Mikrotik настройка роутера для офиса

Настройка маршрутизаторов на RouterOS 7 описана в статье: Настройка маршрутизатора MikroTik с нуля (RouterOS 7).

Ниже представленный материал описывает пошаговую настройку маршрутизатора MikroTik для дома или небольшого офиса от момента его подключения к электрической розетке до момента, когда роутер можно убрать на свое рабочее место и благополучно о нем забыть. Конфигурация включает в себя настройка проводных сетевых интерфейсов, работающих в локальной сети, настройка для работы с интернетом провайдера, настройка Wi-Fi, минимальная необходимая конфигурация Firewall и другие настройки для безопасной работы маршрутизатора и устройств подключенных к нему.

Настройка будет производиться на примере маршрутизатора MikroTik hAP ac^2 (RBD52G-5HacD2HnD), но другие устройства настраиваются точно так же, т.к. все маршрутизаторы работают под управлением единой системы RouterOS. Изначально настраиваемый экземпляр имел версию RouterOS 6.44. Настройка описывает подключение абонентов к сети интернет по технологии Ethernet.

• Подготовка к настройке
• Первое подключение к маршрутизатору MikroTik
• Настройка пользователей в MikroTik
• Настройка локальной сети
• Настройка интернет на MikroTik
• Обновление RouterOS
• Работа с пакетами
• Настройка синхронизации времени
• Настройка Wi-Fi
• Дополнительные настройки
• Заключение

Подготовка к настройке

Первым делом обзаводимся проводом UPT5 (патч-кордом), которым компьютер будет подключаться к маршрутизатору, к сожалению, производитель не комплектует свои устройства такой мелочью. Вторым, скачиваем программу WinBox с сайта MikroTik (прямые ссылки для версии WinBox_x32 и WinBox_x64). Маршрутизатор можно настраивать через Web интерфейс, через командную строку при помощи Telnet или SSH, но WinBox самый наглядный и удобный инструмент для настройки (особенно для не подготовленного пользователя). Третье, в настройках сетевой карты компьютера проверить, а по необходимости установить, получение IPv4 адреса по DHCP. Для компьютеров на ОС Windows это делается в Панель управления -> Все элементы панели управления -> Центр управления сетями и общим доступом -> Изменение параметров адаптера -> правой клавишей на Подключение по локальной сети -> Свойства -> IP версии 4 (TCP/IP) (Галочка должна быть установлена!!!) -> Свойства, установить Получить IP-адрес автоматически и Получить адрес DNS сервера автоматически.

Первое подключение к маршрутизатору MikroTik

Провод провайдера, по которому приходит интернет, не подключаем!!! Это будет сделано позже.

Патч-кордом подключаем компьютер к устройству, на маршрутизаторе, для подключения используем порты со 2 по 5. Включаем устройство в электрическую розетку. Запускаем WinBox. После загрузки маршрутизатора в WinBox во вкладке Neighbors мы увидим наше устройство. Нажимаем на него, в поле Login пишем пользователя admin, поле Password оставляем пустым, кнопка Connect.

При первом входе на устройство появляется сообщение с настройками роутера «из коробки». Те, кто хочет попробовать быстро настроить устройство, могут нажать кнопку OK и далее попробовать настроить свое устройство через режим Quick Set, у кого-то это получится, у кого-то нет, кто-то будет крыть устройство, компанию и тех, кто посоветовал это приобрести на чем свет стоит. Те, кто нажал кнопку OK и у него ничего не получилось сбрасывает устройства к заводским настройкам: System -> Reset configuration -> Do Not Backup -> Reset Configuration. Все остальные и вернувшиеся после сброса устройства читают дальше

При первом входе в появившемся окне нажимаем кнопку Remove Configuration, это удалит все заводские настройки. Вот теперь, это абсолютно не настроенное устройство, мы будем конфигурировать под себя.

Настройка пользователей в MikroTik

После сброса конфигурации обычно происходит отключение от текущей сессии, в WinBox на странице авторизации в списке устройств отображается настраиваемый маршрутизатор. Т.к. назначенного адреса теперь у устройства нет, входим по MAC адресу нажав на соответствующее поле, Login: admin, Password: оставляем пустым, далее Connect.

Безопасность на первом месте, поэтому сразу меняем пароль пользователя admin, меню System -> Users, вкладка Users, правой клавишей на пользователе Password... и здесь же создаем нового пользователя с правами администратора, под которым будем работать постоянно, нажимаем + (Add), вводим имя нового пользователя, в выпадающем меню Group выбираем full, вводим пароль и подтверждение пароля, OK. В верхнем меню нажимаем Session -> Disconnect. Сложность пароля оставляю на совесть каждого, но лучше задать достаточно сложный пароль.

Повторяем подключение по MAC адресу, но уже под созданным новым пользователем. Если все хорошо, то опять переходим к списку пользователей и отключаем учетную запись admin, предварительно выбрав ее и нажав красный крест. Изначально мы не отключили учетную запись администратора, чтобы если под новой учетной записью войти не удастся, то можно было бы зайти под админом. Пароль администратора был задан на случай, если учетная запись будет, по каким-то причинам включена, то защита паролем уже будет стоять.

Настройка локальной сети

В боковом меню выбираем Bridge. На вкладке Bridge нажимаем +. В открывшемся окне в поле Name вводим удобное для понимания имя и нажимаем OK.

Для чего это делать? В обычном домашнем роутере, например, D-Link DIR-300, есть пять ethernet портов + Wi-Fi, четыре порта подписаны от 1 до 4, они предназначены для проводного подключения домашних устройств. Эти четыре порта объединены в один Bridge, в который объединен и Wi-Fi, устройства, подключенные к этим портам и Wi-Fi, объединяются в локальную сеть. В устройствах MikroTik другой подход, каждый проводной порт и каждый интерфейс Wi-Fi может быть настроен отдельно, и то, что на роутере сзади написано первый порт интернет, а со второго по пятый это локальная сеть, является только для конфигурации по умолчанию, которую мы успешно удалили В MikroTik не обязательно первый порт может служить для выхода в интернет, настроить для этого можно любой порт, или два отдельных порта, в случае использования двух провайдеров. Но мы пока рассматриваем классический пример, созданный Bridge будет объединять проводные и беспроводные порты для локальной сети.

Переходим на вкладку Ports. На вкладке Ports нажимаем + и последовательно по одному порту добавляем в созданный Bridge порты, к которым будут подключаться устройства локальной сети. Первый порт трогать не будем, он будет для подключения интернет, добавляем порты ethernet2, ethernet3, ethernet4, ethernet5. Сюда же добавляем интерфейсы wlan1 и, если есть, wlan2 (по умолчанию в устройствах MikroTik wlan1 это адаптер на 2.4GHz, wlan2 адаптер на 5GHz).

В соответствующие поля выбираем нужный интерфейс и созданный нами Bridge, нажимаем OK. Затем опять +, пока не добавим все необходимые интерфейсы.

Закрываем окно Bridge. В боковом меню открываем IP -> Addresses. Установим нашему маршрутизатору IP адрес в нашей маленькой локальной сети. В окне Address List нажимаем +. В открывшемся окне вносим:

• Address — IP адрес маршрутизатора, через / (прямой слеш) указываем маску подсети. Например, для нашей тестовой конфигурации будет 192.168.111.1/24. Префикс /24 соответствует маске 255.255.255.0 и позволяет использовать 254 адреса в локальной сети.
• Network — в данном случае пропускаем, после нажатия кнопки OK, данное поле будет заполнено само.
• Interface — выбираем созданный нами Bridge.

Нажимаем OK, закрываем окно Address List и переходим к настройке сервиса, выдающего IP адреса устройствам в локальной сети, а вместе с ними минимальный набор сетевых настроек — DHCP сервера. В боковом меню переходим IP -> DHCP Server. В открывшемся окне нажимаем кнопку DHCP Setup. В открывшемся окне последовательно выбираем/заполняем необходимые поля.

DHCP Server Interface — интерфейс, на котором будет работать данная конфигурация DHCP сервера, выбираем наш созданный ранее Bridge. Нажимаем Next.

DHCP Address Space — используемое адресное пространство для раздачи адресов, указывается как Network/Mask. Network мы могли видеть ранее, когда устанавливали IP адрес маршрутизатору, мы его не заполняли, но он установился сам, для данной конфигурации используем его. Mask — маска подсети, этот параметр тоже использовался ранее при назначении IP адреса маршрутизатору. Если ничего не понятно, что все это и зачем, то стоит почитать немного про сети, если лень, то делай как я :))) Для нашей конфигурации — это будет выглядеть так: 192.168.111.0/24. Нажимаем Next.

Gateway For DHCP Network — адрес маршрутизатора в сети. Здесь всё просто, поскольку мы настраиваем устройство как маршрутизатор, и он у нас единственный в сети, то в поле записываем выданный нами ранее адрес маршрутизатора — 192.168.111.1 (Здесь маска сети не указывается!). Нажимаем Next.

Addresses to Give Out — диапазон IP адресов, выдаваемых DHCP сервером. Используемая маска /24 ограничивает нас количеством в 254 адреса, поскольку адрес 192.168.111.1 уже занят, то он не должен попадать в этот диапазон, если в сети нет других статических адресов, то можно использовать весь диапазон от 2 до 254. Описываемая конфигурация будет ограничиваться только сотней выдаваемых сервером адресов, 192.168.111.101 - 192.168.111.200. Нажимаем Next.

DNS Servers — адрес(а) сервера(ов) предназначенных для получения IP адресов в сети по имени хостов/доменов. Тоже всё просто, если в сети нет отдельных серверов DNS, сервера провайдера не считаются, то это наш маршрутизатор. Для нашей конфигурации это 192.168.111.1. Нажимаем Next.

Lease Time — Время аренды адреса. По истечении этого времени если адрес не используется, то он освобождается и может быть назначен другому устройству, если адрес используется, то аренда продлевается на время Lease Time. Одного часа достаточно. Next и нам сообщают об успешной настройке DHCP сервера.

Переходим на вкладку Networks. Дважды нажимаем на созданной конфигурации, в поле NTP Servers (серверы времени) записываем адрес нашего маршрутизатора. Теперь устройства, поддерживающие данную настройку, будут синхронизировать свои часы с маршрутизатором.

Перейдя на вкладку Leases можно увидеть, что одно устройство получило IP адрес в локальной сети, это компьютер, с которого происходит настройка маршрутизатора.

Настройка интернет на MikroTik

Закрываем все окна в WinBox. В боковом меню открываем Interfaces. Дважды нажимаем на интерфейсе ether1, в поле Name пишем ehter1-wan, сохраняем нажав OK. Переименование сделано для удобства чтения конфигурации в будущем.

Переходим на вкладку Interface List, нажимаем кнопку Lists. В открывшемся окне создадим несколько новых списков интерфейсов. Списки удобно использовать что бы не добавлять в разных настройках несколько интерфейсов, достаточно использовать в настройке список, а необходимые интерфейсы добавлять уже в этот список. Последовательно добавляем списки нажав +.

• list-wan — список интерфейсов, подключенных к провайдерам. В описываемой конфигурации в списке будет один интерфейс, но список может оказаться полезным при использовании подключений VPN или подключении второго канала интернет.
• list-discovery — список интерфейсов, которые будут использоваться службами Neighbor Discovery и MAC Server. Используется для безопасности нашего устройства.

В списках должно быть две новых записи:

Закрываем окно редактирования Interface Lists. Добавляем в созданные списки необходимые интерфейсы.

• Интерфейс ether1-wan в список list-wan
• Созданный ранее Bridge интерфейс bridge-home в список list-discovery

В итоге должно получиться так:

Обезопасим маршрутизатор и устройства локальной сети от доступа к ним из сети интернет. Открываем окно IP -> Firewall. На вкладке Filter Rules нажимаем + и добавляем новое правило. В открывшемся окне на вкладке General добавляем:

• Chain — Input
• In Interface List — list-wan
• Connection State — отмечаем в окне первый не подписанный квадрат, он выделится восклицательным знаком, далее выбираем established и related

На вкладке Action в разделе Action выбираем drop. Нажимаем OK.

Созданное правило будет читаться так: Пакеты, приходящие на интерфейсы из списка list-wan не относящиеся (восклицательный знак в поле Connection State) к уже установленным и связанным подключениям будут отброшены. Цепочка (Chain) Input действует только на входящие пакеты, относящиеся к интерфейсам маршрутизатора. Действие (Action) drop отбрасывает все пакеты, попадающие под данное правило и в ответ, не отсылает никаких сообщений.

Создадим второе правило, точнее создадим его на основе первого. На созданном ранее правиле нажимаем дважды в открывшемся окне кнопку Copy, откроется окно создания нового правила, но с настройками как у предыдущего. В поле Chain нового правила выставляем forward. Закрываем оба правила клавишей OK.

Второе правило будет похоже на первое за тем исключением, что оно действует только на пакеты, приходящие на интерфейсы из списка list-wan, но которые транслируются дальше на устройства локальной сети.

Два этих правила, это минимальная необходимая настройка Firewall для защиты от несанкционированного доступа из сети интернет. Весь остальной трафик будет никак не ограничен маршрутизатором, но поскольку настройка Firewall это отдельная большая тема, то описывать ее в рамках этой статьи не будем.

Предоставляем доступ в интернет устройствам подключенных к локальной сети обслуживаемой маршрутизатором с помощью службы NAT. Переходим на вкладку NAT, добавляем новое правило +. В открывшемся окне в поле Chain выставляем srcnat, в поле Out Interface List — list-wan.

На вкладке Action в разделе Action выбираем masquerade. Нажимаем OK.

Настраиваем DNS. В боковом меню переходим IP -> DNS. В качестве используемых внешних серверов DNS будем использовать сервера Google. В открывшемся окне в поля Servers вписываем IP адреса 8.8.8.8 и 8.8.4.4. Что бы наш маршрутизатор работал как DNS сервер для устройств в локальной сети включаем Allow Remote Requests. Нажимаем OK.

Некоторые провайдеры используют привязку MAC адреса интерфейса на своем оборудовании, поэтому перед подключением необходимо позвонить провайдеру и сообщить о том, что у вас поменялось устройство.

Если звонок провайдеру вызывает какие-либо проблемы, то можно сменить MAC адрес на интерфейсе, к которому подключается провод провайдера. К сожалению, в настройках интерфейсов нельзя сменить MAC адрес изменив соответствующее поле, но он меняется через команду в консоли. В боковом меню нажимаем New Terminal и в открывшемся окне вводим:

/interface ethernet set ether1-wan mac-address="00:00:00:00:00:00"

Соответственно вместо 00:00:00:00:00:00 вводим необходимый MAC адрес.

Теперь подключаем провод провайдера в порт 1 нашего устройства!

Назначаем IP адрес нашему интерфейсу, к которому будет подключен провод провайдера, в нашем случае это ether1-wan. IP адрес может быть назначен двумя способами.

1. Получение IP адреса от оборудования провайдера по DHCP.
2. Если первый вариант провайдером не поддерживается, то настройки вносятся в оборудование вручную.

Как назначается IP адрес обычно написано в договоре или памятке к договору, заключаемому с провайдером. Если нет уверенности, то узнать это можно в службе поддержки провайдера. Рассмотрим оба варианта.

Вариант #1. Получение IP адреса абонентским оборудованием происходит от оборудования провайдера по DHCP. Переходим в боковом меню IP -> DHCP Client. В открывшемся окне выбираем интерфейс ether1-wan, отключаем Use Peer DNS (мы будем использовать свои DNS сервера, настройка выше) и Use Peer NTP (мы настроим синхронизацию времени позднее), Add Defaut Gateway выставляем yes. Нажимаем OK.

При успешном получении во вкладке IP -> Addresses можно увидеть IP адрес устройства. Напротив, полученного адреса указана буква «D» означающая, что адрес получен динамически.

Вариант #2. Если настройки провайдера необходимо указать вручную, то назначение IP адреса происходит по аналогии как мы назначали адрес интерфейсу Bridge ранее. Переходим во вкладку IP -> Addresses, нажимаем +. В открывшемся окне выбираем WAN интерфейс ether1-wan, вводим IP адрес с маской и заполняем поле Network.

Здесь рассмотрим поподробнее. В договоре провайдера маска обычно записывается в виде X.X.X.X (например, 255.255.255.0), а в MikroTik ее надо записать префиксом /Y (например, /24), что бы перевести одно в другое, а заодно рассчитать поле Network воспользуемся IP калькулятором (online калькулятор). В поле IP адрес, вносим адрес выданный провайдером, в поле маска подставляем подходящее значение, нажимаем Подсчитать.

В полученном расчете нам понадобятся Bitmask и Network. Для описываемой конфигурации в поле Address вводим IP адрес с префиксом маски 10.33.1.249/26, в поле Network вводим 10.33.1.192. Нажимаем OK.

После ввода IP адреса добавляем маршрут по умолчанию (при получении IP адреса по DHCP маршрут добавляется сам, т.к. был выставлен Add Default Gateway = yes). В боковом меню переходим IP -> Route, нажимаем +. В открывшимся окне в поле Dst. Address пишем 0.0.0.0/0, это значит все доступные адреса, в поле Gateway шлюз, указанный в настройках провайдера 10.33.1.193. Нажимаем OK.

После этого должен заработать интернет на маршрутизаторе и устройствах локальной сети. Бывает, что устройство необходимо перезагрузить, после чего все начинает работать.

Обновление RouterOS

RouterOS, как и любое программное обеспечение может содержать ошибки, некоторые из них мелкие и не мешают работе, но могут быть критические ошибки, которые могут повлиять на работу не только самого маршрутизатора, но и устройств, подключенных к нему. После того, как заработает интернет необходимо обновить версию RouterOS до последней. В боковом меню переходим System -> Packages -> Check For Update, в строке Channel выбрать stable и нажать Check For Update. В строке Installed Version написана текущая версия установленной RouterOS, в строке Latest Version последняя версия доступного ПО. Если новая версия RouterOS найдена, то будут доступны две кнопки Download и Download&Install, нажимаем на последнюю. После скачивания устройство будет перезагружено для обновления, в это время не рекомендуется отключать его от электрической сети.

Компания MikroTik постоянно выпускают обновления на свои устройства, без обновлений не остаются и старые устройства, поэтому рекомендуется периодически заходить в роутер и проверять доступность новой версии ПО.

Работа с пакетами

Ранее в настройках DHCP сервера мы установили настройку синхронизации времени устройствами локальной сети с маршрутизатора, но проблема в том, что в RouterOS нет сервера времени (NTP server). Эта проблема решается установкой дополнительного пакета. Переходим на сайт MikroTik в раздел Software. Нам известно, что hAP ac^2 работает на процессоре архитектуры ARM (посмотреть архитектуру процессора устройства можно в System -> Resources пункт Architecture Name). Находим наше устройство в списке раздела ARM. Скачиваем архив из подраздела Extra packages для установленной нашей версии RouterOS, как видно из раздела обновления описанного выше, это версия 6.47.7 ветка Stable.

Распаковываем полученный архив, находим в распакованном каталоге файл ntp-xxx-yyy.npk (xxx — версия RouterOS, для которой подходит данный пакет, yyy — архитектура процессора). Версии установленной RouteOS и файла обязательно должны совпадать!

В WinBox в боковом меню открываем раздел Files. Перетаскиваем файл ntp-xxx-yyy.npk в корень раздела Files.

Перезагружаем маршрутизатор System -> Reboot. После установки и перезагрузки файл ntp.npk будет удален автоматически и появится в списке установленных пакетов System -> Packages.

Что бы не занимать системные ресурсы маршрутизатора можно отключить некоторые пакеты. В домашних условиях пакеты hotspot и mpls не нужны, выделяем их и нажимаем кнопку Disable, если используемый маршрутизатор без встроенного Wi-Fi, то можно отключить пакет wireless. Т.к. данные пакеты являются частью RouterOS удалить их нельзя, а вот установленные пакеты, как пакет ntp из примера выше, можно не только отключать, но и удалить, для этого используется кнопка Uninstall. После пометки необходимых пакетов, окончательное отключение/удаление происходит после перезагрузки роутера.

Настройка синхронизации времени

Настройка сервера времени (NTP server). Для настройки сервера времени на устройствах MikroTik необходима установка пакета ntp из дополнительного архива пакетов Extra Packages (установка описана выше в данной статье).

Сервер времени включается в разделе System -> NTP Server, вся задача заключается только в выставление флажка на пункте Enabled и нажатии кнопки OK.

Настройка синхронизации времени с внешним источником (NTP Client).

Настройка NTP Client’a может быть выполнена двумя способами.

1. В системе не установлен пакет ntp из дополнительного архива пакетов Extra Packages
2. В системе установлен пакет ntp из дополнительного архива пакетов Extra Packages

Вариант #1. Данный раздел доступен только если не установлен дополнительный пакет NTP. Переходим System -> SNTP Client. Выставляем настройки:

• Enabled — вкл.
• Primary NTP server — time.google.com
• Secondary NTP server — time1.google.com

Вариант #2. Данный раздел доступен только если установлен дополнительный пакет NTP. Переходим System -> NTP Client. Выставляем настройки:

• Enabled — вкл.
• Mode — unicast
• Primary NTP server — time.google.com
• Secondary NTP server — time1.google.com

Настройка времени на устройстве. System -> Clock, отключаем Time Zone Autodetect, выставляем правильный часовой пояс и проверяем правильное ли выставлено время.

Настройка Wi-Fi

Настройка Wi-Fi производится в разделе Wireless. Сначала создаем профиль безопасности, в котором описывается как устройства будут подключаться к точке доступа. Открываем вкладку Security Profiles -> +. В открывшемся окне указываем имя профиля в поле Name для удобства чтения конфигурации, в Authentication Types выбираем только WPA2 PSK (WPA PSK выбираем только в случае если какое-либо подключаемое устройство не умеет работать с WPA2), Unicast Ciphers — aes ccm, Group Chiphers — aes ccm, в поле WPA2 Pre-Shared Key вводим пароль для подключения к точке доступа, включаем самый нижний раздел Disable PMKID. Сохраняем новый профиль.

Переходим на вкладку WiFi Interfaces. В hAP ac^2 в списке два беспроводных интерфейса wlan1 и wlan2. Интерфейс wlan1 это модуль на 2.4GHz, wlan2 на 5GHz, настраиваются они раздельно. Дважды нажимаем на интерфейсе wlan1, переходим на вкладку Wireless, сбоку нажимаем кнопку Advanced Mode. Заполняем настройки:

• Mode — ap bridge
• Band — 2GHz-B\G\N
• Channel Width — 20MHz
• Frequency — рабочий канал, частота 2412MHz = channel 1, 2417MHz = channel 2, и т.д. Выбираем который посвободней.
• SSID — имя точки доступа, например, myhomewifi
• Security Profile — профиль безопасности. Выбираем из списка созданный ранее профиль.
• WPS mode — disabled
• Frequency Mode — manual-txpower
• Country — в этом пункте должна быть выставлена страна russia3, это значение ограничивает силу мощности излучаемого сигнала в соответствии с законодательством РФ.

Нажимаем кнопку Apply и Enable. Открываем в телефоне/планшете/компьютере раздел WiFi и пробуем подключиться к созданной точке доступа.

Заходим в интерфейс wlan2. Переходим в Advanced Mode, настройка аналогичная настройке интерфейса wlan1.

Заполняем настройки:

• Mode — ap bridge
• Band — 5GHz-A\N\AC
• Channel Width — 20MHz
• Frequency — рабочий канал, частота 5180MHz = channel 36, 5200MHz = channel 40, и т.д. Выбираем который посвободней.
• SSID — имя точки доступа, например, myhomewifi. Некоторые любят разделять, добавив в конце _5G, что бы устройство соединялось только с 5GHz, спорное решение, т.к. те же многие так же подключают устройства и к 2.4GHz, а потом вручную выбирают необходимый. Если клиентское устройство хорошо ловит сигнал 5GHz оно само к нему подключится и при одинаковом названии точек для двух радиомодулей.
• Security Profile — профиль безопасности. Выбираем из списка созданный ранее профиль.
• WPS mode — disabled
• Frequency Mode — manual-txpower
• Country — в этом пункте должна быть выставлена страна russia3, это значение ограничивает силу мощности излучаемого сигнала в соответствии с законодательством РФ.

Нажимаем кнопку Apply и Enable. Открываем в телефоне/планшете/компьютере раздел WiFi и пробуем подключиться к созданной точке доступа, проверяем что бы устройство подключалось на частоте 5GHz.

Дополнительные настройки

В меню IP -> Services отключаем все ненужные сервисы. Обычно для доступа к устройству оставляют winbox и, кто пользуется командной строкой, ssh. В поле Available From можно прописать адреса, для которых будут доступны данные сервисы, но если такое ограничение необходимо, то лучше это реализовать через списки в Firewall, т.к. списки для сервисов ограничены по количеству и на их проверку требуются дополнительные затраты ресурсов маршрутизатора.

MikroTik умеет обнаруживать другие устройства в сети, при этом он так же сообщает информацию о себе, что может быть не безопасно. Ограничим обнаружение только интерфейсами из созданного ранее списка list-discovery. IP -> Neighbors, в поле Interface если в поле НЕ (восклицательный знак в квадрате) стоит восклицательный знак, то убираем его, в выпадающем списке выбираем list-discovery.

По умолчанию в MikroTik включен Bandwidth Test server, отключаем его Tools -> BTest Server.

Разрешаем обнаружение и подключение по MAC только для локальной сети, для этого используем ранее созданный список сетевых интерфейсов list-discovery. Tools -> MAC Server. Последовательно меняем настройки для MAC Telnet Server, MAC Winbox Server и MAC Ping Server.

MAC Ping Server Enabled отключаем совсем

Сделанные выше настройки уменьшат количество сервисов, по которым можно обнаружить и идентифицировать ваше устройство в сети, уменьшит количество возможностей подключения к устройству, а значит повысит защищенность устройства.

В завершении настройки, меняем имя устройства в System -> Identity.

Заключение

Маршрутизатор можно убрать в далекий угол и заходить на него только для периодического обновления RouterOS.

Статья местами, наверно, получилась слишком подробной, но, как показывает практика, зачастую пользователи покупают MikroTik, не имея какой-либо подготовки в работе с подобным оборудованием.

Для тех кому стало как минимум любопытно, то рекомендуется к прочтению:

Туннельный брокер IPv6, настройка 6to4 туннеля в Mikrotik

Настройка резервного канала в MikroTik с уведомлением в Telegram

Сегодня поговорим про базовою настройку MikroTik для доступа в интернет. Данная инструкция написана как говорится для чайников так как все будем делать с нуля. Все настройки проводим на одном из популярных маршрутизаторов линейки, модели RB951G-2HnD. Все что тут описано подойдет к любому устройству, работающему на операционной системе RouterOS (то есть почти на все устройства Микротик).

Немного общей информации

MikroTik это – маршрутизаторы, коммутаторы, точки доступа и много другое оборудование которое выпускает Латвийская фирма. Больше всего она получила свою известность именно за недорогие и функциональные сетевые устройства.

Действительно, когда я первый раз начал его настраивать, первое что я сказал: «Ого и это все можно сделать на железки за 1500 рублей». Масштаб возможностей роутеров действительно поражает это и мультикаст, MPLS, огромное количество технологий VPN. Да он один может справится с работой небальной компании и филиалов, подключённых по pptp например.

Конечно есть и один минус, для неопытных пользователей настроить микротик с первого раза будет сложно. Для этого я и пишу данную статью.

Распаковка и сброс настроек

И так, к нам в руки попал один из роутеров, первым делом нам нужно установить на компьютер утилиту для настройки – mikrotik winbox. Через нее конфигурируются все роутеры данной фирмы, только коммутаторы используют для этих целей web-интерфейс (и то не все).

Подключаем наше устройства к сети «в любой порт кроме первого, так как на нем присутствует настройка по умолчанию, и он выделен под интернет» и запускает winbox. Теперь переходим на вкладку Neighbors (обнаружение) и подождем немного должно появится наше устройство. Нажимаем на mac адрес вводим логин по умолчанию «admin» и подключаемся.

После входа выводится окно «RouterOS Default Configuration» со стандартными настройками от производителя. Их стоит оставить только в том случае если вы дальше ничего настраивать не будете. Так как для новичка разобраться в них будет сложно, поэтому сбрасываем MikroTik нажав на кнопку «Remove Configuration».

Заметка! Полностью сбросить настройки также можно нажав и удерживая сзади устройства кнопку Reset или набрать в терминале system reset. Почитать об это можно тут. Теперь примерно через минуту он перезагрузится, и мы снова подключаемся к нему.

Настройка локальной сети

Первым делом давайте создадим локальную сеть для нашего офиса или дома. Особенностью микротик является то что все порты у него равны, то есть нет определенно выделенного порта под интернет, а другие под локалку. Мы можем сами выбирать как нам угодно, для этого есть механизм «Bridge».  Простым языком Бридж это – объединение физических портов в пул логических (грубо говоря в один широковещательный домен). Замечу что Wi-Fi является тоже интерфейсов и если мы хотим, чтоб в нем была та же LAN сеть что и в портах, его также нужно добавить в Bridge.

В моем примере я сделаю WAN порт пятым, а все остальные объединим в бридж, и они будет в роли свитча.

1. Переходим в нужный раздел;
2. Создаем сам бридж;
3. Сохраняем.

Все настройки в данном месте у микротика можно оставить по умолчанию, на ваше усмотрение поменяйте название на более понятное, например, «bridge_lan». Переходим на следующую вкладку «port» и добавляем через кнопку плюс все порты кроме ether5.

Первый этап конфигурирования интерфейсов на уровне портов закончен, теперь у нас в ether1,2,3,4 и wlan1 единый широковещательный домен, а ether5 для подключения к провайдеру.

Настройка DHCP сервера и шлюза по умолчанию для LAN

Теперь на нашем роутере нужно настроить DHCP сервер и дать ip адрес  интерфейсу, который будет шлюзом для внутренней сети. Для этого идем IP -> Addresses и добавляем его.

В поле адрес вводим ту подсеть, которая вам нужна и выбираем интерфейс bridge1, после этого наш MikroTik будет доступен по этому адресу чрез объединённые порты и через wifi (который мы еще настроим).

Дальше чтобы все устройства в сети могли получать адреса автоматически мы переходим в раздел IP-> DHCP и собственно настраиваем его через кнопку «DHCP Setup». Выбираем интерфейс, на котором он будет работать «это наш bridge1», жмем Next и оставляем пространства адресов по умолчанию. В моем случае это будет подсеть в которой находится сам роутер. То есть раздавать микротик будет адреса с 192.168.9.2-192.168.9.255.

После указываем адрес шлюза, который будут получат все подключенные устройства, так как это mikrotik оставляем значение по умолчанию.

В следующем окне перед нами встает выбор, раздавать ли весь диапазон адресов или его часть. По правильному лучше исключить первые 10 так как в будущем может появиться еще один роутер или коммутаторы которым желательно задать ip статикой. Но сейчас нам не принципиально, и мы оставляем как есть.

Наконец последним этапом указываем DNS. Если в вашей сети есть выделенный DNS сервер, то пишем его ip, если нет и вы настраиваете, например, для дома пишем ip самого роутера (в большинстве случаем так оно и будет).

Жмем далее, следующие значение не меняем. Все настройка DHCP сервера и шлюза по умолчанию на микротике закончена, переходим к следующему разделу.

Настройка интернета в микротик

Пришло время подключить наш роутер к провайдеру и настроить интернет. Вариантов это сделать масса, я расскажу о двух самых популярных:

1. Провайдер завел вам кабель, и вы получаете все настройки по DHCP.
2. Провайдер выдал вам настройки, и вы должны их ввести вручную.

И так, подключаем провод в 5 торт (как писалось выше я буду использовать его), идем в раздел IP -> DHCP Client выбираем в Interface наш порт, проверяем чтобы галочки все стояли как на скриншоте и Add Default Route было выбрано yes.

Проверить правильность настройки можно тут же или в разделе IP-> Addresses, если получил ip то мы молодцы.

Вариант номер 2. Настройки от провайдера нужно ввести вручную, имеют они следующий вид:

• IP адрес 192.168.1.104
• Маска 255.255.255.0
• Шлюз 192.168.1.1
• DNS 192.168.1.1

Первое, указываем ip в том же разделе, как и при указании статического адреса. Только тут мы выбираем интерфейс ether5 – 192.168.1.104/24.

Второе, нужно указать шлюз по умолчанию (то есть адрес куда mikrotik будет оправлять все запросы если сам ответа не знает, а это все что мы ищем в интернете). Идем в IP -> Routes и через + добавляем новый маршрут как показано на рисунке.

Третье, указываем DNS сервер (это специальный узел, который сопоставляет ip с адресами, например, vk.ru = 89.111.176.202). Идем IP -> DNS и в поле Servers вводим его адрес.

Конфигурирование провайдерского интернета закончено, давайте проверим все ли сделано правильно используя утилиту ping на ya.ru.

На этом настройка mikrotik не закончена, для того чтобы устройства из локальной сети могли выходить в интернет нужно еще сделать одну вещь.

Настройка NAT на Микротике

NAT это технология придуманная из-за нехватки ipv4, в дословном переводе означает «трансляция сетевых адресов». Простыми словами роутер будет подменять все запросы от локальной сети и отправлять их со своего ip. Дополнительный плюс — это закрывает внутреннюю сеть и защищает ее. Все ее настройки делаются в IP-> Firewall вкладка NAT. Добавляем правило:

• Chain – srcnat
• Interface – ether5
• На вкладке Action выбираем – masquerade.

Жмем ОК и на компьютерах в сети должен появится интернет. То есть они получат все необходимые настройки от микротока по DHCP, отработает NAT, DNS и запрос уйдет на шлюз по умолчанию. Но как же Wi-Fi?, его по-прежнему нет, сейчас мы это исправим.

Настройка wifi точки доступа на MikroTik

По правде сказать, Wi-Fi это очень объёмная тема, которую можно расписать на пару статей. Здесь же я покажу как быстро настроить wifi на микротике для домашних нужд или не большого офиса. Если же вам нужно разобрать во всем детальнее (ccq, ширина канала и т.д) то мы позже напишем статью и на эту тему.

По умолчанию wlan интерфейс выключен, поэтому идем и включаем его в разделе Wireless.

Далее надо настроить Security Profile – это место где мы задаем параметры безопасности для точки доступа.

1. Переходим в нужную вкладку;
2. Открываем двумя кликами «default» профйал;
3. Указываем – dynamic keys;
4. Тип авторизации отмечаем – WAP PSK, WAP2 PSK, aes ccm;
5. В графе WAP и WAP2 Pre-Shared Key – указываем пароль от Wi-FI (придумайте сложный).

Здесь закончили, сохраняем все и переходим в разделе Wireless на вкладку interfaces, двойным щелчкам открываем wlan1. Дальше указываем все так как у меня.

Здесь стоит обратить внимание на следующие параметры:

• SSID –это имя точки доступа которое будут видеть WI-FI устройства;
• Mode – ap bridge, ставьте именно это значение.

Такие значение как «Frequency» делайте как на скриншоте, это например частота канала. Ее по-хорошему нужно выбирать после анализа частотного спектра, но, если вы не знаете, что это ставьте любое значение, работать будет.  На этом настройка роутера микротик с нуля закончена, можно пользоваться.

Также рекомендую задать пароль администратора, ото без него любой введя логин admin сможет подключиться к вашему устройству. Делается это в System -> Users.

Шелкам правой кнопкой мышки на имя и выбираем поле «Password». В открывшемся окне собственно вводим и подтверждаем его. Всем пока надеюсь, что статья была полезной, оставляете свои вопросы в комментариях и вступайте в нашу группу Телеграмм (откроется новая страница в браузере – нажмите на кнопку открыть в Telegram).

Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдете для себя полезную информацию в курсе «Настройка оборудования MikroTik». 162 видеоурока, большая лабораторная работа и 89 вопросов, на каждый из которых вы будете знать ответ. Подробности и доступ к началу курса бесплатно тут.

В современном офисе невозможно обойтись без надежной и быстрой сети. Правильная настройка оборудования играет ключевую роль в обеспечении стабильной работы интернета. Одним из самых популярных решений в этой области является маршрутизатор MikroTik.

MikroTik RouterOS – это операционная система, специально разработанная для работы на маршрутизаторах и домашних шлюзах сети. Она обладает обширными возможностями и гибкой настройкой, позволяя администраторам полностью контролировать и оптимизировать сеть.

Настройка MikroTik в офисе включает в себя ряд важных шагов. В начале необходимо установить и настроить маршрутизатор, выбрать подходящую конфигурацию и загрузить необходимые компоненты. Затем следует настроить интерфейсы, определить DHCP сервер, настроить правила маршрутизации и фильтрации трафика.

Но настройка MikroTik в офисе – это не только создание базовой инфраструктуры, но и ее последующая оптимизация. Необходимо установить и настроить механизмы защиты, контролировать загрузку каналов, настраивать балансировку нагрузки и проводить резервное копирование настроек для экстренных случаев.

Настройка MikroTik для офиса: основные этапы настройки

Настройка MikroTik для офиса является важным и ответственным шагом для создания надежной и безопасной сети. В данной статье мы рассмотрим основные этапы настройки MikroTik для офиса.

1. Подключение к MikroTik

Первым шагом необходимо подключиться к устройству MikroTik. Для этого можно использовать программу Winbox или подключиться через веб-интерфейс. После успешного подключения к устройству можно приступать к настройке.

2. Базовая настройка

На данном этапе необходимо установить пароль для доступа к устройству, а также присвоить устройству уникальное имя и IP-адрес. Для повышения безопасности также рекомендуется настроить автоматическое обновление и включить фаервол.

3. Настройка интерфейсов

Следующим шагом необходимо настроить интерфейсы MikroTik. Это включает в себя настройку WAN-интерфейса для подключения к интернету и LAN-интерфейса для локальной сети офиса.

4. Настройка DHCP

Для автоматической настройки IP-адресов клиентам в сети офиса рекомендуется настроить DHCP-сервер. Настройка DHCP-сервера позволяет автоматически распределять IP-адреса, маски подсети, шлюзы и DNS-серверы.

5. Настройка маршрутизации

Для обеспечения коммуникации между различными сетями в офисе необходимо настроить правила маршрутизации. Настройка маршрутизации позволяет определить, какой трафик будет перенаправляться через MikroTik.

6. Настройка брандмауэра

Для обеспечения безопасности сети офиса необходимо настроить брандмауэр на MikroTik. Брандмауэр позволяет контролировать трафик, фильтровать пакеты и обеспечивать защиту сети от внешних угроз.

7. Настройка сервисов

На данном этапе можно настроить различные сервисы, такие как VPN, Proxy-сервер, DNS-сервер и т.д. Это позволяет расширить возможности MikroTik и обеспечить дополнительные сервисы для сети офиса.

8. Настройка Wi-Fi

Если в офисе будет использоваться Wi-Fi сеть, необходимо настроить Wi-Fi точку доступа на MikroTik. Настройка Wi-Fi включает в себя настройку SSID, безопасности, каналов и других параметров.

9. Тестирование и оптимизация

После завершения всех основных этапов настройки MikroTik необходимо провести тестирование сети и выполнить оптимизацию для улучшения производительности.

Правильная настройка MikroTik для офиса позволяет создать надежную и безопасную сеть, обеспечить удобство использования и достижение оптимальной производительности.

Установка и подключение MikroTik

Перед началом настройки MikroTik необходимо убедиться в правильном подключении устройства и его установке.

1. Распакуйте устройство MikroTik из упаковки и проверьте наличие следующих компонентов:
• Маршрутизатор MikroTik;
• Блок питания;
• Антенна;
• Экран;
• Кабель питания;
• Сетевой кабель.
2. Подключите блок питания к маршрутизатору MikroTik и вставьте в сетевую розетку.
3. Подключите антенну к соответствующему разъему на маршрутизаторе MikroTik.
4. Подключите экран к маршрутизатору MikroTik с помощью кабеля.
5. Подключите сетевой кабель к маршрутизатору MikroTik и подключите его к сети интернет.

После правильной установки MikroTik, вы можете приступить к его настройке и оптимизации для вашего офиса.

Настройка основных параметров MikroTik для офиса

Маршрутизатор MikroTik – это мощное устройство для организации сети в офисе. Перед началом использования необходимо осуществить базовую настройку параметров для обеспечения стабильной работы вашей сети.

1. Вход в систему управления

Для начала работы вам понадобится войти в систему управления маршрутизатором MikroTik. Для этого откройте веб-браузер, введите IP-адрес маршрутизатора в адресной строке и нажмите Enter. Введите логин и пароль, предоставленные поставщиком устройства, и нажмите Enter.

2. Настройка сетевых интерфейсов

Следующим шагом необходимо настроить сетевые интерфейсы маршрутизатора. Откройте меню «IP» и выберите «Addresses». Нажмите кнопку «Add New» и введите IP-адрес и маску подсети для каждого интерфейса.

3. Настройка DHCP-сервера

Для автоматической выдачи IP-адресов компьютерам в вашей сети необходимо настроить DHCP-сервер. Откройте меню «IP» и выберите «DHCP Server». Нажмите кнопку «DHCP Setup» и следуйте указаниям мастера настройки. Укажите диапазон IP-адресов, которые будут выдаваться компьютерам, а также другие параметры, такие как адрес шлюза и DNS-серверы.

4. Настройка безопасности

Для обеспечения безопасности вашей сети необходимо настроить правила фильтрации данных на маршрутизаторе MikroTik. Откройте меню «IP» и выберите «Firewall». Нажмите кнопку «Filter Rules» и добавьте правила фильтрации данных согласно требованиям вашей сети. Например, вы можете настроить правила блокирования внешних подключений к определенным портам или блокировать доступ к определенным сайтам.

5. Настройка маршрутизации

Для обеспечения правильного передачи данных между различными сетями необходимо настроить маршрутизацию на маршрутизаторе MikroTik. Откройте меню «IP» и выберите «Routes». Нажмите кнопку «Add New» и добавьте маршрут для каждой сети, к которой вы хотите иметь доступ.

6. Настройка NAT

Для обеспечения доступа в Интернет для компьютеров в вашей сети необходимо настроить NAT (Network Address Translation). Откройте меню «IP» и выберите «Firewall». Нажмите кнопку «NAT» и добавьте правило NAT согласно требованиям вашей сети. Например, вы можете настроить правило перевода IP-адресов локальной сети в общедоступные IP-адреса.

После выполнения всех указанных выше шагов ваш маршрутизатор MikroTik будет готов к использованию. Обратите внимание, что эти инструкции предоставляют общую информацию о настройке основных параметров MikroTik для офиса и могут не подходить для всех конкретных случаев. Рекомендуется обратиться к руководству пользователя MikroTik и получить консультацию у специалиста, если у вас возникнут сложности при настройке.

Оптимизация MikroTik для повышения производительности сети в офисе

Для обеспечения эффективной работы сети в офисе с использованием MikroTik, необходимо провести оптимизацию настройкой параметров роутера. Ниже приведены основные рекомендации по оптимизации MikroTik для повышения производительности сети.

1. Обновить прошивку роутера

Периодически производитель MikroTik выпускает обновления прошивки для своих устройств. Обновление прошивки поможет исправить ошибки и улучшить производительность роутера. Чтобы обновить прошивку, нужно зайти в раздел «System» -> «Packages» и нажать кнопку «Check For Updates». Если доступна новая версия прошивки, ее можно скачать и установить.

2. Настроить правила Firewall

Настройка правил фаервола позволит улучшить производительность сети, исключив ненужный трафик и защитив сеть от внешних атак. Рекомендуется создать правила, разрешающие только необходимые соединения и блокирующие нежелательный трафик.

3. Использовать сетевые мосты

Создание сетевых мостов позволит объединить различные сети и устройства в одну сеть, упростив настройку и управление сетью. Для создания моста нужно зайти в раздел «Bridge», нажать кнопку «Add Bridge» и добавить нужные интерфейсы в мост.

4. Настроить беспроводные сети

При настройке беспроводных сетей рекомендуется использовать разные частотные диапазоны, чтобы избежать перегрузки канала. Также полезно настроить QoS, чтобы предоставить приоритетную пропускную способность для важного трафика.

5. Настроить QoS (Quality of Service)

Настройка QoS позволяет предоставлять приоритетную пропускную способность для важного трафика. Рекомендуется определить основные типы трафика и установить им соответствующие приоритеты. Это поможет предотвратить проблемы с задержкой и потерей пакетов во время интенсивной загрузки сети.

6. Оптимизация маршрутизации

Оптимизация маршрутизации позволяет ускорить передачу данных в сети. Для этого можно использовать протоколы динамической маршрутизации, такие как OSPF или BGP, к которым можно настроить фильтрацию маршрутов и установить наиболее оптимальные маршруты.

7. Мониторинг и анализ производительности

Для контроля и оптимизации производительности сети рекомендуется использовать инструменты мониторинга и анализа, доступные в MikroTik. Например, можно использовать «Tools» -> «Graphing» для отображения графиков использования ресурсов роутера (память, CPU, трафик и т. д.) и «Tools» -> «Profile» для определения, какие процессы занимают больше всего ресурсов роутера.

Используя вышеуказанные рекомендации, вы сможете оптимизировать MikroTik для повышения производительности сети в офисе. Помните, что каждая сеть уникальна и может требовать индивидуальной настройки для достижения оптимальной производительности.

Типичная задачка, когда есть центральный офис и филиалы, для которых необходимо обеспечить удаленный доступ к приложению в центральном офисе. Конечно можно отказаться от двух каналов, VPN и OSPF, опубликовав просто терминал-сервер наружу, но это совсем не секурно и не серьезно.

Схема следующая:

Центральный офис с стабильным интернет-каналом и белым статичским ip-адресом. Маршрутизатор выступает в качестчве VPN сервера. За маршрутизатором MS Terminal Server (порт 3389/tcp).

В качестве центрального маршрутизатора, для средней нагрузки, рекомендую MikroTik HEX (RB750Gr3). Несомненным плюсом является что прямо на нем можно запускать Dude сервер, для мониторинга сети.

Филиал с не очень стабильным интернет-каналом и запасным через USB LTE модем. Для филиала отлично подойдет MikroTik RB951Ui-2HnD. Одна из самых удачных моделей для дома и малого бизнеса.

И так, приступим.

Настройка маршрутизатора в центральном офисе

Подключаемся к маршрутизатору через Winbox и сбрасываем настройки. После перезагрузки первым делом устанавливаем пароль для admin.

/user set admin password=ВашПароль

Указываем имя для маршрутизатора:

/system identity set name=»Office»

Настройка Интернета

К первому порту подключаем Интернет:

/interface ethernet set [ find default-name=ether1 ] name=wan

Прописываем адрес и шлюз (жирным выделено то что нужно под себя изменить):

/ip address add address=1.2.3.4/24 disabled=no interface=wan
/ip route add dst-address=0.0.0.0/0 gateway=1.2.3.1 distance=1

Делаем маскарадинг:

/ip firewall nat add action=masquerade chain=srcnat out-interface=wan

Настройка локальной сети

Локальную сеть подключаем к пятому порту. Остальные порты, в будущем, можно будет использовать для других целей, например для подключении резервного канала.

/interface ethernet set [ find default-name=ether5 ] name=lan
/ip address add address=192.168.0.1/24 disabled=no interface=lan

Создаем dhcp сервер для локальной сети:

/ip pool add name=pool-lan ranges=192.168.0.11-192.168.0.199
/ip dhcp-server add address-pool=pool-lan interface=lan name=dhcp-lan disable=no
/ip dhcp-server network add address=192.168.0.0/24 dns-server=192.168.0.1 gateway=192.168.0.1

Настроиваем dns сервер на маршрутизаторе. Если у вас использует контроллер домена и dns сервер на нем, то лучше использовать его.

/ip dns set allow-remote-requests=yes servers=77.88.8.88,77.88.8.2
/ip dns static add address=192.168.0.1 name=router0

Настройки vpn-тунелей, для подключения филиалов.

Для l2tp адреса будем выдавать в сети 10.1.1.0/24:

/ip pool add name=pool-l2tp ranges=10.1.1.2-10.1.1.99

Для sstp в 10.1.2.0/24:

/ip pool add name=pool-sstp ranges=10.1.2.2-10.1.2.99

Настраиваем профиль для тунелей:

/ppp profile add change-tcp-mss=yes local-address=10.1.1.1 name=profile-l2tp remote-address=pool-l2tp use-encryption=yes
/ppp profile add change-tcp-mss=yes local-address=10.1.2.1 name=profile-sstp remote-address=pool-sstp use-encryption=yes

И разрешаем маршрутизатору быть l2tp & sstp сервером:

/interface l2tp-server server set authentication=mschap2 default-profile=profile-l2tp enabled=yes
/interface sstp-server server set authentication=mschap2 default-profile=profile-sstp enabled=yes

Настройка OSPF

Пакет routing должен быть на маршрутизаторе установлен и активирован.

На каждом маршрутизаторе instance должен быть свой. Предлагаю использовать локальный адрес сети филиала. Для центрального офиса это 192.168.0.0:

/routing ospf instance set [ find default=yes ] router-id=192.168.0.0

Добавляем локальные сети в backbone:

/routing ospf network add area=backbone network=10.1.1.0/24
/routing ospf network add area=backbone network=10.1.2.0/24
/routing ospf network add area=backbone network=192.168.0.0/24

Настройка файервола

input — входящие соединения с маршрутизатором.

Разрешаем ping:

/ip firewall filter add chain=input action=accept protocol=icmp comment=icmp disabled=no

Разрешаем трафик по уже установленным соединениями и ответам на них:

/ip firewall filter add chain=input action=accept connection-state=established,related comment=»established & related» disabled=no

Разрешаем доступ из локальной сети к dns серверу на маршрутизаторе:

/ip firewall filter add chain=input action=accept dst-port=53 protocol=udp in-interface=lan comment=»dns» disabled=no

Создаем групу AdminIP которой будет разрешен доступ к маршрутизатору и добавляем туда локальную подсеть:

/ip firewall address-list add address=192.168.0.0/24 list=AdminIP
/ip firewall filter add chain=input action=accept src-address-list=AdminIP comment=»access for AdminIP group» disabled=no

Пример добавления в группе ip-адреса по имени. Например для доступа к машрутизатору из дома. ЭТО ТОЛЬКО ПРИМЕР!

/ip firewall address-list add address=home.asp24.ru list=AdminIP

Разрешаем запрос соединения для l2tp:

/ip firewall filter add chain=input action=accept dst-port=1701 in-interface=wan protocol=udp comment=l2tp

Разрешаем запрос соединения для sstp:

/ip firewall filter add chain=input action=accept dst-port=443 in-interface=wan protocol=tcp comment=sstp

Для всех тунелей разрешаем служебный трафик ospf:

/ip firewall filter add chain=input action=accept in-interface=all-ppp protocol=ospf comment=ospf

Для всех тунелей разрешаем bfd (служебный протокол поверх ospf, позволяющий более оперативно переключаться на резерный маршрут):

/ip firewall filter add chain=input action=accept dst-port=3784-3785 in-interface=all-ppp protocol=udp comment=bfd

Все остальное блокируем:

/ip firewall filter add chain=input action=drop comment=»all other drop» disabled=no

forward — соединения проходящие через маршрутизатор.

Все соединения из филиалов к локальной сети перенаправляем в цепочку FromFilial:

/ip firewall filter add action=jump chain=forward comment=»branch to office» in-interface=all-ppp jump-target=FromFilial

Для цепочки FromFilial разрешаем соединения на Сервер терминалов (порт 3389/tcp):

/ip firewall filter add action=accept chain=FromFilial comment=rdp dst-port=3389 out-interface=lan protocol=tcp

Только для адресов входящих в группу AdminIP разрешаем доступ из локальной сети в сети филиалов:

/ip firewall filter add chain=forward action=accept in-interface=lan out-interface=all-ppp src-address-list=AdminIP comment=»Allow access to Filial for AdminIP group»

Разрешаем трафик по уже установленным соединениями и ответам на них:

/ip firewall filter add chain=forward action=accept connection-state=established,related comment=»Allow established & related» disabled=no

Создаем список адресов Internet и разрешаем ему выход в интернет:

/ip firewall address-list add address=192.168.0.0/24 list=Internet
/ip firewall filter add chain=forward action=accept in-interface=lan out-interface=wan src-address-list=Internet comment=»Allow access to internet for Internet group»

Все остальное запрещаем:

/ip firewall filter add chain=forward action=drop comment=»All other drop» disabled=no

Настраиваем время и сервер времени:

/system clock set time-zone-name=manual
/system clock manual set time-zone=+03:00
/system clock set time-zone-autodetect=no
/system ntp client set enabled=yes primary-ntp=95.213.132.254 secondary-ntp=213.28.138.38

Доступ к маршрутизатору по MAC адресу:

tool mac-server
set [ find default=yes ] disabled=yes
add interface=lan
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=lan

При подключении удаленного филиала необходимо выполнить следующие команды:

Настройка тунелей:

/interface l2tp-server add name=l2tp-in01 user=l2tp-01
/interface sstp-server add name=sstp-in01 user=sstp-01
/ppp secret add name=l2tp-01 password=password1 profile=profile-l2tp service=l2tp
/ppp secret add name=sstp-01 password=password1 profile=profile-sstp service=sstp

Настройка ospf:

/routing ospf interface add cost=10 interface=l2tp-in01 network-type=broadcast use-bfd=yes
/routing ospf interface add cost=20 interface=sstp-in01 network-type=broadcast use-bfd=yes

На этом настройка центрального маршрутизатора закончена.

Для подключения каждого последующего филиала меняйте 01 на следующий номер.

Продолжение: MikroTik настройка офис-филиал. Часть 2: Филиал

Используемый материал