Надеюсь статья облегчит жизнь Администраторам и обычным пользователями, решившим воспользоваться услугами данного сетевого оборудования. Никаких лишних листов, интерфейсов, максимум простоты, удобства и безопасности. В данной статье многие правила буду добавлять через терминал (New Terminal справа в меню), для удобства копирования. Но из команды будет интуитивно понятно как добавлять правила интерактивно. Показываю как просто и понятно настроить большинство сервисов RouterOs.
Скачиваем Winbox. По моему мнению самый удобный интерфейс управления Микротиком. Переходим по вкладке Neighbor, 2 раза кликаем по MAC Address устройства и подключаемся к дефолтными данными.
Заходит на роутер и сбрасываем конфигурацию устройства. Пару минут обычно занимает обнуление и перезагрузка устройства, после чего можно заново авторизоваться - login:admin/password:пусто.
1. Меняем пароль администратор, так же можете сразу изменить логин на свой придуманный, а дефолтную учетную запись отключить.
* Меняем пароль администратора.
user set name=username password=password
* Добавить другую учетную запись.
use add name=sychikhin@lbr.ru password=k6u4aFGeuczG group=full
* Отключаем учетную запись администратора.
user disable admin
2. Обновление прошивки и настройки соеденения интернет.
Переходим в Qiuck set. Выбираем интерфейс ether1(порт в который подключен наш интернет). Выбираем тип подключения, указываем данные, ранее полченные от провайдера. Указания настроек проверим интернет. Зайдите в tool - > ping и и включите пинг до 8.8.4.4 c интерфейса ether1. Если пинг пошел, значит вы сделали все правильно. Возвращаемся в qiuck set, смотрим в самый низ и кликаем Check for Updates. После проверяем, появились ли новые версии, если да, то обновляем. После обновления авторизуемся по новому логину/паролю.
3. Настройка Bridge и DHCP-server.
Bridge - возможность объединить несколько физических портов в один локальный интерфейс. Переходит во вкладку Bridge, создаем новый интерфейс, дайте понятное для вас название, остальные настройки можно оставить по умолчанию. Далее переходим во вкладку Port, добавляем новый порт, указываем название порта (ВСЕ ПОРТЫ, КРОМЕ ИНТЕРНЕТА), выбираем наш созданный bridge, нажимаем готово и так по очереди со всеми портами, на которые будет раздаваться dhcp.
DHCP-server - позволяющий сетевым устройствам автоматически получать IP-адрес и другие параметры, необходимые для работы в сети TCP/IP. Переходим Ip -Dhcp server. Кликаем по кнопке
DHCP Setup. Интерфейс - заранее сделанный Bridge.
DHCP Address Space - пул, который будет раздаваться в локальную сеть, рекомендую ставить нестандартный, что бы не было проблем с пересечения локальных адресов в дальнейшем. Например можно указать 10.10.10.0/24.
Gateway - указываем локальный адрес нашего роутера, 10.10.10.1.
DHCP Relay - оставляем пустым.
4. Настраиваем NAT.
Переходим во вкладку interface - > interface list. Кликаем по вкладке List, добавляем лист - Internet. Возвращаемся обратно в interface list, кликаем по синему плюсу, добавляем, выбираем порт интернета, в качестве листа - interface list.
Настраиваем исходящий трафик из локальной сети. Заходит в Ip -> firewall -> NAT. Создаем правило
Chain - scrnat.
Out interface list - Internet.
После этих действий локальная сеть должна получить доступ в интернет и заработать в обычном режиме.
5. Безопасность.
Первое правило безопасности - отключи все, чем не пользуешься.
*оставим доступ только через winbox.
ip service set api disabled=yes
ip service set api-ssl disabled=yes
ip service set ftp disabled=yes
ip service set ssh disabled=yes
ip service set telnet disabled=yes
ip service set www-ssl disabled=yes
ip service set www disabled=yes
Второе правило - запрещено все, что не разрешено.
Сводом правил мы защищаемся от разного типа DDOS. От переборов Winbox/PPTP(если будете пользоваться в дальнейшем). Защищаемся от сканеров портов. Так же закрываем весь трафик, что не разрешен нашими правилами NAT или Firewall.
/ip firewall filter
add action=accept chain=forward comment="1.1. Forward and Input Established and Related connections" connection-state=established,related
add action=drop chain=forward connection-state=invalid
add action=drop chain=forward connection-nat-state=!dstnat connection-state=new in-interface-list=Internet
add action=accept chain=input connection-state=established,related
add action=drop chain=input connection-state=invalid
add action=add-src-to-address-list address-list=ddos-blacklist address-list-timeout=1d chain=input comment="1.2. DDoS Protect - Connection Limit" connection-limit=100,32 in-interface-list=Internet protocol=tcp
add action=tarpit chain=input connection-limit=3,32 protocol=tcp src-address-list=ddos-blacklist
add action=jump chain=forward comment="1.3. DDoS Protect - SYN Flood" connection-state=new jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=jump chain=input connection-state=new in-interface-list=Internet jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=return chain=SYN-Protect connection-state=new limit=200,5:packet protocol=tcp tcp-flags=syn
add action=drop chain=SYN-Protect connection-state=new protocol=tcp tcp-flags=syn
add action=drop chain=input comment="1.4. Protected - Ports Scanners" src-address-list="Port Scanners"
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=none-dynamic chain=input in-interface-list=Internet protocol=tcp psd=21,3s,3,1
add action=drop chain=input comment="1.5. Protected - WinBox Access" src-address-list="Black List Winbox"
add action=add-src-to-address-list address-list="Black List Winbox" address-list-timeout=none-dynamic chain=input connection-state=new dst-port=8291 in-interface-list=Internet log=yes log-prefix="BLACK WINBOX" protocol=tcp src-address-list="Winbox Stage 3"
add action=add-src-to-address-list address-list="Winbox Stage 3" address-list-timeout=1m chain=input connection-state=new dst-port=8291 in-interface-list=Internet protocol=tcp src-address-list="Winbox Stage 2"
add action=add-src-to-address-list address-list="Winbox Stage 2" address-list-timeout=1m chain=input connection-state=new dst-port=8291 in-interface-list=Internet protocol=tcp src-address-list="Winbox Stage 1"
add action=add-src-to-address-list address-list="Winbox Stage 1" address-list-timeout=1m chain=input connection-state=new dst-port=8291 in-interface-list=Internet protocol=tcp
add action=accept chain=input dst-port=8291 in-interface-list=Internet protocol=tcp
add action=accept chain=input comment="1.8. Access Normal Ping" in-interface-list=Internet limit=50/5s,2:packet protocol=icmp
add action=drop chain=input comment="1.9. Drop All Other" in-interface-list=Internet
6. Настраиваем VPN для подключения к локальной сети из вне.
Переходим во вкладку PPP, кликаем по вкладке L2TP Server.
Enable - yes.
Default Profile - default-encryption.
Authentication - mschap2, mschap1, остальные убираем, так как это не безопасно.
Use IPsec - yes.
IPsec Secret - вводите очень надежный ключ.
Сохраняем настройки.
Переходим во вкладку IP - Pool, создаем новый pool под названием VPN для клиентов нашего сервера. Пример 10.11.10.2 - 10.11.10.254. Возвращаемся обратно во вкладку PPP -> Profile -> Default-encryption.
Local address - 10.11.10.1.
Remote address - VPN(интерфейс который мы создали ранее).
Сохраняем.
Переходим в Secret.
Добавляем нового пользователя(пример).
Login - visileck_r
Password - C[bYG04PWz%Fzj}cr
Profile - default-encryption
Сохраняем.
Переходим во вкладку IP -> Firewall. Добавляем правило разрещающие VPN подключения.
*1 правило
chain - input.
protocol - 17 (udp).
Any port - 1701,500,4500.
Action - accept.
* 2 правило
chain - input.
protocol - 50 (ipsec-esp).
Action - accept.
IPsec должен из коробки штатно работать. Но если возникнут какие-либо проблемы, пересоздайте 1 в 1 все настройки, как были изначально.
На первоначальная настройка роутера окончена. Если написал что-то непонятно или есть вопросы по настройки других функция данного роутера, обращайтесь в комментариях, всем отвечу.