Mikrotik - сетевое оборудование от одноименной компании из Латвии. Выделяется гибкостью настройки и ценой - весьма серьезный функционал за небольшие деньги. Даже такие устройства как CCR, весьма привлекательней по цене, чем собратья из CISCO. Я, как "писатель", не обладаю нужными литературными навыками, и слог может быть тяжелым, прошу строго не судить. Я работаю в компании IT-аутсорсинга и администратором в интернет провайдере, колонку хочу вести для души, а может кому и пригодятся мои опусы. По интернету полно статей, как настраивать данное оборудование, я думаю, что планету не открою, но все же хочу поделиться в дальнейшем нюансами, которые мне удалось найти в процессе работы и ответами на вопросы, которых я лично сходу не нашел. Я ни в коем случае не претендую на истину в первой инстанции, в плане настройки железок данного производителя, методы у всех свои, простоя вижу так, как есть.
У меня пока еще нет сертификата MTCNA, но я готовлюсь к его получению.
Итак. Для настройки домашнего интернета в целом особо ничего о настройке роутера знать не нужно, как и большинство железок от других производителей Mikrotik имеет Quick Set (быстрая настройка) прямо из коробки.
Я буду описывать настройку на примере более солидного маршрутизатора, а именно Mikrotik RB2011 UAS-RM, отличается он наличием 10 ethernet портов, SFP под оптику, помощнее процессор и больше оперативной памяти, есть сенсорный дисплей. Да и просто на момент написания статьи он был под рукой. Мой маршрутизатор не имеет встроенного модуля Wi-Fi, описание настройки будет сделано с RB951. Не пугайтесь, настройка одинаковая на всех устройствах, за исключением пары-тройки нюансов. К вопросу о том, почему не сделать все на примере RB951? RB951 есть, но он запущен в работу, а Wi-Fi не используется.
Подключаем наш Mikrotik к электрической сети, вставляем патчкорд в любой порт (ну кроме первого - он самый популярный для подключения кабеля провайдера), и соединяем его с компьютером. Удобней всего настраивать его через родную утилиту Winbox (её можно взять отсюда). Ежели Вы не имеете возможности скачать ее, то можно воспользоваться встроенным web-интерфейсом, работает по http на стандартом 80 порте. По умолчанию из "коробки" имеет адрес 192.168.88.1 и стандартную /24 маску (255.255.255.0). Логин по умолчанию admin, а пароля нет. Утилита Winbox позволяет также подключиться к устройству по MAC-адресу.
Более подробное описание устройств и операционной системы я выведу в отдельную статью.
Первым делом обновим операционную систему. Идем на официальный сайт компании Mikrotik и переходим в раздел Software.
Версии RouterOS отличаются друг от друга, в зависимости от архитектуры процессора устройства. Наиболее распространенные архитектуры - MIPSBE и SMIPS (smips используется в серии HAp Lite он же RB941, есть и совсем малютка HAp mini RB931 с 3-мя ethernet портами и Wi-Fi) . Скачиваем Main Package версии Stable. На момент написания статьи актуальная версия RouterOS - 6.48.3.
Маленькое отступление:
У меня был такой mini, использовался дома. Но в последствии я его заменил на RB951, ибо когда к нему подключился телевизор, PS4, два телефона и два ноутбука, добавилась куча маршрутов и служебных vlan'ов, процессор не выдержал нагрузки и устройство стало часто виснуть. Но для небольших задач вполне подойдет.
И продолжим
Выбираем наш маршрутизатор и нажимаем Connect. Не обращаем внимания, что нам покажет роутер. Слева нажимаем пункт Files и выбираем пункт Upload, далее выбираем файл с релизом операционной системы и ждем пока он загрузится на роутер.
Далее просто перезагрузим роутер, он сам увидит файл обновления и выполнит установку. Чтобы его перезагрузить выбираем пункт System - Reboot, и утвердительно отвечаем на вопрос роутера о перезагрузке.
Подождем минутку и вновь заходим в настройки маршрутизатора. В заголовке окна Winbox, мы увидим, что версия RouterOS обновилась, но обновление на этом не завершено. Еще один маленький шажок.
Нажимаем на System и выбираем пункт RouterBOARD.
И нажимаем кнопку Upgrade. Данным действием обновим заводскую прошивку маршрутизатора до актуального релиза. Обновление проходит быстро, через 10-15 секунд еще раз перезагружаем маршрутизатор. На этом обновление закончено.
Я опишу настройку, как в графическом интерфейсе, так и через терминал, благо маршрутизатор наделен текстовым командным интерфейсом.
Часть 1. Графическая.
1. В окне Winbox нажимаем кнопку System и выбираем пункт Reset Configuration. Роутер спросит нас, как хотим сбросить настройки
Выбираем пункт No Default Configuration и нажимаем Reset Configuration
Маршрутизатор уйдет в перезагрузку, после чего в Winbox отобразится с нулями вместо IP-адреса
Щелкаем по мак-адресу и заходим.
