Настройка маршрутизатора Mikrotik

Функциональность продуктов MikroTik реализуется сетевой операционной системой RouterOS на базе Linux. Ниже приведен тезисный план настройки RouterOS для работы в качестве шлюза офисной или домашней локальной сети.

<статья находится в перманентной разработке бесконечно близкой к завершению>

Начало

В начальной заводской настройке вход выполняется по адресу http://192.168.88.1:80 с логином admin без пароля. Скачай WinBox с начальной страницы и приступай к настройкам.web

Winbox

Утилиту управления Winbox в старых версиях прошивок можно было скачать из самого маршрутизатора по ссылке http://192.168.88.1/winbox/winbox.exe, но последние прошивки уже отсылают на сайт.

Сброс конфигурации

Если считаешь нужным полностью сбросить все предыдущие настройки устройства к заводским, выбери WinBox:System->Reset configuration или выполни команду в терминале:

/system reset

Аппаратный сброс настроек (если получить доступ к настройке иначе не получается) выполняется нажатием Reset в выключенном состоянии и затем включением устройства. В некоторых случаях (например: SXT Lite2) порядок сброса пароля несколько сложнее:

1.выключи устройство
2.зажми Reset и включи устройство
3.дождись мигания (~ через 5сек)
4.отпусти Reset
5.дождись завершения загрузки устройства

Настройки LAN

Настройка адреса маршрутизатора

RouterOS позволяет произвольно настроить собственный адрес для каждого физического или виртуального интерфейса или моста, и по каждому из них маршрутизатор будет доступен. В частном упрощенном смысле адресом маршрутизатора можно назвать адрес основного моста локальных интерфейсов.

Войди WinBox:IP->Addresses и измени адрес и маску интерфейса основного моста bridge-local.
bridge-ip

/ip address
add address=192.168.7.1/24 interface=bridge-local network=192.168.7.0

Планирование и настройка изолированных подсетей

Мост bridge-local по умолчанию включает в себя почти все интерфейсы включая беспроводный, исключая интерфейс выделенный базовой настройкой для ISP (обычно это первый интерфейс ether1). RouterOS позволяет настроить произвольное число изолированных подсетей объдиняющих в своем составе произвольный набор портов/интерфейсов.

Внимание! Манипулируя интерфейсами, мостами и адресами можно нарушить структуру привязки ip-адреса к интерфейсу, через который выполняется управление, при этом связь Winbox с роутером будет потеряна, но ничего страшного в этом нет, т.к. Winbox сможет подключиться по mac-адресу, если такая возможность разрешена. Поэтому прежде настрой в WinBox:Tools->MAC Server->Winbox Interface разрешение для всех нужных портов.

Для создания самостоятельных подсетей на нескольких интерфейсах создай соответствующие им мосты в WinBox:Bridge.

Каждому мосту назначь свой адрес в WinBox:IP->Addresses.

Выдели мастер-порты и привяжи их к нужным мостам Bridge->Ports.bridge-ports

/interface bridge port
add bridge=bridge-local interface=sfp1
add bridge=bridge-local interface=wlan1
add bridge=bridge-local interface=ether1-master-a
add bridge=bridge-local interface=ether6-master-b

Привяжи подчиненные интерфейсы к их мастер-мастеринтерфейсам в Interfaces.

Интерфейсам выделенным для подключение провайдеров ISP назначенные мастер-интерфейсы отмени.interfaces

/interface ethernet

set [ find default-name=ether1 ] name=ether1-master-a

set [ find default-name=ether2 ] master-port=ether1-master-a name=ether2-slave-a
...
set [ find default-name=ether6 ] name=ether6-master-b
set [ find default-name=ether7 ] master-port=ether6-master-b name=ether7-slave-b
...

Списки интерфейсов

Интерфейсы со сходным назначением для упрощения создания правил объедини в списки интерфейсов в WinBox:IP->Interfaces->Interface List.

/interface list 
add name=WAN 
/interface list member 
add interface=eth01-ssky list=WAN 
add interface=eth10-sstar list=WAN

Списки интерфейсов появились начиная с RouterOS 6.36

Настройка подключений Интернет ISP

Статический IP

Настрой необходимый статический IP на WAN интерфейсе WinBox:IP->Addresses.

Важно! Для статического адреса WAN маршрут шлюза и DNS сервер не устанавливаются автоматически, поэтому их необходимо задавать вручную.

/ip address

add address=185.71.81.218/30 interface=ether1-gateway network=185.71.81.216 disabled=no

/ip route

add distance=1 dst-address=0.0.0.0/0 gateway=185.71.81.217 scope=30 target-scope=10 disabled=no

Динамический IP по DHCP

Порт Ethernet выделенный для ISP настрой клиентом DHCP в WinBox:IP->DHCP Client. Если DNS сервера получаемые по DHCP не нужны, отключи опцию User Peer DNS. Если автоматическая настройка маршрута не требуется, в Add Default Route установи no. Для снижения приоритета маршрута увеличь дистанцию в Default Route Distance.wan-dhcp

/ip dhcp-client
add comment="WAN DHCP" dhcp-options=hostname,clientid disabled=no interface=ether10-sevstar

Подмена mac-адреса

Подмени mac порта ISP, если этого требует провайдер:

/interface ethernet set [ find default-name=ether10 ] mac-address=00:11:22:33:44:55 name=ether10-sevstar

Подключение PPTP

В WinBox:Interfaces создай новый интерфейс типа PPTP Client:

pptp

/interface pptp-client

add add-default-route=yes allow=pap,chap,mschap1,mschap2 connect-to=10.10.111.4 dial-on-demand=no disabled=no max-mru=1460 max-mtu=1460 mrru=disabled name=pptp-sevstar password=xxxxxx profile=default user=hmnu12xxxx

В некоторых системах наблюдалась нестабильная работа HTTPS через соединение PPTP с штатным значением Max MTU. Проблема разрешилась уменьшением Max MTU и Max MRU до 1300. Источник решения: forum.nag.ru

Подключение PPPoE

В WinBox:Interfaces создай новый интерфейс типа PPPoE Client pppoe

/interface pppoe-client

add ac-name="" add-default-route=no allow=pap,chap,mschap1,mschap2 dial-on-demand=no disabled=no interface=ether5-vega max-mru=1480 max-mtu=1480 mrru=disabled name=pppoe-vega password=xxxxxxxx profile=default service-name="" use-peer-dns=no user=seaborn

Настройка маршрутизации

Включи в WinBox:IP->Settings разрешения Allow Fast Path и IPv4 Fasttrack Active.

?/ip settings set allow-fast-path=yes
?/ip firewall filter add chain=forward connection-state=established,related

?/ip firewall filter add chain=forward action=fasttrack-connection connection-state=established,related

Настройка DHCP

Настрой пул адресов WinBox:IP->Pool

dhcp-pool
/ip pool
add name=default-pool ranges=192.168.7.2-192.168.7.254

Настрой WinBox:IP->DHCP Server на основной закладке. На закладке Networks настройка параметры Gateway, DNS Server, Domain, NTP и все что сочтешь нужным. dhcp-srv

/ip dhcp-server
add address-pool=default-pool disabled=no interface=bridge-local name=dhcp/ip dhcp-server network

add address=192.168.7.0/24 comment="default configuration" dns-server=192.168.7.1 gateway=192.168.7.1 netmask=24

dhcp-opt

/ip dhcp-server network
add address=192.168.7.0/24 comment="DHCP configuration" dns-server=192.168.7.1 gateway=192.168.7.1 netmask=24

Настройка DNS

В настройках WinBox:IP->DNS разреши Allow Remote Requests

dns-set

/ip dns
set allow-remote-requests=yes

Настрой разрешение для статических имен dns-stat

/ip dns static
add address=192.168.7.1 name=router
add address=127.0.0.1 name=mpa.one.microsoft.com

Настройка Wi-Fi

В WinBox:Wireless->Security profiles создай профиль безопасности wpa2-protected типа WPA SPK + WPA2 SPK, отметь оба aes ccm. Задай пароль.wpa-sec

/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk group-ciphers=aes-ccm mode=dynamic-keys unicast-ciphers=aes-ccm wpa-pre-shared-key=sevgot25 wpa2-pre-shared-key=mypassword

Если беспроводный интерфейс не активен, в WinBox:Wireless->Interfaces открой интерфейс и на закладке General нажми Enable.

Открой окно настроек беспроводного интерфейса и нажми кнопку Advanced Mode для отображения во всех закладках полного набора настроек.

На закладке Wireless установи:

  • режим Mode: ap-bridge
  • диапазон Band: 2GHz-B/G/N,
  • полосу Chanel Width: 20MHz,
  • частоту Frequency 2412..2484MHz  соответствующие канала #1..#14 (о каналах)
  • задай имя сети SSID,
  • беспроводный протокол Wireless Protocol: any (и хотя логичным кажется 802.11, но на практике некоторые мобильные устройства в этом режиме не могут пройти авторизацию)
  • выбери созданный профиль безопасности Security Profile.
  • мультимедиа расширение WMM Support в сетях общего пользования рекомендуют отключать.
  • режим моста разреши Bridge Mode: enable.
  • по умолчанию авторизацию Default Authenticate и передачу Default Forward разреши.wifi

Для дополнительных настроек Wireless и управления мощностью на закладке TxPower нажми кнопку [Advanced Mode]wifi-adv

/interface wireless
set [ find default-name=wlan1 ] adaptive-noise-immunity=ap-and-client-mode band=2ghz-b/g/n channel-width=20/40mhz-ht-above country=russia disabled=no distance=indoors frequency=2452 ht-rxchains=0,1 ht-txchains=0,1 hw-protection-mode=rts-cts l2mtu=2290 mode=ap-bridge ssid=DrMT tx-power=20 tx-power-mode=all-rates-fixed

Инфо: «Защита Wi-Fi в Mikrotik» mikrotik-ukraine.blogspot.com

Имя

Дай имя маршрутизатору WinBox:System->Identity:

/system identity
set name=CoTik

Время

Зайди WinBox:System->Clock и установи правильный часовой пояс, затем установи правильные дату и время.

/system clock
set time-zone-name=Europe/Kiev

Зайди WinBox:SNTP Client и настрой сервер обновления времени. Например:

  • pool.ntp.org
  • ntp.time.in.ua
/system ntp client
set enabled=yes primary-ntp=91.236.251.5 secondary-ntp=62.149.0.30

Обзор сетей

Отключи протокол обнаружения соседей MNDP для wan и других интерфесов где он не нужен IP->Neighbors:mndp

/ip neighbor discovery
set ether10-sevstar discover=no
set sfp1 discover=no

Службы

Открой список служб WinBox:IP->Services и отключи ненужные, при необходимости порты служб можно изменить:svc-list

/ip service
set api disabled=yes
set api-ssl disabled=yes
set ftp disabled=yes
set ssh disabled=yes
set telnet disabled=yes
set winbox disabled=no
set www disabled=no
set www-ssl disabled=yes

В обычном случае службы winbox :8291 достаточно, остальные можно отключить.

Для доступа к портам служб может потребоваться открыть порт в WinBox:IP->Firewall->Filter Rules.

Настройка DynDNS

Создай скрипт обновления dyndomain@DynScript в WinBox:System->Scripts

# Set needed variables
:local username "dynlogin"
:local password "dynpass"
:local hostname "dyndomain.dyndns.org"

:global dyndnsForce
:global previousIP 

# print some debug info
:log info ("UpdateDynDNS: username = $username")
:log info ("UpdateDynDNS: password = $password")
:log info ("UpdateDynDNS: hostname = $hostname")
:log info ("UpdateDynDNS: previousIP = $previousIP")

# get the current IP address from the internet (in case of double-nat)
/tool fetch mode=http address="checkip.dyndns.org" src-path="/" dst-path="/dyndns.checkip.html"
:delay 1
:local result [/file get dyndns.checkip.html contents]

# parse the current IP result
:local resultLen [:len $result]
:local startLoc [:find $result ": " -1]
:set startLoc ($startLoc + 2)
:local endLoc [:find $result "</body>" -1]
:local currentIP [:pick $result $startLoc $endLoc]
:log info "UpdateDynDNS: currentIP = $currentIP"

# Remove the # on next line to force an update every single time - useful for debugging,
# but you could end up getting blacklisted by DynDNS!

