Mikrotik, первісна настройка. Частина 1.
Вирішив почати серію статей на тему налаштувань RouterOS Mikrotik. Ви скажете, на просторах інтернету їх і так повно, і матимете рацію. Не буду претендувати на ексклюзив, скажу більше, основна маса інформації буде взята саме звідти, решта свій досвід, і так, все що буде описано абсолютно працездатний, тому що перевірено особисто. Так для чого ж запитаєте ви? Все просто, в першу чергу я як завжди пишу для самого себе (в світлі що розвивається склероз) шпаргалки. Деякі завдання з'являються не так часто, тому кілька забуваються і доводиться шукати нюанси, знову ж де? саме, на просторах інтернету. У другу, постійно гуглити і шукати, де точніше описано ту чи іншу вже порядком набридло, хочеться, що б все було в одному місці, швидко і постійно є. Я не буду пояснювати елементарні речі, сподіваючись, що читач, тобто ви, маєте початковими знаннями. Для настройки будемо використовувати виключно Winbox і графічний інтерфейс, хоча можливо буде і консольний варіант. Отже, почнемо, від дуже простого до простого.
Не звертайте увагу на деякі невідповідності в одних і тих же вкладках на різних скріншотах, вони робилися з різних маршрутизаторів. На всіх маршрутизаторах встановлена остання на сьогоднішній день прошивка v.6.38.1
Всі ми підключилися. При першому запуску з'явиться пропозиція завантажити базову конфігурацію або скинути її.
Вибираємо Remove Configuration. Маршрутизатор перезавантажиться. Підключаємося ще раз і бачимо:
Тепер трохи відвернемося від маршрутизатора і визначимося, що обов'язково повинна включати в себе базове налаштування. На мій погляд, вона має виглядати так:
Це обов'язковий мінімум і налаштовувати будемо саме в цій послідовності.
Перед тим як почати, хочу звернути увагу на вкладку QuickSet
На ній можна зробити практично всю первинну настройку, але зро це, ви не зрозумієте принципу настройки, іноді може почати здаватися, що настройки дубльовані. Тому ми не будемо чіпати цю вкладку, а будемо налаштовувати все по порядку з місць прямо для цього призначених. А в кінці настройки, ви побачите, що і звідки з'явилося на цій вкладці або навпаки, що де створюється при введенні налаштувань на ній. Але, що б зрозуміти друге, треба йти першим шляхом.
1 Створення нового користувача і відключення (видалення) admin'a
У лівому меню натискаємо System-> Users. у вікні, натискаємо на плюс
В поля Password і ConfirmPasswords вводимо новий пароль.
Тиснемо OK. Аккаунт було створено. Стандартного користувача admin відключаємо або видаляємо.
У цій та всіх подальших налаштуваннях будемо використовувати мережу 192.168.20.0/24
У лівому меню натискаємо Bridge. у вікні, натискаємо на плюс,
У вікні NewInterface в поле Name вводимо ім'я нашого моста. Ім'я ввести можна будь-, головне, що б самому потім зрозуміти, що це і для чого. Пропоную назвати його банально: bridge_local (локальний міст), в поле ARP вибираємо proxy-arp. тиснемо OK.
Переходимо на вкладку Ports, тиснемо плюс
В поле Interface вибираємо ether2. в поле Bridge вибираємо створений раніше bridge_local. Повторюємо для всіх наступних інтерфейсів в залежності від моделі. В результаті у нас повинно виявитися чотири порти для п'яти-портових або дев'ять для десяти-портових пристроїв, плюс інтерфейс wlan1 для пристроїв з Wi-Fi.
Є ще варіант об'єднанням інтерфейсів на апаратному рівні, коли один з інтерфейсів встановлюється первинним master, а решта вторинними slave, а в міст додається тільки первинний, але його я розглядати не буду, тому що вважаю його менш гнучким надалі. Хоча як пишуть, апаратний знижує навантаження на процесор і збільшує пропускну здатність, але я не помітив величезних навантажень на процесор і падіння пропускної здатності.
Отже, міст створений, інтерфейси в нього додані, переходимо IP -> Addresses. У вікні AddressList тиснемо плюс
І заповнюємо поля
3 Налаштування DHCP сервера
Відкриваємо IP-> DHCPServers тиснемо плюс заповнюємо як на скіншоте
Name - dhcp_local
Interface - bridge_local
Lease Time - вказуємо час в форматі чч.мм.сс. якщо вказати більше години 60.00.00 той час відобразиться 1d 00:00:00. На початковому етапі краще залишити 10 хвилин (можна і менше), тому що якщо будете грати з прив'язкою IP по MAC швидше оновитися прив'язка (без перезавантажень). Після закінчення, в залежності від місця використання встановити більший час, для будинку оптимально добу, для офісу 10 годин, для кафе (Wi-Fi) 30 хвилин.
Address Pool - pool_local
І відзначаємо Add ARP For Leases
Переходимо на вкладку Networks тиснемо плюс
Заповнюємо. (Це те, що ми будемо роздавати клієнтам по DHCP)
Зберігаємо. DHCP сервер створений і готовий до роботи.
4 Налаштування Firewall
Головне і я не побоюся єдине правило для пакетів при налаштуванні Firewall:
«Що НЕ ДОЗВОЛЕНО. то ЗАБОРОНЕНО. »
Обмежимося десятьма основними правилами. Відкриваємо IP-> Firewall вкладка Filter Rules. Як бачимо, вона у нас порожня, тиснемо плюс і починаємо створювати правила.
Тут нам знадобляться дві вкладки General і Action
Action - дія яке треба застосувати до пакету. З дій ми розглянемо зараз тільки accept / drop (дозволити / заборонити)
Якщо значення в полі не вказано, то воно дорівнює «все»
У більшості параметрів перед полем вводу є чекбокс, якщо його відзначити і вказати значення, то поле «читається» як «все крім зазначеного» (на вкладці Firewall перед значенням буде стояти знак оклику).
І так перше правило
Дозволяємо підключатися до нашого маршрутизатора через telnet, ssh, web, winbox з певного IP зовнішньої мережі
Action - accept (дозволяємо доступ)
І так перше правило створили, дозволили доступ з дому до роботи.
Друге правило, надати їм доступ до маршрутизатора з будь-якого інтерфейсу доданого в bridge_local, тобто з локальної мережі. Головне його ні коли не відключати. При роботі маршрутизатора в громадському місці (офіс, кафе), рекомендується прибрати громадські інтерфейси такі як wlan з дозволених для доступу до маршрутизатора. Або, якщо доступ проводиться з одного робочого місця, встановити значення Src. Adress
Третім правилом дозволяємо всі вхідні з'єднання на порт 53 по протоколу udp з будь-яких інтерфейсів доданих в bridge_local. Дозволяємо пристроїв локальної мережі користуватися dns сервером на нашому маршрутизаторе
Четверте дозволяє icmp (ping) з будь-якого інтерфейсу.
П'яте дозволяє все пакети існуючих з'єднань.
Шосте дозволяє все пакети пов'язаних з'єднань.
Не забувайте, правила обробляються від першого в списку до останнього, тому що забороняє правило повинно стояти останньому в групі. Правила можна перетягувати в будь-яке місце списку мишею.
Chain - srcnat (обробляються пакети з внутрішньої мережі в зовнішню)
Out. Interface - ether1 (обробляються пакети відправлені на інтерфейс ether1)
Action - masquerading (підміняємо всіх пакетів внутрішній сірий ip на зовнішній білий)
Далі переходимо на вкладку ServicePorts. виділяємо все (Ctrl + A) і натискаємо червоний хрест (відключаємо всі сервісні порти)
На цьому початкова настройка Firewall закінчена.
5 Налаштування WLan
Я не буду детально описувати настройку в цій статті. Для старту налаштувань не багато. Пізніше я планую написати статті з детальним описом налаштувань основних інтерфейсів і функцій.
Переходимо в Wireless.
Спочатку переходимо на вкладку SecurityProfiles. тиснемо плюс і створюємо новий профіль. Назва як хочете, ключі (паролі) не менше восьми знаків однакові обидва, інше як на скріншоті
Переходимо на вкладку Interfaces де у нас присутній один інтерфейс wlan1. Якщо він не активний, активуємо його (виділяємо і натискаємо синю галочку), далі подвійний клік на інтерфейсі. Правої сторони тиснемо кнопку Advanced Mode (Розширений режим) і встановлюємо параметри
Name - wlan1 (Можна залишити можна перейменувати)
ARP - proxy-arp
Як на скріншоті
Distance - вибираємо indoors
Tx Power Mode - all rates fixed
Tx Power - 15 dBm
6 Налаштування доступу до провайдера
Динамічне підключення (Отримання установок від провайдера по DHCP).
Статична підключення (Введення отриманих налаштувань вручну).
IP 40.50.60.70
Mask 255.255.255.0 (24)
Gateway 40.50.60.1
DNS 40.50.61.2 і 40.50.61.3
Для настройки використовуються три вкладки, Address List, DNS Setting і Route List.
У Route List нам треба додати Gateway (шлюз). Зберігаємо.
В результаті Address List. DNS Setting і Route List будуть виглядати так
На цьому початкова настройка закінчена. Як обіцяючи в самому початку, показую звідки беруться настройки на вкладці швидкого налаштування QuickSet.
На цьому первісна настройка виконана. Чекайте продовження.