Настройка маршрутизатора Mikrotik

Функциональность продуктов MikroTik реализуется сетевой операционной системой RouterOS на базе Linux. Ниже приведен план настройки RouterOS для работы в качестве шлюза офисной или домашней локальной сети.

 RouterOS Documentation //help.mikrotik.com
Свободно доступный эмулятор RouterOS //demo.mt.lv/webfig/

( статья находится в перманентной доработке, бесконечно удаляющейся от близкого завершения)

Начало

В фабричной конфигурации web-консоль маршрутизатора следует искать по адресу http://192.168.88.1:80 в любом порту (лучше не первом и не последнем). По умолчанию логин admin не имеет пароля. Скачай WinBox с начальной страницы и приступай к настройкам.web

Winbox

Утилиту управления Winbox в старых версиях прошивок можно было скачать из самого маршрутизатора по ссылке http://192.168.88.1/winbox/winbox.exe, но последние прошивки уже отсылают на сайт //www.mikrotik.com.

Сброс конфигурации

Если считаешь нужным полностью сбросить все предыдущие настройки устройства к заводским, выбери WinBox:System->Reset configuration или выполни команду в терминале:

Аппаратный сброс настроек (если получить доступ к настройке иначе не получается) выполняется нажатием Reset в выключенном состоянии и затем включением устройства. В некоторых случаях (например: SXT Lite2) порядок сброса пароля может быть сложней:

Настройки LAN

Настройка адреса маршрутизатора

RouterOS позволяет произвольно настроить собственный адрес для каждого физического или виртуального интерфейса или моста, и по каждому из них маршрутизатор будет доступен. В частном упрощенном смысле адресом маршрутизатора можно назвать адрес основного моста локальных интерфейсов.

Войди WinBox:IP->Addresses и измени адрес и маску интерфейса основного моста bridge-local:

Важно: в значении адреса после собственно ip-адреса необходимо обязательно через слеш указать числовой префикс подсети, если это не сделать маршрутизация в другие подсети может не работать!

Планирование и настройка независимых подсетей

Мост bridge-local по умолчанию включает в себя почти все интерфейсы включая беспроводный, исключая интерфейс выделенный базовой настройкой для ISP (обычно это первый интерфейс ether1). RouterOS позволяет настроить произвольное число изолированных подсетей объединяющих в своем составе произвольный набор портов/интерфейсов.

Внимание! Манипулируя интерфейсами, мостами и адресами можно нарушить структуру привязки ip-адреса к интерфейсу, через который выполняется управление, при этом связь Winbox с роутером будет потеряна, но ничего страшного в этом нет, т.к. Winbox сможет подключиться по mac-адресу, если такая возможность разрешена. Поэтому прежде настрой в WinBox:Tools->MAC Server->Winbox Interface разрешение для всех нужных портов.Для создания независимых подсетей из нескольких интерфейсов создай соответствующие им мосты в WinBox:Bridge.

Каждому мосту назначь свой адрес и маску в WinBox:IP->Addresses.

Выдели мастер-порты и привяжи их к нужным мостам Bridge->Ports.bridge-ports

Привяжи подчиненные интерфейсы к их мастер-мастеринтерфейсам в Interfaces.

Интерфейсам выделенным для подключение провайдеров ISP назначенные мастер-интерфейсы отмени.

Списки интерфейсов

Интерфейсы со сходным назначением для упрощения создания правил объедини в списки интерфейсов в WinBox:IP->Interfaces->Interface List.

Списки интерфейсов появились начиная с RouterOS 6.36

Настройка подключений Интернет ISP

Статический IP

Настрой необходимый статический IP на WAN интерфейсе WinBox:IP->Addresses:

Важно! Для статического адреса WAN маршрут шлюза и DNS сервер не устанавливаются автоматически, поэтому их необходимо задавать вручную.