#:set dyndnsForce true

# Determine if dyndns update is needed
# more dyndns updater request details http://www.dyndns.com/developers/specs/syntax.html

:if (($currentIP != $previousIP) || ($dyndnsForce = true)) do={
   :set dyndnsForce false
   :set previousIP $currentIP
   :log info "$currentIP or $previousIP"
   /tool fetch user=$username password=$password mode=http address="members.dyndns.org" \
      src-path="nic/update?system=dyndns&hostname=$hostname&myip=$currentIP&wildcard=no" \
      dst-path="/dyndns.txt"
   :delay 1
   :local result [/file get dyndns.txt contents]
   :log info ("UpdateDynDNS: Dyndns update needed")
   :log info ("UpdateDynDNS: Dyndns Update Result: ".$result)
   :put ("Dyndns Update Result: ".$result)
} else={
   :log info ("UpdateDynDNS: No dyndns update needed")
}

Создай в расписании WinBox:System->Scheduler задачу dyndomain@DynSchedule на запуск скрипта dyndomain@DynScript каждые 1-5 минут

/system script run dyndomain@DynScript

Настройка Firewall.

Базовые правила.

Создай  базовые правила фильтрации для входящих соединений:

/ip firewall filter

add chain=input comment="INPUT" protocol=icmp

add chain=input connection-state=established

add chain=input connection-state=related
...
add action=drop chain=input in-interface=ether10-sevstar

Создай базовые правила фильтрации и для проходящих соединений:

/ip firewall filter

add chain=forward comment="FORWARD" connection-state=established

add chain=forward connection-state=related

add action=drop chain=forward connection-state=invalid

Создай базовое правило NAT с маскарадом для интернет шлюза:

/ip firewall nat

add action=masquerade chain=srcnat comment="GATE NAT" out-interface=ether10-sevstar to-addresses=0.0.0.0

Защита DNS

Маршрутизатор получающий на WAN интерфейс белый реальный IP может подвергнуться DNS атакам из Интернет, при этом нагрузка на CPU вырастает до 100%. Для предотвращения этой проблемы заблокируй входящие UDP соединения на порт :53 правилом фильтра интерфейса:

add action=drop chain=input dst-port=53 in-interface=ether10-sevstar protocol=udp

или списка интерфейсов:

add action=drop chain=input dst-port=53 in-interface-list=WAN protocol=udp

Настройка доступа из WAN к локальному сервису в LAN (проброс порта, Forward).

Настрой фильтрацию внешнего порта (SMTP, POP, RDP):

/ip firewall filter

add action=accept chain=forward disabled=no dst-port=25 protocol=tcp

add action=accept chain=forward disabled=no dst-port=110 protocol=tcp

add action=accept chain=forward disabled=no dst-port=3389 protocol=tcp

Настрой перенаправление внешнего порта (SMTP, POP, RDP):

/ip firewall nat

add action=dst-nat chain=dstnat disabled=no dst-port=25 in-interface=ether10-sevstar protocol=tcp to-addresses=192.168.7.9 to-ports=25

add action=dst-nat chain=dstnat disabled=no dst-port=110 in-interface=ether10-sevstar protocol=tcp to-addresses=192.168.7.9 to-ports=110

add action=dst-nat chain=dstnat dst-port=33899 protocol=tcp to-addresses=192.168.7.9 to-ports=3389

wan-dstnat

Настройка доступа к сервису LAN из LAN по статическому WAN IP:

При соединении с сервисом по WAN IP, для которого существует правило перенаправления через роутер (чаще в ту же подсеть , но не обязательно) к соединению необходимо применить маскарад, чтобы ответные пакеты не застряли в роутере.

Создай дополнительное правило маскарада:local-masquerade

/ip firewall nat

add action=masquerade chain=srcnat dst-address=192.168.7.9 dst-port=3389 protocol=tcp src-address=192.168.7.0/24

Настройка доступа к сервису за мостом.

