Настройка маршрутизатора Mikrotik, часть 1

Базовая настройка маршрутизатора mikrotik

Базовая настройка маршрутизатора mikrotik включает описание настройки безопасности и настройки выхода в интернет для использования с приборами Барьер.

Сброс маршрутизатора к настройкам по умолчанию

Перед настройкой, рекомендуется сбросить маршрутизатор к заводским настройкам.

  1. Отключите устройство от сети питания;
  2. Нажмите и удерживайте кнопку reset, затем подключите питание к устройству;
Mikrotik кнопка сброс\reset
  1. Удерживайте кнопку сброс до тех пор, пока индикатор ACT не начнёт периодически моргать (с большим периодом, чем сразу после подключения питания);
  2. Отпустите кнопку сброс, устройство перезагрузится с заводскими настройками;

Подключение к маршрутизатору

Для подключения и настройки Mikrotik, рекомендуется использовать программу Winbox. Последняя версия доступна на официальном сайте производителя.

Далее Вам необходимо подключить сетевым кабелем компьютер, на котором Вы будете осуществлять настройку, к маршрутизатору, к любому порту.

Запускаем Winbox, заходим на вкладку Neighbors:

Mikrotik Winbox neighbors

В списке должно появиться ваше устройство.

Выделяем его левой кнопкой мыши на поле MAC Address, вводим Login (по умолчанию – admin) и Password (по умолчанию – пустой). Нажимаем кнопку Connect. Вы должны попасть в меню настройки mikrotik.

Mikrotik Winbox главное окно

Удаление конфигурации при первом запуске

При первом входе после сброса, Вам будет предложено воспользоваться стандартной настройкой маршрутизатора:

mikrotik remove defaul config

Нажмите Remove Configuration.

Настройка пользователей

В RouterOS (название операционной системы на устройствах Mikrotik) по умолчанию создан пользователь admin без пароля. Настоятельно рекомендуем отключить данного пользователя.

Для этого заходим в меню System, подменю Users.

Нажимаем добавить пользователя:

Name: Имя нового пользователя;

Group: Выбираем – full;

Password: Пароль нового пользователя.

Рекомендуется использовать сложные пароли: не менее 12 символов, заглавные и прописные буквы, цифры, специальные символы. Лучшим вариантом будет использование генератора паролей;

Пример: f$yRD44I@Dy^)

Confirm Password: Введите пароль ещё раз;

При необходимости предоставить доступ к маршрутизатору нескольким людям, создайте нужное количество пользователей.

В меню нажмите Exit и заново войдите под новым пользователем. Заходим в меню System – Users, выделяем правой кнопкой мыши пользователя admin. Нажимаем Disable.

Настройка безопасности

Перед настройкой доступа в интернет, следует настроить правила firewall и отключить неиспользуемые службы. Так же рекомендуется изменить стандартный порт Winbox. В данной статье, не приводится объяснение и настройка правил под широкий спектр задач. Вместо этого будет дан универсальный список правил, подходящий под максимально широкий круг потребностей.

Сначала создадим список внешних интерфейсов, меню Interfaces, вкладка Interface List:

Жмём кнопку Lists и добавляем новый список интерфейсов WAN:

Следующим шагом изменяем стандартный порт Winbox. Меню IP – Services:

Двойной щелчёк по winbox:

Задаём новый порт для Winbox и сохраняем.

Дальше настраиваем firewall. Итак, для настройки правил firewall, необходимо зайти в меню IP – Firewall:

Список правил должен быть пустой. Открываем терминал. Меню New Terminal:

Далее необходимо в скрипте ниже вместо знаков вопроса подставить ваш порт для Winbox.

/ip firewall filter
add action=accept chain=forward comment=\
    "Forward and Input Established and Related connections" \
    connection-state=established,related
add action=drop chain=forward connection-state=invalid
add action=drop chain=forward connection-nat-state=!dstnat connection-state=\
    new in-interface-list=WAN
add action=accept chain=input connection-state=established,related
add action=drop chain=input connection-state=invalid
add action=add-src-to-address-list address-list=ddos-blacklist \
    address-list-timeout=1d chain=input comment=\
    "DDoS Protect - connection Limit" connection-limit=100,32 \
    in-interface-list=WAN protocol=tcp
add action=tarpit chain=input connection-limit=3,32 protocol=tcp \
    src-address-list=ddos-blacklist
add action=jump chain=forward comment="DDoS Protect - SYN Flood" \
    connection-state=new jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=jump chain=input connection-state=new in-interface-list=WAN \
    jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=return chain=SYN-Protect connection-state=new limit=200,5:packet \
    protocol=tcp tcp-flags=syn
add action=drop chain=SYN-Protect connection-state=new log=yes log-prefix=\
    SYN-Protect: protocol=tcp tcp-flags=syn
add action=drop chain=input comment="Protected - Ports Scanners" \
    src-address-list="Port Scanners"
add action=add-src-to-address-list address-list="Port Scanners" \
    address-list-timeout=none-dynamic chain=input in-interface-list=WAN \
    protocol=tcp psd=21,3s,3,1
add action=drop chain=input comment="Protected - WinBox Access" \
    src-address-list="Black List Winbox"
add action=add-src-to-address-list address-list="Black List Winbox" \
    address-list-timeout=none-dynamic chain=input connection-state=new \
    dst-port=????? in-interface-list=WAN log=yes log-prefix="BLACK WINBOX" \
    protocol=tcp src-address-list="Winbox Stage 3"
add action=add-src-to-address-list address-list="Winbox Stage 3" \
    address-list-timeout=1m chain=input connection-state=new dst-port=????? \
    in-interface-list=WAN protocol=tcp src-address-list="Winbox Stage 2"
add action=add-src-to-address-list address-list="Winbox Stage 2" \
    address-list-timeout=1m chain=input connection-state=new dst-port=????? \
    in-interface-list=WAN protocol=tcp src-address-list="Winbox Stage 1"
add action=add-src-to-address-list address-list="Winbox Stage 1" \
    address-list-timeout=1m chain=input connection-state=new dst-port=????? \
    in-interface-list=WAN protocol=tcp
add action=accept chain=input dst-port=????? in-interface-list=WAN protocol=\
    tcp
add action=accept chain=input comment="Access Normal Ping" \
    in-interface-list=WAN limit=50/5s,2:packet protocol=icmp
add action=drop chain=input comment="Drop All Other" in-interface-list=\
    WAN
/ip firewall raw
add action=drop chain=prerouting dst-port=137,138,139 in-interface-list=WAN \
    protocol=udp
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set winbox port=?????
set api-ssl disabled=yes

Копируем то что получилось и вставляем в окно терминала:

В итоге, имеем следующую картину:

На этом настройка безопасности закончена.

Настройка доступа в интернет

Теперь необходимо настроить Вашего провайдера. Как правило, провайдеры используют следующие варианты подключения:

  • DHCP – автоматическая настройка IP адреса, маршрута по умолчанию и DNS серверов;
  • Ручная настройка вышеперечисленных параметров;
  • Протокол PPPoE (Point-to-Point Protocol over Ethernet);

DHCP

Для настройки доступа в интернет с использованием автоматической настройки, необходимо зайти в меню IP, подменю – DHCP client.

Добавляем нового клиента DHCP

Выбираем интерфейс, к которому подключен провайдер, отключаем использование DNS и NTP провайдера.

Во вкладке Advanced, устанавливаем значение Default Route Distance (Метрика) – 10.

Ручная настройка

Меню IP – Addresses

Добавляем новый IP адрес, выданный провайдером:

Заполняем поля Address – IP адрес и Network – маска сети. Выбираем интерфейс, к которому подключен провайдер:

Меню IP – Routes. Добавляем новый маршрут по умолчанию:

Добавляем адрес назначения 0.0.0.0/0, IP адрес маршрутизатора (выдаётся провайдером) и устанавливаем значение Distance (метрика) – 10:

PPPoE

Меню PPP, вкладка Interface. Добавляем новый интерфейс PPPoE Client:

Вводим понятное имя для PPPoE интерфейса и выбираем интерфейс маршрутизатора, к которому подключен провайдер:

Вводим имя пользователя и пароль (выдаётся провайдером), устанавливаем значение Default Route Distance (метрика) в 10:

Добавляем внешний интерфейс в список интерфейсов WAN, меню Interfaces, вкладка Interface List, добавляем интерфейс в список:

List: WAN

Выбираем интерфейс провайдера, если провайдер использует PPPoE, то выбирать следует интерфейс PPPoE а не физический интерфейс, к которому подключен провайдер:

Настройка DNS серверов

Меню IP – DNS, добавляем сервера google, 8.8.8.8 и 8.8.4.4:

Если у вас несколько провайдеров, необходимо повторить всё то же самое необходимое количество раз. Необходимо указать разные значения Default Route Distance (метрика) для каждого провайдера. Чем меньше значение, тем выше приоритет. Например, для второго провайдера вы указываете значение 11, для третьего 12 и т.д. Выход в интернет будет осуществляться через провайдера с наименьшим значением метрики.

Проверка доступа в интернет

Для того, чтобы проверить наличие доступа в интернет, достаточно запустить терминал (меню New Terminal) и выполнить команду ping ya.ru:

На этом базовая настройка маршрутизатора mikrotik завершена. Подробнее о настройке маршрутизаторов Mikrotik, вы можете прочитать документацию на английском языке на официальном wiki сайте Mikrotik.

Следующая часть: Настройка маршрутизатора Mikrotik, часть 2