Mikrotik rb3011 — начальная настройка

Итак, приступим — подключаем оборудование, 1-й порт подрубим к свитчу нашей локалки, скачиваем и запускаем winbox и подключаемся:

winbox_connect

Переходим на вкладку Neighbors, находим там нашу железку и подключаемся под логином admin с пустым паролем. В появившемся окне RouterOS Default Configuration нажимаем Remove Configuration, устройство перезагрузится.

Первым делом меняем логин/пароль (System -> Users), при необходимости добавляем учетные записи для помощников с ограниченными правами:

user_list

Далее отключаем ненужные службы (IP — > Services), оставим только web, ssh и winbox:

ip_services

Меняем стандартные значения портов, для ssh и winbox разрешаем доступность только из определенных подсетей, к примеру, только из lan 10.10.1.0/24.

Проверить текущую версию прошивки, модель и архитектуру, а также посмотреть характеристики и текущую загрузку CPU/RAM/HDD можно в System -> Resourses:

system_resources

Скачиваем с официального сайта актуальную прошивку и пакеты:

routeros_link

Выбираем в меню winbox пункт Files и в открывшееся окно перетаскиваем скачанный файл routeros-arm-6.35.4.npk, после загрузки файла перезагружаем роутер System -> Reboot. После перезагрузки проверяем текущую версию прошивки в System -> Resourses. Проверяем актуальность версии загрузчика в System -> RouterBoard:

routerboard

В случае если версия Current Firmware ниже, тогда нажимаем Upgrade, после чего перезагружаем роутер (System -> Reboot). После перезагрузки открываем снова System -> RouterBoard, чтобы убедиться, что текущая версия загрузчика обновилась.

Текущие версии пакетов RouterOS можно посмотреть в System -> Packages:pakages

Обновление пакетов не сильно отличается от обновления RouterOS: распаковывается архив с пакетами, в меню микротика выбираем Files, в открывшееся окно перетаскиваем необходимые пакеты, после окончания загрузки перезагружаем роутер.

Теперь нужно настроить интерфейсы. Порты с 1-го по 5-й выделим под lan, 6-й и 7-й соответственно под wan1 и wan2, порты с 7-го по 10-й оставим на будущее. Выбираем в меню Winbox пункт Interfaces, появится окно:

mikrotik_interfaces

Переименовываем ether1 в ether1-lan-master, ether2 в ether2-lan (ether3-5 аналогично), ether6 и ether7 соответственно в ether6-wan1 и ether7-wan2, порты с 7-го по 10-й помечаем как reserved. Для lan портов указываем в поле Master Port интерфейс ether1-lan-master:

ether2_lan

Итого у нас будет следующий список интерфейсов:

interfaces_rename

Интерфейсы, в настройках которых указан master port, обозначены в списке буквой S, т.е. slave. Подключенные/активные интерфейсы с пометкой R (running). Заходим в меню Bridge, добавляем мост bridge-lan:

bridge_add

Переходим на вкладку Ports и добавляем master port:

bridge_add_master

После добавления порта соединение winbox прервется, понадобится заново подключиться. Bridge нужен для программного объединения портов разных чипсетов (switch1 и switch2). Если в будущем понадобится добавить зарезервированные порты (с 7-го по 10-й) к lan, надо будет объединить эти порты с помощью master port и добавить его в bridge-lan.

Выбираем меню IP -> Addresses, назначаем локальный IP-адрес роутера. При этом указываем в одном поле адрес роутера и маску сети:

ip_addresses_lan

Аналогично здесь же настраиваем сетевые параметры wan-подключений:ip_addresses_wan

В меню IP -> Routes добавляем маршрут:

ip_routes_wan

Для wan2 аналогично добавляем маршрут, но указываем distance 2. Связь с внешним миром можно проверить, запустив пинг или трассировку с роутера: Tools -> Ping или Tools -> Traceroute. Для раздачи интернета на конечных устройствах локалки надо настроить NAT в меню IP -> Firewall. На первой вкладке указываем интерфейс для исходящего трафика:

srcnat

На вкладке Action выбираем masquerade (маскарадинг):

srcnat_masq

Аналогично добавляем правило для wan2. В меню IP -> DNS указываем IP-адреса dns от наших провайдеров (+ общедоступные dns google на всякий случай) и разрешаем dns-запросы:

dns

В случае необходимости настраиваем DHCP сервер на микротике в меню IP -> DHCP Server с помощью wizard-а по кнопке DHCP Setup: указываем bridge-lan в качестве интерфейса, сеть и шлюз оставляем по-умолчанию, задаем диапазон dhcp-пула, dns-сервера и время аренды.

Ну и в завершение начальной настройки добавим основные правила firewall, чтобы наш маршрутизатор ненароком не нагрузили паразитным трафиком. Копируем следующие строчки:

ip firewall filter add chain=input connection-state=established,related comment "Allow established & related"
ip firewall filter add chain=input connection-state=new protocol=udp src-address=10.10.1.0/24 in-interface=bridge-lan dst-port=53 comment "Allow dns"
ip firewall filter add chain=input action=drop in-interface=ether6-wan1 comment "Drop other to wan1"
ip firewall filter add chain=input action=drop in-interface=ether7-wan2 comment "Drop other to wan2"

В меню winbox выбираем System ->Scripts, в открывшемся окне добавляем новый скрипт (назовем его Add-Firewall-Rules), вставляем скопированные строки, нажимаем Apply для сохранения и запускаем скрипт — Run Script:

Script_Add_Firewall_Rule

Выбираем IP -> Firewall и проверяем, что присутствуют добавленные правила, часть трафика уже пропущено по разрешающему правилу, а часть отброшено по разрешающему правилу:

Firewall_show_rules

На этом минимальная настройка маршрутизатора окончена.

Резюмируем пройденные этапы:

  1. Подключение оборудования, сброс предустановленной конфигурации
  2. Смена логина/пароля администратора
  3. Отключение лишних сервисов, смена стандартных портов, настройка доступа ssh и winbox только из локалки
  4. Обновление RouterOS, пакетов и загрузчика
  5. Настройка интерфейсов и бриджа
  6. Сетевые настройки интерфейсов, создание маршрутов для wan-подключений
  7. Настройка раздачи интернета: настройка NAT и DNS
  8. Минимальные правила firewall для фильтрации паразитного трафика

Mikrotik rb3011 — начальная настройка: 6 комментариев

  1. Спрячьте ip на картинке под текстом «Аналогично здесь же настраиваем сетевые параметры wan-подключений:»
    За статью спасибо.

  2. Для автоматического переключения на резервный канал интернет wan2 в случае отвала основного по wan1 и обратного переключения в случае его подъема того, что описано в статье не достаточно. Нужно писать скрипт.

    1. Верно, однако в статье не говорится об автоматическом переключении каналов связи.

      1. Согласен. Просто у читателя может возникнуть недопонимание. Дескать сделал, как написали, а переключение не происходит. Можно обойтись и без скрипта используя Routes и Netwatch пошаманив с настройками. Работать будет в автомате, однако без скрипта не раскроет всего потенциала устройства. Например отправка сообщений на e-mail админа с датой и временем переключения на резервный канал или возобновления работы основного.

        Кстати еще бы добавил в вашу статью базовых настроек последним пунктом отключение обнаружения в сети Neighbor и ограничение доступа по mactelnet. Но это на ваше усмотрение разумеется. ))

        1. Спасибо за советы. Перечитал статью — да, я понимаю, о чем речь. В выходные добавлю + были еще моменты, которые относятся к первоначальной настройке, — к примеру, отключение тачскрина и т.п.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *