Mikrotik
July 2, 2020

Настройка MikroTik в качестве роутера для домашней или небольшой офисной сети. Пошаговое руководство.

Mikrotik - замечательное оборудование подходящее практически под любые задачи, в том числе оно идеально справится с ролью роутера в домашней или небольшой офисной сети. Однако, большинство пользователей, начитавшись хвалебных отзывов в интернете, испытывают глубокое разочарование при первых попытках настроить новый девайс. Действительно интерфейс настройки сильно отличается от привычных D-Link, TP-Link или Zyxel, однако это связано с тем, что функционал микротиков гораздо шире привычных бытовых роутеров. Попробуем разобраться.

Последовательность настройки

  • Убедиться что роутер не имеет default-конфигурации (сбросить роутер)
  • Настроить WAN-порт (IP-адрес/маска, DHCP-клиент, PPPoE, L2TP)
  • Настроить/проверить маршрут по умолчанию
  • Настроить DNS (После этого роутер должен получить доступ в интернет)
  • Настроить LAN-мост
  • Настроить LAN-порт (IP-адрес/маска)
  • Создать правило NAT (masquerade)
  • Настроить DHCP-сервер
  • Настроить WiFi
  • Настроить Firewall
  • Задать пароль на консоль
  • Обновить RouterOS до последней версии

Первое подключение к устройству MikroTik

Подключим устройство к сети согласно схеме:

Оборудование Mikrotik имеет множество способ конфигурации: WinBox (IP или MAC-адрес), WebFig (http и https), SSH, Telnet. Однако наиболее удобным, наглядным и функциональным является использование утилиты WinBox, которую можно скачать с официального сайта MikroTik. Утилита Winbox, с помощью которой проходит настройка устройств Mikrotik, представляет собой исполняемый файл EXE. Она не требует инсталляции и готова к работе сразу после скачивания. После открытия Winbox открывается ее стартовое окно. Там необходимо ввести IP-адрес маршрутизатора (по умолчанию - 192.168.88.1), логин (по умолчанию — admin) и нажать «Connect».

Если подключиться по IP-адресу не удается,он отсутствует или неизвестен, то Winbox предоставляет пользователю возможность подключаться к маршрутизатору и по МАС-адресу. Для этого необходимо перейти на вкладку «Neighbors». Программа проанализирует соединения и найдет МАС-адрес подключенного устройства MikroTik, который отобразится ниже после этого нужно сначала щелкнуть по нему мышкой, а затем, как и в предыдущем случае, нажать на «Connect».

Внешний вид основного окна WinBox представлен ниже:

Сброс роутера с установкой пустой конфигурации

Выполняется через меню System => Reset Configuration параметры которые необходимо выставить показаны на рисунке, после нажатия ОК.

Роутер перезагрузится, в роутере не будет вообще никаких настроек, включая IP-адресов, потому получить доступ будет возможно только по MAC-адресу, через вкладку «Neighbors». Дадим роутеру пару минут для перезагрузки и подключимся заново, можно приступать к настройке.

Настройка WAN (Internet) интерфейса

Тип подключения к интернету зависит от провайдера и в подавляющем большинстве случаев, может быть осуществлен при помощи получения настроек по DHCP либо через PPPoE (при этом провайдер выдает логин и пароль). Если провайдер не выдал вам логин и пароль для PPPoE подключения, то скорее всего у вас подключение по DHCP. При этом роутер сам получит все необходимые настройки после включения DHCP клиента на интерфейсе WAN (чаще всего это ether 1). Настройка осуществляется в меню IP → DHCP Client. Выставляем параметры как показано на рисунке.

В случае настройки соединения через PPPoE, создаем новый PPPoE клиент в меню PPP->(+) New PPPoE Client, здесь необходимо указать интерфейс к которому подключен кабель провайдера (ether1), логин и пароль (выдал интернет-провайдер), поле Service заполнять не нужно.

Если мы все сделали правильно, то наш роутер сможет получить доступ к узлам в интернете по IP-адресу, проверить это можно введя в терминале (пункт меню New terminal) команду ping 8.8.8.8, мы должны увидеть следующую картину:

Настройка DNS

По умолчанию DHCP-клиент запрашивает адреса DNS серверов у DHCP-сервера, однако мы не поставили данную галочку, потому что укажем публичные DNS сервера вручную, в качестве серверов, можно использовать сервера Google (8.8.8.8 8.8.4.4) или Cloudflare (1.1.1.1 1.0.0.1). Также необходимо поставить галочку Allow Remote Requests, чтобы наш роутер выступал DNS-сервером для компьютеров нашей сети. Все настройки выполняем в меню IP → DNS после чего нажимаем ОК.

Настройка LAN-моста

Для того, чтобы все оставшиеся интерфейсы (за исключением ether1) роутера были объединены в один коммутатор, необходимо создать мост и добавить в мост все порты (за исключением ether1), включая интерфейсы WLAN. Настройки производятся в меню Bridge. Имя моста может быть произвольным.

В мост должны быть добавлены порты ether2-ether5 и WLAN1, WLAN2 (при наличии).

Настройка LAN-интерфейса

Далее необходимо назначить IP-адрес на мосту LAN, это будет внутренний адрес нашего роутера, настройка осуществляется в меню IP => IP Addresses.

NAT (Маскарадинг/Masquerade)

Маскарадинг — тип трансляции сетевого адреса, при которой адрес отправителя проставляется динамически, в зависимости от назначенного внешнему интерфейсу адреса. Маскарадинг используется для получения доступа к публичным сетям (Интернету), компьютеров из частных (локальных сетей), имеющих частные адреса. Принцип маскарадинга представлен на рисунке ниже.

Настройки маскарадинга осуществляются в меню IP => Firewall, в качестве Out Interface укажите ether1 или название PPPoE интерфейса (если используется соединение PPPoE).

Настройка DHCP-сервера

DHCP-сервер автоматически назначает IP-адреса и другие параметры хостам
Необходимо иметь статический IP-адрес на интерфейсе DHCP-сервера
Используйте кнопку DHCP Setup в меню IP => DHCP Server чтобы начать настройку.

  1. Выбираем созданный LAN-мост
  2. Указывается LAN-подсеть (оставляем как есть)
  3. Указывается внутренний адрес роутера (оставляем как есть)
  4. Указывается диапазон раздаваемых адресов (оставляем как есть)
  5. Указывается адрес DNS-сервера (указываем адрес роутера такой же, как из п. 3)
  6. Время аренды адресов (можно выставить 7 дней, формат записи: 7d 00:00:00 )

Настройка WiFi

Настройка WiFi осуществляется в меню Wereless, в зависимости от модели роутера в меню Wereless -> Interfaces вы найдете один или два интерфейса (если роутер поддерживает два диапазона 2.4 и 5 ГГц).

Настроим безопасность сети в меню Wereless -> Security Profiles создадим новый профиль с произвольным именем (например class). Должно использоваться только шифрование WPA-PSK или WPA2-PSK с AES-CCM и длинный сложный пароль.

В меню Wereless -> Interfaces включим интерфейсы, нажав на кнопку с галочкой, предварительно выделив интерфейсы.

Затем щелкнем по интерфейсу двойным щелчком и настроим следующие параметры:

  • mode=ap bridge
  • диапазон
  • частоту (беспроводной канал)
  • имя сети (SSID)
  • профиль безопасности (который мы создали в предыдущем пункте)

В случае необходимости повторите настройки для диапазона 5 ГГц.

После этого у нас должна появиться wifi сеть с доступом в интернет.

Настройка межсетевого экрана

Межсетевой экран - система сетевой безопасности, которая защищает внутреннюю сеть от вторжений извне (например, из сети Интернет). Функционирует на основе правил, которые анализируются последовательно до первого совпадения. Правила межсетевого экрана RouterOS управляются в разделах Filter и NAT.

Межсетевой экран MikroTik имеет предопределенные цепочки:

  • input (трафик к роутеру)
  • output (трафик от роутера)
  • forward (трафик через роутер)

У каждого правила есть действие - что делать, если пакет соответствует правилу:

  • accept -разрешить
  • drop - отбросить (без icmp ответа)
  • reject - отбросить (с icmp ответов)

Самыми частыми угрозами для маршрутизатора являются попытки получения доступа с помощью SSH и WinBox и рекурсивные запросы на DNS. Для настройки межсетевого экрана, подходящего для большинства случаев откройте терминал и введите последовательно следующие команды:

/ip firewall filter
add action=accept chain=input comment="Accept Est & Related" connection-state=established,related
add action=accept chain=forward connection-state=established,related
add action=drop chain=input comment="Drop invalid" connection-state=invalid
add action=drop chain=forward connection-state=invalid
add action=accept chain=input comment="Accept ICMP" protocol=icmp
add action=drop chain=input comment="Drop other WAN" in-interface=ether1
add action=drop chain=forward connection-nat-state=!dstnat in-interface=ether1

Внимание! в двух последних командах в качестве параметра in-interface= укажите название вашего WAN интерфейса (ether1 или имя PPPoE интерфейса).

Обновление RouterOS

Необходимо периодически обновлять операционную систему роутера, самый простой путь сделать это: меню System → Packages → Check For Updates, выберите channel Long-Term или Stable и нажмите кнопку Download & Install роутер скачает новую прошивку, установит ее, после чего перезагрузится.

Помимо RouterOS необходимо также обновить RouterBOOT - ПО ответственное за старт RouterBoard и загрузку ROuterOS, действие производится в меню System → Routerboard, после чего необходимо будет перезагрузить роутер вручную через меню System -> Reboot

Пароль пользователя admin

Задайте пароль пользователя admin, для защиты роутера от несанкционированного доступа, делается это в меню System -> Users, щелкните правой кнопкой мыши по пользователю admin и выберите пункт Рassword

На этом базовую настройку роутера MikroTik можно считать оконченной.