Настройка маршрутизатора Mikrotik

Функциональность продуктов MikroTik реализуется сетевой операционной системой RouterOS на базе Linux. Ниже приведен тезисный план настройки RouterOS для работы в качестве шлюза офисной или домашней локальной сети.

<статья находится в перманентной разработке бесконечно близкой к завершению>

Начало

В начальной заводской настройке вход выполняется по адресу http://192.168.88.1:80 с логином admin без пароля. Скачай WinBox с начальной страницы и приступай к настройкам.web

Winbox

Утилиту управления Winbox в старых версиях прошивок можно было скачать из самого маршрутизатора по ссылке http://192.168.88.1/winbox/winbox.exe, но последние прошивки уже отсылают на сайт.

Сброс конфигурации

Если считаешь нужным полностью сбросить все предыдущие настройки устройства к заводским, выбери WinBox:System->Reset configuration или выполни команду в терминале:

/system reset

Аппаратный сброс настроек (если получить доступ к настройке иначе не получается) выполняется нажатием Reset в выключенном состоянии и затем включением устройства. В некоторых случаях (например: SXT Lite2) порядок сброса пароля несколько сложнее:

1.выключи устройство
2.зажми Reset и включи устройство
3.дождись мигания (~ через 5сек)
4.отпусти Reset
5.дождись завершения загрузки устройства

Настройки LAN

Настройка адреса маршрутизатора

RouterOS позволяет произвольно настроить собственный адрес для каждого физического или виртуального интерфейса или моста, и по каждому из них маршрутизатор будет доступен. В частном упрощенном смысле адресом маршрутизатора можно назвать адрес основного моста локальных интерфейсов.

Войди WinBox:IP->Addresses и измени адрес и маску интерфейса основного моста bridge-local.
bridge-ip

/ip address
add address=192.168.7.1/24 interface=bridge-local network=192.168.7.0

Планирование и настройка изолированных подсетей

Мост bridge-local по умолчанию включает в себя почти все интерфейсы включая беспроводный, исключая интерфейс выделенный базовой настройкой для ISP (обычно это первый интерфейс ether1). RouterOS позволяет настроить произвольное число изолированных подсетей объдиняющих в своем составе произвольный набор портов/интерфейсов.

Внимание! Манипулируя интерфейсами, мостами и адресами можно нарушить структуру привязки ip-адреса к интерфейсу, через который выполняется управление, при этом связь Winbox с роутером будет потеряна, но ничего страшного в этом нет, т.к. Winbox сможет подключиться по mac-адресу, если такая возможность разрешена. Поэтому прежде настрой в WinBox:Tools->MAC Server->Winbox Interface разрешение для всех нужных портов.

Для создания самостоятельных подсетей на нескольких интерфейсах создай соответствующие им мосты в WinBox:Bridge.

Каждому мосту назначь свой адрес в WinBox:IP->Addresses.

Выдели мастер-порты и привяжи их к нужным мостам Bridge->Ports.bridge-ports

/interface bridge port
add bridge=bridge-local interface=sfp1
add bridge=bridge-local interface=wlan1
add bridge=bridge-local interface=ether1-master-a
add bridge=bridge-local interface=ether6-master-b

Привяжи подчиненные интерфейсы к их мастер-мастеринтерфейсам в Interfaces.

Интерфейсам выделенным для подключение провайдеров ISP назначенные мастер-интерфейсы отмени.interfaces

/interface ethernet

set [ find default-name=ether1 ] name=ether1-master-a

set [ find default-name=ether2 ] master-port=ether1-master-a name=ether2-slave-a
...
set [ find default-name=ether6 ] name=ether6-master-b
set [ find default-name=ether7 ] master-port=ether6-master-b name=ether7-slave-b
...

Списки интерфейсов

Интерфейсы со сходным назначением для упрощения создания правил объедини в списки интерфейсов в WinBox:IP->Interfaces->Interface List.

/interface list 
add name=WAN 
/interface list member 
add interface=eth01-ssky list=WAN 
add interface=eth10-sstar list=WAN

Списки интерфейсов появились начиная с RouterOS 6.36

Настройка подключений Интернет ISP

Статический IP

Настрой необходимый статический IP на WAN интерфейсе WinBox:IP->Addresses.

Важно! Для статического адреса WAN маршрут шлюза и DNS сервер не устанавливаются автоматически, поэтому их необходимо задавать вручную.

/ip address

add address=185.71.81.218/30 interface=ether1-gateway network=185.71.81.216 disabled=no

/ip route

add distance=1 dst-address=0.0.0.0/0 gateway=185.71.81.217 scope=30 target-scope=10 disabled=no

Динамический IP по DHCP

Порт Ethernet выделенный для ISP настрой клиентом DHCP в WinBox:IP->DHCP Client. Если DNS сервера получаемые по DHCP не нужны, отключи опцию User Peer DNS. Если автоматическая настройка маршрута не требуется, в Add Default Route установи no. Для снижения приоритета маршрута увеличь дистанцию в Default Route Distance.wan-dhcp

/ip dhcp-client
add comment="WAN DHCP" dhcp-options=hostname,clientid disabled=no interface=ether10-sevstar

Подмена mac-адреса

Подмени mac порта ISP, если этого требует провайдер:

/interface ethernet set [ find default-name=ether10 ] mac-address=00:11:22:33:44:55 name=ether10-sevstar

Подключение PPTP

В WinBox:Interfaces создай новый интерфейс типа PPTP Client:

pptp

/interface pptp-client

add add-default-route=yes allow=pap,chap,mschap1,mschap2 connect-to=10.10.111.4 dial-on-demand=no disabled=no max-mru=1460 max-mtu=1460 mrru=disabled name=pptp-sevstar password=xxxxxx profile=default user=hmnu12xxxx

В некоторых системах наблюдалась нестабильная работа HTTPS через соединение PPTP с штатным значением Max MTU. Проблема разрешилась уменьшением Max MTU и Max MRU до 1300. Источник решения: forum.nag.ru

Подключение PPPoE

В WinBox:Interfaces создай новый интерфейс типа PPPoE Client pppoe

/interface pppoe-client

add ac-name="" add-default-route=no allow=pap,chap,mschap1,mschap2 dial-on-demand=no disabled=no interface=ether5-vega max-mru=1480 max-mtu=1480 mrru=disabled name=pppoe-vega password=xxxxxxxx profile=default service-name="" use-peer-dns=no user=seaborn

Настройка маршрутизации

Включи в WinBox:IP->Settings разрешения Allow Fast Path и IPv4 Fasttrack Active.

?/ip settings set allow-fast-path=yes
?/ip firewall filter add chain=forward connection-state=established,related

?/ip firewall filter add chain=forward action=fasttrack-connection connection-state=established,related

Настройка DHCP

Настрой пул адресов WinBox:IP->Pool

dhcp-pool
/ip pool
add name=default-pool ranges=192.168.7.2-192.168.7.254

Настрой WinBox:IP->DHCP Server на основной закладке. На закладке Networks настройка параметры Gateway, DNS Server, Domain, NTP и все что сочтешь нужным. dhcp-srv

/ip dhcp-server
add address-pool=default-pool disabled=no interface=bridge-local name=dhcp/ip dhcp-server network

add address=192.168.7.0/24 comment="default configuration" dns-server=192.168.7.1 gateway=192.168.7.1 netmask=24

dhcp-opt

/ip dhcp-server network
add address=192.168.7.0/24 comment="DHCP configuration" dns-server=192.168.7.1 gateway=192.168.7.1 netmask=24

Настройка DNS

В настройках WinBox:IP->DNS разреши Allow Remote Requests

dns-set

/ip dns
set allow-remote-requests=yes

Настрой разрешение для статических имен dns-stat

/ip dns static
add address=192.168.7.1 name=router
add address=127.0.0.1 name=mpa.one.microsoft.com

Настройка Wi-Fi

В WinBox:Wireless->Security profiles создай профиль безопасности wpa2-protected типа WPA SPK + WPA2 SPK, отметь оба aes ccm. Задай пароль.wpa-sec

/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk group-ciphers=aes-ccm mode=dynamic-keys unicast-ciphers=aes-ccm wpa-pre-shared-key=sevgot25 wpa2-pre-shared-key=mypassword

Если беспроводный интерфейс не активен, в WinBox:Wireless->Interfaces открой интерфейс и на закладке General нажми Enable.

