Чтобы пользователи локальной приватной сети ( bridge-private ) могли пользоваться интернетом, разрешите пропускание их соединений на интерфейс провайдера ( wan1 ): Если в поле DNS Name сразу после применения функции не появится сгенерированное имя сервера, то необходимо нажать кнопку Force Update и немного подождать. Первым делом, на ведущем маршрутизаторе RB2011 с сервером PPtP, необходимо включить функцию DDNS так как выдается реальный динамический IP-адрес и при каждом новом подключении он может меняться.

Sergey Lagovskiy

MikroTik Router OS предоставляет несколько инструментов для настройки и управления системой, пожалуй, основными являются консоль (telnet, ssh) и winbox.
В этой статье я попробую рассказать про плюсы и минусы обоих методов, а так же как читать консольные команды и представлять их в виде графического интерфейса winbox.

Winbox представляет из себя небольшую утилиту, размером в несколько десятков килобай. При запуске будет выдан запрос адреса устройства, к которому необходимо подключиться, а так же имя и пароль.

В новом интерфейсе есть возможность сохранить настройки к нескольким устройствам, а так же экспортировать их в отдельный файл, но будьте внимательны, пароли очень даже легко читаются в этом экспортном файле.

Следующим шагом winbox скачивает с роутера файлы интерфейса, причем от версии к версии эти файлы меняются, так что будьте готовы к тому, что до 20мб трафика на это уйдет.

Как видно от версии к версии основное меню все так же остается на прежнем месте, вертикальный список с левой стороны, оно практически полностью повторяет основное меню консольного интерфейса:

Практически каждое окно настроек содержит одинаковый набор инструментов:

Рассмотрим несколько примеров работы с интерфейсом.

Вводим адрес в поле Address, через «/» указываем маску, поля Network и Broadcast будут автоматически рассчитаны.

В поле Interface выбираем интерфейс, которому назначается адрес.

По нажатию на кнопку Comment можно добавить комментарий.

Кнопками Enable/Disable активируется или выключается этот адрес.

Кнопкой Copy можно продублировать запись, кнопка Remove удаляет адрес.

Тоже самое можно записать в виде консольной команды:
Попробую представить это все вместе и разделить действие на блоки, каждому блоку назначу определенный цвет.

Добавление правила в Firewall rules:

Разрешить трафик с адреса 192.168.0.2 на любые адреса по 80 порту, плюс добавить комментарий к правилу. Набор кнопок тот же самый, только добавляется возможность сброса счетчиков.

Описание	Консоль
Добавить ip адрес 192.168.0.1 с маской 255.255.255.0 на сетевой интерфейс LOCAL и вставить комментарий «Local network»	ip address add address=192.168.0.1 /24 interface=LOCAL comment=»Local network»
Winbox

Добавление правила в Firewall rules:

Мнение эксперта

Черноволов Александр Петрович, специалист по вопросам мобильной связи и интернета

Со всеми вопросами смело обращайтесь ко мне!

Задать вопрос эксперту

Как видно от версии к версии основное меню все так же остается на прежнем месте, вертикальный список с левой стороны, оно практически полностью повторяет основное меню консольного интерфейса. Если у вас не выходит разобраться в проблеме, пишите мне!

MikroTik hAP AC: обеспечение безопасности

Предполагается, что вы выполнили все инструкции из первой части 3 , и ваш роутер доступен в локальной сети по IP-адресу 192.168.0.254 . Если собираетесь использовать устройства MikroTik на серьезном уровне, стоит отказаться от Winbox уже сейчас, отдав предпочтение SSH. Но провернуть подобную операцию с Windows не так просто из стандартного набора программ выпилили Telnet, а качать сторонний софт не всегда возможно.

Настройка SSH-аутентификации

Загрузите SSH-ключ на роутер, используя встроенный в Winbox файловый менеджер. (При необходимости сгенерируйте новую пару 4 .) Из главного меню перейдите в раздел Files, нажмите кнопку Upload, выберите файл публичной части ключа на локальном компьютере. По окончании загрузки он появится в корне файловой системы роутера.

Перейдите в раздел System — Users, во вкладке SSH Keys нажмите кнопку Import SSH Key. Укажите имя пользователя—владельца ключа, в поле Key File выберите только что загруженный файл. (После импорта файл будет автоматически удален с диска.)

Мнение эксперта

Черноволов Александр Петрович, специалист по вопросам мобильной связи и интернета

Со всеми вопросами смело обращайтесь ко мне!

Задать вопрос эксперту

Если программа не видит Микротик, проверьте не закрыт ли порт 8291, можно подключиться через web интерфейс по ssh или telnet, при подключении по ssh или telnet в консоли даем команду. Если у вас не выходит разобраться в проблеме, пишите мне!

Настройка роутера Mikrotik на примере RB951Ui-2HnD

Конфигурация системных служб

Службы IP

В разделе IP — Services представлен список системных служб роутера. Каждая включенная — потенциальная угроза безопасности.

1. Отключите ftp (в 2018 году использовать этот протокол где бы то ни было — идея так себе).
2. Отключите api и api-ssl (до тех пор, пока не узнаете зачем они нужны).
3. Отключите telnet (есть ssh ).
4. www-ssl отключен по умолчанию ввиду отсутствия сертификата.
5. Отключите также www , эта служба отвечает за работу веб-интерфейса, дублирующего программу Winbox.

Должно остаться две активных службы. Отредактируйте настройки каждой, установив значение параметра Available From равным адресному пространству локальной приватной сети ( 192.168.0.0/24 ).

Когда будете готовы работать с роутером при помощи только командной строки (возможно, уже сейчас) — отключите службу winbox .

Отключение служб MAC

В меню Tools — MAC Server, используя одноименные кнопки, ограничьте службы MAC Telnet Server, MAC WinBox Server и MAC Ping Server. Для первых двух установите значение параметра Allowed Interface List равным none , для третьей — деактивируйте MAC Ping Server Enabled.

Помимо прочего, такая настройка сделает невозможным подключение к роутеру по его MAC-адресу, чем вы пользовались в предыдущей статье.

Отключение Neighbor Discovery

Раздел IP — Neighbors, кнопка Discovery Settings. Как и в предыдущем разделе, установите параметр Interface равным none .

Отключения сервера полосы пропускания

Tools — BTest Server, деактивировать параметр Enabled.

Конфигурировать правила вы будете по принципу «запрещено все, что не разрешено». Сделать это вам придется с помощью командной строки. Можете воспользоваться SSH-подключением или вызвать окно встроенного терминала Winbox (New Terminal). Эта новость меня очень обрадовала, так как мобильная сеть, которой мы обычно пользовались ловит более-менее только тогда, когда мобильный телефон лежит на настенных часах под самым потолком и раздает по Wi-Fi Интернет по дому. Соответственно, появилась необходимость мониторить их маршрутизатор, а так же сделать удалённый доступ к моему домашнему NAS, чтобы можно было бабушкам и дедушкам показывать фотки и видео внучки ну и наши тоже , а также периодически запрещать устройству ребёнка ютубить.

Настройка DHCP на Mikrotik

2. Выбираем интерфейс, на котором будут раздаваться IP-адреса. В нашем случае — LAN (мы же хотим раздавать IP-адреса только внутри локальной сети?):

4. Вводим адрес шлюза сети, т.е. нашего роутера:

5. Вводим пул адресов, которые роутер будет раздавать подключенным к сети устройствам:

6. Вводим адреса DNS-серверов (на скриншоте — DNS-серверы Google):

7. Вводим срок, на который устройствам выдаются адреса (в формате ДД:ЧЧ:ММ):

8. И после очередного нажатия кнопки Next работа мастера настройки DHCP заканчивается:

Мнение эксперта

Черноволов Александр Петрович, специалист по вопросам мобильной связи и интернета

Со всеми вопросами смело обращайтесь ко мне!

Задать вопрос эксперту

В RouterOS реализован серьезный файрвол, настройка которого в чем-то похожа на настройку Netfilter , а в чем-то даже удобнее. Если у вас не выходит разобраться в проблеме, пишите мне!

Запрет всего неразрешенного