Руководство: начальная настройка

Резюме

Поздравляем, вы приобрели маршрутизатор MikroTik для своей домашней сети. Это руководство поможет вам выполнить начальную настройку маршрутизатора, чтобы сделать вашу домашнюю сеть безопасным местом.

Руководство в основном предназначено в том случае, если конфигурация по умолчанию не сразу подключила вас к Интернету, однако некоторые части руководства по-прежнему полезны.

Соединительные провода

Начальная конфигурация маршрутизатора должна подходить для большинства случаев. Описание конфигурации находится на задней части коробки, а также описано в онлайн-руководстве .

Лучший способ подключения проводов, как описано на коробке:

  • Подключите провод Ethernet от вашего интернет-провайдера (ISP) к порту ether1 , остальные порты на маршрутизаторе предназначены для локальной сети (LAN). В данный момент ваш маршрутизатор защищен конфигурацией брандмауэра по умолчанию, поэтому вам не следует об этом беспокоиться;
  • Подключите провода локальной сети к остальным портам.

Настройка роутера

Первоначальная конфигурация имеет DHCP-клиента на интерфейсе WAN (ether1), остальные порты считаются вашей локальной сетью с DHCP-сервером, настроенным для автоматической настройки адреса на клиентских устройствах. Чтобы подключиться к маршрутизатору, вы должны настроить свой компьютер на принятие настроек DHCP и подключить кабель Ethernet к одному из портов LAN (пожалуйста, проверьте routerboard.com для нумерации портов принадлежащего вам продукта или проверьте лицевую панель маршрутизатора) ,

Вход в роутер

Для доступа к роутеру введите адрес 192.168.88.1 в браузере. Главная страница RouterOS будет показана, как на снимке экрана ниже. Нажмите на WebFig из списка.

Вам будет предложено ввести логин и пароль для доступа к интерфейсу конфигурации. Имя пользователя по умолчанию — admin и пустой пароль (оставьте пустое поле, как оно уже есть).

Рекомендуется начать с настройки пароля или добавить нового пользователя, чтобы маршрутизатор не был доступен никому в вашей сети. Пользовательская настройка выполняется из меню Система -> Пользователи .

Чтобы открыть это меню, нажмите « Система» на левой панели и в раскрывающемся меню выберите « Пользователи» (как показано на скриншоте слева).

Вы увидите этот экран, где вы можете управлять пользователями маршрутизатора. На этом экране вы можете редактировать или добавлять новых пользователей:

  • При нажатии на имя учетной записи (в данном случае администратора ), появится экран редактирования для пользователя.
  • Если вы нажмете кнопку Добавить новую , появится экран создания нового пользователя.

Оба экрана похожи, как показано на скриншоте ниже. После редактирования данных пользователя нажмите ОК (чтобы принять изменения) или Отмена . Это вернет вас к начальному экрану управления пользователями.

В окне редактирования / добавления нового пользователя вы можете изменить существующего пользователя или создать нового. Поле, помеченное 2.является именем пользователя, поле 1. откроет экран пароля, где можно изменить старый пароль пользователя или добавить новый (см. Скриншот ниже)

Настроить доступ к интернету

Если первоначальная конфигурация не сработала (ваш интернет-провайдер не предоставляет DHCP-сервер для автоматической настройки), вам потребуется информация от вашего интернет-провайдера для статической конфигурации маршрутизатора. Эти настройки должны включать

  • IP-адрес, который вы можете использовать
  • Сетевая маска для IP-адреса
  • Адрес шлюза по умолчанию

Менее важные настройки, касающиеся конфигурации маршрутизатора:

  • DNS-адрес для разрешения имен
  • Адрес NTP-сервера для автоматической настройки времени
  • Ваш предыдущий MAC-адрес интерфейса, обращенного к провайдеру
DHCP-клиент

Конфигурация по умолчанию настраивается с использованием DHCP-клиента на интерфейсе, обращенном к вашему провайдеру или глобальной сети (WAN). Он должен быть отключен, если ваш провайдер не предоставляет эту услугу в сети. Откройте «IP -> DHCP-клиент» и проверьте поле 1. для просмотра состояния DHCP-клиента, если оно находится в состоянии, как показано на скриншоте, означает, что ваш провайдер не предоставляет вам автоматическую настройку, и вы можете использовать кнопку в выборе 2. для удалить настроенный на интерфейсе DHCP-клиент.

