Как сделать подсеть на микротике
Доброго времени суток! Давно хотел сделать статью о первоначальной настройке роутеров микротик для домашнего использования и чуть далее. И вот, собственно, делаю. Надеюсь будет полезна.
Итак, для начала давайте рассмотрим этот "микрот" внимательнее, что значат надписи и аббревиатуры на его портах. Первый порт помечен как "Internet" и надписью "PoE in", остальные объединены надписью "LAN" и пятый порт "PoE out". "PoE" - это Power over Ethernet, т.е. можно запитать этот роутер через PoE. Это бывает полезно, если рядом с микротом нет розетки 220 - в этом случае можно докупить "poe инжектор", нагуглите, который стоит от 300 р. и не тянуть удлинитель, плюс блок питания не нужен и установка становится сильно компактнее. PoE out, как можно догадаться, позволяет запитать от самого микрота какое-нибудь другое PoE-оборудование, например ip-телефон, камеру видео-наблюдения или wifi-тарелку. Удобно?! - Конечно!
Что касается "Internet" и "LAN" - это не что иное, как четкое разделение портов на "внешние" и "внутренние", что позволяет роутеру разделять и фильтровать трафик между сетью интернет и локальной сетью. Такое явное разделение портов есть только в серии hAP от микротика, все остальные просто пронумерованы и можно любой порт сделать внешним или внутренним. Т.к. с hap'ами я не сталкивался, то не смогу точно сказать можно ли использовать другие порты как внешние или это совсем жесткое разграничение. Извините, но не знаю ответа, нет таких железок под рукой.
Скрытая кнопочка "RES"/"WPS" сбрасывает роутер в дефолт или служит для подключения wifi-клиента, когда нужно нажать кнопку wps для подключения к сети вместо пароля. Лучше не использовать такой метод.
Задача: создать простейшую конфигурацию маршрутизатора "MikroTik" для обеспечения работы типового небольшого офиса с парой десятков пользователей и двумя-тремя серверами.
Сразу после запуска ненастроенного (или сброшенного до заводского состояния) устройства для доступа к его конфигурации есть два пути: включиться в один из портов (обычно второй и следующие, в зависимости от модели) ethernet-порт (как правило по умолчанию на устройстве запущен DHCP-сервер, выдающий клиентам сетевой адрес) или воспользоваться более простым и надёжным RS-232 (через кабель DB-9). Я предпочитаю последний способ - это не вынуждает меня выключаться из сети, в которой я уже нахожусь:
Прежде всего, если устройство только что поступило на полное реконфигурирование, есть смысл предварительно зачистить его настройки, и уже после этого приступать к дальнейшим действиям:
Аналогичного эффекта сброса настроек до заводских можно достигнуть следующей последовательностью действий:
1. Выключаем питание.
2. Зажимаем кнопку "Reset".
3. Удерживая кнопку "Reset" включаем питание.
4. Отпускаем кнопку "Reset", пока ещё мигает индикатор загрузки.
При входе на устройство сразу после сброса "мастером настройки" будет предложено применить "конфигурацию по умолчанию", но нам это не нужно - отказываемся путём нажатия клавиши "r".
Ознакомиться с текущей конфигурацией проще всего посредством команды экспортирования всего набора команд для воссоздания таковой:
Обращаю внимание, что в версии "RouterOS v6.41" аппаратную L2-коммутацию полностью перенесли на bridge-интерфейсы, отменив ранее использовавшиеся switch-группировки (через опции "master port") - новая реализация "прозрачного моста" поддерживает "аппаратную разгрузку (hardware offload)". Настоятельно рекомендую обновиться до версии v6.41 и выше, так описываемая здесь конфигурация основана уже на новом функционале мостового интерфейса.
Первичные настройки доступа.
Устанавливаем пароль для текущего пользователя "admin":
Заводим дополнительного пользователя и выдаём ему полномочия суперпользователя:
Выключаем все сервисы управления устройством, кроме SSH, "winbox" и COM-порта:
Активируем повышенный уровень шифрования сеансов SSH и запрещаем транзитные подключения:
Ради повышения уровня пассивной безопасности разрешаем обращения к "winbox" только из локальной сети - для настройки извне достаточно SSH:
Настраиваем сетевое именование.
Задаём символическое сетевое имя (FQDN) устройству:
Задаём набор NS-серверов, к которым следует отправлять DNS-запросы (в примере Google и Yandex):
Разрешаем обслуживание маршрутизатором рекурсивных DNS-запросов от пользователей:
Устанавливаем точное системное время.
Наверняка изначально может потребоваться явно указать желаемый часовой пояс (пример для Новосибирска):
Задаём внешний источник данных для автоматической синхронизации времени:
Сразу по применению новых параметров даты и времени система попытается синхронизировать его с указанными time-серверами.
Позволяем маршрутизатору делиться сведениями о точном времени, активируя NTP-Server:
Об аппаратных чипах и логике коммутации.
Ранее (до "RouterOS v6.41") на большинстве "Mikrotik" в настройках по умолчанию была предустановлена схема из двух уровней коммутации: группа ethernet-интерфейсов собирается в "switch-group" (трафик которой обслуживается только в рамках подключения к физическому чипу коммутации, коих может быть несколько), а порты "switch-group" через произвольный "master-port" (таковым может быть назначен любой из портов группы) вводятся в мостовой виртуальный интерфейс "bridge", коммутирующий (уже на уровне центрального процессора) пакеты "switch-group", автономных ethernet-интерфейсов и беспроводного интерфейса, предоставляя им единое L2 адресное пространство.
С внедрением "hardware offload" в мостовых интерфейсах прослойка "switch-group" была исключена из схемы, что сильно упростило её с точки зрения первичного конфигурирования - теперь по умолчанию все сетевые интерфейсы (кроме WAN) введены в виртуальный "прозрачный мост".
Такая реализация упрощает запуск устройства в работу, но не обеспечивает хорошей сетевой производительности из-за узкого места - CPU, через который будет пропускаться вся паразитная широковещательная коммутация, которой в реальной сети с количеством узлов за пару десятков не избежать.
Рекомендую сразу разделить по разным группам коммутации проводные и беспроводные интерфейсы (помним, что по умолчанию они сведены в "прозрачный мост") с тем, чтобы иметь возможность подключающихся беспроводных клиентов в любых комбинациях изолировать от работающих в проводной сети пользователей, а порты последней распределить в соответствии с назначением, функционально изолировав их в рамках аппаратных чипов.
Планируем распределение сетевых интерфейсов по задачам.
В дальнейшей настройке будем исходить из потребности в следующих сущностях:
WAN1 - интерфейс для подключения к первому провайдеру;
WAN2 - интерфейс для подключения ко второму провайдеру;
LAN1 - виртуальный интерфейс для обслуживания локальной сети;
DMZ1 - виртуальный интерфейс для подключения DMZ-сети;
WLAN1 - интерфейс беспроводного контроллера.
Если устройство начального уровня, то в нём немного физических портов и может статься, что каждый из них будет задействован в своей задаче с индивидуальной сетевой IP-адресацией. Если ethernet-портов больше, чем задач, что часть из них можно свести в группы коммутации, получив в итоге картину вроде нижеследующей:
switch1 - первый чип коммутации (GigabitEthernet):
WAN1:
ether1 - первый провайдер;
LAN1:
bridge1 - группа коммутации:
ether2 - первый клиентский коммутатор;
ether3 - второй клиентский коммутатор;
ether4 - рабочая станция;
ether5 - сетевой принтер;
switch2 - второй чип коммутации (FastEthernet):
WAN2:
ether6 - второй провайдер;
DMZ1:
bridge2 - группа коммутации:
ether7 - первый сервер;
ether8 - второй сервер;
ether9 - сетевая АТС;
ether10 - СХД;
WLAN1:
wlan1 - беспроводная сеть.
Конфигурируем локальные сетевые подключения.
Переименовываем сетевые интерфейсы для удобства восприятия их функциональной привязки, в соответствие с вышеприведённой схемой:
Создаём "мостовые интерфейсы", которые будут играть роль виртуальных коммутаторов:
> /interface bridge add auto-mac=yes name=BR-LAN1 protocol-mode=rstp
> /interface bridge add auto-mac=yes name=BR-DMZ1 protocol-mode=rstp
Подключаем к виртуальным "мостовым интерфейсам" соответствующие сетевые физические интерфейсы:
Проверяем, получилось ли задуманное распределение интерфейсов:
В следующем выводе сведений об участниках имеющихся "прозрачных мостов" хорошо видно, для каких интерфейсов (всех в примере) активна "аппаратная разгрузка (hardware offload)" - это значит, что между интерфейсами в рамках обоих групп коммутации пакеты будут передаваться с максимальной скоростью - обрабатываемые на аппаратном уровне, без привлечения медленного центрального CPU:
Назначаем "мостовым интерфейсам" локальных сетей IP-адреса:
> /ip address add address=192.168.1.1/24 interface=BR-LAN1
> /ip address add address=10.10.1.1/24 interface=BR-DMZ1
Результат наших действий по назначению IP-адресов:
Конфигурируем беспроводное сетевое подключение.
Беспроводной интерфейс по умолчанию переведён под управление модуля CAPsMAN (Controlled Access Point system Manager) - контроллера беспроводных точек, призванного упростить настройку и управление единой Wi-Fi-сетью (аналог UniFi-сети на устройствах "Ubiquiti") с бесшовным роумингом:
Хорошо, но для одиночного устройства не нужно - отключаем привязку беспроводного интерфейса к системе CAP:
> /interface wireless cap set interfaces="" discovery-interfaces=""
> /interface wireless cap set enabled=no
Создаём выделенный профиль, описывающий метод аутентификации пользователя в беспроводной сети:
> /interface wireless security-profiles add name=staff-profile authentication-types=wpa2-psk group-ciphers=tkip,aes-ccm mode=dynamic-keys unicast-ciphers=tkip,aes-ccm wpa2-pre-shared-key=
Задаём параметры сети, обслуживаемой беспроводным интерфейсом, заодно привязав к нему заранее подготовленный профиль аутентификации:
> /interface wireless set wlan1 band=2ghz-b/g/n channel-width=20mhz default-forwarding=no disabled=no mode=ap-bridge security-profile=staff-profile ssid=zsmtu wps-mode=disabled
Задаём IP-адрес беспроводному интерфейсу и включаем таковой:
Настраиваем автоматическую выдачу IP-адресов.
Запускаем DHCP-сервер для обслуживания клиентов локальной сети:
> /ip pool add name=DHCP_LAN1_POOL ranges=192.168.1.100-192.168.0.250
> /ip dhcp-server add name=DHCP_LAN1 interface=BR-LAN1 address-pool=DHCP_LAN1_POOL lease-time= 22d disabled=no
> /ip dhcp-server network add address=192.168.1.0/24 gateway=192.168.1.1 netmask=255.255.255.0 dns-server=192.168.1.1 ntp-server=192.168.1.1
При необходимости фиксируем IP-адрес компьютера пользователя за его аппаратным MAC-адресом:
> /ip dhcp-server lease add server=DHCP_LAN1 address=192.168.1.51 mac-address=00:AA:B0:C0:A6:F1 comment="workstation-one"
Запускаем DHCP-сервер для обслуживания клиентов беспроводной сети:
> /ip pool add name=DHCP_WLAN1_POOL ranges=172.16.1.10-172.16.1.254
> /ip dhcp-server add name=DHCP_WLAN1 interface=wlan1 address-pool=DHCP_WLAN1_POOL lease-time= 7d disabled=no
> /ip dhcp-server network add address=172.16.1.0/24 gateway=172.16.1.1 netmask=255.255.255.0 dns-server=172.16.1.1
Удостоверяемся, что наши DHCP-серверы активны в заданной конфигурации:
А вот так можно просмотреть список выданных пользователям сетей IP-адресов:
Конфигурируем внешние сетевые подключения.
Задаём внешнему интерфейсу первого (основного) провайдера IP-адрес:
> /ip address add address=123.45.67.90 netmask=255.255.255.248 interface=ether1-WAN1 disabled=no comment="ISP1"
Объявляем маршрут "по умолчанию", отправляющий весь нераспределённый трафик в сеть первого провайдера "ISP1":
> /ip route add check-gateway=ping comment="GW1" disabled=no distance=1 dst-address=0.0.0.0/0 gateway=123.45.67.89 scope=30 target-scope=10
Задаём параметры подключения ко второму, резервному интернет-провайдеру (например через xDSL-модем, выдающего динамические адреса на линии связи). По логике маршрутизации мы не должный принимать от DHCP-сервера провайдера "маршрут по умолчанию", нам достаточно просто получить адресацию, чтобы интерфейс был активен - но в комбинации "DHCP + StaticRoute" Mikrotik не вполне корректно отрабатывает маршруты на стыке сетей - так что сразу заводим второй "маршрут по умолчанию", но делаем его менее приоритетным:
> /ip dhcp-client add interface=ether6-WAN2 add-default-route=yes disabled=no comment="ISP2"
> /ip route add check-gateway=ping comment="GW2" disabled=no distance=2 dst-address=0.0.0.0/0 gateway=ether6-WAN2 scope=30 target-scope=10
Просматриваем получившуюся таблицу простейшей статической маршрутизации:
Настраиваем трансляцию запросов из локальной сети в интернет.
Так как внутри "MikroTik" живёт "Linux", управление сетевым трафиком и модификация пакетов реализовано через подсистему ядра "netfilter", только вместо обвязки "iptables" здесь оперируют сущностью "firewall".
Для упрощения дальнейшего конфигурирования отношений между подсетями составляем списки таковых:
> /ip firewall address-list
> add address=192.168.1.0/24 list=LIST_INET_USERS_IP
> add address=172.16.1.0/24 list=LIST_INET_USERS_IP
> add address=10.10.1.0/24 list=LIST_DMZ_IP
> add address=123.45.67.88/29 list=LIST_WAN_IP
Задаём правила NAPT/PAT (NAT Overload/Port Address Translation) трансляции локальных сетевых адресов пользователей во внешние, при обращении за сетевые интерфейсы провайдеров:
> /ip firewall nat add action=src-nat chain=srcnat comment="NAPT/PAT via WAN1" out-interface=ether1-WAN1 src-address-list=LIST_INET_USERS_IP to-addresses=123.45.67.90
>
> /ip firewall nat add action=masquerade chain=srcnat comment="NAPT/PAT via WAN2" disabled=yes out-interface=ether6-WAN2 src-address-list=LIST_INET_USERS_IP
Проверяем, применились ли правила организации доступа в интернет:
.
1 ;;; NAPT/PAT via WAN1
chain=srcnat action=src-nat to-addresses=123.45.67.90 src-address-list=LIST_INET_USERS_IP out-interface=ether1-WAN1 log=no log-prefix=""
2 ;;; NAPT/PAT via WAN2
chain=srcnat action=masquerade src-address-list=LIST_INET_USERS_IP out-interface=ether6-WAN2 log=no log-prefix=""
Настраиваем трансляцию запросов из внешней сети к локальным ресурсам.
Наверняка потребуется обеспечить доступность внутреннего сервиса, спрятанного за "MikroTik", извне.
Добавляем правила DNAT (Destination NAT), разрешающие пропуск трафика снаружи к определённым сервисам и портам:
> /ip firewall nat
> add action=dst-nat chain=dstnat comment="DNS: ns.example.net" dst-address=123.45.67.92 dst-port=53 protocol=tcp to-addresses=10.10.1.2 to-ports=53
> add action=dst-nat chain=dstnat comment="DNS: ns.example.net" dst-address=123.45.67.92 dst-port=53 protocol=udp to-addresses=10.10.1.2 to-ports=53
Если нужно обеспечить как пропуск трафика извне, так и вывод такового наружу через определённый внешний IP-адрес, то к правилу DNAT добавим ещё и SNAT (Source NAT) - например, для всего сетевого узла в целом:
> /ip firewall nat
> add action=dst-nat chain=dstnat comment="NAT To: example.net" dst-address=123.45.67.33 to-addresses=10.10.0.3
> add action=src-nat chain=srcnat comment="NAT From: example.net" src-address=10.10.0.3 to-addresses=123.45.67.33
Более глубокую настройку защитного экрана, как такового рассмотрим в отдельной заметке.
Деактивируем ненужные в простом офисе функциональные модули:
Выключаем сервисы мониторинга (Ping) и управления (Telnet, Winbox), принимающие подключения с указанием MAC-адреса, если IP-адрес интерфейсу не выдан:
> /tool mac-server ping set enabled=no
> /tool mac-server set allowed-interface-list=none
> /tool mac-server mac-winbox set allowed-interface-list=none
Выключаем для всех сетевых интерфейсов сервис автоматического поиска соседних сетевых устройств посредством LLDP-запросов - в небольшом офисе и так известно, что к чему подключено:
Выключаем сервис, предназначенный для приёма подключений с целью тестирования пропускной способности:
Явно выключаем сервисы проксирования клиентских запросов:
LCD-экранчик у Mikrotik откровенно неудобный - выключаем, не особо разбираясь в его возможностях:
> /lcd interface pages set 0 interfaces=ether1-WAN1
> /lcd set default-screen=stats-all read-only-mode=yes touch-screen=disabled
> /lcd set enabled=no
[ уже посетило: 7405 / +3 ] [ интересно! / нет ]
Поблагодарить автора ( сделайте свой денежный вклад в хорошее настроение )
Заметки и комментарии к публикации:
Оставьте свой комментарий ( выразите мнение относительно публикации, поделитесь дополнительными сведениями или укажите на ошибку )
Это инструкция, как пошагово настроить роутер MikroTik с нуля без использования заводской конфигурации.
Содержание:
Подключение роутера MikroTik
Схема подключения роутера MikroTik:
Настройка сетевой карты компьютера
Чтобы на компьютере можно было зайти в настройки роутера Mikrotik, настроим сетевую карту на получение автоматических настроек.
Windows7 - Панель управления
Windows7 - Изменение параметров адаптера
Windows7 - Подключение по локальной сети
Windows7 - Протокол Интернета версии 4 (TCP/IPv4)
Windows7 - Получить IP-адрес автоматически
Если сетевая карта не получает автоматически IP адрес из подсети 192.168.88.x, попробуйте его указать вручную (например: 192.168.88.21) или сбросить роутер Mikrotik к заводским настройкам.
Выполнить настройку роутера MikroTik можно разными способами:
Мы будем настраивать роутер Mikrotik с помощью программы Winbox.
Подключаемся к роутеру MikroTik:
Сброс настроек роутера
Сбросим все настройки роутера MikroTik.
Очистить конфигурацию MikroTik
Если у вас не появилось данное окно, сбросим настройки через меню:
Описание сетевых интерфейсов
Конфигурация сетевых интерфейсов MikroTik будет выглядеть следующим образом: первый порт ether1 будет подключен к провайдеру (WAN порт), остальные порты ether2-5 будут работать в режиме коммутатора для подключения компьютеров локальной сети.
Чтобы не путать сетевые интерфейсы, опишем их с помощью комментариев.
Записываем для первого порта ether1 комментарий "WAN":
Записываем для второго порта ether2 комментарий "LAN":
Выбираем интерфейс ether2;
Нажимаем желтую кнопку Comment;
В появившемся окне вводим комментарий "LAN";
Нажимаем кнопку OK.
Описание LAN интерфейса MikroTik
Теперь в списке интерфейсов четко видно их назначение.
Список интерфейсов MikroTik
Настройка WAN интерфейса MikroTik
Смена MAC адреса WAN порта
Если Ваш провайдер блокирует доступ к сети по MAC адресу, то необходимо сначала изменить MAC адрес WAN порта роутера MikroTik. В противном случае пропустите этот пункт.
Чтобы изменить MAC адрес порта MikroTik, открываем в программе Winbox меню New Terminal и вводим команду:
, где ether1 - имя WAN интерфейса, 00:01:02:03:04:05 - разрешенный MAC адрес.
Изменить MAC адрес MikroTik
Чтобы вернуть родной MAC адрес порта, нужно выполнить команду:
, где ether1 - имя интерфейса.
Вернуть родной MAC адрес MikroTik
Настройка Dynamic IP
Если интернет провайдер выдает Вам сетевые настройки автоматически, то необходимо настроить WAN порт роутера MikroTik на получение настроек по DHCP:
Теперь мы получили IP адрес от провайдера, который отображается в столбце IP Adress.
Получение IP адреса по DHCP MikroTik
Проверим, что есть связь с интернетом:
- Открываем меню New Terminal;
- В терминале пишем команду ping 8.8.8.8 (пингуем сайт google) и жмем Enter на клавиатуре.
Как видим, идут пинги по 60ms, значит интернет подключен и работает. Остановить выполнение команды можно комбинацией клавиш на клавиатуре Ctrl+C.
ping MikroTik
На компьютерах, подключенных к роутеру MikroTik, интернет не будет работать, пока вы не настроите локальную сеть, Firewall и NAT.
Настройка Static IP
Если вы используете статические сетевые настройки, необходимо настроить WAN порт роутера MikroTik вручную.
Настроим статический IP адрес и маску подсети WAN порта MikroTik :
Настроим адрес интернет шлюза MikroTik:
Добавим адреса DNS серверов MikroTik:
- Открываем меню IP;
- Выбираем DNS;
- В появившемся окне нажимаем кнопку Settings;
- В новом окне в поле Servers прописываем IP адрес предпочитаемого DNS сервера;
- Нажимаем кнопку "вниз" (черный треугольник), чтобы добавить еще одно поле для ввода;
- В новом поле прописываем IP адрес альтернативного DNS сервера;
- Ставим галочку Allow Remote Requests;
- Нажимаем кнопку OK для сохранения настроек.
Проверим, что есть доступ к интернету:
- Открываем меню New Terminal;
- В терминале пишем команду ping 8.8.8.8 (пингуем сайт google) и жмем Enter на клавиатуре.
Как видим, идут пинги по 60ms, значит интернет подключен и работает. Остановить выполнение команды можно комбинацией клавиш на клавиатуре Ctrl+C.
ping MikroTik
На компьютерах, подключенных к роутеру MikroTik, интернет не будет работать, пока вы не настроите локальную сеть, Firewall и NAT.
Настройка PPPoE
Если вы используете ADSL модем, к которому по сетевому кабелю подключен роутер MikroTik, сначала необходимо настроить ADSL модем в режим Bridge (мост).
Настроим клиентское PPPoE соединение на роутере MikroTik:
Настраиваем параметры PPPoE соединения MikroTik:
После создания PPPoE соединения напротив него должна появиться буква R, которая говорит о том, что соединение установлено.
PPPoE соединение на MikroTik установлено
Проверим, что есть связь с интернетом:
- Открываем меню New Terminal;
- В терминале пишем команду ping 8.8.8.8 (пингуем сайт google) и жмем Enter на клавиатуре.
Как видим, идут пинги по 60ms, значит интернет подключен и работает. Остановить выполнение команды можно комбинацией клавиш на клавиатуре Ctrl+C.
ping MikroTik
На компьютерах, подключенных к роутеру MikroTik, интернет не будет работать, пока вы не настроите локальную сеть, Firewall и NAT.
Настройка локальной сети MikroTik
Объединение Wi-Fi и проводных интерфейсов в локальную сеть
Создаем объединение bridge-local (мост);
Добавляем в объединение проводные ethetnet порты 2-5:
Добавляем в объединение Wi-Fi интерфейс.
Назначение IP адреса локальной сети
Настроим IP адрес локальной сети MikroTik:
Настройка DHCP сервера
Чтобы компьютеры, подключенные к роутеру, получали сетевые настройки автоматически, настроим DHCP сервер MikroTik:
Теперь сетевой кабель компьютера отключаем от роутера и еще раз подключаем к нему.
Настройка Wi-Fi точки доступа MikroTik
Сначала необходимо включить Wi-Fi модуль:
Создаем пароль для подключения к точке доступа MikroTik:
- Открываем вкладку Security Profiles;
- Нажимаем кнопку Add (плюсик);
- В новом окне в поле Name указываем имя профиля безопасности;
- Для лучшей безопасности оставляем только регистрацию по протоколу WPA2 PSK;
- В поле WPA2 Pre-Shared Key вводим пароль для доступа к Wi-Fi точке;
- Для сохранения настроек нажимаем кнопку OK.
Настраиваем параметры Wi-Fi точки MikroTik:
- Открываем вкладку Interfaces;
- Делаем двойной клик кнопкой мыши на Wi-Fi интерфейсе wlan1, чтобы зайти в его настройки;
- Переходим на вкладку Wireless;
- В списке Mode выбираем режим работы ap bridge (точка доступа в режиме моста);
- В списке Band выбираем в каких стандартах будет работать Wi-Fi точка, мы выбрали B/G/N;
- В поле SSID прописываем имя точки доступа;
- В списке Security Profile выбираем имя профиля безопасности, в котором мы создавали пароль для доступа к Wi-Fi точке;
- Нажимаем кнопку OK для сохранения настроек.
Теперь можно подключаться к роутеру по Wi-Fi.
На компьютерах, подключенных к роутеру MikroTik по Wi-Fi, интернет не будет работать, пока вы не настроите Firewall и NAT.
Настройка Firewall и NAT
Чтобы компьютеры получали доступ к интернету, необходимо настроить Firewall и NAT на роутере MikroTik.
Откройте меню New Terminal для ввода команд.
Настройка NAT выполняется следующими командами:
, где ether1 - это интерфейс, на который приходит интернет от провайдера. Для PPPoE соединений указывается название PPPoE интерфейса.
Настройки NAT достаточно, чтобы заработал интернет.
Protect router - команды для защиты роутера:
Protect LAN - защита внутренней сети:
Назначаем типы интерфейсов для защиты внутренней сети (external - внешний, internal - внутренний LAN):
Изменение пароля доступа к роутеру MikroTik
Чтобы изменить пароль доступа к роутеру MikroTik, выполните следующие действия:
Сброс роутера MikroTik к заводским настройкам
Чтобы сбросить MikroTik к заводским настройкам выполните следующее:
После этого роутер перезагрузится, и вы сможете зайти в его настройки со стандартным именем пользователя admin без пароля.
Если вы войдете в настройки с помощью программы Winbox, то появится следующее окно:
Быстрая настройка роутера MikroTik
C помощью кнопки OK можно выполнить быструю настройку роутера по умолчанию.
Кнопка Remove Configuration позволяет сбросить все настройки для последующей ручной настройки роутера.
В данной статье мы рассмотрим настройку статической маршрутизации на роутере MikroTik. Да, задание маршрутов может происходить и динамически, но сегодня поговорим о процессе определения маршрута (направления) на основе правил, заданных вручную.
Основные моменты
Стоит понимать, что роутинг работает на третьем уровне (L3), для ее работы нужны IP адреса. В роутерах Mikrotik есть определённый алгоритм работы RouterOS, он описан в Packet Flow Diagram v6. Нас интересует диаграмма Packet Flow Chains.
Можно задать очень интересный вопрос. Все мы знаем, что в заголовке IP пакета есть отправитель и получатель, в процессе его передачи, эти данные не меняются. Так же из определения выше мы знаем, что routing работает на L3, т.е. с IP адресами, на их основе и строятся маршруты. Но как же так, в настройках адаптера клиента указан IPшник основного шлюза, в таблицах маршрутизации так же указаны адреса роутеров, через которые доступны нужные сети. Как так получается, что источник и получатель не меняются в процессе передачи? (а они действительно не меняются).
Также вы можете воспользоваться статьёй про настройку Микротика с нуля, она подойдёт для всех моделей роутеров.
Все дело в том, что, когда ваш клиентский комп хочет передать данные через шлюз, он делает arp-запрос на его IPшник (не broadcast), шлюз ему отвечает, происходит подстановка MAC шлюза в качестве получателя, на канальном уровне (L2) в ethernet кадр и данные отправляются. Шлюз получивший такой кадр, смотрит в IP заголовок, понимает, что получатель за пределами его локальной базы данных маршрутов, находит подходящий роут (об этом далее), делает arp-запрос нужного роутера, отправляет ethernet (если допустим это обычная сеть) кадр с MACом нужного роутера, и так до самого конца. Интересная штука выходит, IP адреса в пути следования не меняются, а MAC меняются.
- А вы задали обратный маршрут до вас?
- Как сеть назначения узнает, куда слать ответные пакеты?
Тут можно прибегнуть к маленькой хитрости, включить NAT на стороне отправителя. Но так делать не стоит. Только в особых случаях.
Алгоритмы выбора маршрута:
- Самый высокий приоритет имеет сеть/адрес /32 маской. Чем уже маска, тем приоритетнее;
- Default Route имеет самый наименьший приоритет 0.0.0.0/0.
После выбора маршрута происходит выбор по метрике, чем меньше метрика, тем приоритетнее:
- distance=0 — наивысшая метрика;
- distance=254 – наименьшая метрика;
- distance=255 – недоступный маршрут.
Пора перейти от теории к практике.
Если вы хотите углубить свои знания по работе с роутерами MikroTik, то наша команда рекомендует пройти курсы которые сделаны на основе MikroTik Certified Network Associate и расширены автором на основе опыта . Подробно читайте ниже.
Схема стенда
Внимательно ознакомьтесь со схемой, на примере ее мы будем показывать как на роутерах mikrotik настраивать маршрутизацию между подсетями и как мониторить шлюз и в случае его недоступности переключится на резервный.
- Имеется 4 шлюза;
- 4 ПК;
- Адресация между роутерами 10.10.1.0/24…10.10.4.0/24;
- Локальные адреса клиентов192.168.1.0/24…192.168.4.0/24;
- RouterOS 6.48.1
Настройка маршрута между R1 и R2
Мы имеем две сети за обоими роутерами, 192.168.1.0/24 и 192.168.2.0/24 соответственно. Откроем IP-Routes на R1.
У всех записей есть метки состояния. В нашем случае DAC:
Но мы не видим роут в нужную сеть. Добавим его.
Пакеты летят, но только на передачу. В ответ мы ничего не получаем. Исправим ситуацию и пропишем обратный роут на R2.
Теперь все хорошо.
Настройка R1 и R3 через R2
Для успешного прохождения трафика, на R1 нужно указать, через кого доступна 192.168.3.0/24.
На R2, указываем через кого доступна эта же сеть.
А на R3 в обратную сторону, т.е. до 192.168.1.0/24 через R2
Настройка резервного маршрута на микротике
Сделаем резервный хоп до 192.168.3.0/24 через R4. На R1 создадим роут, но изменим метрику, т.е. понизим.
После применения, запись подсвечивается, это означает что она доступна, но не активна (отсутствует A – Active). В случае недоступности через более приоритетную метрику, Mikrotik будет слать данные через R4.
На R4 скажем, через кого доступны сети за R1 и R3.
На R3 создадим резервный маршрут с наименьшим приоритетом.
Check Gateway
Пришло время рассказать про опцию Check Gateway. Она позволяет проверять доступность соседа по ICMP или ARP запросам. Но также вы можете ее отключить. Предлагаю на маршруте к 192.168.3.0/24 через R2, на R1 и R3 включить данную опцию с ping запросами. В этом случае, каждый Mikrotik раз в 10 сек. будет отправлять один ping запрос, если ответа не будет в течении трёх запросов, то он считается недействительным.
Следом на R2 включаем блокировку ICMP запросов.
И смотрим как маршруты на R1 и R3 с метрикой 10, стали unreachable.
Проверим роутинг с PC1 на PC3.
Но как только мы отключим правило блокировки на R2, и пройдет хотя бы один ping запрос, маршруты перестроятся обратно.
Балансировка нагрузки
ECMP — Equal-Cost Multi-Path – равнозначный маршрут. Указывая в правиле 2 и более шлюза, мы тем самым включаем ECMP. Данные тем самым будут пересылаться по принципу Round Robin.
Добавим R4 на R1 и R3 в основном маршруте клиентов друг к другу.
Обратите внимание на трафик на интерфейсах. На R1 он уходит через один, а возвращается через другой. Так же огорчу читателя. Что Check Gateway с ECMP не работает.
Если допустим у вас канал через R2 200Mb/s а через R3 100Mb/s, то можно нагрузить первый канал в 2 (а то и более) раза больше, чем второй.
Хотелось бы напоследок отметить, что статическая маршрутизация как на микротик так и на других роутерах является самой экономичной моделью, т.к. на ее работу не нужно включать динамические протоколы маршрутизации. Но сложность администрирования и большая вероятность допущения ошибок являются основными моментами, которые нужно учесть при проектировании.
89 вопросов по настройке MikroTik
Читайте также: