Сегодня будет много букв и много смысла.
Про настройку Микротика и RoutOS написано огромное количество статей. Информации в них достаточно для настройки устройства для дома. Другое дело. когда речь идет о сети офиса. Мы решили собрать серию статей, в которых опишем необходимый функционал и методику его настройки.
В интернете можно найти много статей по настройке разных конфигураций устройств MikroTik на RouterOS, но мало кто упоминает о некоторых подводных камнях, которые могут случаться. В этой серии статей я хотел бы описать настройку роутера MikroTik с нуля с применением некоторых фич, и с учетом всех сюрпризов, с которыми можно столкнуться в разных сценариях использования.
Содержание:
- Начало работы. Установка доп. пакетов
- Первичная настройка
- Настройка локальной сети
- Настройка выхода в интернет
- Настройка провайдеров
- Настройка маркировки пакетов
- Настройка Firewall и безопасности
- Дополнительные настройки (VPN туннель)
Для начала стоит определиться с конфигурацией сети и задачами:
Сеть состоит из одного управляемого POE коммутатора, нескольких телефонов и компьютеров, интернет приходит от двух операторов, один из них за биллингом, подсеть биллинга, пару облачных решений, два контроллера домена, один находится в облаке, поэтому сразу видим несколько задач:
- Научить Mikrotik работать с двумя операторами одновременно;
- Сделать доступ к биллингу и подсети биллинга;
- Сделать безопасную локальную сеть;
- При работе двух операторов сделать так, чтобы не отвалились некоторые сервисы;
- Подключить и настроить маршрутизацию между облачными сетями и наземными.
Начало работы. Установка доп. пакетов
Настройку начнем с самого начала, необходимо скачать утилиту Winbox с оф. сайта изготовителя, далее подключаем наше устройство к компьютеру и к любому порту роутера, в первый (или любой, на ваше усмотрение) порт втыкаем интернет.
Перед настройкой необходимо понять нужно ли нам еще что-то кроме того функционала, который есть, к примеру NTP сервер, или DUDE сервер, если не нужен, то пропускам этот пункт и сразу переходим к настройке.
Те, кому нужен дополнительный функционал заходим в WinBox и смотрим название нашего устройства, в нашем случае это RB750Gr3.
Заходим на официальный сайт, переходим в раздел " Software", скачиваем Netinstall.
На сайте ищем нужное нам устройство и скачиваем к нему Extra packages.
Распаковываем Netinstall, распаковываем в другую папку Extra packages, ставим такие настройки сетевой карты: ip адрес – 10.1.1.2, маска 255.255.255.0 (Эти данные по умолчанию рекомендуются производителем).
Далее запускаем программу Netinstall, нажимаем на Net booting, выставляем галочку напротив Boot server enabled, в Client Ip прописываем 10.1.1.4
Далее идем к нашему роутеру, находим у него кнопку reset, обычно она утоплена в корпус, для этого нужно использовать скрепку или нечто похожее. Выключаем Mikrotik, вставляем кабель от компьютера в 1 порт, зажимаем кнопку reset, вставляем питание в роутер и не отжимаем кнопку reset более чем на 10 секунд, пока все лампочки не погаснут.
Если все сделано правильно, то мы увидим наш Mikrotik.
Идем в папку с Extra packages, для начала найдем стандартные пакеты, они приложены в скриншоте:
К ним еще добавляем те пакеты, которые нам нужны (в данном случае это ntp server)
Идем в Netinstall, нажимаем Browse, выбираем папку, где все лежит
Далее нажимаем по нашему роутеру и выделяем все пакеты галочками:
После нажимаем install. Начнется процесс установки.
Как всего будет готово нажимаем boot, ждем перезагрузки и запускаем WinBox, ставим настройки нашего сетевого интерфейса по умолчанию.
Через WinBox находим наш роутер и нажимаем connect
Нужный пакет мы установили, начинаем настройку.
Первичная настройка
Для начала нам нужно настроить саму систему для работы, заходим в WinBox во вкладку Neighbors, в ней мы должны увидеть наш роутер, нажимаем на его Mac Address, в поле логин вводим admin, пароль оставляем незаполненным. Нажимаем Connect.
После загрузки мы увидим такое окно, это главное окно для управления роутером:
В первую очередь необходимо сбросить настройки. Заходим во вкладку system – reset configuration, ставим галочку напротив No Default Configuration – reset configuration.
На все вопросы жмем Yes и ждем перезагрузки, после так же по аналогии заходим на роутер.
Сброс конфигурации делается так как по умолчанию от производителя уже есть настройки, они имеют минимально необходимый функционал, достаточный для работы в домашнем использовании, но не достаточный для работы в небольшой компании, так как необходимы более гибкие настройки. Мы их настроим сами.
После запуска заходим во вкладку System – packages
Если вы не будете использовать протокол ipv6, то нам необходимо будет его выключить, так как в противном случае надо будет либо настраивать брандмауэр для этого протокола, либо будет большая брешь в безопасности, поэтому желательно его выключить. Для начала идем в system – packages и выключаем его выделением, а после нажатием disable. Пакет отключится после перезагрузки.
После надо будет обозвать наш роутер понятным именем, которое он будет транслировать во всю сеть, идем в System – identity и называем роутер как душе угодно. Я назвал "Mikrotik.mini" (видно на скриншоте).
После настраиваем время:
System – clock, ставим вашу дату и время, часовой пояс.
По умолчанию в роутерах Mikrotik работают все службы, такие как FTP, SSH, Telnet, для простой работы или настройки вам не потребуется использовать эти протоколы, так как WinBox содержит в себе весь функционал, который предлагают эти протоколы, поэтому для того, чтобы не оставлять дыры в безопасности нужно закрыть все неиспользуемые протоколы. Идем в ip – Services и отключаем все, кроме WinBox, порт WinBox лучше поменять на любой вам удобный, для того, чтобы перекрыть возможность взлома по стандартным портам.
Поменяем порт на произвольный, заходим на winbox, меняем порт на 54321, нажимаем Ok.
Последним в начальной настройке будет настройка идентификации пользователей, так как стандартный пользователь не содержит пароля, что позволяет кому угодно заходить на роутер, поэтому нужно поставить пароль на стандартного пользователя. В офисном использовании рекомендуется создать 1 или 2 дополнительных пользователя с полными правами и удалить пользователя Admin. Нажимаем System – users, нажимаем на Admin и меняем ему пароль, мы удалять пользователя Admin не будем, просто поставим доп. пароль и создадим еще одного пользователя.
Заходим, нажимаем правой кнопкой на admin и нажимаем password, вводим новый пароль и подтверждение пароля, нажимаем Ok.
После этого нажимаем + и создаем другого пользователя, вводим login, group выбираем full, вводим пароль и подтверждение пароля, после этого Ok.
После создания видим двух пользователей.
Первоначальная настройка закончена, переходим к настройке локальной сети.
Настройка локальной сети
Поскольку основная наша цель — создать сеть второго уровня модели OSI (сеть с коммутатором), то нам необходимо настроить функцию моста. Благодаря функции моста (mikrotik bridge) можно объединить несколько портов в один сегмент.
С этого момента процесс настройки будет показан как графически, так и консольно.
Переименовываем порты, добавляем к ним комментарии, чтобы было наглядно видно какой порт за что отвечает. Провайдеры в нашем случае будут подключаться к 1 и 2 порту, назовем их wan1 и wan2.
Заходим в interface , нажимаем на нужный нам порт и переименовываем его (переименовывать не обязательно, но для наглядности и понятности всего функционала и кто за что отвечает рекомендуется каждую вашу настройку обзывать понятным именем).
Либо консольно
/interface ethernet
set [ find default-name=ether1 ] comment=Оператор1 name=wan1
set [ find default-name=ether2 ] comment=Оператор2 name=wan2
Так же отключим неиспользуемые порты и добавим комментарии к другим для их идентификации . (Порты отключаем для того, чтобы немного снизить нагрузку на процессор роутера. Отключение портов не обязательное, но показываю для наглядности).
Нажимаем на нужном интерфейсе правой кнопкой и нажимаем Comment.
Нажимаем на нужном интерфейсе и нажимаем красный крестик
Либо консольно
/interface ethernet set [ find default-name=ether3 ] comment=local
/interface ethernet set [ find default-name=ether4 ] comment=Reserved
/interface ethernet set [ find default-name=ether5 ] comment=Server
/interface ethernet set [ find default-name=ether6 ] disabled=yes
/interface ethernet set [ find default-name=ether7 ] disabled=yes
/interface ethernet set [ find default-name=ether8 ] disabled=yes
/interface ethernet set [ find default-name=ether9 ] disabled=yes
/interface ethernet set [ find default-name=ether10 ] disabled=yes
В конце получаем такую картину:
Для удобства настройки firewall добавим еще интерфейс лист с портами операторов, называем его internet и после добавляем в него интерфейсы:
Либо консольно
/interface list add name=internet
/interface list member add interface=wan1 list=internet
/interface list member add interface=wan2 list=internet
После настройки интерфейсов необходимо создать bridge, и добавить в него все интерфейсы, кроме интерфейсов интернета. (Мост – это программная настройка, которая объединяет все порты в один свитч, используя мощности и ресурсы процессора. Обладает защитой от петель, поэтому запетлять роутер используя bridge у вас не получится. В Mikrotik так же есть чип коммутации, который так же умеет объединять порты в один сегмент, для него будут совершенно другие настройки и свои минусы. В простом офисном использовании на количество клиентов до 100 будет хватать процессора, поэтому рекомендуется использовать мост для стабильной работы сети.) P.S. Использование чипа коммутации для объединения портов будет рассмотрено в следующих статьях.
При подключении по VPN вы можете неприятно удивиться, почему вы можете открыть страницу логина в роутер, 192.168.88.1 (если у вас такой), но не сможете открыть ни один внутренний ресурс. Штука в том, что надо включить proxy-arp на внутреннем интерфейсе, за которым есть нужный вам ресурс. У меня proxy-arp включен на весь bridge-local. Этот параметр позволяет взаимодействовать хостам, находящимся в разных сегментах сети, между друг другом. Для настройки моста в левой панели находим вкладку «Bridge», заходим в нее, дальше идет в «Bridge» и создаем новый мост. Называем понятным именем и ставим в ARP настройку proxy-arp.
ARP это - (“Address Resolution Protocol” — протокол определения адреса) — использующийся в компьютерных сетях протокол низкого уровня, предназначенный для определения адреса канального уровня по известному адресу сетевого уровня. Наибольшее распространение этот протокол получил благодаря повсеместности сетей IP, построенных поверх Ethernet, поскольку практически в 100 % случаев при таком сочетании используется ARP.
Продолжение кейса читайте здесь.
