Сравнение Закладки
Бесплатно по России:
8 800 700 97 66
Санкт-Петербург:
8 812 385 40 55
Перезвонить вам?

Настройка маршрутизатора RB2011. Устранение недостатков стандартной конфигурации.

Настройка Микротик

Маршрутизатор RB2011- это достойное решение для небольшого офиса. Однако, в конфигурации по умолчанию присутствуют некоторые недостатки:

  • В качестве WAN-порта используется интерфейс Ether1. Этот интерфейс гигабитный, как правило, выход в интернет осуществляется по каналу не выше 100 Мбит/сек и в таком случае использование гигабитного интерфейса не оправдано;
  • 100-Мегабитные порты заведены в соединение типа мост (bridge), что дает повышенную нагрузку на CPU маршрутизатора. Более логично использовать в этом случае встроенную микросхему коммутатора.

Краткое описание настройки маршрутизатора RB2011:

  • В качестве основного выхода в интернет используем 100-Мегабитный интерфейс Ether10;
  • Интерфейс Ether9 нужно зарезервировать для дальнейшего использования, когда в этом возникнет необходимость;
  • Интерфейсы Ether6-Ether8 используются для подключения DMZ. Для этого настроим соответствующий Switch-процессор;
  • Гигабитные интерфейсы Ether1-Ether5 будем использовать для подключения локальной сети;
  • Wi-Fi будет использовать ключ WPA2-PSK и находиться в локальной сети.

Приступаем к поэтапной настройке Микротик!

Сначала необходимо зайти на сайт по адресу http://www.mikrotik.com/download и скачать последнюю прошивку для вашего маршрутизатора. Она пригодится в дальнейшем.

Этап 1. Настройка Микротик. Включение, обновление прошивки

Подключаем компьютер в порт Ether 5. Есть возможность подсоединить и в любой другой, кроме Ether1, но лучшим вариантом будет именно Ether 5. Это упростит дальнейшую настройку.

Вводим в поисковую строку браузера http://192.168.88.1

Cкачиваем программу Winbox (ссылка отмечена красным прямоугольником).

После завершения загрузки программы необходимо закрыть браузер и запустить Winbox. В поле Address вводим 192.168.88.1, в поле User вводим admin. Поле Password оставляем пустым.

Появляется окно приветствия с запросом о сохранении конфигурации по умолчанию.

Выбираем Remove Configuration.

Завершаем работу с WinBox и подключаем компьютер в первый порт маршрутизатора.

Так как у маршрутизатора RB2011 после сброса конфигурации нет IP-адреса,необходимо воспользоваться mac-telnet. Для этого нужно снова запустить программу Winbox и справа от окна ввода адреса нажать на кнопку […]. Через некоторое время в окне появится mac-адрес маршрутизатора RB2011 и ip-адрес 0.0.0.0.

Щелкаем левой кнопкой мыши по MAC-адресу, чтобы он попал в поле Connect to:

И нажимаем на кнопку Connect.

После подключения к маршрутизатору берем ранее скачанный файл с прошивкой и перетаскиваем его в окно программы Winbox. В результате этого действия прошивка начнет загружаться на маршрутизатор.

После окончания загрузки переходим в меню System и выбираем пункт Reboot

Подтверждаем перезагрузку устройства.

ВНИМАНИЕ. В момент обновления прошивки устройство может загружаться очень долго (до 3-5 минут). Ни в коем случае не выключайте на нем питание!

После обновления прошивки необходимо обновить загрузчик устройства. Для этого заходим в меню System/Routerboard

И если версии Firmware отличаются, нажимаем кнопку Upgrade, после чего перезагружаем маршрутизатор

Этап 2. Настройка внутренних адресов маршрутизатора. Настройка DHCP-сервера

После загрузки маршрутизатора RB2011 заходим в Winbox по MAC-адресу и приступаем к настройке внутренних интерфейсов.

Сначала нам необходимо объединить порты 1-5 в общий аппаратный коммутатор. Ведущим портом в нем назначается порт номер 1 и его необходимо переименовать на LAN1-Master. Остальные порты получат название LAN-Slave.

Для этого мы открываем меню Interfaces:

Двойным нажатием по интерфейсу Ether1 открываем окно и изменяем название порта на LAN1-Master.

После чего нажимаем кнопку OK

Затем открываем интерфейс Ether2, переименовываем порт на LAN2-Slave и в поле Master Port выбираем LAN1-Master

Таким образом порт добавляется в группу коммутатора с главным портом LAN1-Master. Аналогичные действия нужно провести с интерфейсами Ether3, Ether4 и Ether5.

После завершения операций в окне должно появится:

Буква S напротив интерфейса обозначает что он находится в состоянии Slave.

Теперь аналогичным способом настраиваются интерфейсы для DMZ.

Ether6 станет DMZ6-Master, а для Ether7 и Ether8 DMZ-Slave, установлена в качестве Master-порта интерфейс DMZ6-Master.

Необходимо переименовать интерфейсы Ether10 в WAN1. Интерфейс Ether9 остается незатронутым. При необходимости его можно использовать как еще один порт DMZ, указав на нем соответствующий Master-порт, или в качестве второго WAN-интерфейса, если нам потребуется резервирование канала.

Также его можно будет добавить в описываемый в следующем разделе Bridge, чтобы получить еще один LAN-порт.

В итоге должно получиться следующее:

Теперь необходимо создать интерфейс Bridge, который объединит коммутатор из интерфейсов LAN и интерфейс Wi-Fi.

Для этого открываем меню Bridge, нажимаем кнопку с красным знаком [+] и в открывшемся окне вводим название нового интерфейса Bridge-Local, после чего нажимаем ОК

Переходим на закладку Ports и последовательно добавляем порт LAN1-Master

И порт Wlan1

После проведения последней операции должно получиться следующее:

Теперь назначим LAN-адрес маршрутизатора. В качестве адреса используется 192.168.88.1 с подсетью 255.255.255.0, что можно обозначить как 192.168.88.1/24

Для этого нужно открыть меню IP/Adresses, в открывшемся окне нажать кнопку с красным знаком [+] и заполнить поля, как показано на рисунке, после чего нажимаем кнопку ОК.

Теперь настраиваем DNS-сервер. Для этого зайти в меню IP/DNS, в открывшемся окне заполнить адреса DNS-серверов и поставить галочку рядом с Allow Remote Reqests.

*В качестве примера введены адреса публичных серверов Google, необходимо заменить их на сервера полученные у Вашего провайдера.

Для ввода второго и следующих DNS-серверов воспользуйтесь кнопкой «Стрелка вниз» рядом с полем ввода адреса сервера.

Переходим к настройке DHCP-сервера. Для этого нужно перейти в меню IP/DHCP Server и нажать кнопку DHCP Setup.

В качестве интерфейса выбираем Bridge-Local

После чего нажать кнопку Next пока в ячейке не появится «DNS Servers»

Нужно удалить нижний номер сервера нажатием на кнопку «стрелка вверх», рядом с полем, а в верхнем прописываем адрес маршрутизатора - 192.168.88.1

Нажимаем кнопку Next до появления сообщения об успешной настройке DHCP.

Закрываем программу Winbox, вытаскиваем Ethernet кабель из ПК и вставляем его назад. Убеждаемся, что компьютер получил адрес от маршрутизатора.

После чего подключаемся к маршрутизатору по IP-адресу 192.168.88.1, который необходимо ввести в поле Connect to.

На этом успешная настройка LAN Завершена!

Этап 3. Настройка Wi-Fi

Заходим во вкладку Wireless. Дважды щелкаем кнопкой мыши по интерфейсу Wlan1.

Нажимаем на кнопку Advanced Mode и переходим на вкладку Wireless:

Заполняем значения, как приведено на рисунке. Измененные значения обозначены синим.

Переходим на закладку Advanced:

Вводим следующие значения:

Переходим на закладку HT;

Изменяем следующие параметры:

И применяем конфигурацию нажатием кнопки ОК.

Переходим на вкладку Security Profiles:

Дважды нажимаем на профиль default:

Выбираем mode=dynamic keys, ставим режим WPA2 PSK, aes-ccm и в поле WPA2 Pre-Shared Key вводим пароль на доступ к Wi-Fi.

Нажимаем кнопку ОК.

Переходим на вкладку interfaces и нажимаем кнопку с синей галкой, чтобы включить беспроводной интерфейс.

Успешная настройка Wi-Fi завершена!

Этап 4. Настройка безопасности маршрутизатора

Перед настройкой подключения к сети Интернет необходимо сначала настроить безопасность маршрутизатора, как минимум, отключив ненужные сервисы, и поменяв пароль администратора.

Меню IP/Services

Последовательно выделяем сервисы FTP, Telnet и WWW. Нажатием на красный крест отключаем их.

Теперь разрешим подключения к управлению маршрутизатором только из локальной сети.

Для этого дважды нажимаем мышью по соответствующему сервису и в поле Available From вводим 192.168.88.0/24.

Есть возможность указать вместо всей подсети, только IP-адрес компьютера системного администратора. Например 192.168.88.15.

Выполняем те же манипуляции с сервисом Winbox.

Далее переходим в меню System/Users

Создаем нового пользователя с правами администратора.

После чего закрываем программу Winbox, запускаем его заново и заходим под новым пользователем, открываем меню System/Users и отключаем учетную запись администратора.

Настройка NAT

Перейти в меню IP/Firewall. В открывшемся окне перейти на закладку NAT и добавить новое правило.

На закладке General выбрать Chain/srcnat и Out Interface=WAN1

На вкладке Action выбрать Masquerade

Сохраним правило, нажав кнопку OK.

Этап 5. Настройка подсети DMZ

Теперь нам необходимо задать адреса в сети DMZ. Для этого необходимо войти в меню IP/Addresses и задать адреса, которые будут использоваться в этой сети. Для примера, используем сеть 10.10.10.0/24 и адрес маршрутизатора 10.10.10.1/24

Этап 6. Настройка WAN

Для примера, провайдер нам выделил адрес 172.30.10.2 маску 255.255.255.252 и шлюз по умолчанию 172.30.10.1. Маска 255.255.255.252 имеет длину /30.

Заходим в меню IP/Addresses и добавляем адрес маршрутизатора.

Затем переходим в меню IP/Routes и добавляем шлюз по умолчанию. (Шлюз по умолчанию задается маршрутом 0.0.0.0/0)

Для этого добавляем маршрут:

Сохраняем его, нажав кнопку ОК

После чего, у Вас должен заработать интернет.

Этап 7. Настройка SNTP-клиента

Маршрутизаторы Mikrotik не имеют встроенного аппаратно-независимого таймера. Однако, нам необходимо, чтобы в журнале событий отображалось действительное время. Для этого необходимо настроить часовой пояс и SNTP-клиента.

Открываем меню System/Clock и выставляем свой часовой пояс (в примере Europe/Moscow):

Затем нужно перейти в меню System/SNTP Client. Если у вас в сети нет NTP-сервера, воспользуйтесь открытым сервером NTP в Интернет. Например, ru.pool.ntp.org. Нам необходимо узнать IP-адреса серверов. В командной строке своего компьютера набираем команду:

nslookup ru.pool.ntp.org

Узнаем адреса серверов:

Не заслуживающий доверия ответ:

: ru.pool.ntp.org

Addresses:95.104.193.195 91.206.16.3 188.128.19.66 95.140.150.140

Выбираем любые два из них и вводим в окно настройки NTP-Клиента

Нажимаем кнопку ОК, чтобы сохранить настройки.

На этом базовая настройка маршрутизатора успешно завершена! Поздравляем!

526107
Комментарии (190)

Ваня19.10.2016

Доброго времени суток.
Может кто то сталкивался с проблемой и сможет помочь.
Ситуация такая, настроен микротик 750 на связ VPN с местных айпи все нормально работает, но из Китая или из Дубая не подключается.
Может какие то особенныхе настройки нужны в IPSec.
Буду признателен за любую информацию.

ответить
Сменить картинку

Михаил05.09.2016

Добрый день всем! Подскажите, как правильно сконфигурировать такой вот комплект: роутер Микротик RB2011UiAS-2HnD, Eth1 - к провайдеру. Собственный WiFi отключен, ввиду того, что роутер должен стоять в шкафу, наверх его не поднять никак - не хватает длины брошенной витухи,-поэтому наверху шкафчика незаметно притулился еще один WiFi в качестве AP. Все работает, но все вайфайные клиенты имеют адреса 192.168.0.0/24 в то время как вся остальная сетка соответственно 192.168.1.0/24
Решил что наверное нужен мост, - мост не получается настроить. Может не в ту сторону усилия направляю? Задача - чтобы все гуляли по одной сетке.

ответить
Сменить картинку

ОдминЪ10.10.2016

Отключите DHCP на отдельной точке доступа, воткните витуху от нее в какой-нибудь порт на mikrotik. Настраивали микротик по данной инструкции? Тогда выделите один порт из бриджа, присвойте ему ip из *0.0/24, создайте еще один пул адресов на микротике и еще один DHCP-сервер. DHCP пусть смотрит только на тот интерфейс, куда подключена AP

ответить
Сменить картинку

Николай27.11.2016

Мне кажется не с той стороны подходите, усложняя... имея схожую проблему решил утановкой внешней антены (2шт.) на кабеле просто поднял их вверх и прикрутил на фанерку (недавно на алиекспрессе видел уже готовую систему из 2 антен плюс кабелек. Как их прикрутить в интернете нашел. Взял 8Дб китайские,еще и светить стали лучше/

ответить
Сменить картинку

Михаил05.09.2016

Добрый день всем! Подскажите, как правильно сконфигурировать такой вот комплект: роутер Микротик RB2011UiAS-2HnD, Eth1 - к провайдеру. Собственный WiFi отключен, ввиду того, что роутер должен стоять в шкафу, наверх его не поднять никак - не хватает длины брошенной витухи,-поэтому наверху шкафчика незаметно притулился еще один WiFi в качестве AP. Все работает, но все вайфайные клиенты имеют адреса 192.168.0.0/24 в то время как вся остальная сетка соответственно 192.168.1.0/24
Решил что наверное нужен мост, - мост не получается настроить. Может не в ту сторону усилия направляю? Задача - чтобы все гуляли по одной сетке.

ответить
Сменить картинку

Andrey01.09.2016

Настраивал по нескольким инструкциям, везде одна и та же проблема. У меня гигабитный канал, однако с микротика я никак не могу выжать больше 100Мбит, порты использую гигабитные, 1 WAN, 2-5 Lan. Подскажите где копать? ( кабели все проверены, asus n56u выдаёт исходный гигабит при замерах скорости с теми же проводами.

ответить
Сменить картинку

MG29.11.2016

На первом порту Микротика имеется проблема с гигабитной сетью из-за PoE in.
Он может запитываться через 1 порт. В новых моделях ещё на eth10 PoE out есть.
Например, я так и не смог законектить свой гигабитный сервер на первый порт.
Так что универсальный способ - не использовать 1000М на первом порту, а воткнуть в порты 2-5.
Ну и конечно, проверяем чтобы в настройке интерфейса стояло 1000. По умолчанию 100.

ответить
Сменить картинку

Сергей13.07.2016

Все так же сделал. Но по видимому что то упустил((( нет интернета

ответить
Сменить картинку

Олег17.08.2016

Такая же проблема.

Кто подскажет как её решить??

ответить
Сменить картинку

Максим24.06.2016

Огромное спасибо!!!

ответить
Сменить картинку

Юрий23.05.2016

если с самого начала назначим LAN-адрес маршрутизатора в адрес лист добавить ip ну допустим 172.22.12.10/24 то и пинг проходит и в web админку пускает, изменяем маску на /28 и уже на пинг не отвечает, что за ерунда такая? ну очень нужно чтоб на маске /28 работал

ответить
Сменить картинку

Лейла18.05.2016

Подключили роутер RouterBoard 2011U series. На айфоне 6 выбираю сеть, нажимаю кнопку выбрать и он выдает мне имя пользователя и пароля для ввода, а их у нас нет. Только сеть и пароль к сети wifi. Ноутбуки дал подключить, айфон нет. В чем может быть проблема?

ответить
Сменить картинку

Влад15.05.2016

Здравствуйте, такая проблема, раньше были динамические адреса сверху списка DHCP Leases, а потом перемешались со статическими, как отсортировать обратно сначала показывать динамику, а потом статику?
заранее спасибо.

ответить
Сменить картинку

MG29.11.2016

если правильно помню, в первой колонке показывает буквы:
D - динамический
S - статический, но отображает не на всех прошивках

ответить
Сменить картинку

В05.05.2016

Спасибо, отличная инструкция! Два вопроса:

1. Когда все было настроено в режиме QuickSet (некогда было настраивать), айфон отключался от сети в спящем режиме секунд через 40 и подключался при пробуждении секунд по 30-40. После вашей настройки ситуация изменилась: бывает айфон лежит по 30 минут и сеть не теряет, бывает что за 30 секунд может потерять. Гуглил, единого решения нет, каждому помогает свое. Перепробовал многое - результата нет. Можете подсказать?
2. У меня есть еще один яблочный девайс, Apple TV. На нем я руками прописываю нужный мне ДНС (не совпадающий с тем, что указан в роутере), это необходимо для работы некоторых сервисов стриминга. Можно ли задать этот ДНС в роутере для этого устройства?

Спасибо

ответить
Сменить картинку

Алексей15.05.2016

2. В IP/DHCP Server во вкладке networks можно задать конкретный айпишник и для него указать и шлюз, и днс, отличные от стандартных, и тогда устройство, получившее этот адрес, будет обращаться по этим указанным адресам

ответить
Сменить картинку

БО11.08.2016

Как я помню у айфонов нет 11 и 12 канала Wi-Fi какие есть в России, может когда ваш роутер переходит на них, айфон не видит.

ответить
Сменить картинку

Константин14.04.2016

Доброго времени суток. Прошу помочь с вопросом. К нам на sfp1 заходит волокно. Провайдер предоставил несколько IP. До этого был подключен 1, но теперь есть необходимость использовать ещё один. Суть проблемы в том, что есть пользователи в локальной сети которые долбят запросами в гугл, изза чего другие пользователи постоянно видят капчу (введите пароль, чтобы мы знали что вы не бот). Гугл банит наш IP. Я хочу переключить 7 статических IP пользователей на второй внешний IP который предоставляет провайдер, чтобы эти 7 человек не мешали остальным. Прошу помощи.

ответить
Сменить картинку

MG29.11.2016

Если память не подводит, делал так:
1. В IP->addresses добавляем на наш интерфейс ещё один адрес (от провайдера который получен). Т.е. будет две(три..) записи для одного WAN-порта.
2. В IP->Routes->Rules создаём Rule для новой сети. Нужно указать подсеть(src) и имя таблицы Table (сами придумываем имя). Можно несколько Rule все в одну таблицу.
Таким образом ip из этих правил будут маршрутизироваться в альтернативную таблицу маршрутизации. Основная называется main, а наша будет как указано в Table.
3. Создаём альтернативный "маршрут по умолчанию". На IP->Routes->Routes добавляем маршрут 0.0.0.0, гатвей это наш WAN (или точный ip), и RputingMark выбираем имя нашей новой таблицы из п.2
4. Добавляем маскардинг в фаерволе в NAT, опять же для нашей новой Routing table, если нужен.
P.S. гуглить по "таблицы маршрутизации, Routing tables"

ответить
Сменить картинку

Андреас17.03.2016

Уберите из описание, что нужно ставить галку в DNS напротив Allow Remote Reqests С такой настройкой потом начнётся флуд, если в Firewall нет никаких правил на блокировку запросов на 53 UDP. У меня так UPLOAD был полностью загружен и в день на гигабайт левого трафика набегало.

ответить
Сменить картинку

Илья Князев18.03.2016

Настройте файрволл по следующим статьям и вам не придется снимать эту галку.

ответить
Сменить картинку

Димитрий06.04.2016

А где следующие статьи-то???

ответить
Сменить картинку

Андрей03.03.2016

добрый день , просмотрел кучу инструкций и не увидел альтернативной раздачи ип адресов внешним DHCP сервером для локальных клиентов - не WAN , ( стоит dfl210e c 2 ISP c с балансировкой и раздает ип адреса клиентам по разным VLAN ) , 2xMikrotik rb951G-2Hnd хочу использовать только для бесшовного wifi роуминга, нужно всего лишь настроить DHCP клиент для wifi клиентов ... подскажите плз или ткните в ман . Спасибо

ответить
Сменить картинку

Илья Князев18.03.2016

Так вам достаточно просто в LAN-порт подключить внешний DHCP-сервер и выключить внутренний.

ответить
Сменить картинку

panzer27.02.2016

Добрый день!При настройке WAN1 на ether10 в interface он подключается в режиме Slave.Прошу не пинать!

ответить
Сменить картинку

Сергей03.03.2016

Если он у Вас в бридже,то будет отображаться как слейв

ответить
Сменить картинку

panzer06.03.2016

Огромное спасибо!Решено.

ответить
Сменить картинку

Игорь13.02.2016

Извините я не понял, у локальной сети будет интренет при данной настройке роутера? И Если нет то как дать локалке (Eth1-Eth5) интернет?

ответить
Сменить картинку

Илья Князев18.03.2016

Да, Ether1-Ether5 это LAN-порты. Интернет оттуда будет доступен

ответить
Сменить картинку

Илья Князев18.03.2016

Да, Ether1-Ether5 это LAN-порты. Интернет оттуда будет доступен

ответить
Сменить картинку

Павел05.02.2016

Подскажите, как при автоматическом переключении канала на резервный и обратно разрешить пользоваться резервным интернетом только нескольким IP?

ответить
Сменить картинку

Илья Князев18.03.2016

Воспользоваться IP Firewall

ответить
Сменить картинку

Victor01.02.2016

добрый день. Может кто столкнулся с такой задачей посоветуйте как лучше сделать. Оператор дает 2 Ip статик по оптоволокну. Заходит в eth_1 как пробросить чтобы один IP выдавал с 2 lan porta a второй с 3 lan porta интернет

ответить
Сменить картинку

Илья Князев18.03.2016

Прочитать третью часть статьи про NAT

ответить
Сменить картинку

Serg12.01.2016

Очень хорошая статья по настройке микротик. Но более углубленней я нашел тут https://mstream.com.ua/plan-nastroyki-mikrotik-routeros.html . Все написано простым человеческим языком для новичков

ответить
Сменить картинку

Zaur11.01.2016

Добрый день, спасибо за подробную инструкцию по настройке роутера. Хотел поинтересоваться. Имеется роутер Mikrotik rb2011uias-2hnd-in, на данный момент работает в базовой конфигурации,так как недавно закончил ремонт в квартире в каждую комнату завел по витой паре 6 категории подключил все устройства к роутеру (специально подбирал стабильно работающий роутер с большим количеством портов), в итоге там где находятся 2 устойства: зал (ТВ и спутниковый ресивер с шарингом) и детская (ТВ и PS3) витую пару пришлось раздвоить на обоих концах и тем самым использовать под 2 устройства. Прошу не пинать, а понять простить и объяснить ))))

1) Получается что там где я витую пару разделил на два устройства подключение к гигабитному порту нецелесообразно???

2) Что такое DMZ ?

3) Хотел подключить HDD внешний, но как я понял его необходимо форматировать для роутера в свою систему, то есть вариант "использовать еще для других нужд" не подходит ??? Ну допустим фильмы накачал и на работу отнести скопировать ???

4)Работает ли HDD внешний при подключению к роутеру без дополнительного питания (на моем Zalman отсутствует вход для подключения дополнительного источника питания )

5) Пытаюсь расширить количество портов с помощью подключения медной SFP, попробовал 4 разных от разных производителей, ни один не определился хотя в данном списке как минимум 2 из 4 есть ( http://wiki.mikrotik.com/wiki/Supported_Hardware#SFP_modules). Есть ли опыт подключения медных SFP ???

В итоге хотелось бы иметь сеть с выходом в инет из любого из мегабитных портов (так как у нас в регионе Сумма телеком дает всего лишь 35 мегабит скорость, а остальные порты задействовать под домашнюю локальную сеть включая и слот с SFP, что бы устройства внутри домашней сети видели друг друга (смотрю с телека фильмы находящиеся на компьютере и конечно хотелось бы иметь подключенный к роутеру внешний жесткий диск )))

ответить
Сменить картинку

Илья Князев18.03.2016

1. Там где витая пара раздвоена гигабита не будет. Т.е. и гигабитный порт не нужен
2. Демилитаризованная зона. В нее обычно ставят сервера, которые работают и с локальной сетью и с Интернет.
3. Если у вас ПК понимает файловую систему ext2 то почему бы и нет.
4. Вопрос энергопотребления HDD.
5. А с SFP вы гигабит получали или пытались 100мбит?

ответить
Сменить картинку

Вячеслав25.12.2015

А роутер умеет быть ntp сервером? (брать время из инета и раздовать в локалке)

ответить
Сменить картинку

Андрей25.01.2016

Умеет. Надо только дополнительный пакет поставить с сайта Микротика.

ответить
Сменить картинку

Сергей05.12.2015

В начале все картинках и разжевано... Но в конце инструкции есть непонятности которые не дают завершить настройку... (естественно делаю первый раз и не все понятно)

ответить
Сменить картинку

Илья Князев18.03.2016

Какие именно?
У нас штатный телепат заболел...

ответить
Сменить картинку

Vitalii05.12.2015

Отличная инструкция. Есть несколько вопросов, прошу по возможности направить в нужное русло. Есть и настроена локальная проводная сеть Настроенная через данное устройство, в перспективе подключение средней мощности всенаправленной антенны для создания закрытой беспроводной сети, рассчитанной на 10 пользователей. Как можно осуществлять контроль за ограничением скорости связи, меняя ее по своему усмотрению для каждой отдельной точки приема по-разному, при этом делая это через настройки данного маршрутизатора, то есть дистанционно, а не задавая параметры на роутере принимающей сигнал точке? Как, избавить провайдера от головной боли и лишить его необходимости мониторинга за всеми устройствами нашей локальной сети, а оставить ему заботу лишь о точке входа и выхода, а именно информацию лишь о самом маршрутизаторе и используемых оным объемах входящей и исходящей информации, ну и самое информацию о серфинге но уже в глобальной сети, а на в нашей локальной? Заранее благодарен.

ответить
Сменить картинку

Илья Князев18.03.2016

1. Использовать очереди (Queues)
2. Например по SNMP

ответить
Сменить картинку

Владимир01.11.2015

Здравствуйте всем.
Помогите настроить Firewall аппарата Mikrotik RB2011UiAS-RM. У нашей компании существует несколько десятков одинаковых по структуре и рангу локальных сетей, расположенных в разных городах. Оборудование подключено следующим образом:
Первый порт микротика свободный;
Во второй порт подключен спутниковый модем, через который осуществляется связь между всеми сетями;
В третий и четвёртый порты подключены два Cisco Catalyst 2960 к которым в свою очередь подключено множество оборудования. Адрес моей сети для примера 10.100.210.0/24. Среди этого оборудования компьютер с IP 10.100.210.12, видеорегистратор IP 10.100.210.13, три IP видеокамеры с IP 10.100.210.(14,15,16).
Задача №1 – запретить доступ к указанному выше оборудованию или полностью к моей сети из другой сети с адресом 10.100.220.0/24.
Задача №2 – запретить доступ к указанному выше оборудованию или полностью к другой сети с адресом 10.100.220.0/24 из моей сети.
Желательно все настройки выполнить на микротик’е своей сети, хотя и имеется удалённый доступ к чужим, но скорость низкая.
Буду рад любому ответу, а подробно разжёванному вдвойне.

ответить
Сменить картинку

Дмитрий03.11.2015

Задача 1: ip firewall filter add chain=forward action=drop dst-address=10.100.210.0/24 src-address=10.100.220.0/24

Задача 2: ip firewall filter add chain=forward action=drop dst-address=10.100.220.0/24 src-address=10.100.210.0/24

Часто в такого рода правилах ещё указывают in-interface/out-interface, но вероятно в вашем случае делать этого не стоит, т.к. если вы потом переткнёте эти свитчи в другие интерфейсы, то правила с in-interface/out-interface могут не сработать.

ответить
Сменить картинку

Владимир03.11.2015

Спасибо большое, завтра попробую.

ответить
Сменить картинку

Владимир05.11.2015

Попробовал, не получилось. Сейчас попробую здесь на форуме создать тему и прикреплю скриншот.

ответить
Сменить картинку

Leshak26.10.2015

Помогите где копать пожалуйста.
Настроил как по инструкции, с исключением, что в LAN сети (192.168.0.0) DHCP поднят на домене, а в DMZ сети (10.10.10.0) в микротике. Компы из обоих сетей пингуют друг друга, работает шара и RDP.
Как это исправить? А лучше чтоб из LAN можно было смотреть в DMZ а на оборот, нет. Планирую DMZ для клиентов, LAN естественно сеть предприятия.

ответить
Сменить картинку

Leshak30.10.2015

Прочитал статью про фильтрацию трафика стало всё понятно.

ответить
Сменить картинку

Студент14.09.2015

Здравствуйте! Провайдер выделил нам не один, а несколько IP-адрес (например, подсеть 40.215.45.168/29) Как это грамотно настроить в микротике? Например, нужно через 40.215.45.170 выходить в интернет - ну тут понятно-NAT. А как на 40.215.45.171 сделать почтовый сервер и на 40.215.45.172 вэб службы? Это всё отдельные сервера

ответить
Сменить картинку

Илья Князев05.10.2015

Читайте статьи про NAT

ответить
Сменить картинку

Илья Князев05.10.2015

Читайте статьи про NAT

ответить
Сменить картинку

vini_serega05.09.2015

Здравствуйте. У меня на сервере несколько сотен абонентов, подскажите пожалуйста как через винбокс задать всем временные ограничения ( например с 1го по 31е ).

ответить
Сменить картинку

MG29.11.2016

у правил в фаерволе есть дополнительные опции в какое время они действуют. Вкладка Extra - Time.
Можно делать drop всех пакетов в и-нет по выходным, например.

ответить
Сменить картинку

Гасан19.08.2015

Как поменять ip самого роутера???

ответить
Сменить картинку

Алексей04.09.2015

Написано же в пункте 6
Заходим в меню IP/Addresses и добавляем/изменяем адрес маршрутизатора.
в айпи адресах как раз и присваиваются нужные адреса для определенных сетевых интерфейсов.

ответить
Сменить картинку

profet08.08.2015

Добрый день,
Хотел спросить вас, как мне ограничить скорость интернета по времени суток через pppoe server?
С уважением!

ответить
Сменить картинку

Илья Князевв10.11.2015

Использовать очереди Queues

ответить
Сменить картинку

Aleksandr20.07.2015

Здравствуйте!

потянет ли под такие задачи - максимально 20 пользователей в офисе, в едином сегменте Ethernet
Причем сейчас не больше 15 пользователей на бумаге.
В реальной жизни редко доходит до 10 активно работающих пользователей, создающих TCP соединения. Итак: 20 это есть с двукратным запасом.
Обычная работа - из тяжелого только видео звонки SKYPE

Но. Есть задача - в ближайшие время запустить в офисе Remote Desktop Session Host (RD Session Host)
К нам в офис будут подключаться клиенты из других городов и работать в 1С в терминале.
Планируется около 10-15 подключений - может быть когда-нибудь в будущем и 20.

Задачи: CoS, ACLs, шейпер, 2WAN для резервирования (2 провайдера с медным Ethetrnet 100BASE-T4)

ответить
Сменить картинку

00730.09.2015

Потянет с лихвой!

ответить
Сменить картинку

Emsin12.01.2016

2011 по цене выйдет дороже, для такой задачи хватит и такой модели https://mstream.com.ua/mikrotik-rb951ui-2hnd.html У меня стоит в офисе и работает на ура

ответить
Сменить картинку

Mmag24.06.2015

Актуальна ли эта настройка на новых роутерах, где прошивка уже 6.29.1?
А если оставить все как есть, настроив только Quick set, роутер будет стабильно работать?

ответить
Сменить картинку

Mmag24.06.2015

В офисе где 30-40 подключений по wi-fi?

ответить
Сменить картинку

Михаил22.06.2015

Как настроить Mikrotik 951UI 2HnD, если подключить YOTA через USB?

ответить
Сменить картинку

Анатолий04.06.2015

Спасибо за подробную инструкцию. Только у меня почему-то не заработал интернет в конце 6 этапа, пока не добавил маршрут во внутреннюю сеть:
192.168.1.0/24 bridge-local

ответить
Сменить картинку

Максим29.04.2015

Добрый вечер ПОМОГИТЕ ПОЖАЛУЙСТА, прошил микротик hup lite прошивкой 6,28 все нормально без ошибок через программу Net install, далее подключаюсь к программе winbox loader он по макку определяет нормально IP 0.0.0.0 делаю Connect мне выдаёт ошибку "Cold not get index:missing file" уже не могу разобраться третий час.

ответить
Сменить картинку

Илья Князев03.05.2015

hAP это за темой этой статьи.
Обратитесь на наш форум.

ответить
Сменить картинку

Илья Князев03.05.2015

hAP это за темой этой статьи.
Обратитесь на наш форум.

ответить
Сменить картинку

Антон25.04.2015

Народ, проблема с DNS, не могу с ними связаться. Сделал все по инструкции, показывает что инет есть, ip-шники дает, а никуда зайти не могу.

ответить
Сменить картинку

Илья Князев03.05.2015

Обратитесь на форум.
Попробуем помочь найти проблему.

ответить
Сменить картинку

Виталий14.04.2015

Здравствуйте, сейчас занимаюсь настройкой маршрутизатора MikroTik RB2011UiAS-IN. Нуждаюсь в помощи. Задача такая: настройка Wi-Fi точки доступа через miсroUSB маршрутизатора. Есть ли у Вас какая-нибудь информация по этой настройке?

ответить
Сменить картинку

Илья Князев15.04.2015

Если вы имеете ввиду возможность установки второй WiFi карты в слот USB, то 6 версия RouterOS такой возможности не предоставляет.
А RB2011UiAS-IN не совсем совместим с версий 5.

ответить
Сменить картинку

Виталий15.04.2015

Так как у этого маршрутизатора отсутствует Wi-Fi, есть задача реализовать Wi-Fi посредством подключения беспроводного Wi-Fi адаптера через microUSB.

ответить
Сменить картинку

Илья Князев19.04.2015

При всем желании это невозможно.
Хотя, вы можете попробовать прошить RouterOS 5.26, но стабильная работа устройства при этом не гарантируется.

ответить
Сменить картинку

Андрей29.01.2016

А испольневать AP точки доступа на локалке??? религия не позволяет????

ответить
Сменить картинку

Sergey02.04.2015

Доброе время всем!
Все работает как по написанному!
В локальную сеть включили видео регистратор.
Работает по 80 порту. + Java.
Необходимо достучаться из инета.

ответить
Сменить картинку

Илья Князев03.04.2015

Добрый день.
Читайте http://spw.ru/solutions/natpart2/
Думаю там найдете ответ )

ответить
Сменить картинку

Геннадий25.02.2015

У меня вот такая проблема
echo: system,error,critical login failure for user root from 182.100.67.113 via ssh
echo: system,error,critical login failure for user root from 218.87.111.118 via ssh
echo: system,error,critical login failure for user root from 182.100.67.113 via ssh
echo: system,error,critical login failure for user root from 218.87.111.118 via ssh
echo: system,error,critical login failure for user root from 182.100.67.113 via ssh
echo: system,error,critical login failure for user root from 218.87.111.118 via ssh
echo: system,error,critical login failure for user root from 182.100.67.113 via ssh

ответить
Сменить картинку

Илья Князев25.02.2015

Прочитайте вот это http://spw.ru/solutions/nastrojka_fajrvolla_na_mikrotik_chast_2/
Если останутся вопросы, добро пожаловать в наш форум
http://spw.ru/forum/

ответить
Сменить картинку

Иван31.01.2015

Есть задача для продвинутых спецов.
Дома настроил MikroTik RB-951G-2HnD на три сети, в итоге имеем:
1. 1й порт оператор "РТК" - WAN1 статический IP, является основным интерфейсом Internet
2. 2й порт Оператор "Радиус" - WAN2 динамический IP, ресурсы сети провайдера (видеозал, IPTV, DC++, FTP-сервер), резервный канал интернета при обрыве связи по WAN1 - прописан скрипт по автоматическому переключению
3. 3й порт Оператор "Терра"- WAN3 статический IP, ресурсы провайдера (видеозал, IPTV, DC++, FTP-сервер) прописано в настройках роутера DNS, интернет через VPN подключение, но на роутере на прописан, и не используется.
4. Имеется подключение на другом адресе (квартира-кабинет) через "Терру" со статическим IP и его ресурсами, интернет также ходит через данное подключение.
НЕОБХОДИМО сделать VPN, чтобы со второго адреса (кабинета) по сети оператора "Терра" можно подключиться на данную железку и получить доступ к ресурсам Оператора "Радиус", при этом в кабинете оставить доступ к интернету не через подключение кабинета.
Вроде правильно изложил.
Кому интересно? Кто готов помочь в настройке сия аппарат?

ответить
Сменить картинку

Илья Князев25.02.2015

Мы осуществляем помощь в настройке за дополнительное вознаграждение ))
Либо вы можете создать тему в нашем форуме http://spw.ru/forum/

ответить
Сменить картинку

Владимир25.02.2015

Сколько будет стоить настройка 2011UiAS-2HnD-IN
v.dmw@rambler.ru

ответить
Сменить картинку

Илья Князев03.04.2015

Пришлите ТЗ на info@spw.ru
Спасибо.

ответить
Сменить картинку

антон28.01.2015

можно ли использовать веб прокси микротика как кеширующий прокси для сайта за микротиком?

ответить
Сменить картинку

Илья Князев25.02.2015

Не вижу смысла в такой конфигурации, хотя попробовать настроить можно.
Но тема не относится к статье, вы можете задать вопрос в нашем форуме http://spw.ru/forum/

ответить
Сменить картинку

Алексей25.01.2015

Добрый день! Стал счастливым обладателем RB2011UAS-2HnD с WiFi модулем. Но очень удивился не найдя в настройках даже упоминания о Wireless! Как такое может быть? И не связано ли это что прошивку пока не обновлял?

ответить
Сменить картинку

Илья Князев26.01.2015

Возможно отключен или удален пакет Wireless
Проверьте в меню /system packages

ответить
Сменить картинку

Алексей26.01.2015

Спасибо большое так все и было. Уже включил!

ответить
Сменить картинку

Алексей19.01.2015

А скажите, если в локальной сети будут использоваться и 100 Мбит, и гигабитные порты, они соберутся в коммутатор или придется мостом пользоваться?

ответить
Сменить картинку

Илья Князев20.01.2015

В RB2011 2 коммутатора.
Порты 1-5 и порты 6-10
Соответственно если порты в рамках одно коммутатора (свитч-чипа) то соберутся, если нет, то пользоваться мостом.

ответить
Сменить картинку

Алексей20.01.2015

Ну, собственно, я про это и спрашивал. То есть порты роутера Fast Ethernet, c портами роутера Gigabit Ethernet могут работать только через софтовый мост?

ответить
Сменить картинку

Andrey29.12.2014

Люди добрые подскажите как сделать: внутри сети есть видеорегистратор. Пробросил порт для него. Внутри по его ip все - ок. Снаружи по внешнему ip тоже - ок. Но у шева настроен телефон на внешний ip, если он не из офиса - то все ок. А внутри сети по внешнему ip он подключиться не может (в проге для просмотра можно ввести только один адрес, ведь глупо его переписывать если он подключился в свою сеть). Как победить?

ответить
Сменить картинку

доброжелатель12.01.2015

это нужно использовать правила NAT
1. сменить адрес назначения (DNAT)
2. затем, сменить адрес отправителя, SNAT

ответить
Сменить картинку

Andrey20.01.2015

А можно по подробнее. Сейчас как раз и написано правило DNAT ( направляет запрос по определенному порту на ip видеорегистратора для внешнего подключения ), а как сделать чтобы из внутренней сети попасть на него?

ответить
Сменить картинку

Аноним21.01.2015

Можно извратиться через ДНС если в проге для просмотра можно вводить не IP, а имя. Типа внутри локалки имя kamera.kontora.ru будет резольвится в локальный адрес, а снаружи - в наружный.

ответить
Сменить картинку

Илья Князев26.01.2015

Поподробнее такая конфигурация называется Hiarpin-NAT
http://wiki.mikrotik.com/wiki/Hairpin_NAT

ответить
Сменить картинку

Илья Князев26.01.2015

Настройка называется Hairpin NAT
http://wiki.mikrotik.com/wiki/Hairpin_NAT

ответить
Сменить картинку

Andrey26.01.2015

Спасибо. Прописал это правило и все заработало.

ответить
Сменить картинку

Gregory29.12.2014

Заметил такой момент. Если оставить как есть WAN1 то скорость соединения только 10 Мб. А если отключить PoE, то скорость становиться как надо. В моем случае 100 Мб.

ответить
Сменить картинку

neif24.12.2014

добрый день не подскажите как определенному устройству внутри сети выдать определенный ip (что бы он при подключении к сети получал конкретный ip)

ответить
Сменить картинку

Илья Князев24.12.2014

/IP DHCP-Server
Закладка Leases. Найти адрес устройства, сверху нажать кнопку Make Static. При необходимости изменить запись.

ответить
Сменить картинку

Евгений16.12.2014

Народ, при настройке шлюза по умолчанию окошко Check Gateway должно быль пустое,
с поставленным там значением ping ничего работать не будет. Сам проковырялся целый час.

ответить
Сменить картинку

Илья Князев16.12.2014

Значит у вас провайдер запретил ping шлюза.
Вообще Check Gateway нужен для определения "живой или нет шлюз". Если у вас Ethernet подключение, вместо ping правильнее указывать arp

ответить
Сменить картинку

Алексей04.09.2015

Вообще идея пинговать шлюз работает плохо.
Бывает что шлюз пингуется, а у провайдера где-то дальше канал оборвало.
В итоге шлюз мы видим, а инета нет. На резервный канал без ручного вмешательства все равно не переключится.

ответить
Сменить картинку

Сергей27.11.2014

Доброе время суток! Подскажите, имеется RB1100, сеть 192.168.0.0/24 и 2 заведенных инета. Хочется настроить нат чтоб часть компов ходила через один а другая часть через другой, желательно оставаясь в той же подсети.

ответить
Сменить картинку

Илья Князев27.11.2014

Добрый день. Задайте вопрос на нашем форуме http://spw.ru/support/forum/
Мы с удовольствием Вам поможем.

ответить
Сменить картинку

Андрей22.11.2014

Доброе время суток
Большое спасибо за статью
подскажите плиз можно ли на микротик реализовать что то типо DNS Forward
хотелось бы при обращении по внешним именам ресурсов попадать на внутренние IP адреса. то есть находясь за пределами домашней сети я набираю www.mysite.ru и попадаю на web сервер с внутренним IP 192.168.1.10
хотелось бы внутри сети набрать www.mysite.ru и попасть также на этот же сервер

ответить
Сменить картинку

Илья Князев24.11.2014

Можно конечно.
/IP DNS
и, может быть, добавить правило NAT с редиректом всех запросов клиентов на внутренний DNS маршрутизатора

ответить
Сменить картинку

Евгений16.11.2014

Здравствуйте!
Огромное спасибо, наконец то нашел статьи о микротике, написанные человеческим языком, я уже отчаялся искать подобное :)
Не могли бы Вы помочь мне в решении небольшой проблемки, хотя бы направить в каком направлении искать.
Понадобилось построить на микротике хотспот
В микротик входят 2 разные сети
172.0.0.0/8
10.0.0.0/8
дальше - 192.168.0.0/16 - пользовтаелям хотспота
Всё настроил, всё бегает, в чем была необходимость - всё настроил
Но нужно сделать так, чтоб пользователи хотспота имели суточное ограничение на трафик с 172 сети, не повременное, а в мегабайтах (так надо), но при этом - с десятой сетью могли работать без ограничений.
Как сделать так, чтоб трафик с десятой сети не учитывался у пользователей? Чтоб шел мимо хотспота

И еще один нюанс
При подключении к сети - абонентское устройство пользователя получает IP адрес. После того, как пользователь залогинится на хотспоте - он на сессию получает еще один IP. Где то я натыкался на пояснение этой фичи и как ее отключить, но хоть убейте - не могу нигде найти.
Спасибо

ответить
Сменить картинку

Илья Князев17.11.2014

Чтобы трафик шел мимо хотспота нужно разобраться в правилах, которые хотспот создает в Firewall, включая NAT и Mangle (не помню точно есть ли Mangle, NAT есть точно).

Я так понимаю, что у вас разные подсети абонентская и хотспота.

ответить
Сменить картинку

Евгений17.11.2014

Здравствуйте!
Да, по сути - в роутер заходит корпоративная сеть и интернет, на выходе мы имеем гостевую (хотспот). Нужно организовать так, чтоб интернет ограничивался помегабайтно (справедливый дележ спутникового трафика ;)), но к копоративной сети при этом доступ оставался неограниченным. Начал по Вашей третьей части статьи о настройке рисовать цепочки и правила, попробую - может и получится завернуть трафик с интерфейса BridgeHotspot (вайрлесс+клиентские медные порты) к интерфейсу CorpNet минуя хотспот, но именно для авторизированных пользователей хотспот.

ответить
Сменить картинку

megagaw12.11.2014

На руках имеется Mikrotik RB951G-2HND уже около года.
Примерно около 3-х месяцев назад появилась проблема - стал самопроизвольно меняться DNS сервер. Провайдер - Сибирьтелеком красноярского края.
Изначально были прописаны следующие днс:
195.112.224.126
195.112.224.75
Но 3 месяца назад второй адрес начал меняться на:
195.112.225.126
При этом некоторые устройства по Wi-Fi продолжали выходить в интернет (как минимум один смартфон), так же продолжал работать на компьютере скайп. Ни один браузер не имел доступа в интернет. Связь восстанавливается только после того как пропишу "родной" сервер или гугловские восьмерки. При этом не важно сколько было прописано днс серверов, в итоге все равно окажется 2 с одним не правильным.
Техподдержка ничего внятного ответить не смогла.
Замена днс происходит при выключенном компьютере, без какой либо системы - может пару раз в час поменяться, а может и пару недель не меняться.
Перед тем как это произошло по логам заметил атаку на роутер по ssh и telnet - сразу закрыл доступ по всем каналам кроме winbox. Собственно компьютер сейчас включаю в основном только из-за winbox.
Проблема с подменой днс не ушла.
В логах видно следующее:
pppoe pop info pppoe-out1:terminated
pppoe pop info pppoe-out1:disconnected
pppoe pop info pppoe-out1:initializing
pppoe pop info pppoe-out1:dialing
pppoe pop info pppoe-out1:authenticated
pppoe pop info pppoe-out1:connected
system dns changed

Куда копать? Из-за чего это происходит? И кто виноват?
В этом роутере мягко говоря я чайник, так что жду помощи от более опытных и продвинутых пользователей.
Заранее спасибо!

ответить
Сменить картинку

Илья Князев13.11.2014

Копать в направлении динамических серверов DNS.
Задаются или в свойствах dhcp-клиента или в свойствах pppoe-клиента.
При указании динамических серверов они более приоритетны.

ответить
Сменить картинку

Михаил05.11.2014

Огромное спасибо за статью, настраивал 951g по ней, все ок!

ответить
Сменить картинку

Илья Князев05.11.2014

Всегда пожалуйста ))

ответить
Сменить картинку

Александр30.10.2014

Здравствуйте. статья понравилась - все что написано доходчиво выполняется, но у меня другая проблема. Нужно с помощью RB2011 расширить зону покрытия wi-fi где основным роутером стоит tp-link. подскажите как это сделать. спасибо.

ответить
Сменить картинку

Илья Князев05.11.2014

Либо пробовать настроить WDS, но может не получиться (не со всеми производителями оборудования работает), либо можно попробовать объединить их проводом дав тот же SSID. Если сеть будет на обоих точках доступа на той же частоте клиент будет переподключаться достаточно быстро, но с потерей пакетов.
Либо заменить TPLINK на Mikrotik и настроить CapsMan.

ответить
Сменить картинку

Александр07.11.2014

Спасибо. Но проводом соединить не получится в этом и вся сложность, а по WDS я не понял как это сделать - и там и там он есть, но как настроить понять не могу...ламер((( Ну и второго микротика нету

ответить
Сменить картинку

Илья Князев07.11.2014

Я в данном случае помочь не смогу. Понятия не имею, как оно с TPLink настраивается.

ответить
Сменить картинку

александр29.10.2014

здравствуйте знатоки у меня такой вопрос меня подключили к интернету через микротик антенна у меня nano station m2 как мне войти в настройки airos антенны айпишники два штуки от микротика но через них не входит может у провайдера еще есть айпишник на базовой станции могу ли я узнать его через микротик

ответить
Сменить картинку

Илья Князев29.10.2014

NanoStation это не антенна. Это беспроводной радиомост.
Как зайти в настройки не подскажу. Вполне возможно что вообще никак. Так как если бы я ставил такое решение, я бы совершенно однозначно ограничил пользователю такую возможность.

ответить
Сменить картинку

Ася29.10.2014

А если воспользоваться пунктом "квик сетап" , и настроить только имя wi-fi сети и её пароль, и прописать IP маску шлюз и DNS , ну и галочку "включить DHCP" поставить.
и больше ни с чем не заморачиваться.
С такими настройками роутер заработает?

ответить
Сменить картинку

Илья Князев29.10.2014

Да заработает.
Рекомендую все-таки зайти потом в настройки интерфейса wlan1, нажать там кнопку "Advanced Mode"и на закладке Current-TX-Power глянуть реальную выходную мощность передатчика. Должна быть 20DBm

ответить
Сменить картинку

Сергей05.11.2014

а если поставить 17 или дажк 16 Dbm - на чем это отразится?

ответить
Сменить картинку

Илья Князев05.11.2014

Вы уменьшите мощность передатчика WiFi.
Сигнал будет чище, но охват меньше. Если помещение небольшое, то вполне логично ставить 10-17DBm

ответить
Сменить картинку

den28.10.2014

Спасибо дорогой за помощь, не зря потратил время на инструкцию.

ответить
Сменить картинку

Илья Князев29.10.2014

Всегда пожалуйста ))

ответить
Сменить картинку

Павел24.10.2014

добрый день!кто нибудь подскажет мне у меня провайдер ТТК Транс телеком подключаюсь через pppoe в роутер с роутера раздаю два шнура в PC и Playstation4 у меня статический ip порты проверяю через PC закрыты звоню тех поддержку говорят у вас все порты открыты делаю проброс портов через микротик rb951-2n через вкладку ip fr nat chain=dstnat protocol=tcp dst.pout 0-65535 in iterfase=pppoe1 захожу в action= dstnat
to address локальный to ports 0-65535 порты закрыты в чем проблема?

ответить
Сменить картинку

Илья Князев27.10.2014

Вообще не понял про что речь идет.
Правило которое вы привели вообще не работающее, т.к. отключает преобразование локального адреса в глобальный.

ответить
Сменить картинку

Maxim19.10.2014

Здравствуйте. Стоит Mikrotik crs125-24g-1s-rm. К первому порту подключен ADSL модем с DHCP который раздает интернет на 2 точки доступа через DHCP сервер, подключенные к портам 3 и 5 (диапазон адресов 192.168.88.1-192.168.88.255). Есть 4 IP домофонных устройства с адресами 192.168.68.90-94 и 2 IP камеры с регистратором (192.168.78.1-3)подключенных к одному свитчу. Свитч подключен к 7-му порту микротика. Ставлю ether8 мастером и ether7 слейвом от него. Создаю мост между ether2 и ether8.
Хочу что бы подключившись по FIWI я имел доступ к каждому устройству со свитча. Скажите пожалуйста что делаю не так.

ответить
Сменить картинку

Илья Князев20.10.2014

Если правильно понял описание, Вам надо разобраться с функциональностью коммутатора (меню switch), собрать несколько VLAN, эти VLAN вывести на CPU и там уже что-то дальше делать.
К сожалению это за рамками данной статьи.

ответить
Сменить картинку

Пётр24.09.2014

Добрый день.
Спасибо за инструкцию, весьма познавательна и подробна.
Однако несколько дней бьюсь с проблемой нерабочего IGMP.
Суть-пакет мультикаст скачал, поставил.
IGMP Proxy настроил так, как сказано в вики микротика, т.е.
в Interfaces добавил WAN как
Upstream(Alt subnets поставил 0.0.0.0/0)
и добавил физический интерфейс в который подключена STB как downstream.
( К слову, пробовал добавлять в кач-ве даунстримов и все порты, и бридж, эффект одинаковый)
Когда STB подключена и запрашивает канал, оба интерфейса( и WAN и LAN) остаются inactive.Ежели добавляю, к примеру, all или мой локальный бридж, то они поднимаются, в логах даже пишет: "starting igmp proxy forwarding" но по факту трансляция не идет.
И,что интересно, во вкладке MFC я вижу нужную группу, к которой надо подключиться, однако почему-то у этой группы Upstream interface стоит unknown и счетчик пакетов, как следствие, на нуле.
В чем может быть причина, не подскажете?
P.S. Если из того что написал что-либо непонятно, могу скинуть скрины.

ответить
Сменить картинку

Илья Князев20.10.2014

К сожалению не подскажу.Очень сильно от конкретного оператора зависит

ответить
Сменить картинку

Сергей05.11.2014

кривое, конечно, решение, но мне помогло: в меню ip/addresses добавил следующий адрес: 10.0.0.0/24 Сразу заработало

ответить
Сменить картинку

Евгений18.09.2014

Делал все по инструкции. Интернет не хочет работать ни в какую, в настройках Bdridges/Port --- wlan1 пишет disables port
===
при подключении интернета в 10 порт интернета нет.
в свойствах сети dns стоит не который прописали, а ip роутера

ответить
Сменить картинку

Илья Князев20.10.2014

1. Wlan в режиме disabled, потому что на нем нет активных клиентов.
2. Как вариант, провайдер привязан к mac-адресу.
3. Не совсем ясно в свойствах какой сети.

ответить
Сменить картинку

Константин07.09.2014

Здравствуйте.
Огромное спасибо за качественный мануал.
Единственное что можно добавить - это настройку мультикаста, так как сейчас у многих провайдеров используется (но если немного порыть инет и так можно найти)
У мну вот какая проблема возникла: настроил мультикаст, на компьютере подключенном по проводу показывает супер, а вот по вифи мультикаст жутко лагает, проверял ноутбуком, поочередно подключая проводом или по вифи

ответить
Сменить картинку

Константин08.09.2014

Сам разобрался) вдруг кому будет полезно нужно в настройках беспроводного интерефейса в advanced mode Multicast Helper сделать full, после этого ип тв по вифи пошло норм

ответить
Сменить картинку

Егор01.09.2014

И еще один вопрос по wi-fi. Как настроить роутер на работу только с определенными мак-адресами по wi-fi? Вернее понятно, что по аналогии с вашим ответом:
---------

Илья Князев18.06.2014

Вам надо в свойствах Wireless интерфейса снять галку Default Authenticate
Далее в меню Wireless зайти на закладку Access-Lists и там создать 2 правила.
1. Запрет доступа с MAC-адреса ноутбука дочки в указанное время (Весь диапазон, когда не разрешено).
2. Разрешить доступ всем остальным.
ответить
-------
Только я не нашел, где посмотреть мак-адреса подключенных по wi-fi?

ответить
Сменить картинку

Илья Князев01.09.2014

Wireless -> Закладка Registration.
Там находим нужный MAC, щелкаем правой кнопкой мышки и выбираем Add to Access List
После чего в Access-List правим запись добавляя время.

ответить
Сменить картинку

Егор01.09.2014

Большущее спасибо еще раз!

ответить
Сменить картинку

Егор20.08.2014

Большое спасибо за инструкцию, самая подробная и понятная из тех, что нашёл. Но есть одна проблема - не видно компьютеров в локальной сети. То есть из всего, что можно пропинговать, пингуется только сам Mikrotik, остальные ПК в локальной сети не пингуются, соответственно не работают все расшаренные принтеры и общие папки. В чём может быть проблема?

ответить
Сменить картинку

Илья Князев27.08.2014

Могу предположить что проблема не в Mikrotik. Если компьютеры подключены по проводной сети, они общаются "напрямую".
Если по WiFi, проверьте установленную галку "Use Default Forward".

ответить
Сменить картинку

Егор01.09.2014

Проблема и правда была не в микротике. "Внезапно" завис коммутатор в соседней комнате. После его перезагрузки все заработало. Некогда было сразу отписаться. Спасибо!

ответить
Сменить картинку

Николай05.08.2014

Добрый день.
Подскажите в чем может быть дело?
Дело в том, что при настройке NAT по инструкции, у меня нет значений srcnat и Masquerade

ответить
Сменить картинку

Илья Князев06.08.2014

Скорее всего не на той закладке добавляете правила.

ответить
Сменить картинку

Николай08.08.2014

Все вроде бы делаю по инструкции. Перепроверю еще раз, позже отпишусь.

ответить
Сменить картинку

Николай12.08.2014

Проверил, все в порядке, в прошлый раз что-то делал не так.

ответить
Сменить картинку

Николай12.08.2014

Проверил, все в порядке, в прошлый раз что-то делал не так.

ответить
Сменить картинку

Hengwork10.07.2014

использовал ваши настройки, доступа в интернет нет.
Провайдер конектит только по mac. Какие должны быть в этом случае настройки адресов у wan (этап 6)?

ответить
Сменить картинку

Илья Князев10.07.2014

Не совсем понятно, что вы имели ввиду под фразой: "конектит только по mac".
Если речь идет, про необходимость указать другой MAC-адрес на порту WAN, то ответ на этот вопрос дан двумя комментариями ниже.

ответить
Сменить картинку

Олег30.06.2014

Спасибо за ответ по MAC, остался железный вопрос:
от провайдера оптика входит сейчас в медиконвертер Carelink CL-MC-W2B-20-100 (http://carelink.ru/pdf/cv/CL-MC-W2B-20-100.pdf)и дальше уже стандартный Eth.
Можно ли оптику (как я понял используется коннектор типа SC) воткнуть в MikroTik ?

ответить
Сменить картинку

Илья Князев30.06.2014

В конкретно этом случае нельзя. Т.к. используется 10/100мбит медиаконвертер. Mikrotik RB2011 работает только с SFP модулями на 1,25Гбит.
Если бы у вас была гигабитная оптика, можно было бы используя соответствующий SFP-модуль и подключить оптику непосредственно в маршрутизатор.

ответить
Сменить картинку

Олег26.06.2014

Подскажите, можно ли заменить MAC адрес интерфейса WAN, провайдер проверяет только его.

ответить
Сменить картинку

Илья Князев27.06.2014

Можно.
Для этого надо выбрать new terminal и ввести команду
/interface ethernet set WAN1 mac-address=11:22:33:44:55:66
Где WAN1 это название интерфейса
11:22:33:44:55:66 новый mac-адрес

ответить
Сменить картинку

Василий16.06.2014

И попутный вопрос.. можно ли ограничивать доступ к интернету по времени ..к примеру мне надо чтобы определенный порт или комп с выходом по вайфай не получал интернет с 12 ночи до 8 утра. можно этот вопрос отнести к доступу по вайфай а также к изернет портам. спасибо

ответить
Сменить картинку

Илья Князев16.06.2014

Да, можно.
Вам надо настроить файрвол, в котором можно указать в какое время срабатывает правило.

ответить
Сменить картинку

Василий18.06.2014

если вас не затруднит опишите или подскажите статью..перебрал много статей но именно того что надо не нашел.. надо дочке на ноутбук через вай фай ограничить доступ по времени..
заранее спасибо..

ответить
Сменить картинку

Илья Князев18.06.2014

Вам надо в свойствах Wireless интерфейса снять галку Default Authenticate
Далее в меню Wireless зайти на закладку Access-Lists и там создать 2 правила.
1. Запрет доступа с MAC-адреса ноутбука дочки в указанное время (Весь диапазон, когда не разрешено).
2. Разрешить доступ всем остальным.

ответить
Сменить картинку

Игорь18.06.2014

Если по времени с MAC адреса нужно редактировать время в локальной сети (проводном участке)?

ответить
Сменить картинку

Илья Князев18.06.2014

Игорь, я не до конца понл Ваш вопрос.
Если вы про Access-List в беспроводной сети, то он действует только на беспроводных клиентов.
Если вам надо ограничить доступ с конкретного MAC адреса проводной сети к Интернет, используйте bridge filter или ip firewall.

ответить
Сменить картинку

Василий16.06.2014

День добрый
настроил по Вашему мануалу.. спасибо.. НО есть вопрос.. мне как таковая DMZ не нужна.. хотел бы поменять настройки и подключить эти порты к LAN мастеру.. но теперь при попытке поменять мастера он пишет что не может этого сделать так как этот интерфейс уже закреплен за мастером DMZ подскажите как поменять ? пробовал выключать и менять не помогает . спасибо

ответить
Сменить картинку

Илья Князев16.06.2014

Вам надо интерфейс DMZ6 добавить в Bridge Bridge-Local
Логично тогда переименовать интерфейсы в LAN6-LAN8

ответить
Сменить картинку

Milen05.06.2014

Ребятам подскажите чем отличаются выделенные черным шрифтом частоты от не выделенных в микротиках ?

ответить
Сменить картинку

Илья Князев15.06.2014

Выделенные черным соответствуют Wi-Fi каналам.
Не выделенные черным, возможны только в случае, если
frequency-mode = superchannel.
Внимание, данный режим предназначен для выхода за диапазоны стандартного WiFi и предполагает что у вас есть лицензия на используемые частоты. Кроме того, стандартные клиенты при этом не будут работать с маршрутизатором.

ответить
Сменить картинку

sripper23.05.2014

как увеличить сигнал на Wi-Fi

ответить
Сменить картинку

Посетитель26.05.2014

Простое увеличение мощности сигнала по WiFi не приведет к улучшению покрытия.
Связано это с тем, что WiFi-двухсторонняя связь и слабый клиент просто не сможет достучаться до маршрутизатора, хотя у него и будет полная шкала сигнала.
Мощность передатчика регулируется в настройках Wireless-интрефейса, при нажатой кнопке Advanced Mode в закладке Tx Power.
Рекомендуем проверять полученный результат в закладке Current Tx Power.
Напоминаем, что в России разрешенная мощность 10мВт, что соответствует 20дБм.

ответить
Сменить картинку

FancaR27.10.2014

Не все так просто, не все зависит от клиента. есть еще чувствительность APшки, высота подвеса и так далее
20ДБм - это 100мВт !
20=10+10 (10 - это В 10 раз два раза, два порядка).
И наоборот 10мВт - это 10Дбм!

ответить
Сменить картинку

Maxim11412.05.2014

Как-то можно сделать так, что бы время и дата не сбрасывались после отключения питания? Спасибо.

ответить
Сменить картинку

Посетитель12.05.2014

К сожалению маршрутизаторы RouterBoard не имеют независимого от питания таймера.
Сохранение времени возможно только при установке RouterOS на платформу x86.

ответить
Сменить картинку

Игорь07.09.2014

Разве при подключении питания время само по ntp не синхронизируется?

ответить
Сменить картинку

Дмитрий16.04.2014

Александр подскажите ,все выполнил как в инструкции , маршрутизатор раздает ip но шлюз не доступен(192.168.88.1) ,в чем может быть проблема ? (

192.168.88.1 Прописан на bridged интерфейсе !

ответить
Сменить картинку

Посетитель16.04.2014

Проверьте настройки файрволла в цепочке input. Возможно вы неправильно указали интерфейс.

ответить
Сменить картинку

чекист.com28.04.2014

Пришёл момент когда указанные афтаром недостатки больше не действуют. Гигабит и даже через SFP уже давно дают провайдеры. ...боюсь дальше статью читать...

ответить
Сменить картинку

Александр10.04.2014

К сожалению настроить не смог. wi-fi не работает. Как настраивать если провайдер выдает динамический адрес. Увы это га...о можно настроить только человеку со спец образованием.

ответить
Сменить картинку

Посетитель11.04.2014

Александр, наша компания оказывает услуги по настройке оборудования. Вы можете заказать у нас готовое решение. Сделать это можно, нажав кнопку "заказать решение" в начале этой страницы.

ответить
Сменить картинку

Артемка08.04.2014

Подскажите, есть ли возможность настроить WAN по PPPoE?

ответить
Сменить картинку

Посетитель08.04.2014

Да, вам необходимо добавить и настроить интерфейс PPPoE-Client.
Так же рекомендуем в DHCP-Client поменять метрику шлюза по умолчанию (Default route Distance) на 10.

ответить
Сменить картинку

Шамиль13.03.2014

Автор, поправь пожалуйста, если не добавить галочку при настройке NAT около интерфейса wan, то NAT работать не будет. А так, статья отличная, большое спасибо

ответить
Сменить картинку

гость27.03.2014

ты зачем людей заводишь в заблуждение автор написал всё верно а твоя запись только добавляет проблем при настройке

ответить
Сменить картинку

Анатолий26.02.2014

а как IP TV дальше добавить не подскажите ?

ответить
Сменить картинку

Посетитель26.02.2014

Вам надо доустановить и настроить пакет multicast.

ответить
Сменить картинку

Александр08.02.2014

подскажите, мне не совсем понятны некоторые шаги.
в частности:
1.Настройка NAT

у вас настройка выполнена без использования поля "Src. Address", но по другим мануалам которые мне встречались там вводится значение локльных адресов, а именно "192.168.88.0/24"

хотелось бы понять на что это влияет / с чем это связанно


2.Настройка подсети DMZ

у вас указано: "Для примера, используем сеть 10.10.10.0/24 и адрес маршрутизатора 10.10.10.1/24" - эти адреса берутся произвольные или их где то как то получать? соответсвенно за что они отвечают

ответить
Сменить картинку

Посетитель11.02.2014

1. На первых трех закладках определяется пакет, который будет подвергнут обработке. Нам достаточно указать что «У всех пакетов идущих в WAN-интерфейс, необходимо менять адрес источника на адрес интерфейса (masquerade).
2. Адреса совершенно произвольные. Если у вас есть блок реальных IP-адресов, его, наверное, логично использовать в DMZ. Если нету, то можно использовать приватные диапазоны адресов 10.0.0.0/8, 172.16-31.0.0/16, 192.168.0-255.0/24. Важно лишь, чтобы подсети LAN и DMZ отличались.

ответить
Сменить картинку

Александр11.02.2014

Большое спасибо и за понятный мануал и за ответы

просто я живу в московском регионе и у меня провайдер билайн
соответсвенно огромнейшие танцы с бубном:)

вот и ищу концы/разбираюсь откуда ноги растут у всех настроек , могу сказать что при поднятии дефолтных настроек и небольших доработок взятых с форума билайна (http://homenet.beeline.ru/index.php?s=d0ca6a500fe46ad2b393f05c9c4113d7&showtopic=252615&view=findpost&p=1065169593) - все прекрасно работает, при попытке поднять данные настройки с подгоном доработок на данную конфигурацию у меня работают не все сайты...

вот и сижу, копаюсь

ответить
Сменить картинку

RyanOConnor31.01.2014

Народ, так это и есть БАЗОВАЯ настройка причем целиком. Далее начинается уже ИНДИВИДУАЛЬНАЯ настройка под нужды каждого. Единственное чего не хватает в БАЗОВОЙ настройке, описанной выше - это базовые настройки firewall. Что касается зоны DMZ, то это если нужна. В домашних условиях можно завести бридж на Мастер портов гигабитных+вайфай+порты второй сетевой карты стомегабитной. Для домашнего использования при постоянной загрузке канала в 50-70Мб\с процессор не поднимается выше 40-50% нагрузки при использовании WMM по вайфай и обоих сетевух по порту с каждого, причем на вайфае висит до 5 устройств и задействован Quenue Tree. А так все в порядке) wiki на сайте микротика открыто + поищите статьи о настройке mikrotik на английском языке и помните: НАСТРОЙКИ ДЛЯ RoS5 И RoS6 ВЕТОК ОТЛИЧАЮТСЯ, но не так ощутимо, если не настраивать L2TP+IPSec

ответить
Сменить картинку

mrSecond29.01.2014

Спасибо за подробную инструкцию. В сочетании с мануалом позволяет за полдня научиться уверенно рулить микротиками.

ответить
Сменить картинку

Константин16.01.2014

Спасибо Вам огромное!!! Пишите, это ваше признание.

ответить
Сменить картинку

kan106426.11.2013

Поддерживаю! Особенно на счет продолжения! Спасибо!

ответить
Сменить картинку

Кузьма16.10.2013

Большое спасибо за подробную инструкцию. Нет ли желания написать продолжение?

ответить
Сменить картинку
Комментировать
Сменить картинку
все события