Сегодня вашему вниманию представим настройку роутера Mikrotik hAP lite RB941-2nD. За полторы тысячи рублей вы получаете больше, чем роутер. Популярность его связанна с ценой и функциональность. У вас не будет какой-нибудь обрезанный RouterOS, все как положено, лицензия 4 уровня, можете крутить BGP, OSPF, MPLS без проблем (но мы надеемся вы этого не делаете на нем). Основные технические характеристики, следующие:
- Процессор архитектуры SMIPS — QCA9533, одно ядро 650 MHz;
- ОЗУ 32 Mb;
- Flash 16 Mb;
- Лицензия RouterOS 4 уровня;
- Порты 100 Mb/s в количестве 4 штук;
- WiFi чип на частоте 2,4 GHz;
- Кушает всего 3.5 W.
Маленький, скромный, но функциональный девайс, за хороший ценник, по функционалу ничем не отличается от своих старших братьев. Преимущественно падает выбор на эту модель, для не больших филиалов.
Если вы хотите построить CAPsMAN на базе данного устройства, то я вас огорчу, это не хорошая идея, т.к. антенны у него не изолированы. Доставит кучу хлопот. Для CAPsMAN стоит выбирать модели постарше.
Также вы можете воспользоваться статьёй про настройку Микротика с нуля, она подойдёт для всех моделей роутеров, в том числе и для RB941-2ND
Содержание
- Сброс и обновление
- Настройка WiFi
- Настройка DNS и DHCP
- Настройка NAT
- Firewall
- QoS
- 89 вопросов по настройке MikroTik
Сброс и обновление
Когда вы включите впервые девайс, по умолчанию в нем будет default config. Его достаточно для большинства случаев. Но мы пойдём другим путём и прошьём до актуальной версии 6.48 (Stable) через NetInstall. Об этом хорошо рассказано в нашей статье тут.
На выходе вы должны получить blank (чистый) config, т.е. абсолютно чистый девайс.
Настройка WiFi
Правильная настройка беспроводной сети начинается с профиля безопасности. В ней мы задаём типы шифрования, алгоритмы, а также пароль. Открываем Wireless – Security Profiles, создаём новый профиль. Указываем имя, протоколы аутентификации, и сам пароль.
Рекомендуется не выбирать tkip, если вы используете WPA PSK.
Переходим в Wireless, двойным кликом открываем настройки адаптера wlan1, переключаем в расширенный режим кнопкой Advanced Mode. Открываем вкладку wireless. Это основное меню настройка адаптера. Указываем:
- Точка доступа в режиме ap bridge (как это было не странно, она у нас не в бридже, но все равно);
- Ширина канала 20MHz;
- Частота (по желанию) 2462;
- SSID MikrotikLab;
- WiFi Protocol 802.11;
- Профиль безопасности WiFi-1 (созданный ранее);
- Страна russia3.
- Убедитесь в наличии галочки Default Authenticate – без нее, клиенты не смогут подключаться к точке.
Применяем и включаем интерфейс (Enabled).
Если вы хотите углубить свои знания по работе с роутерами MikroTik, то наша команда рекомендует пройти курсы которые сделаны на основе MikroTik Certified Network Associate и расширены автором на основе опыта . Подробно читайте ниже.
Настройка DNS и DHCP
Задача, следующая: сделать 2 сегмента, 192.168.10.0/24 для портов 2-4. Подсеть 192.168.11.0/24 для WiFi и запретить между ними forwarding. Для проводных клиентов создаём bridge. Дадим ему корректное имя.
Далее добавим порты 2, 3, 4 в созданный бридж.
Зададим адреса через IP – Address.
Настроим разрешение имён. DNS серверами для нас будут 1.0.0.1 и 8.8.8.8. Разрешим резолв на девайсе, а также изменим время жизни в кэше.
Настройка DHCP сервера. Воспользуемся мастером DHCP Setup. Выбираем интерфейс, на котором хотим его включить.
Девайс сразу поймёт, какой address space у сети на основе заданного адреса.
Шлюзом будет Mikrotik, здесь ничего не меняем.
Далее предлагается ввести пул для раздачи. Я слегка изменил, и назначил раздачу с 192.168.11.10.
DNS сервером указываем IP роутера, в той сети, в которой он раздаёт адреса.
И, наконец, время аренды. Я предпочитаю изменять с 10 минут, на 1 день.
Теперь, проделываем аналогичные действия для проводных клиентов. Напомню, что следует задавать IP роутера, 192.168.10.1, шлюзом и DNS сервером.
Настройка NAT
Но для начала настроим доступ в интернет, первый порт на mikrotik hap lite смотрит в провайдера, который подаёт доступ через PPPoE. В PPP – создадим PPPoE Client.
Зададим ему понятное для нас имя, и задаём интерфейс, который подключён в провайдера.
Пишем логин и пароль, и не забываем про галочку Add Default Route, если не хотите прописывать маршрут руками.
Статус Connected говорит, что все хорошо, двигаемся дальше.
Для упрощения написания правила NAT, воспользуемся адрес листами. Находится в IP – Firewall – Address Lists.
В строке Name – указываем имя листа, может быть любым. Главное, чтобы вам нравилось и было понятным. В Address, указываем наши подсети.
Применяем и создаём вторую запись. При создании второй записи, имя листа, можете выбрать из выпадающего списка. В итоге должна быть следующая картина.
Переходим во вкладку NAT и создаём правило. Тут говорится, что мы хотим цепочку srcnat и выходной интерфейс будет WAN.
Переходим в Advanced, Src. Address List выбираем LAN.
На вкладке Action нас интересует masquerade. Применяем и если вы все сделали правильно, то проверяем что доступ в интернет появился у обоих сетей.
Firewall
Логика настройки и фильтрации трафика на маршрутизаторе MikroTik RB941-2ND не чем особым не отличается от старших моделей и будет следующая – разрешим подключение к Winbox, SSH откуда угодно. Web интерфейс будет доступен только с 192.168.10.0/24. Разрешим DNS только с локальных сетей, а все остальное запретим. Запретим пересылку между 192.168.10.0/24 и 192.168.11.0/24 используя ранее созданный адрес лист, тем самым обмен данными между WiFi и проводной сетями будет заблокирован. Разрешим new, established, related соединения.
Будьте аккуратны с правилом 8, дропает инвалид пакеты. В стандартных сценариях обычно не мешает, но иногда его стоит отключать. Все вышеупомянутые правила можно загрузить через терминал:
/ip firewall filter
add action=accept chain=input comment=IN-SSH-Allow connection-state=new \
dst-port=22 protocol=tcp
add action=accept chain=input comment=IN-Winbox-Allow connection-state=new \
dst-port=8291 protocol=tcp
add action=accept chain=input comment=IN-DNS-from-LAN-Allow dst-port=53 \
protocol=udp src-address-list=LAN
add action=accept chain=input comment=IN-Web-from-LAN-Allow connection-state=\
new dst-port=80 protocol=tcp src-address=192.168.10.0/24
add action=accept chain=input comment=IN-EST-REL-Allow connection-state=\
established,related
add action=drop chain=input comment=IN-ALL-Drop
add action=drop chain=forward comment=FRW-DROP-between-LAN connection-state=new \
dst-address-list=LAN src-address-list=LAN
add action=accept chain=forward comment=FRW-E&R&N-Allow connection-state=\
established,related,new
add action=drop chain=forward comment=FRW-Invalid-Drop connection-state=invalid
QoS
В нашем сценарии провайдер выпускает в интернет на 10Мб/с. Нам нужно ограничить для проводных клиентов до 8 Мб/с, а беспроводных до 2 Мб/с. Я предлагаю не просто ограничить, а ещё поровну делить каждое соединение в случае максимальной нагрузки. Это достигается типом очереди PCQ. Переходим в Queues – Simple Queue и создаём новое правило.
Пишем имя правилу, в Target задаётся конкретный IP или диапазон адресов, для которых хотим применить правило. И конечно же сами значения скоростей в Target Upload и Target Download.
Переходим на вкладку Advanced и выбираем тип очереди pcq-upload-default для секции Upload, и pcq-download-default для секции Download.
Проделываем аналогичные действия WiFi клиентов, указав соответствующую скорость в 2Мб/с и target.
Из хорошего, данный алгоритм очередей может вас выпустить в интернет несмотря на то, что сосед качает торренты. Расплата за это будет серьёзная утилизация CPU.
На этом мы закончим настройку маршрутизатора MikroTik RB941-2ND, удачных конфигураций!
89 вопросов по настройке MikroTik
Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдете для себя полезную информацию в курсе «Настройка оборудования MikroTik». 162 видеоурока, большая лабораторная работа и 89 вопросов, на каждый из которых вы будете знать ответ. Подробности и доступ к началу курса бесплатно тут.
В данной статье будет рассмотрена базовая настройка роутера MikroTik hAP lite (rb941 2nd) в конфигурации «для дома».
Комментариев: 2Просмотров: 33471
Введение
В данной статье будет рассмотрена базовая настройка роутера MikroTik hap lite (rb941 2nd) в конфигурации «для дома».
Домашняя сеть будет разделена на сеть с ограничениями (для детей) и на сеть без ограничений (для все остальных). Сеть для детей будет отфильтровывать нежелательный контент с помощью функций яндекс.dns семейный, использовать техники black list, white list, а также возможности фильтра Layer7, динамических адрес листов. Дополнительно на сеть для детей могут быть наложены различные ограничение:
- по времени использования ребенком сети Интернет
- по расписанию
- по общей продолжительности в день\неделю\месяц
- по объему трафика в день\неделю\месяц
- по скорости
Все эти возможности и их комбинации позволят вам гибко настроить безопасный Интернет для ваших детей.
Настроим стандартную конфигурацию на MikroTik hAP lite. Для этого скачаем программу для управления с официального сайта MikroTik.com.
Запустим ее и подключимся к роутеру. WinBox→Neighbors(1)→RB941-2nD(2)→Connect(3).
Применим стандартную конфигурацию:
Стандартная конфигурация развернута. Вы должны были получить полностью рабочий роутер. Если у вас тип получения IP параметров не автоматический или вы по каким-то другим причинам не имеете выхода в Интернет, то вам необходим вот этот материал. Как только вы настроите выход в Интернет, можно будет вернуться к этому разделу.
Настройка роутера микротик hap lite с разделением сетей
Итак, на данный момент мы имеем стандартную конфигурацию без разделения сети. Для того чтобы разграничить нашу локальную сеть, создадим сегмент(часть) сети для детей. Для этого выберем в меню winbox→ Bridge(1)→Bridge(2)→plus(3)→General(4)→ и в поле name(5) добавим имя bridge-child. Сохраним изменения — OK.
