Первоначальная настройка mikrotik. Сброс настроек Mikrotik с помощью терминального подключения

В зависимости от модели RouterBOARD , существует несколько способов сброса настроек. Сбросить пароль и настройки MikroTik RouterBOARD можно с помощью кнопки Reset или специального отверстия на плате устройства.

Сброс MikroTik кнопкой Reset

Большинство устройств RouterBOARD оснащены кнопкой Reset .

Чтобы сбросить конфигурацию MikroTik к заводским настройкам выполните следующее:

1. Отключите питание роутера;
2. Нажмите и держите кнопку Reset ;
3. Включите питание роутера;
4. Дождитесь, пока замигает индикатор ACT , и отпустите кнопку Reset .

Примечание: Если вы не отпустите кнопку Reset и дождетесь, когда индикатор ACT перестанет мигать, то устройство перейдет в режим Netinstall для переустановки операционной системы RouterOS.

Сброс MikroTik через специальное отверстие

Все современные платы RouterBOARD имеют специальное отверстие для сброса настроек. В некоторых моделях MikroTik потребуется открыть корпус, чтобы воспользоваться этим отверстием. На других устройствах есть отверстие на корпусе для доступа к сбросу на плате.

Чтобы сбросить конфигурацию MikroTik через специальное отверстие на плате выполните следующее:

1. Отключите питание роутера;
2. Замкните отверстие для сброса металлической отверткой;
3. Включите питание роутера;
4. Подождите, пока сбросится конфигурация, и уберите отвертку.

После сброса роутера, вы сможете зайти в его настройки со стандартным именем пользователя admin без пароля.

Сброс MikroTik джампером на старых моделях

На рисунке изображено расположение джампера для сброса настроек в старых моделях RouterBOARD, например RB133C.

Для сброса настроек в старых моделях MikroTik выполните следующее:

1. Отключите питание роутера;
2. Замкните джампер металлической перемычкой;
3. Включите питание роутера;
4. Подождите, пока сбросится конфигурация, и уберите перемычку.

После сброса роутера, вы сможете зайти в его настройки со стандартным именем пользователя admin без пароля.

Примечание: Не забудьте убрать перемычку после сброса настроек, иначе устройство будет каждый раз сбрасываться при перезагрузке.

Сброс RouterOS установленной на x86

Чтобы сбросить пароли и настройки операционной системы RouterOS, установленной на компьютере x86, необходимо загрузиться с установочного диска с RouterOS. Когда появится окно с выбором пакетов, нажать i и ответить n на вопрос Do you want to keep old configuration? Подтвердите сброс, нажав y .

Маршрутизаторы от латвийской компании Mikrotik занимают особое место среди продукции подобного рода. Бытует мнение, что это техника предназначена для профессионалов и правильно ее настроить и эксплуатировать может только специалист. И такая точка зрения имеет под собой основание. Но время идет, продукция Mikrotik совершенствуется, а ее программное обеспечение становится все более доступным для понимания обычным пользователем. А супернадежность, многофункциональность данных устройств в сочетании с доступной ценой, делают усилия по изучению его настроек вполне адекватными получаемому результату.

Отличительной особенностью маршрутизаторов Микротик является то, что их функционирование осуществляется под управлением не просто банальной прошивки, а с помощью операционной системы, которая называется RouterOS. Это полноценная операционная система, созданная на платформе Linux. Именно это и отпугивает от Микротиков многих пользователей, которые считают, что освоить ее для них — это нечто неподъемное. Но с другой стороны, наличие такой операционной системы имеет и неоспоримые плюсы:

• Все устройства Mikrotik настраиваются однотипно, так как используют одну и ту же ОС;
• RouterOS позволяет настроить маршрутизатор очень тонко и максимально адаптировать его под потребности пользователя. Вручную можно настроить практически все!
• RouterOS можно свободно устанавливать на ПК и превратить его таким образом в полноценный маршрутизатор с полным набором функций.

Возможности, которые предоставляет пользователю операционная система от Микротик, очень обширны. Поэтому время, потраченное на ее изучение, будет использовано не напрасно.

Подключение маршрутизатора и основные способы его настройки

Подключение маршрутизаторов Mikrotik к устройству, с которого будет производиться настройка, осуществляется стандартно. Кабель от провайдера следует подключить к первому порту маршрутизатора, а через какой-либо из остальных портов соединить его с компьютером или ноутбуком. Настройку можно осуществлять и через Wi-Fi. Точка доступа активируется одновременно с включением устройства и полностью открыта. Само собой разумеется, что компьютер должен находиться в одном адресном пространстве с роутером или иметь сетевые настройки, предусматривающие автоматическое получение IP-адреса и адреса DNS-сервера.

Проделав эти нехитрые манипуляции, необходимо сделать следующее:

Последний пункт требует более детальных пояснений. Как видно из скриншота, роутер Микротик можно настроить тремя способами:

• Winbox — специальная утилита для настройки устройств Mikrotik. За иконкой скрывается ссылка на ее скачивание. Данную утилиту можно скачать и с сайта производителя;
• Webfig — настойка роутера в браузере. Данная возможность появилась сравнительно недавно. Веб-интерфейс Webfig очень похож на Winbox, но разработчики уверяют, что его возможности шире;
• Telnet — настройка через командную строку. Такой способ подходит для продвинутых юзеров и более подробно в статье рассматриваться не будет.

В настоящее время разработчики делают основной упор на интерфейс Webfig, предлагающийся пользователю по умолчанию. Поэтому в более поздних версиях RouterOS стартовое окно может выглядеть вот так:

А так как в заводских настройках для входа в веб-интерфейс роутера пароля нет, то при первом подключении пользователь может быть сразу перенаправлен на страницу настроек Webfig. Однако большинство специалистов до сих пор продолжают работать с Winbox и считают ее самым удобным способом настройки устройств Микротик. Поэтому все дальнейшие примеры будут основаны на интерфейсе данной утилиты.

Настройка базовых параметров роутера

Настроек у роутера Микротик очень много, но для того чтобы он выполнял свои основные функции, достаточно знать главные из них. Поэтому не стоит пугаться обилия вкладок, разделов и параметров. Более детально их предназначение можно изучить позже. А вначале нужно научиться делать базовые настройки устройства. Подробнее об этом далее.

Подключение к роутеру с помощью Winbox

Утилита Winbox, с помощью которой проходит настройка устройств Mikrotik, представляет собой исполняемый файл EXE. Она не требует инсталляции и готова к работе сразу после скачивания. Изначально утилита предназначена для работы в Windows, но практика показывает, что она отлично работает и на платформе Linux из-под Wine.

После открытия Winbox открывается ее стартовое окно. Там необходимо ввести IP-адрес роутера, логин (стандартный — admin) и нажать на «Connect» .


Если подключиться по IP-адресу не удается, или он неизвестен — это не беда. Winbox предоставляет пользователю возможность подключаться к роутеру и по МАС-адресу. Для этого необходимо:

Подключение к роутеру будет осуществлено и пользователь сможет перейти к его непосредственной настройке.

Быстрая настройка

После входа в настройки роутера с помощью утилиты Winbox перед пользователем открывается окно стандартной конфигурации Mikrotik. Ему предлагается удалить ее или оставить без изменений. Если нужно произвести настройку маршрутизатора максимально быстро — необходимо оставить заводскую конфигурацию без изменений, нажав на «OK» .


Чтобы перейти к быстрым настройкам, требуется выполнить два простых шага:

1. В левом столбце окна утилиты Winbox перейти на вкладку «Quick Set» .
2. В выпадающем списке в открывшемся окне выбрать режим работы роутера. В нашем случае больше всего подойдет «Home AP» (Домашняя точка доступа).

Окно Quick Set вмещает в себя все базовые настройки роутера. Вся информация в нем сгруппирована по разделам, посвященным настройкам Wi-Fi, интернета, локальной сети и VPN. Рассмотрим их подробнее.

Беспроводная сеть

Настройки беспроводной сети расположены в левой части окна Quick Set. Параметры, которые доступны там для редактирования, такие же как и при настройке маршрутизаторов других моделей.


Здесь пользователю необходимо:

• Ввести имя своей сети;
• Указать частоту сети или выбрать автоматическое ее определение;
• Выбрать режим вещания модуля беспроводной сети;
• Выбрать свою страну (необязательно);
• Выбрать тип шифрования и задать пароль доступа к беспроводной сети. Обычно выбирают WPA2, но лучше отметить галочками все типы, на случай если устройства в сети не поддерживают его.

Практически все настройки осуществляются путем выбора из выпадающего списка или отметки в чекбоксе, поэтому придумывать ничего не потребуется.

Интернет

Настройки интернета находятся справа вверху окна Quick Set. Пользователю предлагается 3 их варианта, в зависимости от типа подключения, используемого провайдером:

Как видим, ничего трудного в изменении параметров интернет-соединения в роутере Микротик нет.

Локальная сеть

Сразу же под сетевыми настройками в окне Quick Set располагается конфигурация локальной сети. Здесь можно изменить IP-адрес роутера и настроить DHCP-сервер.


Чтобы интернет работал нормально, необходимо также обязательно разрешить трансляцию NAT, отметив галочкой соответствующий чекбокс.

Поочередно изменив все параметры в окне Quick Set, нажмите на кнопку «Apply» . Соединение с роутером будет разорвано. Перезагрузите компьютер или просто отключите, а затем снова включите сетевое подключение. Все должно заработать.

Установка пароля администратора

В заводских настройках роутеров Mikrotik пароль отсутствует. Оставлять его в таком состоянии категорически нельзя из соображений безопасности. Поэтому, завершив базовую настройку устройства, следует обязательно установить пароль администратора. Для этого:

На этом установка пароля администратора завершена. При надобности в этом же разделе можно добавить и других пользователей или группы пользователей с разным уровнем доступа к маршрутизатору.

Ручная настройка

Конфигурирование роутера Микротик в ручном режиме требует от пользователя определенных знаний и терпения, так как придется заводить множество различных параметров. Но неоспоримым плюсом такого метода является возможность настроить маршрутизатор максимально тонко, с учетом собственных потребностей. К тому же, попутным эффектом от такой работы будет значительное расширение познаний пользователя в сфере сетевых технологий, что также можно отнести к положительным моментам.

Удаление заводской конфигурации

Удаление типовой конфигурации роутера — это первый шаг, с которого начинается его ручная настройка. Нужно просто нажать на «Remove Configuration» в окне, появляющемся при первом запуске устройства.


Если такое окно не появилось — значит к роутеру уже подключались ранее. Такая же ситуация будет при настройке б/у устройства, отконфигурированного под другую сеть. В этом случае текущую конфигурацию нужно удалить следующим образом:

После этого маршрутизатор перезагрузится и будет готов к дальнейшей настройке. Рекомендуется сразу же сменить имя администратора и установить ему пароль способом, описанным в предыдущем разделе.

Переименование сетевых интерфейсов

Одним из неудобств настройки роутеров Микротик многие считают однообразные названия его портов. Посмотреть их можно в разделе «Interfaces Winbox» :


По умолчанию функции порта WAN в устройствах Mikrotik выполняет ether1 . Остальные интерфейсы являются портами LAN. Чтобы не путаться при дальнейшей настройке, их можно переименовать так, как более привычно пользователю. Для этого потребуется:

Остальные порты можно переименовать в LAN или оставить без изменения. Если пользователя не раздражают названия по умолчанию, можно ничего не изменять. Данная процедура никак не влияет на работу устройства и является необязательной.

Настройка интернета

Настройка подключения к глобальной сети имеет свои варианты. Все зависит от типа подключения, которое использует провайдер. Рассмотрим это подробнее.

Этот тип настройки является самым простым. Достаточно просто создать нового DHCP-клиента. Для этого:

• Параметр «Use Peer DNS» означает, что будет использоваться DNS-сервер от провайдера.
• Параметр Use Peer NTP отвечает за использование синхронизации времени с провайдером.
• Значение «yes» в параметре «Add Default Route» обозначает, что данный маршрут будет добавлен в таблицу маршрутизации и имеет приоритет перед остальными.

Подключение со статическим IP

В этом случае у провайдера нужно предварительно получить все необходимые параметры подключения. Затем потребуется сделать следующее:

На этом настройка закончена.

Если провайдер использует РРРоЕ или L2TP-соединение, настройки производятся в разделе «РРР» Winbox. Перейдя в этот раздел, необходимо выполнить следующие действия:

Настройка соединений L2TP и РРТР происходит по такому же сценарию. Единственным отличием является то, что на вкладке «Dial Out» там присутствует дополнительное поле «Connect To» , куда необходимо ввести адрес VPN-сервера.

Если провайдер использует привязку по МАС-адресу

В этой ситуации следует изменить МАС-адрес порта WAN на тот, который требуется провайдеру. В устройствах Микротик это можно сделать только из командной строки. Делается это так:

На этом настройка интернета закончена, но пользоваться им клиенты домашней сети не смогут, пока не будет настроена локальная сеть.

Настройка беспроводной сети

Настроить свою беспроводную сеть на роутере Mikrotik можно, перейдя в раздел «Wireless» . Подобно разделу Interfaces, здесь откроется список беспроводных интерфейсов, имеющих обозначение wlan (в зависимости от модели маршрутизатора, их может быть один или несколько).


Настройка происходит следующим образом:

Параметров, указанных на скриншоте, вполне достаточно для нормальной работы беспроводной сети.

Локальная сеть

После удаления заводской конфигурации LAN-порты и модуль Wi-Fi маршрутизатора остаются ненастроенными. Для того чтобы между ними начался обмен трафиком, нужно объединить их в мост. Последовательность производимых настроек такая:

На этом настройка локальной сети закончена.

В статье были затронуты лишь самые основные моменты настройки роутеров Микротик. Их возможности несоизмеримо больше. Но эти первые шаги могут стать той отправной точкой, с которой можно начать погружаться в удивительный мир компьютерных сетей.

Не можете попасть в настройки своего роутера Mikrotik и у Вас версия RouterOS 6.29-6.42?
Тогда, вероятнее всего, Ваше оборудование подверглось взлому!
Я бы разделил разновидность нанесённого вреда хакерами в данном случае на три категории:

1. Лёгкий вред: после проведенной атаки был изменён Identity, закрыты порты 8192, 80, 443, зато открыт порт 22, пароль администратора оставлены без изменений;
2. Средний вред: все перечисленные выше порты открыты, но пароль администратора изменён;
3. Тяжёлый вред: пароль администратора изменён, закрыты порты ssh, www, www-ssl Winbox. Доступ только через serial-port и MAC-Winbox.

Я столкнулся со всеми тремя проблемами. Взломаны были как обычные маршрутизаторы на платформе MIPS так и серьезные на PowerPC (ppc).

Легкий взлом

Последствия такой атаки быстро устраняются. Для этого подключаемся к оборудованию по ssh, и введя команду /ip service print, видим, что сервисы, просто-напросто, отключены (Disable).

Следующей командой выключаем сервис winbox.

/ip service enable winbox Остальные подключаются по аналогии или с помощью winbox’а. Убедитесь, что выполнение предыдущей команды прошло успешно. /ip service print

После этого можно подключаться к оборудованию через Winbox, поменять все пароли, выполнить резервное копирование конфигурации и обновить RouterOS.

Средний

Последствия среднего взлома без сторонней программы устранить нельзя. Если интерфейс webfig остается доступным, а пароль злоумышленник изменил, то для восстановления доступа понадобится загрузить программу RouterScan . Официальный сайт: http://stascorp.com/load/1-1-0-56
Скачиваем на компьютер, распаковываем и запускаем. Откроется окно программы. Найдите строку Enter IP Ranges to scan. Справа от этой фразы кликаем по кнопке [E]. Затем в открывшемся диалоговом окне стираем всё и вводим IP-адрес своего роутера. После этого нажимаем кнопку Start Scan.

После сканирования прога выведет связку «Login-Password»

После чего необходимо, как и в первом случае, подключаться к оборудованию, изменить пароли доступа к маршрутизатору, сохранить на компьютер резервную копию конфигурации и установить update.

Тяжелый

А вот тут придется попотеть!
Если первые два типа решаются легко, то для устранения третьей категории взлома понадобится прибегнуть к эксплуатации уязвимости.

Уязвимость, которая эксплуатируется для восстановления паролей описал в статье на своей страничке специалист по кибербезопасности Alireza Mosajja, с ником n0p. https://n0p.me/winbox-bug-dissection/. Он же является автором скрипта для чтения паролей с роутера бездеструктивным методом.

Итак, в RouterOS начиная с версии 6.29 и заканчивая 6.42 с помощью скрипта написанного на Python’е и размещенного в общем доступе на Github, возможно увидеть текущий пароль админа при условии, если порт для подключения с помощью Winbox открыт.

для RouterOS bugfix 6.40.8 и current 6.42.5 и данный метод не подходит

Для запуска понадобится Python с pwntools. Я воспользовался уже установленной версией Ubuntu 16.04 LTS, где скрипт заработал, что называется, «из коробки» — сразу, не потребовав до установить pwntools. Для более ранних дистрибутивов без pwntools воспользуйтесь инструкцией, приведенной в официальной документации к pwntools.
В примере скачиваем в домашнюю директорию пользователя:
owner@mikrotik:~$cd /home/owner/ owner@mikrotik:~$ wget -r https://github.com/BigNerd95/WinboxExploit/archive/master.zip после завершения скачивания у Вас появится вложенные папки github.com/BigNerd65/WinboxExploit/archive/master.zip . Далее распаковываем скаченный архив.
owner@mikrotik:~$ unzip /home/owner/github.com/BigNerd95/WinboxExploit/archive/master.zip
на выходе получится директория WinboxExploit, в которой содержится, интересующий нас скрипт WinboxExploit.py. Запускается всего с одним параметром — IP-адресом, либо MAC-адрес роутера. И если все пройдет успешно, вы увидите историю паролей, применявшихся на роутере, где последний текущий. Важно! Перед применением обязательно удостоверьтесь, что указываемый в параметре скрипта адрес принадлежит вашему собственному роутеру!

После того как вы вернули доступ к управлению роутером задайте новые пароли, выполните резервное копирование конфигурации, скачайте с сайта производителя обновленную прошивку.

Очень надеюсь, что данная статья поможет вам сохранить часы жизни и нервные клетки.

Прислали обзорный гайд по стартовой настройки оборудования Mikrotik (домашнего роутера). Большое им спасибо за этот качественный материал! Читаем!

Скачиваем Winbox

Для конфигурации и управления устройствами на базе RouterOS удобно пользоваться утилитой Winbox . Для скачивания идем на официальный сайт MikroTik в раздел download (http://www.mikrotik.com/download) и ближе к низу страницы в разделе useful tools and utilities выбираем winbox.

Сброс заводских настроек роутера

Т.к. мы настраиваем роутер вручную, заводские настройки не для нас.

Подключаемся патчкордом к роутеру, подаем на него питание, запускаем Winbox. Во вкладке Neighbors, спустя некоторое время, должен появиться наш роутер. Жмем на значение во вкладке MAC Address, оно должно появиться во вкладке Login, поле password оставляем пустым. Жмем login.

При первом запуске роутера выскакивает приветственное окно с описанием заводской конфигурации. В нем же нам предлагают сбросить настройки, нажав . Можем согласиться здесь. Роутер уйдет в перезагрузку.

Для самостоятельного сброса всех настроек необходимо пройти по вкладкам > и, отметив пункт no default configuration, также нажать . Как и в случае выше, роутер уйдет в перезагрузку.

Получаем роутер без каких-либо настроек или другими словами blank configuration .

Обновление прошивки

После сброса настроек желательно также обновить прошивку. Для этого, как и в первом пункте, на сайте MikroTik идем в раздел download (http://www.mikrotik.com/download). Для большинства устройств(перечень выделен) подходят прошивки из раздела MIPSBE. А для базовой настройки подходят прошивки из вкладки Main package (Current). Скачиваем.

Скачанный файл необходимо загрузить на роутер, перетащив в окно, открывшееся после нажатия на вкладку . Далее роутер необходимо перезагрузить нажатием на > . Прошивка обновится при перезагрузке, которая может длиться чуть дольше обычного.

(в моем случае скачана прошика SMIPS, т.к. я обновляю hap lite)

После прошивки обновим загрузчик. Идем в > . Здесь должны быть одинаковыми поля Current Firmware и Upgrade Firmware, если не совпадают, жмем upgrade.

Версию прошивки можно посмотреть в >

Приступаем к настройке. Объединяем порты в бридж

Для тех, кто не знал, порты – слоты на борту роутера, куда мы подключаем кабель провайдера, а также свои устройства. Одна из особенностей MikroTik – каждый порт может быть настроен по-своему. В отличие от других дешевых роутеров, где первый порт чаще всего неизменно выступает в роли принимающего интернет(WAN-port) от кабеля провайдера.
Идем во вкладку . Двойным нажатием выбираем интерфейс ether1.
Пусть, нашем случае, WAN-портом останется первый порт(переименуем в ether1-WAN).

Остальные мы объединим(сделаем bridge-LAN) в единую сеть, добавив в нее и Wi-Fi интерфейс. Главным портом(Master port) в нашей сети, допустим, будет четвертый порт(переименуем в ether4-Mater). Для этого выберем остальным портам 4-ый в качестве Master port. Делаем то же самое для оставшихся портов, кроме первого. При добавлении произойдет переподключение. Напротив настроенного порта появится буква S(slave) Мастер портом может быть выбран любой свободный порт.

Выбрав мастер порт, мы получили свитч из всех портов, кроме первого (у hap lite четыре порта).

Добавим в него Wi-Fi интерфейс. Идем в раздел , во вкладке создаем(синий плюсик) bridge-LAN. Кроме названия оставляем всё без изменения.

Далее во вкладке нажатием на тот же синий плюс добавляем wlan1 в наш bridge-LAN. Грубо говоря, бридж – логическое объединение нескольких интерфейсов в один. В нашем случае, свитча и беспроводного интерфейса.

Аналогично добавим в наш бридж ether4-Master. Снова произойдет отключение от роутера. Не пугаемся. В итоге увидим следующее.

Необходимые интерфейсы объединены в бридж. Устройства будут подключаться к единому логическому пространству, несмотря на разные физические среды подключения.

Задаем IP-адрес сети и MikroTik

Идем в > .Нажатием на синий плюс добавляем диапазон адресов, допустим 192.168.4.1/24 и присваиваем его нашему bridge-LAN. Поле Network заполнится автоматически. Теперь наш роутер доступен по адресу 192.168.4.1, а любое устройство при подключении к нему может выбрать себе адрес из диапазона 192.168.4.1/24. Пока статически и не по wi-fi. Это позже.

Подключаем MikroTik к интернету. Варианты подключения. DHCP Client

Вариантов подключения к интернету множество. В качестве примера остановимся на двух наиболее распространенных:

• Динамическое получение настроек от провайдера
• Прописывание заранее полученных параметров
• MikroTik и 4g модем

Динамический вариант настраивается следующим образом. В первый порт(ether1-WAN) подключаем кабель провайдера. Далее идем в > и в качестве интерфейса указываем ether1-WAN.

Если всё окей, то можем увидеть полученный нами IP-адрес в >

Роутер к интернету подключен.

Подключаем MikroTIk к интернету. Static Routes

Теперь рассмотрим вариант, когда параметры для подключения выданы нам провайдером и необходимо прописать их самостоятельно. Допустим, параметры следующие:

• IP: 192.168.1.4
• Маска 255.255.255.0
• Шлюз: 192.168.1.1
• DNS: 192.168.1.1

Прописываем IP-адрес. Идем в > . Добавляем новый адрес 192.168.1.4. В качестве интерфейса – ether1-WAN

Теперь в идем во вкладку > . В поле servers прописываем 192.168.1.1(наш dns). Не забываем поставить галочку Allow Remote Request(без нее выход в интернет будет возможен только по ip-адресам).

dns

Проверяем интернет на роутере.

Роутер подключен к интернету. Заметим, что подключенные к нему устройства выходить в интернет пока не могут.

Подключаем MikroTIk к интернету. MikroTik, 4g, Yota

Для подключения MikroTik к интернету с помощью 4g модема, роутер должен иметь на борту usb micro-USB порт. Но во втором случаем также придется прибрести и OTG-кабель.

В нашем случаем мы пользуемся usb-модемом от компании Yota, но в целом установка других модемов принципиально не отличается. Имеет значение модель модема.

После подключения модема идем в Winbox, выбираем вкладку , где видим новый интерфейс lte1. Выбираем его и запускаем нажатием на синюю галочку.

Запустив интерфейс, идем в > . Нажатием на синий плюс добавляем нового клиента, в качестве интерфейса которого выбираем lte1.

Проверяем интернет на роутере. Готово.

(MikroTik hAP и 4g модем от Yota)

Настройка DHCP-сервера

Чтобы подключенные к роутеру устройства могли автоматически получать все необходимые сетевые параметры для выхода в интернет, настроим dhcp-сервер. Идем во вкладку > , жмем .

Выбираем интерфейс, на котором будет работать DHCP сервер.

Жмем Next и выбираем пространство адресов dhcp-сервера

Снова Next. Теперь выбираем шлюз для подключаемых устройств – наш роутер.

Next. Выбираем диапазон адресов, которые будут выдаваться подключаемым устройствам.

Next. Выбираем dns-сервер для подключаемых устройств.

Next. Выбираем время, на которое будут выдаваться сетевые параметры клиентам роутера.

Финальное Next и наш dhcp-сервер готов.

Теперь подключенное к роутеру устройство получит все необходимые сетевые параметры автоматически. Осталось настроить NAT, чтобы оно могло выходить в интернет.

Настройка NAT

NAT – Network Address translation – механизм трансляции сетевых адресов. Грубо говоря, NAT – то, с помощью чего много устройств со своими адресами могут выходить в интернет, маскируясь под одним адресом роутера. Тема большая. Ниже кратко, чтобы подключенные к нашему роутеру устройства могли выходить в интернет.

Идем в > > вкладка . Добавляем новую запись. Где во вкладке General указываем всё как на фото. Идем во вкладку

Во вкладке в action указываем masquarade. Звучит:)

Соглашаемся с настройками, жмем .

Настройка Wi-Fi точки доступа

Настройка Wi-Fi – большая тема. Беспроводной интерфейс имеет множетсво настроек и возможностей. Мы обойдемся минимум, который необходим для работы простого Wi-Fi-роутера.

Далее выбираем вкладку . Параметры, которые необходимо изменить, снова отмечены на фото. Отдельно стоить отметить параметры Frequency – частота одного из двендцати каналов диапазона 2.4 МГц, на которой будет работать наша точка доступа. Поищите информацию, как и зачем выбрать наименее занятый канал. Пока можете выбрать всё, как на фото. Ну, кроме нормального имени сети само собой.

Всё. Наконец-то наш wi-fi роутер готов к работе. Выбираем интерфейс wlan1 и запускаем его нажатием на синюю галочку. Беспроводная сеть работает. Подключаемся и проверяем доступ в интернет.

Пароль администратора

Для входа в панель управления роутером мы используем учетную запись admin без пароля. На данный момент, войти в ПУ может любой клиент нашей сети, подключившись к ней. Это нехорошо. Зададим пароль для учетки admin. Идем в > . Двойным нажатием выбираем пользователя admin. В открывшемся окне жмем и задаем пароль.

Друзья! Вступайте в нашу

Есть задача: настроить устройство на базе RouterOS в качестве замены SOHO роутера для дома или небольшого офиса. Это HOWTO, потому технических подробностей будет минимум, Next-Next-Next-Ok и вы получаете готовое к работе устройство, так что приступаем.

Подготовка

Все описанное тестировалось на RouterBOARD RB 951G-2HnD, но может служить инструкцией по конфигурации любого устройства на базе RouterOS 6.25 и выше. Для конфигурации устройства вам потребуется фирменная утилита winbox (для windows), либо mactelnet-client (для linux), конечно у RouterOS есть telnet/http/ssh, но пока про них забываем.

Подключаем ПК к пятому порту Mikrotik(вообще можно использовать любой, кроме первого), переворачиваем устройство и видим на наклейке со штрих-кодом диапазон mac адресов, последний относится к пятому порту, вводим его в окно подключения winbox, либо используем как аргумент mactelnet. Пользователь admin, пароль отсутсвует.

Добавление пользователя

Первым делом создаем нового пользователя и удаляем admin"а, да об этом все забывают.

Переходим: ➙➙[+] .
Name: логин ;
Group: full(полный доступ);
Password: пароль ;
Confirm Password: пароль еще раз .
Подтверждаем нажатием на .
В таблице с пользователями выделяем admin и нажимаем .

Консольная версия

Отключаемся и заходим на устройство под новым пользователем.

Настройка провайдера

Провайдер будет подключаться в первый порт RouterBOARD, остальные четыре и беспроводной интерфейс отданы под домашнюю подсеть 192.168.10.0/24, адрес роутера в домашней подсети: 192.168.10.1, клиентам сети будут раздаваться адреса из диапазона 192.168.10.100-192.168.10.200.

Способы соединения с провайдером бывают различные, и если на физическом уровне у нас Ethernet (даже если он идет от xDLS-модема), то в качестве сетевых протоколов может быть IPoE (Static или DHCP), PPPoE, L2TP, PPTP или их комбинации (вообще PPTP, L2TP без настроенного IP работать не смогут), в добавок ко всему может быть привязка по mac адресу. Постараюсь рассмотреть наиболее частые случаи.

Но для начала переименовываем интерфейс ether1 в eth1-wan, для удобства: ➙➙➙ .

Консольный вариант

Подключаем кабель провайдера в первый порт устройства.

Подмена mac-адреса

Не скажу, что все провайдеры используют привязку по mac, но встречаются такие довольно часто, особенно если используется IPoE для привязки IP и защиты от халявщиков.

Подмену можно совершить только через командный режим, так что нажимаем и вводим:
/interface ethernet set eth1-wan mac-address=00 :11 :22 :33 :44 :55

где 00:11:22:33:44:55 — mac зарезервированный у провайдера.

Автоматическое получение настроек средствами DHCP.

Наиболее простой вараиант: ➙➙[+]➙➙ .

Консольный вариант

Статическая настройка IP

Тоже простой вариант, но потребуется уточнить у провайдера следующие параметры (значение указаны в качестве примера):
IP (ip адрес): 192.0.2.10;
mask (маска): 255.255.255.0(или /24);
gateway (шлюз): 192.0.2.1;
DNS1: 192.0.2.2;
DNS2: 192.0.2.3.
Добавляем IP на интерфейс: ➙➙[+]➙➙ ;
Добавляем default route: ➙➙[+]➙➙ ;
Добавляем DNS: ➙➙➙ .

Консольный вариант

Настройка PPPoE

PPPoE — туннельный протокол для которого не требуется предварительная настройка IP. Конечно, у провайдера может быть пиринг с другими сетями или доступ в свою сеть без ограничения по скорости, которые работают вне PPPoE интерфейса и требуют добавления отдельного маршрута (DualAccess или Russian PPPoE в SOHO роутерах), но подобная конфигурация выходит за рамки HOWTO для начинающих.

Для конфигурации PPPoE потребуется узнать логин и пароль для подключения к сети (обычно выдаются при заключении договора).

Добавляем туннельный интерфейс: ➙[+]➙ .

На вкладке указываем имя интерфейса Name=tap1-wan и интерфейс провайдера Interface=eth1-wan .

На вкладке указываем логин и пароль для подключения, остальные опции по скриншотам.

Консольный вариант

Важно: Если вы используете PPPoE, то в дальнейшем используйте вместо eth1-wan интерфейс tap1-wan.

Настройка L2TP/PPTP

Вот мы и подошли к самому богатому на подводные камни способу подключения. Оба протокола настраиваются схожим образом, но требуют предварительной настройки IP (средствами DHCP, либо статически). Проблема mikrotik в том, что задав адрес сервера доменным именем, он распознает его в адрес один раз и будет использовать только данный адрес, если адрес поменяется (либо провайдер использует RoundRobin DNS и сервер будет перегружен), то велика вероятность остаться без интернета. Со стороны провайдера тоже могут быть забавные вещи, например DNS сервера доступные только из локальной сети, либо необходимость заранее прописать статический маршрут до сервера PPTP/L2TP, если вам посчастливилось стать клиентом желто-полосатого провайдера, можете смело скачивать и изучать соответствующую инструкцию . Вариант с DualAccess L2TP/PPTP тоже возможен.

Добавляем интерфейс PPTP/L2TP: ➙[+]➙ .
На вкладке указываем имя подключения: Name=tun1-wan .
На вкладке указываем сервер PPTP или L2TP, логин и пароль.

Консольный вариант

Важно: Если вы используете L2TP/PPTP, то в дальнейшем используйте вместо eth1-wan интерфейс tun1-wan.

А как-же Yota?

А просто. Если вам попался USB модем, то скорее всего он будет определяться как ethernet интерфейс в ➙ и достаточно забирать с него IP средствами DHCP. Но для первичной активации модем придется подключить к ПК. Не знаю со всеми моделями модемов так или мне попался неудачный, но без предварительной активации на ПК работать он отказывался.

Другие 3G/4G модемы

Если модем не определяется как сетевая карта, но Mikrotik его видит в ➙➙ , то потребуется создать PPP подключение для интерфейса usb1, в некоторых ситуациях устройство необходимо прежде перевести в режим модема AT командой(ищите на соответствующих форумах). В любом случае вариантов великое множество, один из них описан .

Подготовка интерфейсов для локальной сети

На данный момент интерфейсы ether2-ether5 и wlan1 работают независимо друг от друга, их необходимо объединить в единую среду передачи данных.

Ethernet интерфейсы можно объединить на аппаратном уровне, что повысит скорость передачи данных и снизит нагрузку на CPU (по сравнению с программным мостом). В качестве master port будет использоваться ether5, можно назначить любой, но если появится еще один провайдер, то логично будет подключить его во второй порт (и отключить на нем master port).

Переименовываем ether5 в eth5-lan: ➙➙➙ ;
Переименовываем ether2-ether4 и устанавливаем для них master port: ➙➙➙ .

Консольный вариант

Интересный момент. Средствами master port можно объединить интерфейсы принадлежащее одному чипсету, на старших моделях чипсетов может быть несколько (колонка switch), интерфейсы с разных чипсетов объединяются через программный Bridge, ну или пачкордом.

Теперь все локальные Ethernet интерфейсы объединены под именем eth5-lan.

Wireless интерфейс существует отдельно от Ethernet, для объединения потребуется прибегнуть к программному мосту (bridge).

Создаем интерфейс моста: ➙[+]➙➙ ;
Добавляем интерфейсы: ➙➙[+]➙➙
➙➙[+]➙➙

Консольный вариант

Теперь все локальные Ethernet и wlan интерфейсы объединены под именем br1-lan.

Безопасность беспроводной сети

Вещь муторная(точнее муторно ее описывать), но необходимая.

Добавляем профиль безопасности и указываем пароль для беспроводного подключения: ➙➙[+]

Name — название профиля;

WPA/WPA2 Pre-Shared Key — ключи для WPA/WPA2(пароль от wi-fi);

Остальное по скриншоту, в завершении .

Консольный вариант

Активируем и настраиваем беспроводной интерфейс: ➙➙ .

На вкладке :

Mode: ap bridge;

Band: 2gHz-B/G/N. Если ваши беспроводные девайсы выпущены несколько лет назад, то логичнее выбрать 2gHz-B/G. ;

Frequency: auto. В SOHO устройствах этот параметр называется Канал соответствие можно посмотреть по ссылке . Если не уверены что выбрать, оставляйте auto. ;

SSID: Название точки доступа;

Wireless Protocol: 802.11;

Securiity Profile: wpa2-protect. Профиль созданный на предыдущем шаге.;

Bridge Mode: enabled;

Default Authenticate: yes;

Default Forward: yes;

Hide SSID: no. Можно скрыть точку доступа. Но не стоит считать это панацеей. ;

Отключаем все.

Как закончили, нажимаем и пробуем подключиться (ip телефон не получит, но подключение должно установиться).

Консольный вариант

Настройка ip, dhcp-server

Добавляем ip на интерфейса br1-lan: ➙➙[+]➙➙

Консольный вариант

Создаем пул адресов для dhcp: ➙➙[+]➙ ➙

Консольный вариант

Включаем прослушку dhcp-запросов на интерфейсе br1-lan: ➙➙[+]➙➙

Теперь надо определиться какие параметры будут отдаваться по dhcp: ➙➙➙[+]

Address: 192.168.10.0/24;

Gateway: 192.168.10.1;

Netmask: 24;

DNS Servers: 192.168.10.1.

По окончанию .

На скриншоте в качестве NTP сервера указан адрес роутера, но в базовой поставке раздавать точное время Mikrotik не умеет, можно указать любой другой сервер из сети, либо добавить и настроить пакет ntp(описано в конце HOWTO).

Консольный вариант