Как настроить роутер mikrotik rb951g 2hnd

Вводные данные

Провайдером предоставляются услуги по PPoE;

Локальная сеть 192.168.0.0/24;

Скорее всего вам уже наскучили мануалы в интернете, взятые под копирку, да ещё и с не настроенным фаерволом или инстансы которых базирующиеся на default config. В нашей инструкции мы покажем простую, но правильную настройку роутера Mikrotik RB951G-2HnD , а также расширим функционал устройства, не прибегая к его вскрытию или аппаратных изменений.

Сегодня поговорим про базовою настройку MikroTik для доступа в интернет. Данная инструкция написана как говорится для чайников так как все будем делать с нуля. Все настройки проводим на одном из популярных маршрутизаторов линейки, модели RB951G-2HnD. Все что тут описано подойдет к любому устройству, работающему на операционной системе RouterOS (то есть почти на все устройства Микротик).

Если вы хотите углубить свои знания по работе с роутерами MikroTik, то наша команда рекомендует пройти курсы которые сделаны на основе MikroTik Certified Network Associate и расширены автором на основе опыта . Подробно читайте ниже.

Компания, в которой я работаю начала немного разрастаться и нам пришлось арендовать отдельное помещение, где всю сетевую инфраструктуру нужно было подымать и настраивать с нуля. После долгого планирования кабельщики провели сеть, питание и у нас сформировалось маленькое подобие серверной комнатки. Туда, недолго думая, был поставлен UPS и заведен первый провайдер интернета. Изначально был поставлен слабенький, перешедший из прежнего офиса, роутер от которого не хватало много нужного функционала. Нужно было выбирать что ставить на вход: сервер или роутер. С серверами я и до того много работал, а вот с так хваленым mikrotik не приходилось, вот я и решил заказать фирме роутер, в котором есть весь, нужный на данный момент, функционал – и мне хорошо (skills improvement) и фирма не против.
Был приобретён mikrotik RB951G-2HnD (Рис 1).

Рисунок 1 – Внешний вид роутера RB951G-2HnD

В данной статье разберем настройку PPPoE на MikroTik, этот протокол предоставляет обширное управление пользователями, сетями и учета. В настоящее время используется в основном провайдерами для контроля клиентских соединений по xDSL и кабельных модемов, а также в обычных Ethernet сетях. Является расширением стандартного PPP протокола. Разница между ними — это метод транспорта, PPPoE использует Ethernet вместо последовательного модемного подключения.

На Mikrotik поддерживается следующее:

Схема сети

Используем лабораторный стенд с Mikrotik CHR версии 6.46.2 на борту. Мы находимся наверху в главном роутере NetworkCore, который имеет доступ в интернет соответствующим правилом NAT для всех сетей. Вводные данные:

Настройка сервера PPPoE на Микротик

Нам необходимо создать адресное пространство (IP пул). Подключимся к NetworkCore и перейдем в IP – Pool.

Создадим новый. Задаем понятное название и диапазон адресов.

Сохраняем и переходим к следующему пункту.

Создание профиля

Переходим к созданию профиля. Открываем PPP – Profiles.

Переходим в Protocols.

Сохраняем и идем далее.

Создание пользователей

По аналогии создаем пользователя для офиса SPB.

Включение сервера

Для ограничения широковещательного трафика я не стал создавать bridge и добавлять в него порты, связанные с офисами. Так же я создал одну сеть, что не рекомендуется для production сети. Сервер настраивается в PPP – PPPoE Servers. Создадим первый, подключенный к московскому офису.

Есть возможность указать задержку ответа в параметре PAD0 Delay. Данный параметр будет полезен для сценариев с несколькими серверами. Его мы не изменяем.

Сохраняем и создаем еще один, но только указываем другое имя сервиса и порт ether3 в параметре interface.

Настройка клиента PPoE на Микротик

Необходимо настроить таким образом, чтобы был доступ в интернет. На московском роутере я покажу как это сделать. Для начала проверим что на нем нет никаких IP адресов и маршрутов.