Открой окно настроек беспроводного интерфейса и нажми кнопку Advanced Mode для отображения во всех закладках полного набора настроек.

На закладке Wireless установи:

  • режим Mode: ap-bridge
  • диапазон Band: 2GHz-B/G/N,
  • полосу Chanel Width: 20MHz,
  • частоту Frequency 2412..2484MHz  соответствующие канала #1..#14 (о каналах)
  • задай имя сети SSID,
  • беспроводный протокол Wireless Protocol: any (и хотя логичным кажется 802.11, но на практике некоторые мобильные устройства в этом режиме не могут пройти авторизацию)
  • выбери созданный профиль безопасности Security Profile.
  • мультимедиа расширение WMM Support в сетях общего пользования рекомендуют отключать.
  • режим моста разреши Bridge Mode: enable.
  • по умолчанию авторизацию Default Authenticate и передачу Default Forward разреши.wifi

Для дополнительных настроек Wireless и управления мощностью на закладке TxPower нажми кнопку [Advanced Mode]wifi-adv

/interface wireless
set [ find default-name=wlan1 ] adaptive-noise-immunity=ap-and-client-mode band=2ghz-b/g/n channel-width=20/40mhz-ht-above country=russia disabled=no distance=indoors frequency=2452 ht-rxchains=0,1 ht-txchains=0,1 hw-protection-mode=rts-cts l2mtu=2290 mode=ap-bridge ssid=DrMT tx-power=20 tx-power-mode=all-rates-fixed

Инфо: «Защита Wi-Fi в Mikrotik» mikrotik-ukraine.blogspot.com

Имя

Дай имя маршрутизатору WinBox:System->Identity:

/system identity
set name=CoTik

Время

Зайди WinBox:System->Clock и установи правильный часовой пояс, затем установи правильные дату и время.

/system clock
set time-zone-name=Europe/Kiev

Зайди WinBox:SNTP Client и настрой сервер обновления времени. Например:

  • pool.ntp.org
  • ntp.time.in.ua
/system ntp client
set enabled=yes primary-ntp=91.236.251.5 secondary-ntp=62.149.0.30

Обзор сетей

Отключи протокол обнаружения соседей MNDP для wan и других интерфесов где он не нужен IP->Neighbors:mndp

/ip neighbor discovery
set ether10-sevstar discover=no
set sfp1 discover=no

Службы

Открой список служб WinBox:IP->Services и отключи ненужные, при необходимости порты служб можно изменить:svc-list

/ip service
set api disabled=yes
set api-ssl disabled=yes
set ftp disabled=yes
set ssh disabled=yes
set telnet disabled=yes
set winbox disabled=no
set www disabled=no
set www-ssl disabled=yes

В обычном случае службы winbox :8291 достаточно, остальные можно отключить.

Для доступа к портам служб может потребоваться открыть порт в WinBox:IP->Firewall->Filter Rules.

Настройка DynDNS

Создай скрипт обновления dyndomain@DynScript в WinBox:System->Scripts

# Set needed variables
:local username "dynlogin"
:local password "dynpass"
:local hostname "dyndomain.dyndns.org"

:global dyndnsForce
:global previousIP 

# print some debug info
:log info ("UpdateDynDNS: username = $username")
:log info ("UpdateDynDNS: password = $password")
:log info ("UpdateDynDNS: hostname = $hostname")
:log info ("UpdateDynDNS: previousIP = $previousIP")

# get the current IP address from the internet (in case of double-nat)
/tool fetch mode=http address="checkip.dyndns.org" src-path="/" dst-path="/dyndns.checkip.html"
:delay 1
:local result [/file get dyndns.checkip.html contents]

# parse the current IP result
:local resultLen [:len $result]
:local startLoc [:find $result ": " -1]
:set startLoc ($startLoc + 2)
:local endLoc [:find $result "</body>" -1]
:local currentIP [:pick $result $startLoc $endLoc]
:log info "UpdateDynDNS: currentIP = $currentIP"

# Remove the # on next line to force an update every single time - useful for debugging,
# but you could end up getting blacklisted by DynDNS!

