Сегодня поговорим про базовою настройку MikroTik для доступа в интернет. Данная инструкция написана как говорится для чайников так как все будем делать с нуля. Все настройки проводим на одном из популярных маршрутизаторов линейки, модели RB951G-2HnD. Все что тут описано подойдет к любому устройству, работающему на операционной системе RouterOS (то есть почти на все устройства Микротик).
Если вы хотите углубить свои знания по работе с роутерами MikroTik, то наша команда рекомендует пройти курсы которые сделаны на основе MikroTik Certified Network Associate и расширены автором на основе опыта . Подробно читайте ниже.
Содержание
- Немного общей информации
- Распаковка и сброс настроек
- Настройка локальной сети
- Настройка DHCP сервера и шлюза по умолчанию для LAN
- Настройка интернета в микротик
- Настройка NAT на Микротике
- Настройка wifi точки доступа на MikroTik
- 89 вопросов по настройке MikroTik
Немного общей информации
MikroTik это – маршрутизаторы, коммутаторы, точки доступа и много другое оборудование которое выпускает Латвийская фирма. Больше всего она получила свою известность именно за недорогие и функциональные сетевые устройства.
Действительно, когда я первый раз начал его настраивать, первое что я сказал: «Ого и это все можно сделать на железки за 1500 рублей». Масштаб возможностей роутеров действительно поражает это и мультикаст, MPLS, огромное количество технологий VPN. Да он один может справится с работой небальной компании и филиалов, подключённых по pptp например.
Конечно есть и один минус, для неопытных пользователей настроить микротик с первого раза будет сложно. Для этого я и пишу данную статью.
Распаковка и сброс настроек
И так, к нам в руки попал один из роутеров, первым делом нам нужно установить на компьютер утилиту для настройки – mikrotik winbox. Через нее конфигурируются все роутеры данной фирмы, только коммутаторы используют для этих целей web-интерфейс (и то не все).
Подключаем наше устройства к сети «в любой порт кроме первого, так как на нем присутствует настройка по умолчанию, и он выделен под интернет» и запускает winbox. Теперь переходим на вкладку Neighbors (обнаружение) и подождем немного должно появится наше устройство. Нажимаем на mac адрес вводим логин по умолчанию «admin» и подключаемся.
После входа выводится окно «RouterOS Default Configuration» со стандартными настройками от производителя. Их стоит оставить только в том случае если вы дальше ничего настраивать не будете. Так как для новичка разобраться в них будет сложно, поэтому сбрасываем MikroTik нажав на кнопку «Remove Configuration».
Заметка! Полностью сбросить настройки также можно нажав и удерживая сзади устройства кнопку Reset или набрать в терминале system reset. Почитать об это можно тут. Теперь примерно через минуту он перезагрузится, и мы снова подключаемся к нему.
Настройка локальной сети
Первым делом давайте создадим локальную сеть для нашего офиса или дома. Особенностью микротик является то что все порты у него равны, то есть нет определенно выделенного порта под интернет, а другие под локалку. Мы можем сами выбирать как нам угодно, для этого есть механизм «Bridge». Простым языком Бридж это – объединение физических портов в пул логических (грубо говоря в один широковещательный домен). Замечу что Wi-Fi является тоже интерфейсов и если мы хотим, чтоб в нем была та же LAN сеть что и в портах, его также нужно добавить в Bridge.
В моем примере я сделаю WAN порт пятым, а все остальные объединим в бридж, и они будет в роли свитча.
- Переходим в нужный раздел;
- Создаем сам бридж;
- Сохраняем.
Все настройки в данном месте у микротика можно оставить по умолчанию, на ваше усмотрение поменяйте название на более понятное, например, «bridge_lan». Переходим на следующую вкладку «port» и добавляем через кнопку плюс все порты кроме ether5.
Первый этап конфигурирования интерфейсов на уровне портов закончен, теперь у нас в ether1,2,3,4 и wlan1 единый широковещательный домен, а ether5 для подключения к провайдеру.
Настройка DHCP сервера и шлюза по умолчанию для LAN
Теперь на нашем роутере нужно настроить DHCP сервер и дать ip адрес интерфейсу, который будет шлюзом для внутренней сети. Для этого идем IP -> Addresses и добавляем его.
В поле адрес вводим ту подсеть, которая вам нужна и выбираем интерфейс bridge1, после этого наш MikroTik будет доступен по этому адресу чрез объединённые порты и через wifi (который мы еще настроим).
Дальше чтобы все устройства в сети могли получать адреса автоматически мы переходим в раздел IP-> DHCP и собственно настраиваем его через кнопку «DHCP Setup». Выбираем интерфейс, на котором он будет работать «это наш bridge1», жмем Next и оставляем пространства адресов по умолчанию. В моем случае это будет подсеть в которой находится сам роутер. То есть раздавать микротик будет адреса с 192.168.9.2-192.168.9.255.
После указываем адрес шлюза, который будут получат все подключенные устройства, так как это mikrotik оставляем значение по умолчанию.
В следующем окне перед нами встает выбор, раздавать ли весь диапазон адресов или его часть. По правильному лучше исключить первые 10 так как в будущем может появиться еще один роутер или коммутаторы которым желательно задать ip статикой. Но сейчас нам не принципиально, и мы оставляем как есть.
Наконец последним этапом указываем DNS. Если в вашей сети есть выделенный DNS сервер, то пишем его ip, если нет и вы настраиваете, например, для дома пишем ip самого роутера (в большинстве случаем так оно и будет).
Жмем далее, следующие значение не меняем. Все настройка DHCP сервера и шлюза по умолчанию на микротике закончена, переходим к следующему разделу.
Настройка интернета в микротик
Пришло время подключить наш роутер к провайдеру и настроить интернет. Вариантов это сделать масса, я расскажу о двух самых популярных:
- Провайдер завел вам кабель, и вы получаете все настройки по DHCP.
- Провайдер выдал вам настройки, и вы должны их ввести вручную.
И так, подключаем провод в 5 торт (как писалось выше я буду использовать его), идем в раздел IP -> DHCP Client выбираем в Interface наш порт, проверяем чтобы галочки все стояли как на скриншоте и Add Default Route было выбрано yes.
Проверить правильность настройки можно тут же или в разделе IP-> Addresses, если получил ip то мы молодцы.
Вариант номер 2. Настройки от провайдера нужно ввести вручную, имеют они следующий вид:
- IP адрес 192.168.1.104
- Маска 255.255.255.0
- Шлюз 192.168.1.1
- DNS 192.168.1.1
Первое, указываем ip в том же разделе, как и при указании статического адреса. Только тут мы выбираем интерфейс ether5 – 192.168.1.104/24.
Второе, нужно указать шлюз по умолчанию (то есть адрес куда mikrotik будет оправлять все запросы если сам ответа не знает, а это все что мы ищем в интернете). Идем в IP -> Routes и через + добавляем новый маршрут как показано на рисунке.
Третье, указываем DNS сервер (это специальный узел, который сопоставляет ip с адресами, например, vk.ru = 89.111.176.202). Идем IP -> DNS и в поле Servers вводим его адрес.
Конфигурирование провайдерского интернета закончено, давайте проверим все ли сделано правильно используя утилиту ping на ya.ru.
На этом настройка mikrotik не закончена, для того чтобы устройства из локальной сети могли выходить в интернет нужно еще сделать одну вещь.
Настройка NAT на Микротике
NAT это технология придуманная из-за нехватки ipv4, в дословном переводе означает «трансляция сетевых адресов». Простыми словами роутер будет подменять все запросы от локальной сети и отправлять их со своего ip. Дополнительный плюс — это закрывает внутреннюю сеть и защищает ее. Все ее настройки делаются в IP-> Firewall вкладка NAT. Добавляем правило:
- Chain – srcnat
- Interface – ether5
- На вкладке Action выбираем – masquerade.
Жмем ОК и на компьютерах в сети должен появится интернет. То есть они получат все необходимые настройки от микротока по DHCP, отработает NAT, DNS и запрос уйдет на шлюз по умолчанию. Но как же Wi-Fi?, его по-прежнему нет, сейчас мы это исправим.
Настройка wifi точки доступа на MikroTik
По правде сказать, Wi-Fi это очень объёмная тема, которую можно расписать на пару статей. Здесь же я покажу как быстро настроить wifi на микротике для домашних нужд или не большого офиса. Если же вам нужно разобрать во всем детальнее (ccq, ширина канала и т.д) то мы позже напишем статью и на эту тему.
По умолчанию wlan интерфейс выключен, поэтому идем и включаем его в разделе Wireless.
Далее надо настроить Security Profile – это место где мы задаем параметры безопасности для точки доступа.
- Переходим в нужную вкладку;
- Открываем двумя кликами «default» профйал;
- Указываем – dynamic keys;
- Тип авторизации отмечаем – WAP PSK, WAP2 PSK, aes ccm;
- В графе WAP и WAP2 Pre-Shared Key – указываем пароль от Wi-FI (придумайте сложный).
Здесь закончили, сохраняем все и переходим в разделе Wireless на вкладку interfaces, двойным щелчкам открываем wlan1. Дальше указываем все так как у меня.
Здесь стоит обратить внимание на следующие параметры:
- SSID –это имя точки доступа которое будут видеть WI-FI устройства;
- Mode – ap bridge, ставьте именно это значение.
Такие значение как «Frequency» делайте как на скриншоте, это например частота канала. Ее по-хорошему нужно выбирать после анализа частотного спектра, но, если вы не знаете, что это ставьте любое значение, работать будет. На этом настройка роутера микротик с нуля закончена, можно пользоваться.
Также рекомендую задать пароль администратора, ото без него любой введя логин admin сможет подключиться к вашему устройству. Делается это в System -> Users.
Шелкам правой кнопкой мышки на имя и выбираем поле «Password». В открывшемся окне собственно вводим и подтверждаем его. Всем пока надеюсь, что статья была полезной, оставляете свои вопросы в комментариях и вступайте в нашу группу Телеграмм (откроется новая страница в браузере – нажмите на кнопку открыть в Telegram).
Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдете для себя полезную информацию в курсе «Настройка оборудования MikroTik». 162 видеоурока, большая лабораторная работа и 89 вопросов, на каждый из которых вы будете знать ответ. Подробности и доступ к началу курса бесплатно тут.
Настройка маршрутизаторов на RouterOS 7 описана в статье: Настройка маршрутизатора MikroTik с нуля (RouterOS 7).
Ниже представленный материал описывает пошаговую настройку маршрутизатора MikroTik для дома или небольшого офиса от момента его подключения к электрической розетке до момента, когда роутер можно убрать на свое рабочее место и благополучно о нем забыть. Конфигурация включает в себя настройка проводных сетевых интерфейсов, работающих в локальной сети, настройка для работы с интернетом провайдера, настройка Wi-Fi, минимальная необходимая конфигурация Firewall и другие настройки для безопасной работы маршрутизатора и устройств подключенных к нему.