Подготовим интерфейсы (порты), для включения в bridge-child. В нашей конфигурации, для ребенка будет настроен четвёртый порт ether4 и дополнительная детская сеть wifi. Это означает что, подключившись в четвертый порт кабелем и\или к детской сети по WiFi вы будите иметь детский доступ к сети Интернет через эти интерфейсы.
Настроем security Profile для детской сети WiFi. WinBox→Wireless(1)→Security Profiles(2)→plus(3)→General(4)→в поле Name(5) введем child→в поля WPA(6) и WPA2(6) введем будущий пароль на Wifi детской сети. Сохраним настройки- OK.
Добавим новую сеть wifi. WinBox→Wireless(1)→Interfaces(2)→plus(3)→Virtual AP(4)→Wireless(5)→введем имя детской сети WiFi в поле SSID(6)→ выберем security profile(7) для нашей сети. Сохраним настройки — ОК.
Настроим интерфейс ether4. Winbox→Interfaces(1)→Interface(2)→кликнем два раза левой кнопкой по ehter4(3) и войдем в настройки интерфейса→выберем none в поле Master Port(4). Применим настройки – OK.
Далее включим наши интерфейсы в подготовленный bridge-child. Winbox→Bridge(1)→Ports(2)→plus(3)→добавим интерфейс ether4 (4)→ в Bridge(5) bridge-child. Также сделаем и для интерфейса wlan2(6)(7). Сохраним все изменения — ОК.
Назначим интерфейсу bridge-child внутренний address. WinBox→IP(1)→address(2)→plus(3)→заполним поля(4),(5),(6) в соответствии со скриншотом.
Теперь необходимо назначить DHCP сервер на детский сегмент сети, для автоматической настройки IP параметров клиентов сети. Для этого необходимо Winbox→IP(1)→DHCP server(2)→DHCP(3)→DHCP Setup(4)→ в поле dhcp Server Interface(5) выбрать интерфейс bridge-child.
После этого необходимо нажать кнопку Next и следовать по мастеру настройки DHCP сервера ничего не меняя. Как только вы достигните до окна Select lease time:
Здесь нужно изменить стандартное время аренды на 3d 00:10:00 и закончить настройку DHCP сервера.
Если вы все сделали правильно, к этому моменту вы должны иметь два сегмента сети:
Детская сеть LAN-4; wifi. Адресация — 192.168.99.0/24 Взрослая сеть LAN-2, LAN-3; wifi. Адресация — 192.168.88.0/24
Сейчас эти две сети не имеют никаких ограничений и полностью равноправны. Что бы приступить к настройке ограничительных функций к детской сети, необходимо завершить предварительные настройки роутера, а именно:
- Установить пароль и SSID (имя сети) на взрослую сеть wifi
- Установить пароль на пользователя Admin
- Обновить роутер до последней версии.
Если вы затрудняетесь сделать это самостоятельно, вы можете найти пошаговую инструкцию настройки этих параметров в этой статье.
Настройка роутера микротик hap lite на работу через Яндекс DNS семейный
Яндекс DNS семейный это сервис от Яндекса, который дает возможность защитить вашу сеть от нежелательного контента. Работает это следующим образом. Все запросы с вашей сети перенаправляются на сервер Яндекса, который в свою очередь фильтрует опасный контент, таким образом осуществляется модерация сети Интернет. Более подробно, как это работает, вы можете почитать на официальной странице сервиса.
Настроим перенаправление запросов на сервер Яндекса. Winbox→IP(1)→Firewall(2)→NAT(3)→plus(4).
Во вкладке General(1) настроим параметры пересылки, и во вкладке Action(2) действие по переадресации запросов на сервер Яндекса DNS семейный.
На этом данный этап завершен, и если вы все сделали правильно при попытке зайти на опасный ресурс вы должны получить «заглушку» от Яндекса:
Так же будет ограничен вывод запросов в поисковой машиной Яндекс:
Использование динамических адрес листов (Black list; White list) на MikroTik hAP lite (rb941 2nd)
Динамические адрес листы — это мощный функционал от MikroTik, который был внедрен в RouterOS совсем недавно. Для их использования должна быть установлена одна из последних версий RouterOS. С помощью них мы можем с легкостью разрешать (white list) или запрещать (Black list) посещение различных ресурсов в сети Интернет.
Для примера рассмотрим ситуацию, когда мы хотим ограничить доступ детям к социальным сетям в вечернее время на буднях. Для этого необходимо создать динамический лист. Winbox→IP(1)→Firewall(2)→Address Lists(3)→plus(4)→появиться окно где необходимо в поле Name ввести имя адрес листа и в поле Address ввести доменное имя нашего сайта.
- Для блокировки facebook введите три доменных имени – facebook.com, www.facebook.com, ru-ru.facebook.com.
- Для блокировки ВКОНТАКТЕ введите два доменных имени – vk.com, m.vk.com.
- Для блокировки Instagram потребовалось добавить IP адрес 87.245.208.160, т.к. он не использует доменное имя в своей работе (мобильная версия).
Создадим блокирующее правило. Перейдем во вкладку Filter Rules(1)→General(2)→plus(3)→ в полях Chain и Src. Address заполним значения как на скриншоте.
Во вкладке Advanced, нужно выбрать в поле Dst. Address List, созданный нами динамический адрес лист.
Во вкладке Extra, необходимо настроить расписание действия запрещающего правила.
Во вкладке Action выберем действие drop. Сохраним изменения — OK.
После применения настроек, запрещающее правило необходимо «перетащить» вверх в списке правил firewall, как на скриншоте.
Что бы расписание работало корректно, необходимо настроить время на роутере MikroTik hAP lite rb941 2nd. WinBox→System(1)→SNTP Client(2)→ввести в поле Primary NTP Server — pool.ntp.org для синхронизации времени.
На данном этапе я заканчиваю первую часть статьи безопасный Интернет для детей на роутере Микротик hAP lite. В следующей части будет рассмотрен пример с использованием hotspot от микротик, который имеет более расширенный функционал по контролю и управлению использования сети Интернет.
Маршрутизатор MikroTik RB941 2nd – это недорогое и популярное решение для домашней и малого офисного использования. Он предлагает широкий набор возможностей и гибкую настройку, что делает его привлекательным выбором для тех, кто ищет профессиональное оборудование по доступной цене.
Настройка маршрутизатора MikroTik RB941 2nd может быть сложной задачей для начинающих пользователей. Но с правильным подходом и некоторыми советами можно легко освоить основные функции и настроить устройство по своим потребностям.
В этой статье мы рассмотрим несколько шагов, которые помогут вам настроить маршрутизатор MikroTik RB941 2nd. Мы начнем с подключения и настройки сети, затем перейдем к настройке безопасности и созданию сети Wi-Fi. В конце мы рассмотрим некоторые дополнительные возможности маршрутизатора, которые помогут вам оптимизировать работу сети.
Примечание: перед началом настройки убедитесь, что вы имеете административные права доступа к маршрутизатору и владеете базовыми знаниями сетевых протоколов и схем.
Содержание
- Разборка маршрутизатора MikroTik RB941 2nd
- Первоначальная настройка устройства
- Процедура создания учетной записи администратора
- Настройка подключения к интернету через PPPoE
- Создание безопасной Wi-Fi сети
- Настройка DHCP-сервера для автоматического выдачи IP-адресов
- Настройка пересылки портов для доступа к локальным серверам или приложениям
- Внесение изменений в настройках брандмауэра
Разборка маршрутизатора MikroTik RB941 2nd
Перед тем как приступить к разборке маршрутизатора MikroTik RB941 2nd, необходимо убедиться, что устройство отключено от электрической сети. Затем следует снять все кабели и провода, подключенные к маршрутизатору.
Для разборки маршрутизатора потребуются следующие инструменты:
- Отвертка крестовая;
- Отвертка плоская;
- Пинцет;
- Пластиковая лопатка (опционально).
Следующий шаг — удаление задней панели маршрутизатора. Для этого нужно открутить все винты, которыми крепится панель к корпусу устройства. После откручивания винтов панель можно аккуратно снять, освободив доступ ко внутренностям маршрутизатора.
Теперь необходимо аккуратно отсоединить
Первоначальная настройка устройства
Для начала настройки маршрутизатора MikroTik RB941 2nd необходимо подключить устройство к компьютеру и включить его.
1. Проверьте, что ваш компьютер подключен к порту Ethernet на маршрутизаторе с помощью сетевого кабеля.
2. Откройте веб-браузер и введите IP-адрес маршрутизатора в адресной строке. Обычно адрес состоит из комбинации цифр и точек, например, 192.168.0.1. IP-адрес можно найти на наклейке на задней панели маршрутизатора или в документации.
3. В появившемся окне авторизации введите логин и пароль. По умолчанию логин admin, а пароль пустой. Нажмите кнопку «Войти» (или аналогичную).
4. После успешной авторизации вы увидите главное окно управления маршрутизатором.
5. На этой странице вы можете приступить к настройке маршрутизатора и его функций в соответствии с вашими требованиями.
6. Рекомендуется сначала обновить прошивку маршрутизатора до последней версии. Для этого перейдите в раздел «System» (Система) и выберите «Routerboard» (Маршрутизатор). Нажмите кнопку «Upgrade» (Обновить) и выберите файл с прошивкой на вашем компьютере. После загрузки файла прошивки нажмите кнопку «Upgrade» и дождитесь окончания процесса обновления.
7. После обновления прошивки перейдите в раздел «Wireless» (Беспроводная сеть) и настройте параметры Wi-Fi сети в соответствии с вашими требованиями. Введите имя сети (SSID) и выберите шифрование и пароль.
8. Наконец, сохраните все изменения, нажав кнопку «Применить» или аналогичную.
Теперь ваш маршрутизатор MikroTik RB941 2nd должен быть готов к использованию.
Процедура создания учетной записи администратора
1. Подключите компьютер к маршрутизатору с помощью Ethernet-кабеля.
2. Откройте веб-браузер и введите IP-адрес маршрутизатора в строке адреса. По умолчанию IP-адрес равен 192.168.88.1.
3. Введите логин и пароль. По умолчанию логин – admin, пароль – без пароля.
4. Перейдите в раздел «System» (Система) и выберите «Users» (Пользователи).
5. Нажмите кнопку «Add New» (Добавить нового).
6. Введите имя пользователя и пароль для нового администратора.
7. Укажите привилегии пользователя, выбрав нужную опцию в разделе «Group» (Группа). Рекомендуется выбрать опцию «full» (полный доступ).
8. Нажмите кнопку «OK» (ОК), чтобы сохранить изменения.
