Как войти в роутер mikrotik rb951ui 2hnd

Оборудование Mikrotik пользуется заслуженной популярностью у профессиональных сетевых инженеров, благодаря редкому сочетанию богатой функциональности, стабильной работы и невысокой цены. Однако что хорошо инженеру, то рядовому пользователю — если не смерть, то боль и страдания как минимум. Mikrotik — оборудование от гиков для гиков, поэтому настраивать его значительно сложнее, чем продукты конкурентов. На этапе начальной настройки и «засыпается» большинство пользователей, решивших причаститься к Mikrotik.

Тем не менее, процесс хоть и нетривиален, но вполне осваиваем. Разберем небольшой пример на базе устройства Mikrotik RB951Ui-2HnD.

Подготовка

1. Для начала скачиваем WinBox — утилиту для управления устройствами Mikrotik. Работать с ней значительно удобнее, чем через web-интерфейс, установки она не требует. Берем отсюда: http://www.mikrotik.com/download

2. Включаем роутер, к 1-му порту подключаем кабель провайдера Интернет, компьютер — в любой другой.

3. Запускаем WinBox. В нижней секции во вкладке Neighbors, даже при отсутствии соединения с роутером по IP, его будет видно по MAC-адресу:

Логин по умолчанию — admin, пароля нет. Выбираем наше устройство и жмем Connect.

4. После входа в устройство, нам откроется окошко RouterOS Default Configuration. Удаляем конфигурацию по умолчанию, нажав на Remove Configuration:

Из админки нас выбросит, входим заново, как в п. 3.

Настройка сетевых интерфейсов в Mikrotik RB951Ui-2HnD

1. Открываем Interfaces, видим такую картину:

2. По умолчанию все проводные сетевые интерфейсы в Mikrotik называются etherN. Оперировать такими названиями неудобно, поэтому откроем интерфейс ether1, к которому у нас подключен кабель провайдера, и переименуем его в WAN. В принципе, делать это необязательно — название ни на что не влияет. Но зато сильно упрощает администрирование роутера в будущем.

3. Поочередно открываем интерфейсы ether2 — ether5, переименовываем их в LAN1 — LAN4. На интерфейсе LAN1 параметр Master Port оставляем в положении «none», а на интерфейсах LAN2 — LAN4 переключаем параметр Master Port в положение LAN1:

Расшифруем то, что было сделано: по умолчанию в роутерах Mikrotik порты не объединены в коммутатор, т.е. не умеют общаться друг с другом. За работу коммутатора отвечает специальный аппаратный чип коммутации, который позволяет разгрузить CPU устройства от коммутации пакетов между портами свитча. Однако работать он будет только в том случае, если будут назначены Master и Slave порты (что и было нами сделано).
Второй вариант создания свитча — программный — предусматривает объединение портов в Bridge. В этом случае коммутацией пакетов будет заниматься CPU, а скорость работы устройства будет существенно ниже максимально возможной, что особенно хорошо заметно на гигабитных портах.

4. Заодно включим беспроводной интерфейс. К его настройке мы вернемся позже:

5. Присваиваем ему более понятное название:

6. Создаем новый Bridge. Для этого открываем пункт меню Bridge и жмем +:

7. Присваеваем мосту название — LAN (т.к. внутри этого моста будут «ходить» пакеты по контуру нашей локальной сети):

8. Переходим во вкладку Ports, жмем на +, чтобы добавить порты в мост:

Из кластера портов LAN1 — LAN4 нам достаточно добавить в мост только LAN1, поскольку для LAN2 — LAN4 он уже является мастер-портом (см. п. 3 данного раздела). Соответственно, параметр InterfaceLAN1, Bridge LAN. Повторяем такое же действие для интерфейса WLAN:

9. Таким образом получаем следующий список портов внутри моста LAN:

Настройка параметров TCP/IP на Mikrotik

1. Присвоим роутеру IP-адрес. В нашем примере это будет 10.20.30.254 с маской 255.255.255.0 (или /24; вообще запись /24 эквивалентна записи /255.255.255.0, RouterOS понимает оба варианта. Подробности бесклассовой адресации можно выяснить здесь: https://ru.wikipedia.org/wiki/Бесклассовая_адресация). Для этого в меню IP -> Addresses добавим новый адрес и присвоим его интерфейсу LAN (ранее созданный мост):

2. Присвоим внешнему интерфейсу роутера IP-адрес. В данном примере мы рассматриваем сценарий, когда провайдер Интернет предоставляет нам прямой доступ в сеть с белым IP-адресом. Для этого снова жмем на + в меню IP -> Addresses, вводим выданный провайдером адрес и маску, а в качестве интерфейса выбираем WAN:

3. Наш список адресов принял следующий вид:

4. Указываем роутеру, какими DNS-серверами пользоваться ему самому через меню IP -> DNS:

5. Укажем шлюз провайдера Интернета. Для этого создадим в меню IP -> Routes новый маршрут, нажав +, присвоим параметр Dst. Address0.0.0.0/0, Gateway выданный нам провайдером:

