- MikroTik RB4011: первый запуск и настройка
- Приготовления
- Сброс конфигурации
- Создание суперпользователя
- Настройка системных параметров
- Установка часового пояса
- Определение имени устройства
- Настройка проводных интерфейсов
- Переопределение имен интерфейсов
- Настройка моста
- Определение параметров локальной сети
- Разрешение приема DNS-запросов
- Определение подсети
- Определение клиентского адресного пространства
- Определение параметров клиентских подключений
- Настройка DHCP-сервера
- Перезагрузка
- Настройки безопасности
- Отключение сервера оценки пропускной способности
- Отключение MAC-сервера
- Отключение неиспользуемых сервисов
- Фильтрация подключений SSH и Winbox
- Настройка файрвола
- Активация интернет-подключения
- Настройка NTP (опционально)
- Обновление RouterOS
- Настройка беспроводных интерфейсов
- Профиль безопасности
- Названия интерфейсов
- Предупреждение об опасности
- Настройка базовых беспроводных сетей
- Настройка «междиапазонного роуминга»
- Настройка моста для беспроводных интерфейсов
MikroTik RB4011: первый запуск и настройка
В прошлых главах, посвященных настройке микротиков, я упоминал, что большинство инструкций по настройке будут приводиться в виде консольных команд. Такой гиковский способ настройки поможет лучше понять устройство RouterOS. Знали ли вы, что оборудование MikroTik умеет менять mac-адреса сетевых интерфейсов? (Но эта возможность доступна только из консоли.)
Приготовления
Включите роутер в сеть; в первый порт подключите кабель провайдера, во второй — рабочего компьютера. Запустите Winbox, подключитесь к устройству 192.168.88.1 . В меню слева выберите пункт New Terminal.
Сброс конфигурации
/system reset-configuration no-defaults=yes skip-backup=yes
Подтвердите сброс конфигурации (Winbox разорвет соединение) и дождитесь перезагрузки устройства. В интерфейсе Winbox выберите вкладку Neighbors и подключитесь к нужному устройству по mac-адресу. Как и при первом подключении — New Terminal.
Создание суперпользователя
Придумайте нестандартное имя и сложный пароль. Создайте пользователя с этими реквизитами и выдайте полный набор прав. После — удалите стандартного пользователя admin .
Обратите внимание, что некоторые символы — например, символ доллара — необходимо экранировать обратным слешем.
/user add name=% password=% group=full remove admin
Перезапустите Winbox. Используйте реквизиты созданного пользователя, снова откройте окно терминала.
Настройка системных параметров
Установка часового пояса
Задайте дату (в формате Jan/01/2019 ) и время ( 00:00:00 ), близкие к текущим. Желательно также указать корректный часовой пояс (например, Europe/Moscow ) и отключить его автоматическое определение.
/system clock set date=% time=% time-zone-name=% time-zone-autodetect=no
Определение имени устройства
Настройка проводных интерфейсов
Переопределение имен интерфейсов
Модели серии RB4011 оснащены двумя свичами. Я планирую использовать два интернет-канала, которые будут заведены на разные свичи; первый и шестой порты отведены специально для них. Также я отключаю неиспользуемый SFP+.
/interface ethernet set ether1 name=wan1 set ether6 name=wan2 set ether2 name=lan1 set ether3 name=lan2 set ether4 name=lan3 set ether5 name=lan4 set ether7 name=lan5 set ether8 name=lan6 set ether9 name=lan7 set ether10 name=lan8 set sfp-sfpplus1 name=sfp1 disabled=yes
Настройка моста
/interface bridge add name=br1
При проведении следующих настроек Winbox разорвет соединение; переподключитесь и продолжите с шага, на котором закончили.
/interface bridge port add bridge=br1 interface=lan1 add bridge=br1 interface=lan2 add bridge=br1 interface=lan3 add bridge=br1 interface=lan4 add bridge=br1 interface=lan5 add bridge=br1 interface=lan6 add bridge=br1 interface=lan7 add bridge=br1 interface=lan8
Определение параметров локальной сети
Разрешение приема DNS-запросов
/ip dns set allow-remote-requests=yes
Определение подсети
Роутер будет обслуживать сеть 192.168.0.0 , сам себе присвоит последний адрес диапазона — 192.168.0.254
/ip address add address=192.168.0.254/24 interface=br1 network=192.168.0.0
Определение клиентского адресного пространства
Клиентам (как проводным, так и беспроводным) будет доступен диапазон 192.168.0.1 — 192.168.0.200 . Оставшиеся адреса можно будет использовать для статической адресации конкретных устройств.
/ip pool add name=pool1 ranges=192.168.0.1-192.168.0.200
Определение параметров клиентских подключений
Эти параметры будут переданы каждому клиенту для корректной настройки его сетевого интерфейса и роутинга.
/ip dhcp-server network add address=192.168.0.0/24 dns-server=192.168.0.254 gateway=192.168.0.254 netmask=24
Настройка DHCP-сервера
/ip dhcp-server add name=dhcp1 address-pool=pool1 lease-time=7d interface=br1 disabled=no
Перезагрузка
Настройки безопасности
После перезагрузки устройство начнет работать в полном соответствии с указанными настройками: сам роутер и все подключенные устройства получат IP-адреса.
С этого момента я рекомендую подключаться к роутеру по SSH, используя терминал или совместимую программу-клиент (вроде putty для Windows).
Отключение сервера оценки пропускной способности
/tool bandwidth-server set enabled=no
Отключение MAC-сервера
/tool mac-server set allowed-interface-list=none /tool mac-server mac-winbox set allowed-interface-list=none /tool mac-server ping set enabled=no
Отключение неиспользуемых сервисов
/ip service set telnet disabled=yes set ftp disabled=yes set www disabled=yes set api disabled=yes set api-ssl disabled=yes
Фильтрация подключений SSH и Winbox
Принимать ssh— и winbox-подключения только из локальной сети:
/ip service set ssh address=192.168.0.0/24 set winbox address=192.168.0.0/24
Настройка файрвола
Ошибки (как сами правила, так и их порядок) в процессе настройки файрвола потенциально могут заблокировать возможность подключения к устройству. Чтобы избежать этой неприятной ситуации, используйте сочетание клавиш CTRL+X . (Командная строка при этом дополнится символами .)
Если что-то пойдет не так, вы сможете сбросить устройство, а изменения, сделанные в безопасном режиме, не будут применены.
/ip firewall filter add chain=input connection-state=established,related action=accept add chain=input connection-state=invalid action=drop add chain=forward connection-state=established,related action=accept add chain=forward connection-state=invalid action=drop add chain=input in-interface=wan1 action=drop add chain=forward in-interface=wan1 action=drop
Активация интернет-подключения
Теперь, когда устройство достаточно защищено от потенциальных атак, можно активировать DHCP-сервер на порту провайдера.
/ip dhcp-client add interface=wan1 dhcp-options=hostname,clientid disabled=no
Проверить доступность глобальной сети можно командой ping :
Чтобы клиентские устройства получили доступ в сеть, необходимо добавить правило NAT:
/ip firewall nat add chain=srcnat out-interface=wan1 action=masquerade
Настройка NTP (опционально)
Автоматическая подстройка точного времени поможет избежать ряда проблем. (Хотя она же может их и создать, но об этом в другой раз.)
/system ntp client set enabled=yes primary-ntp=195.3.254.2 secondary-ntp=185.22.60.71 server-dns-names=0.ru.pool.ntp.org,1.ru.pool.ntp.org,2.ru.pool.ntp.org,3.ru.pool.ntp.org
Обновление RouterOS
Попытки взлома устройств MikroTik в последнее время участились. Производитель постоянно напоминает о необходимости обновления встроенного ПО.
/system package update check-for-updates install
Если после обновления устройство работает стабильно, имеет смысл обновить и прошивку:
/system routerboard upgrade
Настройка беспроводных интерфейсов
Профиль безопасности
/interface wireless security-profiles set [ find default=yes ] authentication-types=wpa2-psk wpa2-pre-shared-key=% mode=dynamic-keys
Названия интерфейсов
В модели hAP ac интерфейс wlan1 отвечал за диапазон 2,4 ГГц, wlan2 — за 5 ГГц. У RB4011 все наоборот, но от привычки избавиться сложнее, чем переименовать интерфейсы на старый лад:
/interface wireless set wlan1 name=wlan0 set wlan2 name=wlan1 set wlan0 name=wlan2
Предупреждение об опасности
У RB4011 повышенный коэффициент усиления. Это дает возможность использовать передатчик на мощности 28 dBm (а для диапазона 5 GHz и вовсе 33 dBm). Ни в коем случае не используйте эти величины, как и значение default для параметра tx-power-mode.
Для начала установите параметр tx-power-mode равным all-rates-fixed , а tx-power — 1 . Проверьте устойчивость соединения на клиентских устройствах в зоне предполагаемого покрытия.
Увеличивайте значение tx-power только при наличии «слепых» зон — по-отдельности для каждого диапазона.
Настройка базовых беспроводных сетей
ssid: Homeland 2,4GHz radioname: homeland24ghz
/interface wireless set wlan1 band=2ghz-g/n channel-width=20/40mhz-XX country=russia disabled=no distance=indoors frequency=auto guard-interval=long mode=ap-bridge multicast-helper=full radio-name=% ssid="%" tx-power=1 tx-power-mode=all-rates-fixed wireless-protocol=802.11 wps-mode=disabled
ssid: Homeland 5GHz radioname: homeland5ghz
/interface wireless set wlan2 band=5ghz-a/n/ac channel-width=20/40/80mhz-XXXX country=russia disabled=no distance=indoors frequency=auto guard-interval=long mode=ap-bridge multicast-helper=full radio-name=% ssid="%" tx-power=1 tx-power-mode=all-rates-fixed wireless-protocol=802.11 wps-mode=disabled
Настройка «междиапазонного роуминга»
Я предпочитаю давать устройствам возможность использовать любой подходящий диапазон, а также переключаться между ними по мере необходимости. Для этого нужно создать два виртуальных интерфейса (зависимых от wlan1 и wlan2 , соответственно), указав для обоих одинаковый SSID.
/interface wireless add arp=reply-only master-interface=wlan1 name=wlan10 ssid="%" wps-mode=disabled multicast-helper=full disabled=no add arp=reply-only master-interface=wlan2 name=wlan20 ssid="%" wps-mode=disabled multicast-helper=full disabled=no
Настройка моста для беспроводных интерфейсов
/interface bridge port add bridge=br1 interface=wlan1 add bridge=br1 interface=wlan10 add bridge=br1 interface=wlan2 add bridge=br1 interface=wlan20