Далее переходим в PPP – Interface и добавляем новый.

В создании интерфейса на вкладке General зададим:

Предлагаю воспользоваться утилитой PPPoE Scan – она позволяет без подключения и аутентификации просканировать эфир на наличие каких-либо серверов. Особенно полезная штука для поиска неисправностей доступности крупнейшего провайдера нашей страны. После нажатия кнопки Start утилита начинает сканирование. На скриншоте ниже, виден наш сервер с заданным именем сервиса и AC Name – он берется из Identity в меню System. При желании можно сменить.

Закрываем утилиту и переходим во вкладку Dial Out.

Add Default Route нужен для автоматического добавления маршрута 0.0.0.0/0 в нашу таблицу маршрутизации. Данная запись обеспечит выход в интернет. Обращаю внимание, что она устанавливается на клиентской стороне. Сохраняем и проверяем на вкладке Status.

Мы видим внизу статус – connected, что символизирует об успешном подключении. Исходя из скриншота выше можно сказать, что, последний раз соединение поднялось 05.02.2020 в 19:51, время жизни 44 секунды, получили адрес 172.16.25.20, Service Name — for-MSC, AC Name — NetworkCore. Попробуем проверить доступность интернета.

На самом деле, если бы мы не указали Service и AC Name, наше соединение все равно бы установилось и работало без проблем. Данные параметры стоит указывать если вы хотите подключиться к определенному Service и AC Name среди множества из доступных. И, соответственно, если он будет не доступен, ваш клиент будет подключаться именно к тем Service и AC Name, которые вы указали пока ему это не удастся. Будьте осторожны, пользуясь данными опциями.

Отправив ping запрос по доменному имени, мы убедились, что имя преобразуется – это означает что DNS сервер добавился без проблем и получаем ответы на запросы — работает интернет-соединение. Не ленимся и перепроверим в соответствующих консолях.

Проделаем аналогичные действия на Mikrotik в Питере и посмотрим, что происходит на главном роутере NetworkCore.

Как мы видим, на интерфейсах ether2 и ether3 появились дополнительные соединения. Далее мы можем из этих интерфейсов сделать статические адрес листы и в зависимости от ситуации, разрешать или запрещать определенный трафик. В данном примере я продемонстрировал как с помощью PPPoE на роутере Mikrotik разрешить доступ в интернет, вы же можете предоставлять с его помощью доступ к иным службам или сетям. Спасибо за внимание.

89 вопросов по настройке MikroTik

Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдете для себя полезную информацию в курсе «Настройка оборудования MikroTik». 162 видеоурока, большая лабораторная работа и 89 вопросов, на каждый из которых вы будете знать ответ. Подробности и доступ к началу курса бесплатно тут.

Настройка Интернет доступа

Рисунок 17 – Вид окна настроек DHCP client

И мы должны получить что-то типа этого (Рис 18).

Рисунок 18 – Вид окна полученных WAN настроек

Настройка IP стека

Рисунок 25 – Вид окна IP настроек роутера

Рисунок 26 – Вид окна настроек DHCP server

Выбираем наш локальный LAN bridge, вводим пул адресов, IP адрес шлюза (что есть наш адрес роутера), диапазон адресов для раздачи, список DNS серверов и время резервирования адресов за клиентами (Рис 27).

Рисунок 27 – Вид окон мастера настроек DHCP server

Теперь мы получим IP при подключении к роутеру.

Настройка коммутатора

Как известно, в терминологии Mikrotik, чтобы объединить интерфейсы в свитч, их нужно добавить в мост. В меню Bridge создадим мост для локальной сети.

Добавим в него интерфейсы ether2-5, wlan1 через синий плюс, ничего не меняя.

Далее навесим IP адрес локальной сети. I P – Address. В списке можно заметить полученный адрес от провайдера.

После применения, должен появится новый адрес в списке.

Настройка интернета в микротик

Пришло время подключить наш роутер к провайдеру и настроить интернет. Вариантов это сделать масса, я расскажу о двух самых популярных:

Вариант номер 2. Настройки от провайдера нужно ввести вручную, имеют они следующий вид:

Первое, указываем ip в том же разделе, как и при указании статического адреса. Только тут мы выбираем интерфейс ether5 – 192.168.1.104/24.

Конфигурирование провайдерского интернета закончено, давайте проверим все ли сделано правильно используя утилиту ping на ya.ru.

На этом настройка mikrotik не закончена, для того чтобы устройства из локальной сети могли выходить в интернет нужно еще сделать одну вещь.

Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдёте для себя полезную информацию в курсе «Настройка оборудования MikroTik». 162 видеоурока, большая лабораторная работа и 89 вопросов, на каждый из которых вы будете знать ответ. Подробности и доступ к началу курса бесплатно тут.

Настройка времени

Рисунок 30 – Вид окна настроек времени

Настройка сетевых интерфейсов

Рисунок 11 – Вид вкладки Interfaces

Далее один за одним кликаем на интерфейс дважды и называем как нам нужно. Первый интерфейс у меня будет называться WAN (Рис 12).

Рисунок 12 – Вид окна настроек первого интерфейса: WAN

Все остальные порты должны быть объединены в один сегмент локальной сети. Mikrotik RouteOS позволяет это делать двумя способами: Bridging и Master port. На официальном форуме mikrotik не раз задавался вопрос, что лучше выбрать, и ответ всегда был: это зависит о конфигурации, которая вам нужна. Ответ от представителя mikrotik:

Bridge is software switching, master port is hardware switching. Use master ports to switch multiple physical interfaces where you want full wire speed. Use bridges to connect those master ports together, possibly with wlan ports as well.
With hardware switching alone there is no way to place a wired Ethernet segment on the same broadcast domain as a wireless segment, or interconnect different switch chips. For that, you need to use software switching (bridge functionality).
In a WISP situation, I usually do not bother with master/slave ports because it is rare, given the limitations of wireless PtMP radio equipment, that you will ever be in a situation where you are switching gigabit traffic; in such situations, where you are usually switching <100Mbps, hardware switching introduces additional complexity of configuration while decreasing CPU load only minimally.
The difference is much greater when dealing with traffic nearing gigabit speeds; any switching at this rate that you can remove from the router CPU and offload to the switch CPU makes it worth setting up master/slave, even though it makes the configuration a little more complicated.

Ми идем по пути уменьшения нагрузки на CPU, и поэтому в нашей номинации побеждает Master/Slave конфигурация. Следующим у нас будет порт с названием eth0, который будет мастером для всех остальных (Рис 13).

Рисунок 13 – Вид окна настроек второго интерфейса: LAN Master

Все остальные интерфейсы переименуем и поставим для них как мастер порт eth0 (Рис 14).

Рисунок 14 – Вид окна настроек второго интерфейса: LAN Slave

Те же действия проделаем с остальными проводными интерфейсами. И на закуску переименуем беспроводной интерфейс (Рис 15).

Рисунок 15 – Вид окна настроек беспроводного интерфейса: LAN WiFi

Смотрим, что у нас получилось и также включаем WiFi (Рис 16).

Рисунок 16 – Вид окна списка интерфейсов

Обновляем пакеты

Рисунок  8 – Вид окна Packages

Рисунок  9 – Вид окна проверки на обновления

Роутер скачает все что нужно, перезагрузиться и мы должны увидеть что-то типа этого (Рис 10).

Рисунок  10 – Вид окна Packages  после обновления

Теперь мы на последней версии софта.

Расширенные настройки безопасности

Чтобы защитить роутер от нежелательной прослушки, отключим ненужные сервисы и трафик, который шлет девайс, пытая всех вокруг уведомить своим присутствием. Сперва отключим не нужные службы и немного кастомизируем их. Переходим в IP – Services. Видим список активных служб. Отключаем то, что не собираемся использовать.

И изменим дефолтные значения двойным кликом по каждому. Порты Winbox и SSH я изменил на не стандартные, а на веб-интерфейс разрешил ходить только с локальной сети – это первый контур безопасности для www.

Далее отключим аналог CDP на Mirkotik. Тот самый трафик, который выдаёт наш роутер. Скажем что можно слать его, только в интерфейс лист LAN созданный ранее.

Далее открываем MAC Server. Разрешаем подключаться по MAC Winbox и MAC Telnet только с листа LAN, а MAC Ping запрещаем вовсе.

Теперь мы спрятали роутер от чужих глаз. Но на этом не все. Нужно сделать дополнительный контур безопасности.

Настройка сетевых мостов

С интерфейсами закончили. Теперь переходим к настройке bridge. Это нужно для того, чтобы все интерфейсы были в одном сегменте сети. Нажимаем на меню Bridge, на вкладке Bridge нажимаем символ “+”, в появившимся окне на вкладке General вписываем имя моста (Рис 22). В нашем случаи – LAN, который буде объединять все беспроводные и проводные интерфейсы, т.е. наш Wifi и Master port eth0.

Рисунок 22 – Вид окна настроек сетевого моста LAN

Теперь добавляем к нашему бриджу сетевые интерфейсы. Первым пойдет Мастер порт проводных интерфейсов. Переходим в вкладку Ports, нажимаем на значок “+”. В Interface выбираем eth0 и в Bridge ставим LAN (Рис 23).

Рисунок 23 – Вид окна настроек проводных портов для LAN bridge

Тоже делаем с беспроводным интерфейсом (Рис 24).

Рисунок 24 – Вид окна настроек беспроводного порта для LAN bridge

Mikrotik наименования

Чтобы дать более точную информацию по модели – расшифруем её наименование (Рис 2).

Рисунок 2 – Пример наименования mikrotik роутера

Как видим, наименование нашего роутера состоит из четырех разделов. Распишем значения каждой группы.

Чтобы расшифровать наименования вашего устройства – можете использовать официальную документацию . Исходя из вышеизложенной информации — у нас WiFi роутер с 5-ю Гигабитными Ethernet портами и USB.

Настройка DHCP Server

К счастью, есть DHCP Setup, который запустит довольно удобный мастер настройки DHCP сервера.

Выбираем интерфейс, на котором будет работать служба.

Мастер автоматически определит необходимую подсеть. Он ориентируется на заданный адрес и маску подсети выбранного интерфейса. Если у вас более одного адреса, мастер может сработать не корректно.

Далее зададим шлюз для данной сети.

Указываем выдаваемый пул.

Какой DNS сервер раздавать. Можно указать несколько. Я предпочитаю указывать адрес шлюза.

Последний этап, время жизни аренды. Предпочитаю менять с 10 минут до 1 дня. В случае, если нужно узнать, когда подключалось устройство к сети, поможет данный счётчик в таблице выданных адресов.

В таблице серверов мы видим сервер с именем dhcp1 на интерфейсе General-Bridge, время аренды 1 день и имя пула dhcp_pool0. Вы можете изменить имена пула и сервера для удобства администрирования в IP – Pool и щелкнув 2 раза по имени инстанса.

Перейдя на вкладку аренды, мы увидим устройство, которое 30 секунд назад получило адрес.

Зарезервировать адрес можно нажав ПКМ – Make Static.

После активирования резервации, обязательно удаляйте Client ID щёлкнув на стрелочку в свойствах выбранного адреса. Иногда он может меняться, особенно на FreeBSD.

Первый запуск роутера

Чтобы сразу не положить офисную сеть, подключаем роутер на прямую к персональному компьютеру через сетевой кабель (Рис 3).

Рисунок 3 – Вид подключения роутера к ноутбуку

Рисунок 4 – Вид окна подключения к роутеру через WinBox

Первое, что мы увидим – это настройки роутера по умолчанию, что нам не интересно, так как мы хотим сами все настроить с нуля. Поэтому выбираем пункт – Удалить конфигурацию (Рис 5).

Рисунок 5 – Вид окна первого подключения к роутеру

Теперь роутер подумает над своим поведением, перезагрузиться и нужно будет опять к нему подключиться тем же способом (Рис 6).

Рисунок 6 – Вид окна подключения к роутеру через WinBox после удаления конфигурации

Если случайно нажали ОК вместо Reset Configuration, то можете сбить настройки роутера используя меню (Рис 7).

Рисунок 7 – Вид окна сброса настроек роутера mikrotik

Или же через кнопку RES, которую видно на рисунке 1:

ВАЖНО: Если не отпустите кнопку RES и дождетесь, когда индикатор ACT перестанет мигать, то устройство перейдет в режим Netinstall для переустановки операционной системы RouterOS.

Правильно прошьём до версии RouterOS 6

Вот тут мы и прибегнем к маленькой хитрости – увеличим мощность wifi адаптера. Ну точнее — снимем ограничения через Netinstall. Дело в том, что с завода выпускаемые устройства для России лочатся по мощности, ну чтобы без проблем их ввозить в страну и продавать. Блокировка подразумевает уменьшение мощности до 100мВт и частот 2400 — 2483,5 МГц. Мы это ограничение снимем и получим 1Ват плюс весь доступный диапазон чипа. Прошиваем через NetInstall, в итоге получаем все, за что заплатили.

После прошивки подключаемся. Видим, что никаких настроек нет – это то, что нам нужно или Blank Config. Обязательно сравниваем версию BIOS и загрузчика в System — RoterBOARD. В моем случае они различаются. Жмём Upgrade и System — Reboot.

Настройка NAT

Рисунок 28 – Вид окна настроек Firewall NAT

Переходим во вкладку Action, выбираем masquerade и жмем ОК (Рис 29).

Рисунок 29 – Вид окна настроек Firewall NAT Actions

Interface List

Замечательный функционал, который позволяет создавать именованные листы. Далее вы можете их использовать при настройке firewall или конфигурировании доступа к устройству. Есть дефолтные, но мы создадим свой собственный.

Далее добавляем интерфейсы в лист. В дальнейшем он нам пригодиться.

Настройка локальной сети

Первым делом давайте создадим локальную сеть для нашего офиса или дома. Особенностью микротик является то что все порты у него равны, то есть нет определенно выделенного порта под интернет, а другие под локалку. Мы можем сами выбирать как нам угодно, для этого есть механизм «Bridge».  Простым языком Бридж это – объединение физических портов в пул логических (грубо говоря в один широковещательный домен). Замечу что Wi-Fi является тоже интерфейсов и если мы хотим, чтоб в нем была та же LAN сеть что и в портах, его также нужно добавить в Bridge.

В моем примере я сделаю WAN порт пятым, а все остальные объединим в бридж, и они будет в роли свитча.

Все настройки в данном месте у микротика можно оставить по умолчанию, на ваше усмотрение поменяйте название на более понятное, например, «bridge_lan». Переходим на следующую вкладку «port» и добавляем через кнопку плюс все порты кроме ether5.

Первый этап конфигурирования интерфейсов на уровне портов закончен, теперь у нас в ether1,2,3,4 и wlan1 единый широковещательный домен, а ether5 для подключения к провайдеру.

Настройка WiFi доступа

Для WiFi доступа нам нужно подправить настройки интерфейса и профайл безопасности. Идем в Wireless вкладка Interfaces и там кликаем на wifi. В появившимся окне на вкладке Wireless выбираем Mode: ap bridge, Band: 2GHz-B/G/N, вписываем название SSID (в моем случаи OFFICE) и жмем ОК (Рис 19).

Рисунок 19 – Вид окна настроек Wifi Interface

Теперь нужно отредактировать профайл безопасности. Идем во вкладку Security Profiles кликаем на default, во вкладке General выставляем

И нажимаем ОК (Рис 20).

Рисунок 20 – Вид окна настроек WiFi Security Profiles

Теперь у нас есть рабочий WiFi который можно уже использовать (Рис 21).

Рисунок 21 – Вид окна настроек WiFi Interfaces после редактирования

Настройка NAT на Микротике

Жмем ОК и на компьютерах в сети должен появится интернет. То есть они получат все необходимые настройки от микротока по DHCP, отработает NAT, DNS и запрос уйдет на шлюз по умолчанию. Но как же Wi-Fi?, его по-прежнему нет, сейчас мы это исправим.

Базовая настройка Firewall

Ранее мы оптимизировали отправку служебного трафика и порты для служб, но этого недостаточно для базовой защиты девайса. Мы не будем погружаться в тонкости фильтрации, просто покажу самый обычный фаерволл.

Вся настройка у rb951g 2hnd находится в Filter Rules. Порядок следования правил имеет значение, чем меньше цифра, тем выше приоритет. Рекомендуется более узкие правила ставить выше общих. Данная конфигурация разрешает новые входящие соединения для изменённых портов SSH, Winbox, DNS и HTTP трафик из локальной сети (второй контур безопасности), устоявшиеся и связанные соединения, ну и в конце, мы убиваем весь входящий трафик. Т.е. если входящий трафик не соответствует ни одному из правил, то убить пакет.

Правило для пересылки очень простое – форвардим весь трафик через FastTrack. Это полезная фича, которая позволяет пересылать пакеты не по всей цепочке Packetflow Diagram, что в совокупности ускоряет обмен данными и разгружает девайс. В Mangle появятся соответствующие правила маркировки.

Вышеописанную логику можно применить следующими командами:

/ip firewall filter

add action=accept chain=input comment=IN-SSH-Allow connection-state=new dst-port=5222 protocol=tcp

add action=accept chain=input comment=IN-Winbox-Allow connection-state=new dst-port=58291 protocol=tcp

add action=accept chain=input comment=IN-DNS-from-LAN-Allow dst-port=53 protocol=udp src-address=192.168.0.0/24

add action=accept chain=input comment=IN-Web-from-LAN-Allow connection-state=new dst-port=80 protocol=tcp src-address=192.168.0.0/24

add action=accept chain=input comment=IN-EST-REL-Allow connection-state=established,related

add action=drop chain=input comment=IN-ALL-Drop

add action=fasttrack-connection chain=forward comment=Enable-Fasttrack src-address=192.168.0.0/24

Распаковка и сброс настроек

И так, к нам в руки попал один из роутеров, первым делом нам нужно установить на компьютер утилиту для настройки – mikrotik winbox. Через нее конфигурируются все роутеры данной фирмы, только коммутаторы используют для этих целей web-интерфейс (и то не все).

После входа выводится окно «RouterOS Default Configuration» со стандартными настройками от производителя. Их стоит оставить только в том случае если вы дальше ничего настраивать не будете. Так как для новичка разобраться в них будет сложно, поэтому сбрасываем MikroTik нажав на кнопку «Remove Configuration».

Заметка! Полностью сбросить настройки также можно нажав и удерживая сзади устройства кнопку Reset или набрать в терминале system reset. Почитать об это можно тут. Теперь примерно через минуту он перезагрузится, и мы снова подключаемся к нему.

DNS

Чтобы внутренние устройства могли разрешать имена в адреса, необходимо сконфигурировать IP – DNS:

Через кнопку Static можно задать статические записи, которые никогда не будут удаляться, даже после ребута. Посмотреть кэш можно в DNS Cache, очистить его Flush Cache – удалятся все не статические записи.

Смена пароля по умолчанию

На этом этапе моя базовая настройка роутера закончилась.