9. Перезагрузите маршрутизатор для применения изменений.
| Имя пользователя | Пароль | Привилегии |
|---|---|---|
| admin | без пароля | полный доступ |
Настройка подключения к интернету через PPPoE
Для настройки подключения к интернету через протокол PPPoE на маршрутизаторе MikroTik RB941 2nd, выполните следующие шаги:
| Шаг | Описание |
| 1 | Войдите в веб-интерфейс маршрутизатора, введя IP-адрес маршрутизатора в адресной строке браузера и введя учетные данные администратора. |
| 2 | Перейдите в меню «Interfaces» (Интерфейсы) и выберите «PPPoE Client» (Клиент PPPoE). |
| 3 | Нажмите на кнопку «Add new» (Добавить новое) для создания нового PPPoE-соединения. |
| 4 | В поле «Name» (Название) введите имя соединения. |
| 5 | В поле «User» (Пользователь) введите свое имя пользователя для подключения к интернету. |
| 6 | В поле «Password» (Пароль) введите свой пароль для подключения к интернету. |
| 7 | В поле «Service» (Сервис) введите имя вашего интернет-провайдера. |
| 8 | Нажмите на кнопку «OK» (ОК), чтобы сохранить настройки. |
| 9 | Вернитесь в меню «Interfaces» (Интерфейсы) и выберите «PPPoE Client» (Клиент PPPoE). |
| 10 | В разделе «Enabled» (Включить) для созданного соединения нажмите на кнопку «Connect» (Подключиться). |
| 11 | По завершении настройки, вы должны успешно подключиться к интернету через протокол PPPoE. |
При выполнении всех указанных шагов, ваш маршрутизатор MikroTik RB941 2nd будет правильно настроен для подключения к интернету по протоколу PPPoE.
Создание безопасной Wi-Fi сети
Для обеспечения безопасности вашей Wi-Fi сети вам необходимо выполнить следующие шаги:
1. Сменить стандартные настройки
Первым делом измените стандартные настройки вашего маршрутизатора, такие как логин и пароль. Используйте сложные и уникальные комбинации символов для обеспечения безопасности.
2. Включить шифрование
Для защиты передаваемых данных включите шифрование Wi-Fi сети. Рекомендуется использовать протокол WPA2, так как он обладает высоким уровнем безопасности.
3. Создать уникальное имя (SSID)
Измените стандартное имя Wi-Fi сети (SSID) на уникальное. Избегайте использования личных сведений в имени вашей сети, чтобы не дать злоумышленникам доступ к вашим данным.
4. Ограничить доступ
Ограничьте доступ к вашей Wi-Fi сети посредством включения функции MAC-фильтрации. Подключение к сети будет разрешено только устройствам, с указанными MAC-адресами.
5. Обновляйте прошивку
Важно регулярно обновлять прошивку вашего маршрутизатора, чтобы исправить возможные уязвимости и обеспечить безопасность сети.
Следуя этим рекомендациям, вы создадите безопасную Wi-Fi сеть и защитите свои данные от несанкционированного доступа.
Настройка DHCP-сервера для автоматического выдачи IP-адресов
Для того чтобы настроить маршрутизатор MikroTik RB941 2nd в качестве DHCP-сервера и автоматически выдавать IP-адреса устройствам в сети, следуйте следующим шагам:
- Откройте веб-интерфейс маршрутизатора, вводя его IP-адрес в адресной строке браузера.
- Введите имя пользователя и пароль для входа в систему, если они требуются.
- Перейдите в раздел IP на панели управления.
- Выберите вкладку DHCP Server.
- Нажмите на кнопку DHCP Setup и в появившемся окне нажмите Next.
- Выберите интерфейс, через который будут выдаваться IP-адреса (например, wlan1).
- Установите галочку напротив Use Pool, чтобы использовать определенный диапазон адресов.
- Введите диапазон IP-адресов, который будет выдаваться DHCP-сервером.
- Настройте сетевой адрес шлюза по умолчанию (например, адрес маршрутизатора).
- Настройте DNS-сервер, если требуется.
- Нажмите на кнопку Next и затем на кнопку Finish, чтобы завершить настройку DHCP-сервера.
После выполнения этих шагов маршрутизатор MikroTik RB941 2nd будет настроен в качестве DHCP-сервера и будет автоматически выдавать IP-адреса устройствам в вашей сети.
Настройка пересылки портов для доступа к локальным серверам или приложениям
Иногда требуется дать внешний доступ к локальным серверам или приложениям, которые работают на устройствах внутри локальной сети. Для этого необходимо настроить пересылку портов (port forwarding) на маршрутизаторе MikroTik RB941 2nd.
Для начала, определите IP-адрес устройства, на котором работает сервер или приложение, к которому нужно получить доступ. Затем, выполните следующие шаги:
- Откройте веб-интерфейс маршрутизатора, введя его IP-адрес в адресной строке браузера.
- Войдите под учетной записью администратора.
- Перейдите в раздел «IP» в боковом меню.
- Выберите «Firewall» и затем «NAT».
- Нажмите на кнопку «Add New» для создания нового правила пересылки портов.
- Заполните поля «Chain» и «Dst. Port» в соответствии с требованиями.
- Укажите IP-адрес устройства с сервером или приложением в поле «To Addresses».
- Задайте порт локального устройства, через который будет доступно приложение, в поле «To Ports».
- Нажмите «Apply» или «OK», чтобы сохранить настройки.
После этого, порт на маршрутизаторе будет перенаправлен на локальное устройство, и внешние клиенты смогут получить доступ к серверу или приложению через внешний IP-адрес маршрутизатора.
