Найти тему
knowledge base
72 подписчика

Базовые настройки оборудования Mikrotik

52
8 мин
Оглавление

Привожу свой чек-лист базовой настройки микротов, тут нет настроек брандмауэра, маршрутизации, коммутации, здесь именно базовая "косметика".

1. Сброс к заводским настройкам

Переходим в меню "System => Reset Configuration"

Выставляем галку у параметра "No Default Configuration", чтобы при сбросе конфигурации обратно не накатилась конфигурация по умолчанию, и нажимаем кнопку "Reset Configuration".

-2

RouterOS попросит подтвердить действие, нажимаем "Yes".

-3

Через терминал тоже самое можно сделать следующей командой

system reset-configuration no-defaults=yes

В терминале система так же попросит подтвердить действие, нужно ввести "y" и нажать Enter.

2. Обновление RouterOS

Это можно сделать двумя способами:

  • способ первый - скачать образ операционной системы с сайта mikrotik.com, в разделе downloads выбираем нужный образ для нашего устройства. Чтобы понять, какой образ подходит для роутера, смотрим в левый верхний угол winbox, там будет информация об установленной на роутере версии RouterOS, наименование модели роутера и архитектура процессора
-4

Нужная версия прошивки привязывается к архитектуре процессора, в моём случае я работаю с моделью hAP ac lite, процессор у данной модели mipsbe. Тут есть пара нюансов, актуальных версий RouterOS сейчас две, шестая версия и седьмая, в продакшене я использую шестую версию (как более привычную и надёжную), у каждой версии routerOS есть по две ветки ПО, у шестой это Long-Term и Stable, у седьмой это Stable и Testing, я всегда использую ветку Long-Term шестой версии, т.к. там меньше всего багов.

Пакеты с RouterOS поставляются в двух видах Main package и Extra package, Main - это монолитный файл, в котором "зашиты" все нужные, по мнению разработчиков, службы для роутера, Extra - это набор файлов (т.е. можно загружать в роутер тот набор служб, который требуется конкретному устройству). Я предпочитаю использовать Main файл, просто выключая ненужные службы, а если чего то нехватает в Main, дополнительно подгружать службу из Extra (не все службы есть в Mаin, например "NTP Server", система позволяет догрузить файл службы из Extra рядом с Main.
Скачиваем последнюю шестую версию RouterOS в ветке Long-Term (Качаем Main).

-5

с помощью drug&drop перемещаем скачанный образ прямо в окно winbox

-6

Система покажет загрузку файла и откроет меню файловой системы, где будет виден наш файл

-7

После этого надо только перезагрузить роутер, либо через меню "System=>Reboot"

-8

Либо командой в терминале

system reboot

В обоих случаях система запросит подтверждения операции

  • второй способ - настроить подключение к сети интернет для нашего устройства, подробно этот процесс расписывать не буду, самое простое , что можно сделать, наше устройство одним портом подключить к роутеру, который раздаёт интернет, и на этом порту включить службу dhcp client.
    Если наше устройство будет подключено к сети Internet, то обновить его можно online, через меню "System=>Packages"
-9

Нажимаем кнопку "Check For Updates"

-10

В появившемся меню выбираем ветку ПО, нам покажут версию прошивки установленную на устройстве и версию, до которой можно обновиться, нажимаем "Download&Install", система сама скачает нужный файл и перезагрузится.

-11

3. Обновление RouterBOARD

Версия RouterBOARD должна совпадать с версией RouterOS, иначе возможны глюки устройства.

Заходим в "System=>RouterBOARD".

-12

В поле "Current Firmware" покажут текущую версию RouterBoard, в поле "Upgrade Firmware" будет версия, до которой можно обновиться (всегда совпадает с актуальной установленной на устройстве версией RouterOS). Нажимаем кнопку Upgrade, система сообщит, что Firmware обновлена, и требуется перезагрузка.

-13

Перезагружаем

system reboot

4. Отключаем не нужные пакеты (службы).