Динамический IP по DHCP

Порт Ethernet выделенный для ISP настрой клиентом DHCP в WinBox:IP->DHCP Client. Если DNS сервера получаемые по DHCP не нужны, отключи опцию User Peer DNS. Если автоматическая настройка маршрута не требуется, в Add Default Route установи no. Для снижения приоритета маршрута увеличь дистанцию в Default Route Distance.wan-dhcp

Подмена mac-адреса

Подмени mac порта ISP, если этого требует провайдер:

Подключение PPTP

В WinBox:Interfaces создай новый интерфейс типа PPTP Client:

pptp

В некоторых системах наблюдалась нестабильная работа HTTPS через соединение PPTP с штатным значением Max MTU. Проблема разрешилась уменьшением Max MTU и Max MRU до 1300. Источник решения: forum.nag.ru

Подключение PPPoE

В WinBox:Interfaces создай новый интерфейс типа PPPoE Client:pppoe

Настройка маршрутизации

Каждый интерфейс с настроенным клиентом DHCP при успешном получении адреса автоматически создает динамические правила маршрутизации, поэтому в простейшем случае при единственном подключении к провайдеру настройку маршрутизации выполнять не надо.

Для увеличения скорости маршрутизации включи в WinBox:IP->Settings разрешения Allow Fast Path и IPv4 Fasttrack Active.

Статическая маршрутизация

В тех случаях, когда подключение к Интернет выполняется поверх сети TCPIP (например: PPTP, PPPOE, VPN и другие), но некоторые сервисы сети должны остаться доступны и маршрутизироваться не через шлюз провайдера Интернет, это надо настроить статическим маршрутом, указав целевую подсеть и соответствующий ей интерфейс.

Подробный мануал на //wiki.mikrotik.com

Настройка локального DHCP

Назначь пул адресов WinBox:IP->Pool:

dhcp-pool

Настрой WinBox:IP->DHCP Server на основной закладке. На закладке Networks настройка параметры Gateway, DNS Server, Domain, NTP и все, что еще сочтешь нужным:dhcp-srv

Настройка DNS

В настройках WinBox:IP->DNS разреши Allow Remote Requestsdns-set

Настрой разрешение для статических имен:dns-stat

Настройка Wi-Fi

В WinBox:Wireless->Security profiles создай профиль безопасности wpa2-protected типа WPA SPK + WPA2 SPK, отметь оба aes ccm. Задай пароль.wpa-sec

Если беспроводный интерфейс не активен, в WinBox:Wireless->Interfaces открой интерфейс и на закладке General нажми Enable.

Открой окно настроек беспроводного интерфейса и нажми кнопку Advanced Mode для отображения во всех закладках полного набора настроек.

На закладке Wireless установи:

  • режим Mode: ap-bridge
  • диапазон Band: 2GHz-B/G/N,
  • полосу Chanel Width: 20MHz,
  • частоту Frequency 2412..2484MHz  соответствующие канала #1..#14 (о каналах)
  • задай имя сети SSID,
  • беспроводный протокол Wireless Protocol: any (и хотя логичным кажется 802.11, но на практике некоторые мобильные устройства в этом режиме не могут пройти авторизацию)
  • выбери созданный профиль безопасности Security Profile.
  • мультимедиа расширение WMM Support в сетях общего пользования рекомендуют отключать.
  • режим моста разреши Bridge Mode: enable.
  • по умолчанию авторизацию Default Authenticate и передачу Default Forward разреши.wifi

Для дополнительных настроек Wireless и управления мощностью на закладке TxPower нажми кнопку [Advanced Mode]wifi-adv

Инфо: "Защита Wi-Fi в Mikrotik" mikrotik-ukraine.blogspot.com

Имя

Дай имя маршрутизатору WinBox:System->Identity:

Время

Зайди WinBox:System->Clock и установи правильный часовой пояс, затем установи правильные дату и время.

Зайди WinBox:SNTP Client и настрой сервер обновления времени. Например:

  • pool.ntp.org
  • ntp.time.in.ua

Обзор сетей

Отключи протокол обнаружения соседей MNDP для wan и других интерфесов где он не нужен IP->Neighbors:mndp

Службы

Открой список служб WinBox:IP->Services и отключи ненужные, при необходимости порты служб можно изменить:svc-list

В обычном случае службы winbox :8291 достаточно, остальные можно отключить.

Для доступа к портам служб может потребоваться открыть порт в WinBox:IP->Firewall->Filter Rules.

Настройка DynDNS

Создай скрипт обновления dyndomain@DynScript в WinBox:System->Scripts

Создай в расписании WinBox:System->Scheduler задачу dyndomain@DynSchedule на запуск скрипта dyndomain@DynScript каждые 1-5 минут

Настройка Firewall.

Базовые правила.

Создай  базовые правила фильтрации для входящих соединений:

Создай базовые правила фильтрации и для проходящих соединений:

Создай базовое правило NAT с маскарадом для интернет шлюза:

Защита DNS

Маршрутизатор получающий на WAN интерфейс белый реальный IP может подвергнуться DNS атакам из Интернет, при этом нагрузка на CPU вырастает до 100%. Для предотвращения этой проблемы заблокируй входящие UDP соединения на порт :53 правилом фильтра интерфейса:

или списка интерфейсов:

Настройка доступа из WAN к локальному сервису в LAN (проброс порта, Forward).

Настрой фильтрацию внешнего порта (SMTP, POP, RDP):

Настрой перенаправление внешнего порта (SMTP, POP, RDP):

wan-dstnat

Настройка доступа к сервису LAN из LAN по статическому WAN IP:

При соединении с сервисом по WAN IP, для которого существует правило перенаправления через роутер (чаще в ту же подсеть , но не обязательно) к соединению необходимо применить маскарад, чтобы ответные пакеты не застряли в роутере.

Создай дополнительное правило маскарада:local-masquerade

Настройка доступа к сервису за мостом.

По неизвестной мне пока причине в каскаде маршрутизаторов простое перенаправление dstnat от внешнего MikroTik к внутреннему не работает, при этом входящие соединения зависают в состоянии "syn sent" и вскоре умирают. Чтобы решить эту проблему создай дополнительный srcnat маскарад:

Надо ли аналогично поступить с другими перенаправлениями решай экспериментально, т.к.  в одних случаях это требуется, а в других наоборот.

Изоляция сетей

Для изоляции подсетей между, которыми RouterOS выполняет маршрутизацию создай правило IP-Routs-Rules

!!! forward выполняющее drop соединений:

Если изоляция должна быть однонаправленной, то для соединений блокируемого направления определи состояние new:

Описанный способ для изоляции от беспроводной подсети wlan не сработал (причина исследуется).

Защита от флуда

Перенаправления dstnat к внутренним сервисам часто открывают возможность для интенсивных атак с целью подбора логина и пароля внутреннего сервиса. Чтобы существенно снизить интенсивность подбора примени фильтрацию IP с подозрительным характером соединений.

Источник вдохновения: mikrotik-ukraine.blogspot.ru

Обход Антироутинга

Пример управления счетчиком TTL от мониторинга провайдера:

Особенности настройки при нескольких подключениях WAN

Создай правила создающие приоритет параметром distance:

Для того, чтобы ответные пакеты соединений из WAN входящие по интерфейсу с низким приоритетом направлялись в тот же интерфейс (в нарушение приоритета), входящие соединения следует маркировать. Для этого создай по паре правил маркирования источника подключений для каждого WAN интерфейса, по которому могут осуществляться входящие соединения:

Установленные маркеры соединений используются при маршрутизации. Создай отдельные правила маршрутизации для маркированных соединений:

Доступ к сервису сети из wan на внешний порт: !!!

Использование Fasttrack

Опция IPv4 FastTrack используется для автоматической маркировки соединений. Только TCP и UDP соединения могут быть маркированы. IPv4 FastTrack поддерживает NAT (SNAT, DNAT или оба). Обрати внимание, что не все пакеты в соединении могут быть переданы с помощью fasttrack, даже, если они промаркированы соответствующим образом. По этой причине fasttrack-соединение идет после идентичного правила action=accept. Fasttrack пакеты обходят файерволл, трассировку соединений, простые очереди, дерево очередей с parent=global, учет ip-трафика, IPSec, универсальный клиент hotspot, распределение vrf, по этой причине администратор должен внимательно следить что бы fasttrack не накладывалась с другими настройками маршрутизатора.

Fasttrack включается и выключается в Winbox:IP->Settings опциями:

  • Allow Fast Path
  • IPv4 Fasttrack Active

Правила применение Fasttrack в правилах Firewall Filter должны быть лидирующими:

Источник: mikrotik.vetriks.ru

Протоколы универсальной автоматической настройки сетевых устройств UPnP

Для облегчения жизни P2P приложений войди WinBox:IP->UPnP и разреши UPnP. Там же войди в Interfaces и добавь интерфейс ISP как External, а локальный мост как Internal. Имей ввиду, что при использовании интерфейса подключения типа PPTP, в качестве External надо указать его, вместо физического интерфейса.upnp

Туннели VPN

Сервер

!!! Войди WinBox:PPP->Secrets

Фишки

Тестирование кабеля

Тестирование кабеля: WinBox:Interfaces-><нужный порт>->[Cable test]cable-test

Оверклокинг

Посмотри нагрузку на центральный процессор в WinBox:System->Resources. Если устройство Mikrotik не справляется, центральный процессор можно немного разогнать в WinBox:System->RouterBOARD->Settings->CPU Frequency.

IPTV IGMP Proxy

Тем, у кого провайдер раздает IPTV, поможет еще установка пакета multicast-x.xx-mipsbe.npk и настройка Routing -> IGMP Proxy -> + -> в списке Interfaces выбрать порт, куда входит интернет от провайдера и поставить галочку на Upstream. В поле Alternative Subnets надо указать данные подсети либо, если кому лень — просто 0.0.0.0/0. -> OK
Затем еще раз жмем плюсик -> выбираем порт, в который будет подключена приставка или же бридж, если есть желание просмотра IPTV на мобильных устройствах -> ставим галочку на Querier.
Можно добавить еще:

Обновление Router OS

  • Версия firmware отображается в WinBox:System->Routerboard.
  • Версия Router OS отображается в WinBox:New terminal.

Автоматическое обновление

Для автоматического обновления в WinBox:System->Packages нажми Check for Updates.

Ручное обновление

  • Загрузи обновление с официального сайта mikrotik.com или mikrotik.ru
  • Файл обновления брось в корень WinBox:Files
  • Перезагрузи WinBox:System->Reboot
  • Проверь версию

Даунгрейд Router OS

Чтобы вернуть предыдущую версию прошивки Router OS:

    1. на сайте Mikrotik выбери в соответствии с серией оборудования и загрузи файл прошивки .npk.
    2. Помести файл в корень Winbox:Files.
    3. Выполни в терминале команду:

  1. После ребута, возможно, потребуется выполнить аппаратный сброс настроек.

Обновление в малом объеме Flash 16MB

http://mikrotik-ukraine.blogspot.com/2016/09/flash-mikrotik.html

Управление отдельными пакетами

Включи или отключи пакеты входящие в состав RouterOS или загруженные дополнительно в WinBox:IP->System->Packages.

После внесения изменений в набор разрешенных и/или установленных пакетов, RouterOS необходимо перезагрузить.

Сохранение конфигурации

Сохранение конфигурации позволяет восстановить ее на том же устройстве. Команда сохранения конфигурации позволяет задать имя файла:

Восстановление конфигурации выполняется командой с именем файла:

Скрипт конфигурации - это текст, который содержит полный набор команд приводящий маршрутизатор к текущей конфигурации. Скрипт позволяет проверить его, и использовать полностью или частично для конфигурирования любых маршрутизаторов под RouterOS. Команда сохранения скрипта позволяет задать имя файла:

Файлы Support Output также содержат сохранение конфигурации, но используется для отправки для получения технической поддержки. Команда записи файла supout.rif позволяет задать имя файла:

Файлы всех видов сохранения создаются в WinBox:Files с расширениями соответственно .backup, .rsc и .rif

Восстановление или перенос конфигурации

Восстановить конфигурацию или перенести ее на однотипное устройство с той же версией RouterOS можно используя файл скрипта конфигурации. Импорту конфигурации должен предшествовать полный сброс текущей конфигурации без установки конфигурации по умолчанию:

Источники

Leave a Reply to Anonymous Cancel reply