Настройка маршрутизатора RB2011

Маршрутизатор RB2011 — это достойное решение для небольшого офиса.

Маршрутизатор
MikroTik 3011UiAS-RM

28 577Р30 164 Р

подробнее

Однако в конфигурации по умолчанию присутствуют некоторые недостатки:

• В качестве WAN-порта используется интерфейс Ether1. Этот интерфейс гигабитный, как правило, выход в интернет осуществляется по каналу не выше 100 Мбит/сек и в таком случае использование гигабитного интерфейса не оправдано;
• 100-Мегабитные порты заведены в соединение типа мост (bridge), что дает повышенную нагрузку на CPU маршрутизатора. Более логично использовать в этом случае встроенную микросхему коммутатора.

Краткое описание настройки маршрутизатора RB2011:

• В качестве основного выхода в интернет используем 100-Мегабитный интерфейс Ether10;
• Интерфейс Ether9 нужно зарезервировать для дальнейшего использования, когда в этом возникнет необходимость;
• Интерфейсы Ether6-Ether8 используются для подключения DMZ. Для этого настроим соответствующий Switch-процессор;
• Гигабитные интерфейсы Ether1-Ether5 будем использовать для подключения локальной сети;
• Wi-Fi будет использовать ключ WPA2-PSK и находиться в локальной сети.

Приступаем к поэтапной настройке Микротик!

Сначала необходимо зайти на сайт по адресу https://mikrotik.com/download и скачать последнюю прошивку для вашего маршрутизатора. Она пригодится в дальнейшем.

Подключаем компьютер в порт Ether 5. Есть возможность подсоединить и в любой другой, кроме Ether1, но лучшим вариантом будет именно Ether 5. Это упростит дальнейшую настройку.

Вводим в поисковую строку браузера http://192.168.88.1

Cкачиваем программу Winbox (ссылка отмечена красным прямоугольником).

После завершения загрузки программы необходимо закрыть браузер и запустить Winbox. В поле Address вводим 192.168.88.1, в поле User вводим admin. Поле Password оставляем пустым.

Появляется окно приветствия с запросом о сохранении конфигурации по умолчанию.

Выбираем Remove Configuration.

Завершаем работу с WinBox и подключаем компьютер в первый порт маршрутизатора.

Так как у маршрутизатора RB2011 после сброса конфигурации нет IP-адреса,необходимо воспользоваться mac-telnet. Для этого нужно снова запустить программу Winbox и справа от окна ввода адреса нажать на кнопку […]. Через некоторое время в окне появится mac-адрес маршрутизатора RB2011 и ip-адрес 0.0.0.0.

Щелкаем левой кнопкой мыши по MAC-адресу, чтобы он попал в поле Connect to:

 И нажимаем на кнопку Connect.

После подключения к маршрутизатору берем ранее скачанный файл с прошивкой и перетаскиваем его в окно программы Winbox. В результате этого действия прошивка начнет загружаться на маршрутизатор.

После окончания загрузки переходим в меню System и выбираем пункт Reboot

 Подтверждаем перезагрузку устройства.

ВНИМАНИЕ. В момент обновления прошивки устройство может загружаться очень долго (до 3-5 минут). Ни в коем случае не выключайте на нем питание!

После обновления прошивки необходимо обновить загрузчик устройства. Для этого заходим в меню System/Routerboard

И если версии Firmware отличаются, нажимаем кнопку Upgrade, после чего перезагружаем маршрутизатор

После загрузки маршрутизатора RB2011 заходим в Winbox по MAC-адресу и приступаем к настройке внутренних интерфейсов.

Сначала нам необходимо объединить порты 1-5 в общий аппаратный коммутатор. Ведущим портом в нем назначается порт номер 1 и его необходимо переименовать на LAN1-Master. Остальные порты получат название LAN-Slave.

Для этого мы открываем меню Interfaces:

Двойным нажатием по интерфейсу Ether1 открываем окно и изменяем название порта на LAN1-Master.

После чего нажимаем кнопку OK

Затем открываем интерфейс Ether2, переименовываем порт на LAN2-Slave и в поле Master Port выбираем LAN1-Master

Таким образом порт добавляется в группу коммутатора с главным портом LAN1-Master. Аналогичные действия нужно провести с интерфейсами Ether3, Ether4 и Ether5.

После завершения операций в окне должно появится:

Буква S напротив интерфейса обозначает что он находится в состоянии Slave.

Теперь аналогичным способом настраиваются интерфейсы для DMZ.

Ether6 станет DMZ6-Master, а для Ether7 и Ether8 DMZ-Slave, установлена в качестве Master-порта интерфейс DMZ6-Master.

Необходимо переименовать интерфейсы Ether10 в WAN1. Интерфейс Ether9 остается незатронутым. При необходимости его можно использовать как еще один порт DMZ, указав на нем соответствующий Master-порт, или в качестве второго WAN-интерфейса, если нам потребуется резервирование канала.

Также его можно будет добавить в описываемый в следующем разделе Bridge, чтобы получить еще один LAN-порт.

В итоге должно получиться следующее:

Теперь необходимо создать интерфейс Bridge, который объединит коммутатор из интерфейсов LAN и интерфейс Wi-Fi.

Для этого открываем меню Bridge, нажимаем кнопку с красным знаком [+] и в открывшемся окне вводим название нового интерфейса Bridge-Local, после чего нажимаем ОК

Переходим на закладку Ports и последовательно добавляем порт LAN1-Master

 И порт Wlan1

 После проведения последней операции должно получиться следующее:

 Теперь назначим LAN-адрес маршрутизатора. В качестве адреса используется 192.168.88.1 с подсетью 255.255.255.0, что можно обозначить как 192.168.88.1/24

Для этого нужно открыть меню IP/Adresses, в открывшемся окне нажать кнопку с красным знаком [+] и заполнить поля, как показано на рисунке, после чего нажимаем кнопку ОК.

Теперь настраиваем DNS-сервер. Для этого зайти в меню IP/DNS, в открывшемся окне заполнить адреса DNS-серверов и поставить галочку рядом с Allow Remote Reqests.

*В качестве примера введены адреса публичных серверов Google, необходимо заменить их на сервера полученные у Вашего провайдера.

Для ввода второго и следующих DNS-серверов воспользуйтесь кнопкой «Стрелка вниз» рядом с полем ввода адреса сервера.

Переходим к настройке DHCP-сервера. Для этого нужно перейти в меню IP/DHCP Server и нажать кнопку DHCP Setup.

В качестве интерфейса выбираем Bridge-Local

После чего нажать кнопку Next пока в ячейке не появится «DNS Servers»

Нужно удалить нижний номер сервера нажатием на кнопку «стрелка вверх», рядом с полем, а в верхнем прописываем адрес маршрутизатора - 192.168.88.1

Нажимаем кнопку Next до появления сообщения об успешной настройке DHCP.

Закрываем программу Winbox, вытаскиваем Ethernet кабель из ПК и вставляем его назад. Убеждаемся, что компьютер получил адрес от маршрутизатора.

После чего подключаемся к маршрутизатору по IP-адресу 192.168.88.1, который необходимо ввести в поле Connect to.

На этом успешная настройка LAN Завершена!

Заходим во вкладку Wireless. Дважды щелкаем кнопкой мыши по интерфейсу Wlan1.

Нажимаем на кнопку Advanced Mode и переходим на вкладку Wireless:

Заполняем значения, как приведено на рисунке. Измененные значения обозначены синим.

Переходим на закладку Advanced:

Вводим следующие значения:

Переходим на закладку HT;

Изменяем следующие параметры:

И применяем конфигурацию нажатием кнопки ОК.

Переходим на вкладку Security Profiles:

Дважды нажимаем на профиль default:

Выбираем mode=dynamic keys, ставим режим WPA2 PSK, aes-ccm и в поле WPA2 Pre-Shared Key вводим пароль на доступ к Wi-Fi.

Нажимаем кнопку ОК.

Переходим на вкладку interfaces и нажимаем кнопку с синей галкой, чтобы включить беспроводной интерфейс.

Успешная настройка Wi-Fi завершена!

Перед настройкой подключения к сети Интернет необходимо сначала настроить безопасность маршрутизатора, как минимум, отключив ненужные сервисы, и поменяв пароль администратора.

Меню IP/Services

Последовательно выделяем сервисы FTP, Telnet и WWW. Нажатием на красный крест отключаем их.

 Теперь разрешим подключения к управлению маршрутизатором только из локальной сети.

Для этого дважды нажимаем мышью по соответствующему сервису и в поле Available From вводим 192.168.88.0/24.

Есть возможность указать вместо всей подсети, только IP-адрес компьютера системного администратора. Например 192.168.88.15.

Выполняем те же манипуляции с сервисом Winbox.

Далее переходим в меню System/Users

Создаем нового пользователя с правами администратора.

 После чего закрываем программу Winbox, запускаем его заново и заходим под новым пользователем, открываем меню System/Users и отключаем учетную запись администратора.

 Настройка NAT

Перейти в меню IP/Firewall. В открывшемся окне перейти на закладку NAT и добавить новое правило.

На закладке General выбрать Chain/srcnat и Out Interface=WAN1

На вкладке Action выбрать Masquerade

 Сохраним правило, нажав кнопку OK.

Теперь нам необходимо задать адреса в сети DMZ. Для этого необходимо войти в меню IP/Addresses и задать адреса, которые будут использоваться в этой сети. Для примера, используем сеть 10.10.10.0/24 и адрес маршрутизатора 10.10.10.1/24

Для примера, провайдер нам выделил адрес 172.30.10.2 маску 255.255.255.252 и шлюз по умолчанию 172.30.10.1. Маска 255.255.255.252 имеет длину /30.

Заходим в меню IP/Addresses и добавляем адрес маршрутизатора.

Затем переходим в меню IP/Routes и добавляем шлюз по умолчанию. (Шлюз по умолчанию задается маршрутом 0.0.0.0/0)

Для этого добавляем маршрут:

Сохраняем его, нажав кнопку ОК

После чего, у Вас должен заработать интернет.

Маршрутизаторы MikroTik не имеют встроенного аппаратно-независимого таймера. Однако, нам необходимо, чтобы в журнале событий отображалось действительное время. Для этого необходимо настроить часовой пояс и SNTP-клиента.

Открываем меню System/Clock и выставляем свой часовой пояс (в примере Europe/Moscow):

Затем нужно перейти в меню System/SNTP Client. Если у вас в сети нет NTP-сервера, воспользуйтесь открытым сервером NTP в Интернет. Например, ru.pool.ntp.org. Нам необходимо узнать IP-адреса серверов. В командной строке своего компьютера набираем команду:

nslookup ru.pool.ntp.org

Узнаем адреса серверов:

Не заслуживающий доверия ответ:

: ru.pool.ntp.org

Addresses:95.104.193.195 91.206.16.3 188.128.19.66 95.140.150.140

Выбираем любые два из них и вводим в окно настройки NTP-Клиента

Нажимаем кнопку ОК, чтобы сохранить настройки.

На этом базовая настройка маршрутизатора успешно завершена! Поздравляем!