Обратите внимание, что для правильной работы пересылки портов может потребоваться настройка файрволла на локальных устройствах, а также проверка доступности порта на маршрутизаторе и устройстве с сервером или приложением.
Внесение изменений в настройках брандмауэра
Для внесения изменений в настройки брандмауэра выполните следующие шаги:
- Войдите в веб-интерфейс маршрутизатора, используя свои учетные данные.
- Перейдите в меню «IP» и выберите «Firewall».
- В открывшемся окне вы увидите список правил брандмауэра. Для добавления нового правила нажмите кнопку «Add new».
- Заполните необходимые поля, такие как источник и назначение трафика, порты и протоколы. Убедитесь, что правило задано правильно и соответствует вашим требованиям безопасности.
- После заполнения полей нажмите кнопку «Apply» или «OK», чтобы сохранить изменения.
- Если требуется изменить существующее правило, найдите его в списке и отредактируйте необходимые поля.
- После внесения изменений сохраните их, нажав кнопку «Apply» или «OK».
Помните, что правильная настройка брандмауэра является важным шагом для обеспечения безопасности сети. При внесении изменений в настройки брандмауэра будьте внимательны и проверьте результаты после внесения изменений.
Привет! В этой статья я покажу правильную настройку Mikrotik hAP Lite – пожалуй, самого популярного бюджетного роутера у Mikrotik. До 1500 рублей вы получаете не просто домашнюю игрушку, но мощную машинку для решения всех популярных задач в сети.
Но есть и недостатки для жаждущих халявы – здесь всего 4 порта Ethernet (и WAN сюда включен), да и Wi-Fi модуль поддерживает только 802.11n без модных ныне 5 ГГц. Ну да ладно, лично мне хватает.
Внимание! Роутеры Mikrotik из-за их причудливости настройки редко использую в домашней сети. Так что не чураемся оставлять свои комментарии и помогать другим читателям!
Содержание
- Горячая настройка
- Дополнения и полная настройка
- Задать вопрос автору статьи
Горячая настройка
Этот раздел посвящен специально для тех, кто хочет быстро и без лишних телодвижений настроить свой маршрутизатор. В базовой комплектации роутер имеет неплохую конфигурацию на борту, так что быстрая настройка займет буквально пару минут. А большего и не надо, так что предлагаю сразу рассмотреть ее.
- Подключаем кабель провайдер в порт №1 (обозначен здесь как Internet и не отделен от других LAN портов):
- Подключаем наш компьютер или ноутбук по проводу в любой другой порт. В теории можно подключиться и по Wi-Fi, но лично мне первичную настройку делать сподручнее именно по проводу – меньше вылезает разных косяков.
- По умолчанию DHCP сервер на Микротике работает, и должен раздать верный адрес. Но на всякий случай здесь на помню, что маршрутизаторы Mikrotik имеют немного непривычный адрес – 192.168.88.1, а значит и ваш адаптер должен получить настройки в этой подсети. Для примера можно все выставить и руками:
IP: 192.168.88.10
Маска: 255.255.255.0
Шлюз: 192.168.88.1
DNS: 192.168.88.1
- Заходим в конфигуратор роутера по адресу 192.168.88.1 (если запросит данные: логин – admin, пароль – пустой)
- Настраиваем интернет на вкладке Quick Set. Если у вас PPPoE – ставим переключатель в PPPoE и вводим логин и пароль. Если динамический IP – Automatic. Если статический IP – Static. Информацию о вашем подключении уточняйте у провайдера или смотрите в договоре, у всех оно может отличаться, под одну гребенку не подведешь.
- Настраиваем Wi-Fi. Точее он уже настроен и отлично работает, но изначально на точке доступа нет пароля. Лучше ее запаролить. Для этого щелкаем по WiFi Password и в открывшееся поле вводим придуманный пароль. При желании в поле Network Name можно изменить название своей точки доступа, чтобы было понятно, что это именно ваша точка.
- Напоследок останется только задать пароль для панели администрирования, чтобы ни один злой сосед не смог разрушить ваш уютный интернет. Пишем его здесь 2 раза, а в конце не забываем сохранить изменения, нажав Apply Configuration:
Все, роутер настроен и готов к многолетней работе! Стандартный конфиг вдоль и поперек защищен для домашнего пользователя, так что можно работать и не переживать. Все остальные телодвижения исключительно для опытных пользователей, которые и додумают, и донастроят, и комментарий умный напишут со своей рекомендацией.
Дополнения и полная настройка
То, что не вошло в первую часть, но оказалось важным для читателей, выношу сюда, а вдруг пригодится в будущем:
- Если вдруг где-то запросит пароль: по умолчанию логин admin, а пароля нет. В Wi-Fi сети тоже изначально нет пароля.
- Для сброса настроек да и вообще всей конфигурации на панели Quick Set есть кнопка Reset Configuration. Но будьте осторожны, полное уничтожение конфигурации снесет не только ее, но даже и IP адрес роутера, так что придется подключаться с помощью софта WinBox. Сама кнопка сброса:
- Те, кого интересует полная настройка роутера Mikrotik hAP Lite исключительно через WinBox, или те, кто убил конфигурацию, рекомендую к просмотру это видео:
А еще у нас есть статья про полную настройку роутеров Mikrotik – РЕКОМЕНДУЮ ПОЧИТАТЬ. Все RouterOS идентичны, так что пригодится.
- По поводу типа подключения к интернету. Обычно, если у вас есть логин и пароль – ставьте режим PPPoE (у самого такой). А вот видео по настройке роутера через PPPoE:
- Если вы перепутали эту модель с Mikrotik hAP AC Lite, то про нее мы уже писали ЗДЕСЬ. Про hAP AC2 информацию ищите через наш поиск, скорее всего она уже была добавлена.
Вот и все, что хотелось здесь написать. Безусловно, можно углубиться и здесь во все настройки, но мы их уже описывали ранее (смотри ссылку выше), да и видео по теме помогают. Все остальное упирается в конкретные задачи, но дома с ними все просто – чтобы интернет работал и раздавался по Wi-Fi. Именно с этим мы и справились. Так что пишите комментарии, делитесь своими советами, ваш WiFiGid!
Судя по статистике продаж, Mikrotik hAP lite — самый популярный роутер из нашего ассортимента. Причин тому можно найти великое множество, но две из них, на наш взгляд, самые значительные: во-первых, он стоит всего $20, во-вторых, это Mikrotik. В сумме получается «Mikrotik за $20», что действительно впечатляет.
Выскажем свое мнение о нем наперед: роутер более чем достоин внимания. Работает он очень стабильно, скорости проводного и беспроводного соединений обеспечивает вполне соответствующие заявленным, а функционал у него сравним с топовыми роутерами Cisco/Juniper, уходящие ценниками в заоблачные тысячи долларов. Недостатки тоже присутствуют: у него всего 4 порта Ethernet (включая порт WAN), радиомодуль слабоват и не поддерживает стандарт 802.11ac. Впрочем, тут как в известном пошлом анекдоте: «Ну а что вы хотели за 20 долларов?»
Итак, давайте приручим героя нашего материала. Наши исходные условия — это провайдер, выдающий нам динамический IP-адрес. Приступим:
1. Включаем кабель провайдера в 1-й порт роутера
2. Включаем кабель от компьютера в любой оставшийся свободным порт
3. Как и всем устройствам Mikrotik, по умолчанию hAP Lite присвоен IP-адрес 192.168.88.1. Присвоим нашему компьютеру сетевые настройки из той же подсети. Например, адрес 192.168.88.10, маску 255.255.255.0, шлюз 192.168.88.1, DNS 192.168.88.1:
4. Зайдем на роутер через браузер:
Тут сделаем небольшое отступление: в hAP Lite Mikrotik реализовала конфигурацию по умолчанию, которая предусматривает быстрый старт. На роутере уже настроено получение динамического адреса на 1-м интерфейсе, включен DHCP-сервер, настроен бридж между портами. По сути, в нашей топологии роутер заработал как положено сразу после включения. Впрочем, мы тут не за этим собрались, поэтому…
5. Выполним сброс роутера до заводских настроек. Для этого нажмем над секцией System кнопку Reset Configuration:
6. Отмечаем галочкой параметр No Default Configuration и нажимаем Reset Configuration:
7. Подтверждаем наше намерение:
8. Примерно через минуту роутер перезагрузится. Тут возникает небольшая заминка: после сброса роутера с удалением дефолтной конфигурации, ему больше не будет присвоен IP-адрес, и зайти на него браузером не удастся. Не беда, на этот случай у Mikrotik предусмотрено специальное приложение для настройки — WinBox. Скачиваем его с сайта http://www.mikrotik.com/download в разделе Useful tools and utilities:
9. WinBox не требует установки. Запускаем его и в нижней части нажимаем на вкладку Neighbors. В списке ниже должны появиться все устройства Mikrotik в пределах широковещательного домена. В нашем случае это будет единственный герой статьи. Кликаем на его MAC-адрес (это важно!), после чего нажимаем кнопку Connect в верхней части экрана:
10. Перед нами предстает во всей красе интерфейс роутера. Окно RouterOS Default Configuration закрываем нажатием Ок:
11. В меню слева нажимаем Interfaces. Отметим, что в пустой конфигурации на роутере отключен беспроводной интерфейс. Он называется wlan1. Выделяем его и нажимаем синюю галочку в верхней части окна. Это пригодится нам в недалеком будущем:
12. Двойным кликом открываем интерфейс ether2, меняем ему название на ether2-master и нажимаем Ок:
13. Теперь открываем интерфейс ether3, и меняем параметр Master Port на ether2-master:
14. Повторяем тоже самое действие для интерфейса ether4: открываем его и меняем параметр Master Port на ether2-master.
Данный абзац следует читать только сильно интересующимся технической стороной вопроса! Если вы открыли статью только для того, чтобы иметь перед глазами шпаргалку по настройке, то его можно пропустить!
А теперь расшифруем сделанное в пунктах 12-14: в отличие от более привычных бытовых роутеров, в роутерах Mikrotik порты по умолчанию не входят в единую матрицу коммутации, т.е. не являются составными частями коммутатора как такового. Чтобы «собрать» их в логический коммутатор, существует 2 способа: программный и аппаратный. Программный — bridge — использует для коммутации центральный процессор роутера. Аппаратный использует специальный аппаратный чип коммутации, при этом CPU не используется. Таким образом для работы портов в режиме коммутатора само собой напрашивается использование чипа коммутации. Теперь к проделанному ранее: мы переименовали порт ether2 в ether2-master, чтобы наглядно видеть в конфигурационной консоли, какой порт является мастером для остальных, и сообщили роутеру, что порт ether2 является мастер-портом для двух других. Используя мастер-порт, мы задействовали чип коммутации, и CPU теперь не занимается обсчетом коммутации пакетов между портами ether2-ether4. Подробнее о чипах коммутации, их возможностях можно почитать тут: http://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features
15. Создадим бридж для интерфейсов, образующих контур локальной сети. Слева в меню нажимаем Bridge, в первой вкладке Bridge нажимаем +, в открывшемся окне вводим имя бриджа (например, LAN) и нажимаем Ok:
16. Переходим во вкладку Ports, нажимаем +, выбираем Interface — wlan1, Bridge — LAN, нажимаем Ок:
17. Повторяем процедуру для интерфейса ether2-master.
18. Ваш итоговый список портов в бридже должен выглядеть вот так:
19. Как упоминалось выше, в нашей топологии провайдер предоставляет нам динамический IP-адрес. Включим DHCP-клиент на WAN-порту роутера. Для этого открываем в меню слева IP -> DHCP Client и в появившемся окне нажимаем +:
20. Кабель провайдера у нас вставлен в 1-й порт роутера. Выбираем Interface — ether1, обязательно ставим параметр Add Default Route в положение Yes и нажимаем Ок:
21. Теперь в окне DHCP-клиента будет видно, на каком интерфейсе включен DHCP-клиент, и какой адрес он получил:
22. Включим NAT. Для этого в меню слева открываем IP -> Firewall, переходим во вкладку NAT, нажимаем +, в появившемся окне ставим параметр Chain в положение srcnat, параметр Out. Interface в положение ether1:
23. Не покидая окошка New NAT Rule, переходим во вкладку Action, и ставим параметр Action в положение masquerade, после чего нажимаем Ok:
24. Настроим DNS. В меню слева IP -> DNS. Наш провайдер уже выдал нам 2 динамических сервера, но их список можно дополнить (заполняются в параметре Servers) собственноручно. Главное в данном окошке не забыть поставить галочку Allow Remote Requests, после чего можно нажимать Ok:
25. Пора присвоить роутеру IP-адрес для работы в локальной сети. Идем в меню слева IP -> Addresses, в открывшемся окошке нажимаем + и вводим IP-адрес/маску подсети. В нашем случае мы будем использовать 192.168.88.1/24. Параметр Interface следует установить в положение LAN (это наш Bridge, созданный на шаге 15; у вас он может называться по-другому), после чего можно нажимать Ок:
Теперь наш список IP-адресов должен принять примерно такой вид (само собой, адрес на интерфейсе ether1 у вас будет другим):
26. Кстати, у нас на компьютере уже должен появиться доступ в интернет! Проверим:
Действительно появился! Но празднование отложим на потом.
27. Теперь настроим DHCP-сервер. Идем в меню слева IP -> DHCP Server, в открывшемся окне нажимаем DHCP Setup:
28. Выбираем в качестве интерфейса, на котором будет работать DHCP, наш бридж — LAN, жмем Next:
29. Задаем адресное пространство. Мы планируем выдавать адреса в сети 192.168.88.0 с маской 255.255.255.0, поэтому вводим 192.168.88.0/24 и нажимаем Next:
30. Указываем шлюз. У нас это 192.168.88.1. Нажимаем Next:
31. Определяем пул IP-адресов, которые будут выдаваться клиентам. Здесь советуем вам принять решение самостоятельно, исходя из топологии сети. Мы будем использовать диапазон 192.168.88.2-192.168.88.254, вводим и жмем Next:
32. Вводим DNS-серверы (у вас могут быть свои, либо используйте общедоступные DNS от Google или Яндекс), нажимаем Next:
33. Вводим срок аренды IP-адресов (можно не менять предложенный по умолчанию), нажимаем Next:
На этом настройка сервера DHCP закончена:
34. Теперь настроим WiFi. Нажимаем в меню слева на Wireless, в открывшемся окошке открываем двойным кликом интерфейс wlan1, и устанавливаем параметры:
— Mode — ap bridge
— Band — 2GHz-B/G/N
— SSID — вводим название вашей WiFi-сети
— Wireless Protocol — 802.11
— WPS Mode — disabled
После этого нажимаем Ок:
35. Теперь установим пароль для нашей сети. Перейдем во вкладку Security Profiles, откроем профиль default. Теперь:
— устанавливаем параметр Mode в положение dynamic keys
— ставим галочку WPA2 PSK в параметре Authentication Types
— ставим все галочки в Unicast Ciphers и Group Ciphers
— в поле WPA2 Pre-Shared Key вводим пароль от WiFi-сети
— нажимаем Ок
36. Подключимся к WiFi, проверим его работоспособность. Активные подключения можно посмотреть во вкладке Registration:
37. Теперь отключим все интерфейсы управления роутером, кроме WinBox (если это необходимо — оставьте себе нужные, но с точки зрения безопасности без применения брандмауэра не рекомендуем). Для этого идем в IP -> Services, выделяем ненужные сервисы и жмем красный крестик:
38. Осталось установить пароль администратора. Идем в System -> Users, входим в профиль пользователя admin, нажимаем Password, вводим пароль дважды в поля New Password и Confirm Password и жмем Ок:
На этом настройку роутера можно считать законченной. Вот теперь можно праздновать! Впрочем, для успокоения совести измерим скорость интернета (провайдер предоставляет нам канал 70/70 Мбит/с):
Неплохо!