По неизвестной мне пока причине в каскаде маршрутизаторов простое перенаправление dstnat от внешнего MikroTik к внутреннему не работает, при этом входящие соединения зависают в состоянии «syn sent» и вскоре умирают. Чтобы решить эту проблему создай дополнительный srcnat маскарад:

/ip firewall filter

add action=accept chain=forward disabled=no dst-port=8292 protocol=tcp

/ip firewall nat

add action=dst-nat chain=dstnat disabled=no dst-port=8292 in-interface=ether10-sevstar protocol=tcp to-addresses=192.168.7.2 to-ports=8291

add action=masquerade chain=srcnat dst-address=192.168.7.2 dst-port=8291 protocol=tcp

Надо ли аналогично поступить с другими перенаправлениями решай экспериментально, т.к.  в одних случаях это требуется, а в других наоборот.

Изоляция сетей

Для изоляции подсетей между, которыми RouterOS выполняет маршрутизацию создай правило forward выполняющее drop соединений:

/ip firewall nat

add action=drop chain=forward disabled=no in-interface=bridge-guest out-interface=bridge-local

Если изоляция должна быть однонаправленной, то для соединений блокируемого направления определи состояние new:

/ip firewall nat

add action=drop chain=forward connection-state=new disabled=no in-interface=bridge-guest out-interface=bridge-local

Описанный способ для изоляции от беспроводной подсети wlan не сработал (причина исследуется).

Защита от флуда

Перенаправления dstnat к внутренним сервисам часто открывают возможность для интенсивных атак с целью подбора логина и пароля внутреннего сервиса. Чтобы существенно снизить интенсивность подбора примени фильтрацию IP с подозрительным характером соединений.

add action=add-src-to-address-list address-list=DropIP address-list-timeout=30m chain=input connection-limit=30,32 protocol=tcp connection-state=new

add action=drop chain=input src-address-list=DropIP

Источник вдохновения: mikrotik-ukraine.blogspot.ru

Особенности настройки при нескольких подключениях WAN

Создай правила создающие приоритет параметром distance:

/ip route

add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=ether10-sevstar scope=30 target-scope=10

add disabled=no distance=2 dst-address=0.0.0.0/0 gateway=sfp1 scope=30 target-scope=10

Для того, чтобы ответные пакеты соединений из WAN входящие по интерфейсус низким приоритетом направлялись в тот же интерфейс (в нарушение приоритета), входящие соединения следует маркировать. Для этого создай по паре правил маркирования источника подключений для каждого WAN интерфейса, по которому могут осуществляться входящие соединения:

 

/ip firewall mangle

add action=mark-connection chain=forward disabled=no in-interface=ether10-sevstar new-connection-mark=conf-sevstar passthrough=yes

add action=mark-routing chain=prerouting connection-mark=conf-sevstar disabled=no new-routing-mark=rt-sevstar passthrough=yes src-address=192.168.7.0/24
add action=mark-connection chain=forward disabled=no in-interface=ether1-optima new-connection-mark=conf-optima passthrough=yes

add action=mark-routing chain=prerouting connection-mark=conf-optima disabled=no new-routing-mark=rt-optima passthrough=yes src-address=192.168.7.0/24

 

Установленные маркеры соединений используются при маршрутизации. Создай отдельные правила маршрутизации для маркированных соединений:

/ip route

add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=ether1-optima routing-mark=rt-optima scope=30 target-scope=10

add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=ether10-sevstar routing-mark=rt-sevstar scope=30 target-scope=10

Доступ к сервису сети из wan на внешний порт: !!!

/ip firewall nat

add action=dst-nat chain=dstnat comment="RDP EXAMPLE" dst-address=31.28.255.56    dst-port=33899 protocol=tcp to-addresses=192.168.7.9 to-ports=3389

Использование Fasttrack

Опция IPv4 FastTrack используется для автоматической маркировки соединений. Только TCP и UDP соединения могут быть маркированы. IPv4 FastTrack поддерживает NAT (SNAT, DNAT или оба). Обрати внимание, что не все пакеты в соединении могут быть переданы с помощью fasttrack, даже, если они промаркированы соответствующим образом. По этой причине fasttrack-соединение идет после идентичного правила action=accept. Fasttrack пакеты обходят файерволл, трассировку соединений, простые очереди, дерево очередей с parent=global, учет ip-трафика, IPSec, универсальный клиент hotspot, распределение vrf. По этой причине администратор должен внимательно следить что бы fasttrack не накладывалась с другими настройками маршрутизатора.

Fasttrack включается и выключается в Winbox:IP->Settings опциями:

  • Allow Fast Path
  • IPv4 Fasttrack Active

Простейшее применение правила в Firewall Filter в первую очередь:

/ip firewall filter add chain=forward action=fasttrack-connection connection-state=established,related

/ip firewall filter add chain=forward action=accept connection-state=established,related

Источник: mikrotik.vetriks.ru

Динамическое открытие портов UPnP

Для P2P приложений войди WinBox:IP->UPnP и разреши UPnP. Там же войди в Interfaces и добавь порт ISP как External, а мост как Internal.upnp

/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=bridge-local type=internal
add interface=ether10-sevstar type=external

Туннели VPN

Сервер

!!! Войди WinBox:PPP->Secrets

Фишки

Тестирование кабеля

Тестирование кабеля: WinBox:Interfaces-><нужный порт>->[Cable test]cable-test

interface ethernet cable-test <имя порта>

Оверклокинг

Посмотри нагрузку на центральный процессор в WinBox:System->Resources. Если устройство Mikrotik не справляется, центральный процессор можно немного разогнать в WinBox:System->RouterBOARD->Settings->CPU Frequency.

IPTV IGMP Proxy

Тем, у кого провайдер раздает IPTV, поможет еще установка пакета multicast-x.xx-mipsbe.npk и настройка Routing -> IGMP Proxy -> + -> в списке Interfaces выбрать порт, куда входит интернет от провайдера и поставить галочку на Upstream. В поле Alternative Subnets надо указать данные подсети либо, если кому лень — просто 0.0.0.0/0. -> OK
 Затем еще раз жмем плюсик -> выбираем порт, в который будет подключена приставка или же бридж, если есть желание просмотра IPTV на мобильных устройствах -> ставим галочку на Querier.
 Можно добавить еще /interface wireless Set 0 multicast-helper=full

Обновление Router OS

  • Версия firmware отображается в WinBox:System->Routerboard.
  • Версия Router OS отображается в WinBox:New terminal.

Автоматическое обновление

Для автоматического обновления в WinBox:System->Packages нажими Check for Updates.

Ручное обновление

  • Загрузи обновление с официального сайта mikrotik.com или mikrotik.ru
  • Файл обновления брось в корень WinBox:Files
  • Перезагрузи WinBox:System->Reboot
  • Проверь версию

Даунгрейд Router OS

Чтобы вернуть предыдущую версию прошивки Router OS:

    1. на сайте Mikrotik выбери в соответствии с серией оборудования и загрузи файл прошивки .npk.
    2. Помести файл в корень Winbox:Files.
    3. Выполни в терминале команду:
system package downgrade
  1. После ребута, возможно, потребуется выполнить аппаратный сброс настроек.

Обновление в малом объеме Flash 16MB

http://mikrotik-ukraine.blogspot.com/2016/09/flash-mikrotik.html

Управление отдельными пакетами

Включи или отключи пакеты входящие в состав RouterOS или загруженные дополнительно в WinBox:IP->System->Packages.

После внесения изменений в набор разрешенных и/или установленных пакетов, RouterOS необходимо перезагрузить.

/system package enable ppp; /system reboot; 
Reboot, yes? [y/N]:

Сохранение конфигурации

Сохрани конфигурацию:

system backup save name=<.backup filename>

Восстановление конфигурации выполняется только на том же устройстве:

system…

И дополнительно сохрани скрипт конфигурации:

export file=<.rsc filename>

Файлы сохранений будут находится в WinBox:Files с расширениями соответственно *.backup и .rsc

Перенос конфигурации

а

/system reset-configuration no-defaults=yes

import <.rsc filename>

Источники

Настройка маршрутизатора Mikrotik: 5 комментариев

  1. Hello. I have checked your reks.biz and i see you’ve got
    some duplicate content so probably it is the reason that you don’t rank high in google.
    But you can fix this issue fast. There is a tool that creates content like human, just search in google:
    miftolo’s tools

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *