Программа для подключения к микротику

Это инструкция, как пошагово настроить роутер MikroTik с нуля без использования заводской конфигурации.

Основное

Самое важное – это определиться какие методы управления вам необходимы. Рекомендую оставлять 2, максимум 3, остальное отключаем. В моей демонстрации я буду показывать подключение по Winbox, SSH и WEB.

Выделяем все сервисы через CTRL + A, зажимаем CTRL и кликаем на нужные сервисы, отключаем через крестик. В итоге должна получиться следующая картина.

Давайте разберём тему по настройке удалённого доступа к MikroTik через интернет, поговорим о нюансах, с которыми вы столкнитесь в реальном мире, а также ответим на вопрос «Как подключаться к микротику, который находится за микротиком?»

Обращаю ваше внимание, что основополагающим в схеме удалённого подключения через интернет является наличие хотя бы одного публичного IP адреса на пограничном маршрутизаторе.

Описание сетевых интерфейсов

Конфигурация сетевых интерфейсов MikroTik будет выглядеть следующим образом: первый порт ether1 будет подключен к провайдеру (WAN порт), остальные порты ether2-5 будут работать в режиме коммутатора для подключения компьютеров локальной сети.

Чтобы не путать сетевые интерфейсы, опишем их с помощью комментариев.

Входим в настройки MikroTik с помощью программы Winbox.

Теперь в списке интерфейсов четко видно их назначение.

В этой статье мы расскажем, как быстро настроить Wi-Fi точку MikroTik на прием интернета с помощью упрощенного меню Quick Set.

Данная инструкция подойдет для всех Wi-Fi точек MikroTik с операционной системой RouterOS Level3 и выше: SXT Lite2, SXT Lite5, Groove 52HPn, SXT 5 ac, SXT G-2HnD и др.

Настройку можно выполнять через Web-браузер или программу Winbox для ОС Windows. Удобнее всего это делать через Winbox, поскольку программа умеет подключаться к устройству не только по IP адресу, но и по MAC адресу.

Иногда после сброса устройства к заводским настройкам ей не присваивается стандартный IP адрес 192.168.88.1. В этом случае необходимо подключиться к устройству по MAC адресу с помощью программы Winbox и применить стандартную конфигурацию.

В статье будет рассмотрена настройка с помощью программы Winbox. Настройка через Web-браузер выполняется аналогичным образом.

Смена стандартного пароля администратора

Чтобы никто, кроме администратора, не смог зайти в настройки Wi-Fi точки, нужно поставить пароль. По умолчанию пароля нет.

Для этого в разделе System в поле Password введите новый пароль и подтвердите его в поле Confirm Password.

В конце нажимаем кнопку OK, чтобы сохранить все настройки.

Теперь к клиентской Wi-Fi точке MikroTik можно подключить по кабелю Wi-Fi роутер или коммутатор, чтобы раздать интернет нескольким абонентам.

Полезные материалы по MikroTik

На Telegram-канале Mikrotik сэнсей можно получить доступ к закрытой информации от официального тренера MikroTik. В апреле и мае 2023 будут разбираться темы Wi-Fi и QoS. Подписывайтесь

Вход в настройки роутера MikroTik

Выполнить настройку роутера MikroTik можно разными способами:

Мы будем настраивать роутер Mikrotik с помощью программы Winbox.

Подключаемся к роутеру MikroTik:

Изменения в MikroTik RouterOS

В разделе Configuration выберите режим работы Router.

Если ваш провайдер выдает сетевые настройки автоматически по DHCP, то в разделе Wireless Network сделайте следующие настройки:

Если провайдер использует статические сетевые настройки, в разделе Wireless Network сделайте следующие настройки:

Если провайдер использует соединение по PPPoE, в разделе Wireless Network сделайте следующие настройки:

Теперь выполним настройку локальной сети в разделе Local Network:

89 вопросов по настройке MikroTik

Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдете для себя полезную информацию в курсе «Настройка оборудования MikroTik». 162 видеоурока, большая лабораторная работа и 89 вопросов, на каждый из которых вы будете знать ответ. Подробности и доступ к началу курса бесплатно тут.

