Настройка MikroTik с нуля для начинающих: пошаговая инструкция
MikroTik - независимая операционная система на базе Linux для маршрутизаторов. Он не требует каких-либо дополнительных компонентов и не имеет предварительных условий к программному обеспечению. Устройство разработано с простым, но мощным интерфейсом, позволяющим сетевым администраторам развертывать многофункциональные сетевые структуры. Выполнив настройку MikroTik с нуля, его можно превратить из обычного стандартного персонального компьютера в мощный сетевой маршрутизатор.
Процессор и материнская плата имеют усовершенствованное пятое поколение для Intel Pentium, Cyrix 6X86, AMD K5. ОЗУ - минимум 64 Мбайт, максимум 1 гигабайт, стандартный контроллер интерфейса ATA и привод с пропускной способностью минимум 64 Мб.
Интерфейс роутера
Маршрутизатор имеет очень хороший экран по умолчанию, на котором можно посмотреть общую картину происходящего. Выполнив настройку MikroTik с нуля, система начнет показывать использование сети для каждого физического или логического интерфейса.
Одним из основных положительным моментов является то, что можно увидеть уровень сигнала подключенных устройств в реальном времени, также видимый в Quick Set. Это показывает уровень сигнала устройства, известного как обратный сигнал. Полосы этого уровня на телефоне, ноутбуке или устройстве показывают только силу сигнала маршрутизатора. При этом у телефонов он намного ниже, так как они имеют более слабые антенны, чем маршрутизатор.
Вкладки интерфейса:
- IP -> Адреса. Здесь добавляется IP-адрес для маршрутизатора. Как правило, при выполнении настройки MikroTik с нуля меняется LAN-адрес, но в интерфейсе можно увидеть публичный IP-адрес. В пулах указаны диапазоны IP-адресов, которые наиболее часто используются в конфигурации DHCP.
- IP -> DHCP. Конфигурация DHCP более сложна в MikroTik по сравнению с другими домашними маршрутизаторами. Сдача в аренду показывает устройства, которым в настоящее время назначены IP-адреса с маршрутизатора. Если нужно назначить устройствам фиксированный IP-адрес через DHCP, можно сделать это на вкладке «Аренда», выполнив настройку MikroTik с нуля. Для этого нужно подождать, пока устройство не подключится, свернуть его и нажать «Статику». Или можно создать новый лизинг и вручную ввести MAC-адрес. Если нужно создать отдельную подсеть и всю новую область DHCP, то необходимо внести изменения на вкладках DHCP и Networks.
- IP -> DNS. Маршрутизаторы запускают небольшой DNS-сервер. В основном это просто кэширует DNS-запросы, поэтому они немного быстрее для локальных устройств. Два основных момента для пользователей: нужно очистить кэш DNS, если начинают новый сеанс, и добавить статические имена DNS для локальных устройств, например, my-server.ligos.local.
- IP -> Услуги. MikroTik используют различные сетевые сервисы. Если пользователь не использует их, лучше всего отключить, тогда у хакеров будет меньше возможностей проникнуть в устройство. Выполняя настройку MikroTik с нуля для начинающих, будет безопаснее отключить IP-SSL и FTP.
- Система -> Пакеты. MikroTik состоит из большого базового пакета с большинством функций и нескольких меньших пакетов, которые добавляют дополнительные функции. На экране пакетов отображается то, что установлено в настоящее время. Здесь также можно проверить наличие обновлений из интернета и просмотреть заметки о выпуске новых версий.
С этой информацией нужно обязательно ознакомиться начинающим для настройки MikroTik с нуля.
Первый запуск с Winbox
Оборудование MikroTik поставляется с минимальным набором: устройство, блок питания и простые инструкции.
Базовая настройка MikroTik:
- Загружают базовый установочный файл из профильного сайта MikroTik в разделе download. Можно использовать загрузку установочного файла на одном из носителей или из ISO-образа. Это самый простой способ выполнить установку. Netinstall также может выполнить установку через локальную сеть. Для загрузки устройства, поддерживаемого некоторыми сетевыми интерфейсами, нужно загрузочное устройство (флоппи-дисковод или компакт-диск), что позволяет установить действующую сетевую установку.
- MikroTik для настройки сети. Перед установкой убеждаются, что у системы есть требуемые спецификации оборудования. Используют носитель, созданный для установки. На экране консоли появятся инструкции, и пользователь должен им следовать. После завершения установки удаляют установочный носитель и нажимают «Ввод», чтобы перезагрузить систему.
- Получение идентификатора программного обеспечения. Как только установка будет завершена и машина станет маршрутизатором, она может функционировать со всеми функциями в течение 24 часов. Нужно возобновить лицензию в этот период времени, чтобы поддерживать работоспособность в дальнейшем. Чтобы получить идентификатор программного обеспечения с системной консоли, нужно запустить следующую команду: /system license print.
- Получение лицензии. Чтобы получить лицензию, пользователь должен иметь учетную запись на сайте MikroTik и настройки провайдера. После создания учетной записи можно выбрать соответствующий уровень лицензии, отвечающий потребностям пользователя. Если он решил получить лицензионный ключ по электронной почте, то получит файл, который можно загрузить на маршрутизаторе через FTP. Компьютеру будет присвоен IP-адрес в 192.168.88.ххх диапазоне, после чего нужно перейти на вход администратора нового маршрутизатора MikroTik.
Загрузка Winbox
В нижней части страницы входа администратора на компьютере с ОС Windows есть ссылка для загрузки Winbox и использования его вместо веб-интерфейса.
Выполняют вход, используя Winbox или браузер:
- Прописывают для входа в систему 192.168.88.1. Имя пользователя по умолчанию – admin, без пароля.
- Когда пользователь впервые подключается с Winbox к маршрутизатору, он получит новое уведомление о настройке.
- Список элементов меню находится в левой части экрана. Самый верхний должен быть Quick Set.
- Нажимают на него и получают упрощенную настройку роутера MikroTik.
Преимущества Winbox для настройки MikroTik:
- Автоматически обнаруживает устройства MikroTik в локальной сети.
- Подключается через IPv6 или MAC-адрес, упрощая изменение адресов IPv4.
- Показывает статистику, поток пакетов и графики в реальном времени.
- Позволяет иметь несколько окон для разных частей конфигурации.
- Позволяет выполнять перетаскивание файлов при ручном обновлении.
- Запоминает список подключений и паролей.
Конфигурация мастера
Проверяют настройку локальной сети. Если ее изменить позже, это вызовет большое огорчение из-за разных сбоев в работе, поэтому лучше всего это сделать сразу.
Большинство домашних пользователей могут просто использовать диапазон 192.168.88.x без проблем. Если нужны дополнительные статические адреса, можно изменить диапазон серверов DHCP. По умолчанию, 10 адресов, отличных от DHCP, являются точными. Это то, что позволяет устройствам получать доступ в Интернет. Отмечают UPnP - универсальное подключение и воспроизведение. Это позволяет сетевым службам автоматически открывать порты, с которыми могут подключаться внешние пользователи, при этом существует определенный риск для безопасности сети.
Если есть опция «Портировать все порты локальной сети», ее следует отключить. Все бары одного из LAN-портов будут соединены, исключение составляет порт 1. И это очень важное исключение. Прежде чем пытаться подключить новый маршрутизатор к интернету, убеждаются, что у него есть пароль, если нужно его изменить - вводят дважды новый вариант. Затем отсоединяют и проверяют обновленный пароль.
Беспроводная сеть
Для правильной работы пользователь должен вернуться к исходным настройкам роутера MikroTik, обратившись к провайдеру или в службу технической поддержки. Прежде чем начинают настройку, убеждаются, что параметр «брандмауэр маршрутизатора» отмечен галочкой. Это останавливает злоумышленников, которые могут подключаться к нему. Далее последовательно заполняют данные конфигурации сети:
- Имя сети, которое будет отображаться на телефоне/ноутбуке при подключении. Его можно изменить или придумать что-то новое, или просто сохранить значение по умолчанию.
- После настройки Wi-Fi MikroTik показывает фактическую радиочастоту каждого канала. Band позволяет включать/отключать 2 ГГц или 5 ГГц и различные протоколы Wi-Fi.
- Страна - должна быть указана правильно, чтобы маршрутизатор соблюдал любые местные законы, касающиеся использования каналов.
- Пароль Wi-Fi - от 8 до 63 символов. В период первого запуска Wi-Fi настроен, как открытый доступ, поэтому пароль не требуется. Далее его нужно добавить и установить еще несколько настроек. Пароли для беспроводных интерфейсов на MikroTik хранятся в разделе Wireless> Security Profiles. По умолчанию все беспроводные интерфейсы будут использовать один и тот же предварительный ключ безопасности или пароль. Нужно дважды щелкнуть имя профиля безопасности, которое нужно изменить, ввести новый пароль и нажать Ok.
Мостовые соединения
Порты Wi-Fi и Ethernet по умолчанию не являются частью одной и той же локальной сети. Но обычно пользователь, выполняя настройку доступа в MikroTik, хочет, чтобы они были соединены как сетевой мост. Мостовые сети означают, что устройства могут автоматически открывать друг друга, и MikroTik будет оптимизирован для максимально объединенной работы.
На вкладке «Конфигурация моста» по умолчанию используется один мост, а вкладка портов отображает каждый интерфейс, который соединяется с мостом. Это будут все порты Ethernet, кроме # 1 (пользовательская интернет-ссылка). Если пользователь удалит порт с моста, то сможет изолировать его от своей локальной сети. Добавляют порты, чтобы интернет был передан через устройство MikroTik на сетевом и Wi-Fi-интерфейсах. В противном случае устройства смогут разговаривать только друг с другом.
Для этого нажимают кнопку «+» в меню «Мост», назначают имя мосту и подтверждают «ОК». Открывают «Порты», делают клик на «+» и открывают Wlan1 в строке интерфейса. На линии мост открывают Wlan1 и «ОК». Нажимают на «+» еще раз и создают Ether1.
Назначают IP-адрес для моста: IP menu => Adresses => +, вводят адрес моста и маску подсети. MikroTik имеет конфигурацию в виде текстовых команд для консоли. Можно создавать или воспроизводить эти команды в терминале в winbox. В большинстве консольных областей есть print-команда, в которой перечислены сведения и конфигурация.
Межсетевой экран
Брандмауэр - это основной защитник любого маршрутизатора. Доступ к брандмауэру осуществляется по протоколу IP -> Firewall -> Filter.
Список правил по умолчанию создается с помощью Quick Set. Это очень хорошее место для профессиональной работы настройщика. Последнее правило является самым важным, оно говорит, что пользователь отказывается от доступа по умолчанию.
Таким образом, если другое правило не соответствует, по умолчанию используется блокировка входящих соединений. Хорошая практика MikroTik для настройки интернета - ограничить количество ICMP-пакетов, чтобы злоумышленники не перегружали сеть. Для этого необходимо отредактировать правило и перейти на вкладку «Дополнительно» и добавить лимит и dst-limit (ограничение). 30 пакетов в секунду - это разумное количество для запуска, не слишком большое, не слишком маленькое.
Правило для локальной сети
Можно разрешить подключения к маршрутизатору из локальной сети и убедиться, что случайно не заблокировали себя от своего собственного маршрутизатора. В этом случае добавляют правило для цепочки input, с src-address=192.168.88.0/24, и устанавливают действие accept. Затем перетаскивают его вверх до правильного правила ICMP.
Если пользователь включил VPN-доступ, он может заметить некоторые другие правила, позволяющие подключать VPN. Это хороший шаблон, если нужно разрешить другой трафик. Но чаще всего после настройки порта MikroTik будет перенаправлять его на внутреннее устройство. И пользователю не нужно правило разрешения для перенаправленного трафика, так как самое верхнее правило разрешает порт. Это общие правила брандмауэра. Помимо нескольких настроек, правила доступа к локальной сети совпадают с конфигурацией по умолчанию.
