Настройка MikroTik RB951Ui-2HnD
Сегодня мы настроим шаг за шагов легендарный Mikrotik RB951Ui-2Hnd. Это отец 951G, разница у них только в скоростях портов, все остальное один в один. Работать он у нас будет в режиме «кухонного комбайна» то есть все что нужно мы на него прикрутим.
Прошивка
Первым делом рекомендуется обновить девайс до RouterOS 6.48.3. В ней исправили уязвимость в wireless «FragAttacks» (CVE-2020-24587, CVE-2020-24588, CVE-2020-26144, CVE-2020-26146, CVE-2020-26147);
Сделать вы можете это разными способами, но рекомендуем через NetInstall (снимает блокировку на мощность карточки WiFi)
Если вы хотите углубить свои знания по работе с роутерами MikroTik, то наша команда рекомендует пройти курсы которые сделаны на основе MikroTik Certified Network Associate и расширены автором на основе опыта . Подробно читайте ниже.
DNS
Для разрешения имён мы используем всеми известную службу Domain Name System. Но в данной статье мы сделаем преобразование более защищённым. Начиная с RouterOS 6.47 появилась возможность использования DoH (DNS over HTTPS). Теперь все ваши запросы будут идти не в открытом виде, а зашифрованные с помощью HTTPS, что в свою очередь скрывает от чужих глаз ваш трафик. Список публичных DoH серверов можно посмотреть на github. В демонстрации будем использовать от CloudFlare:
Указываем данный URL в Use DoH Server и ставим галочку Verify DoH Certificate.
Посмотрите внимательно на данную настройку. Есть нюансы:
- Использовать можно только 1 DoH;
- Т.к. мы используем URL, то адрес CloudFlare нужно отрезолвить, для этого мы указываем 1.0.0.1;
- Для верификации сертификата провайдера, нужен публичный ключ глобального CA, для CloudFlare это DigiCert Global Root CA. Скачиваем DigiCert pem и импортируем в Mikrotik.
DHCP
Настроим раздачу IP адресов. Но для начала нам нужно собрать Bridge и определиться, через какой порт будет доступен провайдер, предлагаю по стандарту через 1-ый. Открываем Bridge, жмем на плюсик и указываем имя.
Далее добавляем порты с 2 по wlan1.
Зададим адрес в локальной сети для микротика.
И запускаем мастер DHCP-конфигурации, в котором укажем что хотим навесить его на BridgeLAN.
На следующем шаге сверяем что Address Space верный.
Проверяем что шлюзом в сети будет адрес микротика в локальной сети.
Задаём выдаваемый пул адресов.
На следующем шаге меняем DNS адрес на микротик в локальной сети.
Время аренды можете не менять, но тут по желанию.
Убедимся, что DHCP сервер создался корректно.
Выход в интернет и NAT
Провайдером в моей лаборатории будет домашний роутер. Предоставлять доступ через динамический адрес. Так же данная настройка подойдёт и для людей с выходом IPoE. Открываем меню DHCP-Client, создаём новый на первом интерфейсе, настройки оставляем по умолчанию.
Проверяем что мы получили адрес и можем пропинговать ya.ru
Если по каким-либо причинам, разрешение имён у вас не работает, то можете перейти на классическое преобразование, отключив DoH.
Для того чтобы клиенты ЛВС имели выход в интернет, необходимо создать правило IP-Firewall-NAT, в котором говорим, что, если src. Address из сети 192.168.1.0/24, то выпускать трафик через ether1.
На вкладке Action говорим, что делаем masquerade. Сохраняем правило.
Настройка WiFi
Mirtotik RB961Ui-2Hnd оснащён не плохим чипом, но имеет поддержку только 2,4 Ггц. Настроим его в режиме точки доступа, именем сети Test и паролем 12345678. Чтобы задать пароль, нужно создать Security Profile:
- Имя профиля;
- Mode – dynamic keys;
- Authentication Types – WPA PSK, WPA2 PSK (если есть возможность использоваться только WPA2, то отключайте WPA);
- Сам пароль от сети.
Далее переходим к настройке самой точки. Переходим в WiFi Interfaces и открываем свойства единственного wlan1. Активируем Advanced Mode.
Переходим во вкладку Wireless и задаём настройки согласно скриншоту.
Настройка Firewall
Ниже приведён конфиг среднестатистического Mikrotik, у которого разрешён:
- Входящий SSH, Winbox порты с любых адресов;
- WEB доступ только с сети 192.168.1.0/24;
- DNS трафик с сети 192.168.1.0/24;
- Соединения established и related.
/ip firewall filter
add action=accept chain=input comment=in_Winbox&SSH-Allow connection-state=new dst-port=22,8291 protocol=tcp
add action=accept chain=input comment=in-WEB-from-LAN connection-state=new dst-port=80 protocol=tcp src-address=192.168.1.0/24
add action=accept chain=input comment=in-DNS-from-LAN dst-port=53 protocol=udp src-address=192.168.1.0/24
add action=accept chain=input comment=in-E&R-Allow connection-state=established,related
add action=drop chain=input comment=in-All-Drop
Последняя строчка запрещает весь остальной входящий трафик на роутер. Я попытался внести небольшую изюминку в настройку микротика rb951ui-2hnd, но в общем нет разницы что за роутер, они все работают на операционной системе RouterOS, так что конфигурирование у всех будет одинаковое.
