MikroTik RouterOS дуже потужна, гнучка і широко використовується у всіх типах середовищ, від простої домашньої мережі користувача до великих корпоративних мереж. Цей посібник призначений, щоб допомогти вам зрозуміти MikroTik RouterOS і показати, як налаштувати маршрутизатор MikroTik від початку до кінця з деякими з найчастіше використовуваних налаштувань. Щоб отримати максимальну віддачу від налаштування, потрібні базові знання в галузі мережевих технологій.
Видаліть всю конфігурацію
Завантажте WinBox з https://mikrotik.com/download та збережіть його на своєму робочому столі. Відкрийте WinBox, двічі клацнувши його (налаштування не потрібно), і підключіться до маршрутизатора, клацнувши MAC-адресу на вкладці. Переконайтеся, що ви не підключені до порту 1 на маршрутизаторі, оскільки він пізніше стане інтернет-портом.
Примітка: коли ви натискаєте MAC-адресу пристрою, вона автоматично з'являється в полі «Підключитися до:». Це рекомендований спосіб підключення до пристрою MikroTik для початкового налаштування. Облікові дані для входу за замовчуванням - admin (мають бути в нижньому регістрі) і без пароля, тому залиште поле пароля порожнім і натисніть кнопку Connect.
Щоб скинути налаштування маршрутизатора та видалити всі параметри конфігурації, перейдіть до розділу «Система/System», «Скинути конфігурацію/Reset Configuration» та позначте «Ні конфігурації за замовчуванням/No Default Configuration»:
Маршрутизатор перезавантажиться, і ви будете відключені. Коли маршрутизатор перезавантажиться, відкрийте WinBox і знову підключіться до маршрутизатора, як зазначено вище.
Дайте маршрутизатору ім'я
Перейдіть до System, Identity і замініть ідентифікатор за промовчанням вибраним вами ім'ям і натисніть OK, я вибрав DemoTest.
Створіть міст
Перейдіть до Bridge і натисніть піктограму плюса, щоб створити новий міст, а потім натисніть OK. Це дозволяє нам об'єднувати порти Ethernet та WiFi інтерфейси в нашу локальну мережу або LAN. У цьому прикладі ми не будемо додавати порт Ethernet 1, оскільки він стане портом Інтернету пізніше. Його називають глобальною мережею чи WAN.
Після створення мосту нам потрібно буде додати до нього порти Ethernet та інтерфейси Wi-Fi. Тут слід зазначити, що при додаванні інтерфейсу, через який ви підключені до маршрутизатора, ви будете відключені. Наприклад, якщо ваш Ethernet-кабель підключено до порту номер 2 або ether2, як тільки ви додасте ether2 до мосту, ви втратите з'єднання з маршрутизатором. Повторно підключіться, клацнувши MAC-адресу та натиснувши кнопку «Підключитися» у WinBox, як зазначено вище.
Коли вікно мосту все ще відкрито, клацніть вкладку «Порти/Ports» і по черзі додайте ether2, ether3, ether4, ether5 і будь-які інтерфейси wlan. Мій маршрутизатор має два інтерфейси wlan або інтерфейси бездротової локальної мережі. Один для 2,4 ГГц і один для 5 ГГц, однак у вас може бути один інтерфейс wlan, тому просто додайте його до мосту.
У вас має вийти щось на кшталт цього:
Придумайте пароль для входу
Створіть пароль для входу в систему, перейшовши до розділу "Система/System", "Пароль/Password". Залишіть поле «Старий пароль/Old Password» порожнім, оскільки в даний час пристрій не має пароля. Введіть безпечний пароль у полі «Новий пароль/New Password», введіть той самий пароль у полі «Підтвердження пароля/Confirm Password» та натисніть «Змінити/Change».
*** Зверніть увагу, що кожного разу, коли ви входите до роутера, вам знадобиться цей пароль ***
Слід зазначити, що безпечний пароль повинен складатися не менше ніж з восьми символів, містити великі та малі літери та містити як мінімум одну цифру та один символ.
