Первоначальная настройка MikroTik на примере MikroTik RB951G-2HND
Хотелось бы сразу оговориться, все то, что здесь есть в статье подходит в целом для любых моделей MikroTik на RouterOS.
И так, перейдем к настройке:
Как и обычно, при первом включении отменяем начальную конфигурацию, нажав на кнопку Remove Configuration.
Если это окно не появилось, то в меню System->Reset Configuration делаем сброс, поставив галочку No DefaultConfiguration, после перезагрузки можно приступать к настройке. Естественно не забываем про обновление прошивки. Многие рекомендуют использовать как стабильную, прошивку версии 5.25, я использую в данный момент 5.26 нареканий пока никаких нет (от себя хотел бы добавить, что обновившись на прошивку 6.6 испытывал затруднения, так как прошивка постоянно глючила в плане настроек).
1. Настройка автоматического получения IP-адреса от DHCP провайдера.
Для подключения к Интернету может использоваться несколько способов, начнем с автоматического получения адреса. Для этого в меню IP->DHCP Client добавляет новую запись, где указываем интерфейс, подключенный к сети провайдера, а так же устанавливаем все галочки — получение адреса DNS сервера и адреса сервера точного времени, самая нижняя галочка позволяет устанавливать маршрут по умолчанию через данное подключение. Она используется при одновременном подключении сразу к нескольким провайдерам.
2. Настройка PPPoE подключения.
При использовании подключения через PPPoE, пункт 1 Вам выполнять не нужно. Вам понадобиться зайти в раздел PPP и добавить PPPoE_Client.
Далее видим окно New Interface в нем на вкладке General в поле Name задаем произвольное имя для подключения, а в поле Interfaces выбираем интерфейс (порт) к которому подключен провод провайдера. В моем случае это был первый порт, что я и выбрал.
На вкладке Dial Out указываем логин и пароль на доступ, устанавливаем галочку Use Peer DNS для получения адреса сервера DNS от провайдера. Теперь наше PPPoE соединение с провайдером настроено.
Для превращения MikroTik’а в коммутатор следует создать бридж в разделе Bridge. Нажимаем на + и сразу на Ok, настраивать здесь ничего не нужно.
Здесь же в Bridge переходим на вкладку Ports и добавляем сетевые порты в бридж, для этого нажимаем на +, выбираем нужные интерфейс и бридж из списка. Требуется добавить от 2 сетевых портов и беспроводной адаптер.
Указываем IP-адрес на бридже. Так же в разделе IP -> Address добавляем адрес 192.168.0.1/24 на интерфейс bridge1.
Настраиваем DNS сервер MikroTik’а, в меню IP -> DNS нужно обязательно поставить галочку Allow Remote Requests, для разрешения отвечать на запросы с других компьютеров без нее Интернет работать не будет. Так же по желанию можно добавить DNS-адрес сервера Google 8.8.8.8.
Для того, чтобы наш MikroTik автоматически раздавал IP-адреса подключенным клиентам, нужно в разделе IP -> DHCP Server запускаем мастер настроек, нажатием на кнопку DHCP Setup.
В первом окне выбираем интерфейс, на котором будет работать наш DHCP-server. Так как все порты объединены в бридж, то выбираем bridge1.
Указываем подсеть адресов для выдачи. Все данные подставляются автоматически, однако есть возможность их корректировать.При выборе интерфейса был определена подсеть, установленная на нем 192.168.0.0/24. Изменять ее не следует.
Шлюз для клиентов так же устанавливается автоматически 192.168.0.1 — этот адрес вводили во время настройки IP-адреса на бридже.
Адреса для выдачи клиентам. По умолчанию установлен диапазон 192.168.0.2 — 192.168.0.254, адреса выдаются с конца. Если в сети у каких-то устройств адреса установлены вручную, например в диапазоне 10-50, то можно исключить их, указав 192.168.0.100 — 192.168.0.254. Если используется более сложная конфигурация сети и в ней несколько диапазонов, установленных вручную, то можно нажав на стрелку вниз, открыть еще одно поле для указания диапазона. И ввести к примеру вверху 192.168.0.100 — 192.168.0.150, а внизу 192.168.0.200 — 192.168.0.254. Тогда адреса 2-99 и 151-199 можно указывать статически на компьютерах локальной сети.
Адрес DNS сервера для выдачи — 192.168.0.1, то есть адрес микротика. Нажав на стрелку вниз можно указать и альтернативный, либо сразу выдавать альтернативный, если не требуется использовать свой DNS сервер и перенаправлять все запросы на сервер провайдера.
Время аренды адреса. По умолчанию 3 дня, можно поставить меньше, хоть 10 минут. После нажатия на кнопку Next настройка завершена.
Для настройки НАТ требуется зайти в меню IP->Firewall на вкладку NAT и нажать на +.
Откроется окно, где нужно указать подсеть клиентов, которые могут иметь доступ в сеть, в нашем случае указываем 192.168.0.0/24. То есть правило будет работать только для адресов с 192.168.0.1 до 192.168.0.254.
На вкладке Action выбираем Masquerade.
Для защиты от атак со стороны Интернета не требуется создавать фильтры в файрволе, достаточно снять все галочки в разделе IP->Services, нужно оставить только Winbox для доступа на устройство. Если лишние сервисы не отключать, то в логах будут появляться сообщения о попытках входа с не правильными учетными данными, особенно много их будет по Telnet.
Если провайдер предоставляет белый IP-адрес, можно включить автоматический проброс портов в меню IP->UPnP. Устанавливаем галочку Enabled и добавляем интерфейс Bridge1 в качестве внутреннего, а Ether1 и PPPoE-Out1 в качестве внешнего.
Для ограничения доступа к настройкам в меню System->Users указываем пароль на доступ, зайдя в свойства существующего пользователя Admin.