89 вопросов по настройке MikroTik
Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдете для себя полезную информацию в курсе «Настройка оборудования MikroTik». 162 видеоурока, большая лабораторная работа и 89 вопросов, на каждый из которых вы будете знать ответ. Подробности и доступ к началу курса бесплатно тут.
drumbumbum
Mikrotik RB951Ui-2HnD – компактный маршрутизатор (роутер)/ беспроводная точка доступа с пятью портами 10/100 Ethernet, беспроводным модулем 802.11 b/g/n и встроенной антенной. Устройство отличается высоким качеством и гибкостью настроек сравнимой с намного более дорогими профессиональными сетевыми устройствами. В то же самое время множество параметров настройки могут затруднить начальную настройку для неподготовленного пользователя. В настоящем обзоре рассмотрена «быстрая» настройка устройства для решения типовых задач домашней сети.
Рисунок 1. Внешний вид маршрутизатора (роутера) Mikrotik RouterBOARD 951Ui-2HnD.
Описание сети: Типичная «домашняя» сеть состоит из трех устройств подключаемых по локальной сети (стационарный компьютер, МФУ и телевизор) и нескольких беспроводных устройств (ноутбуки, планшеты, смартфоны). Провайдер услуг Интернета предоставляет проводной доступ к сети. Адрес клиентскому устройству предоставляется автоматически с использованием DHCP (данный метод встречается наиболее часто).
Рисунок 2. Типовая схема домашней сети.
Наша задача заключается в настройке роутера (router) для подключения к сети провайдера и настройке как локальной, так и беспроводной сети для подключения имеющихся устройств.
Шаг 1. Первоначальное подключение к роутеру Mikrotik RouterBOARD 951Ui-2HnD.
Для настройки устройства Mikrotik мы будем использовать программу Winbox, загрузить которую можно с сайта производителя http://download2.mikrotik.com/winbox.exe. Если на начальном этапе доступ к сети Интернет отсутствует, программу Winbox можно скачать непосредственно с устройства. Для этого необходимо подключить компьютер к роутеру и в обозревателе Интернета (браузере) открыть адрес http://192.168.88.1. При первом доступе к странице откроется WEB интерфейс на котором можно немедленно перейти к настройке роутера. Все действия и пункты настройки будут в этом случае полностью аналогичны выполняемым через Winbox, но с нашей точки зрения использование программы более удобно, так как она позволяет подключаться к устройству не только по IP, но и по MAC адресу, а значит, позволяет настраивать устройство с полностью сброшенными настройками. Для скачивания Winbox необходимо выполнить выход из интерфейса настроек (Logout). На открывшейся стартовой странице можно скачать программу.
Рисунок 3. Первая страница WEB интерфейса настроек роутера (QuickSet).
Рисунок 4. Стартовая WEB страница авторизации с возможностью скачивания программы Winbox.
Для использования программы Winbox, компьютер, с которого будет проводиться настройка, необходимо подключить к устройству Mikrotik. Мы будем использовать второй порт (который будет принадлежать локальной сети). Первый порт устройства будет использоваться для подключения кабеля провайдера услуг Интернета. В окне настройки Winbox необходимо указать параметры устройства (MAC или IP адрес) и данные пользователя. По умолчанию имя пользователя admin с «пустым» паролем. Winbox позволяет проводить опрос сети и обнаруживать устройства Mikrotik. Если в сети имеется несколько устройств, можно опознать требуемое по MAC адресу. Посмотреть MAC адреса нужного устройства можно на обратной стороне роутера. В нашем случае последние цифры адресов LAN интерфейсов роутера начинаются с 4C:EB, мы используем для настройки второй интерфейс, значит последние цифры нужного адреса 4C:EC. Поскольку мы будем проводить сброс настроек роутера «по умолчанию», для подключения необходимо использовать MAC адрес устройства.
Рисунок 5. Стартовый экран программы Winbox.
Рисунок 6. MAC адреса интерфейсов роутера.
Рисунок 7. Выбор настраиваемого устройства.
Шаг 2. Настройки устройства «По умолчанию»
В принципе, роутер с заводскими настройками уже готов к использованию и требует только минимальных доработок и дополнительных настроек связанных, прежде всего, с безопасностью. Тем не менее, использование таких параметров подходит далеко не всем. Кроме того, оставлять конфигурацию и адреса «по умолчанию» не рекомендуется с точки зрения безопасности. Мы будем настраивать роутер «с нуля» и для этого, прежде всего, необходимо удалить старую конфигурацию. Сделать это можно нажав кнопку «Remove Configuration» на странице приглашения (Рисунок 8) или воспользоваться пунктом меню «System» – «Reset Configuration» и выбрать настройку «No Default Configuration» (Рисунок 9).
Рисунок 8. Информация о конфигурации «по умолчанию»
Рисунок 9. Сброс конфигурации устройства.
Шаг 3. Настройка пользователей.
Заводские настройки роутера небезопасны, поскольку для пользователя с полным административным доступом к системе не задан пароль. Первое действие, которое необходимо выполнить при настройке устройства – задать достаточно сложный пароль для встроенного администратора. Сделать это можно воспользовавшись пунктом меню «System» – «Users», открыть свойства пользователя admin и задать пароль, нажав кнопку «Password».
Многие опытные пользователи не без оснований советуют вообще отказаться от использования «встроенного» аккаунта администратора как потенциальной бреши в системе безопасности и рекомендуют либо переименовать этот аккаунт или создать новый. Переименование можно выполнить в том же окне настроек, где мы задавали новый пароль. Создать нового пользователя можно нажав кнопку «+» в окне управления пользователями и указав нужные параметры. При создании нового пользователя важно правильно указать группу безопасности. Группа «full » предоставляет полный доступ к настройкам устройства. Группа «read» позволяет пользователям только просматривать информацию о настройках и событиях и выполнять команды, не затрагивающие конфигурацию роутера. Группа «write» позволяет изменять настройки и политики за исключением настроек пользователей системы.
Рисунок 10. Настройка пользователей системы.
Рисунок 11. Переименование и задание пароля пользователя.
Рисунок 12. Создание нового пользователя.