IP-адреса та налаштування DNS
Дайте IP-адресу пристрою, вкажіть його на загальнодоступний DNS-сервер і дозвольте йому обслуговувати DNS-запити з локальної мережі:
Потім ми дамо маршрутизатору IP-адресу. Перейдіть в IP, Адреси/Addresses, клацніть значок плюса і введіть нову IP-адресу та CIDR, що представляє маску підмережі 192.168.100.1/24.
Також використовуйте список Інтерфейс/Interface, що розкривається, і виберіть bridge1. Це гарантує, що пристрій буде доступний за його новою IP-адресою через усі інтерфейси, перелічені раніше створеним вами bridge1.
З цього моменту щоразу, коли ви підключаєтеся до маршрутизатора за допомогою WinBox, клацніть IP-адресу замість MAC-адреси та використовуйте admin як ім'я користувача та пароль, який ви створили вище. І ім'я користувача, і пароль чутливі до регістру.
Щоб вказати маршрутизатору на загальнодоступний DNS-сервер, виберіть IP, DNS, клацніть стрілку вниз праворуч від поля "Сервери/Servers" і введіть 8.8.8.8, галочку "Дозволити віддалені запити/Allow Remote Requests", щоб комп'ютери в локальній мережі могли надсилати DNS -запити, та натисніть «ОК».
Додати DHCP-сервер
Потім ми створимо DHCP-сервер, щоб маршрутизатор розподіляв та керував IP-адресами для всіх ваших мережевих пристроїв, таких як комп'ютери, планшети, смартфони, точки доступу, IP-камери, телевізори, принтери та інші мережні пристрої.
Перейдіть до IP, DHCP-серверу, натисніть кнопку DHCP Setup, виберіть bridge1 зі списку, що розкривається, і натисніть Next.
Залишіть значення за промовчанням для адресного простору DHCP/DHCP Address Space, шлюзу для мережі DHCP/Gateway for DHCP Network та адрес для видачі/Addresses to Give Out і введіть 192.168.100.1 у поле DNS-сервери, змініть Час оренди/Lea хвилин та натисніть кнопку Далі/Next. Після завершення налаштування нового DHCP-сервера ви побачите це повідомлення. Натисніть OK, щоб завершити налаштування сервера DHCP.
Перевірте з'єднання Ethernet на вашому комп'ютері:
Потім переконайтеся, що для з'єднання Ethernet комп'ютера встановлено значення «Отримати IP-адресу автоматично» і для нього встановлено значення «Отримати DNS-сервер автоматично».
Налаштувати WiFi
Перейдіть до Wireless, виділіть wlan1 і wlan2 (якщо вони є) і клацніть галочку, щоб увімкнути інтерфейси, якщо вони не включені.
Двічі клацніть wlan1, перейдіть на вкладку бездротового зв'язку, змініть Режим/Mode на ap міст/ap bridge, змініть діапазон на 2 ГГц-B/G/N, введіть свій SSID (я використав DemoTest) тут, у розділі Frequency Mode виберіть нормативний домен , змініть Країну та натисніть OK.
Якщо у вас є wlan2, двічі клацніть його, перейдіть на вкладку бездротового зв'язку і введіть наступне: Mode ap bridge, Band 5 GHz-A/N/AC, SSID, що вам подобається (я знову використав DemoTest, тому обидва радіомодулі використовують однакові налаштування WiFi), Frequency Mode regulatory-domain та Країну, потім натисніть OK.
Потім ми створюємо профіль безпеки бездротової мережі та застосовуємо його до радіостанцій 2,4 та 5 ГГц.
Поки вікно Wireless Tables все ще відкрито, перейдіть до розділу «Профілі безпеки/Security Profiles» та клацніть піктограму «плюс», щоб додати профіль безпеки. У розділі Тип імені/Name type, незалежно від вашого SSID, я знову використав DemoTest, щоб пізніше я міг чітко ідентифікувати новий профіль безпеки, щоб я міг застосувати його до SSID, створеного раніше. Переконайтеся, що WPA2-PSK позначено галочкою для типів автентифікації. Потім введіть свій пароль WiFi у розділі «Загальний ключ WPA2/WPA2 Pre-Shared Key» та натисніть «OK».
Як зазначено вище, рекомендується використовувати для паролів не менше восьми символів, включаючи великі та малі літери, цифри та символи.
Застосуйте новий профіль безпеки до обох радіостанцій
Перейдіть в "Інтерфейси/Interfaces", двічі клацніть wlan1, натисніть кнопку "Розширений режим/Advanced Mode" праворуч, потім зміните профіль безпеки зі значенням за промовчанням на те, що ви назвали новим профілем безпеки, потім натисніть "ОК". Знову ж таки, для цього уроку я використав DemoTest.
Зробіть те саме з wlan2, якщо він у вас є, пам'ятайте, що деякі маршрутизатори MikroTik мають тільки одну частоту.
Тепер у вас має бути доступний Wi-Fi, але ми маємо ще кілька кроків, щоб зробити його придатним для використання.
Налаштувати глобальну мережу або інтерфейс WAN
Як згадувалося раніше, ми будемо використовувати порт Ethernet номер 1 або ether1 як порт, який з'єднує нас з Інтернетом. Залежно від домовленості з вашим інтернет-провайдером вам може знадобитися ввести статичну IP-адресу, проте більшість домашніх підключень є динамічними. На цій основі ми створимо DHCP-клієнта, щоб глобальна мережа або інтерфейс WAN могли автоматично отримувати IP-адресу від вашого інтернет-провайдера, як у більшості підключень до Інтернету.
Перейдіть до IP, DHCP-клієнт, клацніть значок плюса, щоб додати DHCP-клієнта, змініть інтерфейс на ether1, переконайтеся, що встановлено прапорець Use Peer DNS, та натисніть OK.
Налаштувати брандмауер (Firewall)
Брандмауери можуть бути дуже складними. У рамках цього посібника та загалом необхідно враховувати кілька моментів, що стосуються правил брандмауера і того, як маршрутизатор дивиться на мережевий трафік. Зокрема, типи підключень, звідки вони і куди прямують. Маршрутизатор переглядає пакети джерела або Src та пакети призначення або пакети Dst.
Маршрутизатор розглядає чотири типи підключення:
- New - нове з'єднання з маршрутизатором, яке відповідає критеріям правил як очікуване джерело.
- Established - нове з'єднання оновлюється до Established після відповідності критеріям правил.
- Related - коли встановлене (Established ) з'єднання має пов'язаний потік, маршрутизатор стежитиме за обома типами.
- Invalid - пошкоджені пакети або неправильне джерело та/або місце призначення.
У цьому посібнику ми будемо використовувати два типи каналів: вхідний канал для захисту маршрутизатора та прямий канал для захисту пристроїв LAN. Іншими словами, з якого боку маршрутизатора йде трафік (LAN або WAN) і як пакети відправляються на пристрої до LAN та від них.
Як останній захід безпеки маршрутизатор вирішить, приймати (все в порядку) або відкидати (не обробляти) нові, встановлені, пов'язані та недійсні з'єднання в каналах введення та пересилання.
Щоб переконатися, що ми можемо бачити всі деталі кожного правила, перейдіть в IP, Firewall і клацніть меню, що розкривається праворуч від Packets, виділіть Показати стовпці/Show Columns і переконайтеся, що натиснута кнопка Стан підключення/Connection State. Ця вистава знадобиться вам пізніше, щоб перевірити правила брандмауера.
По-перше, ми наказуємо маршрутизатору відкидати усі неприпустимі пакети у каналі пересилання.
Коли вікно брандмауера все ще відкрито, клацніть на вкладці «Правила брандмауера/Firewall Rules», потім натисніть на знак «плюс», щоб додати нове правило.
