Цикл данных статей предназначен для неподготовленного пользователя и не требует наличия специальных знаний.
Статьи дадут базовые знания по настройке и возможностям данных устройств.
Содержание:
- Знакомство с устройством
- Настройка устройства
- Настройка интерфейсов
- Настройка Wi-Fi
- Настройка локальной сети
- Настройка доступа к интернет
Знакомство с устройством
Статьи предназначены прежде всего для учителей информатики общеобразовательных школ, так как в большинстве случаев именно на них возложено поддержание работы локальной сети, при этом главным сетевым устройством в локальной сети является домашняя версия модема/роутера TP-Link, D-Link и прочие Asus.
Данные устройства не отличаются стабильностью работы под нагрузкой из 20+ компьютеров, не обладают гибкостью настройки, да и в целом не предназначены для поддержания большого количества клиентских устройств, тем самым вызывая многие проблемы.
Оборудование MikroTik может полностью снять большинство проблем сети, а так же благодаря своему функционалу быстро выявлять источник возникших проблем.
Все дальнейшие настройки будут показываться на примере настройки MikroTik Hap ac Lite, используемого в общеобразовательной школе.
Роутеры MikroTik используют единую систему RouterOS на своих устройствах, поэтому данная статья подходит для настройки других устройств MikroTik или же чистой RouterOS установленной на обычном ПК (в зависимости от устройства, может быть доступен разный набор расширенных компонентов).
Вы можете купить Mikrotik RouterOS Level 4 отдельная лицензия для установки на компьютер (стоимость лицензии RouterOS около 42$).
В этом случае вы получите намного более мощный и дешевый «роутер», пожертвовав компактностью и надежностью, зависящей только от надежности компонентов ПК.
Итак, вы получили данное устройство и видите 5 доступных сетевых портов, первый из которых подписан Internet и PoE In, а пятый порт выделен желтым цветом и подписан PoE out (PoE технология).
Первое отличие роутеров MikroTik от более привычных TP-Link, D-Link и прочего доступного в магазинах то, что входящим интернет портом может быть любой порт роутера и даже несколько портов, так же как и исходящим портом (для локальной сети), а не один подписанный порт, как на привычных ранее роутерах.
Надпись Internet присутствует только для удобства пользователя и данный порт ничем не отличается от других.
Так же, присутствуют два PoE порта, 1й порт — входящий, 5й порт — исходящий, т.е. для установки роутера на месте, вы больше не привязаны к розетке.
Питание роутеру можно подать через обычный сетевой кабель, на первый порт, при этом этот сетевой кабель так же будет доступен для передачи данных .
С пятого порта вы можете запитать уже другое устройство с поддержкой данной технологии, например точку доступа.
Для нашей сети мы будем использовать подключение к интернету через первый порт (на котором подключен модем Beeline), кабель локальной сети, подключим в 2 порт.
(В данном примере мы рассматриваем MikroTik Hap ac Lite подключенный к интернету через другой модем. Другие способы подключения MikroTik через PPoE, L2TP, LTE будут рассмотрены в других статьях)
- адрес роутера 192.168.137.1
- диапазон адресов локальной будущей локальной сети: 192.168.137.0/24, причем первые 20 адресов выделим под служебные нужды
Настройка устройства
Адрес роутера MikroTik по умолчанию 192.168.88.1, логин admin пароль пустой.
Управлять роутером можно через веб интерфейс или через более удобную программу WinBox (скачать с официального сайта).
На этом список возможностей управления не закончен, но для ознакомления мы будем использовать управление через Winbox.
Запускаем программу Winbox, указываем адрес подключения 192.168.88.1, логин admin, пароль оставляем пустым, нажимаем Connect.
Обратите внимание, на вкладки Managed и Neighbors.
На роутерах MikroTik, по умолчанию запущена служба обнаружения в сети Neighbors и если подключение по IP адресу или имени недоступно, попробуйте подключиться выбрав MAC Address роутера через вкладку Neighbors. При первом подключении появляется окно запроса использования стандартной конфигурации.
Удаляем стандартную конфигурацию, нажимаем Remove Configuration.
Если нас выбрасывает из панели управления роутером, подключимся снова через [WinBox]➙[Neighbors]➙[MAC Address]➙[Connect]
Задаем пароль администратора роутера [System]➙[Users]➙[admin]➙[Password]➙[пароль/подтверждение]➙[OK]
Рекомендуется отключить учетную запись admin, создавая свою учетную запись с правами администратора, можете сделать это позже.
Настраиваем адрес роутера для локальной сети, кабель локальной сети подключаем во второй порт устройства ether2.
[IP]➙[Addresses]➙[+]➙[Address: 192.168.137.1/24; Interface:ether2]➙[OK]
Теперь роутер доступен по адресу 192.168.137.1, из локальной сети подключенной к порту 2 (ether2).
Обратите внимание, в первой строке находится адрес полученный роутером MikroTik от модема включенного в первый порт (ether1-WAN).
Буква D означает автоматически присвоенное значение (DHCP сервер на модеме).
Настройка интерфейсов
Для дальнейшего удобства переименуем порт 1 (ether1) куда подключен кабель интернет, в ether1-WAN
[Interfaces]➙[ether1]➙[Name: ether1-WAN]➙[OK]
По-умолчанию, для каждого порта MikroTik можно назначить отдельную сеть, два интерфейса WiFi тоже представляют собой отдельные сети.
Чтобы не настраивать каждую из WiFi сетей отдельно и локальную сеть, объединяем их в одну «виртуальную» сеть, для этого в MikroTik есть понятие сетевого моста Bridge.
Создаем мост [Bridge]➙[+]➙[Name: bridge1-LAN; ARP: Enable]➙[OK]
Добавляем необходимые нам порты в нашу локальную сеть bridge1-LAN.
[Bridge]➙[Ports+]➙[+]➙[Interface: ether2; Name: bridge1-LAN]➙[OK]
[Bridge]➙[Ports+]➙[+]➙[Interface: wlan1; Name: bridge1-LAN]➙[OK]
[Bridge]➙[Ports+]➙[+]➙[Interface: wlan2; Name: bridge1-LAN]➙[OK]
[nx_spoiler title=»Развернуть» style=»fancy» icon=»chevron»][nx_note]Если при добавлении порта поставить галочку Auto Isolate, устройства подключенные к данному порту не смогут увидеть и получить доступ к устройствам подключенным к другим портам.[/nx_note][/nx_spoiler]
На изображении в окне Inrerface List видно созданный сетевой мост bridge1-LAN, а в окне Bridge перечислены сетевые порты добавленные в мост.
Настройка Wi-Fi
Данный роутер имеет две сети диапазона 2.4GHz (wlan1) и 5GHz (wlan2), для подключения к обеим сетям будет использоваться один пароль.
[Wireless]➙[Security Profiles]➙[default]
Выберем тип аутентификации WPA2 PSK и в поле WPA2 Pre-Shared Key укажем пароль для доступа к сетям WiFi.
Вернемся на вкладку Interfaces, выбирая каждый интерфейс для его настройки.
Укажем:
- Mode: ap bridge
- Band: стандарты которые будет поддерживать точка
- Frequency: 2437 или auto
- Channel Width: 20/40MHz eC — диапазон частот
- SSID: Название сети
- Security Profile: default, именно его мы изменяли в предыдущем шаге.
Band — оставляя более новые стандарты связи G или N, вы увеличиваете минимальную скорость WiFi, но при этом отсекаете возможность устаревших устройств подключится к вашей сети.
Frequency — частота. Более привычное нам название — канал WiFi.
На канале 6 (частота 2437) точка доступа выдает самый большой уровень сигнала, но вы можете оставить значение auto, если рядом имеются другие WiFi сети.
Настройка локальной сети
MikroTik настройка DHCP
Настроим службу DHCP, зарезервировав первые 20 адресов, для служебных нужд (сервера, точки доступа и пр.).
Указываем выделяемый диапазон адресов нашей локальной сети, назовем его LAN.
[IP]➙[Pool]➙[+]➙[Name: LAN; Addresses: 192.168.137.21-192.168.137.254]➙[OK]
Создаем DHCP сервер (автоматическое назначение IP адреса устройствам в сети).
[IP]➙[DHCP Server]➙[+]➙[Name: LANDHCP; Interface: bridge1-LAN; Lease Time: 3d 00:00:00; Address Pool: LAN; Authoritative: yes; Отмечаем Add For Leases]➙[OK]
Название сервера LANDHCP, работающего для устройств подключенных к интерфейсу bridge1-LAN, IP адрес выдаётся(и резервируется) на срок 3 суток, из указанного ранее диапазона IP адресов LAN, данный DHCP сервер объявлен главным Authoritative и полученные адреса будут заноситься таблицу ARP роутера.
Указываем настройки сервера DHCP.
[IP]➙[DHCP Server]➙[Networks]➙[+]
Укажем:
- Adresses: 192.168.137.0/24 — диапазон и размерность сети
- Gateway: 192.168.137.1 — шлюз интернета (адрес роутера)
- Netmask: 24
- DNS Servers: 192.168.137.1 — управление доменными именами передаем нашему роутеру и его сервису DNS
- Domain: SCHOOL — необязательное поле
MikroTik настройка DNS
Настраиваем службу преобразования доменных имен.
[IP]➙[DNS]
Укажем:
- Servers: 77.88.8.7 и 77.88.8.3 — указываем адреса семейных серверов Яндекс (подробней)
- Dynamic Servers заполняются автоматически, если в свойствах интерфейсов подключения к интернету стоит галочка Use peer DNS
- Allow Remote Requests проверяем установку галочки
- Cashe Size устанавливаем доступный объем памяти для хранения (кеширования) записей DNS
Кэширование DNS является очень полезной опцией, сокращая время повторного обращения к сайту, уменьшая количество интернет трафика, а так же позволяя администратору просмотреть адреса просмотренных сайтов из локальной сети(без привязки к конкретному устройству).
Так же, использование «семейных» DNS серверов Яндекса, здорово сокращает количество доступных вредоносных и взрослых сайтов, а значит и уменьшает количество возможных проблем с ПК вида «я скачал вот этот реферат и компьютер перестал работать» и помимо этого, благоприятно влияет на любого проверяющего с «Контролирующего отдела» показом настроенной системы блокировки сайтов.
Перезагрузите роутер [System]➙[Reboot] ➙[Yes] для применения настроек.
Это был последний шаг для настройки MikroTik в локальной сети, теперь каждый компьютер должен получать выделенный адрес и быть доступным через ping.
Настройка доступа к интернет
Огромное отличие MikroTik от любых домашних устройств является модуль Firewall пришедший (не полностью) от ОС Linux.
Это очень сильно усложняет настройку роутера для новичка, но при ознакомлении, впоследствии дает огромную широту и гибкость настроек, недоступную домашним устройствам.
Так же важно понимать, что правила перечисленные в Firewall обрабатываются по номерам. Если первым правилом будет блокирующее, Firewall заблокирует трафик и обработка последующих правил не будет производится.
[IP]➙[Firewall]➙[NAT]
В данной вкладке настраиваются сети, которым нужно предоставить доступ к интерфейсу интернета.
Создаем следующее правило:
Номер правила | Условия | Действие | ||
# | Chain | Src. Address | Out. Interface | Action |
1 | srcnat | 192.168.137.0/24 | ether1-WAN | masquerade |
Это правило необходимо для того, чтобы компьютеры во внутренней сети 192.168.137.0/24 могли нормально обращаться к серверам в интернете, через интерфейс ether1-WAN.
[IP]➙[Firewall]➙[Filter Rules]
Основная вкладка управления правилами роутера.
Если в данной вкладке у нас уже имеются два Action правила: passthrough и fasttrack connection, не трогаем их и все создаваемые правила помещаем после них.
Создаем следующие правила:
# | Chain | Src.Address | Dst. Address | Protocol | Dst.Port | In. Iterface | Out. Interface | Connection State | Action |
---|---|---|---|---|---|---|---|---|---|
1 | Input | icmp | accept | ||||||
2 | Input | 192.168.137.0/24 | udp | 53,123 | bridge1-LAN | new | accept | ||
3 | Input | 192.168.137.0/24 | 8291,80 | bridge1-LAN | new | accept | |||
4 | Input | established,related | accept | ||||||
5 | Output | [!]Invalid | accept | ||||||
6 | Forward | 192.168.137.0/24 | bridge1-LAN | ether1-WAN | new, established | accept | |||
7 | Forward | 192.168.137.0/24 | ether1-WAN | bridge1-LAN | established,related | accept | |||
8 | Input | reject | |||||||
9 | Forward | reject | |||||||
10 | Output | reject |
Правила:
- Разрешаем протокол ICMP (команда ping)
- Разрешаем DNS запросы к роутеру от внутренней сети
- Разрешаем доступ к управлению роутеру MikroTik для внутренней сети, через Winbox (порт 8291) и через браузер (порт 80)
- Разрешаем входящие пакеты, уже установленных и связанных соединений между интерфейсами
- Разрешать отправку пакетов, кроме помеченных недействительными. Признак [!]… — означает запись «всем кроме перечисленных»
- Разрешать пересылку пакетов между локальной сетью и интерфейсом внешней сети , для новых и уже установленных соединений
- Разрешить пересылку пакетов между интерфейсом внешней сети и локальной сетью, для уже установленных и связанных соединений
- Запретить все входящие соединения, не разрешенные предыдущими правилами
- Запретить все промежуточные соединения, не разрешенные предыдущими правилами
- Запретить все исходящие соединения, не разрешенные предыдущими правилами
Используйте комментарии к правилам Firewall, это сильно облегчит понимание правил в последующем.
На этом базовая настройка MikroTik Hap ac Lite закончена, на данном этапе у вас должна работать и локальная сеть, и доступ к интернету.
Дальнейшая настройка MikroTik будет продолжена в следующих статьях.
➤