Найти тему
🇳 🇪 🇹 🇼 🇴 🇷 🇰 🇮 🇳 🇬
1380 подписчиков

Настройка роутера MikroTik для дома

1608
8 мин

Доброго времени суток! Давно хотел сделать статью о первоначальной настройке роутеров микротик для домашнего использования и чуть далее. И вот, собственно, делаю. Надеюсь будет полезна.

Самая распространенная версия "домашних" роутеров от MikroTik'ов
Самая распространенная версия "домашних" роутеров от MikroTik'ов

Итак, для начала давайте рассмотрим этот "микрот" внимательнее, что значат надписи и аббревиатуры на его портах. Первый порт помечен как "Internet" и надписью "PoE in", остальные объединены надписью "LAN" и пятый порт "PoE out". "PoE" - это Power over Ethernet, т.е. можно запитать этот роутер через PoE. Это бывает полезно, если рядом с микротом нет розетки 220 - в этом случае можно докупить "poe инжектор", нагуглите, который стоит от 300 р. и не тянуть удлинитель, плюс блок питания не нужен и установка становится сильно компактнее. PoE out, как можно догадаться, позволяет запитать от самого микрота какое-нибудь другое PoE-оборудование, например ip-телефон, камеру видео-наблюдения или wifi-тарелку. Удобно?! - Конечно!

Что касается "Internet" и "LAN" - это не что иное, как четкое разделение портов на "внешние" и "внутренние", что позволяет роутеру разделять и фильтровать трафик между сетью интернет и локальной сетью. Такое явное разделение портов есть только в серии hAP от микротика, все остальные просто пронумерованы и можно любой порт сделать внешним или внутренним. Т.к. с hap'ами я не сталкивался, то не смогу точно сказать можно ли использовать другие порты как внешние или это совсем жесткое разграничение. Извините, но не знаю ответа, нет таких железок под рукой.

Скрытая кнопочка "RES"/"WPS" сбрасывает роутер в дефолт или служит для подключения wifi-клиента, когда нужно нажать кнопку wps для подключения к сети вместо пароля. Лучше не использовать такой метод.

Переходим к включению и подключению к нашему роутеру.

Окно подключений WinBox
Окно подключений WinBox

Когда мы подключим роутер к компьютеру, нужно запустить утилиту от микротик, которая называется WinBox. Скачать можно с официального сайта в разделе софт. Перейдем на вкладку Neighbors (соседи) и кликнем в поле мак-адреса, адрес подставится в верхнее поле. Стандартный логин "admin" без пароля и жмем Connect.

Окно настроек WinBox
Окно настроек WinBox

После подключения выскочит окошко дефолтной конфигурации. Если его закрыть, то на роутере будут произведены некие действия стандартной настройки. Я рекомендую ее убрать и далее разберемся что нам нужно будет настроить самостоятельно и чем мы будем пользоваться, а что не нужно вообще. Когда нажмете Remove Configuration роутер уйдет в ребут и нужно будет переподключиться к нему опять.

Подключение к роутеру с пустой конфигурацией
Подключение к роутеру с пустой конфигурацией

Обратите внимание, что поле IP Address теперь показывает 0.0.0.0. Мы убрали дефолтную подсеть 192.168.88.0/24.

Пустой конфиг
Пустой конфиг

Так выглядит совершенно пустая конфигурация: нет никаких правил в фаерволе, подсетей, dhcp сервер выключен, даже wifi погашен. Красота! Остальное в следующей статье, через годик. ;)

-6

Ладно, переходим к самому интересному. Что есть у роутера, но нет у свитча? - Выход в интернет. Вот его и начнем настраивать. Выходы в интернет реализуются разными методами, все разобрать не смогу, но попробую основные.

  • 1. Проводное.
  • 1.1. Обычное домашнее соединение с PPPoE авторизацией.
  • 1.2. Выделенный ip-адрес белый или серый без дополнительной авторизации.
  • 1.3. Выделенный ip-адрес белый или серый без дополнительной авторизации с автополучением от DHCP-сервера провайдера.
  • 2. Беспроводное.
  • 2.1. USB-модем 3G/4G через мобильного оператора.
  • 2.2. По WiFi через другую точку доступа, например, соседа. Если знаете SSID и пароль.

Я буду строить конфиг максимально универсальным, чтобы он подходил с минимальными правками под любое подключение и использование. Поэтому включение dhcp-клиента на 1 порту идет 1 пунктом, хотя в ситуации "1.1." оно может и не использоваться, но и бед не натворит. Настраиваем "1.3.", как самый простой и далее по нарастающей.

DHCP-client включение
DHCP-client включение
Прокручивайте окна
Прокручивайте окна

Просто нажимаем "плюсик", выбираем интерфейс, на котором надо включить дхцп-клиент и жмем ОК. Все, если у вас тип подключения "1.3.", то уже на роутере появился интернет, но еще не на компе, который к нему подключен. Об этом позже.