Rule 0 - на вкладці «Загальні/General» переконайтеся, що forward chain є у полі «Chain», потім клацніть стрілку «Стан підключення/Connection State» внизу, щоб скасувати приховування станів підключення. Позначте Invalid та перейдіть на вкладку Action. На вкладці «Action» виберіть drop з меню «Action», що розкривається, і натисніть «ОК».
Rule 1 - Повторіть описаний вище процес, щоб відкинути неприпустимі пакети у вхідному каналі.
Потім ми створимо список адрес, який використовуватиметься у правилах брандмауера. Це полегшує створення деяких правил брандмауера.
Перейдіть в IP, Firewall, клацніть вкладку "Списки адрес/Address Lists", клацніть значок "плюс" і введіть "LAN" як ім'я списку адрес і 192.168.100.0/24 як адресу і натисніть "ОК".
Rule 2 - Коли вікно брандмауера все ще відкрито, клацніть значок плюс на вкладці Загальні/General і переконайтеся, що вхідний канал знаходиться в полі Chain. Потім перейдіть на вкладку Advanced і виберіть список адрес, який ви створили вище, зі списку адрес Src, я використовував LAN як ім'я мого списку адрес. Потім перейдіть на вкладку «Дія/Action», виберіть «Прийняти/accept» у розкривному меню та натисніть «ОК».
*** Це правило дозволяє адмініструвати маршрутизатор з будь-якого місця у вашій локальній мережі, проте воно може бути додатково обмежено одним або декількома пристроями. Ці додаткові обмеження виходять за межі цього посібника. ***
Щоб налаштувати правила з 3 по 8, виконайте наведені вище дії.
Rule 3 – Прийняти встановлені з'єднання у вхідному (input) каналі/Accept established connections on the input chain
Rule 4 – Відкиньте з'єднання у вхідному каналі/Drop connections on the input chain
Rule 5 – Приймайте нові з'єднання в прямому каналі, використовуючи список адрес LAN/Accept.
Rule 6 – Приймайте зв'язані з'єднання у прямому каналі/Accept related connections on the forward chain
Rule 7 – Приймайте встановлені з'єднання у прямому каналі/Accept established connections on the forward chain
Rule 8 – відкидайте нові з'єднання у прямому ланцюжку від ether1/drop New connections on the forward chain from ether1
Уважно вивчіть наступний знімок екрана, щоб побачити порядок, стан підключення та місце використання вашого списку адрес локальної мережі.
Брандмауер переглядає правила зверху вниз, доки знайде збіг. Як тільки збіг знайдено, пошук не буде продовжено, тому розміщення правил у списку дуже важливе. З RouterOS Mikrotik ви можете перетягувати правила в правильному порядку, якщо вони знаходяться поза вказаною вище послідовністю.
NAT або перетворення мережевих адрес
У цьому посібнику ми розглядаємо два типи IP-адрес. Перший тип це приватні IP-адреси, які ми використовували для нашої приватної локальної мережі або LAN. Ми використовували адреси цієї підмережі 192.168.100.0/24. Це мережа, яку ми захищаємо від Інтернету за допомогою наших правил брандмауера.
Другий тип IP-адрес, який нас цікавить, – це загальнодоступні IP-адреси. Загальнодоступні IP-адреси використовуються на пристроях з виходом в Інтернет, щоб вони могли підключатися до інших пристроїв або служб з виходом до Інтернету. По суті ми постійно використовуємо дві мережі, нашу приватну локальну мережу, яка відправляє трафік до загальнодоступного Інтернету або глобальної мережі.
Приватні IP-адреси не призначені для використання у загальнодоступному Інтернеті. Отже, нам необхідно перетворити наші приватні IP-адреси на загальнодоступні IP-адреси, щоб комп'ютери в нашій локальній мережі могли взаємодіяти з комп'ютерами в Інтернеті, який є нашою загальнодоступною або глобальною мережею. Для цього нашому маршрутизатору необхідно видалити приватні IP-адреси з пакетів, що надсилаються в Інтернет з нашої локальної мережі, та замінити їх загальнодоступною IP-адресою, призначеною нашому порту WAN. Це називається NAT або перетворення мережевих адрес.
Перейдіть до IP, Брандмауер/Firewall, клацніть вкладку NAT і клацніть значок плюса (+). Переконайтеся, що srcnat вибрано в розділі Chain, а ether1 - в Out Interface. Тепер перейдіть на вкладку «Дія/Action», переконайтеся, що вибрано маскарад/masquerade , і натисніть «OK».
Це правило маскує вашу вихідну мережу або приватну локальну мережу (використовуючи список адрес локальної мережі) за ether1, який буде підключений до загальнодоступного Інтернету.
Тепер ви можете використовувати маршрутизатор MikroTik, підключивши ether1 до порту LAN на існуючому широкосмуговому модемі.
У частині цього керівництва розглядаються два варіанти заміни широкосмугового оптоволоконного маршрутизатора маршрутизатором MikroTik. Можливо, вам потрібно буде зв'язатися з постачальником послуг для отримання інформації про підключення. Слід зазначити, що якщо у вас є аналоговий телефон, підключений до широкосмугового модему для послуг VOIP через ваш інтернет-провайдер, ці деталі конфігурації виходять за рамки цього посібника і не включені. Як пояснення, деякі широкосмугові модеми перетворюють цифрові дані Voice Over IP або VOIP на аналогові звукові хвилі через вбудований ATA або аналоговий телефонний адаптер, щоб можна було використовувати старий аналоговий телефон, підключивши його безпосередньо до модему. Знову ж таки, ці деталі конфігурації виходять за рамки цього посібника і не включені.
Інтернет-провайдери висувають різні вимоги до підключення маршрутизатора до своєї служби. деякі вимагають додавання VLAN 10 до порту WAN. Деяким потрібно лише налаштувати порт WAN та/або VLAN 10 для автоматичного отримання IP-адреси через DHCP, а деяким потрібне додаткове налаштування клієнта PPPoE для автентифікації.
Варіант 1 – тільки DHCP
У цьому прикладі ми будемо використовувати параметр тільки DHCP, проте, якщо вашому інтернет-провайдеру також потрібен клієнт PPPoE, я надам команду, яку ви можете скопіювати та вставити у вікно терміналу усередині маршрутизатора у варіанті 2.
Спочатку перейдіть до Інтерфейси/Interfaces і натисніть значок плюса, щоб додати новий інтерфейс. У полі Ім'я/Назва введіть VLAN10 і введіть 10 у полі VLAN ID. У розділі «Interface» переконайтеся, що вибрано ether1, та натисніть «OK».
Потім перейдіть до IP, DHCP-клієнт/DHCP Client і натисніть піктограму плюса. У списку Інтерфейс/Interface виберіть VLAN10, позначте галочкою Use Peer DNS і натисніть OK.
Потім перейдіть в IP, Firewall, клацніть вкладку NAT і клацніть піктограму плюса. Переконайтеся, що srcnat вибрано в полі Chain, а VLAN10 вибрано в полі Out Interface, а потім натисніть OK.
Якщо ваш інтернет-провайдер потребує лише DHCP для інтерфейсу VLAN10, підключіть кабель Ethernet WAN від оптоволоконного перетворювача до ether1, і тепер ви повинні бути підключені до Інтернету.
*** Зверніть увагу, що перед використанням Інтернету необхідно оновити прошивку RouterOS та маршрутизатора. Див. Нижче інструкції та варіанти оновлення ***
Варіант 2 - клієнт DHCP та PPPoE
Якщо ваш інтернет-провайдер потребує VLAN10 і клієнт PPPoE, ви можете скопіювати і вставити наступні команди у вікно терміналу. Отже, «замість» додавання VLAN10, налаштування DHCP-клієнта для VLAN10 та створення правила NAT, як показано у Варіанті 1, перейдіть у «Новий термінал/New Terminal», «вставте обидві команди разом» у вікно терміналу та натисніть Enter. Перед тим, як скопіювати обидві команди у вікно терміналу, вам потрібно буде змінити пароль та ім'я користувача у команді на ті, що надані вашим інтернет-провайдером.
/interface vlan
add interface=ether1 name=ether1.10 vlan-id=10
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1.10 name=pppoe-out1 password=Passw0rd user= user@isp.co.nz
Після того, як ви відредагували ім'я користувача та пароль, необхідні для вашого інтернет-провайдера, вставте обидві команди разом у вікно нового терміналу. Тут можна побачити обидві команди, вставлені у вікно Терміналу, і інтерфейс VLAN10 і клієнт PPPoE створюються автоматично.
Оскільки клієнт PPPoE використовується, маршрутизатору необхідно налаштувати розмір пакетів даних, що проходять через нього. Щоб виконати це налаштування, ми запустимо іншу команду, і вона зробить всю роботу за нас. Якщо доступна нова версія, вона буде вказана в полі «Остання версія/Latest Version» та в нижній частині вікна. У полі «Остання версія/Latest Version» буде вказано вищий номер версії, ніж для встановленої версії.
Натисніть кнопку «Завантажити та встановити/Download&Install», і ви побачите прогрес у нижній частині вікна.
Як тільки нова версія буде завантажена, маршрутизатор перезавантажиться для встановлення.
Повторно підключіться до маршрутизатора, перейдіть до розділу "System", "Routerboard" і натисніть кнопку "Upgrade". Якщо доступна нова версія, вона буде вказана в полі «Upgrade Firmware» і матиме вищий номер версії, ніж поточний номер мікропрограми. Якщо нова версія доступна, натисніть Так, щоб оновити прошивку.
Ніяка нова прошивка не буде встановлена, поки маршрутизатор не буде перезавантажено, тому перейдіть в розділ System, Reboot і натисніть Так, щоб перезавантажити маршрутизатор.
Щоб переконатися, що оновлення RouterOS пройшло успішно, перейдіть до розділу System, Package List і натисніть Перевірити наявність оновлень/Check For Upgrades. Ви повинні побачити той же номер версії в полях "Встановлена версія/Installed Version" та "Остання версія/Latest Version", а також "Система вже оновлена/System is already up to date" у нижній частині вікна.
Щоб переконатися, що оновлення прошивки пройшло успішно, перейдіть до розділу "System", "Routerboard", і ви повинні побачити той же номер версії в полях "Поточна прошивка/Current Firmware" та "Оновити прошивку/Upgrade Firmware".
Ці механізми оновлення слід використовувати регулярно, щоб переконатися, що ваш маршрутизатор працює на оптимальному рівні.
Тепер ви налаштували свій маршрутизатор MikroTik з деякими налаштуваннями, що найчастіше використовуються, і ви оновили як RouterOS, так і прошивку маршрутизатора.
*** Слід зазначити, що при автоматичному оновленні, як показано вище, буде вибрано останню версію програмного забезпечення без втручання користувача. Деякі люди віддають перевагу ручному процесу завантаження основного пакета, сумісного з платформою ЦП, прямо з https://mikrotik.com/download .
Цей посібник заснований на моделі hAP AC lite, яка використовує платформу mipsbe, як можна побачити у верхній частині вікна WinBox.
*** Зверніть увагу, що при виконанні оновлення вручну рекомендується вибрати довгострокову версію, яка відповідає платформі вашого процесора, оскільки вона була випробувана та протестована ***
Якщо ви вирішили виконати оновлення вручну, завантажте оновлення для своєї платформи ЦП з https://mikrotik.com/download і просто перетягніть файл оновлень у вікно списку файлів, щоб не вставити файл в одну з папок.
Коли файл оновлення завершить завантаження в систему маршрутизатора, перезавантажтеся і маршрутизатор оновиться під час перезапуску.
Авторизуйтеся, щоб додати відгук