит для упрощенной настройки доступа к интернету.
  • PTP Bridge AP: Создает точку доступа для подключения к ней удаленного клиента PTP Bridge CPE и создания единой сети.
  • PTP Bridge CPE: Клиент для подключения к удаленной точки доступа PTP Bridge AP.
  • WISP AP: Режим похожий на Home AP, но предоставляет более продвинутые возможности.

Выбираем режим Home AP и приступаем к настройке роутера в качестве обычной точки доступа к интернету, которую можно использовать для небольшого офиса и дома.

Настраиваем WiFi.

Network Name: Название сети. Это название будут видеть тот кто подключается к вашей сети по WiFi.

Frequency: в обычной ситуации лучше оставить значение Auto. роутер сам подберет оптимальную частоту работы.

Band: Диапазон частот для домашнего роутера 2GHz-only-N. Если в сети есть старые устройства, работающие по протоколам 802.11b или 802.11g, тогда нужно будет выбрать режим 2GHz-B/G/N, но будет потеря в скорости соединения.

Use Access List (ACL): Используется для того чтобы ограничить доступ по WiFi. Прежде чем включать эту опцию необходимо создать список клиентов, которым разрешен доступ. Выбираем из списка подключенных клиентов и нажимаем кнопу Copy To ACL.

В обычной ситуации этой функцией лучше не пользоваться т.к. аутентификация по паролю обеспечивает достаточные ограничения.

WiFi Password: укажите здесь пароль для подключения к роутеру по WiFi.

WPS Accept: эта кнопка используется для упрощенного подключения устройств, которые поддерживают режим WPS. Такими устройствами могут быть принтеры или видеокамеры, на которых затруднен ввод пароля вручную. В первую очередь включить WPS нужно на подключаемом устройстве, а затем нажать кнопку роутера «WPS Accept».

Guest Network: эта функция позволяет создать отдельную гостевую сеть WiFi. Те, кто подключаются через гостевой WiFi, не будут иметь доступа к вашему роутеру, локальной сети и устройствам, находящимся в ней. Используйте гостевую сеть для повышения сетевой безопасности.

Задайте пароль в поле «Guest WiFi Password» и ограничение скорости на скачивание «Limit Download Speed»

Wireless Clients: здесь можно увидеть подключенные в данный момент по WiFi устройства. В таблице показан MAC-адрес, IP-адрес, продолжительность подключения, качество сигнала и ACL (список разрешенных устройств)

Настраиваем интернет.

Здесь мы указываем те параметры подключения, которые нам передал провайдер интернета.

Port: Указываем физический порт, к которому подключен кабель провайдера

Adress Acquisition: указывем способ получения IP адреса. В моем случае адрес статический. При PPPoE подключении указываем логин, пароль и адрес pppoe-сервера.

MAC Address: физический адрес устройства, который будет видеть провайдер. Имеет смысл менять если вы Mikrotik ставите вместо другого роутера, а у провайдера на маршрутизаторе установлена привязка по mac-адресу.

MAC server / MAC Winbox: позволяет подключаться к роутеру используя его mac-адрес. Может пригодится при отладке или восстановлении, когда роутер недоступен по ip-адресу.

Discovery: позволяет распознавать роутер другими роутерами Mikrotik.

Настройка локальной сети.

IP Address: указываем ip-адрес устройства в нашей локальной сети.

Netmask: маску оставляем наиболее распространенную для большинства случаев 255.255.255.0.

Bridge All LAN Ports: объединяем все порты роутера в общий коммутационный узел, позволяя всем подключенным устройствам находится в одной сети и обнаруживать друг друга.

DHCP Server: включаем сервер автоматической раздачи ip-адресов устройствам, подключенным к роутеру.

NAT: должен быть включен для трансляции ip-адресов из локальных в публичные, иначе устройства локальной сети не получат возможность выйти в интернет.

UPnP: эту опцию лучше не активировать, если нет необходимости т.к. она позволяет выполнять автоматический проброс стандартных локальных портов в интернет. Порты лучше пробрасывать вручную, чтобы злоумышленники не знали их адреса.

Настройку VPN рассматривать в рамках данной статьи не будем. Отмечу лишь, что она так же доступна в QuickSet и может пригодится тем, кто использует VPN-туннели для объединения нескольких локальных сетей или устройств в одну частную сеть через интернет.

Обновления пакетов

За работоспособность тех или иных функций в Микторике отвечают пакеты, это как драйвера на компьютер. Например, для работы Wi-FI нужен пакет «wireless», для осуществления маршрутизации «routing» и так далее. Все эти функции объединяются в архитектуру, у меня это «routeros-smips», на всех hAP lite от такой. Так вот, все это и называется прошивкой MikroTik, во их нужно обновлять. Переходим System -> Packages, видим те самые наши пакеты.

Выделяем их, нажимаем кнопку «Check For Updates»

Откроется окно, в котором будет:

  • Channel – выпираем «current» последнюю стабильную версию;
  • Installed Version – та которая стоит сейчас;
  • Latest Version – будет обновлена на эту версию.

Можно прочитать примечания к выпуску, после жмем на Download&Install, начнется процесс скачивания.

В этот момент не отключайте питания от микротика, он сам перезагрузится и установит новую прошивку. Занимает этот процесс примерно 5 минут. Теперь снова подключаемся к нему, видим все прошло успешно.

Оцените статью
Рейтинг автора
5
Материал подготовил
Андрей Измаилов
Наш эксперт
Написано статей
116
Добавить комментарий