Подключение к MikroTik:
Подключаем роутер к сети, подаем питание и запускаем на компьютере winbox.
Переходим на вкладку Neighbors и ждем, когда утилита найдет наш роутер.
Либо подключаемся по 192.168.88.1 или по MAC.
Login: admin
Password: пусто
Connect
Обнуление/сброс конфигурации:
При первом подключении выбрать - Remove Configuration
или System - Reset Configuration (No Default Configuration)
Первоначальная настройка Quick Set:
Quick Set — это мастер автоматической конфигурации, который помогает быстро, не погружаясь в глубины тонкой настройки RoS, настроить роутер и начать им пользоваться.
В зависимости от устройства, вам могут быть доступны несколько шаблонов:
1. CAP — Режим управляемой точки доступа, требует наличия настроенного CAPsMAN
2. CPE (Customer Premises Equipment) — режим WiFi клиента, когда интернет вам приходит по WiFi и раздается на LAN порт(ы).
3. Home AP (Home Access Point)- маршрутизатор/точка доступа офисной или домашней сети.
4. WiSP AP (Wireless Internet Service Provider Access Point)- отличается от режима Home AP поддержкой проприетарных протоколов WiFi TDMA - nv2 и nstream.
5. PTP Bridge (Point to point bridge)- режим беспроводного радиомоста между двумя сетями (PtP). Возможно подключение только одного клиента. Если маршрутизатор подключен со стороны провайдера, то он выступает в роли Server AP, если со стороны клиента, то в роли Client AP (CPE).
6. Basic AP — Почти пустая конфигурация, подходит для развертывания автономно управляемых точек доступа (без CAPsMAN)
Часть 1. Настройка локальной сети:
1. Включаем wlan1
Interface - Interface List - wlan1 Enable
2. Cоздаём новые списки интерфейсов
Interfaces - Interface List - Lists - add New Interface List - Name: LAN
Interfaces - Interface List - Lists - add New Interface List - Name: WAN
3. Создаём Bridge
Bridge - Bridge - New Interface - Name: bridge1
/interface bridge add admin-mac=00:00:00:00:00:00 auto-mac=no name=bridge1
4. Добавляем интерфейсы в bridge1
Bridge - Ports - New Bridge Port - Interface: ether2, ether3..., Bridge: bridge1
5. Назначаем сетевые настройки для bridge1
IP - Adresses - add New Address - Adresses: 192.168.6.1/24,
Interface: bridge1
6. Создаём DHCP сервер
IP - DHCP Server - DHCP - DHCP Setup
Interface: bridge1
Address Pool: pool1
Address: 192.168.6.0/24
Gateway: 192.168.6.1
Netmask: 24
DNS Servers: 192.168.6.1
7. Настройка WiFi
Wireless - WiFi Interfaces - Wireless - SSID: name, Security Profiles: default
Wireless - Security Profiles - default - Mode: dynamic keys,
Authentification Types: WPA2 PSK, WPA2 Pre-Shared Key: password wifi
8. Отключение лишних сервисов
IP - Services
9. Смена пароля администратора, создание новой учётной записи
System - Users
10. Присваиваем уникальное имя роутеру
System - Identity
Часть 2. Настройка интернета от провайдера:
11. Включаем NAT
IP - Firewall - NAT
Chain: srcnat
Out.Interface: ether1 (Domolan)
Action: masquerade
12. Создаём подключение по правилам провайдера
Вариант 1. DHCP Client
IP - DHCP Client - add New DHCP Client
Interface: ether1
Add Default Route: yes
Вариант 2. Статический IP
IP адрес: 10.4.15.64
Маска: 255.255.255.0
Шлюз: 10.4.15.1
DNS сервер 1: 10.4.1.1
DNS сервер 1: 10.4.1.2
Нужно указать адрес на интерфейсе, указать DNS сервер и настроить маршрут по умолчанию.
- настраиваем IP адрес порта в сторону провайдера
IP - Addresses - add New Address
Addresses: 10.4.15.64/24 где /24 = 255.255.255.0
Interface: ether1
- устанавливаем DNS сервер(ы)
IP - DNS
Servers: 10.4.1.1, 10.4.1.2.
- настраиваем маршрут по умолчанию
IP - Routes - add New Route
Dst. Address: 0.0.0.0/0 (все существующие IP адреса, т.е. отправлять запросы на любые адреса)
Gateway: 10.4.15.1
Check Gateway: ping (способ проверки доступности шлюза)
Distance: 1 (приоритет маршрута, чем меньше цифра, тем выше приоритет)
Вариант 3. PPPoE Client
PPP - add PPPoE Client
General - Interfaces: ether1
Dial Out - User: 111 Password: 222
13. Проверка соединения
Tools - Ping - 8.8.8.8
14. Настройка системного времени
System - Clock - устанавливаем вручную время, дату и часовой пояс
System - SNTP Client (ntp1.stratum2.ru, ntp2.stratum2.ru...)
15. Удалённое подключение к роутеру по DDNS
IP - Cloud - DDNS Enabled
Часть 3. Настройка Firewall:
16. IP - Firewall
- Разрешаем пинги
add chain=input action=accept protocol=icmp
add chain=forward action=accept protocol=icmp
- Разрешаем установленные подключения
add chain=input action=accept connection-state=established
add chain=forward action=accept connection-state=established
- Разрешаем связанные подключения
add chain=input action=accept connection-state=related
add chain=forward action=accept connection-state=related
- Разрешаем все подключения из нашей локальной сети
add chain=input action=accept src-address=192.168.6.0/24 in-interface=!ether2
- Разрешаем входящие подключения для торрента
add chain=forward action=accept protocol=tcp in-interface=ether2 dst-port=45000
- Запрещаем инвалидные подключения
add chain=input action=drop connection-state=invalid
add chain=forward action=drop connection-state=invalid
- Запрещаем все остальные входящие подключения
add chain=input action=drop in-interface=ether2
- Разрешаем доступ из локальной сети в интернет
add chain=forward action=accept in-interface=!ether2 out-interface=ether2
- Запрещаем все остальные подключения
add chain=forward action=drop
Создаём правила фильтрации трафика
/ip firewall filter add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!bridge1
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=accept chain=input comment="Allow L2TP IPSEC ports" port=1701,500,4500 protocol=udp
add action=accept chain=input comment=WinBox dst-port=9045 protocol=tcp
add action=accept chain=input comment=www disabled=yes dst-port=6753 protocol=tcp
add action=accept chain=forward comment="Allow access inside LAN" in-interface=ether1 out-interface=bridge1 src-address=192.168.6.0/24
add action=drop chain=input comment="Drop all BOGON from Domolan" in-interface=Domolan src-address-list=BOGON
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!bridge1
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
/ip firewall nat
add action=masquerade chain=srcnat out-interface=Domolan
add action=dst-nat chain=dstnat dst-address=188.126.47.102 dst-port=8554 protocol=tcp to-addresses=192.168.6.9 to-ports=554
Просмотр/сохранение текущей конфигурации в терминале:
/export compact
/export compact file=nameconfig
Часть 4. Настройка специальных алгоритмов:
17. Настройка отправки E-mail
Tools - Email
Server: smtp.yandex.ru
Port: 25
From: myEmail@ya.ru
User: nameuser
Password: passworduser
18. Передача логов по Email
System - Logging
19. Контроль доступности любого удалённого хоста
Tools - Netwatch
20. Настройка действий по расписанию
System - Scheduler
Пока достаточно...