Mikrotik 4011 роутер настройка роутера

MikroTik RB4011: первый запуск и настройка

В прошлых главах, посвященных настройке микротиков, я упоминал, что большинство инструкций по настройке будут приводиться в виде консольных команд. Такой гиковский способ настройки поможет лучше понять устройство RouterOS. Знали ли вы, что оборудование MikroTik умеет менять mac-адреса сетевых интерфейсов? (Но эта возможность доступна только из консоли.)

Приготовления

Включите роутер в сеть; в первый порт подключите кабель провайдера, во второй — рабочего компьютера. Запустите Winbox, подключитесь к устройству 192.168.88.1 . В меню слева выберите пункт New Terminal.

Сброс конфигурации

/system reset-configuration no-defaults=yes skip-backup=yes 

Подтвердите сброс конфигурации (Winbox разорвет соединение) и дождитесь перезагрузки устройства. В интерфейсе Winbox выберите вкладку Neighbors и подключитесь к нужному устройству по mac-адресу. Как и при первом подключении — New Terminal.

Создание суперпользователя

Придумайте нестандартное имя и сложный пароль. Создайте пользователя с этими реквизитами и выдайте полный набор прав. После — удалите стандартного пользователя admin .

Обратите внимание, что некоторые символы — например, символ доллара — необходимо экранировать обратным слешем.

/user add name=% password=% group=full remove admin 

Перезапустите Winbox. Используйте реквизиты созданного пользователя, снова откройте окно терминала.

Настройка системных параметров

Установка часового пояса

Задайте дату (в формате Jan/01/2019 ) и время ( 00:00:00 ), близкие к текущим. Желательно также указать корректный часовой пояс (например, Europe/Moscow ) и отключить его автоматическое определение.

/system clock set date=% time=% time-zone-name=% time-zone-autodetect=no 

Определение имени устройства

Настройка проводных интерфейсов

Переопределение имен интерфейсов

Модели серии RB4011 оснащены двумя свичами. Я планирую использовать два интернет-канала, которые будут заведены на разные свичи; первый и шестой порты отведены специально для них. Также я отключаю неиспользуемый SFP+.

/interface ethernet set ether1 name=wan1 set ether6 name=wan2 set ether2 name=lan1 set ether3 name=lan2 set ether4 name=lan3 set ether5 name=lan4 set ether7 name=lan5 set ether8 name=lan6 set ether9 name=lan7 set ether10 name=lan8 set sfp-sfpplus1 name=sfp1 disabled=yes 

Настройка моста

/interface bridge add name=br1 

При проведении следующих настроек Winbox разорвет соединение; переподключитесь и продолжите с шага, на котором закончили.

/interface bridge port add bridge=br1 interface=lan1 add bridge=br1 interface=lan2 add bridge=br1 interface=lan3 add bridge=br1 interface=lan4 add bridge=br1 interface=lan5 add bridge=br1 interface=lan6 add bridge=br1 interface=lan7 add bridge=br1 interface=lan8 

Определение параметров локальной сети

Разрешение приема DNS-запросов

/ip dns set allow-remote-requests=yes 

Определение подсети

Роутер будет обслуживать сеть 192.168.0.0 , сам себе присвоит последний адрес диапазона — 192.168.0.254

/ip address add address=192.168.0.254/24 interface=br1 network=192.168.0.0 

Определение клиентского адресного пространства

Клиентам (как проводным, так и беспроводным) будет доступен диапазон 192.168.0.1 — 192.168.0.200 . Оставшиеся адреса можно будет использовать для статической адресации конкретных устройств.

/ip pool add name=pool1 ranges=192.168.0.1-192.168.0.200 

Определение параметров клиентских подключений

Эти параметры будут переданы каждому клиенту для корректной настройки его сетевого интерфейса и роутинга.

/ip dhcp-server network add address=192.168.0.0/24 dns-server=192.168.0.254 gateway=192.168.0.254 netmask=24 

Настройка DHCP-сервера

/ip dhcp-server add name=dhcp1 address-pool=pool1 lease-time=7d interface=br1 disabled=no 

Перезагрузка

Настройки безопасности

После перезагрузки устройство начнет работать в полном соответствии с указанными настройками: сам роутер и все подключенные устройства получат IP-адреса.

С этого момента я рекомендую подключаться к роутеру по SSH, используя терминал или совместимую программу-клиент (вроде putty для Windows).

Отключение сервера оценки пропускной способности

/tool bandwidth-server set enabled=no 

Отключение MAC-сервера

/tool mac-server set allowed-interface-list=none /tool mac-server mac-winbox set allowed-interface-list=none /tool mac-server ping set enabled=no 

Отключение неиспользуемых сервисов

/ip service set telnet disabled=yes set ftp disabled=yes set www disabled=yes set api disabled=yes set api-ssl disabled=yes 

Фильтрация подключений SSH и Winbox

Принимать ssh— и winbox-подключения только из локальной сети:

/ip service set ssh address=192.168.0.0/24 set winbox address=192.168.0.0/24 

Настройка файрвола

Ошибки (как сами правила, так и их порядок) в процессе настройки файрвола потенциально могут заблокировать возможность подключения к устройству. Чтобы избежать этой неприятной ситуации, используйте сочетание клавиш CTRL+X . (Командная строка при этом дополнится символами .)

Если что-то пойдет не так, вы сможете сбросить устройство, а изменения, сделанные в безопасном режиме, не будут применены.

/ip firewall filter add chain=input connection-state=established,related action=accept add chain=input connection-state=invalid action=drop add chain=forward connection-state=established,related action=accept add chain=forward connection-state=invalid action=drop add chain=input in-interface=wan1 action=drop add chain=forward in-interface=wan1 action=drop 

Активация интернет-подключения

Теперь, когда устройство достаточно защищено от потенциальных атак, можно активировать DHCP-сервер на порту провайдера.

/ip dhcp-client add interface=wan1 dhcp-options=hostname,clientid disabled=no 

Проверить доступность глобальной сети можно командой ping :

Чтобы клиентские устройства получили доступ в сеть, необходимо добавить правило NAT:

/ip firewall nat add chain=srcnat out-interface=wan1 action=masquerade 

Настройка NTP (опционально)

Автоматическая подстройка точного времени поможет избежать ряда проблем. (Хотя она же может их и создать, но об этом в другой раз.)

/system ntp client set enabled=yes primary-ntp=195.3.254.2 secondary-ntp=185.22.60.71 server-dns-names=0.ru.pool.ntp.org,1.ru.pool.ntp.org,2.ru.pool.ntp.org,3.ru.pool.ntp.org 

Обновление RouterOS

Попытки взлома устройств MikroTik в последнее время участились. Производитель постоянно напоминает о необходимости обновления встроенного ПО.

/system package update check-for-updates install 

Если после обновления устройство работает стабильно, имеет смысл обновить и прошивку:

/system routerboard upgrade 

Настройка беспроводных интерфейсов

Профиль безопасности

/interface wireless security-profiles set [ find default=yes ] authentication-types=wpa2-psk wpa2-pre-shared-key=% mode=dynamic-keys 

Названия интерфейсов

В модели hAP ac интерфейс wlan1 отвечал за диапазон 2,4 ГГц, wlan2 — за 5 ГГц. У RB4011 все наоборот, но от привычки избавиться сложнее, чем переименовать интерфейсы на старый лад:

/interface wireless set wlan1 name=wlan0 set wlan2 name=wlan1 set wlan0 name=wlan2 

Предупреждение об опасности

У RB4011 повышенный коэффициент усиления. Это дает возможность использовать передатчик на мощности 28 dBm (а для диапазона 5 GHz и вовсе 33 dBm). Ни в коем случае не используйте эти величины, как и значение default для параметра tx-power-mode.

Для начала установите параметр tx-power-mode равным all-rates-fixed , а tx-power — 1 . Проверьте устойчивость соединения на клиентских устройствах в зоне предполагаемого покрытия.

Увеличивайте значение tx-power только при наличии «слепых» зон — по-отдельности для каждого диапазона.

Настройка базовых беспроводных сетей

ssid: Homeland 2,4GHz radioname: homeland24ghz 

/interface wireless set wlan1 band=2ghz-g/n channel-width=20/40mhz-XX country=russia disabled=no distance=indoors frequency=auto guard-interval=long mode=ap-bridge multicast-helper=full radio-name=% ssid="%" tx-power=1 tx-power-mode=all-rates-fixed wireless-protocol=802.11 wps-mode=disabled 

ssid: Homeland 5GHz radioname: homeland5ghz 

/interface wireless set wlan2 band=5ghz-a/n/ac channel-width=20/40/80mhz-XXXX country=russia disabled=no distance=indoors frequency=auto guard-interval=long mode=ap-bridge multicast-helper=full radio-name=% ssid="%" tx-power=1 tx-power-mode=all-rates-fixed wireless-protocol=802.11 wps-mode=disabled 

Настройка «междиапазонного роуминга»

Я предпочитаю давать устройствам возможность использовать любой подходящий диапазон, а также переключаться между ними по мере необходимости. Для этого нужно создать два виртуальных интерфейса (зависимых от wlan1 и wlan2 , соответственно), указав для обоих одинаковый SSID.

/interface wireless add arp=reply-only master-interface=wlan1 name=wlan10 ssid="%" wps-mode=disabled multicast-helper=full disabled=no add arp=reply-only master-interface=wlan2 name=wlan20 ssid="%" wps-mode=disabled multicast-helper=full disabled=no 

Настройка моста для беспроводных интерфейсов

/interface bridge port add bridge=br1 interface=wlan1 add bridge=br1 interface=wlan10 add bridge=br1 interface=wlan2 add bridge=br1 interface=wlan20 

Источник