Настройка будет производиться на примере маршрутизатора MikroTik hAP ac^2 (RBD52G-5HacD2HnD), но другие устройства настраиваются точно так же, т.к. все маршрутизаторы работают под управлением единой системы RouterOS. Изначально настраиваемый экземпляр имел версию RouterOS 6.44. Настройка описывает подключение абонентов к сети интернет по технологии Ethernet.
- Подготовка к настройке
- Первое подключение к маршрутизатору MikroTik
- Настройка пользователей в MikroTik
- Настройка локальной сети
- Настройка интернет на MikroTik
- Обновление RouterOS
- Работа с пакетами
- Настройка синхронизации времени
- Настройка Wi-Fi
- Дополнительные настройки
- Заключение
Подготовка к настройке
Первым делом обзаводимся проводом UPT5 (патч-кордом), которым компьютер будет подключаться к маршрутизатору, к сожалению, производитель не комплектует свои устройства такой мелочью. Вторым, скачиваем программу WinBox с сайта MikroTik (прямые ссылки для версии WinBox_x32 и WinBox_x64). Маршрутизатор можно настраивать через Web интерфейс, через командную строку при помощи Telnet или SSH, но WinBox самый наглядный и удобный инструмент для настройки (особенно для не подготовленного пользователя). Третье, в настройках сетевой карты компьютера проверить, а по необходимости установить, получение IPv4 адреса по DHCP. Для компьютеров на ОС Windows это делается в Панель управления -> Все элементы панели управления -> Центр управления сетями и общим доступом -> Изменение параметров адаптера -> правой клавишей на Подключение по локальной сети -> Свойства -> IP версии 4 (TCP/IP) (Галочка должна быть установлена!!!) -> Свойства
, установить Получить IP-адрес автоматически
и Получить адрес DNS сервера автоматически
.
Первое подключение к маршрутизатору MikroTik
Провод провайдера, по которому приходит интернет, не подключаем!!! Это будет сделано позже.
Патч-кордом подключаем компьютер к устройству, на маршрутизаторе, для подключения используем порты со 2 по 5. Включаем устройство в электрическую розетку. Запускаем WinBox. После загрузки маршрутизатора в WinBox во вкладке Neighbors
мы увидим наше устройство. Нажимаем на него, в поле Login
пишем пользователя admin
, поле Password
оставляем пустым, кнопка Connect
.
При первом входе на устройство появляется сообщение с настройками роутера «из коробки». Те, кто хочет попробовать быстро настроить устройство, могут нажать кнопку OK
и далее попробовать настроить свое устройство через режим Quick Set
, у кого-то это получится, у кого-то нет, кто-то будет крыть устройство, компанию и тех, кто посоветовал это приобрести на чем свет стоит. Те, кто нажал кнопку OK
и у него ничего не получилось сбрасывает устройства к заводским настройкам: System -> Reset configuration -> Do Not Backup -> Reset Configuration
. Все остальные и вернувшиеся после сброса устройства читают дальше
При первом входе в появившемся окне нажимаем кнопку Remove Configuration
, это удалит все заводские настройки. Вот теперь, это абсолютно не настроенное устройство, мы будем конфигурировать под себя.
Настройка пользователей в MikroTik
После сброса конфигурации обычно происходит отключение от текущей сессии, в WinBox на странице авторизации в списке устройств отображается настраиваемый маршрутизатор. Т.к. назначенного адреса теперь у устройства нет, входим по MAC адресу нажав на соответствующее поле, Login: admin
, Password: оставляем пустым, далее Connect
.
Безопасность на первом месте, поэтому сразу меняем пароль пользователя admin
, меню System -> Users
, вкладка Users
, правой клавишей на пользователе Password...
и здесь же создаем нового пользователя с правами администратора, под которым будем работать постоянно, нажимаем + (Add)
, вводим имя нового пользователя, в выпадающем меню Group
выбираем full
, вводим пароль и подтверждение пароля, OK
. В верхнем меню нажимаем Session -> Disconnect
. Сложность пароля оставляю на совесть каждого, но лучше задать достаточно сложный пароль.
Повторяем подключение по MAC адресу, но уже под созданным новым пользователем. Если все хорошо, то опять переходим к списку пользователей и отключаем учетную запись admin
, предварительно выбрав ее и нажав красный крест. Изначально мы не отключили учетную запись администратора, чтобы если под новой учетной записью войти не удастся, то можно было бы зайти под админом. Пароль администратора был задан на случай, если учетная запись будет, по каким-то причинам включена, то защита паролем уже будет стоять.
Настройка локальной сети
В боковом меню выбираем Bridge
. На вкладке Bridge
нажимаем +
. В открывшемся окне в поле Name
вводим удобное для понимания имя и нажимаем OK
.
Для чего это делать? В обычном домашнем роутере, например, D-Link DIR-300, есть пять ethernet портов + Wi-Fi, четыре порта подписаны от 1 до 4, они предназначены для проводного подключения домашних устройств. Эти четыре порта объединены в один Bridge, в который объединен и Wi-Fi, устройства, подключенные к этим портам и Wi-Fi, объединяются в локальную сеть. В устройствах MikroTik другой подход, каждый проводной порт и каждый интерфейс Wi-Fi может быть настроен отдельно, и то, что на роутере сзади написано первый порт интернет, а со второго по пятый это локальная сеть, является только для конфигурации по умолчанию, которую мы успешно удалили В MikroTik не обязательно первый порт может служить для выхода в интернет, настроить для этого можно любой порт, или два отдельных порта, в случае использования двух провайдеров. Но мы пока рассматриваем классический пример, созданный Bridge будет объединять проводные и беспроводные порты для локальной сети.
Переходим на вкладку Ports
. На вкладке Ports
нажимаем +
и последовательно по одному порту добавляем в созданный Bridge порты, к которым будут подключаться устройства локальной сети. Первый порт трогать не будем, он будет для подключения интернет, добавляем порты ethernet2
, ethernet3
, ethernet4
, ethernet5
. Сюда же добавляем интерфейсы wlan1
и, если есть, wlan2
(по умолчанию в устройствах MikroTik wlan1 это адаптер на 2.4GHz, wlan2 адаптер на 5GHz).
В соответствующие поля выбираем нужный интерфейс и созданный нами Bridge, нажимаем OK
. Затем опять +
, пока не добавим все необходимые интерфейсы.
Закрываем окно Bridge
. В боковом меню открываем IP -> Addresses
. Установим нашему маршрутизатору IP адрес в нашей маленькой локальной сети. В окне Address List
нажимаем +
. В открывшемся окне вносим:
- Address — IP адрес маршрутизатора, через
/
(прямой слеш) указываем маску подсети. Например, для нашей тестовой конфигурации будет 192.168.111.1/24. Префикс /24 соответствует маске 255.255.255.0 и позволяет использовать 254 адреса в локальной сети. - Network — в данном случае пропускаем, после нажатия кнопки
OK
, данное поле будет заполнено само. - Interface — выбираем созданный нами
Bridge
.
Нажимаем OK
, закрываем окно Address List
и переходим к настройке сервиса, выдающего IP адреса устройствам в локальной сети, а вместе с ними минимальный набор сетевых настроек — DHCP сервера. В боковом меню переходим IP -> DHCP Server
. В открывшемся окне нажимаем кнопку DHCP Setup
. В открывшемся окне последовательно выбираем/заполняем необходимые поля.
DHCP Server Interface — интерфейс, на котором будет работать данная конфигурация DHCP сервера, выбираем наш созданный ранее Bridge. Нажимаем Next
.
DHCP Address Space — используемое адресное пространство для раздачи адресов, указывается как Network/Mask
. Network мы могли видеть ранее, когда устанавливали IP адрес маршрутизатору, мы его не заполняли, но он установился сам, для данной конфигурации используем его. Mask — маска подсети, этот параметр тоже использовался ранее при назначении IP адреса маршрутизатору. Если ничего не понятно, что все это и зачем, то стоит почитать немного про сети, если лень, то делай как я :))) Для нашей конфигурации — это будет выглядеть так: 192.168.111.0/24
. Нажимаем Next
.
Gateway For DHCP Network — адрес маршрутизатора в сети. Здесь всё просто, поскольку мы настраиваем устройство как маршрутизатор, и он у нас единственный в сети, то в поле записываем выданный нами ранее адрес маршрутизатора — 192.168.111.1
(Здесь маска сети не указывается!). Нажимаем Next
.
Addresses to Give Out — диапазон IP адресов, выдаваемых DHCP сервером. Используемая маска /24 ограничивает нас количеством в 254 адреса, поскольку адрес 192.168.111.1 уже занят, то он не должен попадать в этот диапазон, если в сети нет других статических адресов, то можно использовать весь диапазон от 2 до 254. Описываемая конфигурация будет ограничиваться только сотней выдаваемых сервером адресов, 192.168.111.101 - 192.168.111.200
. Нажимаем Next
.
DNS Servers — адрес(а) сервера(ов) предназначенных для получения IP адресов в сети по имени хостов/доменов. Тоже всё просто, если в сети нет отдельных серверов DNS, сервера провайдера не считаются, то это наш маршрутизатор. Для нашей конфигурации это 192.168.111.1
. Нажимаем Next
.
Lease Time — Время аренды адреса. По истечении этого времени если адрес не используется, то он освобождается и может быть назначен другому устройству, если адрес используется, то аренда продлевается на время Lease Time. Одного часа достаточно. Next
и нам сообщают об успешной настройке DHCP сервера.
Переходим на вкладку Networks
. Дважды нажимаем на созданной конфигурации, в поле NTP Servers
(серверы времени) записываем адрес нашего маршрутизатора. Теперь устройства, поддерживающие данную настройку, будут синхронизировать свои часы с маршрутизатором.
Перейдя на вкладку Leases
можно увидеть, что одно устройство получило IP адрес в локальной сети, это компьютер, с которого происходит настройка маршрутизатора.
Настройка интернет на MikroTik
Закрываем все окна в WinBox. В боковом меню открываем Interfaces
. Дважды нажимаем на интерфейсе ether1
, в поле Name
пишем ehter1-wan
, сохраняем нажав OK
. Переименование сделано для удобства чтения конфигурации в будущем.
Переходим на вкладку Interface List
, нажимаем кнопку Lists
. В открывшемся окне создадим несколько новых списков интерфейсов. Списки удобно использовать что бы не добавлять в разных настройках несколько интерфейсов, достаточно использовать в настройке список, а необходимые интерфейсы добавлять уже в этот список. Последовательно добавляем списки нажав +
.
- list-wan — список интерфейсов, подключенных к провайдерам. В описываемой конфигурации в списке будет один интерфейс, но список может оказаться полезным при использовании подключений VPN или подключении второго канала интернет.
- list-discovery — список интерфейсов, которые будут использоваться службами Neighbor Discovery и MAC Server. Используется для безопасности нашего устройства.
В списках должно быть две новых записи:
Закрываем окно редактирования Interface Lists
. Добавляем в созданные списки необходимые интерфейсы.
- Интерфейс
ether1-wan
в списокlist-wan
- Созданный ранее Bridge интерфейс
bridge-home
в списокlist-discovery
В итоге должно получиться так:
Обезопасим маршрутизатор и устройства локальной сети от доступа к ним из сети интернет. Открываем окно IP -> Firewall
. На вкладке Filter Rules
нажимаем +
и добавляем новое правило. В открывшемся окне на вкладке General
добавляем:
- Chain — Input
- In Interface List — list-wan
- Connection State — отмечаем в окне первый не подписанный квадрат, он выделится восклицательным знаком, далее выбираем
established
иrelated
На вкладке Action
в разделе Action
выбираем drop
. Нажимаем OK
.
Созданное правило будет читаться так: Пакеты, приходящие на интерфейсы из списка list-wan не относящиеся (восклицательный знак в поле Connection State) к уже установленным и связанным подключениям будут отброшены. Цепочка (Chain) Input действует только на входящие пакеты, относящиеся к интерфейсам маршрутизатора. Действие (Action) drop отбрасывает все пакеты, попадающие под данное правило и в ответ, не отсылает никаких сообщений.
Создадим второе правило, точнее создадим его на основе первого. На созданном ранее правиле нажимаем дважды в открывшемся окне кнопку Copy
, откроется окно создания нового правила, но с настройками как у предыдущего. В поле Chain
нового правила выставляем forward
. Закрываем оба правила клавишей OK.
Второе правило будет похоже на первое за тем исключением, что оно действует только на пакеты, приходящие на интерфейсы из списка list-wan, но которые транслируются дальше на устройства локальной сети.
Два этих правила, это минимальная необходимая настройка Firewall для защиты от несанкционированного доступа из сети интернет. Весь остальной трафик будет никак не ограничен маршрутизатором, но поскольку настройка Firewall это отдельная большая тема, то описывать ее в рамках этой статьи не будем.
Предоставляем доступ в интернет устройствам подключенных к локальной сети обслуживаемой маршрутизатором с помощью службы NAT. Переходим на вкладку NAT
, добавляем новое правило +
. В открывшемся окне в поле Chain
выставляем srcnat
, в поле Out Interface List
— list-wan
.
На вкладке Action
в разделе Action
выбираем masquerade
. Нажимаем OK
.
Настраиваем DNS. В боковом меню переходим IP -> DNS
. В качестве используемых внешних серверов DNS будем использовать сервера Google. В открывшемся окне в поля Servers
вписываем IP адреса 8.8.8.8
и 8.8.4.4
. Что бы наш маршрутизатор работал как DNS сервер для устройств в локальной сети включаем Allow Remote Requests
. Нажимаем OK
.
Некоторые провайдеры используют привязку MAC адреса интерфейса на своем оборудовании, поэтому перед подключением необходимо позвонить провайдеру и сообщить о том, что у вас поменялось устройство.
Если звонок провайдеру вызывает какие-либо проблемы, то можно сменить MAC адрес на интерфейсе, к которому подключается провод провайдера. К сожалению, в настройках интерфейсов нельзя сменить MAC адрес изменив соответствующее поле, но он меняется через команду в консоли. В боковом меню нажимаем New Terminal
и в открывшемся окне вводим:
/interface ethernet set ether1-wan mac-address="00:00:00:00:00:00"
Соответственно вместо 00:00:00:00:00:00 вводим необходимый MAC адрес.
Теперь подключаем провод провайдера в порт 1 нашего устройства!
Назначаем IP адрес нашему интерфейсу, к которому будет подключен провод провайдера, в нашем случае это ether1-wan
. IP адрес может быть назначен двумя способами.
- Получение IP адреса от оборудования провайдера по DHCP.
- Если первый вариант провайдером не поддерживается, то настройки вносятся в оборудование вручную.
Как назначается IP адрес обычно написано в договоре или памятке к договору, заключаемому с провайдером. Если нет уверенности, то узнать это можно в службе поддержки провайдера. Рассмотрим оба варианта.
Вариант #1. Получение IP адреса абонентским оборудованием происходит от оборудования провайдера по DHCP. Переходим в боковом меню IP -> DHCP Client
. В открывшемся окне выбираем интерфейс ether1-wan
, отключаем Use Peer DNS
(мы будем использовать свои DNS сервера, настройка выше) и Use Peer NTP
(мы настроим синхронизацию времени позднее), Add Defaut Gateway
выставляем yes
. Нажимаем OK
.
При успешном получении во вкладке IP -> Addresses
можно увидеть IP адрес устройства. Напротив, полученного адреса указана буква «D» означающая, что адрес получен динамически.
Вариант #2. Если настройки провайдера необходимо указать вручную, то назначение IP адреса происходит по аналогии как мы назначали адрес интерфейсу Bridge ранее. Переходим во вкладку IP -> Addresses
, нажимаем +
. В открывшемся окне выбираем WAN интерфейс ether1-wan
, вводим IP адрес с маской и заполняем поле Network
.
Здесь рассмотрим поподробнее. В договоре провайдера маска обычно записывается в виде X.X.X.X (например, 255.255.255.0), а в MikroTik ее надо записать префиксом /Y (например, /24), что бы перевести одно в другое, а заодно рассчитать поле Network
воспользуемся IP калькулятором (online калькулятор). В поле IP адрес, вносим адрес выданный провайдером, в поле маска подставляем подходящее значение, нажимаем Подсчитать
.
В полученном расчете нам понадобятся Bitmask
и Network
. Для описываемой конфигурации в поле Address
вводим IP адрес с префиксом маски 10.33.1.249/26
, в поле Network
вводим 10.33.1.192
. Нажимаем OK
.
После ввода IP адреса добавляем маршрут по умолчанию (при получении IP адреса по DHCP маршрут добавляется сам, т.к. был выставлен Add Default Gateway = yes
). В боковом меню переходим IP -> Route
, нажимаем +
. В открывшимся окне в поле Dst. Address
пишем 0.0.0.0/0
, это значит все доступные адреса, в поле Gateway
шлюз, указанный в настройках провайдера 10.33.1.193
. Нажимаем OK
.
После этого должен заработать интернет на маршрутизаторе и устройствах локальной сети. Бывает, что устройство необходимо перезагрузить, после чего все начинает работать.
Обновление RouterOS
RouterOS, как и любое программное обеспечение может содержать ошибки, некоторые из них мелкие и не мешают работе, но могут быть критические ошибки, которые могут повлиять на работу не только самого маршрутизатора, но и устройств, подключенных к нему. После того, как заработает интернет необходимо обновить версию RouterOS до последней. В боковом меню переходим System -> Packages -> Check For Update
, в строке Channel
выбрать stable
и нажать Check For Update
. В строке Installed Version
написана текущая версия установленной RouterOS, в строке Latest Version
последняя версия доступного ПО. Если новая версия RouterOS найдена, то будут доступны две кнопки Download
и Download&Install
, нажимаем на последнюю. После скачивания устройство будет перезагружено для обновления, в это время не рекомендуется отключать его от электрической сети.
Компания MikroTik постоянно выпускают обновления на свои устройства, без обновлений не остаются и старые устройства, поэтому рекомендуется периодически заходить в роутер и проверять доступность новой версии ПО.
Работа с пакетами
Ранее в настройках DHCP сервера мы установили настройку синхронизации времени устройствами локальной сети с маршрутизатора, но проблема в том, что в RouterOS нет сервера времени (NTP server). Эта проблема решается установкой дополнительного пакета. Переходим на сайт MikroTik в раздел Software. Нам известно, что hAP ac^2 работает на процессоре архитектуры ARM (посмотреть архитектуру процессора устройства можно в System -> Resources
пункт Architecture Name
). Находим наше устройство в списке раздела ARM. Скачиваем архив из подраздела Extra packages
для установленной нашей версии RouterOS, как видно из раздела обновления описанного выше, это версия 6.47.7 ветка Stable.
Распаковываем полученный архив, находим в распакованном каталоге файл ntp-xxx-yyy.npk
(xxx — версия RouterOS, для которой подходит данный пакет, yyy — архитектура процессора). Версии установленной RouteOS и файла обязательно должны совпадать!
В WinBox в боковом меню открываем раздел Files
. Перетаскиваем файл ntp-xxx-yyy.npk
в корень раздела Files
.
Перезагружаем маршрутизатор System -> Reboot
. После установки и перезагрузки файл ntp.npk
будет удален автоматически и появится в списке установленных пакетов System -> Packages
.
Что бы не занимать системные ресурсы маршрутизатора можно отключить некоторые пакеты. В домашних условиях пакеты hotspot
и mpls
не нужны, выделяем их и нажимаем кнопку Disable
, если используемый маршрутизатор без встроенного Wi-Fi, то можно отключить пакет wireless
. Т.к. данные пакеты являются частью RouterOS удалить их нельзя, а вот установленные пакеты, как пакет ntp из примера выше, можно не только отключать, но и удалить, для этого используется кнопка Uninstall
. После пометки необходимых пакетов, окончательное отключение/удаление происходит после перезагрузки роутера.
Настройка синхронизации времени
Настройка сервера времени (NTP server). Для настройки сервера времени на устройствах MikroTik необходима установка пакета ntp
из дополнительного архива пакетов Extra Packages
(установка описана выше в данной статье).
Сервер времени включается в разделе System -> NTP Server
, вся задача заключается только в выставление флажка на пункте Enabled
и нажатии кнопки OK
.
Настройка синхронизации времени с внешним источником (NTP Client).
Настройка NTP Client’a может быть выполнена двумя способами.
- В системе не установлен пакет
ntp
из дополнительного архива пакетовExtra Packages
- В системе установлен пакет
ntp
из дополнительного архива пакетовExtra Packages
Вариант #1. Данный раздел доступен только если не установлен дополнительный пакет NTP. Переходим System -> SNTP Client
. Выставляем настройки:
- Enabled — вкл.
- Primary NTP server — time.google.com
- Secondary NTP server — time1.google.com
Вариант #2. Данный раздел доступен только если установлен дополнительный пакет NTP. Переходим System -> NTP Client
. Выставляем настройки:
- Enabled — вкл.
- Mode — unicast
- Primary NTP server — time.google.com
- Secondary NTP server — time1.google.com
Настройка времени на устройстве. System -> Clock
, отключаем Time Zone Autodetect
, выставляем правильный часовой пояс и проверяем правильное ли выставлено время.
Настройка Wi-Fi
Настройка Wi-Fi производится в разделе Wireless
. Сначала создаем профиль безопасности, в котором описывается как устройства будут подключаться к точке доступа. Открываем вкладку Security Profiles -> +
. В открывшемся окне указываем имя профиля в поле Name
для удобства чтения конфигурации, в Authentication Types
выбираем только WPA2 PSK
(WPA PSK выбираем только в случае если какое-либо подключаемое устройство не умеет работать с WPA2), Unicast Ciphers
— aes ccm
, Group Chiphers
— aes ccm
, в поле WPA2 Pre-Shared Key
вводим пароль для подключения к точке доступа, включаем самый нижний раздел Disable PMKID
. Сохраняем новый профиль.