Статический IP-адрес

Для управления IP-адресами маршрутизатора откройте «IP -> Адрес»

Здесь у вас будет один адрес — адрес вашей локальной сети (LAN) 192.168.88.1, который вы подключили к маршрутизатору. Выберите Добавить новый,чтобы добавить новый статический IP-адрес в конфигурацию вашего маршрутизатора.

Вы должны заполнить только те поля, которые отмечены. Поле 1. должно содержать IP-адрес, предоставленный вашим провайдером, и маску сети ». Примеры:

172.16.88.67/24


обе эти нотации означают одно и то же, если ваш провайдер предоставил вам адрес в одной нотации, или в другой, используйте одну из них, а остальная часть вычислений выполнит маршрутизатор.

Другая область интересов — интерфейс, которому будет назначен этот адрес. Это должен быть интерфейс, к которому подключен ваш провайдер, если вы следовали этому руководству — интерфейс содержит имя — ether1

Примечание. Пока вы вводите адрес, webfig будет вычислять, является ли введенный вами адрес приемлемым, если он не указан, поле станет красным, в противном случае оно будет синим.

Примечание. Рекомендуется добавлять комментарии к элементам для предоставления дополнительной информации на будущее, но это не обязательно.

Настройка трансляции сетевых адресов (NAT)

Поскольку вы используете локальные и глобальные сети, вам нужно настроить сетевой маскарад, чтобы ваша локальная сеть была скрыта за IP-адресом, предоставленным вашим провайдером. Это должно быть так, поскольку ваш провайдер не знает, какие адреса локальной сети вы собираетесь использовать, и ваша локальная сеть не будет маршрутизироваться из глобальной сети.

Чтобы проверить, есть ли у вас исходный NAT, откройте «IP -> Брандмауэр -> вкладка NAT» и проверьте, есть ли выделенный элемент (или аналогичный) в вашей конфигурации.

Основные поля для маскарада на работу:

  • включено проверено;
  • цепочка — должна быть srcnat ;
  • out-interface настроен на интерфейс, подключенный к вашей сети интернет-провайдера, следуя этому руководству ether1 ;
  • действие должно быть настроено на маскарад .

На скриншоте видно правильное правило, обратите внимание, что нерелевантные поля, для которых здесь не должно быть никакого значения, скрыты (и могут быть проигнорированы)

Шлюз по умолчанию

В меню «IP -> Маршруты» необходимо добавить правило маршрутизации, которое называется маршрутом по умолчанию. И выберите Добавить новый, чтобы добавить новый маршрут.

На представленном экране вы увидите следующий экран:

здесь вам придется нажать кнопку с + рядом с красной меткой шлюза и ввести в поле шлюз по умолчанию, или просто шлюз, предоставленный вашим провайдером.

Это должно выглядеть так, когда вы нажали кнопку + и введете шлюз в отображаемое поле.

После этого вы можете нажать кнопку ОК, чтобы завершить создание маршрута по умолчанию.

В этот момент вы сможете подключиться к любому общедоступному хосту в Интернете, используя IP-адрес.


Чтобы проверить погоду добавление шлюза по умолчанию прошло успешно, используйте Сервис -> Пинг

Разрешение доменного имени

Чтобы иметь возможность открывать веб-страницы или получать доступ к узлам Интернета по доменному имени, DNS должен быть настроен либо на вашем маршрутизаторе, либо на вашем компьютере. В рамках данного руководства я представлю только вариант конфигурации маршрутизатора, чтобы адреса DNS выдавались DHCP-сервером, который вы уже используете.

Это можно сделать в «IP -> DNS -> Настройки», сначала откройте «IP -> DNS»:

Затем выберите « Настройки», чтобы настроить DNS-кешер на маршрутизаторе. Вы должны добавить поле для ввода IP-адреса DNS, раздел 1. на изображении ниже. и установите флажок Разрешить удаленные запросы, помеченные 2.

Результат двойного нажатия + приведет к появлению 2 полей для IP-адресов DNS:

Примечание. При заполнении допустимого значения в поле метка поля станет синей, в противном случае она будет помечена красным.

SNTP-клиент

Маршрутизаторы RouterBOARD не поддерживают время между перезапусками или отключениями питания. Чтобы иметь правильное время на маршрутизаторе, настройте клиент SNTP, если вам это требуется.

Для этого перейдите в «Система -> SNTP», где вы должны включить его, сначала отметьте, изменить режим с широковещательного на одноадресный, чтобы вы могли использовать глобальные или предоставленные провайдером NTP-серверы, которые позволят вводить IP-адреса NTP-сервера в третья область.

Настройка беспроводной сети

Для простоты использования будет использоваться мостовая настройка беспроводной сети, поэтому ваши проводные хосты будут находиться в том же домене вещания Ethernet, что и беспроводные клиенты.

Чтобы это произошло, нужно проверить несколько вещей:

  • Интерфейсы Ethernet, предназначенные для ЛВС, являются раздельными или мостовыми, или они являются отдельными портами;
  • Если мостовой интерфейс существует;
  • Режим беспроводного интерфейса установлен на ap-bridge (в случае, если у вас маршрутизатор имеет уровень лицензии 4 или выше), если нет, то режимдолжен быть установлен на bridge, и только один клиент (станция) сможет подключиться к маршрутизатор с использованием беспроводной сети;
  • В настройках интерфейса создан и выбран соответствующий профиль безопасности.
Проверьте состояние интерфейса Ethernet

Предупреждение. Изменение настроек может повлиять на подключение к маршрутизатору, и вы можете отсоединиться от маршрутизатора. Используйте безопасный режим, чтобы в случае отключения внесенные изменения возвращались к тому, что было до перехода в безопасный режим.

Чтобы проверить, переключен ли Ethernet-порт, другими словами, если Ethernet-порт установлен в качестве подчиненного для другого порта, перейдите в меню «Интерфейс» и откройте сведения об интерфейсе Ethernet. Их можно отличить по столбцу Тип, отображающему Ethernet .

Когда сведения об интерфейсе открыты, посмотрите настройки Master Port .

Доступные настройки для атрибута — none или одно из имен интерфейсов Ethernet. Если имя установлено, это означает, что этот интерфейс установлен как подчиненный порт. Обычно маршрутизаторы RouterBOARD поставляются с ether1 как предполагаемый порт WAN, а остальные порты будут установлены как подчиненные порты ether2 для использования в локальной сети.

Проверьте, все ли предназначенные порты локальной сети Ethernet установлены как подчиненные порты остальной части одного из портов локальной сети. Например, если ether2. ether3, ether4 и ether5 предназначены для использования в качестве портов LAN, для Ether3 — ether5, для атрибута Master Port — ether2.

В случае сбоя этой операции — это означает, что интерфейс Ethernet используется в качестве порта в мосте, вы должны удалить их из моста, чтобы включить аппаратную коммутацию пакетов между портами Ethernet. Для этого перейдите в Bridge -> Ports и удалите подчиненные порты (например, ether3 — ether5 ) из вкладки.

Примечание. Если главный порт присутствует как мостовой порт, это нормально, для предполагаемой конфигурации это требуется, то же самое относится и к беспроводному интерфейсу ( wlan )

Профиль безопасности

Важно защитить вашу беспроводную сеть, чтобы никакие злонамеренные действия не могли быть совершены третьими лицами с использованием вашей беспроводной точки доступа.

Чтобы отредактировать или создать новый профиль безопасности, перейдите на вкладку «Wireless -> вкладка« Security Prodiles »и выберите один из двух вариантов:

  • Использование Добавить новый создать новый профиль;
  • Используя выделенный путь на скриншоте, отредактируйте профиль по умолчанию, который уже назначен беспроводному интерфейсу

В этом примере я создам новый профиль безопасности, редактируя его очень похоже. Параметры, которые должны быть установлены, выделены для чтения, а рекомендуемые параметры выделены красными прямоугольниками и предварительно установлены на рекомендуемые значения. Используются WPA и WPA2, поскольку все еще используется устаревшее оборудование (ноутбуки с Windows XP, которые не поддерживают WPA2 и т. Д.)