Для "1.1." и "2.1." требуется указать логин пароль дополнительной авторизации. Делается это в разделе Interfaces:

-8
В поле Service указывается ip-адрес сервера PPP провайдера, обычно он подставляется автоматом при включенном DHCP-клиенте
В поле Service указывается ip-адрес сервера PPP провайдера, обычно он подставляется автоматом при включенном DHCP-клиенте

Когда вставите 3g/4g модем, то такое соединение добавится автоматически, нужно только подредактировать параметры в зависимости от оператора связи. Если новый интерфейс не появился, скорее всего, этот модем не поддерживается микротом.

Ну и классика - статика. Это самый надежный способ подключения, но не самый простой для начинающих "хакеров".

По факту, всего два пункта добавить
По факту, всего два пункта добавить
-9-2

Статические настройки вам должен передать оператор, как и логин/пароль в случае PPPoE в договоре. Там будет что-то вроде этого (это называется серый адрес):

  • адрес: 192.168.3.71
  • маска: 255.255.255.0
  • шлюз: 192.168.3.1
  • днс: тоже будут указаны, но нам они нафиг не уперлись

Если мы заказываем себе прямой белый айпи-адрес, то получим что-то такое:

  • адрес: 77.88.99.10
  • маска: 255.255.255.252
  • шлюз: 77.88.99.9

Тоже самое можно указать и в таком виде: 77.88.99.10/30 шлюз 77.88.99.9, так и прописывается в микроте в разделе IP -> Addresses. Дополнительно нам нужно указать дефолтный маршрут (0.0.0.0/0) в разделе IP -> Routes. Gateway - это шлюз. Все!

Про "2.2." не буду много писать, просто картинка, а далее как в "1.3.", когда ничего делать не надо.

В интерфейсах заходим в WLAN, жмем Scan, выбираем к кому подключаемся и коннектимся
В интерфейсах заходим в WLAN, жмем Scan, выбираем к кому подключаемся и коннектимся

С подключением к интернету закончили, теперь разберемся с локальной сетью или т.н. LAN. По пунктам:

1. Создание виртуального Bridge-интерфейса и добавление к нему физических портов. Это нужно, чтобы компы подключенные через физические порты находились в одной подсети и могли друг с другом обмениваться данными.

Создаем свой бридж
Создаем свой бридж
На вкладке Ports добавляем порты
На вкладке Ports добавляем порты

Если к бриджу добавить интерфейс wlan1, то клиенты wifi также будут получать адреса из нашей домашней сети. А если не добавлять, то для вайфая можно сделать отдельный пул и управлять им будет довольно просто, например, запретить доступ к микроту через вайфай, чтобы злой сосед Вася вам все не испортил. Для простоты рассмотрим вариант с единой локальной подсетью.

2. Присваиваем бриджу адрес нашей внутренней сети, например, 192.168.100.1/24.

Поле Network можно не вбивать - оно определится самостоятельно
Поле Network можно не вбивать - оно определится самостоятельно

3. Настраиваем DHCP-сервер, который будет автоматически присваивать адреса в нашей сети новым клиентам.

Идем в IP->Pool и создаем новый пул адресов нашей локалки
Идем в IP->Pool и создаем новый пул адресов нашей локалки
IP->DHCP-Server вкладка Networks, DNS указаны яндекса с фильтром от взрослого контента (лайфхак для пользователей с детьми)
IP->DHCP-Server вкладка Networks, DNS указаны яндекса с фильтром от взрослого контента (лайфхак для пользователей с детьми)
Возвращаемся на вкладку DHCP и создаем новую запись, где указываем интерфейс бриджа и наш пул адресов, из которого выдавать адреса клиентам
Возвращаемся на вкладку DHCP и создаем новую запись, где указываем интерфейс бриджа и наш пул адресов, из которого выдавать адреса клиентам

4. Настраиваем WiFi. По факту мы уже все подготовили для работы вайфая, пока настраивали бридж, пул и дхцп. Осталось указать SSID и пароль.

В меню Wireless на вкладке Security Profiles нужно создать новый профиль и вбить сложный пароль от вайфая
В меню Wireless на вкладке Security Profiles нужно создать новый профиль и вбить сложный пароль от вайфая
В интерфейсе wlan1 надо перейти в Advanced Mode (1), выбрать настройки работы точки доступа (2), указать протокол и профиль ключа (3), выбрать ограничение скорости работы вайфай (4) и скрыть SSID, если надо.
В интерфейсе wlan1 надо перейти в Advanced Mode (1), выбрать настройки работы точки доступа (2), указать протокол и профиль ключа (3), выбрать ограничение скорости работы вайфай (4) и скрыть SSID, если надо.

В (2) советую указывать как на картинке, только SSID поставьте какой надо - это имя вайфай сети. В (3) обязательно указать профиль, остальное желательно. В (4) ограничения прописываются в верхнем поле на весь вайфай, всю пропускную способность, например, "20M" - 20 Мбит/с и отдельно на каждого клиента, например, "10M" - 10 Мбит/с, т.е. если будет подключено 4 клиента, то более 20 Мбит они суммарно не смогут съесть, а один активный клиент более 10 Мбит не прыгнет. В (5) просто указывается бродкастить имя вашего вайфая или он будет скрытым.

На этом этапе на компьютере и вайфай-клиентах уже появилась созданная нами подсеть, но выхода в интернет еще нет. Для этого переходим к настройкам фаервола. Меню IP -> Firewall вкладка NAT.

Создаем новое правило SRCNAT
Создаем новое правило SRCNAT
Выбираем интерфейс, в который воткнут интернет
Выбираем интерфейс, в который воткнут интернет
На вкладке Action выбираем экшн Masquerade
На вкладке Action выбираем экшн Masquerade

Готово, теперь у компьютеров и телефонов через вайфай появился доступ к интернет.

Теперь надо обезопасить себя, защитив свой роутер от банального взлома перебором паролей. Создадим простенькие правила, которые запретят любые действия из-вне, но сами мы сможем спокойно работать.

Это необходимое и достаточное кол-во правил для домашнего роутера
Это необходимое и достаточное кол-во правил для домашнего роутера
  • /ip firewall filter
  • add action=accept chain=input connection-state=established,related
  • add action=drop chain=input connection-state=invalid
  • add action=accept chain=forward connection-state=established,related
  • add action=drop chain=forward connection-state=invalid
  • add action=drop chain=input in-interface=ether1

Собственно, вот все правила, если открыть в WinBox'е New Terminal и вставить туда эти строчки, то у вас пропишутся эти простенькие правила. Я не вижу необходимости открывать возможность пинга вашего роутера, т.к. для домашнего использования это не нужно. Ну и отключаем все сервисы удаленного подключения, особенно ssh и telnet, т.к. китайские хакеры сразу начнут подбирать пароль к вашему роутеру, это будет видно в логах. Делается это в меню IP -> Services.

-17

Сервисы для себя смотрите, мне кажется, что для дома проще WinBox.

-18
  • /interface bridge
  • add name=MY_LOCAL
  • /interface ethernet
  • set [ find default-name=ether1 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half
  • set [ find default-name=ether2 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half
  • set [ find default-name=ether3 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half
  • set [ find default-name=ether4 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half
  • set [ find default-name=ether5 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half
  • /interface wireless security-profiles
  • set [ find default=yes ] supplicant-identity=MikroTik
  • add authentication-types=wpa-psk,wpa2-psk eap-methods="" management-protection=allowed mode
  • supplicant-identity="" wpa-pre-shared-key=123454321 wpa2-pre-shared-key=123454321
  • /interface wireless
  • set [ find default-name=wlan1 ] band=2ghz-g/n channel-width=20/40mhz-Ce country=no_country_
  • frequency-mode=manual-txpower mode=ap-bridge security-profile=MY_WIFI ssid=MikroT stati
  • 802.11 wps-mode=disabled
  • /ip pool
  • add name=MY_POOL ranges=192.168.100.2-192.168.100.254
  • /ip dhcp-server
  • add address-pool=MY_POOL disabled=no interface=MY_LOCAL name=LOCAL
  • /user group
  • set full policy=local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,password,web,snif
  • /interface bridge port
  • add bridge=MY_LOCAL interface=ether3
  • add bridge=MY_LOCAL interface=ether4
  • add bridge=MY_LOCAL interface=ether5
  • add bridge=MY_LOCAL interface=wlan1
  • /ip address
  • add address=192.168.100.1/24 interface=MY_LOCAL network=192.168.100.0
  • /ip dhcp-client
  • add disabled=no interface=ether1
  • /ip dhcp-server network
  • add address=192.168.100.0/24 dns-server=77.88.8.7,77.88.8.3 gateway=192.168.100.1
  • /ip dns static
  • add address=192.168.100.1 name=my.local
  • /ip firewall filter
  • add action=accept chain=input connection-state=established,related
  • add action=drop chain=input connection-state=invalid
  • add action=accept chain=forward connection-state=established,related
  • add action=drop chain=forward connection-state=invalid
  • add action=drop chain=input in-interface=ether1
  • add action=drop chain=forward in-interface=ether1
  • /ip firewall nat
  • add action=masquerade chain=srcnat out-interface=ether1
  • /ip service
  • set telnet disabled=yes
  • set ftp disabled=yes
  • set www disabled=yes
  • set ssh disabled=yes
  • set api disabled=yes
  • set api-ssl disabled=yes
  • /system clock
  • set time-zone-name=Europe/Moscow
  • /system package update
  • set channel=long-term

Не претендую на уникальность и 100% верность всего вышеописанного. На мой скромный взгляд этого достаточно для обычной домашней работы и немного поможет обычному пользователю собрать кирпичики в голове в единую постройку. Да, это не шедевр, но простой удобный конфиг, который ты собрал сам и понимаешь каждое действие в нем, гораздо полезнее чего-то сложного, жестко затюненого, обрезанными QoS'ами и пр. Об этом, возможно, в другой раз. Спасибо за внимание, удачи!

P.S. Спасибо за лайк, подписку и комментарий! ;-)

16