Настройка роутера Микротик. Программа для микротика

Standard upgrade

The package upgrade feature connects to the MikroTik download servers and checks if there is a new RouterOS version for your device.

After clicking the Upgrade button in QuickSet or in Packages menu upgrade window will open with current Changelog (if newer version exists) and buttons to download and install latest versions.

By clicking «Download & Upgrade», downloads will start and after successful download will reboot to install downloaded packages. Even if custom packages are installed, downloader will take that into account and download all necessary packages.

Summary

• Winbox.exe is signed with an Extended Validation certificate, issued by SIA Mikrotīkls (MikroTik).
• WinBox uses ECSRP for key exchange and authentication (requires new winbox version).
• Both sides verify that other side knows password (no man in the middle attack is possible).
• Winbox in RoMON mode requires that agent is the latest version to be able to connect to latest version routers.
• Winbox uses AES128-CBC-SHA as encryption algorithm (requires winbox version 3.14 or above).

Видеоуроки

WinBox MikroTik — программное обеспечение для настройки и управления маршрутизаторами MikroTik Routeros. Позволяет устанавливать параметры безопасности и устранять проблемы с подключением к сети. Вы сможете быстро настроить роутер по собственному усмотрению, не прибегая к длительным поискам необходимой информации в интернете.

Настройка интернета в микротик

Пришло время подключить наш роутер к провайдеру и настроить интернет. Вариантов это сделать масса, я расскажу о двух самых популярных:

• Провайдер завел вам кабель, и вы получаете все настройки по DHCP.
• Провайдер выдал вам настройки, и вы должны их ввести вручную.

Вариант номер 2. Настройки от провайдера нужно ввести вручную, имеют они следующий вид:

• IP адрес 192.168.1.104
• Маска 255.255.255.0
• Шлюз 192.168.1.1
• DNS 192.168.1.1

Первое, указываем ip в том же разделе, как и при указании статического адреса. Только тут мы выбираем интерфейс ether5 – 192.168.1.104/24.

Конфигурирование провайдерского интернета закончено, давайте проверим все ли сделано правильно используя утилиту ping на ya.ru.

На этом настройка mikrotik не закончена, для того чтобы устройства из локальной сети могли выходить в интернет нужно еще сделать одну вещь.

Немного общей информации

MikroTik это – маршрутизаторы, коммутаторы, точки доступа и много другое оборудование которое выпускает Латвийская фирма. Больше всего она получила свою известность именно за недорогие и функциональные сетевые устройства.

Действительно, когда я первый раз начал его настраивать, первое что я сказал: «Ого и это все можно сделать на железки за 1500 рублей». Масштаб возможностей роутеров действительно поражает это и мультикаст, MPLS, огромное количество технологий VPN. Да он один может справится с работой небальной компании и филиалов, подключённых по pptp например.

Конечно есть и один минус, для неопытных пользователей настроить микротик с первого раза будет сложно. Для этого я и пишу данную статью.

Manual upgrade

• Winbox – drag and drop files to the Files menu
• WebFig — upload files from Files menu
• FTP — upload files to root directory
• The Dude – See manual here

RouterOS cannot be upgraded through a serial cable. Only RouterBOOT is upgradeable using this method.

Manual upgrade process

• First step — visit www.mikrotik.com and head to the download page, there choose the type of system you have the RouterOS installed on.
• Download the Combined package, it will include all the functionality of RouterOS:

Using Winbox

Choose your system type, and download the upgrade package. Connect to your router with Winbox, Select the downloaded file with your mouse, and drag it to the Files menu. If there are some files already present, make sure to put the package in the root menu, not inside the hotspot folder! The upload will start.

After it finishes — reboot the device. The New version number will be seen in the Winbox Title and in the Packages menu

Using FTP

• Open your favourite FTP program (in this case it is Filezilla), select the package and upload it to your router (demo2.mt.lv is the address of my router in this example). note that in the image I’m uploading many packages, but in your case — you will have one file that contains them all
• if you wish, you can check if the file is successfully transferred onto the router (optional):

Version numbering

RouterOS versions are numbered sequentially when a period is used to separate sequences, it does not represent a decimal point, and the sequences do not have positional significance. An identifier of 2.5, for instance, is not «two and a half» or «half way to version three», it is the fifth second-level revision of the second first-level revision. Therefore v5.2 is older than v5.18, which is newer.

RouterOS versions are released in several «release chains»: Long-term, Stable and Beta. When upgrading RouterOS, you can choose a release chain from which to install the new packages.

• Long term: Released rarely, and includes only the most important fixes, upgrades within one number branch not add new features. When a Stable release has been out for a while and seems to be stable enough, it gets promoted into the Long Term branch, replacing an older release, which is then moved to Archive. This consecutively adds new features.
• Stable: Released every few weeks, includes all tested features and fixes
• Testing: Released every few days, only undergoes basic internal testing, should not be used in production

Программа может похвастаться следующими функциями и особенностями:

Уже было упомянуто про недружелюбность интерфейса, но теперь взглянем на это с другой стороны. Множество разных строчек и таблиц с изменяемыми (просто вдумайтесь) данными. Настройку можно без преувеличения назвать ювелирной. Работе с этой программой сперва нужно научиться. Хорошо, что разработчики предоставили возможность обучения на бесплатной основе. Однако пользователи редко нуждаются в столь точной настройке своих беспроводных сетей. И напомню, Winbox подходит только для маршрутизаторов от компании MikroTik. Обучение вовсе не универсально, а в современных реалиях, компании создают свои аналоги программного обеспечения для своих роутеров, которые могут быть и в разы проще или же работать по иным, сложным схемам.

Первое подключение

После того как вы установили операционную систему RouterOS на ПК либо включили роутер, у вас будет несколько способов для подключения к нему:

• Доступ через интерфейс командной строки (CLI или консоль) посредством SSH, Telnet, кабеля для подключения к серийному порту или через клавиатуру, мышь и монитор если в вашем устройстве (в случае установки RouterOS на компьютер) имеется VGA карта.
• Доступ через программу управления WinBox.
• Доступ через веб интерфейс (WebFig).

На Telegram-канале Mikrotik сэнсей можно получить доступ к закрытой информации от официального тренера MikroTik. В апреле и мае 2023 будут разбираться темы Wi-Fi и QoS. Подписывайтесь

Mikrotik софт для настройки

Netinstall

You can download NetInstall on the www.mikrotik.com download section.

NetInstall is also used to re-install RouterOS in cases where the previous install failed, became damaged or access passwords were lost.

Your device must support booting from ethernet, and there must be a direct ethernet link from the NetInstall computer to the target device. All RouterBOARDs support PXE network booting, it must be either enabled inside RouterOS «routerboard» menu if RouterOS is operable or in the bootloader settings. For this you will need a serial cable.Note: For RouterBOARD devices with no serial port, and no RouterOS access, the reset button can also start PXE booting mode. See your RouterBOARD manual PDF for details.

NetInstall can also directly install RouterOS on a disk (USB/CF/IDE/SATA) that is connected to the Netinstall Windows machine. After installation just move the disk to the Router machine and boot from it.

User Interface

• Routers/Drives — list of PC drives and PXE booted routers. Select from the list on which drive or router you want to install RouterOS.
• Make floppy — used to create a bootable 1.44″ floppy disk for PCs that don’t have Etherboot support.
• Net booting — used to enable PXE booting over the network.
• Install/Cancel — after selecting the router and selecting the RouterOS packages below, use this to start install.
• SoftID — the SoftID that was generated on the router. Use this to purchase your key.
• Key / Browse — apply the purchased key here, or leave blank to install a 24h trial.
• Get key — get the key from your mikrotik.com account directly.
• Flashfig — launch Flashfig — the mass config utility which works on brand new devices.
• Keep old configuration — keeps the configuration that was on the router, just reinstalls software (no reset).
• IP address / Netmask — enter an IP address and netmask in CIDR notation to preconfigure in the router.
• Gateway — default gateway to preconfigure in the router.
• Baud rate — default serial port baud-rate to preconfigure in the router.
• Configure script File — a file that contains RouterOS CLI commands that directly configure the router (e.g. commands produced by export command). Used to apply default configuration.

Attention! Do not try to install RouterOS on your system drive. Action will format your hard drive and wipe out your existing OS.

Настройка DHCP сервера и шлюза по умолчанию для LAN

В поле адрес вводим ту подсеть, которая вам нужна и выбираем интерфейс bridge1, после этого наш MikroTik будет доступен по этому адресу чрез объединённые порты и через wifi (который мы еще настроим).

После указываем адрес шлюза, который будут получат все подключенные устройства, так как это mikrotik оставляем значение по умолчанию.

В следующем окне перед нами встает выбор, раздавать ли весь диапазон адресов или его часть. По правильному лучше исключить первые 10 так как в будущем может появиться еще один роутер или коммутаторы которым желательно задать ip статикой. Но сейчас нам не принципиально, и мы оставляем как есть.

Наконец последним этапом указываем DNS. Если в вашей сети есть выделенный DNS сервер, то пишем его ip, если нет и вы настраиваете, например, для дома пишем ip самого роутера (в большинстве случаем так оно и будет).

Жмем далее, следующие значение не меняем. Все настройка DHCP сервера и шлюза по умолчанию на микротике закончена, переходим к следующему разделу.

RouterOS Package Types

For example list of available packages

Notice that we have wireless-fp package disabled and mpls package scheduled for disable

Настройка маршрутизатора MikroTik с нуля

Оборудование компании MikroTik получает всё большее распространение не только в корпоративном сегменте, но и в домашнем. Пользователи приобретают устройства по разным причинам, кому-то его посоветовали, кто-то нашел об этом оборудовании информацию в интернете. Настройка маршрутизатора у не подготовленного пользователя зачастую вызывает ступор, наличие подготовленной конфигурации от производителя и мастер быстрой настройки ситуацию спасают не всегда.

Ниже представленный материал описывает пошаговую настройку маршрутизатора MikroTik для дома или небольшого офиса от момента его подключения к электрической розетке до момента, когда роутер можно убрать на свое рабочее место и благополучно о нем забыть. Конфигурация включает в себя настройка проводных сетевых интерфейсов, работающих в локальной сети, настройка для работы с интернетом провайдера, настройка Wi-Fi, минимальная необходимая конфигурация Firewall и другие настройки для безопасной работы маршрутизатора и устройств подключенных к нему.

Настройка будет производиться на примере маршрутизатора MikroTik hAP ac^2 (RBD52G-5HacD2HnD), но другие устройства настраиваются точно так же, т.к. все маршрутизаторы работают под управлением единой системы RouterOS. Изначально настраиваемый экземпляр имел версию RouterOS 6.44. Настройка описывает подключение абонентов к сети интернет по технологии Ethernet.

Подготовка к настройке

Провод провайдера, по которому приходит интернет, не подключаем. Это будет сделано позже.

При первом входе в появившемся окне нажимаем кнопку Remove Configuration , это удалит все заводские настройки. Вот теперь, это абсолютно не настроенное устройство, мы будем конфигурировать под себя.

Настройка пользователей в MikroTik

В боковом меню выбираем Bridge . На вкладке Bridge нажимаем + . В открывшемся окне в поле Name вводим удобное для понимания имя и нажимаем OK .

Для чего это делать? В обычном домашнем роутере, например, D-Link DIR-300, есть пять ethernet портов + Wi-Fi, четыре порта подписаны от 1 до 4, они предназначены для проводного подключения домашних устройств. Эти четыре порта объединены в один Bridge, в который объединен и Wi-Fi, устройства, подключенные к этим портам и Wi-Fi, объединяются в локальную сеть. В устройствах MikroTik другой подход, каждый проводной порт и каждый интерфейс Wi-Fi может быть настроен отдельно, и то, что на роутере сзади написано первый порт интернет, а со второго по пятый это локальная сеть, является только для конфигурации по умолчанию, которую мы успешно удалили 🙂 В MikroTik не обязательно первый порт может служить для выхода в интернет, настроить для этого можно любой порт, или два отдельных порта, в случае использования двух провайдеров. Но мы пока рассматриваем классический пример, созданный Bridge будет объединять проводные и беспроводные порты для локальной сети.

Переходим на вкладку Ports . На вкладке Ports нажимаем + и последовательно по одному порту добавляем в созданный Bridge порты, к которым будут подключаться устройства локальной сети. Первый порт трогать не будем, он будет для подключения интернет, добавляем порты ethernet2 , ethernet3 , ethernet4 , ethernet5 . Сюда же добавляем интерфейсы wlan1 и, если есть, wlan2 (по умолчанию в устройствах MikroTik wlan1 это адаптер на 2.4GHz, wlan2 адаптер на 5GHz).

В соответствующие поля выбираем нужный интерфейс и созданный нами Bridge, нажимаем OK . Затем опять + , пока не добавим все необходимые интерфейсы.

• Address — IP адрес маршрутизатора, через / (прямой слеш) указываем маску подсети. Например, для нашей тестовой конфигурации будет 192.168.111.1/24. Префикс /24 соответствует маске 255.255.255.0 и позволяет использовать 254 адреса в локальной сети.
• Network — в данном случае пропускаем, после нажатия кнопки OK , данное поле будет заполнено само.
• Interface — выбираем созданный нами Bridge .

DHCP Server Interface — интерфейс, на котором будет работать данная конфигурация DHCP сервера, выбираем наш созданный ранее Bridge. Нажимаем Next .

DHCP Address Space — используемое адресное пространство для раздачи адресов, указывается как Network/Mask . Network мы могли видеть ранее, когда устанавливали IP адрес маршрутизатору, мы его не заполняли, но он установился сам, для данной конфигурации используем его. Mask — маска подсети, этот параметр тоже использовался ранее при назначении IP адреса маршрутизатору. Если ничего не понятно, что все это и зачем, то стоит почитать немного про сети, если лень, то делай как я :))) Для нашей конфигурации — это будет выглядеть так: 192.168.111.0/24 . Нажимаем Next .

Gateway For DHCP Network — адрес маршрутизатора в сети. Здесь всё просто, поскольку мы настраиваем устройство как маршрутизатор, и он у нас единственный в сети, то в поле записываем выданный нами ранее адрес маршрутизатора — 192.168.111.1 (Здесь маска сети не указывается!). Нажимаем Next .

Addresses to Give Out — диапазон IP адресов, выдаваемых DHCP сервером. Используемая маска /24 ограничивает нас количеством в 254 адреса, поскольку адрес 192.168.111.1 уже занят, то он не должен попадать в этот диапазон, если в сети нет других статических адресов, то можно использовать весь диапазон от 2 до 254. Описываемая конфигурация будет ограничиваться только сотней выдаваемых сервером адресов, 192.168.111.101 — 192.168.111.200 . Нажимаем Next .

DNS Servers — адрес(а) сервера(ов) предназначенных для получения IP адресов в сети по имени хостов/доменов. Тоже всё просто, если в сети нет отдельных серверов DNS, сервера провайдера не считаются, то это наш маршрутизатор. Для нашей конфигурации это 192.168.111.1 . Нажимаем Next .

Lease Time — Время аренды адреса. По истечении этого времени если адрес не используется, то он освобождается и может быть назначен другому устройству, если адрес используется, то аренда продлевается на время Lease Time. Одного часа достаточно. Next и нам сообщают об успешной настройке DHCP сервера.

Переходим на вкладку Networks . Дважды нажимаем на созданной конфигурации, в поле NTP Servers (серверы времени) записываем адрес нашего маршрутизатора. Теперь устройства, поддерживающие данную настройку, будут синхронизировать свои часы с маршрутизатором.

Перейдя на вкладку Leases можно увидеть, что одно устройство получило IP адрес в локальной сети, это компьютер, с которого происходит настройка маршрутизатора.

Настройка интернет на MikroTik

Закрываем все окна в WinBox. В боковом меню открываем Interfaces . Дважды нажимаем на интерфейсе ether1 , в поле Name пишем ehter1-wan , сохраняем нажав OK . Переименование сделано для удобства чтения конфигурации в будущем.

Переходим на вкладку Interface List , нажимаем кнопку Lists . В открывшемся окне создадим несколько новых списков интерфейсов. Списки удобно использовать что бы не добавлять в разных настройках несколько интерфейсов, достаточно использовать в настройке список, а необходимые интерфейсы добавлять уже в этот список. Последовательно добавляем списки нажав + .

• list-wan — список интерфейсов, подключенных к провайдерам. В описываемой конфигурации в списке будет один интерфейс, но список может оказаться полезным при использовании подключений VPN или подключении второго канала интернет.
• list-discovery — список интерфейсов, которые будут использоваться службами Neighbor Discovery и MAC Server. Используется для безопасности нашего устройства.

В списках должно быть две новых записи:

Закрываем окно редактирования Interface Lists . Добавляем в созданные списки необходимые интерфейсы.

• Интерфейс ether1-wan в список list-wan
• Созданный ранее Bridge интерфейс bridge-home в список list-discovery

В итоге должно получиться так:

• Chain — Input
• In Interface List — list-wan
• Connection State — отмечаем в окне первый не подписанный квадрат, он выделится восклицательным знаком, далее выбираем established и related

На вкладке Action в разделе Action выбираем drop . Нажимаем OK .

Созданное правило будет читаться так: Пакеты, приходящие на интерфейсы из списка list-wan не относящиеся (восклицательный знак в поле Connection State) к уже установленным и связанным подключениям будут отброшены. Цепочка (Chain) Input действует только на входящие пакеты, относящиеся к интерфейсам маршрутизатора. Действие (Action) drop отбрасывает все пакеты, попадающие под данное правило и в ответ, не отсылает никаких сообщений.

Создадим второе правило, точнее создадим его на основе первого. На созданном ранее правиле нажимаем дважды в открывшемся окне кнопку Copy , откроется окно создания нового правила, но с настройками как у предыдущего. В поле Chain нового правила выставляем forward . Закрываем оба правила клавишей OK.

Второе правило будет похоже на первое за тем исключением, что оно действует только на пакеты, приходящие на интерфейсы из списка list-wan, но которые транслируются дальше на устройства локальной сети.

Два этих правила, это минимальная необходимая настройка Firewall для защиты от несанкционированного доступа из сети интернет. Весь остальной трафик будет никак не ограничен маршрутизатором, но поскольку настройка Firewall это отдельная большая тема, то описывать ее в рамках этой статьи не будем.

Предоставляем доступ в интернет устройствам подключенных к локальной сети обслуживаемой маршрутизатором с помощью службы NAT. Переходим на вкладку NAT , добавляем новое правило + . В открывшемся окне в поле Chain выставляем srcnat , в поле Out Interface List — list-wan .

На вкладке Action в разделе Action выбираем masquerade . Нажимаем OK .

Некоторые провайдеры используют привязку MAC адреса интерфейса на своем оборудовании, поэтому перед подключением необходимо позвонить провайдеру и сообщить о том, что у вас поменялось устройство.

Если звонок провайдеру вызывает какие-либо проблемы, то можно сменить MAC адрес на интерфейсе, к которому подключается провод провайдера. К сожалению, в настройках интерфейсов нельзя сменить MAC адрес изменив соответствующее поле, но он меняется через команду в консоли. В боковом меню нажимаем New Terminal и в открывшемся окне вводим:

Соответственно вместо 00:00:00:00:00:00 вводим необходимый MAC адрес.

Теперь подключаем провод провайдера в порт 1 нашего устройства!

Назначаем IP адрес нашему интерфейсу, к которому будет подключен провод провайдера, в нашем случае это ether1-wan . IP адрес может быть назначен двумя способами.

• Получение IP адреса от оборудования провайдера по DHCP.
• Если первый вариант провайдером не поддерживается, то настройки вносятся в оборудование вручную.

Как назначается IP адрес обычно написано в договоре или памятке к договору, заключаемому с провайдером. Если нет уверенности, то узнать это можно в службе поддержки провайдера. Рассмотрим оба варианта.

Здесь рассмотрим поподробнее. В договоре провайдера маска обычно записывается в виде X.X.X.X (например, 255.255.255.0), а в MikroTik ее надо записать префиксом /Y (например, /24), что бы перевести одно в другое, а заодно рассчитать поле Network воспользуемся IP калькулятором (online калькулятор). В поле IP адрес, вносим адрес выданный провайдером, в поле маска подставляем подходящее значение, нажимаем Подсчитать .

В полученном расчете нам понадобятся Bitmask и Network . Для описываемой конфигурации в поле Address вводим IP адрес с префиксом маски 10.33.1.249/26 , в поле Network вводим 10.33.1.192 . Нажимаем OK .

После этого должен заработать интернет на маршрутизаторе и устройствах локальной сети. Бывает, что устройство необходимо перезагрузить, после чего все начинает работать.

Обновление RouterOS

Компания MikroTik постоянно выпускают обновления на свои устройства, без обновлений не остаются и старые устройства, поэтому рекомендуется периодически заходить в роутер и проверять доступность новой версии ПО.

Работа с пакетами

Распаковываем полученный архив, находим в распакованном каталоге файл ntp-xxx-yyy.npk (xxx — версия RouterOS, для которой подходит данный пакет, yyy — архитектура процессора). Версии установленной RouteOS и файла обязательно должны совпадать!

В WinBox в боковом меню открываем раздел Files . Перетаскиваем файл ntp-xxx-yyy.npk в корень раздела Files .

Что бы не занимать системные ресурсы маршрутизатора можно отключить некоторые пакеты. В домашних условиях пакеты hotspot и mpls не нужны, выделяем их и нажимаем кнопку Disable , если используемый маршрутизатор без встроенного Wi-Fi, то можно отключить пакет wireless . Т.к. данные пакеты являются частью RouterOS удалить их нельзя, а вот установленные пакеты, как пакет ntp из примера выше, можно не только отключать, но и удалить, для этого используется кнопка Uninstall . После пометки необходимых пакетов, окончательное отключение/удаление происходит после перезагрузки роутера.

Настройка синхронизации времени

Настройка сервера времени (NTP server). Для настройки сервера времени на устройствах MikroTik необходима установка пакета ntp из дополнительного архива пакетов Extra Packages (установка описана выше в данной статье).

Настройка синхронизации времени с внешним источником (NTP Client).

Настройка NTP Client’a может быть выполнена двумя способами.

• В системе не установлен пакет ntp из дополнительного архива пакетов Extra Packages
• В системе установлен пакет ntp из дополнительного архива пакетов Extra Packages

• Enabled — вкл.
• Primary NTP server — time.google.com
• Secondary NTP server — time1.google.com

• Enabled — вкл.
• Mode — unicast
• Primary NTP server — time.google.com
• Secondary NTP server — time1.google.com

Настройка Wi-Fi

Переходим на вкладку WiFi Interfaces . В hAP ac^2 в списке два беспроводных интерфейса wlan1 и wlan2. Интерфейс wlan1 это модуль на 2.4GHz, wlan2 на 5GHz, настраиваются они раздельно. Дважды нажимаем на интерфейсе wlan1 , переходим на вкладку Wireless , сбоку нажимаем кнопку Advanced Mode . Заполняем настройки:

• Mode — ap bridge
• Band — 2GHz-BGN
• Channel Width — 20MHz
• Frequency — рабочий канал, частота 2412MHz = channel 1, 2417MHz = channel 2, и т.д. Выбираем который посвободней.
• SSID — имя точки доступа, например, myhomewifi
• Security Profile — профиль безопасности. Выбираем из списка созданный ранее профиль.
• WPS mode — disabled
• Frequency Mode — manual-txpower
• Country — в этом пункте должна быть выставлена страна russia3, это значение ограничивает силу мощности излучаемого сигнала в соответствии с законодательством РФ.

Нажимаем кнопку Apply и Enable . Открываем в телефоне/планшете/компьютере раздел WiFi и пробуем подключиться к созданной точке доступа.

Заходим в интерфейс wlan2 . Переходим в Advanced Mode , настройка аналогичная настройке интерфейса wlan1.

• Mode — ap bridge
• Band — 5GHz-ANAC
• Channel Width — 20MHz
• Frequency — рабочий канал, частота 5180MHz = channel 36, 5200MHz = channel 40, и т.д. Выбираем который посвободней.
• SSID — имя точки доступа, например, myhomewifi. Некоторые любят разделять, добавив в конце _5G, что бы устройство соединялось только с 5GHz, спорное решение, т.к. те же многие так же подключают устройства и к 2.4GHz, а потом вручную выбирают необходимый. Если клиентское устройство хорошо ловит сигнал 5GHz оно само к нему подключится и при одинаковом названии точек для двух радиомодулей.
• Security Profile — профиль безопасности. Выбираем из списка созданный ранее профиль.
• WPS mode — disabled
• Frequency Mode — manual-txpower
• Country — в этом пункте должна быть выставлена страна russia3, это значение ограничивает силу мощности излучаемого сигнала в соответствии с законодательством РФ.

Нажимаем кнопку Apply и Enable . Открываем в телефоне/планшете/компьютере раздел WiFi и пробуем подключиться к созданной точке доступа, проверяем что бы устройство подключалось на частоте 5GHz.

Дополнительные настройки

MAC Ping Server Enabled отключаем совсем

Сделанные выше настройки уменьшат количество сервисов, по которым можно обнаружить и идентифицировать ваше устройство в сети, уменьшит количество возможностей подключения к устройству, а значит повысит защищенность устройства.

Заключение

Маршрутизатор можно убрать в далекий угол и заходить на него только для периодического обновления RouterOS.

Статья местами, наверно, получилась слишком подробной, но, как показывает практика, зачастую пользователи покупают MikroTik, не имея какой-либо подготовки в работе с подобным оборудованием.

Для тех кому стало как минимум любопытно, то рекомендуется к прочтению:

Распаковка и сброс настроек

И так, к нам в руки попал один из роутеров, первым делом нам нужно установить на компьютер утилиту для настройки – mikrotik winbox. Через нее конфигурируются все роутеры данной фирмы, только коммутаторы используют для этих целей web-интерфейс (и то не все).

После входа выводится окно «RouterOS Default Configuration» со стандартными настройками от производителя. Их стоит оставить только в том случае если вы дальше ничего настраивать не будете. Так как для новичка разобраться в них будет сложно, поэтому сбрасываем MikroTik нажав на кнопку «Remove Configuration».

Заметка! Полностью сбросить настройки также можно нажав и удерживая сзади устройства кнопку Reset или набрать в терминале system reset. Почитать об это можно тут. Теперь примерно через минуту он перезагрузится, и мы снова подключаемся к нему.

Общее

WinBox – это приложение для управления устройствами на базе Mikrotik RouterOS, использующее легкий для системы и простой для пользователя интерфейс. WinBox выпускается только для Windows, но также возможен запуск утилиты с помощью эмуляторов под Linux или MacOS.

Полезные материалы по MikroTik

Winbox has MDI interface meaning that all menu configuration (child) widows are attached to main (parent) Winbox window and are showed in work area.

Child windows can not be dragged out of working area. Notice in screenshot above that Interface window is dragged out of visible working area and horizontal scroll bar appeared at the bottom. If any window is outside visible work area boundaries the vertical or/and horizontal scrollbars will appear.

Each child window has its own toolbar. Most of the windows have the same set of toolbar buttons:

Almost all windows have quick search input field at the right side of the toolbar. Any text entered in this field is searched through all the items and highlighted as illustrated in screenshot below

Notice that at the right side next to quick find input filed there is a dropdown box. For currently opened (IP Route) window this dropdown box allows to quickly sort out items by routing tables. For example if main is selected, then only routes from main routing table will be listed. Similar dropdown box is also in all firewall windows to quickly sort out rules by chains.

Sorting out displayed items

Almost every window has a Sort button. When clicking on this button several options appear as illustrated in screenshot below

Example shows how to quickly filter out routes that are in 10.0.0.0/8 range

• Press Sort button
• Chose Dst.Address from the first dropdown box.
• Chose in form the second dropdown box. «in» means that filter will check if dst address value is in range of specified network.
• Enter network against which values will be compared (in our example enter «10.0.0.0/8»)
• These buttons are to add or remove another filter to the stack.
• Press Filter button to apply our filter.

As you can see from screenshot winbox sorted out only routes that are within 10.0.0.0/8 range.

Comparison operators (Number 3 in screenshot) may be different for each window. For example «Ip Route» window has only two is and in. Other windows may have operators such as «is not», «contains», «contains not».

Winbox allows to build stack of filters. For example if there is a need to filter by destination address and gateway, then

• set first filter as described in example above,
• set up seconf filter to filter by gateway
• press Filter button to apply filters.

Customizing list of displayed columns

By default winbox shows most commonly used parameters. However sometimes it is needed to see another parameters, for example «BGP AS Path» or other BGP attributes to monitor if routes are selected properly.

Winbox allows to customize displayed columns for each individual window. For example to add BGP AS path column:

• Click on little arrow button (1) on the right side of the column titles or right mouse click on the route list.
• From popped up menu move to Show Columns (2) and from the sub-menu pick desired column, in our case click on BGP AS Path (3)

Changes made to window layout are saved and next time when winbox is opened the same column order and size is applied.

Detail mode

It is also possible to enable Detail mode. In this mode all parameters are displayed in columns, first column is parameter name, second column is parameter’s value.

To enable detail mode right mouse click on the item list and from the popupmenu pick Detail mode

Category view

It is possible to list items by categories. In tis mode all items will be grouped alphabetically or by other category. For example items may be categorized alphabetically if sorted by name, items can also be categorized by type like in screenshot below.

To enable Category view, right mouse click on the item list and from the popupmenu pick Show Categories

Drag & Drop

It is possible to upload and download files to/from router using winbox drag & drop functionality. You can also download file by pressing right mouse button on it and selecting «Download».

Note: Drag & Drop does not work if winbox is running on Linux using wine. This is not a winbox problem, wine does not support drag & drop.

Traffic monitoring

Winbox can be used as a tool to monitor traffic of every interface, queue or firewall rule in real-time. Screenshot below shows ethernet traffic monitoring graphs.

Item copy

This shows how easy it is to copy an item in Winbox. In this example, we will use the COPY button to make a Dynamic PPPoE server interface into a Static interface.

This image shows us the initial state, as you see DR indicates «D» which means Dynamic:

Double-Click on the interface and click on COPY:

A new interface window will appear, a new name will be created automatically (in this case pppoe-in1)

After this Down/Up event this interface will be Static:

Настройка wifi точки доступа на MikroTik

По правде сказать, Wi-Fi это очень объёмная тема, которую можно расписать на пару статей. Здесь же я покажу как быстро настроить wifi на микротике для домашних нужд или не большого офиса. Если же вам нужно разобрать во всем детальнее (ccq, ширина канала и т.д) то мы позже напишем статью и на эту тему.

По умолчанию wlan интерфейс выключен, поэтому идем и включаем его в разделе Wireless.

Далее надо настроить Security Profile – это место где мы задаем параметры безопасности для точки доступа.

• Переходим в нужную вкладку;
• Открываем двумя кликами «default» профйал;
• Указываем – dynamic keys;
• Тип авторизации отмечаем – WAP PSK, WAP2 PSK, aes ccm;

Здесь закончили, сохраняем все и переходим в разделе Wireless на вкладку interfaces, двойным щелчкам открываем wlan1. Дальше указываем все так как у меня.

Здесь стоит обратить внимание на следующие параметры:

• SSID –это имя точки доступа которое будут видеть WI-FI устройства;
• Mode – ap bridge, ставьте именно это значение.

Такие значение как «Frequency» делайте как на скриншоте, это например частота канала. Ее по-хорошему нужно выбирать после анализа частотного спектра, но, если вы не знаете, что это ставьте любое значение, работать будет.  На этом настройка роутера микротик с нуля закончена, можно пользоваться.

Шелкам правой кнопкой мышки на имя и выбираем поле «Password». В открывшемся окне собственно вводим и подтверждаем его. Всем пока надеюсь, что статья была полезной, оставляете свои вопросы в комментариях и вступайте в нашу группу Телеграмм (откроется новая страница в браузере – нажмите на кнопку открыть в Telegram).

Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдете для себя полезную информацию в курсе «Настройка оборудования MikroTik». 162 видеоурока, большая лабораторная работа и 89 вопросов, на каждый из которых вы будете знать ответ. Подробности и доступ к началу курса бесплатно тут.

Upgrading and installation

MikroTik devices are preinstalled with RouterOS, so installation is usually not needed, except in the case where installing RouterOS on an x86 PC. The upgrade procedure on already installed devices is straight forward.

Варианты подключения к маршрутизатору

Существует три основных способа подключения к устройству MikroTik:

• WebFig — веб-интерфейс
• WinBox — подключение с помощью специально утилиты
• Консольное подключение — подключение с помощью протоколов SSH или Telnet

Web интерфейс (WebFig)

Утилита осуществляющая управление RouterOS через web-интерфейс называется WebFig. С помощью нее вы можете просматривать, управлять и диагностировать состояние маршрутизатора. Доступ осуществляется через обычный Интернет-браузер. Вам необходимо ввести адрес маршрутизатора, далее ввести учетные данные и вы попадете на страницу быстрой настройки. Общий вид интерфейса представлен на изображении ниже. Смена вариантов оформления доступна только в этом способе управления.

Доступ к консоли может осуществляться средствами — серийного порта, telnet, SSH или окна терминала в приложении Winbox. Подключиться к консоли через серийный порт, telnet или SSH можно с помощью клиента Putty.

Параметры для подключения через серийный порт(для всех моделей кроме RouterBOARD 230):

115200bit/s, 8 data bits, 1 stop bit, no parity, flow control=none by default.

Параметры для подключения через серийный порт(для модели RouterBOARD 230):

9600bit/s, 8 data bits, 1 stop bit, no parity, hardware (RTS/CTS) flow control by default.

Настройка локальной сети

Первым делом давайте создадим локальную сеть для нашего офиса или дома. Особенностью микротик является то что все порты у него равны, то есть нет определенно выделенного порта под интернет, а другие под локалку. Мы можем сами выбирать как нам угодно, для этого есть механизм «Bridge».  Простым языком Бридж это – объединение физических портов в пул логических (грубо говоря в один широковещательный домен). Замечу что Wi-Fi является тоже интерфейсов и если мы хотим, чтоб в нем была та же LAN сеть что и в портах, его также нужно добавить в Bridge.

В моем примере я сделаю WAN порт пятым, а все остальные объединим в бридж, и они будет в роли свитча.

• Переходим в нужный раздел;
• Создаем сам бридж;
• Сохраняем.

Все настройки в данном месте у микротика можно оставить по умолчанию, на ваше усмотрение поменяйте название на более понятное, например, «bridge_lan». Переходим на следующую вкладку «port» и добавляем через кнопку плюс все порты кроме ether5.

Первый этап конфигурирования интерфейсов на уровне портов закончен, теперь у нас в ether1,2,3,4 и wlan1 единый широковещательный домен, а ether5 для подключения к провайдеру.

License issues

When upgrading from older versions, there could be issues with your license key. Possible scenarios:

RouterOS mass upgrade

You can upgrade multiple MikroTik routers within few clicks. Let’s have a look on simple network with 3 routers (the same method works on networks with infinite numbers of routers),

RouterOS auto-upgrade

Sub-menu: /system package update

You can automate the upgrade process by running a script in the system scheduler. This script queries the MikroTik upgrade servers for new versions, if the response received says «New version is available», the script then issues the upgrade command:

RouterOS can download software packages from a remote MikroTik router.

• Make one router as a network upgrade central point, that will update MikroTik RouterOS on other routers.
• Upload necessary RouterOS packages to this router (in the example, mipsbe for RB751U and PowerPC for RB1100AHx2).
• Click on refresh to see available packages, download the newest packages and reboot the router to finalize the upgrade.

The Dude auto-upgrade

Dude application can help you to upgrade the entire RouterOS network with one click per router.

• Set type RouterOS and correct password for any device on your Dude map, that you want to upgrade automatically,
• Upload required RouterOS packages to Dude files
• Upgrade RouterOS version on devices from RouterOS list. Upgrade process is automatic, after a click on upgrade (or force upgrade), the package will be uploaded and the router will be rebooted by the Dude automatically.

The Dude hierarchical upgrade

For complicated networks, when routers are connected sequentially, the simplest example is 1router-2router-3router connection. You might get an issue, 2router will go to reboot before packages are uploaded to the 3router. The solution is Dude groups, the feature allows to group routers and upgrade all of them by one click!