Настройка DHCP на Mikrotik

1. Пора настроить DHCP-сервер, который будет раздавать IP-адреса в локальной сети. Для этого открываем IP -> DHCP Server и нажимаем кнопку DHCP Setup:

2. Выбираем интерфейс, на котором будут раздаваться IP-адреса. В нашем случае — LAN (мы же хотим раздавать IP-адреса только внутри локальной сети?):

3. Вводим адрес сети и ее маску:

4. Вводим адрес шлюза сети, т.е. нашего роутера:

5. Вводим пул адресов, которые роутер будет раздавать подключенным к сети устройствам:

6. Вводим адреса DNS-серверов (на скриншоте — DNS-серверы Google):

7. Вводим срок, на который устройствам выдаются адреса (в формате ДД:ЧЧ:ММ):

8. И после очередного нажатия кнопки Next работа мастера настройки DHCP заканчивается:

Настройка NAT на Mikrotik

1. Настраиваем NAT. В меню IP -> Addresses во вкладке NAT жмем +. Во вкладке General параметр Chain ставим в положение scrnat, Out. Interface — в WAN:

2. Переходим во вкладку Action, и ставим параметр Action в положение masquerade:

Теперь у нас должен появиться доступ в Интернет:

Настройка Wi-Fi на Mikrotik

1. Теперь настроим Wi-Fi. Напомним, что в п. 4-5 раздела «Настройка сетевых интерфейсов в Mikrotik RB951Ui-2HnD», мы уже включили беспроводной интерфейс и присвоили ему новое название.
Теперь открываем меню Wireless, вкладку Security Profiles, а в ней — профиль default.
Отмечаем галочками:
Authentication TypesWPA2 PSK
Unicast Ciphers и Group Ciphersaes ccm и tkip
В поле WPA2 Pre-Shared Key вводим желаемый пароль для беспроводной сети:

2. Теперь открываем интерфейс WLAN, переходим во вкладку Wireless, выбираем Mode ap bridge, Band 2GHz-B/G/N, вводим SSID название беспроводной сети:

Если у вас есть под рукой компьютер с Wi-Fi, то после этого вы сможете увидеть на нем новую сеть:

Наводим марафет

1. Мы на финишной прямой. Настроим часовой пояс через System -> Clock, где снимем автоопределение часового пояса — Time Zone Autodetect, и выберем нужный часовой пояс (в нашем случае — Europe/Moscow):

2. Установим пароль администратора. Для этого зайдем в System -> Password, где и введем новый пароль:

3. И, наконец, отключим ненужные сервисы для доступа, дабы сделать наш Mikrotik менее уязвимым. Лишними можно считать все сервисы, кроме WinBox, но в данном случае следует исходить из вашей конкретной ситуации. Их список находится в IP -> Services. Нужные оставляем, ненужные выключаем крестиком:

На этом процесс базовой настройки можно считать завершенным! «Долго ли умеючи» (с).

Если вам нужна помощь в конфигурировании Mikrotik любой сложности, то на этот случай у нас есть сертифицированные специалисты, которые смогут помочь.
Также у нас можно приобрести любое современное устройство Mikrotik, а также заказать его монтаж и настройку «под ключ»: http://treolink.ru/mikrotik

Mikrotik RB951Ui-2HnD – компактный маршрутизатор (роутер)/ беспроводная точка доступа с пятью портами 10/100 Ethernet, беспроводным модулем 802.11 b/g/n и встроенной антенной. Устройство отличается высоким качеством и гибкостью настроек сравнимой с намного более дорогими профессиональными сетевыми устройствами. В то же самое время множество параметров настройки могут затруднить начальную настройку для неподготовленного пользователя. В настоящем обзоре рассмотрена «быстрая» настройка устройства для решения типовых задач домашней сети.

Рисунок 1. Внешний вид маршрутизатора (роутера) Mikrotik RouterBOARD 951Ui-2HnD.

Описание сети: Типичная «домашняя» сеть состоит из трех устройств подключаемых по локальной сети (стационарный компьютер, МФУ и телевизор) и нескольких беспроводных устройств (ноутбуки, планшеты, смартфоны). Провайдер услуг Интернета предоставляет проводной доступ к сети. Адрес клиентскому устройству предоставляется автоматически с использованием DHCP (данный метод встречается наиболее часто).

Рисунок 2. Типовая схема домашней сети.

Наша задача заключается в настройке роутера (router) для подключения к сети провайдера и настройке как локальной, так и беспроводной сети для подключения имеющихся устройств.

Шаг 1. Первоначальное подключение к роутеру Mikrotik RouterBOARD 951Ui-2HnD.

Для настройки устройства Mikrotik мы будем использовать программу Winbox, загрузить которую можно с сайта производителя http://download2.mikrotik.com/winbox.exe. Если на начальном этапе доступ к сети Интернет отсутствует, программу Winbox можно скачать непосредственно с устройства. Для этого необходимо подключить компьютер к роутеру и в обозревателе Интернета (браузере) открыть адрес http://192.168.88.1. При первом доступе к странице откроется WEB интерфейс на котором можно немедленно перейти к настройке роутера. Все действия и пункты настройки будут в этом случае полностью аналогичны выполняемым через Winbox, но с нашей точки зрения использование программы более удобно, так как она позволяет подключаться к устройству не только по IP, но и по MAC адресу, а значит, позволяет настраивать устройство с полностью сброшенными настройками. Для скачивания Winbox необходимо выполнить выход из интерфейса настроек (Logout). На открывшейся стартовой странице можно скачать программу.

