Mikrotik 4011 роутер настройка роутера

Содержание
  1. MikroTik RB4011: первый запуск и настройка
  2. Приготовления
  3. Сброс конфигурации
  4. Создание суперпользователя
  5. Настройка системных параметров
  6. Установка часового пояса
  7. Определение имени устройства
  8. Настройка проводных интерфейсов
  9. Переопределение имен интерфейсов
  10. Настройка моста
  11. Определение параметров локальной сети
  12. Разрешение приема DNS-запросов
  13. Определение подсети
  14. Определение клиентского адресного пространства
  15. Определение параметров клиентских подключений
  16. Настройка DHCP-сервера
  17. Перезагрузка
  18. Настройки безопасности
  19. Отключение сервера оценки пропускной способности
  20. Отключение MAC-сервера
  21. Отключение неиспользуемых сервисов
  22. Фильтрация подключений SSH и Winbox
  23. Настройка файрвола
  24. Активация интернет-подключения
  25. Настройка NTP (опционально)
  26. Обновление RouterOS
  27. Настройка беспроводных интерфейсов
  28. Профиль безопасности
  29. Названия интерфейсов
  30. Предупреждение об опасности
  31. Настройка базовых беспроводных сетей
  32. Настройка «междиапазонного роуминга»
  33. Настройка моста для беспроводных интерфейсов

MikroTik RB4011: первый запуск и настройка

В прошлых главах, посвященных настройке микротиков, я упоминал, что большинство инструкций по настройке будут приводиться в виде консольных команд. Такой гиковский способ настройки поможет лучше понять устройство RouterOS. Знали ли вы, что оборудование MikroTik умеет менять mac-адреса сетевых интерфейсов? (Но эта возможность доступна только из консоли.)

Приготовления

Включите роутер в сеть; в первый порт подключите кабель провайдера, во второй — рабочего компьютера. Запустите Winbox, подключитесь к устройству 192.168.88.1 . В меню слева выберите пункт New Terminal.

Сброс конфигурации

/system reset-configuration no-defaults=yes skip-backup=yes 

Подтвердите сброс конфигурации (Winbox разорвет соединение) и дождитесь перезагрузки устройства. В интерфейсе Winbox выберите вкладку Neighbors и подключитесь к нужному устройству по mac-адресу. Как и при первом подключении — New Terminal.

Создание суперпользователя

Придумайте нестандартное имя и сложный пароль. Создайте пользователя с этими реквизитами и выдайте полный набор прав. После — удалите стандартного пользователя admin .

Обратите внимание, что некоторые символы — например, символ доллара — необходимо экранировать обратным слешем.

/user add name=% password=% group=full remove admin 

Перезапустите Winbox. Используйте реквизиты созданного пользователя, снова откройте окно терминала.

Настройка системных параметров

Установка часового пояса

Задайте дату (в формате Jan/01/2019 ) и время ( 00:00:00 ), близкие к текущим. Желательно также указать корректный часовой пояс (например, Europe/Moscow ) и отключить его автоматическое определение.

/system clock set date=% time=% time-zone-name=% time-zone-autodetect=no 

Определение имени устройства

Настройка проводных интерфейсов

Переопределение имен интерфейсов

Модели серии RB4011 оснащены двумя свичами. Я планирую использовать два интернет-канала, которые будут заведены на разные свичи; первый и шестой порты отведены специально для них. Также я отключаю неиспользуемый SFP+.

/interface ethernet set ether1 name=wan1 set ether6 name=wan2 set ether2 name=lan1 set ether3 name=lan2 set ether4 name=lan3 set ether5 name=lan4 set ether7 name=lan5 set ether8 name=lan6 set ether9 name=lan7 set ether10 name=lan8 set sfp-sfpplus1 name=sfp1 disabled=yes 

Настройка моста

/interface bridge add name=br1 

При проведении следующих настроек Winbox разорвет соединение; переподключитесь и продолжите с шага, на котором закончили.

/interface bridge port add bridge=br1 interface=lan1 add bridge=br1 interface=lan2 add bridge=br1 interface=lan3 add bridge=br1 interface=lan4 add bridge=br1 interface=lan5 add bridge=br1 interface=lan6 add bridge=br1 interface=lan7 add bridge=br1 interface=lan8 

Определение параметров локальной сети

Разрешение приема DNS-запросов

/ip dns set allow-remote-requests=yes 

Определение подсети

Роутер будет обслуживать сеть 192.168.0.0 , сам себе присвоит последний адрес диапазона — 192.168.0.254

/ip address add address=192.168.0.254/24 interface=br1 network=192.168.0.0 

Определение клиентского адресного пространства

Клиентам (как проводным, так и беспроводным) будет доступен диапазон 192.168.0.1 — 192.168.0.200 . Оставшиеся адреса можно будет использовать для статической адресации конкретных устройств.

/ip pool add name=pool1 ranges=192.168.0.1-192.168.0.200 

Определение параметров клиентских подключений

Эти параметры будут переданы каждому клиенту для корректной настройки его сетевого интерфейса и роутинга.

/ip dhcp-server network add address=192.168.0.0/24 dns-server=192.168.0.254 gateway=192.168.0.254 netmask=24 

Настройка DHCP-сервера

/ip dhcp-server add name=dhcp1 address-pool=pool1 lease-time=7d interface=br1 disabled=no 

Перезагрузка

Настройки безопасности

После перезагрузки устройство начнет работать в полном соответствии с указанными настройками: сам роутер и все подключенные устройства получат IP-адреса.

Читайте также:  Производство вай фай роутеров

С этого момента я рекомендую подключаться к роутеру по SSH, используя терминал или совместимую программу-клиент (вроде putty для Windows).