Переходим на вкладку WiFi Interfaces
. В hAP ac^2 в списке два беспроводных интерфейса wlan1 и wlan2. Интерфейс wlan1 это модуль на 2.4GHz, wlan2 на 5GHz, настраиваются они раздельно. Дважды нажимаем на интерфейсе wlan1
, переходим на вкладку Wireless
, сбоку нажимаем кнопку Advanced Mode
. Заполняем настройки:
- Mode — ap bridge
- Band — 2GHz-B\G\N
- Channel Width — 20MHz
- Frequency — рабочий канал, частота 2412MHz = channel 1, 2417MHz = channel 2, и т.д. Выбираем который посвободней.
- SSID — имя точки доступа, например, myhomewifi
- Security Profile — профиль безопасности. Выбираем из списка созданный ранее профиль.
- WPS mode — disabled
- Frequency Mode — manual-txpower
- Country — в этом пункте должна быть выставлена страна russia3, это значение ограничивает силу мощности излучаемого сигнала в соответствии с законодательством РФ.
Нажимаем кнопку Apply
и Enable
. Открываем в телефоне/планшете/компьютере раздел WiFi и пробуем подключиться к созданной точке доступа.
Заходим в интерфейс wlan2
. Переходим в Advanced Mode
, настройка аналогичная настройке интерфейса wlan1.
Заполняем настройки:
- Mode — ap bridge
- Band — 5GHz-A\N\AC
- Channel Width — 20MHz
- Frequency — рабочий канал, частота 5180MHz = channel 36, 5200MHz = channel 40, и т.д. Выбираем который посвободней.
- SSID — имя точки доступа, например, myhomewifi. Некоторые любят разделять, добавив в конце _5G, что бы устройство соединялось только с 5GHz, спорное решение, т.к. те же многие так же подключают устройства и к 2.4GHz, а потом вручную выбирают необходимый. Если клиентское устройство хорошо ловит сигнал 5GHz оно само к нему подключится и при одинаковом названии точек для двух радиомодулей.
- Security Profile — профиль безопасности. Выбираем из списка созданный ранее профиль.
- WPS mode — disabled
- Frequency Mode — manual-txpower
- Country — в этом пункте должна быть выставлена страна russia3, это значение ограничивает силу мощности излучаемого сигнала в соответствии с законодательством РФ.
Нажимаем кнопку Apply
и Enable
. Открываем в телефоне/планшете/компьютере раздел WiFi и пробуем подключиться к созданной точке доступа, проверяем что бы устройство подключалось на частоте 5GHz.
Дополнительные настройки
В меню IP -> Services
отключаем все ненужные сервисы. Обычно для доступа к устройству оставляют winbox
и, кто пользуется командной строкой, ssh
. В поле Available From
можно прописать адреса, для которых будут доступны данные сервисы, но если такое ограничение необходимо, то лучше это реализовать через списки в Firewall
, т.к. списки для сервисов ограничены по количеству и на их проверку требуются дополнительные затраты ресурсов маршрутизатора.
MikroTik умеет обнаруживать другие устройства в сети, при этом он так же сообщает информацию о себе, что может быть не безопасно. Ограничим обнаружение только интерфейсами из созданного ранее списка list-discovery
. IP -> Neighbors
, в поле Interface
если в поле НЕ (восклицательный знак в квадрате) стоит восклицательный знак, то убираем его, в выпадающем списке выбираем list-discovery
.
По умолчанию в MikroTik включен Bandwidth Test server
, отключаем его Tools -> BTest Server
.
Разрешаем обнаружение и подключение по MAC только для локальной сети, для этого используем ранее созданный список сетевых интерфейсов list-discovery
. Tools -> MAC Server
. Последовательно меняем настройки для MAC Telnet Server
, MAC Winbox Server
и MAC Ping Server
.
MAC Ping Server Enabled
отключаем совсем
Сделанные выше настройки уменьшат количество сервисов, по которым можно обнаружить и идентифицировать ваше устройство в сети, уменьшит количество возможностей подключения к устройству, а значит повысит защищенность устройства.
В завершении настройки, меняем имя устройства в System -> Identity
.
Заключение
Маршрутизатор можно убрать в далекий угол и заходить на него только для периодического обновления RouterOS.
Статья местами, наверно, получилась слишком подробной, но, как показывает практика, зачастую пользователи покупают MikroTik, не имея какой-либо подготовки в работе с подобным оборудованием.
Для тех кому стало как минимум любопытно, то рекомендуется к прочтению:
Туннельный брокер IPv6, настройка 6to4 туннеля в Mikrotik
Настройка резервного канала в MikroTik с уведомлением в Telegram
Содержание
- Особенности функционала
- Способы настройки
- Настройка с помощью Winbox
- Беспроводная сеть
- Интернет
- Локальная сеть
- Установка пароля администратора
- Ручная настройка
- Переименование сетевых интерфейсов
- Настройка интернета
- Подключение со статическим IP
- Соединение, требующее авторизации
- Если провайдер использует привязку по MAC-адресу
- Настраиваем беспроводную сеть
- Локальная сеть
- Настройка с помощью WebFig
- Локальная сеть
- Настройка интернет соединения
- Настройка с помощью Telnet
- Настройка IP-адреса
- Заключение
В интернете существует масса статей по этой теме. Но все они не дают полного ответа. В основном все рассказывают о настройке только через одну утилиту — Winbox. Оно конечно и понятно, у многих настройка производится только через неё. Но что делать людям, которые нуждаются в настройке через WebFig или Telnet? Какие действия им предпринимать?
С целью ответа на этот вопрос, мы и написали эту статью. Было решено свести весь опыт настроек в одну статью и полностью закрыть эту потребность. Вам больше не нужно будет искать исчерпывающих материалов по этому вопросу. Всё находится здесь, в этой статье.
Особенности функционала
Одна из важных особенностей роутера, это возможность подключить его к электропитанию не только от стандартного адаптера, но и с помощью poe адаптера.
Из физических особенностей можно выделить его удобство установки. Он не обязательно должен находиться у розетки, его можно даже повесить на стенку, что особенно удобно при занятости столов.
Маршрутизаторы Mikrotik не имеют внешнего порта. Какой порт выделить и сделать внешним решает только пользователь. Это опять же выгодно отличает его от роутеров других фирм, где уже есть выделенный внешний порт.
Роутер хорош ещё тем, что его сеть работает без перебоев. Достаточно настроить сеть один раз и всё, она будет постоянно работать стабильно.
Отдельно стоит сказать об операционной системе роутера. Называется она Router OS, заточена под Linux и поддерживает практически весь его сетевой интерфейс. Система предназначена для построения маршрутизаторов, станций vpn серверов, файерволов и других устройств управления сетями. Операционка способна решать множество задач, которые связаны с сетью.
Эта ОС существует так же как x86 дистрибутив, что позволяет превратить свой персональный компьютер в большой маршрутизатор, в котором будут присутствовать возможности vpn сервера, файервола и Qos точки доступа.
Поддерживает огромное количество протоколов и сервисов, среди которых:
- VPLS;
- BGP;
- MPLS;
- OSPF.
Если брать во внимание беспроводные чипсеты, то здесь Mikrotik поддерживает такие, которые идут с основой решений на Atheros и Prism. Router OS даёт графический интерфейс, это нужно для маршрутизации и управления QoS, а также для настроек файервола.
Способы настройки
Мы рассмотрим все известные способы. Вы получите исчерпывающую информацию по этому вопросу. Рассмотрим даже настройку по Telnet, которую тяжело найти в интернете, а ведь люди её часто ищут и теряются, когда не могут найти.
Это общие настройки, которые подойдут для любых роутеров компании Микротик, включая роутеры «hap lite» и «952ui 2hnd». На этом предисловия более чем достаточно. Начинаем настраивать.
Настройка с помощью Winbox
Эта утилита открывает перед пользователем окно конфигурации Mikrotik. Здесь у пользователя есть выбор, либо оставить всё как есть, либо изменить.
При запуске, открывается окно с вводом. Там нужно ввести IP-адрес роутера и логин и нажать «Connect».
Если нет IP-адреса, то это не беда, роутер Микротик может делать подключение к сети с помощью MAC-адреса. Что для этого нужно?
Чуть ниже находим вкладку «Neighbors»;
Программа выполнит анализ соединений и покажет MAC-адрес роутера;
Нажимаем на адрес и потом на «Connect».
Теперь мы можем производить настройку маршрутизатора. Для более быстрой настройки, рекомендуется не трогать заводские настройки и просто нажать «OK».
Переходим к быстрым настройкам роутера. Для этого нам нужно выполнить следующее:
- Находим слева «Quick Set»;
- В вылезшем окне выбираем «Home AP»;
В «Quick Set» все данные по сетям собраны в отдельные разделы. Ниже, мы подробней ознакомимся с ними.
Беспроводная сеть
Располагается в левой части вкладки «Quick Set». В ней требуется:
- Ввести название сети;
- Указать частоту сети;
- Выбираем режим вещания модуля wi-fi;
- Выбор страны;
- Ввести свой пароль и сделать выбор типа шифрования. Лучше выбрать все типы.
Интернет
Располагается вверху с правой стороны вкладки «Quick Set».
Там даётся на выбор 3 варианта интернета. Пройдёмся подробно по каждому.
- DHCP. Если роутер полностью с заводской конфигурацией и без изменений, то в нём он присутствует по умолчанию. Если провайдер использует привязку только по MAC-адресу, то нужно будет его проверить;
- Статический IP-адрес. Здесь вносятся вручную параметры, которые даёт провайдер;
- РРРоЕ-соединение. Здесь нужно придумать и ввести вручную имя своего соединения, затем ввести своё имя и пароль. Нажимаем на «Reconnect».
Ничего сложного нет. Просто всё нужно делать, как указано здесь и не нужно ничего изобретать. А мы идём дальше.
Локальная сеть
Располагается там же, в окне «Quick Set». В этой вкладке можно сделать настройку IP-адреса роутера Mikrotik и провести настройку DHCP-сервера.
Не забудьте поставить галочку возле NAT, это позволит интернету работать нормально, без всяких сбоев. Закончив с настройками в «Quick Set», нажимаем на «Apply». После этого нужно перезагрузить компьютер. Тогда настройки вступят в силу. С этим вам всё понятно. Нужно всё делать по шагам, как написано выше. Переходим к следующему пункту.
Установка пароля администратора
Нужно вручную установить пароль на Микротик. Для этого нам нужно:
- В Winbox слева есть вкладка «System». Заходим в неё;
- Переходим в раздел «Users»;
- Открываем свойство пользователя admin;
- Нажимаем на «Password» и переходим к изменению пароля пользователя;
- Задаём нужный пароль и нажимаем на «Apply», а затем и на «OK».
Вы сделали установку пароля администратора. Теперь переходим к ручной настройке роутера.
Ручная настройка
Казалось бы, что всё автоматизировано и не нужно особых усилий. Но бывают ситуации, когда нужно настроить роутер вручную. Это конечно всё сложно и непросто, но это позволит настроить роутер индивидуально под свои нужды.
Удаляем заводскую конфигурацию
Ручную настройку можно провести, только удалив заводскую конфигурацию. Для этого нам нужно выбрать «Remove Configuration» в окне, которое появляется при первом запуске.
Если такое окно не появилось, то роутером кто-то пользовался. Не нужно переживать. В таком случае удаляем заводскую конфигурацию так:
- Находим слева вкладку «System» и заходим в неё. Там выбираем «Reset Configuration»;
- Появляется окно, в котором ставим галочку возле «No Default Configuration» и выбираем «Reset Configuration».
После этого Микротик перезагрузится и будет готов к работе.
Переименование сетевых интерфейсов
У роутеров Mikrotik есть небольшой минус с названием портов. Они все одинаково называются и можно запутаться. Именно для этого существует этот раздел.
Названия портов можно посмотреть в разделе «Interfaces Winbox».
Как видно из изображения, везде функцию порта WAN выполняет ether 1. Это не проблема, порты можно переименовать. Делается это так:
- Нажимаем на название порта и выскакивают его свойства;
- В «Name» вводим нужное название и нажимаем «OK».
Так можно делать со всеми портами. Их можно переименовать или оставить так как есть. Переходим к настройке интернета.
Настройка интернета
Здесь есть несколько вариантов настройки. Начнём по порядку.
DHCP
Для доступа к нему, ищем раздел «IP» и переходим там в «DHCP Client»
Появляется окно. Нажимаем в нём на «+», это даёт нам возможность создать нового клиента. Потом нажимаем «OK».
Пройдёмся подробней по этой вкладке.
- «Use Peer DNS» показывает, что DNS будет использоваться от провайдера;
- «Use Peer NTP» даёт возможность синхронизировать своё время со временем провайдера;
- «Add Default Route» маршрут добавляется или нет в таблицу маршрутизации. Этот маршрут будет иметь приоритет перед остальными маршрутами.
Подключение со статическим IP
При необходимости воспользоваться этим типом подключения, нужно узнать у провайдера все требующиеся настройки. Что мы делаем, когда нам уже всё известно:
- В разделе «IP» — «Adresses» делаем назначение нужного IP-адреса порту WAN;
- Добавляем маршрут по умолчанию. Для этого переходим в «Routes».
- Делаем добавление адреса сервера DNS.
Всё, на этом настройка подключения статического IP завершена.
Закажите бесплатную консультацию
Соединение, требующее авторизации
Бывает такое, что провайдер может использовать соединение L2TP или PPPoE. Для того чтобы выставить настройки, нам нужно зайти во вкладку «PPP». Там нам нужно выполнить следующие действия:
- Нажимаем на «+». Выбираем из списка своё соединение;
- Вводим в новом окне название создаваемого подключения;
- Находим вкладку «Dial Out» и вводим там логин и пароль, полученные от провайдера;
Соединения L2TP и PPTP настраиваются аналогично. Отличие только в наличии в этой вкладке поля «Connect To». Туда вводится адрес VPN-сервера.
Если провайдер использует привязку по MAC-адресу
Бывают случаи, когда нужно изменить MAC-адрес на требуемый провайдером. Для этого нам нужно выбрать «New Terminal» и нажать в открывшемся окне «Enter».
В терминале вводим следующую команду: /interface ethernet set WAN mac-address=00:00:00:00:00:00
Переходим в «Interfaces» и открываем свойства WAN. Там смотрим, изменится ли MAC-адрес.
Его можно будет использовать только после настройки локальной сети.
Настраиваем беспроводную сеть
Для этого, нам нужно зайти во вкладку «Wireless».
Переходим на вкладку профиля безопасности и нажимаем на «+». Появляется окно, в которое вводим пароль для wi-fi и ставим нужные способы шифрования.
В свойствах находим вкладку «Wireless». Там делается вся настройка.
Выставите параметры, как на скриншоте.
Локальная сеть
Для её настройки делаем следующие шаги:
- Создаём мост во вкладке «Bridge»;
- Назначаем мосту IP-адрес;
- Для назначения моста DHCP сервером, нажимаем на «DHCP Setup» и выбираем нужные параметры. Для этого нажимаем «Next».
- Заходим в «Bridge» и находим вкладку «Ports». С помощью этого, мы добавляем порты в мост.
На этом, мы заканчиваем настройку через программу Winbox. Следуйте всем шагам в инструкции и сможете нормально настроить свой роутер.
Настройка с помощью WebFig
Рассмотрим настройку wi-fi роутера через эту утилиту более подробно. Прежде всего, нам нужно зайти на веб интерфейс Микротика. Для этого вводим в браузере «https://192.168.88.1». Заходим в настройки через введение логина и пароля. В месте ввода логина пишем «admin», а поле с вводом пароля оставляем пустым. После ввода нажимаем на кнопку «Login».
Находим сверху вкладку «WebFig»
Заходим в неё и слева выбираем раздел «Wireless». Посередине откроется список подключений. Выбираем там «wlan1».
В выбранных настройках нас интересуют настройки под пунктом «Wireless».
В SSID указываем название сети wi-fi.
Мы почти закончили настройку wi-fi. Остаётся перейти в раздел «Security Profiles» и нажать там на «default».
Откроется окно, где в «Mode» нужно выбрать графу «dynamic keys», возле «Authentication Type» выбираем галочкой «WPA2 PSK». В «WPA2 Pre-Shared Key» вводится пароль от wi-fi сети.
После изменения настроек нужно повторно подключить роутер и перезагрузить компьютер.
С этим разобрались и как видно, нет никаких сложностей. Теперь возьмёмся за настройку локальной сети.
Локальная сеть
Для настройки этой сети делаем следующие шаги:
- Заходим во вкладку «IP», там находим раздел «Adresses» и выбираем «Add New»;
- Вводим IP-адрес и добавляем в его конце /24. Зачем мы это делаем? Всё просто, это число соответствует маске подсети 255.255.255.0, потом выбираем «ether1» (бывают версии, где написано «ether1-gateway»);
- Возвращаемся во вкладку «IP» и выбираем там раздел «DHCP Client». Посередине появится список с буквой «D». На него мы и нажимаем;
- Снова возвращаемся в «IP» и теперь переходим в раздел «DNS». В нём мы вносим 2 IP-адреса серверов: 195.5.125.5 и 8.8.8.8;
- Нам нужна одновременная работа локальной сети интернета. Для этого снова заходим в «IP», там переходим во вкладку «Routes» и выбираем «Add New»;
- Выбираем «Dst. Address» и вводим в нём: 10.0.0.0/8, а в «Gateway» выбираем IP-адрес основного шлюза;
На этом настройка локальной сети закончена. Идём дальше.
Настройка интернет соединения
Это последняя настройка роутера Микротик, через «WebFig». Что мы делаем?
- Находим слева вкладку «PPP», находим список «Add New» и выбираем в нём «PPPoE Client»;
- Делаем выбор в «Interfaces» порта, через который будет идти подключение интернета. Затем, в поле «User» пишем свой логин, а в поле «Password» пароль. После этого выбираем «Use Peer DNS»;
- Если подключение прошло хорошо, то на созданном подключении начнёт происходить обмен данными;
- Теперь можно перейти к настройкам безопасности. Находим слева вкладку «Interfaces», там находим раздел «Interfaces list» и выбираем «Add New». В новом окне выбираем «List» и там выбираем «WAN». В «Interface» выбираем «pppoe-out1»;
- Далее идём во вкладку «IP» и там выбираем раздел «Firewall»;
- Можно приступать к редактированию пронумерованных правил. Выбираем 4 правило и убираем настройку в «In. Interface List». В «In. Interface» выбираем настройку «pppoe-out1»;
- Далее делаем переход во вкладку «Service Ports» и там производим отключение портов. Это делается нажатием на кнопку «D» во всех строчках;
- Во вкладке «IP» находим раздел «Services» и отключаем в нём не используемые способы захода.
В завершение, мы создаём пользователя для входа в роутер Микротик и отключаем стандартного пользователя «admin».
Всё, на этом настройка wi-fi роутера через «WebFig» закончена.
Настройка с помощью Telnet
Что такое Telnet?
Это сетевой протокол. Его задача заключается в реализации текстового терминального интерфейса по сетям. Позволяет создавать взаимодействие между терминальными устройствами и процессами.
Используется в связке Терминал-Терминал и Процесс-Процесс. Некоторые клиентские утилиты так же имеют название «Telnet». Выполняет функции протокола уровня модели OSI.
Настройка этим способом будет делаться через подключение к MAC Telnet Server`у. В Telnet сервере на интерфейсе уже включён по умолчанию «ether1» и не нужно делать дополнительных действий.
Какие наши действия?
Открываем приложение «Терминал». Оно находится в подменю «Утилиты», которое находится в «Приложения»;
По сути, это та же командная строка как в Виндовс. Все нижеследующие команды вводятся в ней.
Делаем подключение к серверу: /tool mac-telnet 00:0c:10:e5:6с:79
Login: admin
Password:
Trying
00:0c:10:e5:6с:79...
Connected to 00:0c:10:e5:6с:79
MMM MMM KKK TTTTTTTTTTT KKK
MMMM MMMM KKK TTTTTTTTTTT KKK
MMM MMMM MMM III KKK KKK RRRRRR OOOOOO TTT III KKK KKK
MMM MM MMM III KKKKK RRR RRR OOO OOO TTT III KKKKK
MMM MMM III KKK KKK RRRRRR OOO OOO TTT III KKK KKK
MMM MMM III KKK KKK RRR RRR OOOOOO TTT III KKK KKK
MikroTik RouterOS 5.26 (c) 1999-2013 http://www.mikrotik.com/
И так же помните, что для настройки через Telnet, вы должны использовать либо утилиту Winbox, либо Telnet клиент.
Если у вас случай, когда вы не знаете MAC-адрес, то можно его определить вот так:
/tool mac-scan
Если вы работаете через Winbox, то нажмите там на многоточие. По умолчанию, логин: admin, пароль: пустой.
После определения MAC, делаем проверку настроек IP-адреса.
Настройка IP-адреса
Делаем следующее:
/ip address
ip address> add address=192.168.88.5 netmask=255.255.255.0 interface=ether1
"print” вывод конфигурации
Далее, добавляем адрес шлюза:
/ip route
ip route; add gateway=192.168.88.1
"print” вывод конфигурации
Проводим настройку дополнительных маршрутов:
/ip route
ip route> add dst-address=x.x.x.x netmask=x.x.x.x gateway=x.x.x.x
(dst-address=”this is the subnet address”)
(netmask=”this is the mask of the dst-address”)
(gateway=”this is the next router to the dst-address”)
“print” вывод конфигурации
На этом всё. Теперь Микротик полностью настроен через Telnet.
Если нужно будет определить, на каких интерфейсах находится MAC-Server, то делаем это следующим образом:
[[email protected]] tool mac-server print
Flags: X - disabled
# INTERFACE
0 all
[[email protected]] tool mac-server remove 0
[admi[email protected]] tool mac-server add interface=ether1 disabled=no
[[email protected]] tool mac-server print
Flags: X - disabled
# INTERFACE
0 ether1
[[email protected]] tool mac-server
Мы выполнили полную настройку роутера через Telnet. Делайте всё по инструкции, которая указана выше и вы максимально быстро настроите свой роутер.
Заключение
Мы прошли по всем шагам настроек. Увидели все способы настроек и сделали полный разбор шагов.
Вам нужно просто взять то, что есть в статье и делать всё строго по шагам. Не нужно ничего придумывать и экспериментировать, прочитали и повторили у себя. Надеемся, что статья была для вас полезной. Удачной вам настройки и спокойной работы с роутером!
На чтение 12 мин Просмотров 3.3к.
Сергей Сакадынский
Работал в сфере IT-консалтинга, занимался созданием и администрированием интернет-ресурсов. 10 лет опыта работы по проектированию и обслуживанию компьютерных сетей.
Задать вопрос
Производители домашних роутеров обычно предлагают пользователям универсальные устройства по принципу «всё в одном» с возможностью настройки за три-четыре простых шага. Но кроме этого есть специализированное сетевое оборудование – маршрутизаторы для создания сложных и защищённых сетей. Такие роутеры выпускает латвийская компания Mikrotik. Для домашнего использования их приобретают нечасто: пользователей отпугивают проблемы, которые могут возникнуть на этапе настройки маршрутизатора Mikrotik. На самом деле эта процедура не так страшна, как кажется на первый взгляд. В этой статье описана настройка Микротик с нуля для чайников.
Содержание
- Особенности Mikrotik
- Подготовка
- Подключение
- Сброс настроек
- Настройка портов
- Подключение со статическим IP
- Настраиваем интернет
- DHCP-сервер
- NAT
- Wi-Fi
- Настройка времени
- Смена пароля
- Обновление прошивки
Особенности Mikrotik
Все роутеры Mikrotik работают под управлением собственной операционной системы RouterOS. Так что, единожды разобравшись с базовыми функциями, можно справиться с настройкой любой модели этого разработчика. Это хорошая новость. И сразу плохая. Здесь нет интуитивно понятного веб-интерфейса и милого сердцу домашнего пользователя мастера быстрой настройки. Точнее, интерфейс есть. И даже есть режим Quick Set, который вроде бы как призван помочь быстро запустить маршрутизатор с заводскими параметрами. Но всё это выглядит непривычно, сложно и не всегда поддаётся осмыслению. Настройка из командной строки через Telnet или SSH — вообще нечто запредельное для обычного юзера. Поэтому большинство пользователей настраивают Микротики через утилиту WinBox.
Роутеры Mikrotik имеют множество специфических функций, позволяют реализовать сложные решения и не уступают по своим характеристикам профессиональным маршрутизаторам других производителей. При этом стоимость их значительно ниже, что позволяет конкурировать с тем же Cisco, у которого аналоги вдвое дороже. Но при этом Mikrotik уступает Кинетикам и ТП-Линкам в плане весьма важной для домашних роутеров универсальности. Если вам нужно устройство «всё в одном», то это не про Mikrotik. К примеру, Wi-Fi со встроенными антеннами здесь довольно слабый. А у многих моделей он просто отсутствует.
Преимущества Микротиков сводятся к следующему:
- Функциональность на уровне Cisco, Juniper и другого профессионального железа.
- Надёжность и стабильность. Включил, настроил и забыл.
- Низкая цена по сравнению с прямыми конкурентами.
Недостатков тоже достаточно:
- Сложность настройки. Если вы не сетевой админ, придётся вникать в многочисленные нюансы.
- Отсутствие универсальности. В этом Mikrotik проигрывает большинству домашних роутеров.
- Оборудование мало распространено, поэтому сложно найти специалистов, которые умеют с ним работать. Придётся разбираться самостоятельно.
Но это всё была лирика. Перейдём теперь к практике.
Подготовка
Для настройки роутера понадобится утилита WinBox. Это самый простой инструмент для пользователя, который только начинает осваивать Mikrotik. Скачать её можно с сайта разработчика. Там есть 32-х и 64-х разрядные версии. Программа, к сожалению, нерусифицированная.
Также, чтобы зайти на роутер Микротик с компьютера, придётся обзавестись патч-кордом для подключения роутера к компьютеру. Производитель пожадничал, и этот шнурок в комплект не входит.
Подключение
На этом этапе кабель от провайдера к роутеру не подключаем. Подсоединяем штекер адаптера питания к разъёму на корпусе. Патч-кордом соединяем любой порт на роутере, кроме первого (он зарезервирован под интернет), с разъёмом сетевой карты компьютера.
На компьютере проверяем, чтобы в настройках подключения стояла галочка «Получить IP-адрес автоматически».
Включаем питание роутера. На компьютере запускаем утилиту WinBox.
Если известен IP-адрес Mikrotik по умолчанию, можно его прописать в строке Connect To. А можно просто подождать, пока программа найдёт роутер, срисует его МАС-адрес и подставит в это поле.
Переходим на вкладку Neighbors. Выбираем роутер в списке. В поле Login пишем admin. Стандартный пароль по умолчанию у Mikrotik отсутствует. Поэтому поле Password оставляем пустым. Жмём кнопку Connect. В окне программы должно появиться окно, в котором будут отображены заводские настройки роутера.
Сброс настроек
Можно попробовать быстро запустить роутер с заводскими установками. Для этого надо нажать ОК, а затем в меню слева выбрать Quick Set.
Но, прямо скажем, на мастера быстрой настройки (вроде NetFriend у Keenetic) эта функция не тянет. Обычно пользователю сложно понять сразу, что изменить, а что оставить как есть. Поэтому рекомендуется настраивать роутер с нуля. Так проще вникнуть в суть, да и предустановленные параметры не будут сбивать с толку.
Для сброса микротика в первом окне жмём кнопку Remove Configuration. Теперь перед нами совершенно чистый роутер, который мы будем конфигурировать под себя.
При желании можно сбросить ваш Mikrotik на заводские настройки. Воспользуйтесь для этого пунктом меню System — Reset configuration — Do Not Backup -Reset Configuration.
Настройка портов
В обычном домашнем роутере с портами всё понятно: вот WAN-порт для интернета, вот остальные порты для компьютеров, приставок и других устройств. Но у нас же Mikrotik со всеми вытекающими последствиями. Порты здесь могут настраиваться как угодно. В заводских настройках первый порт зарезервирован под интернет. Эту опцию при сбросе мы удалили. Но это не имеет значения: любой порт может выступать в качестве WAN. И даже не один, если вы, к примеру, планируете подключиться сразу к двум провайдерам.
Чтобы работала локалка, все порты, кроме WAN, и беспроводной интерфейс нам нужно объединить в одну сеть. Для этого открываем пункт Bridge в меню слева и жмём «+». В поле Name пишем любое название, например, bridge_local или bridge_lan. Больше ничего не меняем и жмём ОК. После этого переходим на вкладку Ports. Здесь также жмём «+» и последовательно добавляем в наш bridge_lan все порты, кроме ether1.
Его будем использовать в качестве WAN. Но, по желанию, для этого можно выбрать любой порт. Также добавляем беспроводной интерфейс wlan1 и, если у вас двухдиапазонный роутер, wlan2, который соответствует беспроводной сети 5 ГГц.
Теперь все интерфейсы объединены в общую сеть, к которой смогу подключаться ваши устройства.
Подключение со статическим IP
Теперь роутеру необходимо присвоить статический IP-адрес. Да, это тоже придётся делать вручную.
В боковом меню кликаем пункт IP — Adress. Здесь в поле Adress вписываем адрес роутера и через слеш маску подсети. Выглядеть это должно так: 192.168.1.1/24. Цифра 24 соответствует значению 255.255.255.0. Не спрашивайте, почему так, просто следуйте инструкции.
Поле Network не трогаем. После нажатия кнопки ОК оно заполнится само. А в поле Interface из выпадающего списка выбираем созданный нами до этого bridge_lan. Теперь подтверждаем ввод данных и переходим к настройке интернет-подключения.
Настраиваем интернет
Базовая настройка интернета роутера микротик включает динамический или статический IP, а также подключение с паролем.
В меню слева откройте пункт Interfaces и дважды кликните на ether1. Его мы будем использовать в качестве WAN. Для того, чтобы не запутаться, в открывшемся окне переименуйте его в ether_wan. Больше ничего не трогайте. Нажмите ОК и идите во вкладку IP.
Важный момент. MAC-адрес WAN-порта указать нельзя. Если провайдер требует привязку по МАС-адресу, изменить его можно так. В меню выбираем New Terminal и в открывшемся окне вводим: /interface ethernet set ether1-wan mac-address=»00:00:00:00:00:00″. Собственно, вместо нулей пишем нужный МАС.
Если ваш провайдер раздаёт адреса автоматически, роутер получит его сам. Если адрес статический, придётся его вписать вручную.
Для начала подключаем интернет-кабель к порту WAN. Если адрес у вас назначается автоматически, кликаем пункт DHCP Client и жмём плюсик. В появившемся окне в поле Interface выбираем ether_wan. Жмём ОК. Интернет должен подключиться.
Если провайдер выдал вам статический IP, идём в пункт IP – Addresses и жмём плюс. В открывшемся окошке выбираем интерфейс ether_wan. В поле Adress нужно вписать IP и маску подсети, выданные вам провайдером, по аналогии с тем, как вы задавали адрес роутера. То есть если провайдер выдал вам IP 10.33.1.145 и маску 255.255.255.0, нужно вписать 10.33.1.145/24.
Теперь нужно указать шлюз и DNS-сервер провайдера.
Открываем вкладку IP – Routes, жмём «+», в поле Gateway впечатываем цифры, которые вам дал провайдер, и жмём ОК.
Переходим в IP – DNS и в поле Servers подставляем данные провайдера.
Интернет должен работать.
Теперь рассмотрим третий вариант подключения, когда провайдер использует PPPoE, PPTP или L2TP.
В меню выбираем пункт PPP. Нажимаем плюсик и в появившемся окне выбираем из выпадающего списка свой тип подключения. В поле Name впишите произвольное название подключения.
В качестве интерфейса нужно указать ether_wan. Перейдите во вкладку Dial Out. В соответствующие поля введите предоставленные провайдером логин и пароль. Напротив Use Peer DNS и Add Default Route поставьте галочки. Адрес VPN сервера провайдера для L2TP и PPTP вводим в поле Connect To.
Можно считать, что вопрос подключения к интернету исчерпан.
DHCP-сервер
Чтобы ваши устройства могли подключаться к интернету автоматически, нужно настроить DHCP-сервер. Открываем IP – DHCP-сервер. Нажимаем в открывшемся окне DHCP Setup. Указываем интерфейс bridge_lan. Жмём Next. Здесь нужно указать пространство IP-адресов. По умолчанию стоит адрес нашей сети, его и оставляем. Снова жмём Next. Адрес шлюза это адрес роутера. Он уже вписан, поэтому здесь тоже ничего не меняем. Следующий шаг – диапазон IP-адресов. Можно не менять, можно ограничить количество. В последней вкладке в качестве DNS-сервера указываем адрес роутера.
Теперь ваши смартфоны и ноутбуки при подключении к сети будут автоматически получать настройки. Вот только в интернет выйти не смогут.
NAT
Чтобы интернет работал не только на роутере, но и на подключенных к нему устройствах, нужна настройка NAT. На домашних маршрутизаторах NAT работает по умолчанию. Но мы же Mikrotik настраиваем, а не какой-то там TP-Link!
Открываем IP – Firewall, вкладка NAT. Нажимаем плюс. Откроется окно настроек. На вкладке General в пункте Out. Interface нужно указать ether_wan.
Во вкладке Action из выпадающего списка выбираем masquerade.
Жмём ОК. Всё, теперь ваши устройства могут выходить в интернет. Пока что только по кабелю.
Wi-Fi
Для того, чтобы использовать беспроводную сеть на Mikrotik, потребуется настройка Wi-Fi точки доступа. На микротиках обычно уже есть беспроводная сеть с открытым доступом. Что не есть хорошо. Но заводские настройки мы снесли в самом начале, поэтому ничто не мешает нам выставить параметры с чистого листа.
- Входим в раздел Wireless. Беспроводная сеть у нас выключена. Поэтому выбираем wlan1 и кликаем на синюю галочку.
- Открываем вкладку Security profiles.
- Кликаем дважды по профилю default. Имя профиля менять не обязательно. В поле Mode указываем dynamic keys.
- Отмечаем галочками WAP PSK, WAP2 PSK, aes ccm.
- В полях WPА и WAP2 Pre-Shared Key вписываем пароль посложнее.
- Жмём ОК и идём на вкладку Interfaces.
- Дважды кликаем на wlan1.
- В поле Mode обязательно выбираем ap bridge. SSID – имя Wi-Fi сети. Можете вписать что угодно. Security Profile — это профиль безопасности, который мы только что редактировали. Если вы не переименовали его, оставьте default. В ином случае укажите то имя, которое вы ему присвоили.
Остальное, в принципе, должно быть понятно. Wireless protocol и другие параметры оставьте без изменений или сделайте как на скриншоте.
Подтверждаем настройки и таким же образом настраиваем wlan2, если ваш роутер поддерживает частоту 5 ГГц.
Настройка времени
Да, здесь всё не как у нормальных людей. Время тоже надо настраивать.
В разделе System – Clock вручную выставьте время и часовой пояс.
А чтобы в дальнейшем время обновлялось автоматически, через интернет открываем System — SNTP Client. Ставим флажок Enabled. Указываем адреса серверов: Primary NTP server — time.google.com и Secondary NTP server — time1.google.com.
Смена пароля
Пароль по умолчанию у нас отсутствует. Поэтому стоит его установить, дабы никто посторонний не сломал все эти настройки, которые мы так долго выполняли.
Для этого отправляемся в раздел System — Users. Здесь у нас только один пользователь – admin с default password. Кликаем на него правой кнопкой, выбираем в выпавшем меню Password. Два раза вводим пароль и подтверждаем действия.
Для повышения безопасности можно создать другого пользователя с другим именем и паролем, а основного админа отключить. Для этого нужно нажать «+» и в открывшемся окошке ввести данные.
И чтобы уж совсем надёжно защитить себя от взлома, в разделе System – Identity поменяйте имя устройства на любое другое.
Обновление прошивки
Прошивку вашего маршрутизатора стоит обновить, если установлена не самая последняя версия.
Самый простой способ для новичков – обновить прошивку микротик через Winbox в автоматическом режиме. Роутер должен быть подключен к интернету.
Запускаем WinBox, заходим в Quick Set и в разделе System жмём Check For Updates. Если будет обнаружена обновлённая версия ПО, роутер предложит обновиться.
Чтобы запустить процесс, нажмите кнопку Download & install.
Обновление занимает порядка 5 минут. В течение этого времени не отключайте интернет и не выключайте роутер.
После завершения установки маршрутизатор сам перезагрузится. Войдите на него через WinBox, чтобы завершить процедуру.
На первом этапе вы обновили пакеты. Теперь нужно обновить Firmware, то есть сам интерфейс управления.
В меню слева открываем вкладку System – Routerboard и сравниваем информацию в полях Current Fimware (текущая версия) и Upgrade Fimware (обновлённая версия).
Если цифры отличаются, нажимаем кнопку Upgrade и, после того как появится окно с сообщением о том, что процесс обновления прошивки Mikrotik завершён, вручную перезапускаем роутер.
Прошивку также можно обновить, скачав её с сайта Mikrotik. В разделе «Загрузки» найдите версию ПО для вашего роутера и загрузите на компьютер. В WinBox открываем раздел Files, жмём Upload и указываем на скачанную прошивку. После завершения перезагружаемся.
Connecting to the Router
There are two types of routers:
- With default configuration
- Without default configuration. When no specific configuration is found, IP address 192.168.88.1/24 is set on ether1 or combo1, or sfp1.
More information about the current default configuration can be found in the Quick Guide document that came with your device. The quick guide document will include information about which ports should be used to connect for the first time and how to plug in your devices.
This document describes how to set up the device from the ground up, so we will ask you to clear away all defaults.
When connecting the first time to the router with the default username admin and no password (for some models, check user password on the sticker), you will be asked to reset or keep the default configuration (even if the default config has only an IP address). Since this article assumes that there is no configuration on the router you should remove it by pressing «r» on the keyboard when prompted or click on the «Remove configuration» button in WinBox.
Router without Default Configuration
If there is no default configuration on the router you have several options, but here we will use one method that suits our needs.
Connect Routers ether1 port to the WAN cable and connect your PC to ether2. Now open WinBox and look for your router in neighbor discovery. See detailed example in Winbox article.
If you see the router in the list, click on MAC address and click Connect.
The simplest way to make sure you have absolutely clean router is to run
/system reset-configuration no-defaults=yes skip-backup=yes
Or from WinBox (Fig. 1-1):
Configuring IP Access
Since MAC connection is not very stable, the first thing we need to do is to set up a router so that IP connectivity is available:
- add bridge interface and bridge ports;
- add an IP address to LAN interface;
- set up a DHCP server.
Set bridge and IP address are quite easy:
/interface bridge add name=local /interface bridge port add interface=ether2 bridge=local /ip address add address=192.168.88.1/24 interface=local
If you prefer WinBox/WeBfig as configuration tools:
- Open Bridge window, Bridge tab should be selected;
- Click on the + button, a new dialog will open, enter bridge name local and click on OK;
- Select the Ports tab and click on the + button, a new dialog will open;
- select interface ether2 and bridge local form drop-down lists and click on the OK button to apply settings;
- You may close the bridge dialog.
- Open Ip -> Addresses dialog;
- Click on the + button, a new dialog will open;
- Enter IP address 192.168.88.1/24 select interface local from the drop-down list and click on OK button;
The next step is to set up a DHCP server. We will run the setup command for easy and fast configuration:
[admin@MikroTik] /ip dhcp-server setup [enter] Select interface to run DHCP server on dhcp server interface: local [enter] Select network for DHCP addresses dhcp address space: 192.168.88.0/24 [enter] Select gateway for given network gateway for dhcp network: 192.168.88.1 [enter] Select pool of ip addresses given out by DHCP server addresses to give out: 192.168.88.2-192.168.88.254 [enter] Select DNS servers dns servers: 192.168.88.1 [enter] Select lease time lease time: 10m [enter]
Notice that most of the configuration options are automatically determined and you just simply need to hit the enter key.
The same setup tool is also available in WinBox/WeBfig:
- Open Ip -> DHCP Server window, DHCP tab should be selected;
- Click on the DHCP Setup button, a new dialog will open, enter DHCP Server Interface local and click on Next button;
- Follow the wizard to complete the setup.
Now connected PC should be able to get a dynamic IP address. Close the Winbox and reconnect to the router using IP address (192.168.88.1)
Configuring Internet Connection
The next step is to get internet access to the router. There can be several types of internet connections, but the most common ones are:
- dynamic public IP address;
- static public IP address;
- PPPoE connection.
Dynamic Public IP
Dynamic address configuration is the simplest one. You just need to set up a DHCP client on the public interface. DHCP client will receive information from an internet service provider (ISP) and set up an IP address, DNS, NTP servers, and default route for you.
/ip dhcp-client add disabled=no interface=ether1
After adding the client you should see the assigned address and status should be bound
[admin@MikroTik] /ip dhcp-client> print Flags: X - disabled, I - invalid # INTERFACE USE ADD-DEFAULT-ROUTE STATUS ADDRESS 0 ether1 yes yes bound 1.2.3.100/24
Static Public IP
In the case of static address configuration, your ISP gives you parameters, for example:
- IP: 1.2.3.100/24
- Gateway: 1.2.3.1
- DNS: 8.8.8.8
These are three basic parameters that you need to get the internet connection working
To set this in RouterOS we will manually add an IP address, add a default route with a provided gateway, and set up a DNS server
/ip address add address=1.2.3.100/24 interface=ether1 /ip route add gateway=1.2.3.1 /ip dns set servers=8.8.8.8
PPPoE Connection
PPPoE connection also gives you a dynamic IP address and can configure dynamically DNS and default gateway. Typically service provider (ISP) gives you a username and password for the connection
/interface pppoe-client add disabled=no interface=ether1 user=me password=123 \ add-default-route=yes use-peer-dns=yes
Winbox/Webfig actions:
- Open PPP window, Interfaces tab should be selected;
- Click on the + button, and choose PPPoE Client from the dropdown list, new dialog will open;
- Select interface ether1 from the dropdown list and click on the OK button to apply settings.
Further in configuration WAN interface is now pppoe-out interface, not ether1.
Verify Connectivity
After successful configuration, you should be able to access the internet from the router.
Verify IP connectivity by pinging known IP address (google DNS server for example)
[admin@MikroTik] > /ping 8.8.8.8 HOST SIZE TTL TIME STATUS 8.8.8.8 56 47 21ms 8.8.8.8 56 47 21ms
Verify DNS request
[admin@MikroTik] > /ping www.google.com HOST SIZE TTL TIME STATUS 173.194.32.49 56 55 13ms 173.194.32.49 56 55 12ms
If everything is set up correctly, ping in both cases should not fail.
In case of failure refer to the Troubleshooting section
Protecting the Router
Now anyone over the world can access our router so it is the best time to protect it from intruders and basic attacks
User Password Access
MikroTik routers require password configuration, we suggest using a password generator tool to create secure and non-repeating passwords. With secure password we mean:
- Minimum 12 characters;
- Include numbers, Symbols, Capital and lower case letters;
- Is not a Dictionary Word or Combination of Dictionary Words;
/user set 0 password="!={Ba3N!40TуX+GvKBzjTLIUcx/,"
Another option to set a password,
We strongly suggest using a second method or Winbox interface to apply a new password for your router, just to keep it safe from other unauthorized access.
[admin@MikroTik] > / password old password: new password: ****** retype new password: ******
Make sure you remember the password! If you forget it, there is no recovery. You will need to reinstall the router!
You can also add more users with full or limited router access in /user menu
The best practice is to add a new user with a strong password and disable or remove the default admin user.
/user add name=myname password=mypassword group=full /user remove admin
Note: login to the router with new credentials to check that the username/password is working.
MAC Connectivity Access
By default mac server runs on all interfaces, so we will disable default all entry and add a local interface to disallow MAC connectivity from the WAN port. MAC Telnet Server feature allows you to apply restrictions to the interface «list».
First, create an interface list:
[admin@MikroTik] > /interface list add name=listBridge
Then, add your previously created bridge named «local» to the interface list:
[admin@MikroTik] > /interface list member add list=listBridge interface=local
Apply newly created «list» (of interfaces) to the MAC server:
[admin@MikroTik] > tool mac-server set allowed-interface-list=listBridge
Do the same for Winbox MAC access
[admin@MikroTik] > tool mac-server mac-winbox set allowed-interface-list=listBridge
Winbox/Webfig actions:
- Open Interfaces → Interface List → Lists window and add a new list by clicking «+»;
- Input the interface list name «listBridge» into the Name field and click OK;
- Go back to the Interfaces → Interface List section and click «+»;
- Select «listBridge» from the dropdown List options and select «local» from the dropdown Interface options and click OK;
- Open Tools -> Mac Server window;
- Click on the «MAC Telnet Server» button, a new dialog will open;
- Select the newly created list «listBridge» from the dropdown list and click on OK button to apply settings.
Do the same in the MAC Winbox Server tab to block Mac Winbox connections from the internet.
Neighbor Discovery
MikroTik Neighbor discovery protocol is used to show and recognize other MikroTik routers in the network. Disable neighbor discovery on public interfaces:
/ip neighbor discovery-settings set discover-interface-list=listBridge
IP Connectivity Access
Besides the fact that the firewall protects your router from unauthorized access from outer networks, it is possible to restrict username access for the specific IP address
/user set 0 allowed-address=x.x.x.x/yy
x.x.x.x/yy — your IP or network subnet that is allowed to access your router.
IP connectivity on the public interface must be limited in the firewall. We will accept only ICMP(ping/traceroute), IP Winbox, and ssh access.
/ip firewall filter add chain=input connection-state=established,related action=accept comment="accept established,related"; add chain=input connection-state=invalid action=drop; add chain=input in-interface=ether1 protocol=icmp action=accept comment="allow ICMP"; add chain=input in-interface=ether1 protocol=tcp port=8291 action=accept comment="allow Winbox"; add chain=input in-interface=ether1 protocol=tcp port=22 action=accept comment="allow SSH"; add chain=input in-interface=ether1 action=drop comment="block everything else";
In case if a public interface is a pppoe, then the in-interface should be set to «pppoe-out».
The first two rules accept packets from already established connections, so we assume those are OK to not overload the CPU. The third rule drops any packet which connection tracking thinks is invalid. After that, we set up typical accept rules for specific protocols.
If you are using Winbox/Webfig for configuration, here is an example of how to add an established/related rule:
- Open Ip -> Firewall window, click on Filter rules tab;
- Click on the + button, a new dialog will open;
- Select chain input, click on Connection state, and select checkboxes for established and related;
- Click on the Action tab and make sure action accept is selected;
- Click on the Ok button to apply settings.
To add other rules click on + for each new rule and fill the same parameters as provided in the console example.
Administrative Services
Although the firewall protects the router from the public interface, you may still want to disable RouterOS services.
Most of RouterOS administrative tools are configured at the /ip service menu
Keep only secure ones,
/ip service disable telnet,ftp,www,api
Change default service ports, this will immediately stop most of the random SSH brute force login attempts:
/ip service set ssh port=2200
Additionally, each service can be secured by allowed IP address or address range(the address service will reply to), although more preferred method is to block unwanted access in firewall because the firewall will not even allow to open socket
/ip service set winbox address=192.168.88.0/24
Other Services
A bandwidth server is used to test throughput between two MikroTik routers. Disable it in the production environment.
/tool bandwidth-server set enabled=no
A router might have DNS cache enabled, which decreases resolving time for DNS requests from clients to remote servers. In case DNS cache is not required on your router or another router is used for such purposes, disable it.
/ip dns set allow-remote-requests=no
Some RouterBOARDs have an LCD module for informational purposes, set pin or disable it.
It is good practice to disable all unused interfaces on your router, in order to decrease unauthorized access to your router.
/interface print /interface set x disabled=yes
Where «X» is a number of the unused interfaces.
RouterOS utilizes stronger crypto for SSH, most newer programs use it, to turn on SSH strong crypto:
/ip ssh set strong-crypto=yes
Following services are disabled by default, nevertheless, it is better to make sure that none of then were enabled accidentally:
- MikroTik caching proxy,
- MikroTik socks proxy,
- MikroTik UPNP service,
- MikroTik dynamic name service or IP cloud,
/ip cloud set ddns-enabled=no update-time=no
At this point, PC is not yet able to access the Internet, because locally used addresses are not routable over the Internet. Remote hosts simply do not know how to correctly reply to your local address.
The solution for this problem is to change the source address for outgoing packets to routers public IP. This can be done with the NAT rule:
/ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade
In case if a public interface is a pppoe, then the out-interface should be set to «pppoe-out».
Another benefit of such a setup is that NATed clients behind the router are not directly connected to the Internet, that way additional protection against attacks from outside mostly is not required.
Port Forwarding
Some client devices may need direct access to the internet over specific ports. For example, a client with an IP address 192.168.88.254 must be accessible by Remote desktop protocol (RDP).
After a quick search on Google, we find out that RDP runs on TCP port 3389. Now we can add a destination NAT rule to redirect RDP to the client’s PC.
/ip firewall nat add chain=dstnat protocol=tcp port=3389 in-interface=ether1 \ action=dst-nat to-address=192.168.88.254
If you have set up strict firewall rules then RDP protocol must be allowed in the firewall filter forward chain.
Setting up Wireless
For ease of use bridged wireless setup will be made so that your wired hosts are in the same Ethernet broadcast domain as wireless clients.
The important part is to make sure that our wireless is protected, so the first step is the security profile.
Security profiles are configured from /interface wireless security-profiles
menu in a terminal.
/interface wireless security-profiles add name=myProfile authentication-types=wpa2-psk mode=dynamic-keys \ wpa2-pre-shared-key=1234567890
in Winbox/Webfig click on Wireless to open wireless windows and choose the Security Profile tab.
If there are legacy devices that do not support WPA2 (like Windows XP), you may also want to allow WPA protocol.
WPA and WPA2 pre-shared keys should not be the same.
Now when the security profile is ready we can enable the wireless interface and set the desired parameters
/interface wireless enable wlan1; set wlan1 band=2ghz-b/g/n channel-width=20/40mhz-Ce distance=indoors \ mode=ap-bridge ssid=MikroTik-006360 wireless-protocol=802.11 \ security-profile=myProfile frequency-mode=regulatory-domain \ set country=latvia antenna-gain=3
To do the same from Winbox/Webfig:
- Open Wireless window, select wlan1 interface, and click on the enable button;
- Double click on the wireless interface to open the configuration dialog;
- In the configuration dialog click on the Wireless tab and click the Advanced mode button on the right side. When you click on the button additional configuration parameters will appear and the description of the button will change to Simple mode;
- Choose parameters as shown in the screenshot, except for the country settings and SSID. You may want to also choose a different frequency and antenna gain;
- Next, click on the HT tab and make sure both chains are selected;
- Click on the OK button to apply settings.
The last step is to add a wireless interface to a local bridge, otherwise connected clients will not get an IP address:
/interface bridge port add interface=wlan1 bridge=local
Now wireless should be able to connect to your access point, get an IP address, and access the internet.
Protecting the Clients
Now it is time to add some protection for clients on our LAN. We will start with a basic set of rules.
/ip firewall filter add chain=forward action=fasttrack-connection connection-state=established,related \ comment="fast-track for established,related"; add chain=forward action=accept connection-state=established,related \ comment="accept established,related"; add chain=forward action=drop connection-state=invalid add chain=forward action=drop connection-state=new connection-nat-state=!dstnat \ in-interface=ether1 comment="drop access to clients behind NAT from WAN"
A ruleset is similar to input chain rules (accept established/related and drop invalid), except the first rule with action=fasttrack-connection
. This rule allows established and related connections to bypass the firewall and significantly reduce CPU usage.
Another difference is the last rule which drops all new connection attempts from the WAN port to our LAN network (unless DstNat is used). Without this rule, if an attacker knows or guesses your local subnet, he/she can establish connections directly to local hosts and cause a security threat.
For more detailed examples on how to build firewalls will be discussed in the firewall section, or check directly Building Your First Firewall article.
Blocking Unwanted Websites
Sometimes you may want to block certain websites, for example, deny access to entertainment sites for employees, deny access to porn, and so on. This can be achieved by redirecting HTTP traffic to a proxy server and use an access-list to allow or deny certain websites.
First, we need to add a NAT rule to redirect HTTP to our proxy. We will use RouterOS built-in proxy server running on port 8080.
/ip firewall nat add chain=dst-nat protocol=tcp dst-port=80 src-address=192.168.88.0/24 \ action=redirect to-ports=8080
Enable web proxy and drop some websites:
/ip proxy set enabled=yes /ip proxy access add dst-host=www.facebook.com action=deny /ip proxy access add dst-host=*.youtube.* action=deny /ip proxy access add dst-host=:vimeo action=deny
Using Winbox:
- On the left menu navigate to IP -> Web Proxy
- Web proxy settings dialog will appear.
- Check the «Enable» checkbox and click on the «Apply» button
- Then click on the «Access» button to open the «Web Proxy Access» dialog
- In the «Web Proxy Access» dialog click on «+» to add a new Web-proxy rule
- Enter Dst hostname that you want to block, in this case, «www.facebook.com», choose the action «deny»
- Then click on the «Ok» button to apply changes.
- Repeat the same to add other rules.
Troubleshooting
RouterOS has built-in various troubleshooting tools, like ping, traceroute, torch, packet sniffer, bandwidth test, etc.
We already used the ping tool in this article to verify internet connectivity.
Troubleshoot if ping fails
The problem with the ping tool is that it says only that destination is unreachable, but no more detailed information is available. Let’s overview the basic mistakes.
You cannot reach www.google.com from your computer which is connected to a MikroTik device:
If you are not sure how exactly configure your gateway device, please reach MikroTik’s official consultants for configuration support.