Налаштування MikroTik з нуля для початківців: покрокова інструкція

7 0 Новини високих технологій

MikroTik - незалежна операційна система на базі Linux для маршрутизаторів. Він не вимагає яких-небудь додаткових компонентів і не має попередніх умов до програмного забезпечення. Пристрій розроблений з простим, але потужним інтерфейсом, що дозволяє мережевим адміністраторам розгортати багатофункціональні мережеві структури. Виконавши налаштування MikroTik з нуля, його можна перетворити із звичайного стандартного персонального комп'ютера в потужний мережевий маршрутизатор. Процесор і материнська плата мають вдосконалене п'яте покоління для Intel Pentium, Cyrix 6X86 AMD K5. ОЗП - мінімум 64 Мбайт, максимум 1 гігабайт, стандартний контролер інтерфейсу ATA і привід з пропускною здатністю мінімум 64 Мб.


Інтерфейс роутера

Маршрутизатор має дуже хороший екран за замовчуванням, на якому можна подивитися загальну картину того, що відбувається. Виконавши налаштування MikroTik з нуля, система почне показувати використання мережі для кожного фізичного або логічного інтерфейсу. Одним з основних позитивних моментів є те, що можна побачити рівень сигналу підключених пристроїв у реальному часі, також видимий в Quick Set. Це показує рівень сигналу пристрою, відомого як зворотний сигнал. Смуги цього рівня на телефоні, ноутбуці або пристрої показують тільки силу сигналу маршрутизатора. При цьому він телефонів набагато нижче, так як вони мають більш слабкі антени, ніж маршрутизатор. Вкладки інтерфейсу:
  • IP-Адреси. Тут додається IP-адресу маршрутизатора. Як правило, при виконанні налаштування MikroTik з нуля змінюється LAN-адреса, але в інтерфейсі можна побачити публічний IP-адресу. В пулах вказані діапазони IP-адрес, які найбільш часто використовуються в конфігурації DHCP.
  • IP -> DHCP. Конфігурація DHCP більш складна у MikroTik порівняно з іншими домашніми маршрутизаторами. Здача в оренду показує пристрою, яким в даний час призначено IP-адресу маршрутизатора. Якщо потрібно призначити пристроїв фіксований IP-адресу через DHCP, можна зробити це на вкладці «Оренда», виконавши налаштування MikroTik з нуля. Для цього потрібно почекати, поки пристрій не підключиться, згорнути його і натиснути «Статику». Або можна створити новий лізинг і вручну ввести MAC-адресу. Якщо потрібно створити окрему підмережа і всю нову область DHCP, то необхідно внести зміни на вкладках DHCP і Networks.
  • IP -> DNS. Маршрутизатори запускають невеликий DNS-сервер. В основному це просто кешування DNS-запити, тому вони трохи швидше для локальних пристроїв. Два основних моменти для користувачів: потрібно очистити кеш DNS, якщо починають новий сеанс, і додати статичні імена DNS для локальних пристроїв, наприклад, my-server.ligos.local.
  • IP -> Послуги. MikroTik використовують різні мережеві сервіси. Якщо користувач не використовує їх, краще всього відключити, тоді у хакерів буде менше можливостей проникнути в пристрій. Виконуючи налаштування MikroTik з нуля для початківців, буде безпечніше відключити IP-SSL і FTP.
  • Система -> Пакети. MikroTik складається з великого базового пакету з більшістю функцій і кількох менших пакетів, які додають додаткові функції. На екрані пакетів відображається те, що встановлено в даний час. Тут також можна перевірити наявність оновлень з інтернету і переглянути нотатки про випуск нових версій.
  • З цією інформацією потрібно обов'язково ознайомитися початківцям для налаштування MikroTik з нуля.


    Перший запуск з Winbox

    Налаштування MikroTik з нуля для початківців: покрокова інструкція
    Обладнання MikroTik поставляється з мінімальним набором: пристрій, блок живлення і прості інструкції. Базова настройка MikroTik:
  • Завантажують базовий інсталяційний файл з профільного сайту MikroTik в розділі download. Можна використовувати завантаження інсталяційного файлу на одному з носіїв або з ISO-образу. Це найпростіший спосіб запустити установку. Netinstall також може виконати установку через локальну мережу. Для завантаження пристрою, підтримуваного деякими мережевими інтерфейсами, потрібно завантажувальний пристрій (флоппі-дисків або компакт-диск), що дозволяє встановити діючу мережеву установку.
  • MikroTik для налаштування мережі. Перед установкою переконуються, що у системи є необхідні специфікації обладнання. Використовують носій, створений для установки. На екрані консолі з'являться інструкції, і користувач повинен їм слідувати. Після завершення установки видаляють інсталяційний носій і натискають Enter, щоб перезавантажити систему.
  • Отримання ідентифікатора програмного забезпечення. Як тільки установка буде завершена і машина стане маршрутизатором, вона може функціонувати з усіма функціями протягом 24 годин. Потрібно відновити ліцензію в цей період часу, щоб підтримувати працездатність надалі. Щоб отримати ідентифікатор програмного забезпечення з системної консолі, потрібно запустити наступну команду: /system print license.
  • Отримання ліцензії. Щоб отримати ліцензію, користувач повинен мати обліковий запис на сайті MikroTik та налаштування провайдера. Після створення облікового запису можна вибрати відповідний рівень ліцензії, що відповідає потребам користувача. Якщо він вирішив отримати ліцензійний ключ електронною поштою, то отримає файл, який можна завантажити на маршрутизаторі через FTP. Комп'ютера буде присвоєно IP-адресу в 19216888.ххх діапазоні, після чого потрібно перейти на вхід адміністратора нового маршрутизатор MikroTik.
  • Завантаження Winbox

    У нижній частині сторінки входу адміністратора на комп'ютері з ОС Windows є посилання для завантаження Winbox і використання його замість веб-інтерфейсу.
    Налаштування MikroTik з нуля для початківців: покрокова інструкція
    Виконують вхід, використовуючи Winbox або браузер:
  • Прописують для входу в систему 19216888.1. Ім'я користувача за замовчуванням – admin, без пароля.
  • Коли користувач вперше підключається з Winbox до маршрутизатора, він отримає нове повідомлення про налаштування.
  • Список елементів меню знаходиться в лівій частині екрана. Самий верхній повинен бути Quick Set.
  • Натискають на неї та отримують спрощену налаштування роутера MikroTik.
  • Налаштування MikroTik з нуля для початківців: покрокова інструкція
    Переваги Winbox для налаштування MikroTik:
  • Автоматично виявляє пристрої MikroTik в локальній мережі.
  • Підключається через IPv6 або MAC-адресу, спрощуючи зміна адрес IPv4.
  • Показує статистику, потік пакетів і графіки в реальному часі.
  • Дозволяє мати кілька вікон для різних частин конфігурації.
  • Дозволяє виконувати перетягування файлів при ручному оновлення.
  • Запам'ятовує підключень і паролів.
  • Конфігурація майстри

    Перевіряють налаштування локальної мережі. Якщо її змінити пізніше, це викличе велику прикрість із-за різних збоїв у роботі, тому краще всього це зробити відразу.
    Налаштування MikroTik з нуля для початківців: покрокова інструкція
    Більшість домашніх користувачів можуть просто використовувати діапазон 19216888.x без проблем. Якщо потрібні додаткові статичні адреси, можна змінити діапазон серверів DHCP. За замовчуванням, 10 адрес, відмінних від DHCP, є точними. Це те, що дозволяє пристроям отримувати доступ в Інтернет. Відзначають UPnP - універсальне підключення і відтворення. Це дозволяє мережевим службам автоматично відкривати порти, з якими можуть підключатися зовнішні користувачі, при цьому існує певний ризик для безпеки мережі. Якщо є опція «Перенести всі порти локальної мережі», її слід відключити. Всі бари одного з LAN-портів будуть з'єднані, виняток становить порт 1. І це дуже важливий виняток. Перш ніж намагатися підключити новий маршрутизатор до інтернету, переконуються, що у нього є пароль, якщо потрібно його змінити - вводять двічі новий варіант. Потім від'єднують і перевіряють оновлений пароль.

    Бездротова мережа

    Для правильної роботи користувач повинен повернутися до вихідних налаштувань роутера MikroTik, звернувшись до провайдера або в службу технічної підтримки. Перш ніж починають налаштування, переконуються, що параметр «брандмауер маршрутизатора» відмічений галочкою. Це зупиняє зловмисників, які можуть підключатися до нього. Далі послідовно заповнюють дані конфігурації мережі:
  • Ім'я мережі, яке буде відображатися на телефоні/ноутбуці при підключенні. Його можна змінити або придумати щось нове, або просто зберегти значення за замовчуванням.
  • Після налаштування Wi-Fi MikroTik показує фактичну радіочастоту кожного каналу. Band дозволяє включати/відключати 2 ГГц або 5 ГГц і різні протоколи Wi-Fi.
  • Країна - повинна бути вказана правильно, щоб маршрутизатор дотримувався будь-які місцеві закони, що стосуються використання каналів.
  • Пароль Wi-Fi - від 8 до 63 символів. У період першого запуску Wi-Fi налаштований, як відкритий доступ, тому пароль не потрібен. Далі його потрібно додати і встановити ще кілька налаштувань. Паролі для бездротових інтерфейсів на MikroTik зберігаються в розділі Wireless> Security Profiles. За замовчуванням усі бездротові інтерфейси будуть використовувати один і той же ключ безпеки або пароль. Потрібно двічі клацнути ім'я профілю безпеки, яке потрібно змінити, увести новий пароль і натиснути Ok.
  • Налаштування MikroTik з нуля для початківців: покрокова інструкція

    Мостові з'єднання

    Порти Wi-Fi і Ethernet за замовчуванням не є частиною однієї і тієї ж локальної мережі. Але зазвичай користувач, виконуючи налаштування доступу MikroTik, хоче, щоб вони були з'єднані як мережевий міст. Мостові мережі означають, що пристрої можуть автоматично відкривати один одного, і MikroTik буде оптимізований для максимально об'єднаної роботи.
    На вкладці «Конфігурація моста» за замовчуванням використовується один міст, а вкладка портів відображає кожен інтерфейс, який з'єднується з мостом. Це будуть всі порти Ethernet, крім # 1 (користувальницька інтернет-посилання). Якщо користувач видалить порт з мосту, то зможе ізолювати його від своєї локальної мережі. Додають порти, щоб інтернет був переданий через пристрій MikroTik на мережному і Wi-Fi-інтерфейси. В іншому випадку пристрої зможуть розмовляти тільки один з одним. Для цього натискають кнопку «+» в меню «Міст», призначають ім'я мосту і підтверджують «ОК». Відкривають «Порти», роблять клік на «+» і відкривають Wlan1 у рядку інтерфейсу. На лінії міст відкривають Wlan1 і «ОК». Натискають на «+» ще раз і створюють Ether1. Призначають для IP-адресу мосту: IP menu => Adresses => +, вводять адресу мосту і маску підмережі. MikroTik має конфігурацію у вигляді текстових команд для консолі. Можна створювати або відтворювати ці команди в терміналі в winbox. У більшості консольних областей є print-команда, в якій перераховані відомості та конфігурація.
    Налаштування MikroTik з нуля для початківців: покрокова інструкція

    Міжмережевий екран

    Брандмауер - це основний захисник будь-маршрутизатора. Доступ до брандмауера здійснюється за протоколом IP -> Конфігурація -> Filter.
    Налаштування MikroTik з нуля для початківців: покрокова інструкція
    Список правил за замовчуванням створюється з допомогою Quick Set. Це дуже гарне місце для професійної роботи настроювача. Останнє правило є найважливішим, воно говорить, що користувач відмовляється від доступу за замовчуванням. Таким чином, якщо інше правило не відповідає, за замовчуванням використовується блокування вхідних з'єднань. Хороша практика MikroTik для налаштування інтернету - обмежити кількість ICMP-пакетів, щоб зловмисники не перевантажували мережу. Для цього необхідно відредагувати правило і перейти на вкладку «Додатково» і додати ліміт і dst-limit (обмеження). 30 пакетів в секунду - це розумне кількість для запуску, не надто великий, не дуже маленьке.

    Правило для локальної мережі

    Можна дозволити підключення до маршрутизатора з локальної мережі і переконатися, що випадково не заблокували себе від свого власного маршрутизатора. В цьому випадку додають правило для ланцюжка input, з src-address=19216888.0/24 і встановлюють дію accept. Потім перетягують його вгору до правильного правила ICMP. Якщо користувач увімкнув VPN-доступ, він може помітити деякі інші правила, що дозволяють підключати VPN. Це хороший шаблон, якщо потрібно дозволити інший трафік. Але найчастіше після налаштування порту MikroTik буде перенаправляти його внутрішній устрій. І користувачеві не потрібно правило дозволу для перенаправленного трафіку, так як саме верхнє правило дозволяє порт. Це загальні правила брандмауера. Крім декількох установок, правила доступу до локальної мережі збігаються з конфігурацією за умовчанням.

    Додаткові адреси IPv6

    Це нова версія адрес, яка здатна підтримувати величезну кількість абонентів, більше ніж населення Землі. Через сайт IPv6 доступні багато великих веб-сайти і компанії, а їх трафік неухильно зростає. Якщо інтернет-провайдер підтримує IPv6 його фактично легше працювати, ніж IPv4 оскільки IPv6 налаштовує себе автоматично. Маршрутизатор MikroTik підтримують IPv6 але за замовчуванням функція відключена, потрібно спочатку увімкнути її в пакетах. Після включення потрібно будете перезавантажити маршрутизатор. Потім роутер отримає новий пункт меню IPv6 верхнього рівня. Всі інтернет-провайдери видають, як мінімум /64 підмережа - це стандартний розмір підмереж IPv6. Отримання адрес IPv6 може здійснюватися з допомогою DHCP або маршрутизатора. Інтернет-провайдери використовують перше. В IPv6 -> DHCP Client створюють новий клієнт. Вибирають мережевий інтерфейс провайдера, встановлюють запит на prefix і вводять ім'я пулу. Якщо все піде добре, то користувач побачить діапазон адрес, призначений йому на вкладці «Статус». І повинен побачити пул з цим діапазоном адрес в розділі IPv6. Наступний крок - призначити публічний IPv6-адресу маршрутизатора. При цьому маршрутизатор вже буде мати локальні адреси IPv6 починаючи з fe80. В IPv6 -> Адреси додають новий адресу. Можна налаштувати праву частину адреси як завгодно, але зазвичай використовують ту ж адресу, що і мережева маска, що робить пристрій маршрутизатора 0 в мережі. Вибирають LAN-міст в якості інтерфейсу для призначення. І пул, який створений з DHCP. Нарешті, переконуються, що включили рекламу, так пристрої отримають IPv6-адреси через рекламні оголошення маршрутизатора. Що дуже важливо пам'ятати про IPv6 так це те, що з кожним пристроєм він безпосередньо допомагає зв'язатися з ким-небудь в інтернеті. У роутерів і комп'ютерів є брандмауери, які зупиняють трафік, але також можна блокувати або дозволяти трафік на брандмауері маршрутизатора. Тобто можна перевірити, чи правильно налаштований кожен пристрій або створювати спільні правила на своєму маршрутизаторі.

    Віртуальна приватна мережа

    Налаштування MikroTik з нуля для початківців: покрокова інструкція
    MikroTik підтримує VPN-протоколи PPTP, L2TP і SSTP. Принаймні, один з них повинен працювати з більшістю пристроїв і комп'ютерів. Користувач підключається з VPN до безкоштовного динамічного DNS:
  • Відкривають утиліту Winbox на комп'ютері.
  • Після його установки вибирають його і натискають «Підключитися».
  • Відкривають вкладку інтерфейсів в меню.
  • Натискають «+» в лівому верхньому куті вікна і вибирають опцію PPTP Client.
  • У розділі «Загальні» називають з'єднання для більш зручного використання, потрібно уникати спеціальних символів і прогалин. Вводять наступні дані в розділі:
  • Dial Out - вводять ім'я DNS сервера з набору налаштувань.
  • Користувач - вводять логін з набору налаштувань.
  • Пароль - вводять пароль з набору налаштувань.
  • Дозволити - встановлюють прапорець тільки для mschap2. Це важливий крок.
  • Потім натискають «Застосувати».
  • Стан підключення в правому нижньому куті повинно змінитися на підключення, а потім на запуск.
  • Захист від DDoS-атак

    Маршрутизатор MikroTik можна ефективно боротися з DDoS-атаками, обмежити кількість сполук, використовуючи функцію міжмережевого екрану в налаштування безпеки MikroTik. При атаці система самостійно виявляє вторгнення, оскільки кількість запитів на з'єднання перевищує задану межу. У RouterOS будь окремий пакет UDP, крім NAT, вважається новим з'єднанням відстеження сполук в будь-якому розділі брандмауера до відправки пакета в протилежному напрямку. Потім пристрій дозволяє кожній групі SrcIP: DstIP деяку кількість нових з'єднань. Обов'язково додаючи виключення, такі як DNS-сервери, оскільки немає причин для їх блокування.
    Налаштування MikroTik з нуля для початківців: покрокова інструкція
    Як видно з вищезгаданого, MikroTik володіє великою функціональністю. Користувачі мають змогу легко підключитися до інтернету з його допомогою, використовуючи екран швидкого набору. Потім, перейшовши по інтерфейсу Winbox, можуть побачити поточний стан і відновити заводські налаштування MikroTik, маючи для цього безліч варіантів. Насолоджуючись новим маршрутизатором, користувачі стежать за тим, щоб він працював швидше і функціональніша, передаючи трафік всім бажаючим домочадцям.