#:set dyndnsForce true

# Determine if dyndns update is needed
# more dyndns updater request details http://www.dyndns.com/developers/specs/syntax.html

:if (($currentIP != $previousIP) || ($dyndnsForce = true)) do={
   :set dyndnsForce false
   :set previousIP $currentIP
   :log info "$currentIP or $previousIP"
   /tool fetch user=$username password=$password mode=http address="members.dyndns.org" \
      src-path="nic/update?system=dyndns&hostname=$hostname&myip=$currentIP&wildcard=no" \
      dst-path="/dyndns.txt"
   :delay 1
   :local result [/file get dyndns.txt contents]
   :log info ("UpdateDynDNS: Dyndns update needed")
   :log info ("UpdateDynDNS: Dyndns Update Result: ".$result)
   :put ("Dyndns Update Result: ".$result)
} else={
   :log info ("UpdateDynDNS: No dyndns update needed")
}

Создай в расписании WinBox:System->Scheduler задачу dyndomain@DynSchedule на запуск скрипта dyndomain@DynScript каждые 1-5 минут

/system script run dyndomain@DynScript

Настройка Firewall.

Базовые правила.

Создай  базовые правила фильтрации для входящих соединений:

/ip firewall filter

add chain=input comment="INPUT" protocol=icmp

add chain=input connection-state=established

add chain=input connection-state=related
...
add action=drop chain=input in-interface=ether10-sevstar

Создай базовые правила фильтрации и для проходящих соединений:

/ip firewall filter

add chain=forward comment="FORWARD" connection-state=established

add chain=forward connection-state=related

add action=drop chain=forward connection-state=invalid

Создай базовое правило NAT с маскарадом для интернет шлюза:

/ip firewall nat

add action=masquerade chain=srcnat comment="GATE NAT" out-interface=ether10-sevstar to-addresses=0.0.0.0

Защита DNS

Маршрутизатор получающий на WAN интерфейс белый реальный IP может подвергнуться DNS атакам из Интернет, при этом нагрузка на CPU вырастает до 100%. Для предотвращения этой проблемы заблокируй входящие UDP соединения на порт :53 правилом фильтра интерфейса:

add action=drop chain=input dst-port=53 in-interface=ether10-sevstar protocol=udp

или списка интерфейсов:

add action=drop chain=input dst-port=53 in-interface-list=WAN protocol=udp

Настройка доступа из WAN к локальному сервису в LAN (проброс порта, Forward).

Настрой фильтрацию внешнего порта (SMTP, POP, RDP):

/ip firewall filter

add action=accept chain=forward disabled=no dst-port=25 protocol=tcp

add action=accept chain=forward disabled=no dst-port=110 protocol=tcp

add action=accept chain=forward disabled=no dst-port=3389 protocol=tcp

Настрой перенаправление внешнего порта (SMTP, POP, RDP):

/ip firewall nat

add action=dst-nat chain=dstnat disabled=no dst-port=25 in-interface=ether10-sevstar protocol=tcp to-addresses=192.168.7.9 to-ports=25

add action=dst-nat chain=dstnat disabled=no dst-port=110 in-interface=ether10-sevstar protocol=tcp to-addresses=192.168.7.9 to-ports=110

add action=dst-nat chain=dstnat dst-port=33899 protocol=tcp to-addresses=192.168.7.9 to-ports=3389

wan-dstnat

Настройка доступа к сервису LAN из LAN по статическому WAN IP:

При соединении с сервисом по WAN IP, для которого существует правило перенаправления через роутер (чаще в ту же подсеть , но не обязательно) к соединению необходимо применить маскарад, чтобы ответные пакеты не застряли в роутере.

Создай дополнительное правило маскарада:local-masquerade

/ip firewall nat

add action=masquerade chain=srcnat dst-address=192.168.7.9 dst-port=3389 protocol=tcp src-address=192.168.7.0/24

Настройка доступа к сервису за мостом.

По неизвестной мне пока причине в каскаде маршрутизаторов простое перенаправление dstnat от внешнего MikroTik к внутреннему не работает, при этом входящие соединения зависают в состоянии «syn sent» и вскоре умирают. Чтобы решить эту проблему создай дополнительный srcnat маскарад:

/ip firewall filter

add action=accept chain=forward disabled=no dst-port=8292 protocol=tcp

/ip firewall nat

add action=dst-nat chain=dstnat disabled=no dst-port=8292 in-interface=ether10-sevstar protocol=tcp to-addresses=192.168.7.2 to-ports=8291

add action=masquerade chain=srcnat dst-address=192.168.7.2 dst-port=8291 protocol=tcp

Надо ли аналогично поступить с другими перенаправлениями решай экспериментально, т.к.  в одних случаях это требуется, а в других наоборот.

Изоляция сетей

Для изоляции подсетей между, которыми RouterOS выполняет маршрутизацию создай правило forward выполняющее drop соединений:

/ip firewall nat

add action=drop chain=forward disabled=no in-interface=bridge-guest out-interface=bridge-local

Если изоляция должна быть однонаправленной, то для соединений блокируемого направления определи состояние new:

/ip firewall nat

add action=drop chain=forward connection-state=new disabled=no in-interface=bridge-guest out-interface=bridge-local

Описанный способ для изоляции от беспроводной подсети wlan не сработал (причина исследуется).

Защита от флуда

Перенаправления dstnat к внутренним сервисам часто открывают возможность для интенсивных атак с целью подбора логина и пароля внутреннего сервиса. Чтобы существенно снизить интенсивность подбора примени фильтрацию IP с подозрительным характером соединений.

add action=add-src-to-address-list address-list=DropIP address-list-timeout=30m chain=input connection-limit=30,32 protocol=tcp connection-state=new

add action=drop chain=input src-address-list=DropIP

Источник вдохновения: mikrotik-ukraine.blogspot.ru

Особенности настройки при нескольких подключениях WAN

Создай правила создающие приоритет параметром distance:

/ip route

add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=ether10-sevstar scope=30 target-scope=10

add disabled=no distance=2 dst-address=0.0.0.0/0 gateway=sfp1 scope=30 target-scope=10

Для того, чтобы ответные пакеты соединений из WAN входящие по интерфейсус низким приоритетом направлялись в тот же интерфейс (в нарушение приоритета), входящие соединения следует маркировать. Для этого создай по паре правил маркирования источника подключений для каждого WAN интерфейса, по которому могут осуществляться входящие соединения:

 

/ip firewall mangle

add action=mark-connection chain=forward disabled=no in-interface=ether10-sevstar new-connection-mark=conf-sevstar passthrough=yes

add action=mark-routing chain=prerouting connection-mark=conf-sevstar disabled=no new-routing-mark=rt-sevstar passthrough=yes src-address=192.168.7.0/24
add action=mark-connection chain=forward disabled=no in-interface=ether1-optima new-connection-mark=conf-optima passthrough=yes

add action=mark-routing chain=prerouting connection-mark=conf-optima disabled=no new-routing-mark=rt-optima passthrough=yes src-address=192.168.7.0/24

 

Установленные маркеры соединений используются при маршрутизации. Создай отдельные правила маршрутизации для маркированных соединений:

/ip route

add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=ether1-optima routing-mark=rt-optima scope=30 target-scope=10

add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=ether10-sevstar routing-mark=rt-sevstar scope=30 target-scope=10

Доступ к сервису сети из wan на внешний порт: !!!

/ip firewall nat

add action=dst-nat chain=dstnat comment="RDP EXAMPLE" dst-address=31.28.255.56    dst-port=33899 protocol=tcp to-addresses=192.168.7.9 to-ports=3389

Использование Fasttrack

Опция IPv4 FastTrack используется для автоматической маркировки соединений. Только TCP и UDP соединения могут быть маркированы. IPv4 FastTrack поддерживает NAT (SNAT, DNAT или оба). Обрати внимание, что не все пакеты в соединении могут быть переданы с помощью fasttrack, даже, если они промаркированы соответствующим образом. По этой причине fasttrack-соединение идет после идентичного правила action=accept. Fasttrack пакеты обходят файерволл, трассировку соединений, простые очереди, дерево очередей с parent=global, учет ip-трафика, IPSec, универсальный клиент hotspot, распределение vrf. По этой причине администратор должен внимательно следить что бы fasttrack не накладывалась с другими настройками маршрутизатора.

