Настройка роутера mikrotik rb4011igs 5hacq2hnd in

MikroTik RB4011: первый запуск и настройка

В прошлых главах, посвященных настройке микротиков, я упоминал, что большинство инструкций по настройке будут приводиться в виде консольных команд. Такой гиковский способ настройки поможет лучше понять устройство RouterOS. Знали ли вы, что оборудование MikroTik умеет менять mac-адреса сетевых интерфейсов? (Но эта возможность доступна только из консоли.)

Приготовления

Включите роутер в сеть; в первый порт подключите кабель провайдера, во второй — рабочего компьютера. Запустите Winbox, подключитесь к устройству 192.168.88.1 . В меню слева выберите пункт New Terminal.

Сброс конфигурации

/system reset-configuration no-defaults=yes skip-backup=yes 

Подтвердите сброс конфигурации (Winbox разорвет соединение) и дождитесь перезагрузки устройства. В интерфейсе Winbox выберите вкладку Neighbors и подключитесь к нужному устройству по mac-адресу. Как и при первом подключении — New Terminal.

Создание суперпользователя

Придумайте нестандартное имя и сложный пароль. Создайте пользователя с этими реквизитами и выдайте полный набор прав. После — удалите стандартного пользователя admin .

Обратите внимание, что некоторые символы — например, символ доллара — необходимо экранировать обратным слешем.

/user add name=% password=% group=full remove admin 

Перезапустите Winbox. Используйте реквизиты созданного пользователя, снова откройте окно терминала.

Настройка системных параметров

Установка часового пояса

Задайте дату (в формате Jan/01/2019 ) и время ( 00:00:00 ), близкие к текущим. Желательно также указать корректный часовой пояс (например, Europe/Moscow ) и отключить его автоматическое определение.

/system clock set date=% time=% time-zone-name=% time-zone-autodetect=no 

Определение имени устройства

Настройка проводных интерфейсов

Переопределение имен интерфейсов

Модели серии RB4011 оснащены двумя свичами. Я планирую использовать два интернет-канала, которые будут заведены на разные свичи; первый и шестой порты отведены специально для них. Также я отключаю неиспользуемый SFP+.

/interface ethernet set ether1 name=wan1 set ether6 name=wan2 set ether2 name=lan1 set ether3 name=lan2 set ether4 name=lan3 set ether5 name=lan4 set ether7 name=lan5 set ether8 name=lan6 set ether9 name=lan7 set ether10 name=lan8 set sfp-sfpplus1 name=sfp1 disabled=yes 

Настройка моста

/interface bridge add name=br1 

При проведении следующих настроек Winbox разорвет соединение; переподключитесь и продолжите с шага, на котором закончили.

/interface bridge port add bridge=br1 interface=lan1 add bridge=br1 interface=lan2 add bridge=br1 interface=lan3 add bridge=br1 interface=lan4 add bridge=br1 interface=lan5 add bridge=br1 interface=lan6 add bridge=br1 interface=lan7 add bridge=br1 interface=lan8 

Определение параметров локальной сети

Разрешение приема DNS-запросов

/ip dns set allow-remote-requests=yes 

Определение подсети

Роутер будет обслуживать сеть 192.168.0.0 , сам себе присвоит последний адрес диапазона — 192.168.0.254

/ip address add address=192.168.0.254/24 interface=br1 network=192.168.0.0 

Определение клиентского адресного пространства

Клиентам (как проводным, так и беспроводным) будет доступен диапазон 192.168.0.1 — 192.168.0.200 . Оставшиеся адреса можно будет использовать для статической адресации конкретных устройств.

/ip pool add name=pool1 ranges=192.168.0.1-192.168.0.200 

Определение параметров клиентских подключений

Эти параметры будут переданы каждому клиенту для корректной настройки его сетевого интерфейса и роутинга.

/ip dhcp-server network add address=192.168.0.0/24 dns-server=192.168.0.254 gateway=192.168.0.254 netmask=24 

Настройка DHCP-сервера

/ip dhcp-server add name=dhcp1 address-pool=pool1 lease-time=7d interface=br1 disabled=no 

Перезагрузка

Настройки безопасности

После перезагрузки устройство начнет работать в полном соответствии с указанными настройками: сам роутер и все подключенные устройства получат IP-адреса.

С этого момента я рекомендую подключаться к роутеру по SSH, используя терминал или совместимую программу-клиент (вроде putty для Windows).

Отключение сервера оценки пропускной способности

/tool bandwidth-server set enabled=no 

Отключение MAC-сервера

/tool mac-server set allowed-interface-list=none /tool mac-server mac-winbox set allowed-interface-list=none /tool mac-server ping set enabled=no 

Отключение неиспользуемых сервисов

/ip service set telnet disabled=yes set ftp disabled=yes set www disabled=yes set api disabled=yes set api-ssl disabled=yes 

Фильтрация подключений SSH и Winbox

Принимать ssh— и winbox-подключения только из локальной сети:

/ip service set ssh address=192.168.0.0/24 set winbox address=192.168.0.0/24 

Настройка файрвола

Ошибки (как сами правила, так и их порядок) в процессе настройки файрвола потенциально могут заблокировать возможность подключения к устройству. Чтобы избежать этой неприятной ситуации, используйте сочетание клавиш CTRL+X . (Командная строка при этом дополнится символами .)

Если что-то пойдет не так, вы сможете сбросить устройство, а изменения, сделанные в безопасном режиме, не будут применены.

/ip firewall filter add chain=input connection-state=established,related action=accept add chain=input connection-state=invalid action=drop add chain=forward connection-state=established,related action=accept add chain=forward connection-state=invalid action=drop add chain=input in-interface=wan1 action=drop add chain=forward in-interface=wan1 action=drop 

Активация интернет-подключения

Теперь, когда устройство достаточно защищено от потенциальных атак, можно активировать DHCP-сервер на порту провайдера.

/ip dhcp-client add interface=wan1 dhcp-options=hostname,clientid disabled=no 

Проверить доступность глобальной сети можно командой ping :

Чтобы клиентские устройства получили доступ в сеть, необходимо добавить правило NAT:

/ip firewall nat add chain=srcnat out-interface=wan1 action=masquerade 

Настройка NTP (опционально)

Автоматическая подстройка точного времени поможет избежать ряда проблем. (Хотя она же может их и создать, но об этом в другой раз.)

/system ntp client set enabled=yes primary-ntp=195.3.254.2 secondary-ntp=185.22.60.71 server-dns-names=0.ru.pool.ntp.org,1.ru.pool.ntp.org,2.ru.pool.ntp.org,3.ru.pool.ntp.org 

Обновление RouterOS

Попытки взлома устройств MikroTik в последнее время участились. Производитель постоянно напоминает о необходимости обновления встроенного ПО.

/system package update check-for-updates install 

Если после обновления устройство работает стабильно, имеет смысл обновить и прошивку:

/system routerboard upgrade 

Настройка беспроводных интерфейсов

Профиль безопасности

/interface wireless security-profiles set [ find default=yes ] authentication-types=wpa2-psk wpa2-pre-shared-key=% mode=dynamic-keys 

Названия интерфейсов

В модели hAP ac интерфейс wlan1 отвечал за диапазон 2,4 ГГц, wlan2 — за 5 ГГц. У RB4011 все наоборот, но от привычки избавиться сложнее, чем переименовать интерфейсы на старый лад:

/interface wireless set wlan1 name=wlan0 set wlan2 name=wlan1 set wlan0 name=wlan2 

Предупреждение об опасности

У RB4011 повышенный коэффициент усиления. Это дает возможность использовать передатчик на мощности 28 dBm (а для диапазона 5 GHz и вовсе 33 dBm). Ни в коем случае не используйте эти величины, как и значение default для параметра tx-power-mode.

Для начала установите параметр tx-power-mode равным all-rates-fixed , а tx-power — 1 . Проверьте устойчивость соединения на клиентских устройствах в зоне предполагаемого покрытия.

Увеличивайте значение tx-power только при наличии «слепых» зон — по-отдельности для каждого диапазона.

Настройка базовых беспроводных сетей

ssid: Homeland 2,4GHz radioname: homeland24ghz 

/interface wireless set wlan1 band=2ghz-g/n channel-width=20/40mhz-XX country=russia disabled=no distance=indoors frequency=auto guard-interval=long mode=ap-bridge multicast-helper=full radio-name=% ssid="%" tx-power=1 tx-power-mode=all-rates-fixed wireless-protocol=802.11 wps-mode=disabled 

ssid: Homeland 5GHz radioname: homeland5ghz 

/interface wireless set wlan2 band=5ghz-a/n/ac channel-width=20/40/80mhz-XXXX country=russia disabled=no distance=indoors frequency=auto guard-interval=long mode=ap-bridge multicast-helper=full radio-name=% ssid="%" tx-power=1 tx-power-mode=all-rates-fixed wireless-protocol=802.11 wps-mode=disabled 

Настройка «междиапазонного роуминга»

Я предпочитаю давать устройствам возможность использовать любой подходящий диапазон, а также переключаться между ними по мере необходимости. Для этого нужно создать два виртуальных интерфейса (зависимых от wlan1 и wlan2 , соответственно), указав для обоих одинаковый SSID.

/interface wireless add arp=reply-only master-interface=wlan1 name=wlan10 ssid="%" wps-mode=disabled multicast-helper=full disabled=no add arp=reply-only master-interface=wlan2 name=wlan20 ssid="%" wps-mode=disabled multicast-helper=full disabled=no 

Настройка моста для беспроводных интерфейсов

/interface bridge port add bridge=br1 interface=wlan1 add bridge=br1 interface=wlan10 add bridge=br1 interface=wlan2 add bridge=br1 interface=wlan20 

Источник

Настройка MikroTik RB4011iGS+5HacQ2HnD-IN

MikroTik RB4011iGS+5HacQ2HnD-IN – это производительный двухдиапазонный Wi-Fi роутер на 10 гигабитных сетевых портов и 1 SFP+ порт для подключения оптики (поддерживаются SFP модули 1.25G и 10G). Роутер имеет аппаратное шифрование IPsec.

Внутри устройства установлен мощный четырех ядерный процессор с частотой 1.4 ГГц (такой же как в модели RB1100AHx4). Маршрутизатор подойдет для использования в сетях с количеством абонентов до 200 человек, а также для построения скоростных VPN каналов.

Краткие характеристики:

• Частота Wi-Fi: 2.4 и 5 ГГц
• Скорость Wi-Fi: 300 и 1733 Мбит/с (стандарт AC – 1733 Мбит/с, стандарт N – 300 Мбит/с)
• Частота процессора: 1.4 ГГц 4 ядра
• Оперативная память: 1 ГБ
• Порты:
  • 10 × 1 Гбит/с LAN
  • 1 × SFP+

  Снизу корпуса расположены отверстия для монтажа Wi-Fi роутера на стену.

  

  Питание подается на маршрутизатор двумя способами:

  • Через стандартный Jack разъем с постоянным напряжением 12-57В. В комплект поставки входит блок питания 24В 2,5А.
  • Через 1-й сетевой порт по технологии Passive PoE с постоянным напряжением 18-57В. Для подачи питания по PoE потребуется к блоку питания установить инжектор Gigabit PoE.

  10-й LAN порт позволяет запитать другое устройство по стандарту Passive PoE с напряжением 12-57В, например, Wi-Fi точку доступа. Напряжение на выходе 10 LAN порта будет таким же, как напряжение, которое подается на вход устройства. С родным блоком питания напряжение на выходе будет 24В. Если вам необходимо на выходе напряжение 48В, то нужно докупить блок питания на 48В для питания устройства. Максимальный ток через 10-й порт составляет 420 мА при напряжении до 30В, и 600 мА при напряжении до 57В. Если к 10-му порту подключить устройство, не поддерживающее PoE, то напряжение на него подаваться не будет.

  Операционная система RouterOS Level5, которая управляет роутером, позволяет настроить ограничение скорости интернета, закрыть доступ к определенным сайтам или социальным сетям, ограничить закачку торрентов, настроить VPN подключение, организовать HotSpot, настроить роутер на одновременную работу с двумя интернет провайдерами и многое другое.

  MikroTik RB4011iGS+5HacQ2HnD-IN – это Wi-Fi роутер с самым лучшим соотношением цена/производительность. Он мощный, скоростной, надежный, поддерживает аппаратное шифрование IPsec, выдерживает большое количество клиентов и обеспечивает высокую скорость VPN подключений.

  Настройка роутера MikroTik RB4011iGS+5HacQ2HnD-IN

  Для настройки роутера MikroTik RB4011iGS+5HacQ2HnD-IN воспользуйтесь инструкциями:

  Комплектация

  Характеристики

  Система
  Процессор:	AL21400 1.4 ГГц 4 ядра
  ОЗУ:	1GB
  Flash:	512 MB
  Разъемы:	10 × 10/100/1000 Мбит/с LAN, (1-й порт с PoE In) 1 × SFP+ 1 × MiniPCI-e slot 1 × Serial port RJ45
  ОС:	MikroTik RouterOS Level5
  Точка доступа
  Частоты:	2,4 ГГц / 5 ГГц
  Стандарты:	IEEE 802.11 a/b/g/n/ac
  Канальная скорость:	300 Мбит/с на 2.4ГГц / 1733 Мбит/с на 5ГГц
  Антенна:	2 × всенаправленные двухдиапазонные антенны на 2.4ГГц / 5ГГц 2 × всенаправленные антенны на 5ГГц
  Усиление антенны:	3 дБи на 2.4ГГц / 3 дБи на 5ГГц
  Дополнительные функции
  Управление устройством:	WEB интерфейс, winbox, telnet
  Другое
  Электропитание:	PoE in on Ethernet port1: 18..57 V DC (стандарт Passive POE выводы +4,5 и -7,8, не поддерживает 802.3af) Jack: 12..57 V DC
  Потребление:	до 26 Вт без PoE out, до 44 Вт с PoE out
  Размеры:	228 × 120 × 30 мм
  Вес:
  Рабочая температура:	от -40°C до +45°С

  Источник