Отключение сервера оценки пропускной способности

/tool bandwidth-server set enabled=no 

Отключение MAC-сервера

/tool mac-server set allowed-interface-list=none /tool mac-server mac-winbox set allowed-interface-list=none /tool mac-server ping set enabled=no 

Отключение неиспользуемых сервисов

/ip service set telnet disabled=yes set ftp disabled=yes set www disabled=yes set api disabled=yes set api-ssl disabled=yes 

Фильтрация подключений SSH и Winbox

Принимать ssh— и winbox-подключения только из локальной сети:

/ip service set ssh address=192.168.0.0/24 set winbox address=192.168.0.0/24 

Настройка файрвола

Ошибки (как сами правила, так и их порядок) в процессе настройки файрвола потенциально могут заблокировать возможность подключения к устройству. Чтобы избежать этой неприятной ситуации, используйте сочетание клавиш CTRL+X . (Командная строка при этом дополнится символами .)

Если что-то пойдет не так, вы сможете сбросить устройство, а изменения, сделанные в безопасном режиме, не будут применены.

/ip firewall filter add chain=input connection-state=established,related action=accept add chain=input connection-state=invalid action=drop add chain=forward connection-state=established,related action=accept add chain=forward connection-state=invalid action=drop add chain=input in-interface=wan1 action=drop add chain=forward in-interface=wan1 action=drop 

Активация интернет-подключения

Теперь, когда устройство достаточно защищено от потенциальных атак, можно активировать DHCP-сервер на порту провайдера.

/ip dhcp-client add interface=wan1 dhcp-options=hostname,clientid disabled=no 

Проверить доступность глобальной сети можно командой ping :

Чтобы клиентские устройства получили доступ в сеть, необходимо добавить правило NAT:

/ip firewall nat add chain=srcnat out-interface=wan1 action=masquerade 

Настройка NTP (опционально)

Автоматическая подстройка точного времени поможет избежать ряда проблем. (Хотя она же может их и создать, но об этом в другой раз.)

/system ntp client set enabled=yes primary-ntp=195.3.254.2 secondary-ntp=185.22.60.71 server-dns-names=0.ru.pool.ntp.org,1.ru.pool.ntp.org,2.ru.pool.ntp.org,3.ru.pool.ntp.org 

Обновление RouterOS

Попытки взлома устройств MikroTik в последнее время участились. Производитель постоянно напоминает о необходимости обновления встроенного ПО.

/system package update check-for-updates install 

Если после обновления устройство работает стабильно, имеет смысл обновить и прошивку:

/system routerboard upgrade 

Настройка беспроводных интерфейсов

Профиль безопасности

/interface wireless security-profiles set [ find default=yes ] authentication-types=wpa2-psk wpa2-pre-shared-key=% mode=dynamic-keys 

Названия интерфейсов

В модели hAP ac интерфейс wlan1 отвечал за диапазон 2,4 ГГц, wlan2 — за 5 ГГц. У RB4011 все наоборот, но от привычки избавиться сложнее, чем переименовать интерфейсы на старый лад:

/interface wireless set wlan1 name=wlan0 set wlan2 name=wlan1 set wlan0 name=wlan2 

Предупреждение об опасности

У RB4011 повышенный коэффициент усиления. Это дает возможность использовать передатчик на мощности 28 dBm (а для диапазона 5 GHz и вовсе 33 dBm). Ни в коем случае не используйте эти величины, как и значение default для параметра tx-power-mode.

Для начала установите параметр tx-power-mode равным all-rates-fixed , а tx-power — 1 . Проверьте устойчивость соединения на клиентских устройствах в зоне предполагаемого покрытия.

Читайте также:  Стационарный роутер 4g билайн

Увеличивайте значение tx-power только при наличии «слепых» зон — по-отдельности для каждого диапазона.

Настройка базовых беспроводных сетей

ssid: Homeland 2,4GHz radioname: homeland24ghz 
/interface wireless set wlan1 band=2ghz-g/n channel-width=20/40mhz-XX country=russia disabled=no distance=indoors frequency=auto guard-interval=long mode=ap-bridge multicast-helper=full radio-name=% ssid="%" tx-power=1 tx-power-mode=all-rates-fixed wireless-protocol=802.11 wps-mode=disabled 
ssid: Homeland 5GHz radioname: homeland5ghz 
/interface wireless set wlan2 band=5ghz-a/n/ac channel-width=20/40/80mhz-XXXX country=russia disabled=no distance=indoors frequency=auto guard-interval=long mode=ap-bridge multicast-helper=full radio-name=% ssid="%" tx-power=1 tx-power-mode=all-rates-fixed wireless-protocol=802.11 wps-mode=disabled 

Настройка «междиапазонного роуминга»

Я предпочитаю давать устройствам возможность использовать любой подходящий диапазон, а также переключаться между ними по мере необходимости. Для этого нужно создать два виртуальных интерфейса (зависимых от wlan1 и wlan2 , соответственно), указав для обоих одинаковый SSID.

/interface wireless add arp=reply-only master-interface=wlan1 name=wlan10 ssid="%" wps-mode=disabled multicast-helper=full disabled=no add arp=reply-only master-interface=wlan2 name=wlan20 ssid="%" wps-mode=disabled multicast-helper=full disabled=no 

Настройка моста для беспроводных интерфейсов

/interface bridge port add bridge=br1 interface=wlan1 add bridge=br1 interface=wlan10 add bridge=br1 interface=wlan2 add bridge=br1 interface=wlan20 

Источник

Оцените статью
Adblock
detector