Содержание:
- Настройка Mikrotik
- Настройка внутренних адресов маршрутизатора. Настройка DHCP-сервера
- Настройка Wi-Fi
- Настройка безопасности маршрутизатора
- Настройка NAT
- Настройка подсети DMZ
- Настройка WAN
- Настройка SNTP-клиента
Маршрутизатор RB2011 – это достойное решение для небольшого офиса. Однако, в конфигурации по умолчанию присутствуют некоторые недостатки:
- В качестве WAN-порта используется интерфейс Ether1. Этот интерфейс гигабитный, как правило, выход в интернет осуществляется по каналу не выше 100 Мбит/сек и в таком случае использование гигабитного интерфейса не оправдано
- 100 Мбит порты заведены в соединение типа «мост» (bridge), что дает повышенную нагрузку на CPU маршрутизатора. Более логично использовать в этом случае встроенную микросхему коммутатора
Краткое описание настройки маршрутизатора RB2011, исходя из нашего опыта:
- В качестве основного выхода в интернет используем 100 Мбит интерфейс Ether10
- Интерфейс Ether9 нужно зарезервировать для дальнейшего использования, когда в этом возникнет необходимость
- Интерфейсы Ether6-Ether8 используются для подключения DMZ. Для этого настроим соответствующий Switch-процессор
- Гигабитные интерфейсы Ether1-Ether5 будем использовать для подключения локальной сети
- Wi-Fi будет использовать ключ WPA2-PSK и находиться в локальной сети
Приступаем к поэтапной настройке Mikrotik. Сначала необходимо зайти на сайт по адресу www.mikrotik.com и скачать последнюю прошивку для вашего маршрутизатора. Она пригодится в дальнейшем.
Этап 1. Настройка Mikrotik
1. Подключаем компьютер в порт Ether 5. Есть возможность подсоединить и в любой другой, кроме Ether1, но лучшим вариантом будет именно Ether 5. Это упростит дальнейшую настройку.
Рисунок 1 – Веб-интерфейс Mikrotik
2. Скачиваем программу Winbox (ссылка отмечена красным прямоугольником).
После завершения загрузки программы необходимо закрыть браузер и запустить Winbox. В поле Address вводим 192.168.88.1, в поле User вводим admin. Поле Password оставляем пустым.
Рисунок 2 – Окно Winbox
3. Появляется окно приветствия с запросом о сохранении конфигурации по умолчанию.
Рисунок 3 – Окно Winbox
4. Выбираем Remove Configuration.
5. Завершаем работу с WinBox и подключаем компьютер в первый порт маршрутизатора.
6. Так как у маршрутизатора RB2011 после сброса конфигурации нет IP-адреса, необходимо воспользоваться mac-telnet. Для этого нужно снова запустить программу Winbox и справа от окна ввода адреса нажать на кнопку […]. Через некоторое время в окне появится mac-адрес маршрутизатора RB2011 и ip-адрес 0.0.0.0.
Рисунок 4 – Отображение MAC-адреса маршрутизатора
Щелкаем левой кнопкой мыши по MAC-адресу, чтобы он попал в поле «Connect to». И нажимаем на кнопку Connect.
7. После подключения к маршрутизатору берем ранее скачанный файл с прошивкой и перетаскиваем его в окно программы Winbox. В результате этого действия прошивка начнет загружаться на маршрутизатор.
Рисунок 5 – Загрузка файла с прошивкой
После окончания загрузки переходим в меню System и выбираем пункт Reboot.
Рисунок 6 – Выбор пункта Reboot в меню System
Подтверждаем перезагрузку устройства.
ВНИМАНИЕ. В момент обновления прошивки устройство может загружаться очень долго (до 3-5 минут). Ни в коем случае не выключайте питание!
8. После обновления прошивки необходимо обновить загрузчик устройства. Для этого заходим в меню System/Routerboard.
Рисунок 7 – Окно настройки интерфейса Ether1
И если версии Firmware отличаются, нажимаем кнопку Upgrade, после чего перезагружаем маршрутизатор.
Этап 2. Настройка внутренних адресов маршрутизатора. Настройка DHCP-сервера
1. После загрузки маршрутизатора RB2011 заходим в Winbox по MAC-адресу и приступаем к настройке внутренних интерфейсов. Сначала нам необходимо объединить порты 1-5 в общий аппаратный коммутатор. Ведущим портом в нем назначается порт номер 1 и его необходимо переименовать на LAN1-Master. Остальные порты получат название LAN-Slave. Для этого мы:
- Открываем меню Interfaces
- Двойным нажатием по интерфейсу Ether1 открываем окно и изменяем название порта на LAN1-Master. После чего нажимаем кнопку OK
- Затем открываем интерфейс Ether2, переименовываем порт на LAN2-Slave и в поле Master Port выбираем LAN1-Master
Рисунок 8 – Окно настройки интерфейса Ether2
Таким образом, порт добавляется в группу коммутатора с главным портом LAN1-Master. Аналогичные действия нужно провести с интерфейсами Ether3, Ether4 и Ether5.
После завершения операций в окне должно появится:
Рисунок 9 – Окно со списком интерфейсов
Буква S напротив интерфейса обозначает что он находится в состоянии Slave.
2. Теперь аналогичным способом настраиваются интерфейсы для DMZ.
Ether6 станет DMZ6-Master, а для Ether7 и Ether8 DMZ-Slave, установлена в качестве Master-порта интерфейс DMZ6-Master.
Рисунок 10 – Окно со списком интерфейсов
3. Необходимо переименовать интерфейсы Ether10 в WAN1. Интерфейс Ether9 остается незатронутым. При необходимости его можно использовать как еще один порт DMZ, указав на нем соответствующий Master-порт, или в качестве второго WAN-интерфейса, если нам потребуется резервирование канала. Также его можно будет добавить в описываемый в следующем разделе Bridge, чтобы получить еще один LAN-порт. В итоге должно получиться следующее:
Рисунок 11 – Окно со списком интерфейсов
4. Теперь необходимо создать интерфейс Bridge, который объединит коммутатор из интерфейсов LAN и интерфейс Wi-Fi.
- Для этого открываем меню Bridge, нажимаем кнопку с красным знаком [+] и в открывшемся окне вводим название нового интерфейса Bridge-Local, после чего нажимаем ОК.
- Переходим на закладку Ports и последовательно добавляем порт LAN1-Master и порт Wlan1.
Рисунок 12 – Окно создания интерфейса Bridge
После проведения последней операции должно получиться следующее:
Рисунок 13 – Список интерфейсов Bridge
5. Теперь назначим LAN-адрес маршрутизатора. В качестве адреса используется 192.168.88.1 с подсетью 255.255.255.0, что можно обозначить как 192.168.88.1/24.
Для этого нужно открыть меню IP/Adresses, в открывшемся окне нажать кнопку с красным знаком [+] и заполнить поля, как показано на рисунке 14, после чего нажимаем кнопку ОК.
Рисунок 14 – Окно добавления нового LAN-адреса
6. Теперь настраиваем DNS-сервер. Для этого зайти в меню IP/DNS, в открывшемся окне заполнить адреса DNS-серверов и поставить галочку рядом с Allow Remote Reqests.
Рисунок 15 – Окно с настройками DNS*
*В качестве примера введены адреса публичных серверов Google, необходимо заменить их на адреса, полученные у провайдера.
Для ввода второго и следующих DNS-серверов воспользуйтесь кнопкой «Стрелка вниз» рядом с полем ввода адреса сервера.
7. Переходим к настройке DHCP-сервера. Для этого нужно перейти в меню IP/DHCP Server и нажать кнопку DHCP Setup. В качестве интерфейса выбираем Bridge-Local.
Рисунок 16 – Окно с настройками DHCP
После чего нажать кнопку Next, пока в ячейке не появится «DNS Servers»
Рисунок 17 – Окно с серверами DNS
Нужно удалить нижний номер сервера нажатием на кнопку «стрелка вверх», рядом с полем, а в верхнем прописываем адрес маршрутизатора — 192.168.88.1.
Рисунок 18 – Окно с прописанным адресом маршрутизатора
Нажимаем кнопку Next до появления сообщения об успешной настройке DHCP.
Закрываем программу Winbox, вытаскиваем Ethernet кабель из ПК и вставляем его назад. Убеждаемся, что компьютер получил адрес от маршрутизатора.
После чего подключаемся к маршрутизатору по IP-адресу 192.168.88.1, который необходимо ввести в поле Connect to.
Этап 3. Настройка Wi-Fi
1. Заходим на вкладку Wireless. Дважды щелкаем кнопкой мыши по интерфейсу Wlan1.
Рисунок 19 – Окно с настройками Wlan1
Нажимаем на кнопку Advanced Mode и переходим на вкладку Wireless.
Заполняем значения, как приведено на рисунке. Измененные значения обозначены синим.
Рисунок 20 – Вкладка настроек Wireless
2. Переходим на вкладку Advanced. Вводим следующие значения:
Рисунок 21 – Вкладка настроек Advanced
3. Переходим на вкладку HT. Изменяем следующие параметры:
Рисунок 22 – Вкладка настроек HT
И применяем конфигурацию нажатием кнопки ОК.
4. Переходим на вкладку Security Profiles:
Рисунок 23 – Вкладка настроек Security Profiles
Дважды нажимаем на профиль default.
Выбираем mode=dynamic keys, ставим режим WPA2 PSK, aes-ccm и в поле WPA2 Pre-Shared Key вводим пароль на доступ к Wi-Fi.
Рисунок 24 – Настройка профиля безопасности
Нажимаем кнопку ОК.
5. Переходим на вкладку interfaces и нажимаем кнопку с синей галкой, чтобы включить беспроводной интерфейс.
Рисунок 25 – Завершение настройки Wi-Fi
Настройка Wi-Fi завершена.
Этап 4. Настройка безопасности маршрутизатора
1. Перед настройкой подключения к сети Интернет необходимо сначала настроить безопасность маршрутизатора, как минимум, отключив ненужные сервисы, и поменяв пароль администратора.
Рисунок 26 – Меню IP/Services
2. Последовательно выделяем сервисы FTP, Telnet и WWW. Нажатием на красный крест отключаем их.
Рисунок 27 – Деактивация сервисов
Этап 5. Настройка NAT
1. Перейти в меню IP/Firewall. В открывшемся окне перейти на закладку NAT и добавить новое правило. На закладке General выбрать Chain/srcnat и Out Interface=WAN1.
Рисунок 28 – Окно настройки NAT
2. На вкладке Action выбрать Masquerade.
Рисунок 29 – Окно настройки NAT. Вкладка Action
Сохраним правило, нажав кнопку OK.
Этап 6. Настройка подсети DMZ
Теперь нам необходимо задать адреса в сети DMZ. Для этого необходимо войти в меню IP/Addresses и задать адреса, которые будут использоваться в этой сети. Для примера, используем сеть 10.10.10.0/24 и адрес маршрутизатора 10.10.10.1/24.
Рисунок 30 – Настройка подсети DMZ
Этап 7. Настройка WAN
1. Для примера, провайдер нам выделил адрес 172.30.10.2 маску 255.255.255.252 и шлюз по умолчанию 172.30.10.1. Маска 255.255.255.252 имеет длину /30. Заходим в меню IP/Addresses и добавляем адрес маршрутизатора.
Рисунок 31 – Настройка WAN
2. Затем переходим в меню IP/Routes и добавляем шлюз по умолчанию. (Шлюз по умолчанию задается маршрутом 0.0.0.0/0). Для этого добавляем маршрут:
Рисунок 32 – Настройка маршрута
Сохраняем его, нажав кнопку ОК. После чего, у Вас должен заработать интернет.
Этап 8. Настройка SNTP-клиента
Маршрутизаторы Mikrotik не имеют встроенного аппаратно-независимого таймера. Однако, нам необходимо, чтобы в журнале событий отображалось действительное время. Для этого необходимо настроить часовой пояс и SNTP-клиента.
1. Открываем меню System/Clock и выставляем свой часовой пояс (в примере Europe/Moscow):
Рисунок 33 – Настройка часового пояса
2. Затем нужно перейти в меню System/SNTP Client. Если у вас в сети нет NTP-сервера, воспользуйтесь открытым сервером NTP в Интернет. Например, ru.pool.ntp.org. Нам необходимо узнать IP-адреса серверов.
- В командной строке своего компьютера набираем команду: nslookup ru.pool.ntp.org
- Узнаем адреса серверов:
: ru.pool.ntp.org
Addresses:95.104.193.195 91.206.16.3 188.128.19.66 95.140.150.140 - Выбираем любые два из них и вводим в окно настройки NTP-Клиента
Рисунок 34 – Настройка SNTP
Нажимаем кнопку ОК, чтобы сохранить настройки.
На этом базовая настройка маршрутизатора успешно завершена.
Настройку сетевого оборудования и обслуживание облачного сервера 1С мы выполняем в рамках ИТ-аутсорсинга.
