Блог Александра Солнышкова

Статьи об информационных технологиях

Hастройка роутера Mikrotik RB2011

С сайта производителя можно скачать последние прошивки и программу Winbox для настройки устройства.

В устройстве две группы портов по 5 штук, нумеруемых с первого по десятый. Первая группа гигабитная, вторая - стамегабитная. Для настройки подключаюсь к интерфейсу Ether 5 (можно использовать любой, кроме первого). Первоначально можно подлючиться браузером, дефлотный адрес 192.168.88.1, и программу Winbox скачать непосредственно с устройства, там есть такой пункт меню. Но после того, как программа спросит, нужно ли сохранить конфигурацию, рекомендуется выбрать опцию Remove Configuration. После этого лучше использовать Winbox, адресуясь к устройству по МАС адресу, который есть на этикетке снизу. Или просто выбрать МАС адрес, который предложит программа, если устройство в сети у вас одно.

Когда программа Winbox подключится к маршрутизатору, нужно будет загруженную ранее прошивку перенести в область окна на Winbox. Затем выбрать пункт меню System, а после этого нажать на Reboot.

Устройство начнет перезагружаться. Это займет сколько-то времени, нежелательно в это время отключать питание.

Также настройка Wi-Fi предполагает обновление загрузочного модуля. Для этого нужно войти в область Routeboard и нажать на кнопку Upgrade. Затем снова перезагрузить устройство.

На хабре хорошая статья на эту тему с картинками.

Команды ввожу, выбрав пункт меню New Terminal. В скобках отражаю те же действия через меню программы Winbox.

Создаю нового пользователя и удаляю admin'а (System->Users->+):

/user add name=логин group=full password=пароль
/user remove admin

Отключаюсь и захожу на устройство под новым пользователем.

Для оптимального быстродействия порты лучше объединять, используя аппаратные возможности Master-Slave, а не программный Bridge. Достоинством модели является возможность любой порт сделать WAN, но рекомендуется выбрать Ether 10, что я и делаю (Interfaces->Ether10->Name: WAN10->OK)

/interface ethernet set [find default-name=ether10] name=WAN10

Для настройки клиента DHCP и автоматического получения адреса у провайдера (IP->DHCP Client->+->Interface: WAN10->OK):

/ip dhcp-client add interface WAN10 disabled=no

Далее настраиваю PPPoE клиента(PPP->+->PPPoE Client):

/interface pppoe-client add interface=WAN10 name=PPPoE-Out disabled=no user=логин password=пароль use-peer-dns=yes add-default-route=yes default-route-distance=0

Или на вкладке General->Name: PPPoE-Out; Interfaces: WAN10 и на вкладке Dial Out->User: пользователь; Password: пароль; Use Peer Dns: yes; Add Default Route: yes;

Теперь делаю настройку локальной сети.

объединяю Ethernet интерфейсы (Interfaces->ether1->Name: LAN1-Master->OK)(Interfaces->ether2->Name: LAN2-Slave; Master Port: LAN1-Master->OK):

/interface ethernet 
set [find default-name=ether1] name=LAN1-Master
set [find default-name=ether2] name=LAN2-Slave master-port=LAN1-Master
set [find default-name=ether3] name=LAN3-Slave master-port=LAN1-Master
set [find default-name=ether4] name=LAN4-Slave master-port=LAN1-Master
set [find default-name=ether5] name=LAN5-Slave master-port=LAN1-Master
set [find default-name=ether7] name=LAN7-Master
set [find default-name=ether8] name=LAN8-Slave master-port=LAN7-Master
set [find default-name=ether9] name=LAN9-Slave master-port=LAN7-Master

Выделяю порт для DMZ устройства:

/interface ethernet set [find default-name=ether6] name=DMZ6

Сгруппированные интерфейсы объединяю мостом (Bridge->Name: Bridge-Local->OK)(Bridge->Ports->+->Interface: LAN1-Master; Bridge: Bridge-Local->OK):

/interface bridge 
add name=Bridge-Local
port add interface=LAN1-Master bridge=Bridge-Local
port add interface=LAN7-Master bridge=Bridge-Local
port add interface=wlan1 bridge=Bridge-Local

Далее настройка беспроводной сети.

Профиль безопасности (Wireless->Security Profiles->+):

/interface wireless security-profiles add name=wpa2-protected mode=dynamic-keys authentication-types=wpa-psk,wpa2-psk unicast-chiphers=aes-ccm group-chiphers=aes-ccm wpa-pre-shared-key=ключ_wpa wpa2-pre-shared-key=ключ_wpa2

Профиль беспроводного интерфейса(Wireless->wlan1->Enable):

/interface wireless set wlan1 disabled=no ssid=MyRouter mode=ap-bridge band=2ghz-b/g/n frequency=2412 bridge-mode=enabled wireless-protocol=802.11 security-profile=wpa2-protect default-authentication=yes default-forwarding=yes hide-ssid=no
/interface wireless nstreme set wlan1 enable-nstreme=no enable-polling=no disable-csma=no

настройка IP адреса (IP->Adresses) и DHCP сервера (IP->DHCP Server)

/ip address add address=192.168.20.1/24 interface=Bridge-Local

Пул адресов для DHCP (IP->Pool)

/ip pool add name=DHCP-Poll address=192.168.20.127-192.168.20.190
/ip dhcp-server add name=DHCP-Server interface=Bridge-Local lease-time=08:00:00 address-pool=DHCP-Poll
/ip dhcp-server network add address=192.168.20.0/24 dns-server=192.168.20.1 gateway=192.168.20.1 netmask=24

Настройка DNS

Включаем прослушку DNS запросов (IP->DNS->Allow Remote Requests):

/ip dns set allow-remote-requests=yes

Настройка пакетного фильтра(IP->Firewall):

/ip firewall filter
add chain=input protocol=icmp
add chain=input connection-state=new dst-port=80,8291,22 in-interface=Bridge-Local protocol=tcp src-address=192.168.20.0/24
add chain=input connection-mark=allow_in connection-state=new dst-port=80 in-interface=PPPoE-Out protocol=tcp
add chain=input connection-state=new dst-port=53,123 protocol=udp src-address=192.168.20.0/24
add chain=input connection-state=established,related
add chain=output connection-state=!invalid
add chain=forward connection-state=established,new in-interface=Bridge-Local out-interface=PPPoE-Out src-address=192.168.20.0/24
add chain=forward connection-state=established,related in-interface=PPPoE-Out out-interface=Bridge-Local
add action=drop chain=input
add action=drop chain=output
add action=drop chain=forward
/ip firewall nat
add action=masquerade chain=srcnat out-interface=PPPoE-Out src-address=192.168.20.0/24
add action=redirect chain=dstnat dst-port=9999 protocol=tcp to-ports=80
/ip firewall mangle
add action=mark-connection chain=prerouting dst-port=9999 new-connection-mark=allow_in protocol=tcp connection-state=new

Теперь Интернет доступен.

Даем устройству имя (System->Identity) и задаем его в DNS (IP->DNS->Static->+->Name: mikrouter; Address:192.168.20.1->OK):

/system identity set name=mikrouter
/ip dns static add name=mikrouter address=192.168.20.1

Настраиваем часы: System->Clock->Time->Time Zone Name: Часовой пояс; Time: Текущее время; Date: Текущая дата->OK

Обновляем устройство и добавляем пакеты. Pагружаем архив с обновлениями (Extra Packages). Распаковываем и оставляем следующие:

advanced-tools-6.39.1-mipsbe.npk
dhcp-6.39.1-mipsbe.npk
multicast-6.39.1-mipsbe.npk
ntp-6.39.1-mipsbe.npk
ppp-6.39.1-mipsbe.npk
routing-6.39.1-mipsbe.npk
security-6.39.1-mipsbe.npk
system-6.39.1-mipsbe.npk
user-manager-6.39.1-mipsbe.npk
wireless-6.39.1-mipsbe.npk

В Winbox открываем Files и перетаскиваем средствами drag'n'drop указанные выбранные пакеты(в качестве альтернативы можно загрузить через web-интерфейс, либо по ssh средствами scp).

Для обновления достаточно перезагрузить устройство (System->Reboot->Yes):

/system reboot

В дальнейшем для обновления:

/system package update download
/system package update install

Настройка NTP:

/system ntp client set enabled=yes primaty-ntp=195.122.241.236 secondary-ntp=91.206.16.3 /system ntp server set enabled=yes

Отключаем лишние службы (IP->Services), оставим winbox/http/ssh:

/ip service
set telnet disabled=yes
set ftp disabled=yes
set api disabled=yes
set api-ssl disabled=yes
set https disabled=yes
set www-ssl disabled=no
set winbox disabled=no
set www disabled=no

Отключаем обнаружение

/ip neighbor discovery
set WAN10 discover=no
set sfp1 discover=no
set wlan1 discover=no
set PPPoE-Out discover=no

Теперь ограничим доступ по mac-адресу(winbox и mactelnet) (Tools->MAC Server->Telnet Interfaces):

/tool mac-server
set [ find default=yes ] disabled=yes
add interface=Bridge-Local
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=Bridge-Local

Включаем UPnP (IP->UPnP->Enabled: yes):

/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=Bridge-Local type=internal
add interface=PPPoE-Out type=external

Резервная копия настроек (Files->Backup):

/system backup save name=router6.39.1 dont-encrypt=yes

Для восстановления достаточно скопировать файл и набрать команду:

/system backup load name=router6.39.1.backup