Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

Данная инструкция предназначена для самостоятельной настройки роутера MikroTik. В качестве примера будет использоваться роутер MikroTik hAP ac lite(RB952Ui-5ac2nD), который будет настроен для работы интернета и использования локальных сетей Ethernet и WiFi(включая Apple Iphone).

Инструкция состоит из двух больших примеров: “Быстрая настройка” и ‘Ручная настройка“, задача которых состоит в демонстрации двух методов настроек: с помощью внутреннего мастера настроек Quick Set и распределённая настройка посредством Winbox или Webfig.

Содержание
  1. Быстрая настройка
  2. Ручная настройка
  3. Нужна настройка MikroTik в базовой конфигурации?
  4. Пример №1. Быстрая настройка MikroTik
  5. Сброс через кнопку RESET
  6. Подключение роутера MikroTik по кабелю
  7. Подключение роутера MikroTik по WiFi
  8. Вход в настройки роутера MikroTik
  9. Настройка MikroTik с помощью Quick Set
  10. Обновление прошивки
  11. Настройка MikroTik WiFi
  12. Настройка интернета, автоматические настройки
  13. Настройка интернета, статический IP адрес
  14. Настройка интернета, PPPoE
  15. Настройка локальной сети
  16. Подключение роутера MikroTik к компьютеру
  17. Вход в настройки MikroTik RouterOS
  18. Сброс роутера MikroTik
  19. Reset через Winbox
  20. Ошибки при подключении к Winbox
  21. Установить пароль на роутер MikroTik
  22. Обновление прошивки в MikroTik RouterOS
  23. Редакции прошивок MikroTik
  24. Настройка локальной сети MikroTik LAN
  25. Настройка MikroTik Bridge
  26. Добавление портов MikroTik в Bridge
  27. Назначение локального IP адреса
  28. Настройка DCHP сервера в MikroTik
  29. Определение диапазона назначаемых IP адресов
  30. Задание сетевых настроек для клиента
  31. Общие настройки MikroTik DCHP сервера
  32. Настройка MikroTik DNS
  33. DNS сервера Google
  34. Настройка Интернета на роутере MikroTik
  35. Настройка DHCP client в MikroTik
  36. Настройка статического IP в MikroTik
  37. Установка IP адреса на выбранный интерфейс
  38. Добавление статического маршрута(шлюз по умолчанию)
  39. Настройка PPPoE в MikroTik
  40. Настройка MikroTik NAT
  41. Настройка WiFi на роутере MikroTik
  42. Настройка пароля для WiFi в MikroTik
  43. Настройка WiFi на частоте 2,4ГГц
  44. Настройка WiFi на частоте 5ГГц
  45. Проброс портов(port forwarding) в роутере MikroTik
  46. Настройка Mikrotik FireWall
  47. Разрешение для уже установленных соединений
  48. Доверительные правила для локальной сети
  49. Разрешить ICMP запросы с WAN интерфейсов
  50. Удалить все входящие пакеты с WAN интерфейсов
  51. Удалить все пакеты в состоянии invalid
  52. Сброс MikroTik до заводских настроек, hard reset
  53. Reset через кнопку RESET
  54. Базовая настройка защиты роутера MikroTik
  55. Обновление прошивки до актуальной версии
  56. Создание новой учётной записи администратора
  57. Добавление Address List
  58. Пример базовых правил MikroTik Firewall(Default Rules)
  59. Деактивация неиспользуемых служб
  60. Ограничение по автообнаружению(Discovery) Neighbors
  61. Отключение функций MAC Server
  62. MAC Telnet Server
  63. MAC WinBox Server
  64. MAC Ping Server
  65. Нужна настройка MikroTik Firewall?
  66. Разрешение установленных и связанных подключений для входящего и проходящего трафика
  67. Удалить все остальные пакеты
  68. Правила настройки Firewall в роутере MikroTik
  69. Как защитить MikroTik от DDOS атаки
  70. Разрешены(Accept)
  71. Запрещены(Drop)
  72. Нет подключения к MikroTik, роутер не отвечает
  73. Что такое Quick Set?
  74. Безопасность
  75. Защита от DDoS
  76. RFC 1918
  77. UPnP
  78. SIP Conntrack
  79. IPv6 туннели
  80. Динамические и вложенные списки интерфейсов
  81. Bridge & ARP
  82. Прочее
  83. Небольшое предисловие
  84. В чем проблема стандартных (QuickSet) правил Filter?
  85. Задача
  86. Условия
  87. Что потребуется?
  88. Как реализовать и куда тыкать?
  89. Firewall RAW, великий и ужасный

Быстрая настройка

  • Подключение по кабелю
  • Подключение по WiFi
  • Вход в настройки
  • Quick Set настройка
    Настройка интернета, автоматические настройкиНастройка интернета, статический IPНастройка интернета, PPPoE
  • Настройка интернета, автоматические настройки
  • Настройка интернета, статический IP
  • Настройка интернета, PPPoE

Ручная настройка

  • Подключение к ПК
  • Вход в настройки
  • Сброс на заводские настройки
  • Задать вопрос по настройке MikroTik

Нужна настройка MikroTik в базовой конфигурации?

Настройка служб на роутерах MikroTik: подключение интернета, DHCP, brige, VLAN, WiFi, Capsman, VPN, IpSec, PPTP, L2TP, Mangle, NAT, проброс портов, маршрутизация(routing), удаленное подключение и объединение офисов.

Пример №1. Быстрая настройка MikroTik

Данный пример настройки роутера MikroTik самый простой и не требует детального изучения принципов работы MikroTik. Его можно применять с использованием ПК или ноутбука, а также мобильного телефона.

Исходные настройки роутера MikroTik должны соответствовать заводским, если по какой причине это не так, следует их сбросить через кнопку Reset.

при использовании кнопки RESET оборудование MikroTik может принимать 3 разных состояния. Переход между состоянии зависит от времени нажатия кнопки RESET. Внимательно изучите последовательность сброса для перехода к заводским настройкам.

Сброс через кнопку RESET

На задней панели расположена кнопка RESET

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

Необходимо последовательно совершить действия:

  • Отключить питание роутера;
  • Нажать и держать кнопку Reset;
  • Включить питание роутера(Reset нажат);
  • Как только замигал индикатор. отпустить Reset.

Подключение роутера MikroTik по кабелю

  • Включить роутер MikroTik в электросеть;
  • На порт ether1 – подключить интернет провайдера(WAN);
  • На любой порт из ether2-ether5 подключить компьютер. Эти порты считаются локальными (LAN).

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

Подключение роутера MikroTik по WiFi

Подключение к роутеру MikroTik через WiFi может стать актуальным, если у ноутбука нет Ethernet порта или настройка роутера производится через смартфон. В списке доступных WiFi подключений должен отображаться роутер MikroTik, по аналогии как на примере ниже.

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

Вход в настройки роутера MikroTik

Для входа в настройки MikroTik можно воспользоваться любым web браузером.

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

  • Отрыть web браузер;
  • В адресной строке ввести IP адрес 192.168.88.1 и нажать переход(Enter);

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

Настройка MikroTik с помощью Quick Set

Quick Set это мастер быстрых настроек, который содержит оптимизированные шаблоны уже готовых конфигураций, достаточно только их заполнить пользовательскими данными. В рамках данной настройки будет выбран шаблон Home AP Dual.

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

Обновление прошивки

  • Нажать кнопку Check For Updates;
  • Установить Channel = long term;
  • Нажать кнопку Download&Install.

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

Роутер MikroTik будет перезагружен и после будет доступен по прежнему адресу “192.168.88.1“.

Настройка MikroTik WiFi

  • Заполнить Network Name для 2GHz и 5GHz;
  • Frequency = auto;
  • Band 2GHz = 2GHz-B-G-N, Band 5GHz = 5GHz-A-N-AC
  • Country = no_country_set
  • Заполнить WiFi Password.

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

Настройка интернета, автоматические настройки

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

Настройка интернета, статический IP адрес

  • Выбрать Address Acquusition = Static;
  • Заполнить параметрами выданные провайдером: IP Address, Netmask, Gateway, DNS Servers.

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

Настройка интернета, PPPoE

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

Настройка локальной сети

  • Заполнить IP Address;
  • Netmask 255.255.255.0 (/24);
  • Включить DHCP Server;
  • Заполнить DHCP Server Range;
  • Включить NAT.

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

Подключение роутера MikroTik к компьютеру

Предварительно стоит отметить, что у роутера MikroTik в качестве порта WAN может выступать любой порт. Однако в заводской прошивке, в качестве WAN порта выступает ether1, на котором активен dhcp client. Эту особенность заводской прошивки стоит учитывать при подключении к роутеру MikroTik, т.к. конфигурация определена так, что все входящие подключения на ether1 будут недоступны.

  • Включить роутер MikroTik в электро сеть;
  • На порт ether1 – подключить интернет провайдера(WAN);
  • На любой порт из ether2-ether5 подключить компьютер. Эти порты считаются локальными (LAN).

Вход в настройки MikroTik RouterOS

Для настройки роутера MikroTik лучше всего воспользоваться утилитой , которая специально разработана для управления оборудованием MikroTik.

обнаружит устройство независимо от назначенного ему адреса. Чаще всего это 192.168.88.1, но и встречаются варианты когда ip адрес = «0.0.0.0». В этом случае подключение происходит по MAC адресу устройства. Кроме этого Winbox отображается все найденные устройства MikroTik в сети, а также дополнительную информацию(версия прошивки, UpTime):

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

  • Запустить утилиту для настройки MikroTik;
  • Среди списка устройств выбрать нужный роутер MikroTik и нажать кнопку Connect;

Учётная запись(пароль) по умолчанию:

Сброс роутера MikroTik

Т.к. ручная настройка предполагает полную настройку роутера MikroTik с нуля, при первом подключении необходимо полностью удалить заводскую настройку.

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

Если по какой-то причине роутер MikroTik не вывел форму сброса, это можно сделать в ручном режиме.

Reset через Winbox

  • Установить переключатели No Default Configuration и Do Not Backup;
  • Нажать кнопку Reset Configuration.

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

/system -configuration -=yes -=yes

Сброс роутера MikroTik будет сопровождаться перезагрузкой устройства, после которой можно повторно подключиться к роутеру через MAC адрес.

Ошибки при подключении к Winbox

router does not support secure connection, please enable legacy mode if you want to connect anyway

Решение: необходимо активировать режим Legacy Mode.

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

Решение-2: Обновить версию Winbox.

ERROR: could not connect to MikroTik-Ip-Address

Решение: Проблема связана с доступом, частые причины:

  • Подключение закрыто через Firewall;
  • Изменён порт управления через Winbox с 8291 на другой;
  • Подключение происходит через WAN порт, интернет провайдер которого блокирует подобные соединения;

Установить пароль на роутер MikroTik

Первым важным делом настройки нового роутера MikroTik это обновление пароля администратора. Случаи бывали разные, это пункт просто нужно выполнить.

  • Нажать + и добавить новую учётную запись администратора;
  • Заполнить параметры: Name, Group, Password;

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

добавление нового пользователя с полными правами:

деактивация старого пользователя:

Рекомендация: Для повышения уровня безопасности роутера MikroTik следует:

Обновление прошивки в MikroTik RouterOS

Одной из важной задачей при вводе в эксплуатацию нового устройства MikroTik: маршрутизатора(роутера), коммутатора(свитча) или точки доступа WiFi это обновление прошивки. Чаще всего это имело рекомендованный характер, но недавний инцидент с “back door” в категории long-term указал на то, что актуальность прошивки в устройствах MikroTik имеет критический характер.

  • Нажать кнопку Check For Updates;
  • Выбрать Channel = long term;
  • Загрузить и установить прошивку на MikroTik кнопкой Download&Install.

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

Действия в кнопке Download&Install произведут закачку выбранной редакции прошивки и автоматическую перезагрузку роутера MikroTik. Установка будет произведена в момент загрузки. Не выключайте роутер MikroTik до полной перезагрузки и обеспечьте стабильное питание электросети при обновлении прошивки.

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

Редакции прошивок MikroTik

  • long term(bug fix only) – самая стабильная версия. Рекомендовано для производственных сред!
  • stable(current) – long term плюс поддержка новых функций. Новые технологии это всегда хорошо.

Другие редакции не рекомендуется устанавливать в рабочие устройства MikroTik, т.к. это может привести к нежелательным последствиям.

Важным дополнением в обновлении прошивки является обновление Current Firmware – это аппаратная прошивка, аналог BIOS в компьютере.

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

Настройка локальной сети MikroTik LAN

В основе работы локальной сети (LAN) на роутере MikroTik находится Bridge – программное объединение портов в свитч. В состав Bridge может входить любая последовательность портов роутера MikroTik, а если туда добавить все порты – роутер станет точкой доступа WiFi или коммутатором.

Стоит учитывать, что такое объединение  управляется CPU. Этот факт важен при значительных нагрузках на CPU.

Настройка LAN на роутере MikroTik состоит из следующих ключевых этапов:

  • Объединение все локальных портов в Bridge;
  • Настройка локального IP адреса для роутера MikroTik;
  • Настройка DHCP сервера.

Настройка MikroTik Bridge

  • Нажать + и добавить новый Bridge;
  • Присвоить Name для выбранного Bridge;

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

ether3:bridge port received packet with own address as source address (MAC ether3), probably loop”

Добавление портов MikroTik в Bridge

  • Нажать + и добавить новый Port;
  • Выбрать соответствующие значение в параметрах: Interface, Bridge;
  • Повторить аналогичные действия для всех интерфейсов, которые определены как LAN.

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

добавление портов(LAN, VLAN, WLAN и тд)

/interface bridge port add bridge=bridge-1 hw=yes interface=ether2
/interface bridge port add bridge=bridge-1 hw=yes interface=ether3
/interface bridge port add bridge=bridge-1 hw=yes interface=ether4
/interface bridge port add bridge=bridge-1 hw=yes interface=ether5

Читайте также:  Kvm linux это

/interface bridge port add bridge=bridge-1 interface=wlan1
/interface bridge port add bridge=bridge-1 interface=wlan2

Hardware Offload — аппаратная поддержка bridge отдельным чипом. Список поддерживаемых устройств.

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

Назначение локального IP адреса

После добавления портов в Bridge нужно назначить статический IP адрес и правильней всего это указать в качестве интерфейса созданный bridge-1. С этого момента любая настройка адресации или маршрутизации в роутере MikroTik будет осуществляться через bridge-1.

  • Нажать + и добавить новый IP адрес;
  • Заполнить параметры: Address, Interface.

При заполнение IP адреса важно указать маску подсети. Это частая опечатка может произвести к отсутствию отклика от роутера MikroTik. При этом значение Network заполнится автоматически.

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

установка ip адреса на выбранный интерфейс

/ip address add address=192.168.0.1/24 interface=bridge-1 network=192.168.0.0

Настройка DCHP сервера в MikroTik

DHCP сервер занимается выдачей IP адресов всем устройствам, которые отправляют соответствующий запрос. Это незаменимая опция при настройке WiFi на роутере MikroTik, но и также облегчает обслуживание локальной сети в этом вопросе.

Будет состоять из 3-ёх пунктов:

Определение диапазона назначаемых IP адресов

  • Нажать + и добавить новый IP Pool;
  • Заполнить параметры: Name, Addresses.

Диапазон Addresses содержит IP адреса для всех клиентов роутера MikroTik и часто принимает значение или как показано на изображении или 192.168.0.100-192.168.0.254. Это даст возможность указывать статические IP адреса для: сервера, принтера, видеорегистратора, IP камеры и тд.

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

/ip pool add name=pool-1 ranges=192.168.0.2-192.168.0.254

Задание сетевых настроек для клиента

  • Нажать + и добавить новую DHCP сеть;
  • Заполнить параметры: Address, Gateway, Netmask, DNS Server.
  • Netmask = 24 – это эквивалент привычному значению 255.255.255.0;
  • Gateway -шлюз по умолчанию(роутер MikroTik);
  • DNS Servers – DNS сервер, который будет выдан клиенту. В данном случае это также роутер MikroTik.

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

/ip dhcp-server network add address=192.168.0.0/24 dns-server=192.168.0.1 gateway=192.168.0.1 netmask=24

Общие настройки MikroTik DCHP сервера

  • Нажать + и добавить новый DHCP сервер;
  • Заполнить параметры: Interface, Address Pool.

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

/ip dhcp-server add address-pool=pool-1 disabled=no interface=ether-1 lease-time=1w name=server-1

Дополнение: если DHCP нужно применить к одному из портов bridge, то в качестве интерфейса нужно указать именно этот bridge.

Add ARP For Leases — добавляет MAC адрес устройства в таблицу ARP, которому был выдан IP адрес. Можно использовать в качестве блокировки статических IP. Без присутствия соответствующего MAC в таблице ARP пакеты с данного устройства не будут обрабатываться.

Настройка MikroTik DNS

В рамках данной инструкции по настройке роутера MikroTik будет рассмотрена конфигурация, когда сам роутер выступает в качестве DNS сервера. Это имеет несколько преимуществ:

  • DNS записи кэшируются на локальный роутер MikroTik, доступ к которому в разы быстрее чем к DNS серверу провайдера;
  • Если к роутеру подключено 2 провайдера, не будет возникать конфликтов по доступу к DNS серверам 1-ого или 2-ого провайдера. DNS сервер один – роутер MikroTik.

Для такой конфигурации DNS сервера нужно:

  • Активировать параметр Allow Remote Requests. Это разрешит внешним запросам обращаться к роутеру MikroTik как к DNS серверу;
  • Обратить внимание на Cache Size. В больших сетях(от 100 узлов) его стоит увеличить в 2 или 3 раза. По умолчанию его значение = 2048Кб.

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

DNS сервера Google

/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4

/ip dns set allow-remote-requests=yes servers=1.1.1.1,1.0.0.1

Настройка Интернета на роутере MikroTik

Для настройки интернета на роутере MikroTik нужно совершить два действия:

  • определить тип подключения на определенном порту(куда вставлен провайдер);
  • активировать функцию NAT (masquerade).

Настройка DHCP client в MikroTik

Это самый распространённый тип подключения интернета на роутерах MikroTik. На указанный порт(ether1) будут приходить настройки от интернет провайдера. DHCP клиент не только облегчает настройку интернета, но и служит индикатором, когда услуга отсутствует на линии(не работает интернет), но и также позволяется добавить скрипт, который будет выполняться при изменении значения Status.

  • Нажать + и добавить новый DHCP  клиент;
  • Выбрать интерфейс, на котором подключен интернет в роутер MikroTik;
  • Остальные параметры оставить без изменений.

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

/ip dhcp-client
add add-default-route=no dhcp-options=hostname,clientid disabled=no interface=ether1

Опцией Add Default Route можно манипулировать, но выключенное состояние потребует ручного добавления маршрута. Это может стать полезным при использовании балансировки между несколькими линиями интернета.

Настройка статического IP в MikroTik

Настройка статического IP адреса в роутере MikroTik ни чем не отличается от аналогичной настройки любого сетевого устройства и состоит из трех разделов:

  • Настройка IP адреса на интерфейсе;
  • Создание статического маршрута.

Установка IP адреса на выбранный интерфейс

Популярные маски подсети:

  • IP-Address/31 – 255.255.255.254
  • IP-Address/30 – 255.255.255.252
  • IP-Address/29 – 255.255.255.248
  • IP-Address/28 – 255.255.255.240
  • IP-Address/27 – 255.255.255.224
  • IP-Address/26 – 255.255.255.192
  • IP-Address/25 – 255.255.255.128
  • IP-Address/24 – 255.255.255.0

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

/ip address add address=81.21.12.15/27 interface=ether1 network=81.21.12.0

Добавление статического маршрута(шлюз по умолчанию)

  • Нажать + и добавить новый статический маршрут в MikoTik;
  • Заполнить параметры: Gateway.
  • Dst. Address = 0.0.0.0/0 – типичное обозначение для любого трафика. Таким значением в MikroTik необходимо определять интернет трафик;
  • Gateway – это шлюз по умолчанию со стороны интернет провайдера, который подключен к роутеру MikroTik.

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

/ip route
distance=1 gateway=81.21.12.1

Настройка PPPoE в MikroTik

PPPoE сохраняет свою популярность при настройке интернета на роутере MikroTik.

В случае успешного соединения, на PPPoE интерфейсе будет определен статус RUN.

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

Настройка MikroTik NAT

NAT это механизм, который позволяет преобразовывать IP адреса для транзитных пакетов. Именно NAT является основной настройкой, которая обычное устройство MikroTik преобразовывает в роутер.

  • Нажать + и добавить новое правило NAT;
  • Установить Chain = srcnat;
  • Out Interface = интерфейс с интернетом;
  • Action = Masquerade.

Masquerade это основное правило NAT для работы интернета на роутере MikroTik.

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

правило для работы интернета

/ip firewall nat add action=masquerade chain=srcnat out-interface=ether1

Дополнение: srcnat можно использовать ещё в ситуации, когда на исходящем порту несколько ip адресов: провайдер выделил диапазон адресов на одном проводном подключении.

Настройка WiFi на роутере MikroTik

Рассмотрим ситуацию, когда у роутера MikroTik имеется два WiFi модуля 2.4ГГц и 5ГГц. Такая конфигурация позволит одновременно работать в двух разных диапазонах. Для их включения нужно последовательно настроить каждый из них.

Первым делом нужно настроить конфигурацию безопасности. Если локальная сеть не содержит гостевой сети, можно отредактировать конфигурацию по умолчанию.

Настройка пароля для WiFi в MikroTik

  • Открыть профиль default для установки пароля WiFi ;
  • Установить Mode = dynamic keys;
  • Authentication Types = WPA2 PSK;
  • Chiphers = aes com;

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

Настройка WiFi на частоте 2,4ГГц

Роутер MikroTik не будет блокировать настройку конфигурации WiFi если задать одно SSID имя. WiFi сигналы будут распространяться на абсолютно разных антеннах и в разных частотных диапазонах.

  • Открыть WiFi интерфейс wlan1;
  • Установить режим работы точки доступа Mode = ap bridge;
  • Поддерживаемые стандарты WiFi Band = 2Ghz-B/G/N;
  • Ширину канала Channel Width =20/40Mhz Ce;
  • Частоту WiFi Frequency = auto;
  • Имя WiFi сети SSID = MikroTik;
  • Пароль для WiFi Security Profile = default.

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

Настройка WiFi на частоте 5ГГц

  • Открыть WiFi интерфейс wlan2;
  • Установить режим работы точки доступа Mode = ap bridge;
  • Поддерживаемые стандарты WiFi Band = 5Ghz-A/N/AC;
  • Ширину канала Channel Width =20/40/80Mhz Ceee;
  • Частоту WiFi Frequency = auto;
  • Имя WiFi сети SSID = MikroTik;
  • Пароль для WiFi Security Profile = default.

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

Важно принимать факт нахождения WiFi интерфейса в составе bridge, без этой настройки WiFi клиенты не смогут получит IP адрес(dhcp сервер настроен на bridge), взаимодействовать с локальной сетью и будут ограничены доступом в интернет.

Проброс портов(port forwarding) в роутере MikroTik

Проброс портов это популярная функция любого роутера MikroTik, которая обеспечивает удаленный доступ к локальному ресурсу: VPN серверу, видеорегистратору, web сайту и тд. Для настройки проброса порта в роутере MikroTik следует добавить правило:

  • Нажать + и добавить новое правило NAT;
  • Выбрать Chain=dstnat;
  • Dst. Address = внешний адрес роутера MikroTik;
  • Protocol = tcp;
  • Dst. Port = 80,443;
  • In. Interface = интерфейс с интернет провайдером;
  • Action = dst-nat;
  • To Addresses = IP адрес во внутренней сети.
  • Цепочка dstnat – весь входящий трафик;
  • To Ports – можно не заполнять, если их значения совпадают с Dst. Port.

В данном примере рассмотрен проброс портов http и https для web сервера, который находится в локальной сети.

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

/ip firewall nat add action=dst-nat chain=dstnat dst-address=10.10.10.52 dst-port=80,443 in-interface=ether1 protocol=tcp to-addresses=192.168.0.2

Настройка Mikrotik FireWall

Firewall в роутере MikroTik является одним из самых важных компонентов на текущий момент. Неправильно настроенный Firewall может привести к ограниченному доступу к роутеру MikroTik, а его отсутствие поставит под угрозу всю сетевую инфраструктуру.

Специалисты настоятельно рекомендуют не пренебрегать -ом роутера MikroTik, при настройке ИТ инфраструктуры

Разрешение для уже установленных соединений

  • Нажать + и добавить новое правило Firewall;
  • Выбрать Chain=forward;
  • Connection state = established,related;
  • Action=accept.

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

/ip firewall filter add action=accept chain=forward connection-state=established,related

  • Нажать + и добавить новое правило Firewall;
  • Выбрать Chain=input;
  • Connection state = established,related;
  • Action=accept.

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

/ip firewall filter add action=accept chain=in connection-state=established,related

Доверительные правила для локальной сети

  • Нажать + и добавить новое правило Firewall;
  • Выбрать Chain=input;
  • Установить значение LAN интерфейса In. Interface = bridge1;
  • Action=accept.

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

  • Нажать + и добавить новое правило Firewall;
  • Выбрать Chain=forward;
  • Установить значение LAN интерфейса In. Interface = bridge1;
  • Action=accept.

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

/ip firewall filter
add action=accept chain=input in-interface=bridge1
add action=accept chain=forward in-interface=bridge1

Разрешить ICMP запросы с WAN интерфейсов

  • Нажать + и добавить новое правило Firewall;
  • Выбрать Chain=input;
  • Protocol = icmp;
  • In. Interface = Интернет интерфейс;
  • Action=accept.

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

/ip firewall filter add action=accept chain=in protocol=icmp in-interface=pppoe-out1

Удалить все входящие пакеты с WAN интерфейсов

  • Нажать + и добавить новое правило Firewall;
  • Выбрать Chain = input;
  • In. Interface = Интернет интерфейс;
  • Action = drop.

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

/ip firewall filter add action=drop chain=input in-interface=pppoe-out1

Удалить все пакеты в состоянии invalid

  • Нажать + и добавить новое правило Firewall;
  • Выбрать Chain = forward;
  • Connection state = invalid;
  • Action = drop.

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

/ip firewall filter add action=drop chain=forward connection-state=invalid

  • Нажать + и добавить новое правило Firewall;
  • Выбрать Chain = input;
  • Connection state = invalid;
  • Action = drop.

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

/ip firewall filter add action=drop chain=input connection-state=invalid

С расширенной версией по настройке Firewall в роутере MikroTik можно ознакомиться в статье Настройка Firewall в MikroTik, защита от DDOS атаки.

Сброс MikroTik до заводских настроек, hard reset

Если по каким-то причинам необходимо сбросить роутер MikroTik до заводских настроек, это можно выполнить двумя методами:

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

Reset через кнопку RESET

Данные правила рекомендуется применять ко всем моделям маршрутизаторов(роутеров) MikroTik, как базовая защита от внешних атак, а также особенностей и изъянов прошивки:

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

Базовая настройка защиты роутера MikroTik

В качестве примера будет взят маршрутизатор(роутер) MikroTik hAP ac2 как самое популярное решения для дома и офиса 2019-2020гг.

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

Обновление прошивки до актуальной версии

Одной из важной задачей при вводе в эксплуатацию нового устройства MikroTik: маршрутизатора(роутера), коммутатора(свчитча) или точки доступа WiFi это обновление прошивки. Чаще всего это имело рекомендованный характер, но недавний инцидент с «back door» в категории long-term указал но то, что актуальность прошивки на устройствах MikroTik имеет критический характер.

Читайте также:  Бомжара - симулятор жизни для iPhone скачать бесплатно, отзывы, видео обзор

Действия в кнопке Download&Install произведут закачку выбранной редакции прошивки и автоматическую перезагрузку устройства. Установка будет произведена в момент загрузки. Не выключайте устройство до полной перезагрузки и обеспечьте стабильное питание электросети при обновлении прошивки.

  • long term(bug fix only) — самая стабильная версия. Рекомендовано для производственных сред!
  • stable(current) — long term плюс поддержка новых функций. Новые технологии это всегда хорошо.

Другие редакции не рекомендуется устанавливать в рабочие устройства, т.к. это может привести к нежелательным последствиям.

Важным дополнением в обновлении прошивки является обновление Current Firmware — это аппаратная прошивка, аналог BIOS в компьютере.

Создание новой учётной записи администратора

Самые распространенные случаи взлома маршрутизаторов(роутеров) MikroTik связаны с игнорированием контроля учётных записей. Частым случаем можно встретить отсутствие пароля как такового, но и происходят более сложные взломы на уровне прошивки.

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

Добавление Address List

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface list member
add interface=Bridge-LAN list=LAN
add interface=ether1 list=WAN

Пример базовых правил MikroTik Firewall(Default Rules)

Данные список правил содержится в заводской конфигурации и способен защитить маршрутизатор(роутер) MikroTik от большинства попыток взлома, а также ускоряет работу устройства.

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

/ip firewall filter
add action=accept chain=input comment=»defconf: accept established,related,untracked» connection-state=established,related,untracked
add action=drop chain=input comment=»defconf: drop invalid» connection-state=invalid
add action=accept chain=input comment=»defconf: accept ICMP» protocol=icmp
add action=drop chain=input comment=»defconf: drop all not coming from LAN» in-interface-list=!LAN
add action=accept chain=forward comment=»defconf: accept in ipsec policy» ipsec-policy=in,ipsec
add action=accept chain=forward comment=»defconf: accept out ipsec policy» ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment=»defconf: fasttrack» connection-state=established,related
add action=accept chain=forward comment=»defconf: accept established,related, untracked» connection-state=established,related,untracked
add action=drop chain=forward comment=»defconf: drop invalid» connection-state=invalid
add action=drop chain=forward comment=»defconf: drop all from WAN not DSTNATed» connection-nat-state=!dstnat connection-state=new in-interface-list=WAN

Деактивация неиспользуемых служб

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes

Ограничение по автообнаружению(Discovery) Neighbors

Если не обратить внимание на эту опцию, то маршрутизатор(роутер) MikroTik будет отображаться как Neighbor на порту провайдера. Используя утилиту Winbox злоумышленник может выявить все устройства MikroTik и подвергнуть их взлому или атаке.

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

/ip neighbor discovery-settings
set discover-interface-list=LAN

Отключение функций MAC Server

Настройка содержит три опции:

MAC Telnet Server

Рекомендуется активировать только для списка LAN.

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

MAC WinBox Server

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

MAC Ping Server

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
/tool mac-server ping
set enabled=no

Краткое описание: Руководство по настройке строго Firewall в MikroTik, корпоративного уровня. Базовая защита от DDOS атаки.

Нужна настройка MikroTik Firewall?

Настройка сервисов на маршрутизаторах MikroTik: подключение интернета, DHCP, brige, VLAN, WiFi, Capsman, VPN, IpSec, PPTP, L2TP, Mangle, NAT, проброс портов, маршрутизация(routing), удаленное подключение и объединение офисов.

Для корпоративного сегмента настройки Firewall-а является обязательной мерой, для обеспечения соответствующего уровня сетевой безопасности. Однако и в частных системах  встречаются случаи, когда не согласованные попытки внешнего подключение могут привести в состояние отказа сетевого оборудования.

ВНИМАНИЕ! Неверное пользование инструкцией может произвести к потере связи с роутером MikroTik!

Перед настройкой рекомендуется сделать резервную копию.

Будет описана ситуация, когда любой пакет не получивший предварительного разрешения будет отвергнут. Эта конфигурация также положительно отражается на состоянии загрузки CPU.

Правила работают сверху вниз, приоритетным считается правило c меньшим номером.

Разрешение установленных и связанных подключений для входящего и проходящего трафика

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

Удалить все остальные пакеты

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

Правила настройки Firewall в роутере MikroTik

Практический пример. Mikrotik hap Lite имеет активные службы: NAT(scrnat и dstnat), DHCP, WiFi, Firewall и VPN туннель типа Ipsec с аналогичной моделью. Правила Firewall-а были приняты в работу после инцидентов со 100% загрузкой CPU(роутер тормозит и зависает). Счетчики пакетов после 11 дней работы выглядят следующим образом:

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

Как защитить MikroTik от DDOS атаки

В первой части статьи, описанные правила Firewall имеют определенно строгий вид и если их описать словами то:

Разрешены(Accept)

  • все установленные ранее подключения(было разрешено ранее, значит и сейчас будет разрешено);
  • запросы с локальной сети, полное доверие;
  • запросы на команду PING с внешней сети, имеет диагностический характер.

Запрещены(Drop)

  • пакеты в состоянии invalid;
  • все другие пакеты, которые не подошли ни к одному из правил выше.

Как правило DDOS атаки совершаются через ICMP запросы и этой единственный возможный запрос, на который ответит роутер MikroTik по цепочке Input. Все остальные пакеты он будет напросто отклонять.

В качестве метода по борьбе с DDoS атакой будет рассмотрен сценарий, в котором будет применяться фильтр на количество новых подключений в цепочках Input и Forward.

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

/ip firewall filter
add action=jump chain=forward connection-state=new in-interface=pppoe-out jump-target=Pre-DDoS
add action=jump chain=input connection-state=new in-interface=pppoe-out jump-target=Pre-DDoS
add action=drop chain=forward connection-state=new src-address-list=BAN-DDoS
add action=drop chain=input connection-state=new src-address-list=BAN-DDoS
add action=return chain=Pre-DDoS dst-limit=32,32,src-address/10s
add action=add-src-to-address-list address-list=BAN-DDoS address-list-timeout=14d chain=Pre-DDoS

Нет подключения к MikroTik, роутер не отвечает

Данную ситуацию может исправить только сброс через кнопку Reset. Подробная инструкция описана в статье Сброс настроек в MikroTik, заводские настройки через Reset.

Время на прочтение

Распространенность оборудования Mikrotik растет с каждым днем, все больше устройств, а значит и RoS, появляется не только в корпоративном секторе, но и у обычных, домашних пользователей.
К сожалению, не смотря на вполне нормальные настройки по умолчанию, которые можно сделать через Quick Set, в интернете можно встретить множество советов очистить конфигурацию, и сделать как-то по «особому», с «нуля». В этой статье я хочу поделится своим опытом и дать рекомендации, как изменить конфигурацию из Quick Set под свои нужды, при этом сохранив достаточный уровень защищенности.

Что такое Quick Set?

Quick Set — это мастер автоматической конфигурации, который помогает быстро, не погружаясь в глубины тонкой настройки RoS, настроить роутер и начать им пользоваться. В зависимости от устройства, вам могут быть доступны несколько шаблонов:

  • CAP — Режим управляемой точки доступа, требует наличия настроенного CAPsMAN
  • CPE — Режим WiFi клиента, когда интернет вам приходит по WiFi
  • PTP Bridge APCPE — Режим организации беспроводного моста, одна точка настраивается в AP, остальные в CPE
  • WISP AP — Почти то-же, что и HomeAP, но настроек больше, и названия более «профессиональные»
  • Basic AP — Почти пустая конфигурация, подходит для развертывания автономно управляемых точек доступа (без CAPsMAN)

Дальше мы будем в основном настраивать HomeAPWISP AP, но советы пригодятся и в других конфигурациях.

Безопасность

Отключаю не нужные в домашней сети (и не во всех не домашних сетях) сервисы, а оставшиеся ограничиваю областью действия, указывая адреса, с которых можно к этим сервисам подключится.

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

Следующим шагом, будет ограничение на обнаружение роутера с помощью поиска соседей. Для этого, у вас должен быть список интерфейсов, где данный протокол может работать, настроим его:

/interface list add exclude=dynamic name=discover

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

Добавим в список discovery интерфейсы, на которых мы хотим, чтобы протокол Neighbors Discovey работал.

Теперь настроим работу протокола, указав список discovery в его настройках:

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

В простой, домашней конфигурации, в списке discovery могут быть интерфейсы, на которых может работать протокол доступа по MAC адресу, для ситуаций, когда IP не доступен, поэтому настроим и эту функцию:

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

Теперь, роутер станет «невидимым» на внешних интерфейсах, что скроет информацию о нем (не всю конечно), от потенциальных сканеров, и даже, лишит плохих парней легкой возможности получить управление над роутером.

Защита от DDoS

Теперь, добавим немного простых правил в пакетный фильтр:

/ip firewall filter
add action=jump chain=forward connection-state=new in-interface-list=ISP jump-target=anti-DDoS
add action=jump chain=input connection-state=new in-interface-list=ISP jump-target=anti-DDoS
add action=drop chain=forward connection-state=new src-address-list=BAN-DDoS
add action=return chain=anti-DDoS dst-limit=15,15,src-address/10s
add action=add-src-to-address-list address-list=BAN-DDoS address-list-timeout=1d chain=anti-DDoS
add action=jump chain=input connection-state=new dst-port=22,8291 in-interface-list=ISP jump-target=anti-BruteForce-3 protocol=tcp
add action=drop chain=forward connection-state=new src-address-list=BAN-BruteForce-3
add action=return chain=anti-BruteForce-3 dst-limit=4/1m,1,src-address/1m40s
add action=add-src-to-address-list address-list=BAN-BruteForce-3 address-list-timeout=1d chain=anti-BruteForce-3

И поместим их после правила defcon для протокола icmp.

Результатом будет бан на сутки для тех, кто пытается открыть более 15 новых соединений в секунду. Много или мало 15 соединений, вопрос спорный, тут уже сами подбирайте число, я выбрал 50 для корпоративного применения, и таких банит у меня 1-2 в сутки. Вторая группа правил гораздо жестче, блокирует попытки соединений на порт ssh(22) и winbox(8291), 3-и попытки за минуту, и отдыхай сутки ;). Если вам необходимо выставить DNS сервер в интернет, то подобным правилом можно отсекать попытки DNS Amplification Attacks, но решение не идеальное, и ложно-положительных срабатываний бывает много.

RFC 1918

RFC 1918 описывает выделение адресных пространств для глобально не маршрутизируемых сетей. Поэтому, имеет смысл блокировать трафик отк таким сетям, на интерфейсе, который смотрит к провайдеру, за исключением ситуаций, когда провайдер выдает вам «серый» адрес.

/ip firewall address-list
add address=10.0.0.0/8 list=»RFC 1918″
add address=172.16.0.0/12 list=»RFC 1918″
add address=192.168.0.0/16 list=»RFC 1918″
/ip firewall filter
add action=drop chain=input comment=»Drop RFC 1918″ in-interface-list=WAN src-address-list=»RFC 1918″
add action=drop chain=forward comment=»Drop RFC 1918″ dst-address-list=»RFC 1918″ out-interface-list=WAN
add action=drop chain=output comment=»Drop RFC 1918″ dst-address-list=»RFC 1918″ out-interface-list=WAN

Поместите эти правила ближе к началу и не забудьте, добавить в список WAN интерфейс, смотрящий в сторону провайдера.

А вот набор маршутов в «черную дыру»

/ip route
add comment=»RFC 1918″ distance=249 dst-address=10.0.0.0/8 type=blackhole
add comment=»RFC 1918″ distance=249 dst-address=172.16.0.0/12 type=blackhole
add comment=»RFC 1918″ distance=249 dst-address=192.168.0.0/16 type=blackhole

Этот набор маршрутов направит весь трафик до сетей RFC 1918 в «черную дыру», однако, если будут маршруты с меньшей метрикой, то такой трафик пойдет через эти маршруты. Полезно для гарантии того, что приватный трафик не просочится во внешнюю сеть.
За совет благодарим achekalin

UPnP

Довольно спорная технология, которая позволяет приложениям попросить роутер пробросить порты через NAT, однако, протокол работает без всякой авторизации и контроля, этого просто нет в стандарте, и часто является точкой снижающей безопасность. Настраивайте на свое усмотрение:

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

SIP Conntrack

Кроме всего прочего, стоит отключить модуль conntrack SIP, который может вызывать неадекватную работу VoIP, большинство современных SIP клиентов и серверов отлично обходятся без его помощи, а SIP TLS делает его окончательно бесполезным.

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

IPv6 туннели

Если вы не используете IPv6 или не хотите что-бы рабочие машины с Windows поднимали IPv6 туннели без спроса, тогда заблокируйте следующий трафик:

/ip firewall filter
add action=drop chain=forward comment=»Teredo TCP» dst-port=3544 protocol=tcp
add action=drop chain=forward comment=»Teredo UDP» dst-port=3544 protocol=udp
add action=drop chain=forward comment=6to4 protocol=ipv6

За совет опять благодарим achekalin

Читайте также:  Устранение неполадок Telegram: почему ваш бот перестал отвечать

Динамические и вложенные списки интерфейсов

Эта функция появилась совсем недавно (с версии 6.41), и она очень удобная. Однако, есть особенность: глубина вложенности. Невозможно вложить вложенный список во вложенный список. Если вы так сделаете (фича такая) вам не сообщат о проблеме, просто такой список работать по факту не будет.

В городской среде, когда эфир крайне зашумлен, имеет смысл отказаться от каналов в 40MGhz, это увеличивает удельную мощность сигнала на канале, так как 40MGHz канал по сути, это два канала по 20MGHz.

Bridge & ARP

Если у вас роутер раздает интернет и дает клиентам настройки по DHCP, имеет смысл установить настройку arp=reply-only, а в DHCP Server включить add-arp=yes

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

Такая настройка помешает выставить IP адрес вручную, так как роутер согласится работать только с той парой MAC-IP, которую выдавал сам.

Прочее

Для корпоративного применения рекомендую заводить списки интерфейсов и адресов, которые олицетворяют зоны доступа. Тогда, создав такие списки, вы сможете настроить правила прохождения трафика из одной зоны в другую, а так-же легко изменять состав зон. Вообще, чаще используйте списки, а не сами интерфейсы, это облегчит перенос конфигурации.

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

Логотип из интернета;

С чего бы начать?.. RAW по сути своей сильно урезан по функционалу, из-за того что он идёт до Conntrack и теряет много полезных ништяков, но это не критично.

Как уже было сказано выше, Raw — обрабатывает пакеты до их попадания в Connection Tracking (Далее — Conntrack) и по сравнению с Filter Rules, Raw обработка или удаление быстрее примерно также, как и FastTrack, а это разгрузка CPU ~ в 6 раз.

Небольшое предисловие

Я не претендую на 100% достоверность, по той простой причине, что не являюсь сертифицированным специалистом Mikrotik. И не имею никаких сертификатов, дипломов. Я лишь монтажник сетей, и пишу сюда свой опыт с этими устройствами.

В чем проблема стандартных (QuickSet) правил Filter?

При стандартных параметрах маршрутизатора, мы видим что пакеты приходящие через интерфейс WAN проходят до цепочки Input. То есть маршрутизатор их обрабатывает полноценно через Routing Decision, заносит их в Conntrack с соответствующими данными, и в конце этот пакет либо встречает свою погибель в лице стандартного правила Drop, либо пройдет как новое подключение с локальным процессом, если порт роутера открыт. Либо в уйдет в Forward цепочку, если настроен проброс портов через сетевую трансляцию адресов, но это уже скорее исключение.

Посмотрите на схему цепочек RouterOS:

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

Она довольно упрощена, но.. Видите? Пакет проходит до цепочки Input, и также проходит через Conntrack, Mangle, NAT и Routing Decision и только потом в Filter. Это абсолютно бесполезная трата ресурсов процессора и оперативной памяти маршрутизатора. Таким образом, при довольно больших объемах бесполезного трафика, CPU уйдет в 100% или Conntrack переполнится новыми подключениями рано или поздно. Всё потому что у нашего подопытного — аппаратное обеспечение оставляет желать лучшего. (Хотя это довольно спорный момент, некоторые гигабитные маршрутизаторы уходили гулять в 100% при 200мбит трафика, что является абсурдом).

Задача

Разгрузить маршрутизатор для работы хотя бы с локальной сетью, если из внешней сети гадят большим количеством пустого трафика. Закрыть полностью все порты управления RouterOS для WAN одним правилом и попытаться если не полностью предотвратить, то хотя бы ослабить переполнение Conntrack.

Условия

Маршрутизатор полностью настроен через QuickSet в качестве домашней точки доступа, что может вам показаться кощунством (Простите мне просто было лень пилить всё вручную по статьям из интернета). Включен IPv4 FastTrack и прочие службы управления RouterOS. Всё эти службы видны и в локальной сети, и в интернете по IP. Сценарий пользования: Домашний/Офисный, с динамическим/статическим адресом; По большому счету, это роли не играет, потребуется чуть-чуть поменять правила для каждого случая, но их объединяет одно — открытый доступ извне. Я конечно же предоставлю оба варианта в графическом, и в текстовом для терминала формате.

Что потребуется?

Нам потребуется Winbox или терминал SSH — выбирайте по вкусу. Знания как работает NAT, прямые руки и подключение к RouterOS, очень желательно из локальной сети, поскольку соблюсти истину «Удаленной настройки Firewall — это к дальнему выезду» ни мне, ни вам не охота, верно?

Как реализовать и куда тыкать?

Потребуется создать 3 правила NAT для TCP, UDP и ICMP подключений локальной сети, чтобы исходящий трафик машин из LAN менял свои SRC порты на наш диапазон, который мы укажем. Рекомендуется выбирать диапазон и количество портов исходя из количества клиентов, и того, сколько подключений делается в самое пиковое время, (не обязательно, но желательно). Можно взять за пример ~2 тысячи подключений с одного устройства к примеру. Предположим что в сети около 4 устройств, итого 8 тысячи портов требуется зарезервировать под нашу затею. Также необходимо учесть, что этот диапазон должен быть нестандартным, чтобы боты-сканеры не смогли определить тип операционной системы по IP, и не попали в открытые порты маршрутизатора, и чтобы NAT правила не накладывались на опубликованные порты типа 1-8000. Правильнее было бы указать допустим — 42000-50000, поскольку он изначально зарезервирован.

Недостаток такого метода: Если клиентов к роутеру подключено слишком много, то в таком случае, реализовать эту систему правил необходимо без NAT. Но должны быть заблокированы все порты служб маршрутизатора из WAN, что не является нашей задачей.

Разумеется, от меня существует две версии. При динамическом адресе, и при статическом.Сначала рассмотрим правила NAT при динамическом адресе.

Диапазон 12000-18000 указан как пример собственной конфигурации;

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

Masquerade NAT Rule

Правила в текстовом режиме для терминала:

/ip firewall nat add action=masquerade chain=srcnat comment=»SRC RAW NAT TCP» out-interface-list=WAN protocol=tcp to-ports=42000-50000

add action=masquerade chain=srcnat comment=»SRC RAW NAT UDP» out-interface-list=WAN protocol=udp to-ports=42000-50000

add action=masquerade chain=srcnat comment=»SRC RAW NAT ICMP» out-interface-list=WAN protocol=icmp

Как вы можете заметить, используется Masquerade. Это сделано для совместимости с динамической выдачей адресов от провайдера (DHCP) и как более совместимый/универсальный вариант. Однако, он же является менее безопасным, поскольку в сеть провайдера могут улететь ваши локальные IP адреса при внезапном разрыве, но беспокоиться не о чем. Это явление крайне редкое.

Если у вас статический IP адрес, есть другой вариант. Он чуть безопаснее, и надежнее, поскольку при внезапном разрыве локальные адреса не улетят в публичную сеть и немного разгрузится маршрутизатор.

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

/ip firewall nat add action=src-nat chain=srcnat comment=»SRC NAT TCP RAW» out-interface-list=WAN protocol=tcp to-addresses=INSERTYOURIP to-ports= 42000-50000

add action=src-nat chain=srcnat comment=»SRC NAT UDP RAW» out-interface-list=WAN protocol=udp to-addresses=INSERTYOURIP to-ports= 42000-50000

add action=src-nat chain=srcnat comment=»SRC NAT ICMP RAW» out-interface-list=WAN protocol=icmp to-addresses=INSERTYOURIP

Firewall RAW, великий и ужасный

Здесь нам необходимо почесать репу, сделать 5 базовых правил RAW. Оперируем мы всегда цепочкой Prerouting, и никогда Output. Это сделано для того, чтобы работали исходящие подключения от системы роутера к службам обновлений, внешним DNS.

Первое фундаментальное правило — блокировать фрагментированные пакеты со всех интерфейсов Ethernet. Такие пакеты, если приходят из интернета — ничего хорошего обычно не сулят и очень сильно нагружают как оконечные устройства нашей сети, так и сам маршрутизатор. (Ведь фрагментированный пакет надо собрать, чтобы его принять). Обзываем правило хоть как. Я из глупости назвал оный Security Rule.Пример правила в терминале:

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

IP Fragment Delete Rule

2 по 4 правило — Принимать пакеты на указанные в NAT порты, но в зависимости от скорости сети указывать ограничение количества пакетов в секунду. (Каждый 1 мбит = 2 пакета. Если сеть высоконагруженная, или есть проблемы с доступом — 1Мбит = 4 пакета). Во всех правилах далее — указываем интерфейс WAN.

Текстовый формат правила:

/ip firewall raw add action=accept chain=prerouting comment=»Src NAT TCP» dst-port=12000-18000 in-interface-list=WAN limit=200,200:packet protocol=tcp

add action=accept chain=prerouting comment=»Src NAT UDP» dst-port=12000-18000 in-interface-list=WAN limit=200,200:packet protocol=udp

add action=accept chain=prerouting comment=»Src NAT: RAW ICMP» limit= 10,10:packet protocol=icmp

Опытным путем было установлено, что ограничения в 200 входящих пакетов в секунду для TCP/UDP протоколов по линии 100Мбит — достаточно при включенном FastTrack, поскольку при помощи этой технологии организуется беспрепятственное прохождение соединения. Каждый пакет с установленным соединением обрабатывается нулевым правилом FastTrack, и редко, единично для каждого соединения может зайти в RAW. Если такое происходит — Routing Decision и Conntrack сам решает куда отнести этот пакет, в Forward (Это Related и Established подключения) или в Input (Удаление пакета, или доступ к RouterOS) цепочки. Напоминаю, что порты на скриншота 12000-18000 указаны из примера собственной конфигурации.

ICMP принимаем как есть, ограничение ставим на 10 пакетов в секунду по стандарту.

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

Accept connections in our NAT ports

Пятое правило — блокировать всё, что явно не разрешено с интерфейса WAN.

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

Достоинства данной системы правил:

  • Высокая производительность Drop-а пустого трафика. (Да, она может спасти от DDoS с IP Spoofing-ом, если службы ваших LAN-машин экранированы через NAT и ограничены в RAW, поскольку учтены таймеры соединений Conntrack внешних служб для защиты последнего).
  • Гибкость, вы спокойно можете опубликовать ваши службы.
  • Вы можете сделать подобие Conntrack через Address List и Mangle, если потребуется обслуживать клиентов вашей службы в первую очередь, и устроить мониторинг IP подключенных клиентов к вашим службам для диагностики.
  • Она не влияет на LAN подключения, поскольку все правила проработаны только для WAN.
  • Полностью закрывает все порты маршрутизатора извне, при верном выборе диапазона SRC портов. Это происходит поскольку пакеты не доходят до Input цепочки без соответствующего разрешающего правила, а даже если и доходят, то отлавливаются стандартным правилом Drop all from WAN. Либо принимаются, исходя из вашей конфигурации.Таким образом мы исключаем атаки на DNS порт, порт SSH, порты FTP, Bandwitch Server, а также атаки на Winbox-порты одним правилом.Также комплекс правил не исключает и не мешает технике ICMP Port Knocking для доступа извне.
  • Есть возможность прикрутить систему, которая обнаруживает IP сканеры, хецкеров и удалять такие пакеты не в Input цепочке, а в Prerounting, выполняя тем самым разгрузку CPU.
  • Ограничение количества пользовательских портов.
  • Возможно не совместим с VPN. (Поправьте, если это не так).
  • Требуется более детальная настройка портов, которые смотрят наружу. Требуется добавлять в Raw дополнительные правила с ограничениями.

Маршрутизатор брандмауэра mikrotik quickset и инструкции по настройке MirroTike

В статье рассмотрены различные подходы к организации практической безопасности сетей, построенных на оборудовании MikroTik, в том числе при помощи дополнительного открытого программного обеспечения, расширяющего имеющиеся штатные возможности, что в комплексе позволяет качественно администрировать сетевые средства, а также своевременно реагировать на различные угрозы информационной безопасности.

Оцените статью
Хостинги