MikroTik настройка роутера для неподготовленного пользователя

Цикл данных статей предназначен для неподготовленного пользователя и не требует наличия специальных знаний. Статьи дадут базовые знания по настройке и возможностям данных устройств.

Содержание:

 

Другие полезные статьи:

 

Ознакомление с устройством

Статьи предназначены прежде всего для учителей информатики общеобразовательных школ, так как в большинстве случаев именно на них возложено поддержание работы локальной сети, при этом главным сетевым устройством в локальной сети является домашняя версия модема/роутера TP-Link, D-Link и прочие Asus.

Данные устройства не отличаются стабильностью работы под нагрузкой из 20+ компьютеров, не обладают гибкостью настройки, да и в целом не предназначены для поддержания большого количества клиентских устройств, тем самым вызывая многие проблемы.

Оборудование MikroTik может полностью снять большинство проблем сети, а так же благодаря своему функционалу быстро выявлять источник возникших проблем.

Все дальнейшие настройки будут показываться на примере настройки MikroTik Hap ac Lite, используемого в общеобразовательной школе.

Настройка Mikrotik hap ac lite - MHelp.kz

Изображение 1. MikroTik Hap ac Lite

Роутеры MikroTik используют единую систему RouterOS на своих устройствах, поэтому данная статья подходит для настройки других устройств MikroTik или же чистой RouterOS установленной на обычном ПК (в зависимости от устройства, может быть доступен разный набор расширенных компонентов).

Развернуть

Вы можете купить  лицензию RouterOS отдельно и установить её на компьютер (стоимость лицензии RouterOS около 50$).

В этом случае вы получите намного более мощный и дешевый «роутер», пожертвовав компактностью и надежностью, зависящей только от надежности компонентов пк.

В одной из школ моего города, настроен именно такой «роутер» на базе старого неактуального HP Proliant сервера с 1Gb памяти (сам роутер MikroTik Hap ac Lite оснащен процессором 650MHz и 64Mb памяти).

За все годы работы сервера в качестве «роутера» с ним не было ни одной проблемы.

Итак, вы получили данное устройство и видите 5 доступных сетевых портов, первый из которых подписан Internet и PoE In, а пятый порт выделен желтым цветом и подписан PoE out (PoE технология).

Первое отличие роутеров MikroTik от более привычных TP-Link, D-Link и прочего доступного в магазинах то, что входящим интернет портом может быть любой порт роутера и даже несколько портов, так же как и исходящим портом (для локальной сети), а не один подписанный порт, как на привычных ранее роутерах. А надпись Internet присутствует только для удобства пользователя и данный порт ничем не отличается от других.

Так же, присутствуют два PoE порта, 1й порт — входящий, 5й порт — исходящий,  т.е. для установки роутера на месте, вы больше не привязаны к розетке. Питание роутеру можно подать через обычный сетевой кабель, на первый порт, при этом этот сетевой кабель так же будет доступен для передачи данных .

С пятого порта вы можете запитать уже другое устройство с поддержкой данной технологии, например точку доступа.

Для нашей сети мы будем использовать подключение к интернету через первый порт (на котором подключен модем Beeline), кабель локальной сети, подключим в 2 порт.

(В данном примере мы рассматриваем MikroTik Hap ac Lite подключенный к интернету через другой модем. Другие способы подключения MikroTik через PPoE, L2TP, LTE будут рассмотрены в других статьях)

  • адрес роутера 192.168.137.1
  • диапазон адресов локальной будущей локальной сети: 192.168.137.0/24, причем первые 20 адресов выделим под служебные нужды

Настройка устройства

Адрес роутера MikroTik по умолчанию 192.168.88.1, логин admin пароль пустой.

Управлять роутером можно через веб интерфейс или через более удобную программу WinBox (скачать с официального сайта). На этом список возможностей управления не закончен, но для ознакомления мы будем использовать управление через Winbox.

Запускаем программу Winbox, указываем адрес подключения 192.168.88.1, логин admin, пароль оставляем пустым, нажимаем Connect.

Обратите внимание, на вкладки Managed и Neighbors.

Winbox обнаружение устройства MikroTik через вкладку Neighbours - MHelp.kz

Изображение 2. Winbox обнаружение устройства MikroTik через Neighbours

На роутерах MikroTik, по умолчанию запущена служба обнаружения в сети Neighbors и если подключение по IP адресу или имени недоступно, попробуйте подключиться выбрав MAC Address роутера через вкладку Neighbors. При первом подключении появляется окно запроса использования стандартной конфигурации.

Удаляем стандартную конфигурацию, нажимаем Remove Configuration.

Окно конфигурации по-умолчанию MikroTik настройка для новичков - MHelp.kz

Изображение 3. Окно конфигурации по-умолчанию MikroTik

 

Если нас выбрасывает из панели управления роутером, подключимся снова через [WinBox]➙[Neighbors]➙[MAC Address]➙[Connect]

Задаем пароль администратора роутера [System]➙[Users]➙[admin]➙[Password]➙[пароль/подтверждение]➙[OK]

Установка пароля администратора MikroTik - MHelp.kz

Изображение 4. Установка пароля администратора MikroTik

 

Рекомендуется отключить учетную запись admin, создавая свою учетную запись с правами администратора, можете сделать это позже.

Настраиваем адрес роутера для локальной сети, кабель локальной сети подключаем во второй порт устройства ether2.

[IP]➙[Addresses]➙[+]➙[Address: 192.168.137.1/24; Interface:ether2]➙[OK]

Настройка локального адреса устройства MikroTik - MHelp.kz

Изображение 5. Задаем IP адрес устройства MikroTik в локальной сети

Теперь роутер доступен по адресу 192.168.137.1, из локальной сети подключенной к порту 2 (ether2).

Настройка интерфейсов

Для дальнейшего удобства переименуем порт 1 (ether1) куда подключен кабель интернет, в ether1-WAN

[Interfaces]➙[ether1]➙[Name: ether1-WAN]➙[OK]

По-умолчанию, для каждого порта MikroTik можно назначить отдельную сеть, два интерфейса WiFi тоже представляют собой отдельные сети.

Чтобы не настраивать каждую из WiFi сетей отдельно и локальную сеть, объединяем их в одну «виртуальную» сеть, для этого в MikroTik есть понятие сетевого моста Bridge.

Создаем мост [Bridge]➙[+]➙[Name: bridge1-LAN; ARP: Enable]➙[OK]

Добавляем необходимые нам порты в нашу локальную сеть bridge1-LAN.

[Bridge]➙[Ports+]➙[+]➙[Interface: ether2; Name: bridge1-LAN]➙[OK]

[Bridge]➙[Ports+]➙[+]➙[Interface: wlan1; Name: bridge1-LAN]➙[OK]

[Bridge]➙[Ports+]➙[+]➙[Interface: wlan2; Name: bridge1-LAN]➙[OK]

Развернуть
Если при добавлении порта поставить галочку Auto Isolate, устройства подключенные к данному порту не смогут увидеть и получить доступ к устройствам подключенным к другим портам.
Настройка интерфейсов MikroTik - MHelp.kz

Изображение 6. Настройка интерфейсов MikroTik

 

На изображении в окне Inrerface List видно созданный сетевой мост bridge1-LAN, а в окне Bridge перечислены сетевые порты добавленные в мост.

Настройка WiFi

Данный роутер имеет две сети диапазона 2.4GHz (wlan1) и 5GHz (wlan2), для подключения к обеим сетям будет использоваться один пароль.

[Wireless]➙[Security Profiles]➙[default]

Выберем тип аутентификации WPA2 PSK и в поле WPA2 Pre-Shared Key укажем пароль для доступа к сетям WiFi.

Mikrotik настройка WiFi установка пароля - MHelp.kz

Изображение 7. Установка пароля безопасности на WiFi MikroTik

 

Вернемся на вкладку Interfaces, выбирая каждый интерфейс для его настройки.

Укажем:

  • Mode: ap bridge
  • Band: стандарты которые будет поддерживать точка
  • Frequency: 2437 или auto
  • Channel Width: 20/40MHz eC — диапазон частот
  • SSID: Название сети
  • Security Profile: default, именно его мы изменяли в предыдущем шаге.
Настройка WiFi интернета Mikrotik - MHelp.kz

Изображение 8. Настройка WiFi MikroTik

Band — оставляя более новые стандарты связи G или N, вы увеличиваете минимальную скорость WiFi, но при этом отсекаете возможность устаревших устройств подключится к вашей сети.

Frequency — частота. Более привычное нам название — канал WiFi.

На канале 6 (частота 2437) точка доступа выдает самый большой уровень сигнала, но вы можете оставить значение auto, если рядом имеются другие WiFi сети.

Настройка локальной сети

MikroTik настройка DHCP

Настроим службу DHCP, зарезервировав первые 20 адресов, для служебных нужд (сервера, точки доступа и пр.).

Указываем выделяемый диапазон адресов нашей локальной сети, назовем его LAN.

[IP]➙[Pool]➙[+]➙[Name: LAN; Addresses: 192.168.137.21-192.168.137.254]➙[OK]

Задаем диапазон адресов в сети Mikrotik настройка для новичков - MHelp.kz

Изображение 9. Настройка диапазона адресов локальной сети

 

Создаем DHCP сервер (автоматическое назначение IP адреса устройствам в сети).

[IP]➙[DHCP Server]➙[+]➙[Name: LANDHCP; Interface: bridge1-LAN; Lease Time: 3d 00:00:00; Address Pool: LAN; Authoritative: yes; Отмечаем Add For Leases]➙[OK]

Настройка DHCP сервера Mikrotik - MHelp.kz

Изображение 10. Создание DHCP сервера локальной сети

 

Название сервера LANDHCP, работающего для устройств подключенных к интерфейсу bridge1-LAN, IP адрес выдаётся(и резервируется) на срок 3 суток, из указанного ранее диапазона IP адресов  LAN, данный DHCP сервер объявлен главным Authoritative и полученные адреса будут заноситься  таблицу ARP роутера.

Указываем настройки сервера DHCP.

[IP]➙[DHCP Server]➙[Networks]➙[+]

Укажем:

  • Adresses: 192.168.137.0/24 — диапазон и размерность сети
  • Gateway: 192.168.137.1 — шлюз интернета (адрес роутера)
  • Netmask: 24
  • DNS Servers: 192.168.137.1 — управление доменными именами передаем нашему роутеру и его сервису DNS
  • Domain: SCHOOL — необязательное поле
Настройка DHCP сервера на Mikrotik - MHelp.kz

Изображение 11. Настройка DHCP сервера Mikrotik

 

MikroTik настройка DNS

Настраиваем службу преобразования доменных имен.

[IP]➙[DNS]

Укажем:

  • Servers: 77.88.8.7 и 77.88.8.3 — указываем адреса семейных серверов Яндекс (подробней)
  • Dynamic Servers заполняются автоматически, если в свойствах интерфейсов подключения к интернету стоит галочка Use peer DNS
  • Allow Remote Requests проверяем установку галочки
  • Cashe Size устанавливаем доступный объем памяти для хранения (кеширования) записей DNS
Настройка DNS сервера на Mikrotik - MHelp.kz

Изображение 12. Настройка DNS сервера Mikrotik

Кэширование DNS является очень полезной опцией, сокращая время повторного обращения к сайту, уменьшая количество интернет трафика, а так же позволяя администратору просмотреть адреса просмотренных сайтов из локальной сети(без привязки к конкретному устройству).

Так же, использование «семейных» DNS серверов  Яндекса, здорово сокращает количество доступных вредоносных и взрослых сайтов, а значит и уменьшает количество возможных проблем с ПК вида «я скачал вот этот реферат и компьютер перестал работать» и помимо этого, благоприятно влияет на любого проверяющего с «Контролирующего отдела» показом настроенной системы блокировки сайтов.

Перезагрузите роутер [System]➙[Reboot] ➙[Yes] для применения настроек.

Это был последний шаг для настройки MikroTik в локальной сети, теперь каждый компьютер должен получать выделенный адрес и быть доступным через ping.

Настройка доступа к интернету

Огромное отличие MikroTik от любых домашних устройств является модуль Firewall пришедший (не полностью) от ОС Linux.

Это очень сильно усложняет настройку роутера для новичка, но при ознакомлении, впоследствии дает огромную широту и гибкость настроек, недоступную домашним устройствам.

Так же важно понимать, что правила перечисленные в Firewall обрабатываются по номерам. Если первым правилом будет блокирующее, Firewall заблокирует трафик и обработка последующих правил не будет производится.

[IP]➙[Firewall]➙[NAT]

В данной вкладке настраиваются сети, которым нужно предоставить доступ к интерфейсу интернета.

Cоздаем следующее правило:

Номер правилаУсловияДействие
#ChainSrc. AddressOut. InterfaceAction
1srcnat192.168.137.0/24ether1-WANmasquerade

Это правило необходимо для того, чтобы компьютеры во внутренней сети 192.168.137.0/24 могли нормально обращаться к серверам в интернете, через интерфейс ether1-WAN.

Развернуть
Есть возможность не вбивать правила вручную, а использовать консоль.

Запустите [New Terminal], введите следующую команду и нажмите Enter:

/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1-WAN src-address=192.168.137.0/24

Примечание: регистр названий имеет значение. Если в моем примере в названии интерфейса есть заглавная буква, то в правило через консоль название интерфейса вводится тоже  с заглавной буквой.

[IP]➙[Firewall]➙[Filter Rules]

Основная вкладка управления правилами роутера.

Если в данной вкладке у нас уже имеются два Action правила: passthrough и fasttrack connection, не трогаем их и все создаваемые правила помещаем после них.

Создаем следующие правила:

#ChainSrc.AddressDst. AddressProtocolDst.PortIn. IterfaceOut. InterfaceConnection StateAction
1Inputicmpaccept
2Input192.168.137.0/24udp53,123bridge1-LANnewaccept
3Input192.168.137.0/248291,80bridge1-LANnewaccept
4Inputestablished,relatedaccept
5Output[!]Invalidaccept
6Forward192.168.137.0/24bridge1-LANether1-WANnew, establishedaccept
7Forward192.168.137.0/24ether1-WANbridge1-LANestablished,relatedaccept
8Inputreject
9Forwardreject
10Outputreject

Правила:

  1. Разрешаем протокол ICMP (команда ping)
  2. Разрешаем DNS запросы к роутеру от внутренней сети
  3. Разрешаем доступ к управлению роутеру MikroTik для внутренней сети, через Winbox (порт 8291) и через браузер (порт 80)
  4. Разрешаем входящие пакеты, уже установленных и связанных соединений между интерфейсами
  5. Разрешать отправку пакетов, кроме помеченных недействительными. Признак [!]… — означает запись «всем кроме перечисленных»
  6. Разрешать пересылку пакетов между локальной сетью и интерфейсом внешней сети , для новых и уже установленных соединений
  7. Разрешить пересылку пакетов между интерфейсом внешней сети и локальной сетью, для уже установленных и связанных соединений
  8. Запретить все входящие соединения, не разрешенные предыдущими правилами
  9. Запретить все промежуточные соединения, не разрешенные предыдущими правилами
  10. Запретить все исходящие соединения, не разрешенные предыдущими правилами

 

Развернуть
Или выполните через [New Terminal]:

/ip firewall filter
add chain=input protocol=icmp
add chain=input connection-state=new dst-port=53,123 in-interface=bridge1-LAN protocol=udp src-address=192.168.138.0/24
add chain=input connection-state=new dst-port=80,8291 in-interface=bridge1-LAN protocol=tcp src-address=192.168.137.0/24
add chain=input connection-state=established,related
add chain=output connection-state=!invalid
add chain=forward connection-state=established,new in-interface=bridge1-LAN out-interface=ether1-WAN src-address=192.168.137.0/24
add chain=forward connection-state=established,related in-interface=ether1-WAN out-interface=bridge1-LAN dst-address=192.168.137.0/24
add action=drop chain=input
add action=drop chain=output
add action=drop chain=forward

Примечание: регистр названий имеет значение. Если в моем примере в названии интерфейса есть заглавная буква, то в правило через консоль название интерфейса вводится тоже  с заглавной буквой.

Используйте комментарии к правилам Firewall, это сильно облегчит понимание правил в последующем.

На этом базовая настройка MikroTik Hap ac Lite закончена, на данном этапе у вас должна работать и локальная сеть, и доступ к интернету.

Дальнейшая настройка MikroTik будет продолжена в следующих статьях.

От автора:

Если же проблему разрешить не удалось или появились дополнительные вопросы, задать их можно на нашем форуме, в специальном разделе.

Поделиться этой статьей
Если данная статья вам помогла и вы хотели бы в ответ помочь проекту Mhelp.kz, поделитесь этой статьей с другими:

Все статьи раздела MikroTik на MHelp.kz

MikroTik настройка для новичков . Последнее изменение: 2017-12-07 от Юн Сергей