Рисунок 3. Первая страница WEB интерфейса настроек роутера (QuickSet).

Рисунок 4. Стартовая WEB страница авторизации с возможностью скачивания программы Winbox.

Для использования программы Winbox, компьютер, с которого будет проводиться настройка, необходимо подключить к устройству Mikrotik. Мы будем использовать второй порт (который будет принадлежать локальной сети). Первый порт устройства будет использоваться для подключения кабеля провайдера услуг Интернета. В окне настройки Winbox необходимо указать параметры устройства (MAC или IP адрес) и данные пользователя. По умолчанию имя пользователя admin с «пустым» паролем. Winbox позволяет проводить опрос сети и обнаруживать устройства Mikrotik. Если в сети имеется несколько устройств, можно опознать требуемое по MAC адресу. Посмотреть MAC адреса нужного устройства можно на обратной стороне роутера. В нашем случае последние цифры адресов LAN интерфейсов роутера начинаются с 4C:EB, мы используем для настройки второй интерфейс, значит последние цифры нужного адреса 4C:EC. Поскольку мы будем проводить сброс настроек роутера «по умолчанию», для подключения необходимо использовать MAC адрес устройства.

Рисунок 5. Стартовый экран программы Winbox.

Рисунок 6. MAC адреса интерфейсов роутера.

Рисунок 7. Выбор настраиваемого устройства.

Шаг 2. Настройки устройства «По умолчанию»

В принципе, роутер с заводскими настройками уже готов к использованию и требует только минимальных доработок и дополнительных настроек связанных, прежде всего, с безопасностью. Тем не менее, использование таких параметров подходит далеко не всем. Кроме того, оставлять конфигурацию и адреса «по умолчанию» не рекомендуется с точки зрения безопасности. Мы будем настраивать роутер «с нуля» и для этого, прежде всего, необходимо удалить старую конфигурацию. Сделать это можно нажав кнопку «Remove Configuration» на странице приглашения (Рисунок 8) или воспользоваться пунктом меню «System» – «Reset Configuration» и выбрать настройку «No Default Configuration» (Рисунок 9).

Рисунок 8. Информация о конфигурации «по умолчанию»

Рисунок 9. Сброс конфигурации устройства.

Шаг 3. Настройка пользователей.

Заводские настройки роутера небезопасны, поскольку для пользователя с полным административным доступом к системе не задан пароль. Первое действие, которое необходимо выполнить при настройке устройства – задать достаточно сложный пароль для встроенного администратора. Сделать это можно воспользовавшись пунктом меню «System» – «Users», открыть свойства пользователя admin и задать пароль, нажав кнопку «Password».

Многие опытные пользователи не без оснований советуют вообще отказаться от использования «встроенного» аккаунта администратора как потенциальной бреши в системе безопасности и рекомендуют либо переименовать этот аккаунт или создать новый. Переименование можно выполнить в том же окне настроек, где мы задавали новый пароль. Создать нового пользователя можно нажав кнопку «+» в окне управления пользователями и указав нужные параметры. При создании нового пользователя важно правильно указать группу безопасности. Группа «full » предоставляет полный доступ к настройкам устройства. Группа «read» позволяет пользователям только просматривать информацию о настройках и событиях и выполнять команды, не затрагивающие конфигурацию роутера. Группа «write» позволяет изменять настройки и политики за исключением настроек пользователей системы.

Рисунок 10. Настройка пользователей системы.

Рисунок 11. Переименование и задание пароля пользователя.

Рисунок 12. Создание нового пользователя.

10.10.2019

Mikrotik RB951Ui-2HnD – компактный маршрутизатор (роутер)/ беспроводная точка доступа с пятью портами 10/100 Ethernet, беспроводным модулем 802.11 b/g/n и встроенной антенной. Устройство отличается высоким качеством и гибкостью настроек сравнимой с намного более дорогими профессиональными сетевыми устройствами. В то же самое время множество параметров настройки могут затруднить начальную настройку для неподготовленного пользователя. В настоящем обзоре рассмотрена «быстрая» настройка устройства для решения типовых задач домашней сети.

Рисунок 1. Внешний вид маршрутизатора (роутера) Mikrotik RouterBOARD 951Ui-2HnD.

Описание сети: Типичная «домашняя» сеть состоит из трех устройств подключаемых по локальной сети (стационарный компьютер, МФУ и телевизор) и нескольких беспроводных устройств (ноутбуки, планшеты, смартфоны). Провайдер услуг Интернета предоставляет проводной доступ к сети. Адрес клиентскому устройству предоставляется автоматически с использованием DHCP (данный метод встречается наиболее часто).

Рисунок 2. Типовая схема домашней сети.

Наша задача заключается в настройке роутера (router) для подключения к сети провайдера и настройке как локальной, так и беспроводной сети для подключения имеющихся устройств.

Шаг 1. Первоначальное подключение к роутеру Mikrotik RouterBOARD 951Ui-2HnD.

Для настройки устройства Mikrotik мы будем использовать программу Winbox, загрузить которую можно с сайта производителя http://download2.mikrotik.com/winbox.exe. Если на начальном этапе доступ к сети Интернет отсутствует, программу Winbox можно скачать непосредственно с устройства. Для этого необходимо подключить компьютер к роутеру и в обозревателе Интернета (браузере) открыть адрес http://192.168.88.1. При первом доступе к странице откроется WEB интерфейс на котором можно немедленно перейти к настройке роутера. Все действия и пункты настройки будут в этом случае полностью аналогичны выполняемым через Winbox, но с нашей точки зрения использование программы более удобно, так как она позволяет подключаться к устройству не только по IP, но и по MAC адресу, а значит, позволяет настраивать устройство с полностью сброшенными настройками. Для скачивания Winbox необходимо выполнить выход из интерфейса настроек (Logout). На открывшейся стартовой странице можно скачать программу.

Рисунок 3. Первая страница WEB интерфейса настроек роутера (QuickSet).

Рисунок 4. Стартовая WEB страница авторизации с возможностью скачивания программы Winbox.

Для использования программы Winbox, компьютер, с которого будет проводиться настройка, необходимо подключить к устройству Mikrotik. Мы будем использовать второй порт (который будет принадлежать локальной сети). Первый порт устройства будет использоваться для подключения кабеля провайдера услуг Интернета. В окне настройки Winbox необходимо указать параметры устройства (MAC или IP адрес) и данные пользователя. По умолчанию имя пользователя admin с «пустым» паролем. Winbox позволяет проводить опрос сети и обнаруживать устройства Mikrotik. Если в сети имеется несколько устройств, можно опознать требуемое по MAC адресу. Посмотреть MAC адреса нужного устройства можно на обратной стороне роутера. В нашем случае последние цифры адресов LAN интерфейсов роутера начинаются с 4C:EB, мы используем для настройки второй интерфейс, значит последние цифры нужного адреса 4C:EC. Поскольку мы будем проводить сброс настроек роутера «по умолчанию», для подключения необходимо использовать MAC адрес устройства.

Рисунок 5. Стартовый экран программы Winbox.

Рисунок 6. MAC адреса интерфейсов роутера.

Рисунок 7. Выбор настраиваемого устройства.

Шаг 2. Настройки устройства «По умолчанию»

В принципе, роутер с заводскими настройками уже готов к использованию и требует только минимальных доработок и дополнительных настроек связанных, прежде всего, с безопасностью. Тем не менее, использование таких параметров подходит далеко не всем. Кроме того, оставлять конфигурацию и адреса «по умолчанию» не рекомендуется с точки зрения безопасности. Мы будем настраивать роутер «с нуля» и для этого, прежде всего, необходимо удалить старую конфигурацию. Сделать это можно нажав кнопку «Remove Configuration» на странице приглашения (Рисунок 8) или воспользоваться пунктом меню «System» – «Reset Configuration» и выбрать настройку «No Default Configuration» (Рисунок 9).

Рисунок 8. Информация о конфигурации «по умолчанию»

Рисунок 9. Сброс конфигурации устройства.

Шаг 3. Настройка пользователей.

Заводские настройки роутера небезопасны, поскольку для пользователя с полным административным доступом к системе не задан пароль. Первое действие, которое необходимо выполнить при настройке устройства – задать достаточно сложный пароль для встроенного администратора. Сделать это можно воспользовавшись пунктом меню «System» – «Users», открыть свойства пользователя admin и задать пароль, нажав кнопку «Password».

Многие опытные пользователи не без оснований советуют вообще отказаться от использования «встроенного» аккаунта администратора как потенциальной бреши в системе безопасности и рекомендуют либо переименовать этот аккаунт или создать новый. Переименование можно выполнить в том же окне настроек, где мы задавали новый пароль. Создать нового пользователя можно нажав кнопку «+» в окне управления пользователями и указав нужные параметры. При создании нового пользователя важно правильно указать группу безопасности. Группа «full » предоставляет полный доступ к настройкам устройства. Группа «read» позволяет пользователям только просматривать информацию о настройках и событиях и выполнять команды, не затрагивающие конфигурацию роутера. Группа «write» позволяет изменять настройки и политики за исключением настроек пользователей системы.

Рисунок 10. Настройка пользователей системы.

Рисунок 11. Переименование и задание пароля пользователя.

Рисунок 12. Создание нового пользователя.

микротик с надписью лежит на столе

Сегодня мы настроим шаг за шагов легендарный Mikrotik RB951Ui-2Hnd. Это отец 951G, разница у них только в скоростях портов, все остальное один в один. Работать он у нас будет в режиме «кухонного комбайна» то есть все что нужно мы на него прикрутим.

Содержание

  1. Прошивка
  2. DNS
  3. DHCP
  4. Выход в интернет и NAT
  5. Настройка WiFi
  6. Настройка Firewall

Прошивка

Первым делом рекомендуется обновить девайс до RouterOS 6.48.3. В ней исправили уязвимость в wireless «FragAttacks» (CVE-2020-24587, CVE-2020-24588, CVE-2020-26144, CVE-2020-26146, CVE-2020-26147);

Сделать вы можете это разными способами, но рекомендуем через NetInstall (снимает блокировку на мощность карточки WiFi)

Если вы хотите углубить свои знания по работе с роутерами MikroTik, то наша команда рекомендует пройти курсы которые сделаны на основе MikroTik Certified Network Associate и расширены автором на основе опыта . Подробно читайте ниже.

DNS

Для разрешения имён мы используем всеми известную службу Domain Name System. Но в данной статье мы сделаем преобразование более защищённым. Начиная с RouterOS 6.47 появилась возможность использования DoH (DNS over HTTPS). Теперь все ваши запросы будут идти не в открытом виде, а зашифрованные с помощью HTTPS, что в свою очередь скрывает от чужих глаз ваш трафик. Список публичных DoH серверов можно посмотреть на github. В демонстрации будем использовать от CloudFlare:

Указываем данный URL в Use DoH Server и ставим галочку Verify DoH Certificate.

DNS over HTTPS на Mikrotik настройка

Посмотрите внимательно на данную настройку. Есть нюансы:

  • Использовать можно только 1 DoH;
  • Т.к. мы используем URL, то адрес CloudFlare нужно отрезолвить, для этого мы указываем 1.0.0.1;
  • Для верификации сертификата провайдера, нужен публичный ключ глобального CA, для CloudFlare это DigiCert Global Root CA. Скачиваем DigiCert pem и импортируем в Mikrotik.

Импортирование сертификатов СА

DHCP

Настроим раздачу IP адресов. Но для начала нам нужно собрать Bridge и определиться, через какой порт будет доступен провайдер, предлагаю по стандарту через 1-ый. Открываем Bridge, жмем на плюсик и указываем имя.

Создание бриджа на микротик

Далее добавляем порты с 2 по wlan1.

Add ports to bridge

Зададим адрес в локальной сети для микротика.

Добавляем адрес на BridgeLAN

И запускаем мастер DHCP-конфигурации, в котором укажем что хотим навесить его на BridgeLAN.

Запускаем настройку раздачи адресов на Bridge

На следующем шаге сверяем что Address Space верный.

DHCP Address Space

Проверяем что шлюзом в сети будет адрес микротика в локальной сети.

DHCP Setup

Задаём выдаваемый пул адресов.

Пул выдаваемых адресов

На следующем шаге меняем DNS адрес на микротик в локальной сети.

Select DNS Servers

Время аренды можете не менять, но тут по желанию.

Select lease time

Убедимся, что DHCP сервер создался корректно.

Список серверов DHCP

Выход в интернет и NAT

Провайдером в моей лаборатории будет домашний роутер. Предоставлять доступ через динамический адрес. Так же данная настройка подойдёт и для людей с выходом IPoE. Открываем меню DHCP-Client, создаём новый на первом интерфейсе, настройки оставляем по умолчанию.

Настройка выхода в интернет через динамический IP

Проверяем что мы получили адрес и можем пропинговать ya.ru

Если по каким-либо причинам, разрешение имён у вас не работает, то можете перейти на классическое преобразование, отключив DoH.

Для того чтобы клиенты ЛВС имели выход в интернет, необходимо создать правило IP-Firewall-NAT, в котором говорим, что, если src. Address из сети 192.168.1.0/24, то выпускать трафик через ether1.

Настройка правила трансляции адресов в интернет

На вкладке Action говорим, что делаем masquerade. Сохраняем правило.

Action masquerade

Настройка WiFi

Mirtotik RB961Ui-2Hnd оснащён не плохим чипом, но имеет поддержку только 2,4 Ггц. Настроим его в режиме точки доступа, именем сети Test и паролем 12345678. Чтобы задать пароль, нужно создать Security Profile:

  • Имя профиля;
  • Mode – dynamic keys;
  • Authentication Types – WPA PSK, WPA2 PSK (если есть возможность использоваться только WPA2, то отключайте WPA);
  • Сам пароль от сети.

Создание профиля безопасности WiFi Mikrotik RB951Ui-2HnD

Далее переходим к настройке самой точки. Переходим в WiFi Interfaces и открываем свойства единственного wlan1. Активируем Advanced Mode.

Включение расширенных настроек WiFi микротик

Переходим во вкладку Wireless и задаём настройки согласно скриншоту.

Настройка AP Mikrotik 951ui

Жмём Apply и Enable.

Настройка Firewall

Ниже приведён конфиг среднестатистического Mikrotik, у которого разрешён:

  • Входящий SSH, Winbox порты с любых адресов;
  • WEB доступ только с сети 192.168.1.0/24;
  • DNS трафик с сети 192.168.1.0/24;
  • Соединения established и related.

/ip firewall filter

add action=accept chain=input comment=in_Winbox&SSH-Allow connection-state=new dst-port=22,8291 protocol=tcp

add action=accept chain=input comment=in-WEB-from-LAN connection-state=new dst-port=80 protocol=tcp src-address=192.168.1.0/24

add action=accept chain=input comment=in-DNS-from-LAN dst-port=53 protocol=udp src-address=192.168.1.0/24

add action=accept chain=input comment=in-E&R-Allow connection-state=established,related

add action=drop chain=input comment=in-All-Drop

Последняя строчка запрещает весь остальной входящий трафик на роутер. Я попытался внести небольшую изюминку в настройку микротика rb951ui-2hnd, но в общем нет разницы что за роутер, они все работают на операционной системе RouterOS, так что конфигурирование у всех будет одинаковое.

89 вопросов по настройке MikroTik

Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдете для себя полезную информацию в курсе «Настройка оборудования MikroTik». 162 видеоурока, большая лабораторная работа и 89 вопросов, на каждый из которых вы будете знать ответ. Подробности и доступ к началу курса бесплатно тут.

В данной статье мы рассмотрим как настроить Mikrotik RB951Ui-2HnD.

Предполагается, что заранее у вас уже есть точка доступа, если не имеется — по выгодной цене оборудование Mikrotik можно приобрести в нашем интернет магазине.

Если вы ищете понятный и удобный источник информации по микротикам, то вот он: курс «Настройка оборудования MikroTik». Это видеоучебник, где «без воды» собрана вся базовая информация по работе с MikroTik и RouterOS. Для новичков станет прямым руководствам, опытные инженеры смогут освежить и упорядочить знания. 162 видеоурока и 45 лабораторных работ, основанные на программе вендора MTCNA. Первые 25 уроков можно заказать бесплатно на странице курса.

На всех устройствах компании Mikrotik установленна операционная система Router OS, по этому эта инструкция подойдет к любому устройству этого производителя.

Роутеры компании Mikrotik завоевали популярность не только в кругу специалистов, но и обычных пользователей, которые используют его дома для подключения к Интернету. Однако многие из них сталкиваются с проблемами при первоначальной настройке устройства. В этом обзоре мы рассмотрим как настроить оборудование Mikrotik в режиме точки доступа и выходом в интернет по протоколу L2TP.

Внешний вид.

Устройство поставляется в маленькой картонной коробке

Внутри находится сам роутер, блок питания к нему и инструкция на английском языке.

С лицевой стороны находятся 5 сетевых портов  RJ45 10/100 мегабит, первый порт поддерживает питание посредством пассивного PoE, а 5 порт может раздавать PoE-питание.

С правой стороны устройства присутствует порт USB для подключения флэшки или 3G модема сотового оператора. Вверху расположены индикаторы активности сетевых портов и беспроводного адаптера.

С нижней стороны имеются резиновые ножки для расположения на столе, 2 “крестика” для крепления на стену, а так же отверстие для СБРОСА устройства. Что бы произвести сброс настроек нужно замкнуть и удерживать тонкой отверткой 2 контакта внутри во время включения устройства.

Внутри расположен Wi-Fi радиомодуль мощностью 1 Вт. 

Теперь приступим к настройке устройства.

1. Подключение

 Настраивать мы будем через фирменную утилиту Winbox, скачать его можно на сайте производителя.

При открытии Winbox переходим на вкладку Neighbors, тут будут показаны все устройсва которые находятся в нашей локальной сети. Выбираем его и нажимаем Connect

При первом подключении появится окно:

 Будет выведен список стандартных настроек, если нажимаем ОК, то они сохраняются, но мы будем настраивать устройство с нуля, по этому нажимаем Remove Configuration, после чего устройство перезагрузится.

Опять открываем Winbox и переходим на вкладку Neighbors, IP адрес у устройства изменился на 0.0.0.0, по этому мы выбираем MAC Adress нашего устройства и нажимаем Connect. 

После чего откроется Winbox, но уже без настроек.

2. Обновление прошивки

Можно сразу обновить прошивку, как это сделать мы рассматривали в статье Как обновить прошивку Mikrotik Router OS, нам подойдет второй способ, тк подключение к интернету у нас еще нет.

3. Объединение портов в Bridge

Изначально все порты равнозначны и любой может быть настроен на Uplink, поэтому сделаем разграничение кто куда будет смотреть и за что отвечать.

Переходим на вкладку Bridge

Нажимаем +

Появится окно создания Bridge, имя можно изменить, мы оставляем и нажимаем ОК.

У нас появился наш bridge1

Переходим на вкладку Ports и добавляем все порты кроме первого (его оставляем под WAN), а так же ,беспроводной интерфейс wlan1.

В итоге должно получится так:

Число интерфейсов ether зависит от модели роутера.

После добавления портов в бридж они будут прозрачно пропускать трафик сквозь себя и все подключенные устройства смогут обмениваться данными между собой. 

На этом настройка Bridge закончена.

4. Настройка IP адреса

Переходим в IP -> Addresses  и нажимаем +

В поле Address вбиваем ip адрес нашего роутера и маску подсети 24 — которая означает подсеть 255.255.255.0, в нашем случае 192.168.0.1/24 и выбираем ранее созданный bridge1 и нажимаем ОК.

После этого устройство будет доступно по адресу 192.168.0.1

6. Настройка DNS.

Что бы роутер мог работать в качестве DNS сервера и отвечать на запросы клиентских компьютеров перейдем в IP->DNS

 

Вводим DNS сервер гугла — 8.8.8.8 или тот что выдал провайдер. Так же ставим галочку Allow Remote Requests.

7. Настройка DHCP сервера

Для того, чтобы подключенные устройства могли получать сетевые настройки автоматически с роутера, на нем необходимо настроить DHCP сервер. Заходим в IP -> DHCP Server и нажимаем DHCP Setup. Интерфейс выбираем ранее созданный bridge1 и нажимаем Next.

Теперь нужно выбрать адресное пространство, из которого будут выдаваться ip адреса. По-умолчанию указана подсеть, в которую входит ip адрес роутера. Нажимаем Next.

На второй вкладке видим настройки шлюза

На следующей вкладке предложат заполнить пул адресов, которые будут выдаваться клиентам

Вводим настройки DNS сервера

Время на которое выдается ip адрес (по умолчанию 3 дня)

На последнем шаге появиться окно об успешной настройки DHCP сервера

8. Настройка NAT

Для того что бы устройства подключенные к роутеру могли получить доступ в Интернет, нужно настроить Nat – трансляцию сетевых адресов. Провайдер выдает клиенту только один IP-адрес, и через него будут иметь доступ в сеть все компьютеры сети. Для этого в меню IP -> Firewall заходим на вкладку NAT и на + добавляем новое правило, где указываем только адрес клиентской подсети – Src. Address – 192.168.0.0/24

На вкладке Action выбираем действие правила из списка – masquerade. Нажимаем Ok. Теперь все компьютеры в локальной сети могут получить доступ в Интернет.

 9. Настройка безопасности.

В последнее время участились случае, когда различные боты и сетевые вирусы перебирать пароли для получения не санкционированного доступа на устройство. Что бы обезопасить себя от таких проблем следует отключить все службы, предоставляемые устройством, кроме доступа через winbox. Для этого в меню IP -> Services выбираем нужные все службы по очереди и нажимаем на Х вверху окна. 

Так же рекомендуем установить пароль, для этого заходим в System -> Users и открываем пользователя admin (пользователь по умолчанию, при желании можно сменить) и нажимаем Password

Вводим пароль и подтверждаем его, после чего нажимаем ОК.

10. Настройка Wi-Fi

 Теперь приступим к настройке беспроводного адаптера. Переходим в раздел Wireless 

Выбираем наш интерфейс wlan1 и нажимаем на V тем самым делая его активным

Далее переходим на вкладку Security Profiles, заходим в свойства существующего профиля default и производим следующие настройки:

Authentication Types – поставить галочки напротив WPA PSK и WPA2 PSK для включения соответствующих шифрований, если нужен только один из них, ставите галочку только у него.

Unicast Ciphers и Group Ciphers – отмечаете типы шифрований, tkip и/или aes ccm. Обычно устанавливают оба, что бы все беспроводные устройства смогли получить доступ в сеть, некоторые, особенно старые устройства, могут иметь проблемы с шифрованием aes.

WPA Pre-Shared Key и WPA2 Pre-Shares Key – в этих полях вводится пароль для беспроводной сети.

Далее возвращаемся на вкладку Wireless -> Interfaces и заходим в свойства wlan1.

Mode – ap bridge – включаем режим работы в качестве точки доступа.

Band – 2GHz-B/G/N – выбираем частоту и стандарт.

Frequency – 2412 – указываем частоту работы беспроводной сети, для возможности подключения ноутбуков нужно выбирать только в диапазоне 2412-2472, они выделены жирным шрифтом в списке частот. Так же можно поставить Auto.

SSID – Buywifi – имя беспроводной сети, можно указать любое.

Wireless Protocol – 802.11 – указывает режим работы wi-fi для возможности подключения любых устройств. Так же можно поставить any любой поддерживаемый.

Channel Width – можно оставить без изменений 20MHz или включить полосу 40MHz, что позволит удвоить скорость работы беспроводной сети, поддерживается только устройствами, работающими в режиме N.

Галочка Default Forward – разрешает обмениваться данными клиентами беспроводной сети между собой, если галочку снять, то один клиент беспроводной сети не сможет получить доступ к ресурсам другого.

 Для вывода расширенных настроек нажимаем Advanced Mode

На вкладке Data Rates производится управление модуляциями и скоростями, на которых работает устройство.

В разделе Rate выбрать configured и снять все галочки с разделов Supported Rates B и Basic Rates B, что полностью отключит работу беспроводного адаптера в режиме B и оставит возможность работы в режимах G и N.

На вкладке Advanced находятся расширенные настройки беспроводного адаптера.

На вкладке HT производится управление антеннами устройства.

Галочки chain0 и chain1 должны стоять.

На вкладке HT MCS происходит управление беспроводной сетью в режиме N и MIMO, каждая галочка позволяет работать на каждом типе модуляции/скорости и изменения этих параметров производить не следует.

На вкладке WDS происходит управление подключением WDS клиентов к сети (например таких же роутеров). В пункте WDS Mode выбирается dynamic и в WDS Default Bridge указывается созданный ранее бридж – bridge1. Но нам это не требуется, по этому оставим настройки по умолчанию.

На вкладке Nstreme нужно снять галочку Enable Polling.

Поллинговые протоколы позволяют улучшить качество и скорость работы беспроводной сети, но все клиенты должны поддерживать их. Такими клиентами могут быть только устройства фирмы Mikrotik, ноутбуки, коммуникаторы и смартфоны такими клиентами не являются, поэтому поллинговые протоколы следует отключить.

На вкладке Tx Power задается мощность радиокарты. Работа на максимальной мощности не позволяет получить максимальные скорости в радиоканале, поэтому мощность нужно уменьшать. Например до 18дбм. Для этого в пункте Tx Power Mode нужно поставить card rates и строчкой ниже в пункте Tx Power указать требуемое значение мощности – 17dBm.

Так же мощность можно поставить в режим all rates fixed, тогда на каждой модуляции/скорости будет одно и то же ее значение, или в режим manual – в этом случае можно задавать мощность для каждой модуляции/скорости отдельно.

На вкладке Current Tx Power можно посмотреть текущие мощности радиокарты. В первом столбике Rate указаны канальные скорости, в столбике Tx Power мощность указанная в настройках, столбик Real Tx Power показывает реальную выходную мощность по каждому каналу, а Total Tx Power суммарную по всем каналам.

На этом настройки беспроводной карты завершены.

11. Настройка подключения к сети провайдера.

Если ваш провайдер выдает ip адреса автоматически, в этом случае заходим в IP -> DHCP Client 

При нажатии на + в открывшемся окне следует указать в пункте Interface интерфейс ether1 (первый порт устройства), поставить галочки Use Peer DNSUse Per NTP и Add Default Route поставить значение yes. Это позволит автоматически получить и установить IP адрес устройства, сервер DNS, время системных часов и маршрут по умолчанию в сеть Интернет. После произведенных настроек достаточно воткнуть кабель от провайдера в первый порт.

Если же провайдер не выдает IP адреса автоматически, тогда требуется указание их вручную, для этого нужно произвести следующие настройки:

 Указать IP адрес, заходим в IP -> Addresses и нажимаем +

В нашем случае 

Address — 10.4.175.74/24 — ip адрес выданный провайдером и маска подсети

Network — можно не указывать

Interface —  интерфейс в какой вставлен кабель провайдера (важно что бы этот интерфейс не был в бридже!!!)

Настройка L2TP

Далее нужно создать VPN подключение, заходим в  PPP и выбираем L2TP Client (в вашем случае может быть другой тип соединений PPTP или PPOE)

В появившемся окне заполним:

Connect To  — ip адрес vpn сервера провайдера

User — имя учетной записи

Password — пароль

Profile — оставляем default-encryption

ставим галочку Add Default Route что бы после соединения с провайдером автоматически сменился маршрут по умолчанию, так же выбираем шифрование, в нашем случае chap.

Настройка PPOE

Если у вас PPOE подключение, тогда добавляем PPOE Client и на вкладке General в пункте Interfaces указать сетевой интерфейс, через который будет происходить подключение к Интернету, в нашем случае это первый порт – Ether1.

На вкладке Dial Out настраивается пароль и логин для подключения к сети провайдера. В поле User вводится логин, в поле Password – пароль. Так же надо поставить галочки Add Default Route и Use Peer DNS – что бы получить шлюз по умолчанию и адрес DNS сервера от провайдера.

и нажимаем Apply, на этом подключение будет создано. 

Примечание. Не открываются некоторые сайты.

Если роутер работает через pptp/l2tp и при этом некоторые сайты (например mail.ru, odnoklassniki.ru) не отображаются в браузере, то нужно отключить Change TCP MSS в профиле pptp/l2tp (ppp->profiles->default (или default-encription смотря какой используем) и ставим у пункта Change TCP MSS — no)

 а также создать правило в файерволе ip->firewall->mangle-> Нажимаем + и на вкладке Generalchain=forward protocol=tcp

 вкладка Advanced — tcp-mss=1453-65535 tcp-flags=syn

 вкладка Action action=change-mss newt tcp mss=1360 и галочка на Passthrough

Так же рекомендуем сразу настроить Firewall, как это сделать, можно прочитать в нашей статье Настройка firewall Mikrotik.

Все, на этом настройка завершена. Устройство можно использовать в режиме беспроводного роутера, который работает стабильно. 

Если вы хотите купить Mikrotik RB951Ui-2HnD это можно сделать в нашем магазине по привлекательной цене.

Если вы ищете понятный и удобный источник информации по микротикам, то вот он: курс «Настройка оборудования MikroTik». Это видеоучебник, где «без воды» собрана вся базовая информация по работе с MikroTik и RouterOS. Для новичков станет прямым руководствам, опытные инженеры смогут освежить и упорядочить знания. 162 видеоурока и 45 лабораторных работ, основанные на программе вендора MTCNA. Первые 25 уроков можно заказать бесплатно на странице курса.

  • Как войти в роутер tp link archer c60
  • Как войти в настройку роутера если забыл пароль
  • Как войти в профиль роутера
  • Как войти в роутер mercusys mw325r
  • Как войти в роутер asus если забыл логин и пароль