Приоритизация трафика (QoS)

Сначала подключите беспроводную точку к компьютеру через POE инжектор, как показано на рисунке. После настройки Wi-Fi точку можно будет отключить от компьютера и подключить к маршрутизатору или коммутатору.

Настройка работы в режиме Bridge

Выберите в разделе Configuration режим работы Bridge.

Если вы хотите, чтобы клиентская Wi-Fi точка получала сетевые настройки от провайдера автоматически по DHCP, то в разделе Bridge выполните следующие настройки:

Если вы используете статические сетевые настройки, в разделе Bridge выполните следующие настройки:

Заглавная страница

Материал из MikroTik Wiki

Все о MikroTik на русском языке. Характеристики, списки совместимости и сравнение оборудования. Информация по настройке: маршрутизации, Wi-Fi, VPN, Firewall, VLAN, QoS и много другого. Рекомендации по обучению: онлайн и очному.

Выбор режима работы

Сначала в левом верхнем углу выбираем режим CPE (клиент).

В разделе Configuration необходимо выбрать режим работы сети.

Режим Router — используют, когда подключаются к Wi-Fi точке или базовой станции провайдера и хотят скрыть клиентов, которые будут находится за точкой, в отдельную подсеть. Иначе каждому клиенту потребовалось бы заключать договор с провайдером на подключение к интернету. В этом режиме провайдер не видит абонентов, находящихся за клиентской Wi-Fi точкой. Беспроводная точка играет роль маршрутизатора (интернет шлюза) для клиентов.

Клиентская Wi-Fi точка позволяет подключить по кабелю только один компьютер. Но если к устройству подключить Wi-Fi роутер, то вы сможете раздавать интернет по Wi-Fi и по кабелю нескольким абонентам (компьютерам, смартфонам, телефонам).

Если вы используете Wi-Fi точку для подключения к соседскому Wi-Fi роутеру, рекомендуем использовать режим Router. Бывают ситуации, когда в режиме Bridge клиентская точка подключается к Wi-Fi роутеру и получает автоматические сетевые настройки, но компьютер не может получить настройки и выйти в интернет. В этом случае используйте режим Router.

Режим Bridge — используют, когда необходимо видеть все устройства, находящиеся за клиентской Wi-Fi точкой. При этом все абоненты находятся в одной сети и могут передавать данные друг другу.

Например, у вас есть главный офис и несколько удаленных складов, которые нужно объединить в общую компьютерную сеть. Для данной задачи больше подойдет режим Bridge. При использовании этого режима центральный роутер предприятия будет раздавать автоматические сетевые настройки всем компьютерам в сети, включая удаленные склады.

Подключение к микротику за микротиком RoMON

Тема довольно интересная. Хороша она тем, что простой проброс порта у вас не сработает, как не старайся. К тому же это не безопасно, вы же помните за «желтолицых»?

RoMON – протокол передачи данных, позволяющих подключаться к устройствам на L2. Доступен с RouterOS 6.28. У каждого устройства должен быть ID, обычно он равен MAC адресу интерфейса.

В моем стенде есть домашний роутер и виртуалка за ним CHR. Включим сначала на пограничном роутере Tools – RoMON.

Включаем и задаём пароль. После включения генерится ID.

Если хотите что-то не стандартное на уровне портов, то вам в Ports.

Открываем CHR и делаем то же самое, он даже может не иметь IP адрес, но пароль должен быть идентичен!

Далее берём Winbox, и подключаемся к белому адресу (в моем стенде я буду использовать серый, но сути не меняет, оно будет работать как снаружи, так и внутри) и жмём Connect To RoMON.

Далее открывается вкладка RoMON Neighbors, в которой будут видны, все агенты.

А теперь взгляните на строку подключения.

В этой демонстрации я показал простое использование RoMON, вы можете крутить его, как угодно, в реальной жизни лучше создавать Management VLAN и вешать именно на него.

На этом пожалуй все способы настройки удалённого доступа к Mikrotik закончены. Чтобы не запоминать сложные публичные IP адреса, используйте DNS или DDNS (IP – Cloud).

Настройка WAN интерфейса MikroTik

Если Ваш провайдер блокирует доступ к сети по MAC адресу, то необходимо сначала изменить MAC адрес WAN порта роутера MikroTik. В противном случае пропустите этот пункт.

Чтобы изменить MAC адрес порта MikroTik, открываем в программе Winbox меню New Terminal и вводим команду:

/interface ethernet set ether1 mac-address=00:01:02:03:04:05

, где ether1 — имя WAN интерфейса, 00:01:02:03:04:05 — разрешенный MAC адрес.

Чтобы вернуть родной MAC адрес порта, нужно выполнить команду:

/interface ethernet reset-mac ether1

, где ether1 — имя интерфейса.

Настройка Dynamic IP

Если интернет провайдер выдает Вам сетевые настройки автоматически, то необходимо настроить WAN порт роутера MikroTik на получение настроек по DHCP:

Теперь мы получили IP адрес от провайдера, который отображается в столбце IP Adress.

Проверим, что есть связь с интернетом:

Как видим, идут пинги по 60ms, значит интернет подключен и работает. Остановить выполнение команды можно комбинацией клавиш на клавиатуре Ctrl+C.

На компьютерах, подключенных к роутеру MikroTik, интернет не будет работать, пока вы не настроите локальную сеть, Firewall и NAT.

Настройка Static IP

Если вы используете статические сетевые настройки, необходимо настроить WAN порт роутера MikroTik вручную.

Настроим статический IP адрес и маску подсети WAN порта MikroTik :

Настроим адрес интернет шлюза MikroTik:

Добавим адреса DNS серверов MikroTik:

Проверим, что есть доступ к интернету:

Как видим, идут пинги по 60ms, значит интернет подключен и работает. Остановить выполнение команды можно комбинацией клавиш на клавиатуре Ctrl+C.

Настройка PPPoE

Если вы используете ADSL модем, к которому по сетевому кабелю подключен роутер MikroTik, сначала необходимо настроить ADSL модем в режим Bridge (мост).

Настроим клиентское PPPoE соединение на роутере MikroTik:

Настраиваем параметры PPPoE соединения MikroTik:

После создания PPPoE соединения напротив него должна появиться буква R, которая говорит о том, что соединение установлено.

Изменение пароля доступа к роутеру MikroTik

Чтобы изменить пароль доступа к роутеру MikroTik, выполните следующие действия:

Настройка Wi-Fi точки доступа MikroTik

Сначала необходимо включить Wi-Fi модуль:

Создаем пароль для подключения к точке доступа MikroTik:

Настраиваем параметры Wi-Fi точки MikroTik:

Теперь можно подключаться к роутеру по Wi-Fi.

На компьютерах, подключенных к роутеру MikroTik по Wi-Fi, интернет не будет работать, пока вы не настроите Firewall и NAT.

Winbox

Пожалуй, самая любимая моя вещь. Здесь есть нюанс. Многие для доступа к управлению с телефона оставляют включённый WWW или в лучшем случае WWW-SSL. Я не сторонник выставления любых веб-сервисов наружу т.к. это довольно популярное направление атак. Хитрость заключается в том, что если вы выставляете порт Winbox наружу, то вы легко подключитесь через мобильное приложение TikApp (работает на Android), тем самым двух зайцев одним выстрелом.

Чтобы совсем спокойнее было, я ещё ставлю не стандартный порт. Двойным кликом открываем настройку сервиса и меняем порт.

Далее открываем данный порт на input в firewall.

Подключаемся внутри сети к Winbox по не стандартному порту.

Аналогично и снаружи, по прямому белому адресу или по доменному имени, или по DDNS Mikrotik.

Проверим через TikApp.

Если нажата галочка «Сохранить пароль», то в случае успешного подключения, данные коннекта сохранятся во вкладке «Сохранённые»

Настройка Firewall и NAT

Чтобы компьютеры получали доступ к интернету, необходимо настроить Firewall и NAT на роутере MikroTik.

Откройте меню New Terminal для ввода команд.

Настройка NAT выполняется следующими командами:

ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade

, где ether1 — это интерфейс, на который приходит интернет от провайдера. Для PPPoE соединений указывается название PPPoE интерфейса.

Настройки NAT достаточно, чтобы заработал интернет.

Protect router — команды для защиты роутера:

ip firewall filter add action=accept chain=input disabled=no protocol=icmpip firewall filter add action=accept chain=input connection-state=established disabled=no in-interface=ether1ip firewall filter add action=accept chain=input connection-state=related disabled=no in-interface=ether1ip firewall filter add action=drop chain=input disabled=no in-interface=ether1

Protect LAN — защита внутренней сети:

ip firewall filter add action=jump chain=forward disabled=no in-interface=ether1 jump-target=customerip firewall filter add action=accept chain=customer connection-state=established disabled=noip firewall filter add action=accept chain=customer connection-state=related disabled=noip firewall filter add action=drop chain=customer disabled=no

Назначаем типы интерфейсов для подключения к сети устройств с поддержкой технологии Universal Plug and Play (external — внешний, internal — внутренний LAN):

ip upnp interfaces add disabled=no interface=ether1 type=externalip upnp interfaces add disabled=no interface=ether2 type=internalip upnp interfaces add disabled=no interface=ether3 type=internalip upnp interfaces add disabled=no interface=ether4 type=internalip upnp interfaces add disabled=no interface=ether5 type=internalip upnp interfaces add disabled=no interface=bridge-local type=internal

SSH

Аналогично предыдущего пункта, изменим порт по умолчанию. Почему мы это делаем? Потому что «желтолицые» ребята не дремлют и сканируют/брутфорсят девайсы с публичными адресами.

И создадим правило фаервола на input с action accept.

В принципе, вы можете не создавать новое, а дописать в предыдущее дополнительный порт через запятую. Но тогда вы не поймёте, что относится к Winbox, а что к SSH. Тут уже все зависит от ваших предпочтений, но конечно, чем меньше правил, тем лучше.

Настройка Wi-Fi подключения

Теперь выполним Wi-Fi подключение к базовой станции провайдера.

В разделе Wireless выполните следующие настройки:

После произведенных настроек должен появиться Status: connected to ess и параметры подключения.

Если вы настраивали клиентскую точку на работу в подсети отличной от 192.168.88.xxx, то не забудьте в настройках сетевой карты компьютера изменить сетевые настройки на необходимую подсеть. Иначе у вас не будет доступа к интернету.

Что есть у Mikrotik

Давайте взглянем для начала, что вообще есть из сервисов удалённого управления. Открываем IP-Services.

Если вы хотите углубить свои знания по работе с роутерами MikroTik, то наша команда рекомендует пройти курсы которые сделаны на основе MikroTik Certified Network Associate и расширены автором на основе опыта . Подробно читайте ниже.

Как видно из скриншота выше, все порты установлены стандартные и все сервисы включены (т.е. по ним можно подключиться).

Настройка сетевой карты компьютера

Чтобы попасть в настройки Wi-Fi точки Mikrotik, необходимо настроить сетевую карту компьютера на IP адрес из одной подсети, например 192.168.88.21.

Далее идите в Изменение параметров адаптера.

Щелкните правой кнопкой мыши на Подключение по локальной сети и выберите Свойства.

Выберите Протокол Интернета версии 4 (TCP/IPv4) и нажмите кнопку Свойства.

Чтобы на компьютере можно было зайти в настройки роутера Mikrotik, настроим сетевую карту на получение автоматических настроек.

Перейдем в «Изменение параметров адаптера».

Нажимаем правой кнопкой мыши на «Подключение по локальной сети» и выбираем «Свойства»

Нажимаем на «Протокол Интернета версии 4 (TCP/IPv4)» и кнопку «Свойства».

Если сетевая карта не получает автоматически IP адрес из подсети 192.168.88.x, попробуйте его указать вручную (например: 192.168.88.21) или сбросить роутер Mikrotik к заводским настройкам.

Сброс настроек

Если вы что-то перемудрили с настройками и не можете зайти в устройство, выполните его сброс к заводским настройкам.

После этого устройству присвоится стандартный IP адрес 192.168.88.1, и появится доступ к настройкам через Web-интерфейс.

Удаленно настраиваем оборудование. Стоимость. Vodafone: +38 095 406-06-02Киевстар: +38 067 675-65-55Life: +38 093 889-78-96

Если вы настраиваете Wi-Fi точку MikroTik через Web-браузер (Internet Explorer или другой), напишите в адресной строке 192.168.88.1 — это IP адрес по умолчанию для устройств MikroTik.

Внимание! В Web-браузере в настройках не должен быть указан proxy-сервер

Мы будем настраивать Wi-Fi точку MikroTik с помощью программы, поэтому скачиваем Winbox с сайта производителя и запускаем.

Перейдите на вкладку Neighbors и нажмите кнопку Refresh. В списке должна появится ваша точка.

Обратите внимание, что если нажать на MAC адрес, то мы будем подключаться к устройству по MAC адресу.

Если нажать на IP адрес, то будем подключаться к устройству по IP адресу.

Если вы подключили и настраиваете устройство впервые, то появится окно, как на картинке ниже. Оно предлагает применить стандартные заводские настройки. Нажмите кнопку OK.

Откройте слева меню Quick Set.

В появившемся окне будем выполнять настройку Wi-Fi точки MikroTik на прием интернета от другой беспроводной точки.

Настройка локальной сети MikroTik

Чтобы компьютеры, подключенные к роутеру по кабелю и по Wi-Fi, друг друга «видели», необходимо объединить беспроводной и проводные интерфейсы MikroTik. Если у вас роутер без Wi-Fi, то объединяете только проводные интерфейсы.

Создаем объединение bridge-local (мост);

Добавляем в объединение проводные ethernet порты 2-5:

Добавляем в объединение Wi-Fi интерфейс.

Назначение IP адреса локальной сети

Настроим IP адрес локальной сети MikroTik:

Настройка DHCP сервера

Чтобы компьютеры, подключенные к роутеру, получали сетевые настройки автоматически, настроим DHCP сервер MikroTik:

Теперь сетевой кабель компьютера отключаем от роутера и еще раз подключаем к нему.

Сброс настроек роутера

Сбросим все настройки роутера MikroTik.

При первом входе у вас появится окно, как на картинке ниже. Нажмите кнопку Remove Configuration и дождитесь перезагрузки устройства.

Если у вас не появилось данное окно, сбросим настройки через меню:

Беспроводные сети (Wi-Fi)

Для настройки Wi-Fi роутера MikroTik нам понадобятся:

Схема подключения роутера MikroTik:

Беспроводные устройства Wi-Fi

Чтобы сбросить MikroTik к заводским настройкам выполните следующее:

Если вы войдете в настройки с помощью программы Winbox, то появится следующее окно:

C помощью кнопки OK можно выполнить быструю настройку роутера по умолчанию.

Кнопка Remove Configuration позволяет сбросить все настройки для последующей ручной настройки роутера.

Web

Ранее я говорил, что лучше http-сервисы не выставлять наружу. Сейчас мы разрешим подключаться по web только изнутри компании. Открываем сервис для редактирования и указываем нашу подсеть, применяем.

Столбец Available From изменился. Вы можете указать сколько угодно подсетей и адресов не только для данного сервиса, а для любого в целом.

Если указано хотя бы одна сеть Available From, то сервис не позволит подключиться с других, не подпадающих в диапазон.

В некоторых ситуациях может не устроить, что Winbox и SSH доступны снаружи, тогда в их свойствах добавляете нужные подсети и адреса, к примеру локальную и VPN.

Следующий важный момент в правиле фаервола, это указание Src. Address

В чем вы спросите изюминка?

/ip firewall filter

add action=accept chain=input comment=in-E&R-Allow connection-state=established,related

add action=drop chain=input comment=in-All-Drop

Тем самым организовали 2 уровня его защиты.

Решение проблем с подключением

В последних прошивках в меню Quick Set глючит режим клиента CPE. Проблема в том, что QuickSet не правильно сохраняет пароль для подключения к Wi-Fi точке. В этом случае вы увидите, что устройство постоянно находится в поиске сети со Status: searching for network, как показано на рисунке.

В логах будут сообщения об ошибке MIC failure

, как на картинке ниже.

Чтобы это исправить сделайте следующее:

После этого устройство должно подключиться к базовой станции в режиме клиента. Чтобы проверить это, откройте меню Quick Set. У вас должен появиться Status: connected to ess и параметры подключения.