Тонкая настройка роутеров Mikrotik.
Старт и схема подключения.
В этой статье рассмотрим начальную настройку роутера Mikrotik, как роутера для домашнего пользования.
Прежде чем начинать настройку любого устройства, нам нужно представить, а лучше нарисовать общую схему нашей планируемой сети.
Наша схема будет выглядеть следующим образом:
1.В первом порту коммутатора будет вставлен кабель, который приходит от оператора связи. На операторском языке данный порт будет называться аплинком (англ. uplink), на языке клиента - это WAN-порт (англ. Wide Area Network - широкополосный доступ к сети).
2. Во втором порту у нас будет подключена TV-приставка, которая получает TV-поток через многоадресную рассылку от оператора (англ. multicast)
3. Третий и четвертый порты будут использоваться под рабочие станции
4. Беспроводной модуль (в терминологии Mikrotik - Wireless, в общепризнанной терминологии Wi-Fi) будет использоваться для подключения беспроводных устройств.
Подключение к устройству
Для настройки будем использовать программу WinBox, которая разработана специалистами Mikrotik для удобства настройки продуктов Mikrotik. Для настройки, так же, можно использовать Web-интерфейс, то есть настраивать устройство через браузер, а, так же, через командную строку, заходя на устройство через Telnet или его защищенную версию SSH.
Программу WinBox скачиваем о официального сайта Mikrotik: https://mikrotik.com/download
В этом же разделе мы будем скачивать последнюю версию программного обеспечения (прошивку).
Подключаем роутер к нашей рабочей станции кабелем Ethernet. Поскольку маршрутизатор из коробки уже имеет какую-то первоначальную настройку, рекомендуется подключаться в любой порт, кроме первого.
После загрузки, маршрутизатор отобразится во вкладке Neibhors в программе WinBox.
Первоначальная настройка через WinBox хороша тем, что нам не обязательно знать какие IP-адреса прописаны на маршрутизаторе и будут ли они доступны с адресов, прописанных на нашей сетевой карте.
WinBox позволяет использовать протоколы MAC-Telnet и MAC-Winbox. Подключение происходит не с IP-адреса на IP-адрес, а с MAC-адреса на MAC-адрес.
Нажимаем на MAC-адрес нашего маршрутизатора, он копируется в поле "Connect To", вводим Login и Password и нажимаем кнопку Connect.
По умолчанию у Mikrotik Login: admin, Password: `пустое поле`, то есть без пароля.
Если с роутером не производилось никаких действий по настройке, при первичном подключении через WinBox, он сообщит о неких уже произведенных на заводе предустановках. Не будем разбираться подходят они нам или нет и просто их сбрасываем.
Обновление RouterOS
Далее нам необходимо обновить программное обеспечение маршрутизатора. Заходим на https://mikrotik.com/download и видим, что огромное количество возможных загрузок операционной системы Router OS. Для того, что бы выбрать нужную, нам необходимо понять какая архитектура процессора используется в нашем настраиваемом устройстве. Ее тип можно увидеть в верхней части окна WinBox. В нашем случае это SMIPS. В нашем случае мы можем установить любую из трех веток RouterOS: Bugfix only, Current и Release candidate. Ветка Bugfix only используется там, где необходима максимальная стабильность программного обеспечения. Здесь нет новых "фишек" операционной системы. Здесь они появляется, в среднем, через полгода после появления в ветке Current. В данной ветке предложена самая последняя версия с новыми возможностями RouterOS, которая уже прошла тестирование, но тем не менее, в которой могут содержаться какие-либо ошибки. Вероятнее всего среднестатистический пользователь домашнего беспроводного роутера с ними просто не столкнется. В ветке Release candidate представлены самые последние разработки, которые еще проходят тестирование, которые постоянно дорабатываются в процессе тестирования. После того, как завершается тестирование, операционная система из ветки Release candidate перетекает в ветку Current, а когда из нее будут убраны все ошибки, перетекает в ветку Bugfix only. Для настройки нашего роутера возьмем ветку Current.
Далее мы видим, что можно скачать Main package и Extra packages. В Main package уже содержится набор пакетов операционной системы, который необходим среднестатистическому пользователю данного типа устройств, т.е. ничего лишнего. В Extra packages представлены все возможные пакеты, нужные из которых мы можем выбрать для использования.
Несколько слов о предназначении пакетов:
Для работы маршрутизатора необходим пакет system. В нем находится ядро операционной системы. Что бы у роутера работал беспроводной (Wireless, WiFi) модуль, нам необходим пакет wireless. Для работы нам потребуется пакет dhcp - для получения IP-адресов от оператора и назначения IP-адресов нашим домашним устройствам. Если мы подключаемся к инетнету через протоколы PPPoE, PPTP или L2TP, нам необходим пакет ppp. Если мы планируем смотреть IPTV, которое работает через многоадресную рассылку multicast, нам потребуется пакет multicast. Если в нашем устройстве есть LCD-экран, то для него нужен пакет lcd.
Можно не выбирать пакеты, а установить сразу все. В случае с Extra packages не получится так, что какого-то пакета нам не хватает. Ненужные пакеты просто будут занимать память устройства. В дальнейшем, их можно отключить.
Обновление RouterOS происходит очень просто: т.к. у нашего устройства еще нет доступа в интернет, мы просто выделяем нужные пакеты и перетаскиваем их в окно WinBox (drag-and-drop). После того, как пакеты скопировались, мы перезагружаем устройство, нажав в разделе System кнопку Reboot. Процесс обновления занимает примерно одну минуту, после чего мы можем нажать кнопку Reconnect в WinBox. После каждого обновдения операционной системы, нам нужно обновить и BIOS устройства. Для этого заходим в System - Routerboard и нажимаем кнопку Upgrade. В данном окошке мы видим текущую версию BIOS (Current Firmware), версию, на котоую можем обновить (Upgrade Firmware) и версию, которая была установлена при производстве устройства (Factory Firmware). После обновления обязательно необходимо перезагрузить устройство: System - Reboot. В дальнейшем, когда устройство будет подключено к Internet, его можно обновлять зайдя в System - Packages и нажав в открывшемся окне кнопку Check For Updates. При необходимости, здесь можно выбрать ветку RouterOS: Bugfix only, Current и Release candidate.
Подключение к Internet
После обновления RouterOS мы можем приступить к ее настройке.
Прежде всего нам необходимо подключить устройство к интернету. Для этого нам важно знать какой тип подключения нам предлагает наш оператор связи. Если этой информации нет, необходимо выяснить это в технической поддержке Вашего оператора связи. У оператора связи ForceLine используется комбинация DHCP и PPPoE, т.е. необходимо настроить оба типа подключения.
Рассмотрим несколько возможных:
DHCP - когда мы все настройки от оператора получаем автоматически. Заходим в раздел IP - DHCP Client. Добавляем клиента, обязательно указав интерфейс (порт), в который подключен кабель, приходящий от оператора связи.
PPPoE - когда нам при подключении необходимо вводить логин и пароль, выданные оператором.
Заходим в раздел PPP. Во вкладке Interface добавляем PPPoE Client. В открывшемся окне обязательно выбираем интерфейс подключения к интернету, вводим логин и пароль, а, так же, ставим галочку Use Peer DNS.
Безопасность
Прежде, чем перейти к дальнейшей настройке, необходимо защитить устройство от взлома злоумышленниками. Сначала зададим пароль для доступа к устройству. Для этого заходим в раздел System - Password и зададим новый пароль. Поле Old Password оставляем пустым, т.к. изначально пароля не было.
Далее необходимо отключить службы, которые Вы не будете в дальнейшем использовать. Заходим в раздел IP - Services. В открывшемся окне отобразятся все службы, через которые возможен удаленный доступ к Вашему устройству. Если Вы не планируете подключаться к роутеру через WEB-интерфейс, используя браузер, отключите все службы, кроме winbox, если планируете, оставьте включенной службу www.
Настройка локальной сети
Что бы все наши устройства были в одной локальной сети, необходимо оставшиеся интерфейсы объединить в сетевой мост - это аналог функции коммутатора на маршрутизирующих устройствах.
Объединение интерфейсов в сетевой мост.
Заходим в раздел Brigde и добавляем новый сетевой мост, назовем его bridge1.
Далее во вкладке Ports добавляем в наш мост интерфейсы (порты), который принадлежат нашей локальной сети. Интерфейс wlan1 - это беспроводной (Wireless, WiFi) интерфейс. Интерфейсы ether2(3-5) - это ethernet интерфейсы. Цифра соответствует номеру порта. При добавлении в сетевой мост порта, в который подключена рабочая станция, с которой производится настройка, произойдет отключение WinBox от маршрутизатора. Связано это с тем, что у порта маршрутизатора, при добавлении в сетевой мост, изменится MAC-адрес на MAC-адрес сетевого моста и нам необходимо подключиться к новому MAC-адресу. Новый MAC-адрес мы увидим во вкладке Neibhors WinBox`а.
Назначение IP-адреса
Далее необходимо назначить IP-адрес марщрутизатору, который, так же, будет основным шлюзом для устройств локальной сети. Заходим в раздел IP - Adresses. Вводим IP-адрес. Для локальной сети будем использовать адресацию 192.168.20.0/24, где 192.168.20.1/24 - это IP-адрес маршрутизатора (основной шлюз), а адреса 192.168.20.2 - 192.168.20.254/24 будут использоваться остальными устройствам в локальной сети, подключаемыми к нашему маршрутизатору.
/24 указывает значение маски подсети, соответствующее значению 255.255.255.0, т.е. наша локальная сеть рассчитана на 254 IP-адреса. В поле Interface обязательно необходимо указать bridge1.
Настройка DHCP-сервера
После установки IP-адреса, настроим службу, которая будет присваивать IP-адреса устройствам, которые будут подключаться к маршрутизатору.
Заходим в раздел IP - DHCP Server. Нажимаем кнопку DHCP Setup, выбираем DHCP Server Interface: bridge1 и нажимаем кнопку Next. В следующем окне предлагается указать DHCP Address Space. Это выбранная сеть 192.168.20.0/24, оставляем ее без изменения и жмем Next, следующее окно нам предлагает указать основной шлюз, который будет назначаться подключаемым к роутеру устройствам. Это IP-адрес, который мы назначили маршрутизатору 192.168.20.1, далее предлагается указать диапазон IP-адресов, которые будут назначаться подключаемым устройствам: 192.168.20.2 - 192.168.20.254, далее указываются DNS-сервера, которые будут использовать подключаемые устройства. Если роутер еще не подключен к интернету, эти поля будут не активны. Если их не заполнять, то будут назначаться те сервера, которые будут назначены оператором связи роутеру, когда он подключится к интернету. Можно указать другие DNS-сервера, например 8.8.8.8 (Google). Важно знать: не запрещено ли Вашим оператором использование сторонних (отличных от назначаемых оператором) DNS-серверов. Далее предлагается выбрать время, на которое подключаемому устройству будет назначен IP-адрес. Рекомендуется изменить его на значение 1d 00:00:00, т.е. на одни сутки. При нажатии на кнопку Next, DHCP-сервер будет создан и готов к работе.
Настройка NAT
Чтобы подключаемые к маршрутизатору устройства могли получить доступ в интернет, необходимо настроить подмену IP-адресов с сетевых, на внешний, до которого есть доступ из интернета. Если данную подмену не настроить, то пакеты из локальной сети будут уходить, но вернуться уже не могут, поскольку Интернет "не знает" где находится Ваша локальная сеть с внутренними IP-адресами.
Для настройки заходим в раздел IP - Firewall, выбираем вкладку NAT. Настраиваем правила подмены по принципу: если пакету нужно уйти в интернет, т.е. исходящий интерфейс у него будет интерфейсом подключения к интернет - произвести подмену.
Важно отметить, что, если подключение к интернет происходит при помощи туннелей PPPoE, PPTP или L2TP, интерфейсом доступа в интернет у нас будет не порт (ether1), а созданный интерфейс ppp.
Для того, что бы был доступ к локальной сети оператора, для оператора ForceLine это адреса 10.216.0.0/16, добавляем еще одно похожее правило, где исходящим интерфейсом у нас будет ether1, подключенный к сети оператора.
Настройка беспроводной сети
Для настройки беспроводной сети заходим в раздел Wireless, вкладка WiFi Interfaces.
Если у нас роутер с поддержкой 5ГГц, мы увидим 2 интерфейса. Обычно wlan2 - это интерфейс беспроводной сети 5ГГц. Производим двойной клик по интерфейсу wlan1 для его настройки.
Справа в открывшемся окне нажимаем кнопку Advenced Mode, длч получения доступа к всему спектру настроек.
В вкладке Wireless выбираем:
1. Mode: ap bridge - режим точки доступа
2. Band: 2GHz-G/N - для возможности подключения устройств стандартов 802.11g и 802.11n. Если Ваши беспроводные устройства достаточно современные, можете выбрать 2GHz-only-N, что бы исключить возможность устройствам подключаться по устаревшему протоколу 802.11g.
* При настройке беспроводного модуля 5ГГц, выбирайте диапазон 5GHz-A/N/AC.
3. Channel Width - 20 MHz. Устанавливать значение 20/40 MHz не рекомендуется, в силу большого количества помех в данном диапазоне. Значения 5 и 10 MHz устанавливать нельзя, беспроводные устройства перестанут подключаться.
* При настройке беспроводного модуля 5ГГц, можно смело выбирать 20/40/80 MHz
4. Frequency: auto. В данном случае роутер выберет самый свободный канал. Если беспроводная связь у Вас работает некорректно: пропадает связь, работает очень медленно - можно установить вручную один из каналов из ниспадающего меню. Путем перебора найти тот канал, который обеспечит наиболее корректную работу беспроводной сети.
5. SSID - Здесь указывается имя беспроводной сети, которую Вы будете выбирать на подключаемом устройстве.
6. Wireless Protocol: 802.11 - это общемировой стандарт беспроводной связи.
7. WPS Mode: disabled. Данный метод аутентификации беспроводных клиентов небезопасен и легко взламывается злоумышленниками.
8. Frequency Mode: regulatory-domain
9. Contry: russia
Данные настройки используются для приведения мощности излучаемого сиглана беспроводным подулем в рамки закона определенной страны.
10. WMM Support: enabled
Во вкладке Advanced:
1. Diatance: indoors
2. Adaptive Noice Immunity: ap and client mode. Данная настройка активирует алгоритмы устойчивости беспроводной связи к помехам.
На этом закончим настройку беспроводного интерфейса и нажмем кнопку Ок.
Для установки пароля на беспроводную сеть переходим во вкладку Security Profiles. Двойным щелчком мыши открываем профиль default, устанавливаем Mode: dynamic keys. Authentifacation Types выбираем WPA2 PSK, устанавливаем галки напротив aes ccm в Unicast Ciphers и Group Ciphers. В поле WPA2 Pre-Shared Key вводим пароль, который будем использовать для подключения к нашей беспроводной сети.
По умолчанию беспроводной интерфейс выключен, его необходимо включить, выделив его и нажав на синюю галку.
На этом первоначальную настройку маршрутизатора Mikrotik можно считать законченной. Можно подключать устройтства как к проводной сети, так и беспроводной.
Важно отметить, что все подключаемые устройства должны быть настроены
