Функциональность продуктов MikroTik реализуется сетевой операционной системой RouterOS на базе Linux. Ниже приведен план настройки RouterOS для работы в качестве шлюза офисной или домашней локальной сети.
RouterOS Documentation //help.mikrotik.com
Свободно доступный эмулятор RouterOS //demo.mt.lv/webfig/
( статья находится в перманентной доработке, бесконечно удаляющейся от близкого завершения)
Начало
В фабричной конфигурации web-консоль маршрутизатора следует искать по адресу http://192.168.88.1:80 в любом порту (лучше не первом и не последнем). По умолчанию логин admin не имеет пароля. Скачай WinBox с начальной страницы и приступай к настройкам.
Winbox
Утилиту управления Winbox в старых версиях прошивок можно было скачать из самого маршрутизатора по ссылке http://192.168.88.1/winbox/winbox.exe, но последние прошивки уже отсылают на сайт //www.mikrotik.com.
Сброс конфигурации
Если считаешь нужным полностью сбросить все предыдущие настройки устройства к заводским, выбери WinBox:System->Reset configuration или выполни команду в терминале:
1 |
/system reset |
Аппаратный сброс настроек (если получить доступ к настройке иначе не получается) выполняется нажатием Reset в выключенном состоянии и затем включением устройства. В некоторых случаях (например: SXT Lite2) порядок сброса пароля может быть сложней:
1 2 3 4 5 |
1.выключи устройство 2.зажми Reset и включи устройство 3.дождись мигания (~ через 5сек) 4.отпусти Reset 5.дождись завершения загрузки устройства |
Настройки LAN
Настройка адреса маршрутизатора
RouterOS позволяет произвольно настроить собственный адрес для каждого физического или виртуального интерфейса или моста, и по каждому из них маршрутизатор будет доступен. В частном упрощенном смысле адресом маршрутизатора можно назвать адрес основного моста локальных интерфейсов.
Войди WinBox:IP->Addresses и измени адрес и маску интерфейса основного моста bridge-local:
1 2 |
/ip address add address=192.168.7.1/24 interface=bridge-local network=192.168.7.0 |
Важно: в значении адреса после собственно ip-адреса необходимо обязательно через слеш указать числовой префикс подсети, если это не сделать маршрутизация в другие подсети может не работать!
Планирование и настройка независимых подсетей
Мост bridge-local по умолчанию включает в себя почти все интерфейсы включая беспроводный, исключая интерфейс выделенный базовой настройкой для ISP (обычно это первый интерфейс ether1). RouterOS позволяет настроить произвольное число изолированных подсетей объединяющих в своем составе произвольный набор портов/интерфейсов.
Внимание! Манипулируя интерфейсами, мостами и адресами можно нарушить структуру привязки ip-адреса к интерфейсу, через который выполняется управление, при этом связь Winbox с роутером будет потеряна, но ничего страшного в этом нет, т.к. Winbox сможет подключиться по mac-адресу, если такая возможность разрешена. Поэтому прежде настрой в WinBox:Tools->MAC Server->Winbox Interface разрешение для всех нужных портов.Для создания независимых подсетей из нескольких интерфейсов создай соответствующие им мосты в WinBox:Bridge.
Каждому мосту назначь свой адрес и маску в WinBox:IP->Addresses.
Выдели мастер-порты и привяжи их к нужным мостам Bridge->Ports.
1 2 3 4 5 |
/interface bridge port add bridge=bridge-local interface=sfp1 add bridge=bridge-local interface=wlan1 add bridge=bridge-local interface=ether1-master-a add bridge=bridge-local interface=ether6-master-b |
Привяжи подчиненные интерфейсы к их мастер-мастеринтерфейсам в Interfaces.
Интерфейсам выделенным для подключение провайдеров ISP назначенные мастер-интерфейсы отмени.
1 2 3 4 5 6 7 |
/interface ethernet set [ find default-name=ether1 ] name=ether1-master-a set [ find default-name=ether2 ] master-port=ether1-master-a name=ether2-slave-a ... set [ find default-name=ether6 ] name=ether6-master-b set [ find default-name=ether7 ] master-port=ether6-master-b name=ether7-slave-b ... |
Списки интерфейсов
Интерфейсы со сходным назначением для упрощения создания правил объедини в списки интерфейсов в WinBox:IP->Interfaces->Interface List.
1 2 3 4 5 |
/interface list add name=WAN /interface list member add interface=eth01-ssky list=WAN add interface=eth10-sstar list=WAN |
Списки интерфейсов появились начиная с RouterOS 6.36
Настройка подключений Интернет ISP
Статический IP
Настрой необходимый статический IP на WAN интерфейсе WinBox:IP->Addresses:
Важно! Для статического адреса WAN маршрут шлюза и DNS сервер не устанавливаются автоматически, поэтому их необходимо задавать вручную.
1 2 3 4 5 |
/ip address add address=185.71.81.218/30 interface=ether1-gateway network=185.71.81.216 disabled=no /ip route add distance=1 dst-address=0.0.0.0/0 gateway=185.71.81.217 scope=30 target-scope=10 disabled=no |
Динамический IP по DHCP
Порт Ethernet выделенный для ISP настрой клиентом DHCP в WinBox:IP->DHCP Client. Если DNS сервера получаемые по DHCP не нужны, отключи опцию User Peer DNS. Если автоматическая настройка маршрута не требуется, в Add Default Route установи no. Для снижения приоритета маршрута увеличь дистанцию в Default Route Distance.
1 2 |
/ip dhcp-client add comment="WAN DHCP" dhcp-options=hostname,clientid disabled=no interface=ether10-sevstar |
Подмена mac-адреса
Подмени mac порта ISP, если этого требует провайдер:
1 |
/interface ethernet set [ find default-name=ether10 ] mac-address=00:11:22:33:44:55 name=ether10-sevstar |
Подключение PPTP
В WinBox:Interfaces создай новый интерфейс типа PPTP Client:
1 2 |
/interface pptp-client add add-default-route=yes allow=pap,chap,mschap1,mschap2 connect-to=10.10.111.4 dial-on-demand=no disabled=no max-mru=1460 max-mtu=1460 mrru=disabled name=pptp-sevstar password=xxxxxx profile=default user=hmnu12xxxx |
В некоторых системах наблюдалась нестабильная работа HTTPS через соединение PPTP с штатным значением Max MTU. Проблема разрешилась уменьшением Max MTU и Max MRU до 1300. Источник решения: forum.nag.ru
Подключение PPPoE
В WinBox:Interfaces создай новый интерфейс типа PPPoE Client:
1 2 |
/interface pppoe-client add ac-name="" add-default-route=no allow=pap,chap,mschap1,mschap2 dial-on-demand=no disabled=no interface=ether5-vega max-mru=1480 max-mtu=1480 mrru=disabled name=pppoe-vega password=xxxxxxxx profile=default service-name="" use-peer-dns=no user=seaborn |
Настройка маршрутизации
Каждый интерфейс с настроенным клиентом DHCP при успешном получении адреса автоматически создает динамические правила маршрутизации, поэтому в простейшем случае при единственном подключении к провайдеру настройку маршрутизации выполнять не надо.
Для увеличения скорости маршрутизации включи в WinBox:IP->Settings разрешения Allow Fast Path и IPv4 Fasttrack Active.
1 2 3 |
?/ip settings set allow-fast-path=yes ?/ip firewall filter add chain=forward connection-state=established,related ?/ip firewall filter add chain=forward action=fasttrack-connection connection-state=established,related |
Статическая маршрутизация
В тех случаях, когда подключение к Интернет выполняется поверх сети TCPIP (например: PPTP, PPPOE, VPN и другие), но некоторые сервисы сети должны остаться доступны и маршрутизироваться не через шлюз провайдера Интернет, это надо настроить статическим маршрутом, указав целевую подсеть и соответствующий ей интерфейс.
1 |
/ip route add dst-address=192.168.1.0/24 gateway=ether10-isp |
Подробный мануал на //wiki.mikrotik.com
Настройка локального DHCP
Назначь пул адресов WinBox:IP->Pool:
1 2 |
/ip pool add name=default-pool ranges=192.168.7.2-192.168.7.254 |
Настрой WinBox:IP->DHCP Server на основной закладке. На закладке Networks настройка параметры Gateway, DNS Server, Domain, NTP и все, что еще сочтешь нужным:
1 2 3 |
/ip dhcp-server add address-pool=default-pool disabled=no interface=bridge-local name=dhcp/ip dhcp-server network add address=192.168.7.0/24 comment="default configuration" dns-server=192.168.7.1 gateway=192.168.7.1 netmask=24 |
1 2 |
/ip dhcp-server network add address=192.168.7.0/24 comment="DHCP configuration" dns-server=192.168.7.1 gateway=192.168.7.1 netmask=24 |
Настройка DNS
В настройках WinBox:IP->DNS разреши Allow Remote Requests
1 2 |
/ip dns set allow-remote-requests=yes |
Настрой разрешение для статических имен:
1 2 3 |
/ip dns static add address=192.168.7.1 name=router add address=127.0.0.1 name=mpa.one.microsoft.com |
Настройка Wi-Fi
В WinBox:Wireless->Security profiles создай профиль безопасности wpa2-protected типа WPA SPK + WPA2 SPK, отметь оба aes ccm. Задай пароль.
1 2 |
/interface wireless security-profiles set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk group-ciphers=aes-ccm mode=dynamic-keys unicast-ciphers=aes-ccm wpa-pre-shared-key=sevgot25 wpa2-pre-shared-key=mypassword |
Если беспроводный интерфейс не активен, в WinBox:Wireless->Interfaces открой интерфейс и на закладке General нажми Enable.
Открой окно настроек беспроводного интерфейса и нажми кнопку Advanced Mode для отображения во всех закладках полного набора настроек.
На закладке Wireless установи:
- режим Mode: ap-bridge
- диапазон Band: 2GHz-B/G/N,
- полосу Chanel Width: 20MHz,
- частоту Frequency 2412..2484MHz соответствующие канала #1..#14 (о каналах)
- задай имя сети SSID,
- беспроводный протокол Wireless Protocol: any (и хотя логичным кажется 802.11, но на практике некоторые мобильные устройства в этом режиме не могут пройти авторизацию)
- выбери созданный профиль безопасности Security Profile.
- мультимедиа расширение WMM Support в сетях общего пользования рекомендуют отключать.
- режим моста разреши Bridge Mode: enable.
- по умолчанию авторизацию Default Authenticate и передачу Default Forward разреши.
Для дополнительных настроек Wireless и управления мощностью на закладке TxPower нажми кнопку [Advanced Mode]
1 2 |
/interface wireless set [ find default-name=wlan1 ] adaptive-noise-immunity=ap-and-client-mode band=2ghz-b/g/n channel-width=20/40mhz-ht-above country=russia disabled=no distance=indoors frequency=2452 ht-rxchains=0,1 ht-txchains=0,1 hw-protection-mode=rts-cts l2mtu=2290 mode=ap-bridge ssid=DrMT tx-power=20 tx-power-mode=all-rates-fixed |
Инфо: "Защита Wi-Fi в Mikrotik" mikrotik-ukraine.blogspot.com
Имя
Дай имя маршрутизатору WinBox:System->Identity:
1 2 |
/system identity set name=CoTik |
Время
Зайди WinBox:System->Clock и установи правильный часовой пояс, затем установи правильные дату и время.
1 2 |
/system clock set time-zone-name=Europe/Kiev |
Зайди WinBox:SNTP Client и настрой сервер обновления времени. Например:
- pool.ntp.org
- ntp.time.in.ua
1 2 |
/system ntp client set enabled=yes primary-ntp=91.236.251.29 secondary-ntp=62.149.0.30 |
Обзор сетей
Отключи протокол обнаружения соседей MNDP для wan и других интерфесов где он не нужен IP->Neighbors:
1 2 3 |
/ip neighbor discovery set ether10-sevstar discover=no set sfp1 discover=no |
Службы
Открой список служб WinBox:IP->Services и отключи ненужные, при необходимости порты служб можно изменить:
1 2 3 4 5 6 7 8 9 |
/ip service set api disabled=yes set api-ssl disabled=yes set ftp disabled=yes set ssh disabled=yes set telnet disabled=yes set winbox disabled=no set www disabled=no set www-ssl disabled=yes |
В обычном случае службы winbox :8291 достаточно, остальные можно отключить.
Для доступа к портам служб может потребоваться открыть порт в WinBox:IP->Firewall->Filter Rules.
Настройка DynDNS
Создай скрипт обновления dyndomain@DynScript в WinBox:System->Scripts
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 |
# Set needed variables :local username "dynlogin" :local password "dynpass" :local hostname "dyndomain.dyndns.org" :global dyndnsForce :global previousIP # print some debug info :log info ("UpdateDynDNS: username = $username") :log info ("UpdateDynDNS: password = $password") :log info ("UpdateDynDNS: hostname = $hostname") :log info ("UpdateDynDNS: previousIP = $previousIP") # get the current IP address from the internet (in case of double-nat) /tool fetch mode=http address="checkip.dyndns.org" src-path="/" dst-path="/dyndns.checkip.html" :delay 1 :local result [/file get dyndns.checkip.html contents] # parse the current IP result :local resultLen [:len $result] :local startLoc [:find $result ": " -1] :set startLoc ($startLoc + 2) :local endLoc [:find $result "</body>" -1] :local currentIP [:pick $result $startLoc $endLoc] :log info "UpdateDynDNS: currentIP = $currentIP" # Remove the # on next line to force an update every single time - useful for debugging, # but you could end up getting blacklisted by DynDNS! #:set dyndnsForce true # Determine if dyndns update is needed # more dyndns updater request details http://www.dyndns.com/developers/specs/syntax.html :if (($currentIP != $previousIP) || ($dyndnsForce = true)) do={ :set dyndnsForce false :set previousIP $currentIP :log info "$currentIP or $previousIP" /tool fetch user=$username password=$password mode=http address="members.dyndns.org" \ src-path="nic/update?system=dyndns&hostname=$hostname&myip=$currentIP&wildcard=no" \ dst-path="/dyndns.txt" :delay 1 :local result [/file get dyndns.txt contents] :log info ("UpdateDynDNS: Dyndns update needed") :log info ("UpdateDynDNS: Dyndns Update Result: ".$result) :put ("Dyndns Update Result: ".$result) } else={ :log info ("UpdateDynDNS: No dyndns update needed") } |
Создай в расписании WinBox:System->Scheduler задачу dyndomain@DynSchedule на запуск скрипта dyndomain@DynScript каждые 1-5 минут
1 |
/system script run dyndomain@DynScript |
Настройка Firewall.
Базовые правила.
Создай базовые правила фильтрации для входящих соединений:
1 2 3 4 5 6 |
/ip firewall filter add chain=input comment="INPUT" protocol=icmp add chain=input connection-state=established add chain=input connection-state=related ... add action=drop chain=input in-interface=ether10-sevstar |
Создай базовые правила фильтрации и для проходящих соединений:
1 2 3 4 |
/ip firewall filter add chain=forward comment="FORWARD" connection-state=established add chain=forward connection-state=related add action=drop chain=forward connection-state=invalid |
Создай базовое правило NAT с маскарадом для интернет шлюза:
1 2 |
/ip firewall nat add action=masquerade chain=srcnat comment="GATE NAT" out-interface=ether10-sevstar to-addresses=0.0.0.0 |
Защита DNS
Маршрутизатор получающий на WAN интерфейс белый реальный IP может подвергнуться DNS атакам из Интернет, при этом нагрузка на CPU вырастает до 100%. Для предотвращения этой проблемы заблокируй входящие UDP соединения на порт :53 правилом фильтра интерфейса:
1 |
/ip firewall filter add action=drop chain=input dst-port=53 in-interface=ether10-sevstar protocol=udp |
или списка интерфейсов:
1 |
/ip firewall filter add action=drop chain=input dst-port=53 in-interface-list=WAN protocol=udp |
Настройка доступа из WAN к локальному сервису в LAN (проброс порта, Forward).
Настрой фильтрацию внешнего порта (SMTP, POP, RDP):
1 2 3 4 |
/ip firewall filter add action=accept chain=forward disabled=no dst-port=25 protocol=tcp add action=accept chain=forward disabled=no dst-port=110 protocol=tcp add action=accept chain=forward disabled=no dst-port=3389 protocol=tcp |
Настрой перенаправление внешнего порта (SMTP, POP, RDP):
1 2 3 4 |
/ip firewall nat add action=dst-nat chain=dstnat disabled=no dst-port=25 in-interface=ether10-sevstar protocol=tcp to-addresses=192.168.7.9 to-ports=25 add action=dst-nat chain=dstnat disabled=no dst-port=110 in-interface=ether10-sevstar protocol=tcp to-addresses=192.168.7.9 to-ports=110 add action=dst-nat chain=dstnat dst-port=33899 protocol=tcp to-addresses=192.168.7.9 to-ports=3389 |
Настройка доступа к сервису LAN из LAN по статическому WAN IP:
При соединении с сервисом по WAN IP, для которого существует правило перенаправления через роутер (чаще в ту же подсеть , но не обязательно) к соединению необходимо применить маскарад, чтобы ответные пакеты не застряли в роутере.
Создай дополнительное правило маскарада:
1 2 |
/ip firewall nat add action=masquerade chain=srcnat dst-address=192.168.7.9 dst-port=3389 protocol=tcp src-address=192.168.7.0/24 |
Настройка доступа к сервису за мостом.
По неизвестной мне пока причине в каскаде маршрутизаторов простое перенаправление dstnat от внешнего MikroTik к внутреннему не работает, при этом входящие соединения зависают в состоянии "syn sent" и вскоре умирают. Чтобы решить эту проблему создай дополнительный srcnat маскарад:
1 2 3 4 5 6 |
/ip firewall filter add action=accept chain=forward disabled=no dst-port=8292 protocol=tcp /ip firewall nat add action=dst-nat chain=dstnat disabled=no dst-port=8292 in-interface=ether10-sevstar protocol=tcp to-addresses=192.168.7.2 to-ports=8291 add action=masquerade chain=srcnat dst-address=192.168.7.2 dst-port=8291 protocol=tcp |
Надо ли аналогично поступить с другими перенаправлениями решай экспериментально, т.к. в одних случаях это требуется, а в других наоборот.
Изоляция сетей
Для изоляции подсетей между, которыми RouterOS выполняет маршрутизацию создай правило IP-Routs-Rules
!!! forward выполняющее drop соединений:
1 2 |
/ip firewall nat add action=drop chain=forward disabled=no in-interface=bridge-guest out-interface=bridge-local |
Если изоляция должна быть однонаправленной, то для соединений блокируемого направления определи состояние new:
1 2 |
/ip firewall nat add action=drop chain=forward connection-state=new disabled=no in-interface=bridge-guest out-interface=bridge-local |
Описанный способ для изоляции от беспроводной подсети wlan не сработал (причина исследуется).
Защита от флуда
Перенаправления dstnat к внутренним сервисам часто открывают возможность для интенсивных атак с целью подбора логина и пароля внутреннего сервиса. Чтобы существенно снизить интенсивность подбора примени фильтрацию IP с подозрительным характером соединений.
1 2 3 |
/ip firewall filter add action=add-src-to-address-list address-list=DropIP address-list-timeout=30m chain=input connection-limit=30,32 protocol=tcp connection-state=new add action=drop chain=input src-address-list=DropIP |
Источник вдохновения: mikrotik-ukraine.blogspot.ru
Обход Антироутинга
Пример управления счетчиком TTL от мониторинга провайдера:
1 |
/ip firewall mangle add action=change-ttl chain=prerouting new-ttl=increment:1 passthrough=yes |
Особенности настройки при нескольких подключениях WAN
Создай правила создающие приоритет параметром distance:
1 2 3 |
/ip route add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=ether10-sevstar scope=30 target-scope=10 add disabled=no distance=2 dst-address=0.0.0.0/0 gateway=ether1-optima scope=30 target-scope=10 |
Для того, чтобы ответные пакеты соединений из WAN входящие по интерфейсу с низким приоритетом направлялись в тот же интерфейс (в нарушение приоритета), входящие соединения следует маркировать. Для этого создай по паре правил маркирования источника подключений для каждого WAN интерфейса, по которому могут осуществляться входящие соединения:
1 2 3 4 5 |
/ip firewall mangle add action=mark-connection chain=forward disabled=no in-interface=ether10-sevstar new-connection-mark=conf-sevstar passthrough=yes add action=mark-routing chain=prerouting connection-mark=conf-sevstar disabled=no new-routing-mark=rt-sevstar passthrough=yes src-address=192.168.7.0/24 add action=mark-connection chain=forward disabled=no in-interface=ether1-optima new-connection-mark=conf-optima passthrough=yes add action=mark-routing chain=prerouting connection-mark=conf-optima disabled=no new-routing-mark=rt-optima passthrough=yes src-address=192.168.7.0/24 |
Установленные маркеры соединений используются при маршрутизации. Создай отдельные правила маршрутизации для маркированных соединений:
1 2 3 |
/ip route add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=ether1-optima routing-mark=rt-optima scope=30 target-scope=10 add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=ether10-sevstar routing-mark=rt-sevstar scope=30 target-scope=10 |
Доступ к сервису сети из wan на внешний порт: !!!
1 2 |
/ip firewall nat add action=dst-nat chain=dstnat comment="RDP EXAMPLE" dst-address=31.28.255.56 dst-port=33890 protocol=tcp to-addresses=192.168.7.9 to-ports=3389 |
Использование Fasttrack
Опция IPv4 FastTrack используется для автоматической маркировки соединений. Только TCP и UDP соединения могут быть маркированы. IPv4 FastTrack поддерживает NAT (SNAT, DNAT или оба). Обрати внимание, что не все пакеты в соединении могут быть переданы с помощью fasttrack, даже, если они промаркированы соответствующим образом. По этой причине fasttrack-соединение идет после идентичного правила action=accept. Fasttrack пакеты обходят файерволл, трассировку соединений, простые очереди, дерево очередей с parent=global, учет ip-трафика, IPSec, универсальный клиент hotspot, распределение vrf, по этой причине администратор должен внимательно следить что бы fasttrack не накладывалась с другими настройками маршрутизатора.
Fasttrack включается и выключается в Winbox:IP->Settings опциями:
- Allow Fast Path
- IPv4 Fasttrack Active
Правила применение Fasttrack в правилах Firewall Filter должны быть лидирующими:
1 2 3 |
/ip firewall filter add chain=forward action=fasttrack-connection connection-state=established,related add chain=forward action=accept connection-state=established,related |
Источник: mikrotik.vetriks.ru
Протоколы универсальной автоматической настройки сетевых устройств UPnP
Для облегчения жизни P2P приложений войди WinBox:IP->UPnP и разреши UPnP. Там же войди в Interfaces и добавь интерфейс ISP как External, а локальный мост как Internal. Имей ввиду, что при использовании интерфейса подключения типа PPTP, в качестве External надо указать его, вместо физического интерфейса.
1 2 3 4 5 6 |
/ip upnp set enabled=yes /ip upnp interfaces add interface=bridge-local type=internal add interface=ether10-sevstar type=external enable 0,1 |
- Пояснения, примеры и комментарии о UPnP от Mikrotik на //wiki.mikrotik.com/wiki/Manual:IP/UPnP
- Статья "Открываем порты за NAT при помощи NAT-PMP и UPnP IGD" на /habr.com
Туннели VPN
Сервер
!!! Войди WinBox:PPP->Secrets
Фишки
Тестирование кабеля
Тестирование кабеля: WinBox:Interfaces-><нужный порт>->[Cable test]
1 |
interface ethernet cable-test <имя порта> |
Оверклокинг
Посмотри нагрузку на центральный процессор в WinBox:System->Resources. Если устройство Mikrotik не справляется, центральный процессор можно немного разогнать в WinBox:System->RouterBOARD->Settings->CPU Frequency.
IPTV IGMP Proxy
Тем, у кого провайдер раздает IPTV, поможет еще установка пакета multicast-x.xx-mipsbe.npk и настройка Routing -> IGMP Proxy -> + -> в списке Interfaces выбрать порт, куда входит интернет от провайдера и поставить галочку на Upstream. В поле Alternative Subnets надо указать данные подсети либо, если кому лень — просто 0.0.0.0/0. -> OK
Затем еще раз жмем плюсик -> выбираем порт, в который будет подключена приставка или же бридж, если есть желание просмотра IPTV на мобильных устройствах -> ставим галочку на Querier.
Можно добавить еще:
1 |
/interface wireless Set 0 multicast-helper=full |
Обновление Router OS
- Версия firmware отображается в WinBox:System->Routerboard.
- Версия Router OS отображается в WinBox:New terminal.
Автоматическое обновление
Для автоматического обновления в WinBox:System->Packages нажми Check for Updates.
Ручное обновление
- Загрузи обновление с официального сайта mikrotik.com или mikrotik.ru
- Файл обновления брось в корень WinBox:Files
- Перезагрузи WinBox:System->Reboot
- Проверь версию
Даунгрейд Router OS
Чтобы вернуть предыдущую версию прошивки Router OS:
-
- на сайте Mikrotik выбери в соответствии с серией оборудования и загрузи файл прошивки .npk.
- Помести файл в корень Winbox:Files.
- Выполни в терминале команду:
1 |
/system package downgrade |
- После ребута, возможно, потребуется выполнить аппаратный сброс настроек.
Обновление в малом объеме Flash 16MB
http://mikrotik-ukraine.blogspot.com/2016/09/flash-mikrotik.html
Управление отдельными пакетами
Включи или отключи пакеты входящие в состав RouterOS или загруженные дополнительно в WinBox:IP->System->Packages.
После внесения изменений в набор разрешенных и/или установленных пакетов, RouterOS необходимо перезагрузить.
1 2 |
/system package enable ppp; /system reboot; Reboot, yes? [y/N]: |
Сохранение конфигурации
Сохранение конфигурации позволяет восстановить ее на том же устройстве. Команда сохранения конфигурации позволяет задать имя файла:
1 |
/system backup save name=<.backup filename> |
Восстановление конфигурации выполняется командой с именем файла:
1 |
/system backup load name=<.backup filename> |
Скрипт конфигурации - это текст, который содержит полный набор команд приводящий маршрутизатор к текущей конфигурации. Скрипт позволяет проверить его, и использовать полностью или частично для конфигурирования любых маршрутизаторов под RouterOS. Команда сохранения скрипта позволяет задать имя файла:
1 |
/system export file=<.rsc filename> |
Файлы Support Output также содержат сохранение конфигурации, но используется для отправки для получения технической поддержки. Команда записи файла supout.rif позволяет задать имя файла:
1 |
/system sup-output name=supout.rif |
Файлы всех видов сохранения создаются в WinBox:Files с расширениями соответственно .backup, .rsc и .rif
Восстановление или перенос конфигурации
Восстановить конфигурацию или перенести ее на однотипное устройство с той же версией RouterOS можно используя файл скрипта конфигурации. Импорту конфигурации должен предшествовать полный сброс текущей конфигурации без установки конфигурации по умолчанию:
1 2 3 |
/system reset-configuration no-defaults=yes import <.rsc filename> |
Источники
- RouterOS Documentation //help.mikrotik.com
- FAQ по RouterOS wiki.mikrotik.com/wiki/Russian/FAQ
- Практика настройки Mikrotik для чайников habrahabr.ru
- Mikrotik- Типичные Проблемы и Их Решения mstream.com.ua
- Rick Frey Consulting Tutorials //rickfreyconsulting.com
- Mikrotik и ARP таблицы aboutmikrotik.info
- Как зайти по внешнему IP-адресу из локальной сети для MikroTik lantorg.com
- Разделение локальной сети с помощью VLAN technotrade.com.ua
- Прозрачный мост на Mikrotik RouterOS с использованием PPtP и EoIP sysadminblog.ru/mikrotik
- Блог от DmitryAVET weblance.com.ua/tags/RouterOS
- Быстрая настройка точки доступа habrahabr.ru/post
- Кое-что о Wi-Fi habrahabr.ru/post/117761
- Защита Wi-Fi в Mikrotik mikrotik-ukraine.blogspot.com
- Настройка IPTV от Ростелеком на //habr.com
- Базовые основы настройки VLAN на //lanmarket.ua
- Как настроить IPTV на MikroTik на //www.technotrade.com.ua
- Mikrotik. Как решать типичные проблемы? — 14 распространенных особенностей администрирования Микротик //e-server.com.ua