Маленькая ремарка. Адресация локальной сети будет 192.168.1.0/24.
Адрес провайдера будет из сети 192.168.89.0/24. В примере я покажу настройку как статического адреса, так и автоматическое получение адреса от провайдера.
1. Первым делом создаем бридж для локальной сети.
Нажимаем bridge, затем синий плюсик, задаем имя и жмем Ок. Бридж создан.
Переходим на вкладку Ports и добавляем нужные нам порты. Соответственно выбираем интерфейсы и бридж, жмем Ок. Повторяем для каждого нужного в бридже интерфейса. В нашем случае с ether2 до ether5 и wlan1.
Получится вот так:
Бридж готов.
2. Далее создадим адресацию для локальной сети, сделаем пул адресов для dhcp сервера, настроим сам dhcp сервер, присвоим адрес бриджу и интерфейсу, который будет смотреть в сторону провайдера, или же WAN интерфейс.
Создаем адресное пространство. Переходим в меню IP - Pool. Нажимаем синий плюсик, задаем имя или оставляем как есть. В поле Addresses указываем наш диапазон адресов: 192.168.1.2-192.168.1.200. Нижимаем Ок.
Переходим к настройке DHCP сервера. Переходим в меню IP-DHCP Server. Нажимаем на синий плюсик, указываем в качестве интерфейса наш созданный бридж, время аренды адреса изменяем на 24 часа ( я так делаю, потому что в ходе работы с микротиками выяснилось, что выдача адресов на 10 минут плохо сказывается на работе устройств компании Apple, не всегда могут подключиться) и указываем пул адресов, который создали ранее. Про нажатие ОК, больше писать не буду, оно и так понятно. Не забываем включить сам сервер (если строка будет серая), делается это при помощи синей галочки.
Затем настроим выдачу адресов клиентам. Переходим на вкладку Networks, вновь нажимаем на плюсик и прописываем адрес сети, маску, шлюз, DNS серверы. В поле Address указывается адрес сети, поэтому на конце ноль. Netmask можно не заполнять, мы ее указали в адресе.
Имейте ввиду, сервер не заработает, пока не присвоим локальный адрес бриджу. Что собственно и делаем. Переходим в раздел IP-Addresses, и указываем адрес бриджа. В нашем случае это 192.168.1.1/24, сеть маршрутизатор посчитает сам. Маске также можно указать так: 192.168.1.1/255.255.255.0, микротик ее преобразует в 24.
Получится так
Подведем промежуточный итог: собран бридж, присвоен адрес, настроен DHCP сервер. Меню с адресами не закрываем. Проделываем туже операцию, что и с адресом бриджа, вводим адрес и маску, которую Вы получили у провайдера и вешаем адрес на ether1.
Если провайдер выдает адреса по DHCP, то вместо указания адреса нужно включить dhcp клиент и повесить его на ether1. Делается это в меню IP-DHCP Client. При этом DNS и маршрут прописывать не нужно, клиент подхватит их от провайдера.
3. Настройка DNS серверов, добавление маршрута и разрешающего правила. По умолчанию микротик никуда Вас не выпустит, нужно завести правило в NAT.
Добавим маршрут в мир интернета. Адрес шлюза Вам выдал провайдер, помним об этом. Переходим в IP-Routes.
Dst. Address не меняем, все нули.
Пропишем DNS. Переходим в IP-DNS. Указываем адреса DNS серверов, их тоже даст провайдер ( я в примере использовал адреса google), и ставим галочку в пункте Allow Remote Requests, чтобы разрешить наш общаться с внешним миром.
Прописываем правило в NAT. Переходим IP-Firewall и в нем на вкладку NAT. Нажимаем синий плюсик, chain оставляем srcnat, out-interface выбираем ether1, переходим на вкладку action и выбираем masquerade
Описание цепочек, действий, и в целом логики работы маршрутизатора будет опубликовано в отдельной статье. Здесь рассказываю только как настроить, не забивая голову, как он работает.
4. Настройка Wi-Fi.
Для настройки модуля Wi-Fi переходим в меню Wireless. Выбираем наш интерфейс и нажимаем на красную галку, тем самым включаем его. Затем щелкаем по названию интерфейса и видим меню его настройки.
Справа выбираем раздел Advanced mode и меню немного видоизменяется.
Собственно настройка (опишу интересующие нас пункты):
Mode - AP Brdige (режим беспроводной точки доступа)
Band - 2Ghz-G/N (выбор режима работы канальных скоростей)
Channel Width - 20MHz (ширина пропускной полосы; можно выставить и 20/40, но на частотах в 2.4 гигагерца смысла в этом нет при всего 13 доступных каналах)
Frequency - 2437 (я использую этот канал почти всегда, иначе говоря это 6 канал, и он один из трех не пересекающихся каналов, и зачастую менее всего зашумлен)
SSID - Имя Вашей сети
Wireless protocol - 802.11 (самый так сказать стандарт)
Security Profile - default (профиль безопасности, в нем храниться пароль и тип шифрования, его настроим чуть позже)
Frequency mode - regulatory domain (режим работы точки, их там будет три, для домашних целей выбираю именно этот, максимально допустимая мощность для конкретной страны)
- superchannel (без ограничений по мощности)
- manual-txpower (мощность можно выставить самому)
Country - Russia (исходя из выше сказанного, выбираем Россию. Там может быть несколько вариантов от Russia до Russia4, это частотные наборы для нашей страны, в совсем новых устройствах останется только Russia3)
Здесь закончили и переходим на вкладку Security Profiles
Mode переводим в dynamic keys, аутентификацию WPA2-PSK, и вводим пароль для сети в поле WPA2-Pre Shared Key
Wi-Fi настроен.
На этом базовая настройка завершена. Открываем терминал и пингуем google, видим, что пакеты побежали.
А как же безопасность и Firewall спросите Вы? А об этом я также напишу отдельную статью, дабы не громоздить тонны материала, а описывать все последовательно.
И не забываем сменить пароль на нашем устройстве, а лучше удалить встроенного admin и завести нового пользователя.
Для этого переходим в System - Users, добавляем нового пользователя и заводим пароль.
Часть 2. Терминальная
А теперь все тоже самое (кроме обновления) только через терминал (можно также подключиться используя SSH и Telnet).
Выбираем пункт New Terminal и приступаем. Определенного порядка в командах нет, покажу, как делаю я. Сам предпочитаю терминал, значительно сокращает время настройки, да и бывает так, что на устройствах отключен winbox и web, и зачастую доступ есть только через ssh, поэтому синтаксис терминала знать нужно. Конечно всегда можно через ssh включить winbox, но мне уже как-то привычнее в терминале.
Для навигации по меню и его иерархии используется "/" и название меню и соответствующего иерархии раздела. Например нам нужно создать бридж и добавить туда 2 порта, выглядит следующим образом:
/ interface bridge
add name=bridge1
Мы перешли в главный раздел меню Bridge, и создали его присвоив ему имя. Имя интерфейса Вы можете выбирать любое. Соответственно после каждой команды жмем Enter.
/ interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
Этим действием мы попали в раздел настройки портов, и двумя командами объединили в бридж два интерфейса.
Если Вы что-то неправильно ввели, роутер Вам об этом сообщит и укажет на ошибку
От теории к практике. Адреса взяты из головы для примера.
1. Первым делом я создаю бридж для локальной сети и добавляю в него ethernet порты и wifi.
/interface bridge
add name=bridge1
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=wlan1
2. Присваиваем адрес созданному бриджу, задаем пул адресов локальной сети, настраиваем dhcp-сервер.
/ ip address
add address=192.168.1.1/24 interface=bridge1 network=192.168.1.0
/ ip pool
add name=pool1 ranges=192.168.1.2-192.168.1.200
/ip dhcp-server
add name=server1 address-pool=pool1 lease-time=1d enabled=yes
/ ip dhcp-server network
add address=192.168.1.0/24 gateway=192.168.1.1 dns-server=8.8.8.8,8.8.4.4
3. Присваиваем адрес интерфейсу, который смотрит в сторону провайдера.
/ ip address
add address=175.16.42.14/30 interface=ether1 network=175.16.42.12
4. Прописываем DNS провайдера, разрешаем запросы и добавляем маршрут до шлюза провайдера.
/ip dns
set server=178.42.58.7,178.42.65.9 allow-remote-requests=yes
/ip route
add dst-address=0.0.0.0/0 gateway=175.16.42.13 distance=1
5. Разрешаем бриджу выход в интернет через ether1.
/ ip firewall nat
add chain=srcnat out-interface=ether1 action=masquerade
6. Настраиваем Wi-Fi и устанавливаем пароль на него.
/ interface wireless security-profiles
set mode=dynamic-keys authentication-method=wpa2-psk wpa2-psk-pre-shared-key=Ваш_Пароль numbers=0
0 - порядковый номер профиля
/ interface wireless
set mode=ap-bridge frequency=2437 band=2ghz-g/n channel-width=20mhz wireless-protocol=802.11 ssid=Имя_Вашей_Сети security-profile=default enabled=yes numbers=0
7. Отключим ненужные сервисы, заведем нового пользователя и отключим стандартного пользователя admin.
/ ip service
set api disabled=yes
set api-ssl disabled=yes
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
/system
/user
add name=Имя_Пользвателя password=Ваш_Пароль group=full
disable admin
Я обычно оставляю только Winbox и SSH, на них при необходимости можно изменить порты на свои, но я так не делаю, а настраиваю их защиту в Firewall, повторюсь, про настройку Firewall будет отдельная статья.
На этом базовая настройка через терминал закончена, маршрутизатор готов к работе.
Вот так без особых усилий мы настроили маршрутизатор. На первый взгляд может показаться сложным, но после нескольких раз, базовая настройка становится легким делом. А уж после сотни таких настроек и вовсе все будет происходить на "автомате".
Спасибо Вам за уделенное время!
