Чтобы пользователи локальной приватной сети ( bridge-private ) могли пользоваться интернетом, разрешите пропускание их соединений на интерфейс провайдера ( wan1 ): Если в поле DNS Name сразу после применения функции не появится сгенерированное имя сервера, то необходимо нажать кнопку Force Update и немного подождать. Первым делом, на ведущем маршрутизаторе RB2011 с сервером PPtP, необходимо включить функцию DDNS так как выдается реальный динамический IP-адрес и при каждом новом подключении он может меняться.
Sergey Lagovskiy
MikroTik Router OS предоставляет несколько инструментов для настройки и управления системой, пожалуй, основными являются консоль (telnet, ssh) и winbox.
В этой статье я попробую рассказать про плюсы и минусы обоих методов, а так же как читать консольные команды и представлять их в виде графического интерфейса winbox.
Winbox представляет из себя небольшую утилиту, размером в несколько десятков килобай. При запуске будет выдан запрос адреса устройства, к которому необходимо подключиться, а так же имя и пароль.
В новом интерфейсе есть возможность сохранить настройки к нескольким устройствам, а так же экспортировать их в отдельный файл, но будьте внимательны, пароли очень даже легко читаются в этом экспортном файле.
Следующим шагом winbox скачивает с роутера файлы интерфейса, причем от версии к версии эти файлы меняются, так что будьте готовы к тому, что до 20мб трафика на это уйдет.
Как видно от версии к версии основное меню все так же остается на прежнем месте, вертикальный список с левой стороны, оно практически полностью повторяет основное меню консольного интерфейса:
Практически каждое окно настроек содержит одинаковый набор инструментов:
Рассмотрим несколько примеров работы с интерфейсом.
Вводим адрес в поле Address, через «/» указываем маску, поля Network и Broadcast будут автоматически рассчитаны.
В поле Interface выбираем интерфейс, которому назначается адрес.
По нажатию на кнопку Comment можно добавить комментарий.
Кнопками Enable/Disable активируется или выключается этот адрес.
Кнопкой Copy можно продублировать запись, кнопка Remove удаляет адрес.
Тоже самое можно записать в виде консольной команды:
Попробую представить это все вместе и разделить действие на блоки, каждому блоку назначу определенный цвет.
Описание | Консоль |
Добавить ip адрес 192.168.0.1 с маской 255.255.255.0 на сетевой интерфейс LOCAL и вставить комментарий «Local network» | ip address add address=192.168.0.1 /24 interface=LOCAL comment=»Local network» |
Winbox | |
Добавление правила в Firewall rules:
Разрешить трафик с адреса 192.168.0.2 на любые адреса по 80 порту, плюс добавить комментарий к правилу. Набор кнопок тот же самый, только добавляется возможность сброса счетчиков.
Описание | Консоль |
Добавить ip адрес 192.168.0.1 с маской 255.255.255.0 на сетевой интерфейс LOCAL и вставить комментарий «Local network» | ip address add address=192.168.0.1 /24 interface=LOCAL comment=»Local network» |
Winbox | |
Добавление правила в Firewall rules:
MikroTik hAP AC: обеспечение безопасности
Предполагается, что вы выполнили все инструкции из первой части 3 , и ваш роутер доступен в локальной сети по IP-адресу 192.168.0.254 . Если собираетесь использовать устройства MikroTik на серьезном уровне, стоит отказаться от Winbox уже сейчас, отдав предпочтение SSH. Но провернуть подобную операцию с Windows не так просто из стандартного набора программ выпилили Telnet, а качать сторонний софт не всегда возможно.
Настройка SSH-аутентификации
Загрузите SSH-ключ на роутер, используя встроенный в Winbox файловый менеджер. (При необходимости сгенерируйте новую пару 4 .) Из главного меню перейдите в раздел Files, нажмите кнопку Upload, выберите файл публичной части ключа на локальном компьютере. По окончании загрузки он появится в корне файловой системы роутера.
Перейдите в раздел System — Users, во вкладке SSH Keys нажмите кнопку Import SSH Key. Укажите имя пользователя—владельца ключа, в поле Key File выберите только что загруженный файл. (После импорта файл будет автоматически удален с диска.)
Настройка роутера Mikrotik на примере RB951Ui-2HnD
Конфигурация системных служб
Службы IP
В разделе IP — Services представлен список системных служб роутера. Каждая включенная — потенциальная угроза безопасности.
- Отключите ftp (в 2018 году использовать этот протокол где бы то ни было — идея так себе).
- Отключите api и api-ssl (до тех пор, пока не узнаете зачем они нужны).
- Отключите telnet (есть ssh ).
- www-ssl отключен по умолчанию ввиду отсутствия сертификата.
- Отключите также www , эта служба отвечает за работу веб-интерфейса, дублирующего программу Winbox.
Должно остаться две активных службы. Отредактируйте настройки каждой, установив значение параметра Available From равным адресному пространству локальной приватной сети ( 192.168.0.0/24 ).
Когда будете готовы работать с роутером при помощи только командной строки (возможно, уже сейчас) — отключите службу winbox .
Отключение служб MAC
В меню Tools — MAC Server, используя одноименные кнопки, ограничьте службы MAC Telnet Server, MAC WinBox Server и MAC Ping Server. Для первых двух установите значение параметра Allowed Interface List равным none , для третьей — деактивируйте MAC Ping Server Enabled.
Помимо прочего, такая настройка сделает невозможным подключение к роутеру по его MAC-адресу, чем вы пользовались в предыдущей статье.
Отключение Neighbor Discovery
Раздел IP — Neighbors, кнопка Discovery Settings. Как и в предыдущем разделе, установите параметр Interface равным none .
Отключения сервера полосы пропускания
Tools — BTest Server, деактивировать параметр Enabled.
Конфигурировать правила вы будете по принципу «запрещено все, что не разрешено». Сделать это вам придется с помощью командной строки. Можете воспользоваться SSH-подключением или вызвать окно встроенного терминала Winbox (New Terminal). Эта новость меня очень обрадовала, так как мобильная сеть, которой мы обычно пользовались ловит более-менее только тогда, когда мобильный телефон лежит на настенных часах под самым потолком и раздает по Wi-Fi Интернет по дому. Соответственно, появилась необходимость мониторить их маршрутизатор, а так же сделать удалённый доступ к моему домашнему NAS, чтобы можно было бабушкам и дедушкам показывать фотки и видео внучки ну и наши тоже , а также периодически запрещать устройству ребёнка ютубить.
Настройка DHCP на Mikrotik
2. Выбираем интерфейс, на котором будут раздаваться IP-адреса. В нашем случае — LAN (мы же хотим раздавать IP-адреса только внутри локальной сети?):
4. Вводим адрес шлюза сети, т.е. нашего роутера:
5. Вводим пул адресов, которые роутер будет раздавать подключенным к сети устройствам:
6. Вводим адреса DNS-серверов (на скриншоте — DNS-серверы Google):
7. Вводим срок, на который устройствам выдаются адреса (в формате ДД:ЧЧ:ММ):
8. И после очередного нажатия кнопки Next работа мастера настройки DHCP заканчивается:
Запрет всего неразрешенного
Содержание статьи