Общий ключ WPA и Общий ключ WPA2 следует вводить с достаточной длиной. Если длина ключа слишком короткая, метка поля будет указывать, что, загораясь красным, при достижении достаточной длины она станет синим. 

Примечание. Предварительно используемые ключи WPA и WPA2 должны отличаться

Примечание. При настройке этого параметра можно отменить выбор « Скрыть пароли» в заголовке страницы, чтобы увидеть фактические значения полей, чтобы их можно было успешно ввести в конфигурацию устройства, которое будет подключаться к беспроводной точке доступа.

Беспроводные Настройки

Регулировка настроек беспроводной сети. Это можно сделать здесь: 

В разделе « Общие » настройте параметры, как показано на скриншоте. Считайте, что это безопасно, однако возможно, что они должны быть немного отрегулированы.

Режим интерфейса должен быть установлен на ap-bridge , если это невозможно (ограничение лицензии) установить на bridge, поэтому один клиент сможет подключиться к устройству.

Устройства WiFI обычно разрабатываются с учетом режимов 2,4 ГГц, установка диапазона 2 ГГц-b / g / n позволит клиентам с 802.11b, 802.11g и 802.11n подключаться к точке доступа

Отрегулируйте ширину канала, чтобы обеспечить более высокие скорости передачи данных для клиентов 802.11n. В примере используется канал 6, в результате можно использовать HT выше 20/40 МГц или HT ниже 20/40 МГц . Выберите любой из них.

Set SSID — название точки доступа. Это будет видно при сканировании сетей с использованием вашего WiFi-оборудования. 

В разделе HT задайте изменение HT передающей и приемной цепей. Хорошей практикой является включение всех доступных цепочек. 

Когда настройки установлены соответственно, пришло время включить нашу защищенную беспроводную точку доступа 

Мост LAN с беспроводной

Откройте меню Bridge и проверьте, доступен ли какой-либо интерфейс моста первой отметкой. Если его нет, выберите « Добавить новый», отмеченный второй меткой, и на открывшемся экране просто примите настройки по умолчанию и создайте интерфейс. Если доступен мостовой интерфейс, перейдите на вкладку « Порты », где необходимо добавить основной интерфейс LAN и интерфейс WiFI .

Первая отмеченная область — это то место, где видны интерфейсы, которые добавляются в качестве портов для интерфейса моста. Если порты не добавлены, выберите « Добавить новый», чтобы добавить новые порты в созданные мостовые интерфейсы.

Когда добавлен новый порт моста, выберите, что он включен (часть активной конфигурации), выберите правильный интерфейс моста, следуя этому руководству — должен быть только 1 интерфейс. И выберите правильный порт — мастер-порт интерфейса LAN и порт WiFi

Законченный вид моста настроен со всеми необходимыми портами

Устранение неполадок и расширенная настройка

Этот раздел предназначен для того, чтобы сделать некоторые отклонения от конфигурации, описанной в самом руководстве. Это может потребовать большего понимания сетей, беспроводных сетей в целом.

генеральный

Проверьте IP-адрес

Добавление IP-адреса с неверной маской сети приведет к неправильной настройке сети. Чтобы устранить эту проблему, необходимо изменить поле адреса , первый раздел, с правильным адресом и маской сети, а также поле сети с правильной сетью, или сбросить его, чтобы оно снова было пересчитано.

Чтобы сменить пароль текущего пользователя, безопасное место — Система -> Пароль


Где все поля должны быть заполнены. Есть другое место, где это можно сделать, если у вас есть полные права на маршрутизаторе.

Изменить пароль для существующего пользователя

Если у вас есть полные привилегии на маршрутизаторе, можно сменить пароль для любого пользователя, не зная текущего. Это можно сделать в меню Система -> Пользователи .

Шаги:

  • Выберите пользователя;
  • введите пароль и введите его заново, чтобы узнать, какой пароль вы хотите установить
Нет доступа к Интернету или сети интернет-провайдера

Если вы следовали этому руководству до буквы, но даже тогда вы можете общаться только со своими локальными хостами, и каждая попытка подключиться к Интернету терпит неудачу, есть некоторые вещи, которые необходимо проверить:

  • Если маскарад настроен правильно;
  • Если настройка MAC-адреса предыдущего устройства на WAN-интерфейсе что-то меняет
  • У интернет-провайдера есть некоторый портал.

Соответственно, есть несколько способов решения проблемы: один — проверить конфигурацию, если вы не пропустили какую-либо часть конфигурации, второй — установить MAC-адрес. Изменение MAC-адреса доступно только из CLI — New Terminal из левого бокового меню. Если новое окно не открывается, проверьте ваш браузер, позволяет ли оно открывать всплывающие окна для этого места. Там вам нужно будет написать следующую команду, заменив MAC-адрес на правильный:

 / интерфейс ethernet set ether1 mac-address = XX: XX: XX: XX: XX: XX

Или обратитесь к вашему интернет-провайдеру за подробной информацией и сообщите, что вы сменили устройство.

Проверка ссылки

Существуют определенные вещи, которые необходимы для работы Ethernet-соединения:

  • Индикаторы активности канала горят, когда провод Ethernet подключен к порту
  • Правильный IP-адрес установлен на интерфейсе
  • На роутере установлен правильный маршрут

Что искать с помощью инструмента ping:

  • Если все пакеты отвечают;
  • Если все пакеты имеют примерно одинаковое время прохождения сигнала в обоих направлениях (RTT) на незагруженном канале Ethernet


Он находится здесь: Инструмент -> Пинг меню. Заполните поле Ping To и нажмите start, чтобы начать отправку ICMP-пакетов.

беспроводной

Беспроводные неназванные функции в руководстве, о которых стоит знать. Настройки конфигурации.

Частоты и ширина канала

Можно выбрать другую частоту, вот частоты, которые можно использовать, и настройки ширины канала для использования канала HT с частотой 40 МГц (для 802.11n). Например, с помощью канала 1 или 2412MHz частоты настройки 20 / 40МГц НТ ниже не даст никаких результатов, так как нет 20MHz каналов , доступных ниже заданной частоты.

Канал №частотаНижеВыше
12412 МГцнетда
22417 МГцнетда
32422 МГцнетда
42427 МГцнетда
52432 МГцдада
62437 МГцдада
72442 МГцдада
82447 МГцдада
92452 МГцдада
102457 МГцдада
112462 МГцданет
122467 МГцданет
132472 МГцданет

Предупреждение: Вы должны проверить, сколько и какие частоты у вас есть в вашем регулирующем домене прежде. Если имеется 10 или 11 каналов, отрегулируйте настройки соответствующим образом. Имея только 10 каналов, канал № 10 не будет иметь смысла устанавливать HT / 20 МГц выше, так как нет полного канала 20 МГц.

Использование беспроводной частоты

Если беспроводная связь работает не очень хорошо, даже если сообщается, что скорости передачи данных хорошие, возможно, ваши соседи используют тот же беспроводной канал, что и вы. Чтобы убедиться, выполните следующие действия:

  • Открытый инструмент контроля использования частоты Freq. Использование … которое находится в деталях беспроводного интерфейса;
  • Подождите некоторое время, пока отображаются результаты сканирования. Делайте это в течение минуты или двух. Меньшие числа в столбце « Использование» означают, что канал менее загружен.

Примечание. Мониторинг выполняется по каналам по умолчанию для страны, выбранной в конфигурации. Например, если бы выбранной страной была Латвия, в списке было бы 13 частот, поскольку в этой стране разрешено 13 каналов.

Изменить настройки страны

По умолчанию для атрибута страны в настройках беспроводной сети установлено значение no_country_set . Рекомендуется изменить это (если доступно) для изменения страны, в которой вы находитесь. Для этого выполните следующие действия:

  • Зайдите в беспроводное меню и выберите Расширенный режим ;
  • Посмотрите атрибут страны и в раскрывающемся меню выберите страну

Примечание. Расширенный режим — это кнопка переключения, которая переключается из простого в расширенный режим и обратно.

Перенаправление порта

Чтобы сделать сервисы на локальных серверах / хостах доступными для широкой публики, можно перенаправлять порты извне внутрь вашей сети с NAT, что делается из меню / ip firewall nat . Например, чтобы удаленная служба поддержки могла подключаться к вашему рабочему столу и направлять вас, сделать локальный файловый кеш доступным для вас, когда вы не находитесь, и т.д.

Статическая конфигурация

Многие пользователи предпочитают настраивать эти правила статически, чтобы лучше контролировать, какой сервис доступен извне, а какой нет. Это также необходимо использовать, когда используемый вами сервис не поддерживает динамическую настройку.

Следующее правило будет перенаправлять все соединения на порт 22 внешнего IP-адреса маршрутизатора на порт 86 локального хоста с заданным IP-адресом:

если вам требуется, чтобы другие службы были доступны, вы можете изменить протокол по мере необходимости, но обычно службы используют TCP и dst-порт. Если смена порта не требуется, например. удаленный сервис равен 22, а локальный — также 22, тогда порты можно оставить неустановленными.

Сопоставимая команда командной строки:

 / ip firewall nat add chain = dstnat dst-address = 172.16.88.67 протокол = tcp dst-порт = 22 \
 action = dst-nat to-address = 192.168.88.22 to-ports = 86

Примечание. Снимок экрана содержит только минимальный набор настроек.

Динамическая конфигурация

uPnP используется для включения конфигурации динамической переадресации портов, когда работающая служба может запросить маршрутизатор, используя uPnP, для переадресации некоторых портов для него.

Предупреждение. Службы, о которых вы не знаете, могут запросить переадресацию портов. Это может поставить под угрозу безопасность вашей локальной сети, хоста, на котором запущен сервис, и ваших данных.

Настройка службы uPnP на маршрутизаторе:

  • Установите, какие интерфейсы следует считать внешними, а какие внутренними;
 / ip upnp интерфейс добавить интерфейс = тип ether1 = внешний
 / ip upnp интерфейс добавить интерфейс = тип ether2 = внутренний
  • Включить сам сервис
 / ip upnp set allow-disable-external-interface = нет show-dummy-rule = нет включено = да

Ограничение доступа к веб-страницам

Используя IP -> Веб-прокси, можно ограничить доступ к нежелательным веб-страницам. Это требует некоторого понимания использования интерфейса WebFig.

Настройка веб-прокси для фильтрации страниц

В меню « IP -> Веб-прокси» откройте вкладку « Доступ », откройте « Настройки веб-прокси» и убедитесь, что установлены следующие атрибуты:

 Включено -> проверено
 Порт -> 8080
 Максимум. Размер кэша -> нет
 Кэш на диске -> не проверено
 Родительский прокси -> unset

После внесения необходимых изменений примените настройки, чтобы вернуться на вкладку « Доступ ».

Настройка правил доступа

Этот список будет содержать все правила, необходимые для ограничения доступа к сайтам в Интернете.

Чтобы добавить пример правила для запрета доступа к любому хосту, содержащему example.com, сделайте следующее при добавлении новой записи:

Dst. Хост ->. * Пример \ .com. *
 Действие -> Запретить

С этим правилом любой хост, на котором есть example.com, будет недоступен.

Стратегии ограничения

Есть два основных подхода к этой проблеме

  • запрещать только те страницы, о которых вы знаете, что хотите отказать (A)
  • разрешить только определенные страницы и запретить все остальное (B)

Для подхода А каждый сайт, который должен быть отклонен, добавляется с Действие, установленным на Запретить

Для подхода B каждый сайт, который должен быть разрешен, должен быть добавлен с Действие, установленным на Разрешить, и, в конце концов, является правилом, которое соответствует всему с Действие, установленным на Запретить 

Author: admin

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *