Быстрая настройка маршрутизатора mikrotik с нуля за 5 минут

ARP Таблицы

ARP протокол служит для определения MAC-адреса по заранее известному IP-адресу.

Работает ARP в следующих режимах:

  • Enabled – работает в обычном режиме. Режим по умолчанию;
  • Disabled – не работает;
  • Proxy-arp – ответ на ARP-запросы от всех подключенных сетей. Когда мы подключаемся из другой сети (client-to-site, например, по L2TP соединению), установив данный режим работы, у нас получится определить MAC адрес другой сети;
  • Local-proxy-ARP – на все запросы в ответе указывает MAC-адрес маршрутизатора вместо указания реального MAC-адреса нужного хоста. В этом режиме трафик обязательно будет обрабатываться маршрутизатором;
  • Reply-only – только ответы на ARP-запросы. ARP-таблица должна быть заполнена статически. Маршрутизатор будет выполнять только ответы на ARP-запросы.

Режим Reply-only увеличивает безопасность сети, за счет того, что хосты не смогут выйти в интернет с IP-адресом, отличным от указанного в ARP-таблице;

Как настроить ARP записи в Mikrotik

По умолчанию ARP таблица заполняется динамически. Эти данные мы можем увидеть открыв:

IP => ARP.

А также  можем статически привязать IP-адрес MAC нажав на нужную строку и выбрав пункт Make Static:

Таким образом, мы добавили ARP-запись.

Ручное добавление ARP записи Mikrotik

Если необходимо добавить ARP-запись вручную, то сделать это можно следующим образом:

IP => ARP => “+”.

В открывшемся окне зададим значения IP и MAC, указав интерфейс:

Добавляем ARP запись через DHCP на Mikrotik

Чтобы ARP-записи добавлялись при помощи DHCP, выполним следующую настройку:

  • IP => DHCP Server;
  • На вкладке DHCP, двойным нажатием левой кнопкой мыши, откроем свойства.

На странице General отметим галочкой пункт Add ARP For Leases:

Теперь DHCP-сервер на маршрутизаторе Mikrotik будет добавлять ARP-записи в таблицу. Это может быть полезно для небольшой сети. Давайте рассмотрим на примере, как можно повысить безопасность сети, используя данную функцию.

DHCP + ARP в Mikrotik. Повышаем безопасность локальной сети

В данном “кейсе” мы модифицируем конфигурацию DHCP сервера, показанную в данной статье, таким образом, что IP-адреса будут выдаваться из существующих записей, добавляя ARP запись. И переведем ARP протокол для внутренней сети в режим Reply-only, чтобы маршрутизатор Mikrotik выполнял только ответы на ARP-запросы.

Для начала назначим статический IP для хоста в сети:

IP => DHCP Server => Leases.

Нажатием правой кнопкой мыши по устройству, выбираем пункт Make Static:

Далее переходим на вкладку DHCP и двойным нажатием открываем свойства.

На странице General меняем настройки:

  • Address Pool: static-only, чтобы сетевые адреса назначались из существующих записей;
  • Установить галочку Add ARP For Leases, при этом DHCP будет заполнять ARP таблицу.

Следующим шагом настроим режим reply-only для ARP, на интерфейсе Bridge:

  • Interface => bridge1;
  • На вкладке General установим свойство ARP в режим reply-only:

На этом настройка закончена. Теперь наш DHCP-Сервер выдает сетевые настройки только тем устройствам, MAC адрес которых присутствует в таблице. При этом заполняет ARP таблицу, запрещая хостам которых нет в таблице доступ в интернет.

Полезно будет ознакомиться со статьями:

  • Настройка DNS Server на Mikrotik
  • Как восстановить прошивку MikroTik с помощью Netinstall
  • Сброс настроек MikroTik hAP ac2
  • Как сохранить, перенести и восстановить настройки MikroTik

Надеюсь, данный кейс будет вам полезен.

Комплексный способ

Через графический интерфейс

Приведенные ниже манипуляции подразумевают, что вы уже настроили IP-адреса двум внешним интерфейсам, прописали маршруты и сделали правила NAT.

«Комплексный» способ основан на том, что с помощью встроенной утилиты «Netwatch», мы будем один раз в минуту проверять доступность интернета с помощью команды ping до узла 8.8.4.4 через первый интернет канал. Доступ до этого узла через второй Интернет-канал будет всегда закрыт. Таким образом если ping проходит — это значит, что первый канал находится в рабочем состоянии и он должен быть включен, а 2-ой канал должен быть выключен. И наоборот: если ping не проходит — это значит, что первый канал не работает и он должен быть выключен и включен 2-ой канал. Как только ping начнет проходить произойдет обратной переключение. Нужный маршрут утилита будет определять по комментарию, который мы назначим. Как видите этот способ лишен недостатка первого способа.

Добавить комментарии к маршрутам. К маршруту через первого провайдера добавить комментарий ISP1, к маршруту через второго провайдера добавить комментарий ISP2. Приведем пример для первого провайдера. Для второго действие делается аналогично.

Создать статический маршрут до 8.8.4.4. В IP => Routes создать маршрут до адреса 8.8.4.4 через шлюз 1-го интернет провайдера.

Добавить правило блокирующее доступ к 8.8.4.4 через 2-ой WAN-интерфейс.

Добавить условие переключения. В Tools => Netwatch на вкладке «Host» создать новый «Netwatch host». В графе «Host» указать отслеживаемый ip-адрес, в «Interval» — частоту осуществляемых проверок, а в «Timeout» — время недоступности хоста при котором сработает триггер.

В примере указан адрес 8.8.8.8. Это опечатка. Должен быть адрес 8.8.4.4

На вкладке «Up» добавить скрипт следующего содержания:

На вкладке «Down» добавить скрипт следующего содержания:

Обновление прошивки

После очистки настроек я рекомендую сразу выполнить обновление прошивки роутера Mikrotik. Для этого идем в раздел Download официального сайта и скачиваем нужный файл. В данном случае это платформа mipsbe, пакет для загрузки Main package. Загружаем его на компьютер и подключаемся к роутеру с помощью winbox. Выбираем слева раздел Files. Затем открываем рядом два окна — один с файлом прошивки, второй с winbox и перетаскиваем мышкой файл из папки в winbox в список файлов.

Дожидаемся окончания загрузки прошивки и перезагружаем микротик через раздел меню System -> Reboot. Прошивка обновится во время загрузки роутера. Подождать придется минуты 3. Поле этого снова подключаемся к устройству. После обновления прошивки, нужно обновить загрузчик. Делается это в пункте меню System — RouterBoard. Заходите туда, проверяете строки Current Firmware и Upgrade Firmware. Если они отличаются, то жмете кнопку Upgrade. Если одинаковые, то можно ничего не делать. Изменения вступят в силу после перезагрузки.

Проверить версию установленной прошивки можно в разделе System — Packages.

В моем случае версия прошивки — 6.43.4. В будущем, когда на роутере будет настроен интернет, обновляться можно автоматически в этом разделе, нажимая на Check For Updates.

Прошивку обновили, можно приступать к настройке.

Настройка WAN интерфейса MikroTik

Изменение MAC адреса WAN порта

Если Ваш провайдер блокирует доступ к сети по MAC адресу, то необходимо сначала изменить MAC адрес WAN порта роутера MikroTik. В противном случае пропустите этот пункт.

для подключения к командной строке маршрутизатора буду использовать telnet клиент. В работе необходимо учитывать, что все данные по telnet протоколу передаются в открытом виде. Открываем в Windows командную строку и вводим следующую команду:

telnet 192.168.88.1

Пользователь, под которым мы будем заходить на сетевое устройство — admin; пароль — пустой.

Чтобы изменить MAC адрес порта MikroTik, открываем в программе Winbox меню New Terminal и вводим команду:

/interface ethernet set ether1 mac-address=a1:b2:c3:d4:e5:f6

где ether1 – имя WAN интерфейса, a1:b2:c3:d4:e5:f6 — MAC адрес, разрешенный на стороне провайдера.

Чтобы вернуть родной MAC адрес порта, нужно выполнить команду:

/interface ethernet reset-mac-address ether1

где ether1 – имя интерфейса.

Настройка Dynamic IP

Если интернет провайдер выдает Вам сетевые настройки автоматически, то необходимо настроить WAN порт роутера MikroTik на получение настроек по DHCP:

  1. Открываем меню IP
  2. Выбираем DHCP Client
  3. В появившемся окне нажимаем кнопку Add (синий плюс)
  4. В новом окне в списке Interface: выбираем WAN интерфейс ether1
  5. Нажимаем кнопку OK для сохранения настроек

Проверяем какой IPv4 адрес мы получили от провайдера (видим в столбце IP Address). В вашем случае может быть IPv6, конечно если вы включили в Микротике поддержку IP протокола 6 версии.

Есть ли связность с глобальной сетью Интернет?

С помощью командной строки проверяем доступность сервера Google DNS — в терминале вводим команду ping 8.8.8.8

.
Пинги проходят достаточно быстро round–trip time, RTT составляет 2ms, что очень неплохо (цифры реальные). Сеть Интернет доступна и работает отлично. По умолчанию команда будет слать пакеты без ограничений. После отправки 3-х пакетов понятно, что связность есть, остановил выполнение команды нажатием Ctrl+C.

Без настройки локальной сети и преобразования сетевых адресов NAT на маршрутизаторе MikroTik на клиентских компьютерах Интернет работать не будет.

Настройка статического IPv4 адреса на внешнем интерфейсе

В корпоративных сетях провайдеры обычно предлагают настраивать оборудование вручную, с помощью статических сетевых настроек. Пропишем настройки на внешнем WAN интерфейсе маршрутизатора вручную.

Настроим статический IP адрес и маску подсети внешнего интерфейса:

  1. Слева выбираем меню IP
  2. Переходим на строку Addresses
  3. В новом окне добавим новый адрес (синий плюс)
  4. В появившемся окне в поле Address: прописываем статический IP адрес / маску подсети;
  5. В списке Interface: выбираем WAN интерфейс ether1;
  6. Для сохранения настроек нажимаем кнопку OK.

Настоим адрес интернет шлюза MikroTik:

  1. Слева выбираем в меню IP
  2. Переходим на строку Routes;
  3. В новом окне добавим новый адрес (синий плюс)
  4. В появившемся в поле Gateway: прописываем IP адрес шлюза
  5. Нажимаем кнопку OK для сохранения настроек

Добавим адреса DNS серверов MikroTik:

  1. Слева выбираем в меню IP
  2. Переходим на строку DNS
  3. В появившемся окне заполняем поле Servers: выбрал Google DNS IPv4 8.8.8.8
  4. Нажимаем кнопку “вниз” (черный треугольник), чтобы добавить еще одно поле для ввода
  5. В новом поле добавляю IP адрес запасного  DNS сервера Google 8.8.4.4
  6. Разрешаем обработку удаленных запросов Allow Remote Requests (позже необходимо будет закрыть доступ к DNS серверу для внешних клиентов)
  7. Сохраняем настройки — нажимаем OK.

Открываем Terminal, чтобы проверить доступ к глобальной паутине по доменным именам

С помощью командной строки проверяем доступность WEB сервера, на котором расположен данный сайт 14bytes.ru — в терминале вводим команду ping 14bytes.ru

Пинги до WEB сервера доходят и возвращаются. Скорость оборота пакетов оставляет желать лучшего round–trip time, RTT составляет 40ms. Далековато я нахожусь от сервера. DNS преобразование имени в IP адрес вопросов не вызывает; сеть Интернет работает отлично. По умолчанию команда будет слать пакеты без ограничений. После отправки 5-ти пакетов понятно, что связность есть, остановил выполнение команды нажатием Ctrl+C.

Без настройки локальной сети и преобразования сетевых адресов NAT на маршрутизаторе MikroTik на клиентских компьютерах Интернет работать не будет.

Безопасность

Прежде, чем перейти к дальнейшей настройке, необходимо защитить устройство от взлома злоумышленниками. Сначала зададим пароль для доступа к устройству. Для этого заходим в раздел System — Password и зададим новый пароль. Поле Old Password оставляем пустым, т.к. изначально пароля не было.
Далее необходимо отключить службы, которые Вы не будете в дальнейшем использовать. Заходим в раздел IP — Services. В открывшемся окне отобразятся все службы, через которые возможен удаленный доступ к Вашему устройству. Если Вы не планируете подключаться к роутеру через WEB-интерфейс, используя браузер, отключите все службы, кроме winbox, если планируете, оставьте включенной службу www.

Сброс настроек роутера

Подключаем роутер к сети, подаем питание и запускаем на компьютере winbox. Переходим на вкладку Neighbors и ждем, когда утилита найдет наш микротик. Это может занять какое-то время. На всякий случай можно нажать Refresh, если роутер долго не обнаруживается.

Нажимаем на мак адрес устройства, он должен будет скопироваться в поле Connect To. Пароль по-умолчанию для входа в роутеры mikrotik — пустой, а пользователь — admin. Вводим имя пользователя, поле с паролем оставляем не заполненным. Нажимаем connect. Нас встречает информационное окно, в котором приведено описание стандартных настроек.

Здесь их можно либо оставить, либо удалить. Я всегда удаляю, так как стандартные настройки чаще всего не подходят под конкретную ситуацию. Приведу несколько примеров, почему это так:

  1. Я запитал свой роутер по первому порту через poe адаптер и поэтому вынужден использовать этот порт как локальный. В настройках по-умолчанию этот порт используется как wan порт для получения интернета от провайдер.
  2. В настройках по-умолчанию установлено автоматическое получение настроек от провайдера по dhcp. Если у вас другой тип подключения, то вам стандартная настройка не подходит.
  3. По-умолчанию устанавливается адресное пространство 192.168.88.0/24. Мне лично не нравятся сетки по-умолчанию, так как если в них случайно воткнуть новое устройство, где будет так же забит умолчательный адрес, то в сети начнутся проблемы. Дома может это и не актуально, но в коммерческих организациях мне приходилось с этим сталкиваться. Поэтому я на всякий случай сетку всегда меняю.

Так что мы нажимаем Remove Configuration, чтобы удалить настройки. После этого роутер перезагрузится. Ждем примерно минуту и подключаемся к нему снова.

Если вы по какой-то причине не удалили сразу предустановки, то выполнить сброс настроек в mikrotik на заводские можно позже. Для этого надо в терминале набрать сначала system, а затем reset. У вас спросят подтверждение и после этого routerboard перезагрузится с заводскими настройками.

Настройка wifi точки доступа на MikroTik

По правде сказать, Wi-Fi это очень объёмная тема, которую можно расписать на пару статей. Здесь же я покажу как быстро настроить wifi на микротике для домашних нужд или не большого офиса. Если же вам нужно разобрать во всем детальнее (ccq, ширина канала и т.д) то мы позже напишем статью и на эту тему.

По умолчанию wlan интерфейс выключен, поэтому идем и включаем его в разделе Wireless.

Далее надо настроить Security Profile – это место где мы задаем параметры безопасности для точки доступа.

  1. Переходим в нужную вкладку;
  2. Открываем двумя кликами «default» профйал;
  3. Указываем – dynamic keys;
  4. Тип авторизации отмечаем – WAP PSK, WAP2 PSK, aes ccm;
  5. В графе WAP и WAP2 Pre-Shared Key – указываем пароль от Wi-FI (придумайте сложный).

Здесь закончили, сохраняем все и переходим в разделе Wireless на вкладку interfaces, двойным щелчкам открываем wlan1. Дальше указываем все так как у меня.

Здесь стоит обратить внимание на следующие параметры:

  • SSID –это имя точки доступа которое будут видеть WI-FI устройства;
  • Mode – ap bridge, ставьте именно это значение.

Такие значение как «Frequency» делайте как на скриншоте, это например частота канала. Ее по-хорошему нужно выбирать после анализа частотного спектра, но, если вы не знаете, что это ставьте любое значение, работать будет. На этом настройка роутера микротик с нуля закончена, можно пользоваться.

Также рекомендую задать пароль администратора, ото без него любой введя логин admin сможет подключиться к вашему устройству. Делается это в System -> Users.

Настройка Mikrotik в связке с DNS для обеспечения доступности сервисов

Данная статья не претендует на уникальность, возможно где-то уже реализовано. Но однако понадобилось. Итак, имеем, роутер Mikrotik RB3011 и два канала разных операторов с «белыми» IP-адресами, свой домен и сервисы которые должны быть доступны извне сотрудникам. Само наше оборудование запитано хорошо, АКБ +дизель. Но в силу того, что головной офис расположен в городе Махачкала, а с электричеством у нас иногда бывает ахтунг, то может оказаться в оффлайне один из коммутаторов оператора и соответственно канал связи!

А все сервисы связанные с этим каналом и «белым» IP-адресом будут не доступны для удаленных сотрудников, решено было завести второго, а еще и третьего оператора и настроить DNS. / DNS-хостинг приобрели на nic.ru (услуга всего-то стоит 600 руб. в год. ), завели А-записи. Можно возразить, что есть куча бесплатных DNS, типа яндекс, но у того же яндекса не возможно установить ttl меньше 900 сек, а в данном случае нужно меньше. Если есть бесплатный DNS-хостинг с API и гибким ttl, прошу подсказать…

1. Получаем логин и пароль для управлени по API в разделе в Услугах DNS-Хостинг, в разделе Динамический DNS и нажимаем получить логин и пароль

Далее в микротике создаем скрипт.

Смена значения для записи, например VPN.MYDOMAIN.COM»:

Далее не стали особо заморачивать и сделали родным микротиковским NetWatch, приблизительно так

Обработка при падении канала основного провайдера:

Логика очень простая, каждые 15 сек. пингуется хост 8.8.8.8 через канала основного оператора с указанием таймаута 1000 мс., соответственно при его недоступности в роутинг таблице ищется маршрут на основного провайдера с комментом ISP1 и переводит его в статус — disabled. А маршрут резервного, изменяется с указанием administrativ distance на 1. Далее запускается наш скрипт, который по API меняет значение A-записи в домене!

При этом, чтоб не ошибиться с оценкой о состоянии доступности 8.8.8.8 через основного провайдера, небходимо в фаерволе создать правило запрещающее через резервного оператора пакеты на 8.8.8.8 или банально написать маршрут на 8.8.8.8 через основного оператора, как мы и сделали.

Ну вроде как и все, у нас это работает без проблем.

Конечно, можете сказать что у микротика есть своя DDNS, но нас это не устраивает. SSL для сайта и разнообразные сервисы которые переносим и меняются в зависимости от обстоятельства бизнеса.

Буду рад, если кому-либо это решение поможет в облегчении…

Данная статья не подлежит комментированию, поскольку её автор ещё не является полноправным участником сообщества. Вы сможете связаться с автором только после того, как он получит приглашение от кого-либо из участников сообщества. До этого момента его username будет скрыт псевдонимом.

Источник

Настройка интернета в микротик

Сейчас самое время подключиться к провайдеру и настроить интернет. Тут трудно охватить все возможные варианты подключения. Их может быть много. Я рассмотрю два самых популярных способа:

  1. Вы получаете настройки от провайдера автоматически по dhcp.
  2. Провайдер дал вам готовые настройки и вы их вводите вручную.

Как я уже писал ранее, для подключения к провайдеру мы будем использовать 5-й порт. Подключайте провод провайдера.

Для получения настроек по dhcp переходите в winbox в раздел IP -> DHCP Client и жмите плюсик. Выбираете интерфейс ether5 и жмете ОК.

Если вы все сделали правильно, то увидите, какой IP адрес получили. В разделе IP -> Addresses будет информация о настройках.

Рассмотрим вариант, когда провайдер выдал все настройки и вам нужно самим их задать. Будем считать, что наши настройки интернета следующие:

IP адрес 192.168.1.104
Маска 255.255.255.0
Шлюз 192.168.1.1
DNS 192.168.1.1

Сначала укажем IP адрес. Делаем все то же самое, что и в предыдущем пункте при настройке статического IP. Только теперь вместо интерфейса bridge1 указываем ether5 и вводим соответствующий адрес — 192.168.1.104/24. Тут мы сразу указали и адрес и маску подсети.

Дальше нам нужно установить шлюз по-умолчанию. Без этого обязательного шага интернет не заработает. Идем в раздел IP -> Routes и жмем плюсик для добавления шлюза по-умолчанию. В Dst. Address оставляем как есть 0.0.0.0/0, а в поле Gateway вписываем шлюз провайдера и жмем ОК.

Уже сейчас интернет должен заработать, но без указания DNS сервера обращаться можно только по прямым ip адресам. Например можно пропинговать ip адрес серверов гугла. Открываем New Terminal и проверяем.

Теперь установим DNS сервер. Для этого идем в IP -> DNS, в поле Servers вводим адрес dns сервера провайдера. Если у вас их два, то нажав на треугольничек, направленной вершиной вниз, вы можете ввести еще одно значение. Обязательно ставите галочку напротив Allow Remote Requests.

Если у вас внешний IP адрес и вы разрешили удаленные DNS запросы, обязательно выполните настройку firewall и заблокируйте все входящие соединения. Если этого не сделать, то ваш роутер может стать жертвой поддельных dns запросов, которые используют для ddos атак.

На этом все, мы полностью установили настройки интернета провайдера. Можно проверить и пропинговать привычный адрес сайта.

На самом маршрутизаторе уже есть выход в интернет. На нам нужно его настроить для пользователей. Для этого продолжаем настройку mikrotik.

Отключение по уровню сигнала

Рассмотрим тему переключения абонентских устройств от одной точки к другой. В общем случае хочется, чтобы всегда происходило переключение на точку доступа с максимальным сигналом для данного устройства. К сожалению, в Capsman такого функционала нет вообще.

В общем случае, абонентское устройство само определяет, к какой точке доступа ему подключаться. Для того, чтобы этим как-то управлять, нужен свой протокол роуминга. Они существуют, но в бюджетном сегменте вы не увидите их поддержку на устройствах. Все, что мы можем сделать в Микротике — это принудительно отключить устройство от точки доступа при уменьшении уровня сигнала ниже заданного порога.

В целом, это рабочий вариант, но нужно аккуратно подходить к настройке. Вы должны быть уверены, что уровень сигнала, при котором происходит отключение, гарантированно более низкий, чем есть в этом же месте от другой точки, чтобы клиент сразу же подключился заново к другой точке доступа с более сильным сигналом.

Создаем Access List с ограничением по уровню сигнала. Идем в раздел CAPsMAN и открываем вкладку Access List. Добавляем два правила.

Первое правило разрешает подключение клиентов с уровнем сигнала лучше чем -79 dBm, второе правило запрещает подключаться клиентам с уровнем сигнала ниже, чем -80 dBm. Напоминаю, что качество сигнала подключения по wifi измеряется в dBm (дБм). Это универсальная мера мощности сигнала.

Обращаю внимание на параметр Allow Signal Out Of Range. С помощью него можно указать промежуток времени, в течении которого будет проверяться качество сигнала

Я указал 10 секунд, это дефолтное значение времени. Клиент будет отключен, только если в течении всех 10 секунд его качество сигнала будет ниже заданного лимита. Если поставить Always, то проверка сигнала будет происходить одномоментно и его отключит сразу же, как сигнал упадет.

После применения Access List, всех клиентов принудительно отключит от точек и они начнут подключаться заново. Те, у кого качество сигнала будет ниже заданных порогов начнет отключать. В логах это выглядит следующим образом.

B4:52:7D:EB:28:17@5G-xs-wl-meeting-1-1 disconnected, too weak signal, signal strength -80
B4:52:7D:EB:28:17@5G-xs-wl-office-1-1 connected, signal strength -71

Без добавления правил Access List клиент был подключен к точке доступа с плохим сигналом. После добавления, его принудительно отключило от первой точки и подключило к точке с лучшим сигналом.

Таким нехитрым способом, без использования продвинутых протоколов роуминга, можно без проблем отключать клиентов с плохим сигналом и подключать их к другим точкам

При этом важно спланировать покрытие так, чтобы в любом месте wifi сети сигнал был не ниже порога отключения клиента. Чтобы не получилось так, что вы отключаете клиента от слабой точки, но другой в радиусе его действия просто нет, и он остается без связи

Важно понимать еще один нюанс. Современные устройства с wifi адаптером сами умеют находить точки с более сильным сигналом и автоматически к ним подключаться

Так что прежде чем все это настраивать, потестируйте свою сеть и работу устройств в ней. Возможно, все будет нормально работать и без подобных настроек ограничения подключения по мощности сигнала. Есть ненулевой шанс, что вы сделаете только хуже. Клиентские устройства начнут чаще переключаться с точки на точку, что в целом ухудшит качество wifi связи.

Оцените статью
Рейтинг автора
5
Материал подготовил
Андрей Измаилов
Наш эксперт
Написано статей
116
Добавить комментарий