Базовая настройка маршрутизаторов MikroTik на примере RB2011

Содержание:

• Настройка Mikrotik
• Настройка внутренних адресов маршрутизатора. Настройка DHCP-сервера
• Настройка Wi-Fi
• Настройка безопасности маршрутизатора
• Настройка NAT
• Настройка подсети DMZ
• Настройка WAN
• Настройка SNTP-клиента

Маршрутизатор RB2011 – это достойное решение для небольшого офиса. Однако, в конфигурации по умолчанию присутствуют некоторые недостатки:

• В качестве WAN-порта используется интерфейс Ether1. Этот интерфейс гигабитный, как правило, выход в интернет осуществляется по каналу не выше 100 Мбит/сек и в таком случае использование гигабитного интерфейса не оправдано
• 100 Мбит порты заведены в соединение типа «мост» (bridge), что дает повышенную нагрузку на CPU маршрутизатора. Более логично использовать в этом случае встроенную микросхему коммутатора

Краткое описание настройки маршрутизатора RB2011, исходя из нашего опыта:

• В качестве основного выхода в интернет используем 100 Мбит интерфейс Ether10
• Интерфейс Ether9 нужно зарезервировать для дальнейшего использования, когда в этом возникнет необходимость
• Интерфейсы Ether6-Ether8 используются для подключения DMZ. Для этого настроим соответствующий Switch-процессор
• Гигабитные интерфейсы Ether1-Ether5 будем использовать для подключения локальной сети
• Wi-Fi будет использовать ключ WPA2-PSK и находиться в локальной сети

Приступаем к поэтапной настройке Mikrotik. Сначала необходимо зайти на сайт по адресу www.mikrotik.com и скачать последнюю прошивку для вашего маршрутизатора. Она пригодится в дальнейшем.

Этап 1. Настройка Mikrotik

1. Подключаем компьютер в порт Ether 5. Есть возможность подсоединить и в любой другой, кроме Ether1, но лучшим вариантом будет именно Ether 5. Это упростит дальнейшую настройку.

Рисунок 1 – Веб-интерфейс Mikrotik

2. Скачиваем программу Winbox (ссылка отмечена красным прямоугольником).

После завершения загрузки программы необходимо закрыть браузер и запустить Winbox. В поле Address вводим 192.168.88.1, в поле User вводим admin. Поле Password оставляем пустым.

Рисунок 2 – Окно Winbox

3. Появляется окно приветствия с запросом о сохранении конфигурации по умолчанию.

Рисунок 3 – Окно Winbox

4. Выбираем Remove Configuration.

5. Завершаем работу с WinBox и подключаем компьютер в первый порт маршрутизатора.

6. Так как у маршрутизатора RB2011 после сброса конфигурации нет IP-адреса, необходимо воспользоваться mac-telnet. Для этого нужно снова запустить программу Winbox и справа от окна ввода адреса нажать на кнопку […]. Через некоторое время в окне появится mac-адрес маршрутизатора RB2011 и ip-адрес 0.0.0.0.

Рисунок 4 – Отображение MAC-адреса маршрутизатора

Щелкаем левой кнопкой мыши по MAC-адресу, чтобы он попал в поле «Connect to». И нажимаем на кнопку Connect.

7. После подключения к маршрутизатору берем ранее скачанный файл с прошивкой и перетаскиваем его в окно программы Winbox. В результате этого действия прошивка начнет загружаться на маршрутизатор.

Рисунок 5 – Загрузка файла с прошивкой

После окончания загрузки переходим в меню System и выбираем пункт Reboot.

Рисунок 6 – Выбор пункта Reboot в меню System

Подтверждаем перезагрузку устройства.

ВНИМАНИЕ. В момент обновления прошивки устройство может загружаться очень долго (до 3-5 минут). Ни в коем случае не выключайте питание!

8. После обновления прошивки необходимо обновить загрузчик устройства. Для этого заходим в меню System/Routerboard.

Рисунок 7 – Окно настройки интерфейса Ether1

И если версии Firmware отличаются, нажимаем кнопку Upgrade, после чего перезагружаем маршрутизатор.

Этап 2. Настройка внутренних адресов маршрутизатора. Настройка DHCP-сервера

1. После загрузки маршрутизатора RB2011 заходим в Winbox по MAC-адресу и приступаем к настройке внутренних интерфейсов. Сначала нам необходимо объединить порты 1-5 в общий аппаратный коммутатор. Ведущим портом в нем назначается порт номер 1 и его необходимо переименовать на LAN1-Master. Остальные порты получат название LAN-Slave. Для этого мы:

• Открываем меню Interfaces
• Двойным нажатием по интерфейсу Ether1 открываем окно и изменяем название порта на LAN1-Master. После чего нажимаем кнопку OK
• Затем открываем интерфейс Ether2, переименовываем порт на LAN2-Slave и в поле Master Port выбираем LAN1-Master

Рисунок 8 – Окно настройки интерфейса Ether2

Таким образом, порт добавляется в группу коммутатора с главным портом LAN1-Master. Аналогичные действия нужно провести с интерфейсами Ether3, Ether4 и Ether5.

После завершения операций в окне должно появится:

Рисунок 9 – Окно со списком интерфейсов

Буква S напротив интерфейса обозначает что он находится в состоянии Slave.

2. Теперь аналогичным способом настраиваются интерфейсы для DMZ.

Ether6 станет DMZ6-Master, а для Ether7 и Ether8 DMZ-Slave, установлена в качестве Master-порта интерфейс DMZ6-Master.

Рисунок 10 – Окно со списком интерфейсов

3. Необходимо переименовать интерфейсы Ether10 в WAN1. Интерфейс Ether9 остается незатронутым. При необходимости его можно использовать как еще один порт DMZ, указав на нем соответствующий Master-порт, или в качестве второго WAN-интерфейса, если нам потребуется резервирование канала. Также его можно будет добавить в описываемый в следующем разделе Bridge, чтобы получить еще один LAN-порт. В итоге должно получиться следующее:

Рисунок 11 – Окно со списком интерфейсов

4. Теперь необходимо создать интерфейс Bridge, который объединит коммутатор из интерфейсов LAN и интерфейс Wi-Fi.

• Для этого открываем меню Bridge, нажимаем кнопку с красным знаком [+] и в открывшемся окне вводим название нового интерфейса Bridge-Local, после чего нажимаем ОК.
• Переходим на закладку Ports и последовательно добавляем порт LAN1-Master и порт Wlan1.

Рисунок 12 – Окно создания интерфейса Bridge

После проведения последней операции должно получиться следующее:

Рисунок 13 – Список интерфейсов Bridge

5. Теперь назначим LAN-адрес маршрутизатора. В качестве адреса используется 192.168.88.1 с подсетью 255.255.255.0, что можно обозначить как 192.168.88.1/24.

Для этого нужно открыть меню IP/Adresses, в открывшемся окне нажать кнопку с красным знаком [+] и заполнить поля, как показано на рисунке 14, после чего нажимаем кнопку ОК.

Рисунок 14 – Окно добавления нового LAN-адреса

6. Теперь настраиваем DNS-сервер. Для этого зайти в меню IP/DNS, в открывшемся окне заполнить адреса DNS-серверов и поставить галочку рядом с Allow Remote Reqests.

Рисунок 15 – Окно с настройками DNS*

*В качестве примера введены адреса публичных серверов Google, необходимо заменить их на адреса, полученные у провайдера.

Для ввода второго и следующих DNS-серверов воспользуйтесь кнопкой «Стрелка вниз» рядом с полем ввода адреса сервера.

7. Переходим к настройке DHCP-сервера. Для этого нужно перейти в меню IP/DHCP Server и нажать кнопку DHCP Setup. В качестве интерфейса выбираем Bridge-Local.

Рисунок 16 – Окно с настройками DHCP

После чего нажать кнопку Next, пока в ячейке не появится «DNS Servers»

Рисунок 17 – Окно с серверами DNS

Нужно удалить нижний номер сервера нажатием на кнопку «стрелка вверх», рядом с полем, а в верхнем прописываем адрес маршрутизатора — 192.168.88.1.

Рисунок 18 – Окно с прописанным адресом маршрутизатора

Нажимаем кнопку Next до появления сообщения об успешной настройке DHCP.

Закрываем программу Winbox, вытаскиваем Ethernet кабель из ПК и вставляем его назад. Убеждаемся, что компьютер получил адрес от маршрутизатора.

После чего подключаемся к маршрутизатору по IP-адресу 192.168.88.1, который необходимо ввести в поле Connect to.

Этап 3. Настройка Wi-Fi

1. Заходим на вкладку Wireless. Дважды щелкаем кнопкой мыши по интерфейсу Wlan1.

Рисунок 19 – Окно с настройками Wlan1

Нажимаем на кнопку Advanced Mode и переходим на вкладку Wireless.

Заполняем значения, как приведено на рисунке. Измененные значения обозначены синим.

Рисунок 20 – Вкладка настроек Wireless

2. Переходим на вкладку Advanced. Вводим следующие значения:

Рисунок 21 – Вкладка настроек Advanced

3. Переходим на вкладку HT. Изменяем следующие параметры:

Рисунок 22 – Вкладка настроек HT

И применяем конфигурацию нажатием кнопки ОК.

4. Переходим на вкладку Security Profiles:

Рисунок 23 – Вкладка настроек Security Profiles

Дважды нажимаем на профиль default.

Выбираем mode=dynamic keys, ставим режим WPA2 PSK, aes-ccm и в поле WPA2 Pre-Shared Key вводим пароль на доступ к Wi-Fi.

Рисунок 24 – Настройка профиля безопасности

Нажимаем кнопку ОК.

5. Переходим на вкладку interfaces и нажимаем кнопку с синей галкой, чтобы включить беспроводной интерфейс.

Рисунок 25 – Завершение настройки Wi-Fi

Настройка Wi-Fi завершена.

Этап 4. Настройка безопасности маршрутизатора

1. Перед настройкой подключения к сети Интернет необходимо сначала настроить безопасность маршрутизатора, как минимум, отключив ненужные сервисы, и поменяв пароль администратора.

Рисунок 26 – Меню IP/Services

2. Последовательно выделяем сервисы FTP, Telnet и WWW. Нажатием на красный крест отключаем их.

Рисунок 27 – Деактивация сервисов

Этап 5. Настройка NAT

1. Перейти в меню IP/Firewall. В открывшемся окне перейти на закладку NAT и добавить новое правило. На закладке General выбрать Chain/srcnat и Out Interface=WAN1.

Рисунок 28 – Окно настройки NAT

2. На вкладке Action выбрать Masquerade.

Рисунок 29 – Окно настройки NAT. Вкладка Action

Сохраним правило, нажав кнопку OK.

Этап 6. Настройка подсети DMZ

Теперь нам необходимо задать адреса в сети DMZ. Для этого необходимо войти в меню IP/Addresses и задать адреса, которые будут использоваться в этой сети. Для примера, используем сеть 10.10.10.0/24 и адрес маршрутизатора 10.10.10.1/24.

Рисунок 30 – Настройка подсети DMZ

Этап 7. Настройка WAN

1. Для примера, провайдер нам выделил адрес 172.30.10.2 маску 255.255.255.252 и шлюз по умолчанию 172.30.10.1. Маска 255.255.255.252 имеет длину /30. Заходим в меню IP/Addresses и добавляем адрес маршрутизатора.

Рисунок 31 – Настройка WAN

2. Затем переходим в меню IP/Routes и добавляем шлюз по умолчанию. (Шлюз по умолчанию задается маршрутом 0.0.0.0/0). Для этого добавляем маршрут:

Рисунок 32 – Настройка маршрута

Сохраняем его, нажав кнопку ОК. После чего, у Вас должен заработать интернет.

Этап 8. Настройка SNTP-клиента

Маршрутизаторы Mikrotik не имеют встроенного аппаратно-независимого таймера. Однако, нам необходимо, чтобы в журнале событий отображалось действительное время. Для этого необходимо настроить часовой пояс и SNTP-клиента.

1. Открываем меню System/Clock и выставляем свой часовой пояс (в примере Europe/Moscow):

Рисунок 33 – Настройка часового пояса

2. Затем нужно перейти в меню System/SNTP Client. Если у вас в сети нет NTP-сервера, воспользуйтесь открытым сервером NTP в Интернет. Например, ru.pool.ntp.org. Нам необходимо узнать IP-адреса серверов.

• В командной строке своего компьютера набираем команду: nslookup ru.pool.ntp.org
• Узнаем адреса серверов:
  : ru.pool.ntp.org
  Addresses:95.104.193.195 91.206.16.3 188.128.19.66 95.140.150.140
• Выбираем любые два из них и вводим в окно настройки NTP-Клиента

Рисунок 34 – Настройка SNTP

Нажимаем кнопку ОК, чтобы сохранить настройки.

На этом базовая настройка маршрутизатора успешно завершена.

В начало статьи