Базовая настройка маршрутизатора mikrotik включает описание настройки безопасности и настройки выхода в интернет для использования с приборами Барьер.
Для подключения и настройки Mikrotik, рекомендуется использовать программу Winbox. Последняя версия доступна на официальном сайте производителя.
Далее Вам необходимо подключить сетевым кабелем компьютер, на котором Вы будете осуществлять настройку, к маршрутизатору, к любому порту.
Запускаем Winbox, заходим на вкладку Neighbors:
В списке должно появиться ваше устройство.
Выделяем его левой кнопкой мыши на поле MAC Address, вводим Login (по умолчанию – admin) и Password (по умолчанию – пустой). Нажимаем кнопку Connect. Вы должны попасть в меню настройки mikrotik.
При первом входе после сброса, Вам будет предложено воспользоваться стандартной настройкой маршрутизатора:
Нажмите Remove Configuration.
В RouterOS (название операционной системы на устройствах Mikrotik) по умолчанию создан пользователь admin без пароля. Настоятельно рекомендуем отключить данного пользователя.
Для этого заходим в меню System, подменю Users.
Нажимаем добавить пользователя:
Name: Имя нового пользователя;
Group: Выбираем – full;
Password: Пароль нового пользователя.
Рекомендуется использовать сложные пароли: не менее 12 символов, заглавные и прописные буквы, цифры, специальные символы. Лучшим вариантом будет использование генератора паролей;
Пример: f$yRD44I@Dy^)
Confirm Password: Введите пароль ещё раз;
При необходимости предоставить доступ к маршрутизатору нескольким людям, создайте нужное количество пользователей.
В меню нажмите Exit и заново войдите под новым пользователем. Заходим в меню System – Users, выделяем правой кнопкой мыши пользователя admin. Нажимаем Disable.
Перед настройкой доступа в интернет, следует настроить правила firewall и отключить неиспользуемые службы. Так же рекомендуется изменить стандартный порт Winbox. В данной статье, не приводится объяснение и настройка правил под широкий спектр задач. Вместо этого будет дан универсальный список правил, подходящий под максимально широкий круг потребностей.
Сначала создадим список внешних интерфейсов, меню Interfaces, вкладка Interface List:
Жмём кнопку Lists и добавляем новый список интерфейсов WAN:
Следующим шагом изменяем стандартный порт Winbox. Меню IP – Services:
Двойной щелчёк по winbox:
Задаём новый порт для Winbox и сохраняем.
Дальше настраиваем firewall. Итак, для настройки правил firewall, необходимо зайти в меню IP – Firewall:
Список правил должен быть пустой. Открываем терминал. Меню New Terminal:
Далее необходимо в скрипте ниже вместо знаков вопроса подставить ваш порт для Winbox.
/ip firewall filter
add action=accept chain=forward comment=
"Forward and Input Established and Related connections"
connection-state=established,related
add action=drop chain=forward connection-state=invalid
add action=drop chain=forward connection-nat-state=!dstnat connection-state=
new in-interface-list=WAN
add action=accept chain=input connection-state=established,related
add action=drop chain=input connection-state=invalid
add action=add-src-to-address-list address-list=ddos-blacklist
address-list-timeout=1d chain=input comment=
"DDoS Protect - connection Limit" connection-limit=100,32
in-interface-list=WAN protocol=tcp
add action=tarpit chain=input connection-limit=3,32 protocol=tcp
src-address-list=ddos-blacklist
add action=jump chain=forward comment="DDoS Protect - SYN Flood"
connection-state=new jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=jump chain=input connection-state=new in-interface-list=WAN
jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=return chain=SYN-Protect connection-state=new limit=200,5:packet
protocol=tcp tcp-flags=syn
add action=drop chain=SYN-Protect connection-state=new log=yes log-prefix=
SYN-Protect: protocol=tcp tcp-flags=syn
add action=drop chain=input comment="Protected - Ports Scanners"
src-address-list="Port Scanners"
add action=add-src-to-address-list address-list="Port Scanners"
address-list-timeout=none-dynamic chain=input in-interface-list=WAN
protocol=tcp psd=21,3s,3,1
add action=drop chain=input comment="Protected - WinBox Access"
src-address-list="Black List Winbox"
add action=add-src-to-address-list address-list="Black List Winbox"
address-list-timeout=none-dynamic chain=input connection-state=new
dst-port=????? in-interface-list=WAN log=yes log-prefix="BLACK WINBOX"
protocol=tcp src-address-list="Winbox Stage 3"
add action=add-src-to-address-list address-list="Winbox Stage 3"
address-list-timeout=1m chain=input connection-state=new dst-port=?????
in-interface-list=WAN protocol=tcp src-address-list="Winbox Stage 2"
add action=add-src-to-address-list address-list="Winbox Stage 2"
address-list-timeout=1m chain=input connection-state=new dst-port=?????
in-interface-list=WAN protocol=tcp src-address-list="Winbox Stage 1"
add action=add-src-to-address-list address-list="Winbox Stage 1"
address-list-timeout=1m chain=input connection-state=new dst-port=?????
in-interface-list=WAN protocol=tcp
add action=accept chain=input dst-port=????? in-interface-list=WAN protocol=
tcp
add action=accept chain=input comment="Access Normal Ping"
in-interface-list=WAN limit=50/5s,2:packet protocol=icmp
add action=drop chain=input comment="Drop All Other" in-interface-list=
WAN
/ip firewall raw
add action=drop chain=prerouting dst-port=137,138,139 in-interface-list=WAN
protocol=udp
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set winbox port=?????
set api-ssl disabled=yes
Копируем то что получилось и вставляем в окно терминала:
В итоге, имеем следующую картину:
На этом настройка безопасности закончена.
Теперь необходимо настроить Вашего провайдера. Как правило, провайдеры используют следующие варианты подключения:
DHCP
Для настройки доступа в интернет с использованием автоматической настройки, необходимо зайти в меню IP, подменю – DHCP client.
Добавляем нового клиента DHCP
Выбираем интерфейс, к которому подключен провайдер, отключаем использование DNS и NTP провайдера.
Во вкладке Advanced, устанавливаем значение Default Route Distance (Метрика) – 10.
Ручная настройка
Меню IP – Addresses
Добавляем новый IP адрес, выданный провайдером:
Заполняем поля Address – IP адрес и Network – маска сети. Выбираем интерфейс, к которому подключен провайдер:
Меню IP – Routes. Добавляем новый маршрут по умолчанию:
Добавляем адрес назначения 0.0.0.0/0, IP адрес маршрутизатора (выдаётся провайдером) и устанавливаем значение Distance (метрика) – 10:
PPPoE
Меню PPP, вкладка Interface. Добавляем новый интерфейс PPPoE Client:
Вводим понятное имя для PPPoE интерфейса и выбираем интерфейс маршрутизатора, к которому подключен провайдер:
Вводим имя пользователя и пароль (выдаётся провайдером), устанавливаем значение Default Route Distance (метрика) в 10:
Добавляем внешний интерфейс в список интерфейсов WAN, меню Interfaces, вкладка Interface List, добавляем интерфейс в список:
List: WAN
Выбираем интерфейс провайдера, если провайдер использует PPPoE, то выбирать следует интерфейс PPPoE а не физический интерфейс, к которому подключен провайдер:
Настройка DNS серверов
Меню IP – DNS, добавляем сервера google, 8.8.8.8 и 8.8.4.4:
Если у вас несколько провайдеров, необходимо повторить всё то же самое необходимое количество раз. Необходимо указать разные значения Default Route Distance (метрика) для каждого провайдера. Чем меньше значение, тем выше приоритет. Например, для второго провайдера вы указываете значение 11, для третьего 12 и т.д. Выход в интернет будет осуществляться через провайдера с наименьшим значением метрики.
Для того, чтобы проверить наличие доступа в интернет, достаточно запустить терминал (меню New Terminal) и выполнить команду ping ya.ru:
На этом базовая настройка маршрутизатора mikrotik завершена. Подробнее о настройке маршрутизаторов Mikrotik, вы можете прочитать документацию на английском языке на официальном wiki сайте Mikrotik.
Следующая часть: Настройка маршрутизатора Mikrot часть 2