Fasttrack включается и выключается в Winbox:IP->Settings опциями:

  • Allow Fast Path
  • IPv4 Fasttrack Active

Простейшее применение правила в Firewall Filter в первую очередь:

/ip firewall filter add chain=forward action=fasttrack-connection connection-state=established,related

/ip firewall filter add chain=forward action=accept connection-state=established,related

Источник: mikrotik.vetriks.ru

Динамическое открытие портов UPnP

Для P2P приложений войди WinBox:IP->UPnP и разреши UPnP. Там же войди в Interfaces и добавь порт ISP как External, а мост как Internal.upnp

/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=bridge-local type=internal
add interface=ether10-sevstar type=external

Туннели VPN

Сервер

!!! Войди WinBox:PPP->Secrets

Фишки

Тестирование кабеля

Тестирование кабеля: WinBox:Interfaces-><нужный порт>->[Cable test]cable-test

interface ethernet cable-test <имя порта>

Оверклокинг

Посмотри нагрузку на центральный процессор в WinBox:System->Resources. Если устройство Mikrotik не справляется, центральный процессор можно немного разогнать в WinBox:System->RouterBOARD->Settings->CPU Frequency.

IPTV IGMP Proxy

Тем, у кого провайдер раздает IPTV, поможет еще установка пакета multicast-x.xx-mipsbe.npk и настройка Routing -> IGMP Proxy -> + -> в списке Interfaces выбрать порт, куда входит интернет от провайдера и поставить галочку на Upstream. В поле Alternative Subnets надо указать данные подсети либо, если кому лень — просто 0.0.0.0/0. -> OK
 Затем еще раз жмем плюсик -> выбираем порт, в который будет подключена приставка или же бридж, если есть желание просмотра IPTV на мобильных устройствах -> ставим галочку на Querier.
 Можно добавить еще /interface wireless Set 0 multicast-helper=full

Обновление Router OS

  • Версия firmware отображается в WinBox:System->Routerboard.
  • Версия Router OS отображается в WinBox:New terminal.

Автоматическое обновление

Для автоматического обновления в WinBox:System->Packages нажими Check for Updates.

Ручное обновление

  • Загрузи обновление с официального сайта mikrotik.com или mikrotik.ru
  • Файл обновления брось в корень WinBox:Files
  • Перезагрузи WinBox:System->Reboot
  • Проверь версию

Даунгрейд Router OS

Чтобы вернуть предыдущую версию прошивки Router OS:

    1. на сайте Mikrotik выбери в соответствии с серией оборудования и загрузи файл прошивки .npk.
    2. Помести файл в корень Winbox:Files.
    3. Выполни в терминале команду:
system package downgrade
  1. После ребута, возможно, потребуется выполнить аппаратный сброс настроек.

Обновление в малом объеме Flash 16MB

http://mikrotik-ukraine.blogspot.com/2016/09/flash-mikrotik.html

Управление отдельными пакетами

Включи или отключи пакеты входящие в состав RouterOS или загруженные дополнительно в WinBox:IP->System->Packages.

После внесения изменений в набор разрешенных и/или установленных пакетов, RouterOS необходимо перезагрузить.

/system package enable ppp; /system reboot; 
Reboot, yes? [y/N]:

Сохранение конфигурации

Сохрани конфигурацию:

system backup save name=<.backup filename>

Восстановление конфигурации выполняется только на том же устройстве:

system…

И дополнительно сохрани скрипт конфигурации:

export file=<.rsc filename>

Файлы сохранений будут находится в WinBox:Files с расширениями соответственно *.backup и .rsc

Перенос конфигурации

а

/system reset-configuration no-defaults=yes

import <.rsc filename>

Источники

Настройка маршрутизатора Mikrotik: 2 комментария

  1. Hi. I see that you don’t update your site too often. I know that writing content is time consuming and boring.
    But did you know that there is a tool that allows you to create new articles using existing content (from article directories or other websites from your niche)?

    And it does it very well. The new articles are unique and pass the copyscape test.
    Search in google and try: miftolo’s tools

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *