Настройка MikroTik: руководство начинающему пользователю

Поздравляем, вы приобрели маршрутизатор MikroTik. Это руководство поможет Вам произвести начальную настройку маршрутизатора, для безопасного доступа в сеть.

Нет комментариев Просмотров: 2752
14марта 2013
все статьи

Введение

Поздравляем, вы приобрели маршрутизатор MikroTik. Это руководство поможет Вам произвести начальную настройку маршрутизатора для безопасного доступа в сеть.

Описанные ниже действия, в основном, предназначены для настройки маршрутизатора, когда стандартная конфигурация не позволяет получить доступ в интернет. Однако некоторые советы могут пригодиться вам и в других случаях.

Подключение кабеля

Начальная схема подключения должна подойти для большинства случаев. Описание - на обратной стороне роутера, а также в онлайн-руководстве.

Схема подключения:

  • Подключите Ethernet-кабель, предоставленный вашим интернет-провайдером, в порт ether1. Остальные порты предназначены для подключения локальной сети (LAN). В этот момент ваш роутер по умолчанию защищен конфигурацией брандмауера.
  • В остальные порты подключите кабели локальной сети.

Настройка роутера

В первоначальной конфигурации DHCP клиент настроен на интерфейсе WAN (ether1), остальные порты считаются локальными, и устройства, подключенные к этим портам, получают сетевые адреса согласно настройкам DHCP-сервера. Для того, чтобы подключиться к роутеру, подключите свой компьютер в один из LAN-портов и выставите настройки «получать ip-адрес автоматически». (Номера портов указаны на передней панели роутера или вы можете уточнить эту информацию на сайте routerboard.com).

Управление роутером

Чтобы получить доступ к управлению маршрутизатором, введите в адресной строке браузера адрес 192.168.88.1 . Отобразится главная страница RouterOS (Рисунок 1):

Главная страница RouterOS
Рисунок 1

Пользователи

Чтобы никто посторонний не смог получить доступ к управлению роутером, необходимо задать пароль к учетной записи администратора или создать нового пользователя с паролем.

Перейдите System -> Users . (В левой колонке нажмите System и промотайте вниз до графы Users. (Рисунок 2):

Пользователи и пароли
Рисунок 2

Вы увидите меню управления пользователями роутера. Здесь можно добавлять и редактировать учетные записи (Рисунок 3):

Редактирование пользователей

Рисунок 3

  • Для редактирования уже существующего профиля пользователя кликните по нему один раз;
  • Для создания нового пользователя нажмите «Add new»;

И в том, и в другом случае откроется меню редактирования (создания нового) пользователя (Рисунок 4).

После изменения пользовательских настроек нажмите «ОК» (чтобы сохранить настройки) или «cancel» (для их отмены). Снова откроется заглавное окно меню управления пользователями.

Сохранение или отмена изменений
Рисунок 4

 

Настройка доступа в интернет

Если настройки "по умолчанию" не позволяют получить доступ в интернет (ваш провайдер не поддерживает выдачу настроек по DHCP), придется указать сетевые настройки вручную. Они должны включать:

  • Ip адрес (IP address);
  • Маску сети (Network mask);
  • Адрес шлюза (Gateway address);
  • DNS-адрес (DNS address).
Возможно, также потребуются:
  • NTP-сервер (NTP server);
  • MAC адрес (MAC address).

DHCP клиент

Первоначальная конфигурация настроена на получение настроек интернет по DHCP от вашего провайдера. Функцию необходимо отключить, если провайдер не предоставляет такой услуги. Откройте «IP -> DHCP Client» . Если статус DHCP-клиента (колонка status) имеет значение searching, - значит, провайдер не поддерживает автоматическую выдачу сетевых настроек. Используйте кнопку «-», чтобы удалить данную функцию (Рисунок 5).

DHCP статус
Рисунок 5

Статический адрес

Для настройки IP-адреса нажмите «IP -> Address» (Рисунок 6).

Static IP
Рисунок 6

Здесь отображен IP-адрес локальной сети 192.168.88.1, по которой пользователь подключен к роутеру. Выберите «Add new», чтобы добавить новый статический адрес (Рисунок 7).

Static IP 2
Рисунок 7

В первом поле необходимо прописать ip-адрес, выданный провайдером, и маску сети. Другой параметр определяет, к какому порту будут применяться вышеуказанные настройки. Следуя данной инструкции, то это будет порт ether1. В него следует подключить кабель от провайдера.

  • Примечание 1: Если в процессе ввода адреса поле стало красным, значит, вводимый адрес не корректен, в противном случае оно будет синим.
  • Примечание 2: Рекомендуется добавлять комментарии к настройкам (поле Comment). Однако это не обязательно.

Настройка преобразования сетевых адресов (NAT)

Для выхода в Интернет необходимо настроить преобразование адресов локальной сети в адрес для провайдера. Чтобы посмотреть настройки NAT, откройте «IP -> Firewall -> Закладка NAT» и убедитесь в правильном заполнении (Рисунок 8).

NAT
Рисунок 8
Существенные значение полей для корректной работы:
  • Проверьте, включена ли служба;
  • Значение в поле chain – должно быть srcnat;
  • Интерфейс, через который осуществляется подключение к провайдеру. В данном руководстве ether1;
  • Значение в поле action – должно быть masquerade;

На скриншоте представлено корректное правило. Обратите внимание, что некоторые настройки, у которых не должно быть значения, скрыты (и могут быть проигнорированы) (Рисунок 9).

NAT 2
Рисунок 9

Шлюз по умолчанию

Для управления настройками шлюза нажмите «IP -> Routes». Для добавления нового шлюза - «Add new» (Рисунок 10).

Шлюз
Рисунок 10

Далее вы увидите следующее окно (Рисунок 11):

Шлюз 2
Рисунок 11

Здесь необходимо нажать кнопку, ввести настройки "по умолчанию" или выданные провайдером. После ввода данных нажмите кнопку «ОК».

Чтобы проверить, какой вариант (по умолчанию или провайдера) работоспособен, используйте команду ping в поле Tools.

Доменные имена

Чтобы открывать web-страницы, или получить доступ на иные ресурсы в сети Интернет, необходимо настроить DNS — или на Вашем компьютере, или на роутере. В рамках этого руководства предлагаем настроить DNS только на роутере. А компьютер, в свою очередь, будет получать настройки по DHCP от роутера.

Для начала откройте «IP -> DNS». Чтобы добавить DNS, нажмите на стрелочку рядом с параметром «Settings» и проверьте состояние параметра Allow Remote Requests. Для сохранения настроек нажмите «Apply» (Рисунок 12).

DNS
Рисунок 12

Примечание: при вводе корректного значения слово «Servers» станет синим, в ином случае — красным.

SNTP-клиент

Роутер MikroTik не сохраняет настройки времени во время отключения питания или при перезагрузках. Чтобы постоянно иметь корректное время, необходимо настроить SNTP-клиент.

Откройте «System -> SNTP» (Рисунок 13). В появившемся окне проверьте следующие параметры:

  • Enabled – должна стоять галочка;
  • Параметр Mode должен быть unicast;
  • В третей и четвертой строках указываются ip-адреса глобальных ntp серверов или серверов, предоставляемых провайдером.

SNTP
Рисунок 13

Настройка беспроводной сети

Для использования беспроводной сети в одном адресном пространстве с проводной сетью, необходимо настроить сетевой мост (bridge). Также необходимо проверить настройку внутреннего коммутатора.

  • Беспроводной интерфейс устанавливается в режим ap-bridge (в случае, если роутер имеет уровень лицензии 4 или выше), в противном случае устанавливается режим bridge: только один клиент сможет подключаться к роутеру, используя беспроводную сеть.
  • Соответствующий профиль безопасности создан и применен в настройках интерфейса.
  • Проверьте состояние интерфейса.

Предупреждение: Изменение настроек может повлиять на подключение — вы можете оказаться отключены от роутера. Используйте Безопасный режим, чтобы в случае отключения, настройки вернулись в первоначальное состояние.

В данном руководстве порты ether3, ether4 и ether5 используются как подчиненные (slave) относительно мастер-порта ether1. Посмотреть данную настройку можно, открыв меню «Interface» (Рисунки 14,15)

Master-slave
Рисунок 14

Master-slave 2
Рисунок 15

Обычно ether1 используется как WAN порт, а остальные порты — как подчиненные к порту ether2.

Убедитесь, что все порты, предназначенные для локальной сети, действительно установлены как подчиненные. Например, если ether2, ether3, ether4, ether5 определены как LAN-порты, то порты ether3, ether4, ether5 подчиняются мастер-порту ether2.

Если вышеуказанная операция не удалась — значит интерфейс Ethernet использован как порт в мосту. Вам придется удалить его из моста, чтобы разрешить коммутацию аппаратных пакетов данных между портами Ethernet. Перейдите «Bridge -> Ports» (Рисунок 16) и удалите подчиненные (slave) порты. В примере это ether3, ether4, ether5.

Master-slave
Рисунок 16

Настройки безопасности

Важно защитить беспроводную сеть, чтобы предотвратить доступ посторонних лиц в локальную сеть. Чтобы создать или редактировать новый профиль безопасности, перейдите «Wireless -> «Security Profiles» (Рисунок 17) и выберите одну из двух опций.

  • Используйте Add new для создания нового профиля;
  • Или редактируйте уже существующий профиль.

Wireless

Рисунок 17

В данном примере будет создан новый профиль безопасности, редактирование профиля выполняется аналогично. Ниже на скриншоте красным выделены рекомендуемые настройки для беспроводной сети.

Если длина ключа WPA Pre-shared key и WPA2 Pre-shared key будет слишком маленькой, то заголовок поля подсветится красным, при правильном значении — синим (Рисунок 18).

Wireless 2
Рисунок 18

  • Примечание 1: WPA Pre-shared key и WPA2 Pre-shared key должны быть разными.
  • Примечание 2: Вы можете включить отображение паролей, чтобы видеть их фактическое значение. Данная настройка доступна в заголовке страницы.

Сетевые настройки

Настройка параметров беспроводной сети (Рисунок 19).

Wireless
Рисунок 19

Режим интерфейса должен быть установлен в ap-bridge, если это недопустимо (ограничение лицензии), то только один клиент сможет подключаться к устройству.

Обычно WiFi устройства разрабатываются для работы на частоте 2.4GHz. Установите параметр «band» в 2GHz-b/g/n, это позволит подключаться по протоколам 802.11b, 802.11g и 802.11n.

Настройте ширину канала таким образом, чтобы наибольшая скорость передачи данных обеспечивалась по протоколу 802.11n. В примере используется канал 6, как результат, могут быть использованы 20/40MHz HT above или 20/40 МГц HT below. Выберите любой из них.

В поле «SSID» введите название беспроводной сети (Рисунки 20, 21).

wireless 3

Рисунок 20

wireless 4
Рисунок 21

После активации всех настроек можно включить точку доступа (Рисунок 22).

wireless 5
Рисунок 22

Bridge-LAN
c беспроводной
сетью

Откройте меню Bridge и проверьте, доступны ли какие-нибудь интерфейсы. Если нет, нажмите add new. В открывшемся окне введите параметры по умолчанию и нажмите "создать интерфейс". Далее выберите закладку Ports , где уже будут отображены LAN и WiFi интерфейсы (Рисунок 23).

Bridge
Рисунок 23

Когда новый порт моста будет добавлен, зайдите в его настройки, поставьте галочку напротив параметра enabled, выберете корректный интерфейс порта (В данном руководстве это ether2), LAN-мастер, порт LAN и Wifi (Рисунок 24).

Bridge 2
Рисунок 24

Так должен выглядеть мост (Рисунок 25).

Bridge 3
Рисунок 25

Поиск неисправностей и продвинутая конфигурация

В данном разделе допускаются отклонения от конфигурации, описанной в первой части. Расширенное понимание организации сети будет вашим преимуществом.

Проверка ip адреса

Добавление IP-адреса с неправильной маской сети приведет к неправильной работе сети. Исправьте эту проблему, введя в адресной строке корректные значения ip-адреса и маски сети.

проверка ip адреса

Изменение пароля текущего пользователя:

Чтобы изменить пароль текущего пользователя, откройте «System -> Password». Все поля должны быть заполнены.

password

Изменение пароля существующего пользователя:

При наличии полных прав на роутере, вы можете изменять права любого пользователя, не зная текущего пароля в меню «System -> Users».

  • Выберите пользователя.
  • Введите пароль и повторите его дабы избежать ошибки.

Отсутствие подключения к интернету

Если вы следовали данному руководству, а работает только доступ в локальную сеть, и доступ в интернет отсутствует, проверьте следующие настройки:

Проверьте настройки masquerade Проверьте настройки MAC адреса. Соответственно, есть несколько способов, как решить проблему, первый - проверить конфигурацию, не пропущена какая-нибудь настройка, второй - установить MAC-адрес.

Изменение MAC-адреса доступно только из командной строки – «New Terminal» из меню слева. Если новое окно не открывается, проверьте, позволяет ли ваш браузер открывать всплывающие окна.

В новом окне напишите следующую команду, заменяющую МАС-адрес:

/interface ethernet set ether1 mac-address=XX:XX:XX:XX:XX:XX
 

Или свяжитесь с Вашим провайдером и сообщите, что Вы заменили устройство.

Проверка соединения

Есть определенные условия, которые необходимы для работы Ethernet-соединения:

  • Должна гореть лампочка соответствующего порта при подключении к нему кабеля.
  • Правильный ip адрес на интерфейсе.
  • Правильная маршрутизация на роутере.
На что обратить внимание при использовании инструмента ping:
  • Нет потерянных пакетов.
  • Все пакеты имеют примерно одинаковое время прохождения (RTT) по неперегруженным ссылкам.
Данный инструмент находится: Инструмент -> меню «Tool -> Ping». В поле «Ping» введите адрес или доменное имя и нажмите "Начать отправку ICMP-пакетов".

Беспроводная сеть

Настройки конфигурации, которые не были упомянуты в руководстве, но о которых стоит знать.

Частота и ширина канала

Параметры канала могут быть самыми разными. Ниже предлагаем частоты, которые могут использоваться, и параметры настройки ширины канала, чтобы использовать канал HT на 40 МГц (для 802.11n). Например, использование частоты канала 1 или частоты 2412MHz, устанавливающей 20/40MHz HT below, не даст результатов, так как нет каналов на 20 МГц, доступных ниже частоты набора.

Channel # Frequency Below Above
1 2412 MHz no yes
2 2417 MHz no yes
3 2422 MHz no yes
4 2427 MHz no yes
5 2432 MHz yes yes
6 2437 MHz yes yes
7 2442 MHz yes yes
8 2447 MHz yes yes
9 2452 MHz yes yes
10 2457 MHz yes yes
11 2462 MHz yes no
12 2467 MHz yes no
13 2472 MHz yes no

Предупреждение: проверьте, какие частотные каналы разрешает использовать местное законодательство.

Частота беспроводной сети

Если беспроводная сеть работает со сбоями, несмотря на удовлетворительную скорость передачи, следует проверить, не используют ли ваши соседи тот же беспроводной канал. Для этого:

Откройте инструмент мониторинга использования частот «Freq. Usage».

freq. usage

Подождите некоторое время, пока не отобразятся результаты сканирования (около двух минут). Чем меньше значения в колонке «Usage», тем меньше загружен соответствующий канал.

usage

Примечание: Мониторинг осуществляется по каналам, установленным по умолчанию для выбранной страны.

Изменение региональных настроек

По умолчанию страна не указана. Вы можете указать страну, в которой находитесь. Для этого:

Откройте меню «wireless» и выберите «Advanced mode».

advanced mode

Выберите страну из списка.

список стран

Примечание: Расширенный режим включается кнопкой Advanced mode, для отключения расширенного режима нажмите ее повторно.

Проброс портов

Чтобы сервисы на Ваших локальных серверах/рабочих станция были доступны широкой общественности, необходимо направить порты снаружи внутрь вашей сети. Это делается из меню /ip firewall nat.

Статические настройки

Многие пользователи предпочитают настроить эти правила статически, чтобы контролировать, какие услуги доступны из вне, а какие нет. Также такой метод подойдет, если сервис, который вы используете, не поддерживает динамические настройки.

Следующим правило переадресовывает все подключения к порту 22 на роутере с внешним ip адресом, на порт 86 на вашей рабочей станции\сервере\...

Если вы хотите сделать иные сервисы доступными, вы можете изменить протокол, как правило, используется TCP и Dst-port. Если изменение порта не требуется, например, порт на роутере и локальной машине совпадает — 22, параметр может остаться незаданным.

статические настройки

Проброс портов с использованием командной строки:

/ip firewall nat add chain=dstnat dst-address=172.16.88.67 protocol=tcp dst-port=22 \ action=dst-nat to-address=192.168.88.22 to-ports=86

Динамические настройки

UPnP используется динамической переадресации портов.

Предупреждение: Сервисы, о которых вы не знаете, могут использовать переадресацию портов, что в свою очередь, может подвергнуть опасности локальную сеть.

Настройка uPnP сервиса на роутере:

Настройте, какие интерфейсы должны считаться внутренними, а какие — внешними.

/ip upnp interface add interface=ether1 type=external /ip upnp interface add interface=ether2 type=internal
 

Включите сервис.

/ip upnp set allow-disable-external-interface=no show-dummy-rule=no enabled=yes

Ограничение доступа к веб-страницам

Для ограничения доступа к веб-страницам перейдите «IP -> Web Proxy».

Настройка фильтрации страниц

Перейдите IP -> Web Proxy, в закладке Access откройте настройки Web Proxy и убедитесь, что следующие атрибуты указаны верно:

Enabled -> checked
Port -> 8080
Max. Cache Size -> none
Cache on disk -> unchecked
Parent proxy -> unset
 

Когда необходимые изменения будут сделаны, нажмите apply, чтобы вернуться в меню Access.

Настройка правил доступа

Этот список будет содержать все правила, необходимые для ограничения доступа к сайтам в Интернете.

Чтобы добавить правило, запрещающее доступ к любому хосту, в названии которого присутствует example.com, сделайте следующие действия:

Dst. Host -> .*example\.com.*
Action -> Deny
 

С этим правилом любой хост, содержащий в названии example.com, будет недоступен.

Стратегии ограничения

Существует два подхода к данной проблеме:

  • Запрещать только конкретные страницы, а остальные разрешать. Каждый сайт доступ к которому должен быть ограничен указывается значение Deny.
  • Разрешать только конкретные страницы, а остальные блокировать. Каждый сайт, доступ к которому должен быть разрешен, указывается значение Allow. В конце создается правило, которое запрещает доступ ко всем сайтам.

По материалам официального сайта производителя MikroTik.

поделиться материалом:

Читайте также

комментарии — 0