Отключением ненужных служб, мы уменьшаем нагрузку на систему.

В "System=>Package" выделяем пакеты, которые нам не требуются на устройстве и нажимаем кнопку Disable, после перезагрузки пакет будет отключён, на скрине у нас пакет ipv6 уже отключён, а пакет hotspot помечен на отключение после перезагрузки.

-14

5. Отключение протокола MNDP на всех портах, кроме определённого для администрирования порта (или группы портов).

для которых будет возможно подключение к системе через winbox по MAC адресу. Я стараюсь выделять один физический порт, на котором включаю MNDP.
создадим группу портов, назовём её MAC-Services, заходим в "Interfaces=>Interface List" и нажимаем кнопку "Lists"

-15

В появившемся окне нажимаем "+"

-16

Вводим название нашего списка интерфейсов (MAC-Services), и нажимаем "OK"

-17

Далее в том же меню "Interfaces=>Interface List" нажимаем кнопку "+", чтобы добавить интерфейс к созданной группе интерфейсов
В верхнем списке выбираем нашу группу (MAC-Services), в нижнем списке выбираем нужный интерфейс (Ether5), и нажимаем "OK".

-18

Появится запись об интерфейсе и группе

-19

Теперь нужно разрешить MNDP только для созданной группы, в меню "IP=>Neighbors", нажимаем кнопку "Discovery Settings"

-20

В поле "Interface" выбираем нашу группу, нажимаем "OK"

-21

Разрешим только для нашей группы подключаться по MAC-Winbox и по MAC-Telnet, для этого заходим в "Tools=>MAC-Server"

-22

Нажимаем "MAC Telnet Server", в открывшемся окне, в поле "Allowed Interface List" выбираем созданный нами список (MAC-Services)

-23

Нажимаем "MAC WinBox Server", в открывшемся окне, в поле "Allowed Interface List" выбираем созданный нами список (MAC-Services)

-24

Отключим функцию MAC Ping, в том же меню заходим в "MAC Ping Server", и снимаем галку с опции "MAC Ping Enabled", нажимаем "OK".

-25

6. Задание пароля для административных учётных записей.

Достаточно часто на сетевых устройствах оставляют пароль по умолчанию, в последних прошивках RouterOS система перед первой аутентификацией попросит задать пароль, в старых версиях RouterOS система разрешала использовать реквизиты по умолчанию, логин - admin, пароль - пустой. В моей практике был случай, когда я для целей траблшута разрешал MNDP на всех интерфейсах, в том числе и тех, которые смотрели в опорную сеть провайдера, и видел множество соседей по MNDP, практически у всех не был отключён MAC Telnet Server, и их роутеры, при попытке подключения выдавали приглашение ко входу, а на один я смог зайти под учёткой admin с пустым паролем. Поэтому очень важно отключать возможность подключаться по MAC адресам для всех портов, кроме административных и задавать пароль на админскую учётку.

Управление учётными записями происходит в меню "System=>Users"

-26

В окне "User List", виден список пользователей, если это первоначальная настройка, то пользователь будет только admin. Кликаем правой кнопкой мыши по нему, и выбираем пункт "Password..."

-27

Появится окно ввода нового пароля, задаём новый пароль, повторяем его, и нажимаем кнопку "ОК"

-28

Я предпочитаю создавать нового пользователя, с админскими правами на устройство, заходить под новым пользователем в систему и удалять встроенного админа. Это усложнит возможный брутфорс.

Для создания пользователя, все в том же окне "User List", нажимаем кнопку "+", появляется меню создания пользователя, где надо задать имя, группу (это определит уровень прав к системе, мы выбираем "full") и пароль. Для пользователя можно ограничить адреса, с которых можно производить аутентификацию (поле "Allowed Address", я настоятельно не рекомендую пользоваться данной опцией, это может внести нехилую путаницу в конфигурацию, ограничивать подключение для администраторов имеет смысл через брандмауер.

-29

7. Отключаем IP сервисы устройства, которые не будем использовать, и меняем порты для сервисов.

Заходим в меню "IP=>Services"

-30

Мы увидим список сервисов, которые доступны на устройстве

-31

Кроме ftp, все остальные службы используются для управления устройством, и если вам они не требуются в работе, то лучше их отключить.

Можно выделить отключаемые службы левой кнопкой мыши с зажатым Ctrl, и нажать кнопку "х". Я обычно оставляю только ssh и winbox, меняя на них порты, иногда включаю www-ssl.

-32

Если зайти двойным кликом мыши в службу, появится возможность изменить порт подключения, это обычно не останавливает взломщиков, и доступы по ssh или winbox наружу нельзя открывать (исключения только для механизма "port knocking", или если доступы регулируются через firewall, т.е. доступ возможен только с конкретных адресов). Тут же можно разрешить доступ к службам с определённых адресов, но как писал выше, не советую этого делать, а регулировать доступы через брандмауэры, иначе у вас или у тех кто будет принимать настроенную вами сеть, может выдаться фиерический траблшут.

-33

Вот так финально должен выглядеть список сервисов

-34

8. Меняем имя устройству (Identity).

Всем устройствам сети надо задавать имена, чтобы не было путаницы, и можно было составить L2 и L3 схемы, я использую такую схему именования устройств:

"место расположение (кратко)"-"модель устройства"-"тип устройства""номер"

Практически все символы имени делаю в верхнем регистре, чтобы в конфигурации имя бросалось в глаза.


теперь по пунктам:

  • "место расположения (кратко)" - по сути описывает то место, где установлено устройство, если это квартира, то можно задать обозначение города, улицу (по ситуации, можно кратко) и дом (например MSK-SVERDLOVA2), а в случае организации, это м.б. сокращение HQ (от head quarters), или MSK-BRANCH.
  • "Модель устройства" - модель без указания вендора, например hAPaclite или hAPac2 или RB1000 и т.д.
  • "тип устройства" - коммутатор - SW, маршрутизатор - GW, точка доступа AP
  • "N" - номер устройства по порядку, если на объекте установлены несколько однотипных коммутаторов, точек доступа или маршрутизаторов.

Благодаря такой схеме именования, чтение документации упрощается, имена устройств выглядят так:

MSK-HQ-CCR1016-GW1
MSK-HQ-CRS328-SW1
MSK-HQ-cAPac-AP1
и т.д.

Наш роутер будет назван как HOME-hAPaclite-GW1

Задаётся значение Identity в меню "System=>Identity"

-35

9. Настройка времени на устройстве.

Я использую подключение к внешним NTP серверам, хотя время можно и вручную настроить. Данная настройка актуальна, если на устройстве не установлен пакет NTP, если таковой пакет установлен, суть настройки не изменится, но доступ к настройкам NTP клиента будет в другом месте.


Заходим в "System=>SNTP Client"

-36

Ставим галку у опции "Enabled", и указываем Primary и Secondary NTP сервера, можно указать как адрес так и имя сервера, если укажете имя, winbox преобразует его в адрес. Я обычно беру имена официальных российских NTP серверов
0.ru.pool.ntp.org
1.ru.pool.ntp.org

-37

Это все базовые настройки, которые на мой взгляд уместны для устройств mikrotik, они актуальны для шестой и для седьмой версий RouterOS.

Взгляните на эти темы
Гаджеты и электроника
Технологии и IT
Найти тему
Умные колонки
Колонки и аудиосистемы
Графические планшеты
VR-очки
Смартфоны
Планшеты
Ноутбуки
Игровые консоли
Умные часы
Фитнес-трекеры
Камеры и фототехника
Наушники
Электронные книги
Социальные сети и мессенджеры
Языки программирования
Веб-разработка
Мобильная разработка
Разработка игр
Гаджеты и электроника
5,73 млн интересуются