Настройка MikroTik в качестве роутера для домашней или небольшой офисной сети. Пошаговое руководство.
Mikrotik - замечательное оборудование подходящее практически под любые задачи, в том числе оно идеально справится с ролью роутера в домашней или небольшой офисной сети. Однако, большинство пользователей, начитавшись хвалебных отзывов в интернете, испытывают глубокое разочарование при первых попытках настроить новый девайс. Действительно интерфейс настройки сильно отличается от привычных D-Link, TP-Link или Zyxel, однако это связано с тем, что функционал микротиков гораздо шире привычных бытовых роутеров. Попробуем разобраться.
Последовательность настройки
- Убедиться что роутер не имеет default-конфигурации (сбросить роутер)
- Настроить WAN-порт (IP-адрес/маска, DHCP-клиент, PPPoE, L2TP)
- Настроить/проверить маршрут по умолчанию
- Настроить DNS (После этого роутер должен получить доступ в интернет)
- Настроить LAN-мост
- Настроить LAN-порт (IP-адрес/маска)
- Создать правило NAT (masquerade)
- Настроить DHCP-сервер
- Настроить WiFi
- Настроить Firewall
- Задать пароль на консоль
- Обновить RouterOS до последней версии
Первое подключение к устройству MikroTik
Подключим устройство к сети согласно схеме:
Оборудование Mikrotik имеет множество способ конфигурации: WinBox (IP или MAC-адрес), WebFig (http и https), SSH, Telnet. Однако наиболее удобным, наглядным и функциональным является использование утилиты WinBox, которую можно скачать с официального сайта MikroTik. Утилита Winbox, с помощью которой проходит настройка устройств Mikrotik, представляет собой исполняемый файл EXE. Она не требует инсталляции и готова к работе сразу после скачивания. После открытия Winbox открывается ее стартовое окно. Там необходимо ввести IP-адрес маршрутизатора (по умолчанию - 192.168.88.1), логин (по умолчанию — admin) и нажать «Connect».
Если подключиться по IP-адресу не удается,он отсутствует или неизвестен, то Winbox предоставляет пользователю возможность подключаться к маршрутизатору и по МАС-адресу. Для этого необходимо перейти на вкладку «Neighbors». Программа проанализирует соединения и найдет МАС-адрес подключенного устройства MikroTik, который отобразится ниже после этого нужно сначала щелкнуть по нему мышкой, а затем, как и в предыдущем случае, нажать на «Connect».
Внешний вид основного окна WinBox представлен ниже:
Сброс роутера с установкой пустой конфигурации
Выполняется через меню System => Reset Configuration параметры которые необходимо выставить показаны на рисунке, после нажатия ОК.
Роутер перезагрузится, в роутере не будет вообще никаких настроек, включая IP-адресов, потому получить доступ будет возможно только по MAC-адресу, через вкладку «Neighbors». Дадим роутеру пару минут для перезагрузки и подключимся заново, можно приступать к настройке.
Настройка WAN (Internet) интерфейса
Тип подключения к интернету зависит от провайдера и в подавляющем большинстве случаев, может быть осуществлен при помощи получения настроек по DHCP либо через PPPoE (при этом провайдер выдает логин и пароль). Если провайдер не выдал вам логин и пароль для PPPoE подключения, то скорее всего у вас подключение по DHCP. При этом роутер сам получит все необходимые настройки после включения DHCP клиента на интерфейсе WAN (чаще всего это ether 1). Настройка осуществляется в меню IP → DHCP Client. Выставляем параметры как показано на рисунке.
В случае настройки соединения через PPPoE, создаем новый PPPoE клиент в меню PPP->(+) New PPPoE Client, здесь необходимо указать интерфейс к которому подключен кабель провайдера (ether1), логин и пароль (выдал интернет-провайдер), поле Service заполнять не нужно.
Если мы все сделали правильно, то наш роутер сможет получить доступ к узлам в интернете по IP-адресу, проверить это можно введя в терминале (пункт меню New terminal) команду ping 8.8.8.8, мы должны увидеть следующую картину:
Настройка DNS
По умолчанию DHCP-клиент запрашивает адреса DNS серверов у DHCP-сервера, однако мы не поставили данную галочку, потому что укажем публичные DNS сервера вручную, в качестве серверов, можно использовать сервера Google (8.8.8.8 8.8.4.4) или Cloudflare (1.1.1.1 1.0.0.1). Также необходимо поставить галочку Allow Remote Requests, чтобы наш роутер выступал DNS-сервером для компьютеров нашей сети. Все настройки выполняем в меню IP → DNS после чего нажимаем ОК.
Настройка LAN-моста
Для того, чтобы все оставшиеся интерфейсы (за исключением ether1) роутера были объединены в один коммутатор, необходимо создать мост и добавить в мост все порты (за исключением ether1), включая интерфейсы WLAN. Настройки производятся в меню Bridge. Имя моста может быть произвольным.
В мост должны быть добавлены порты ether2-ether5 и WLAN1, WLAN2 (при наличии).
Настройка LAN-интерфейса
Далее необходимо назначить IP-адрес на мосту LAN, это будет внутренний адрес нашего роутера, настройка осуществляется в меню IP => IP Addresses.
NAT (Маскарадинг/Masquerade)
Маскарадинг — тип трансляции сетевого адреса, при которой адрес отправителя проставляется динамически, в зависимости от назначенного внешнему интерфейсу адреса. Маскарадинг используется для получения доступа к публичным сетям (Интернету), компьютеров из частных (локальных сетей), имеющих частные адреса. Принцип маскарадинга представлен на рисунке ниже.
Настройки маскарадинга осуществляются в меню IP => Firewall, в качестве Out Interface укажите ether1 или название PPPoE интерфейса (если используется соединение PPPoE).
Настройка DHCP-сервера
DHCP-сервер автоматически назначает IP-адреса и другие параметры хостам
Необходимо иметь статический IP-адрес на интерфейсе DHCP-сервера
Используйте кнопку DHCP Setup в меню IP => DHCP Server чтобы начать настройку.
- Выбираем созданный LAN-мост
- Указывается LAN-подсеть (оставляем как есть)
- Указывается внутренний адрес роутера (оставляем как есть)
- Указывается диапазон раздаваемых адресов (оставляем как есть)
- Указывается адрес DNS-сервера (указываем адрес роутера такой же, как из п. 3)
- Время аренды адресов (можно выставить 7 дней, формат записи: 7d 00:00:00 )
Настройка WiFi
Настройка WiFi осуществляется в меню Wereless, в зависимости от модели роутера в меню Wereless -> Interfaces вы найдете один или два интерфейса (если роутер поддерживает два диапазона 2.4 и 5 ГГц).
Настроим безопасность сети в меню Wereless -> Security Profiles создадим новый профиль с произвольным именем (например class). Должно использоваться только шифрование WPA-PSK или WPA2-PSK с AES-CCM и длинный сложный пароль.
В меню Wereless -> Interfaces включим интерфейсы, нажав на кнопку с галочкой, предварительно выделив интерфейсы.
Затем щелкнем по интерфейсу двойным щелчком и настроим следующие параметры:
- mode=ap bridge
- диапазон
- частоту (беспроводной канал)
- имя сети (SSID)
- профиль безопасности (который мы создали в предыдущем пункте)
В случае необходимости повторите настройки для диапазона 5 ГГц.
После этого у нас должна появиться wifi сеть с доступом в интернет.
Настройка межсетевого экрана
Межсетевой экран - система сетевой безопасности, которая защищает внутреннюю сеть от вторжений извне (например, из сети Интернет). Функционирует на основе правил, которые анализируются последовательно до первого совпадения. Правила межсетевого экрана RouterOS управляются в разделах Filter и NAT.
Межсетевой экран MikroTik имеет предопределенные цепочки:
- input (трафик к роутеру)
- output (трафик от роутера)
- forward (трафик через роутер)
У каждого правила есть действие - что делать, если пакет соответствует правилу:
- accept -разрешить
- drop - отбросить (без icmp ответа)
- reject - отбросить (с icmp ответов)
Самыми частыми угрозами для маршрутизатора являются попытки получения доступа с помощью SSH и WinBox и рекурсивные запросы на DNS. Для настройки межсетевого экрана, подходящего для большинства случаев откройте терминал и введите последовательно следующие команды:
/ip firewall filter add action=accept chain=input comment="Accept Est & Related" connection-state=established,related add action=accept chain=forward connection-state=established,related add action=drop chain=input comment="Drop invalid" connection-state=invalid add action=drop chain=forward connection-state=invalid add action=accept chain=input comment="Accept ICMP" protocol=icmp add action=drop chain=input comment="Drop other WAN" in-interface=ether1 add action=drop chain=forward connection-nat-state=!dstnat in-interface=ether1
Внимание! в двух последних командах в качестве параметра in-interface= укажите название вашего WAN интерфейса (ether1 или имя PPPoE интерфейса).
Обновление RouterOS
Необходимо периодически обновлять операционную систему роутера, самый простой путь сделать это: меню System → Packages → Check For Updates, выберите channel Long-Term или Stable и нажмите кнопку Download & Install роутер скачает новую прошивку, установит ее, после чего перезагрузится.
Помимо RouterOS необходимо также обновить RouterBOOT - ПО ответственное за старт RouterBoard и загрузку ROuterOS, действие производится в меню System → Routerboard, после чего необходимо будет перезагрузить роутер вручную через меню System -> Reboot
Пароль пользователя admin
Задайте пароль пользователя admin, для защиты роутера от несанкционированного доступа, делается это в меню System -> Users, щелкните правой кнопкой мыши по пользователю admin и выберите пункт Рassword
На этом базовую настройку роутера MikroTik можно считать оконченной.