Обзор RB951G-2HnD

В студии сегодня легендарный Mikrotik RB951G-2HnD. Данная модель, является усовершенствованной RB951Ui-2Hnd. Это, по сути, один и тот же девайс, только с одним отличаем, вместо чипа коммутации Atheros8227 установлен Atheros8337. Помимо канальной скорости в 1Gb/s, мы ещё получаем дополнительные фишки на аппаратном уровне, а именно:

Годами проверенный процессор Atheros AR9344 частотой в 600 Mhz и ОЗУ 128MB DDR2.

Давайте взглянем на блог диаграмму:

Имеем 5 гигабитных портов, MIMO 2×2, ОЗУ, флешку, USB порт, индикатор, сигнализатор и в середине схемы ЦП. Скорость между свитч чипом и ЦП – 1Gb/s – имейте в виду, когда надумаете роутить трафик между портами или если захотите создать AP в связке с беспроводной карточкой и ethernet портом. В этом случае у вас все будет работать на скорости ЦП. Достаточно мощный роутер для Home office. Перейдём к настройке.

Настройка DHCP сервера и шлюза по умолчанию для LAN

В поле адрес вводим ту подсеть, которая вам нужна и выбираем интерфейс bridge1, после этого наш MikroTik будет доступен по этому адресу чрез объединённые порты и через wifi (который мы еще настроим).

После указываем адрес шлюза, который будут получат все подключенные устройства, так как это mikrotik оставляем значение по умолчанию.

В следующем окне перед нами встает выбор, раздавать ли весь диапазон адресов или его часть. По правильному лучше исключить первые 10 так как в будущем может появиться еще один роутер или коммутаторы которым желательно задать ip статикой. Но сейчас нам не принципиально, и мы оставляем как есть.

Наконец последним этапом указываем DNS. Если в вашей сети есть выделенный DNS сервер, то пишем его ip, если нет и вы настраиваете, например, для дома пишем ip самого роутера (в большинстве случаем так оно и будет).

Жмем далее, следующие значение не меняем. Все настройка DHCP сервера и шлюза по умолчанию на микротике закончена, переходим к следующему разделу.

Настройка доступа в интернет WAN

Теперь, наглядно понятно, кто куда относится. Создадим PPoE для выхода в интернет. Нажимаем на синий плюс, выбираем PPoE Client.

На основной вкладке задаём имя и интерфейс, с которого будет подключение.

На вкладке статус видим полученный адрес — Local Address, количество разрывов — Link Downs, время жизни подключения – Uptime, а также Active Service Name и Active AC Name – это те параметры, которые можно жёстко указать в Dial Out, тогда девайс будет подключаться только к этому серверу.

Проверим корректность маршрутов IP – Routes. Маршрут выхода в интернет получил именно ту метрику, какую задали в свойствах клиентского подключения.

Почему у одной метрики значение 1, а у другой 2? Дело в том, что локально заданные адреса, будут всегда иметь наивысший приоритет 0 над другими.

Заветная кнопка, которая выпускает пользователей в интернет IP – Firewall – NAT. Создаём правило маскардинга:

Action – masquerade.

А теперь прочтём правило: если есть пакеты, исходящие с сети 192.168.0.0/24 в неизвестном направлении, то отправляем их через интерфейс ISP-WAN подменяя адрес, который имеется на внешнем интерфейсе.

Если у вас статический адрес от провайдера, то вы можете оптимизировать нагрузку использовав вместо masquerade – src-nat указав внешний IP, в моем случае это 10.200.143.124.

Отличие masquerade от src-nat не только в этом. Когда Mikrotik пропускает новое соединение через себя, он проверяет, какой адрес задан на Out Interface, берет самый младший, подставляет его и отправляет наружу. И так с каждым новым соединением. Помимо этого, если у вас дёрнется WAN интерфейс и стоит masquerade, то все соединения с Connection Tracker удалятся, т.е. все сессии будут закрыты, и пользователь сразу это заметит. В случае src-nat вы можете регулировать какой адрес подставлять, если их несколько, и не разрывает соединения в случае кратковременного падения WAN.

Если вы в процессе траблшутинга не хотите в дампе видеть не понятный трафик, то рекомендую отключать всяческие хелперы. По опыту работы замечались проблемы с голосом, проходящим через NAT.

Резервная копия конфигурации и устройства

Делаем правильный бэкап. Мы можем сделать 2 вида бэкапа. Первый – экспорт конфигурации, второй – полный слепок устройства. Разница между первым и втором – экспорт можно загрузить в любой девайс, второй – только на этот же самый роутер.

Сделаем выгрузку через консоль с помощью команды export file=BK-Export

В файлах появится выгрузка с типом script. Его можно открыть текстовым редактором.

Здесь же, по кнопке Backup можно создать полный слепок, обязательно задаем пароль.

Оба файла копируем на ПК или внешний диск и удаляем с устройства. Хранить бэкапы на устройстве – плохая идея! Да статья конечно получилась длинна но в ней мы затронули все аспекты по настройке mikrotik rb951g 2hnd, привели его характеристики, прошивку и все что нужно знать когда вы берете его в руки.

Немного общей информации

MikroTik это – маршрутизаторы, коммутаторы, точки доступа и много другое оборудование которое выпускает Латвийская фирма. Больше всего она получила свою известность именно за недорогие и функциональные сетевые устройства.

Действительно, когда я первый раз начал его настраивать, первое что я сказал: «Ого и это все можно сделать на железки за 1500 рублей». Масштаб возможностей роутеров действительно поражает это и мультикаст, MPLS, огромное количество технологий VPN. Да он один может справится с работой небальной компании и филиалов, подключённых по pptp например.

Конечно есть и один минус, для неопытных пользователей настроить микротик с первого раза будет сложно. Для этого я и пишу данную статью.

Настройка wifi точки доступа на MikroTik

По правде сказать, Wi-Fi это очень объёмная тема, которую можно расписать на пару статей. Здесь же я покажу как быстро настроить wifi на микротике для домашних нужд или не большого офиса. Если же вам нужно разобрать во всем детальнее (ccq, ширина канала и т.д) то мы позже напишем статью и на эту тему.

По умолчанию wlan интерфейс выключен, поэтому идем и включаем его в разделе Wireless.

Далее надо настроить Security Profile – это место где мы задаем параметры безопасности для точки доступа.

Здесь закончили, сохраняем все и переходим в разделе Wireless на вкладку interfaces, двойным щелчкам открываем wlan1. Дальше указываем все так как у меня.

Здесь стоит обратить внимание на следующие параметры:

Такие значение как «Frequency» делайте как на скриншоте, это например частота канала. Ее по-хорошему нужно выбирать после анализа частотного спектра, но, если вы не знаете, что это ставьте любое значение, работать будет.  На этом настройка роутера микротик с нуля закончена, можно пользоваться.

Шелкам правой кнопкой мышки на имя и выбираем поле «Password». В открывшемся окне собственно вводим и подтверждаем его. Всем пока надеюсь, что статья была полезной, оставляете свои вопросы в комментариях и вступайте в нашу группу Телеграмм (откроется новая страница в браузере – нажмите на кнопку открыть в Telegram).

Девайс имеет одну физическую карточку и будет выступать в качестве точки доступа. Ранее мы добавили wlan1 в основной бридж. С чего начинается настройка wifi? Правильно, с Security Profiles, открываем и создаём новый.

Не используйте default профили, лучше создайте новый

После сохранения, открываем свойства адаптера и включаем Advanced Mode.

В принципе, предпоследний пункт выбирать не нужно. Его выбирают если хотят юзать не стандартные частоты для страны. Самая последняя галочка должна быть установлена. Если она отсутствует, то ни одно устройство не сможет подключиться к сети, если его нет в Access List.

Пару слов о WPS Mode. Режим Push button сработает если на девайсе есть физическая кнопка, если ее нет, то выбираем virtual push button only. Так же можно отключить функционал.

Проверим, все ли антенны включены, применим настройки и включим адаптер.