Дополнительные адреса IPv6
Это новая версия адресов, которая способна поддерживать огромное количество абонентов, больше чем население Земли. Через сайт IPv6 доступны многие крупные веб-сайты и компании, а их трафик неуклонно растет. Если интернет-провайдер поддерживает IPv6, его фактически легче запускать, чем IPv4, поскольку IPv6 настраивает себя автоматически. Маршрутизаторы MikroTik поддерживают IPv6, но по умолчанию функция отключена, сначала нужно включить ее в пакетах.
После включения нужно будете перезагрузить маршрутизатор. Затем роутер получит новый пункт меню IPv6 верхнего уровня. Все интернет-провайдеры выдают, как минимум /64 подсеть - это стандартный размер подсетей IPv6. Получение адресов IPv6 может осуществляться с помощью DHCP или маршрутизатора. Интернет-провайдеры используют первое. В IPv6 -> DHCP Client создают новый клиент. Выбирают сетевой интерфейс провайдера, устанавливают запрос на prefix и вводят имя пула. Если все пойдет хорошо, то пользователь увидит диапазон адресов, назначенный ему на вкладке «Статус». И должен увидеть пул с этим диапазоном адресов в разделе IPv6.
Следующий шаг - назначить публичный IPv6-адрес маршрутизатору. При этом маршрутизатор уже будет иметь локальные адреса IPv6, начиная с fe80. В IPv6 -> Адреса добавляют новый адрес. Можно настроить правую часть адреса как угодно, но обычно используют тот же адрес, что и сетевая маска, что делает устройство маршрутизатора 0 в сети. Выбирают LAN-мост в качестве интерфейса для назначения. И пул, который создан из DHCP. Наконец, убеждаются, что включили рекламу, так устройства получат IPv6-адреса через рекламные объявления маршрутизатора.
Что очень важно помнить о IPv6, так это то, что с каждым устройством он напрямую помогает связаться с кем-либо в интернете. У роутеров и компьютеров есть брандмауэры, которые останавливают трафик, но также можно блокировать или разрешать трафик на брандмауэре маршрутизатора. То есть можно проверить, правильно ли настроено каждое устройство или создавать общие правила на своем маршрутизаторе.
Виртуальная частная сеть
MikroTik поддерживает VPN-протоколы PPTP, L2TP и SSTP. По крайней мере, один из них должен работать с большинством устройств и компьютеров. Пользователь подключается с VPN к бесплатному динамическому DNS:
- Открывают утилиту Winbox на компьютере.
- После его установки выбирают его и нажимают «Подключиться».
- Открывают вкладку интерфейсов в меню.
- Нажимают «+» в левом верхнем углу окна и выбирают опцию PPTP Client.
В разделе «Общие» называют соединение для более удобного использования, нужно избегать специальных символов и пробелов.
Вводят следующие данные в разделе:
- Dial Out - вводят DNS-имя сервера из набора настроек.
- Пользователь - вводят логин из набора настроек.
- Пароль - вводят пароль из набора настроек.
- Разрешить - устанавливают флажок только для mschap2. Это важный шаг.
- Затем нажимают «Применить».
- Состояние подключения в правом нижнем углу должно измениться на подключение, а затем на запуск.
Защита от DDoS-атак
С маршрутизатором MikroTik можно эффективно бороться с DDoS-атаками, ограничить количество соединений, используя функцию межсетевого экрана в настройке безопасности MikroTik. При атаке система самостоятельно обнаруживает вторжение, поскольку количество запросов на соединение превышает заданный предел.
В RouterOS любой отдельный пакет UDP, кроме NAT, считается новым соединением отслеживания соединений в любом разделе брандмауэра до отправки пакета в противоположном направлении. Затем устройство разрешает каждой группе SrcIP: DstIP некоторое количество новых соединений. Обязательно добавляя исключения, такие как DNS-серверы, поскольку нет причин для их блокировки.
Как видно из вышеперечисленного, MikroTik обладает большой функциональностью. Пользователи имеют возможность легко подключиться к интернету с его помощью, используя экран быстрого набора. Затем, перейдя по интерфейсу Winbox, могут увидеть текущее состояние и обновить заводские настройки MikroTik, имея для этого множество вариантов. Наслаждаясь новым маршрутизатором, пользователи следят за тем, чтобы он работал быстрее и функциональнее, передавая трафик всем желающим домочадцам.