RouterBOARD 951 series models:
RB951Ui-2HnD
RB951G-2HnD
Safety Warnings
Before you work on any equipment, be aware of the hazards involved with electrical circuitry, and be familiar with standard practices for preventing accidents.
Ultimate disposal of this product should be handled according to all national laws and regulations.
The Installation of the equipment must comply with local and national electrical codes.
This unit is intended to be installed in the rackmount. Please read the mounting instructions carefully before beginning installation. Failure to use the correct hardware or to follow the correct procedures could result in a hazardous situation to people and damage to the system.
This product is intended to be installed indoors. Keep this product away from water, fire, humidity or hot environments.
Use only the power supply and accessories approved by the manufacturer, and which can be found in the original packaging of this product.
Read the installation instructions before connecting the system to the power source.
We cannot guarantee that no accidents or damage will occur due to the improper use of the device. Please use this product with care and operate at your own risk!
In the case of device failure, please disconnect it from power. The fastest way to do so is by unplugging the power plug from the power outlet.
It is the customer’s responsibility to follow local country regulations, including operation within legal frequency channels, output power, cabling requirements, and Dynamic Frequency Selection (DFS) requirements. All Mikrotik radio devices must be professionally installed.
Exposure to Radio Frequency Radiation: This MikroTik equipment complies with the FCC, IC, and European Union radiation exposure limits set forth for an uncontrolled environment. This MikroTik device should be installed and operated no closer than 20 centimeters from your body, occupational user, or the general public.
First Steps:
This device is a simple home wireless access point. It is configured out of the box, you can simply plug in your internet cable and start using wireless internet. We recommend you set up a password to secure your device, follow these steps.
- Choose your powering solution, please see the Powering section for possibilities.
- Connect your Internet cable to port 1, and local network devices to ports 2-5.
- Set your computer IP configuration to automatic (DHCP).
- Wireless access point mode is enabled by default.
- Connect your direct input power jack if not using POE, to start up the device.
- The device will boot up and after a short beep Wireless network will be available for connecting.
- Open network connections on your pc, mobile phone, or other device and search for MikroTik wireless network and connect to it.
- Once connected to the wireless network, open https://192.168.88.1 in your web browser to start configuration, since there is no password by default, you will be logged in automatically (or, for some models, check user and wireless passwords on the sticker)..
- We recommend clicking the «Check for updates» button and updating your RouterOS software to the latest version to ensure the best performance and stability,
- Choose your country, to apply country regulation settings, and set up your password on the screen that loads.
Powering
The device accepts power from the power jack or from the first Ethernet port (Passive PoE). The power consumption for RB951G-2HnD under maximum load can reach 7 W, RB951Ui-2HnD 24 W.
- direct-input power jack (5.5 mm outside and 2 mm inside, female, pin positive plug) accepts 8-30 V DC.
- The first Ethernet port accepts passive Power over Ethernet accepts 8-30 V DC.
On the RB951Ui model, the Ether5 port supports PoE output for powering other RouterBOARD devices. The port has an auto-detection feature, so you can connect Laptops and other non-PoE devices without damaging them. The PoE on Ether5 outputs approximately 2V below input voltage and supports up to 0.58A (So provided 24V PSU will provide 22V/0.58 A output to the Ether5 PoE port).
Configuration
RouterOS includes many configuration options in addition to what is described in this document. We suggest starting here to get yourself accustomed to the possibilities: https://mt.lv/help. In case IP connection is not available, the Winbox tool (https://mt.lv/winbox) can be used to connect to the MAC address of the device from the LAN side (all access is blocked from the internet port by default). For recovery purposes, it is possible to boot the device from the network, see section Buttons and Jumpers.
Extension Slots and Ports
- Five individual Ethernet ports, supporting automatic cross/straight cable correction (Auto MDI/X), so you can use either straight or cross-over cables for connecting to other network devices.
- Integrated Wireless 2.4 GHz radio with onboard PIF antennas, max gain 2.5 dBi
Buttons and Jumpers
RouterBOOT reset button (RESET, front panel) has three functions:
- Hold this button during boot time until LED light starts flashing, release the button to reset RouterOS configuration (total 5 seconds)
- Keep holding for 5 more seconds, LED turns solid, release now to turn on CAPs mode (total 10 seconds)
- Or Keep holding the button for 5 more seconds until LED turns off, then release it to make the RouterBOARD look for Netinstall servers (total 15 seconds)
Operating System Support
The device supports RouterOS software version 6. The specific factory-installed version number is indicated in the RouterOS menu /system resource. Other operating systems have not been tested.
Notice
- The Frequency band 5.470-5.725 GHz isn’t allowed for commercial use.
- In case WLAN devices work with different ranges than the above regulations, then a customized firmware version from the manufacturer/supplier is required to be applied to the end-user equipment and also prevent the end-user from reconfiguration.
- For Outdoor Usage: End-user requires approval/license from the NTRA.
- Datasheet for any device is available on the official manufacturer website.
- Products with the letters “EG” at the end of their serial number have their wireless frequency range limited to 2.400 – 2.4835 GHz, the TX power is limited to 20dBm (EIRP).
- Products with the letters “EG” at the end of their serial number have their wireless frequency range limited to 5.150 – 5.250 GHz, the TX power is limited to 23dBm (EIRP).
- Products with the letters “EG” at the end of their serial number have their wireless frequency range limited to 5.250 – 5.350 GHz, the TX power is limited to 20dBm (EIRP).
Please make sure the device has a lock package (firmware version from the manufacturer) which is required to be applied to the end-user equipment to prevent the end-user from reconfiguration. The product will be marked with country code “-EG”. This device needs to be upgraded to the latest version to ensure compliance with local authority regulations! It is the end users responsibility to follow local country regulations, including operation within legal frequency channels, output power, cabling requirements, and Dynamic Frequency Selection (DFS) requirements. All MikroTik radio devices must be professionally installed.
To avoid pollution of the environment, please separate the device from household waste and dispose of it in a safe manner, such as in designated waste disposal sites. Familiarize yourself with the procedures for the proper transportation of the equipment to the designated disposal sites in your area.
Model: RB951G-2HnD
Federal Communication Commission Interference Statement
|
Model |
FCC ID |
|---|---|
|
RB951G-2HnD |
TV7RB951G-2HND |
This equipment has been tested and found to comply with the limits for a Class B digital device, pursuant to Part 15 of the FCC Rules. These limits are designed to provide reasonable protection against harmful interference in a residential installation.
This equipment generates, uses and can radiate radio frequency energy and, if not installed and used in accordance with the instructions, may cause harmful interference to radio communications. However, there is no guarantee that interference will not occur in a particular installation. If this equipment does cause harmful interference to radio or television reception, which can be determined by turning the equipment off and on, the user is encouraged to try to correct the interference by one of the following measures:
- Reorient or relocate the receiving antenna.
- Increase the separation between the equipment and receiver.
- Connect the equipment into an outlet on a circuit different from that to which the receiver is connected.
- Consult the dealer or an experienced radio/TV technician for help.
FCC Caution: Any changes or modifications not expressly approved by the party responsible for compliance could void the user’s authority to operate this equipment.
This device complies with Part 15 of the FCC Rules. Operation is subject to the following two conditions: (1) This device may not cause harmful interference, and (2) this device must accept any interference received, including interference that may cause undesired operation. This device and its antenna must not be co-located or operation in conjunction with any other antenna or transmitter.
IMPORTANT: Exposure to Radio Frequency Radiation.
This equipment complies with the FCC RF radiation exposure limits set forth for an uncontrolled environment. This equipment should be installed and operated with a minimum distance of 20 cm between the radiator and any part of your body.
Innovation, Science and Economic Development Canada
This device complies with Industry Canada’s licence-exempt RSS standard(s). Operation is subject to the following two conditions: (1) this device may not cause interference, and (2) this device must accept any interference, including interference that may cause undesired operation of the device.
Le présent appareil est conforme aux CNR d’Industrie Canada applicables aux appareils radio exempts de licence. L’exploitation est autorisée aux deux conditions suivantes : (1) l’appareil ne doit pas produire de brouillage, et (2) l’utilisateur de l’appareil doit accepter tout brouillage radioélectrique subi, même si le brouillage est susceptible d’en compromettre le fonctionnement.
IMPORTANT: Exposure to Radio Frequency Radiation.
This equipment complies with the IC radiation exposure limits set forth for an uncontrolled environment. This equipment should be installed and operated with a minimum distance of 20 cm between the radiator and any part of your body.
Cet équipement est conforme aux limites d’exposition au rayonnement IC définies pour un environnement non contrôlé. Cet équipement doit être installé et utilisé à une distance minimale de 20 cm entre le radiateur et toute partie de votre corps.
This Class B digital apparatus complies with Canadian ICES-003.
Cet appareil numérique de la classe [B] est conforme à la norme NMB-003 du Canada.
CAN ICES-003 (B) / NMB-003 (B)
Model: RB951Ui-2HnDr2
Federal Communication Commission Interference Statement
This equipment has been tested and found to comply with the limits for a Class A digital device, pursuant to Part 15 of the FCC Rules. These limits are designed to provide reasonable protection against harmful interference in a commercial installation.
This equipment generates, uses, and can radiate radio frequency energy and, if not installed and used in accordance with the instruction manual, may cause harmful interference to radio communications. Operation of this equipment in a residential area is likely to cause harmful interference in which case the user will be required to correct the interference at his own expense.
FCC Caution: Any changes or modifications not expressly approved by the party responsible for compliance could void the user’s authority to operate this equipment.
This device complies with Part 15 of the FCC Rules. Operation is subject to the following two conditions: (1) This device may not cause harmful interference, and (2) this device must accept any interference received, including interference that may cause undesired operation. This device and its antenna must not be co-located or operation in conjunction with any other antenna or transmitter.
IMPORTANT: Exposure to Radio Frequency Radiation.
This equipment complies with the FCC RF radiation exposure limits set forth for an uncontrolled environment. This equipment should be installed and operated with a minimum distance of 20 cm between the radiator and any part of your body.
Innovation, Science and Economic Development Canada
|
Model |
IC |
|---|---|
| RB951Ui-2HnD | 7442A-951U2HND |
This device complies with Industry Canada’s licence-exempt RSS standard(s). Operation is subject to the following two conditions: (1) this device may not cause interference, and (2) this device must accept any interference, including interference that may cause undesired operation of the device.
Le présent appareil est conforme aux CNR d’Industrie Canada applicables aux appareils radio exempts de licence. L’exploitation est autorisée aux deux conditions suivantes : (1) l’appareil ne doit pas produire de brouillage, et (2) l’utilisateur de l’appareil doit accepter tout brouillage radioélectrique subi, même si le brouillage est susceptible d’en compromettre le fonctionnement.
IMPORTANT: Exposure to Radio Frequency Radiation.
This equipment complies with the IC radiation exposure limits set forth for an uncontrolled environment. This equipment should be installed and operated with a minimum distance of 20 cm between the radiator and any part of your body.
Cet équipement est conforme aux limites d’exposition au rayonnement IC définies pour un environnement non contrôlé. Cet équipement doit être installé et utilisé à une distance minimale de 20 cm entre le radiateur et toute partie de votre corps.
This Class A digital apparatus complies with Canadian ICES-003.
Cet appareil numérique de la classe [A] est conforme à la norme NMB-003 du Canada.
CAN ICES-003 (A) / NMB-003 (A)
UKCA marking
Eurasian Conformity Mark
|
Частотный диапазон |
Мощность передатчика |
|---|---|
|
2400-2483.5 МГц |
≤100 мВт |
*Доступные частотные каналы могут различаться в зависимости от модели продукта и сертификации.
Информация о дате изготовления устройства указана в конце серийного номера на его наклейке через дробь. Первая цифра означает номер года (последняя цифра года), две последующие означают номер недели.
Изготовитель: Mikrotikls SIA, Aizkraukles iela 23, Riga, LV-1006, Латвия, support@mikrotik.com. Сделано в Китае, Латвии или Литве. Cм. на упаковке.
Для получения подробных сведений о гарантийном обслуживании обратитесь к продавцу. Информация об импортерах продукции MikroTik в Российскую Федерацию: https://mikrotik.com/buy/europe/russia
Продукты MikroTik, которые поставляются в Евразийский таможенный союз, оцениваются с учетом соответствующих требований и помечены знаком EAC, как показано ниже:
Norma Oficial Mexicana
Rango de frecuencia (potencia de salida máxima): 2400-2483.5 MHz (30 dBm). Los canales de frecuencia disponibles pueden variar según el modelo y la certificación del producto.
EFICIENCIA ENERGETICA CUMPLE CON LA NOM-029-ENER-2017.
La operacion de este equipo esta sujeta a las siguientes dos condiciones:
- Es posible que este equipo o dispositivo no cause interferencia perjudicial y.
- Este equipo debe aceptar cualquier interferencia, incluyendo la que pueda causar su operacion no deseada.
Fabricante: Mikrotikls SIA, Brivibas gatve 214i, Riga, LV-1039, Latvia.
País De Origen: Letonia; Lituania; China (Republica Popular); Estados Unidos De America; Mexico.
Por favor contacte a su distribuidor local para preguntas regionales específicas. La lista de importadores se puede encontrar en nuestra página de inicio – https://mikrotik.com/buy/latinamerica/mexico.
The National Commission for the State Regulation of Communications and Informatization by Ukraine
Виробник: Mikrotikls SIA, Brivibas gatve 214i Рига, Латвія, LV1039.
Робоча частота (Максимальна вихідна потужність): 2400-2483.5 МГц (20 дБм).
Справжнім Mikrotikls SIA заявляє, що маршрутизатор відповідає основним вимогам та іншим відповідним положенням директиви 2014/53/EC, а також суттєвим вимогам Технічного регламенту радіообладнання, затвердженого постановою Кабінету Міністрів України від 24 травня 2017 року № 355.
Для експлуатації в Україні необхідно отримати дозвіл на експлуатацію у порядку, затвердженому рішенням НКРЗІ від 01.11.2012 № 559, зареєстрованому в Міністерстві юстиції України 03.01.2013 за № 57/22589.
CE Declaration of Conformity
Manufacturer: Mikrotikls SIA, Brivibas gatve 214i Riga, Latvia, LV1039.
Hereby, Mikrotīkls SIA declares that the radio equipment type RB951G-2HnD, RB951Ui-2HnD is in compliance with Directive 2014/53/EU. The full text of the EU declaration of conformity is available at the following internet address: https://mikrotik.com/products
Frequency bands terms of use
|
Frequency range (for applicable models) |
Channels used |
Maximum Output Power (EIRP) |
Restriction |
|
2400-2483.5 MHz |
1 — 13 |
20 dBm |
Without any restriction to use in all EU Member States |
* It is the customer’s responsibility to follow local country regulations, including operation within legal frequency channels, output power, cabling requirements, and Dynamic Frequency Selection (DFS) requirements. All Mikrotik radio devices must be professionally installed!
This MikroTik device meets Maximum WLAN transmit power limits per ETSI regulations. For more detailed information see Declaration of Conformity above / Dieses MikroTik-Gerät erfüllt die maximalen WLAN- Sendeleistung Grenzwerte gemäß ETSI-Bestimmungen. Weitere Informationen finden Sie oben unter Konformitätserklärung / Cet appareil MikroTik respecte les limites maximales de puissance de transmission WLAN conformément aux réglementations ETSI. Pour plus d’informations, voir la déclaration de conformité ci-dessus / Questo dispositivo MikroTik è conforme ai limiti massimi di potenza di trasmissione WLAN in conformità con le normative ETSI. Per ulteriori informazioni, consultare la dichiarazione di conformità sopra / Este dispositivo MikroTik cumple con los límites máximos de potencia de transmisión WLAN de acuerdo con las regulaciones ETSI. Para obtener más información, consulte la declaración de conformidad anterior / Это устройство MikroTik соответствует максимальным пределам мощности передачи WLAN в соответствии с правилами ETSI. Для получения дополнительной информации см. Декларацию соответствия выше.
Note. The information contained here is subject to change. Please visit the product page on www.mikrotik.com for the most up to date version of this document.
Возникли сложности с настройкой? Инструкция прежде всего предназначена для людей, впервые столкнувшихся с оборудованием MikroTik, и содержит пошаговый мануал.
Комментариев: 16Просмотров: 141380
Введение
Данную инструкцию можно применять ко всей линейке hAP от MikroTika и модельному ряду Routerboard из сегмента Wireless for Home and Office, а именно:
- Линейка hAP (hAP mini; hAP lite; hAP lite classic; hAP; hAP ac lite; hAP ac lite tower; hAP ac);
- Линейка Routerboard (RB951Ui; RB951G; RB2011UiAS).
Если вы искали инструкцию по настройке роутеров Mikrotik других моделей, посмотрите статью по ссылке.
Первое, что нужно сделать, — это скачать программу для управления роутером Микротик RB951G 2HnD Winbox с официального сайта mikrotik.com.
Далее необходимо скачать файл последней версии прошивки.
Подключиться через Winbox к роутеру. Для этого подключаем кабель в один из портов маршрутизатора (кроме первого). Запускаем Winbox.
- Далее необходимо выбрать вкладку Neighbors;
- Выбрать наш роутер RB951G, щелкнув по MAC-адресу устройства. Ввести в поле Login – admin, а поле password оставить пустым;
- Кликнуть Connect.
Здесь необходимо применить Default Configuration, нажав кнопку OK.
Установим последнею версию прошивки RouterOS. Для этого скопируем скачанный нами файл прошивки на роутер. Откроем меню Files и с помощью drag-and-drop перетащим файл прошивки .npk. После этого необходимо зайти в system→reboot и перезагрузить роутер для обновления RouterOS.
Прежде чем приступить к другим настройкам MikroTik RB951G, необходимо установить пароль на пользователя Admin. Делается это в меню System→Password.
Настройка WiFi на MikroTik RB951G-2HnD
- Для настройки WiFi на MikroTik RB951G-2HnD необходимо зайти в меню Wireless;
- Выбрать вкладку interface;
- Выбрать беспроводной интерфейс wlan1, щелкнув по нему два раза левой кнопкой мыши. Откроются основные настройки WI-FI;
- Здесь необходимо выбрать вкладку Wireless;
- Далее включить расширенный режим нажав кнопку Advance Mode;
- Настроить имя сети WiFI в поле SSID;
- Выбрать в поле Frequency Mode — regulatory-domain;
- В поле Country необходимо выбрать Russia.
Затем переходим во вкладку Advance;
- В поле Adaptive Noise Immunity необходимо выбрать режим ap and client mode;
- Нажимаем кнопку OK для применения всех изменённых настроек.
Далее переходим к настройке security profiles (пароля) на Wi-Fi, для этого необходимо:
- В Wireless Tables выбрать Security Profiles;
- Зайти в настройки профиля, кликнув два раза левой кнопкой мыши;
- Во вкладке general, выбрать в поле mode-dynamic keys;
- Authentication Types выставить значения WPA PSK и WPA2 PSK;
- Выставить алгоритм шифрования aes com;
- Ввести пароль на сеть WiFI в поле WPA Pre-Shared Key и WPA2 Pre-Shared Key.
Применить все настройки кнопкой OK. На этом настройка Wi-FI завершена, вы должны видеть свою беспроводную Wi-FI-сеть, и подключаться к ней с помощью заданного ранее пароля.
Настройка сетевых интерфейсов в MikroTik RB951Ui-2HnD
Перейдем к настройке сетевых параметров провайдера на роутере микротик RB951Ui 2HnD. Бывают различные схемы настройки доступа к сети Интернета от провайдеров, вот основные из них:
- Автоматическое получение IP-параметров. (Automatic IP);
- Ручное назначение IP-параметров (Static IP);
- PPPoE (point-to-point over Ethernet);
- PPtP\l2tp (tunnel).
Рассмотрим настройки каждого в отдельности более подробно.
Автоматическое получение IP параметров
В данном варианте никаких дополнительных настроек на RB951Ui 2HnD не требуется. Включите кабель от провайдера в первый сетевой интерфейс — WAN. Вы получите все настройки от провайдера в автоматическом режиме, и Интернет появится на всех устройствах в вашей сети без дополнительных настроек.
Часто в домашних сетях применяется так называемая блокировка по MAC-адресу для неизвестных устройств. Это означает, что новый роутер не заработает, пока его не внесут в белый список. Данную блокировку можно устранить двумя способами:
- Позвонить на линию техподдержки своего провайдера и попросить внести новый MAC-адрес в разрешенные. MAC-address нашего устройства можно посмотреть на задней стороне роутера или через winbox. Необходимо зайти в interface→ether1 и в поле MAC Address можно найти требуемое значения.
- Установить MAC-address старого устройства на WAN-порт (первый порт). Сделать это можно в WinBox, выбрав menu New Terminal командой:
/interface ethernet set ether1 mac-address=00:00:00:00:00:00 (старый MAC)
Ручное назначение IP параметров
При ручном назначении все настройки IP параметров на mikrotik rb951g 2hnd необходимо установить самому.
Вам необходимо узнать (обычно пишут в договоре) ваши IP параметры подключения вида:
Ваш IP — IP address – 10.10.1.1
Маска подсети — MASK 255.255.255.0 (или/24)
Шлюз — 10.10.1.2
DNS server — 10.10.1.3
Ручное назначение IP параметров Микротик rb951g
Установим IP адрес на интерфейс WAN, который соответствует значению — ваш IP. Для этого необходимо зайти в меню IP(1)→address(2→plus(3) Введем IP address в поле Address (4) и выбреем интерфейс ether1 в поле Interface(5).
Далее необходимо настроить основной шлюз (gate). Делается это в меню IP(1)→Routes(2)→plus(3)
В открывшимся окне необходимо ввести значение IP address вашего шлюза в поле Gateway(4).
Последнее что нужно сделать, это настроить пересылку dns. Делается это в меню IP(1)→DNS(2) В поле Servers вводим предоставленные провайдером IP address DNS серверов.
На этом настройка завершена, на всех устройствах вашей сети должен был появиться Интернет.
Настройка PPPoE на mikrotik
Технология доступа к сети Интернет через Ethernet c авторизацией. В этом случаи провайдер предоставляет вам логин и пароль для подключения к сети. Настройка осуществляется следующим образом. Необходимо зайти в меню Interface(1)→plus(2)→PPPoE Client(3)→ во кладке General установить в поле Interface(4) ether1→выбрать вкладку dial Out(5).
Далее необходимо заполнить логин и пароль в поле User(1) и Password(2) соответственно. Поставить галочку в поле Use Peer DNS и применить настройки Apply(4).
Перейдем к настройкам Firewall. Для этого зайдите IP(1)→Firewall(2)→Filter Rules(3)→здесь необходимо изменить правила где In. Interface стоит значение ether1(4)(5) на pppoe-out1.
Выбираем необходимое привило и щелкаем два раза левой кнопкой мыши (1), провалившись в настройки во вкладке General(2) в поле In. Interface(3) выбираем pppoe-out1.
Эту же процедур необходимо выполнить и для второго правила. После этого можно переходить к следующему разделу настройки.
Дальше настроим NAT на Микротик rb951g 2hnd. Выберем меню IP(1)→Firewall(2)→NAT(3)→щелкнув два раза по правило mascaquerade(4)→установим в поле Out Interface(5) pppoe-out1→применим настройки Apply(6).
Если все сделано правильно, Интернет станет доступным со всех устройств в вашей сети.
Настройка PPtP и l2tp client на mikrotik
Еще одна распространённая технология настройки подключения к сети провайдеров – это туннельный протокол PPtP или l2tp, которая позволяет подключаться к провайдеру с использованием авторизации. В данном варианте у вас должны быть следующие IP параметры, которые вам дает провайдер:
IP address server – 172.16.16.1
Login – mylogin
Password – mypassword
Настроим клиента pptp на mikrotik. Все настройки, произведённые ниже, также можно применять к настройке клиента l2tp. Выберем меню PPP(1)→plus(2)→PPTP Client(3)→Dial Out(4)→заполним IP address сервера предоставленный провайдером в поле Connect To(5)→введем login(6) и password(6)→выставим галочку в Add default route(7). Нажмем OK для завершения данной настройки.
Дальше необходимо настроить dhcp-client на интерфейс ether1. Для этого пройдем в IP(1)→DHCP Client(2)→щелкнем по клиенту два раза левой кнопкой мыши→отредактируем поле 4 в соответствии со скриншотом.
Перейдем к настройкам Firewall. Для этого зайдите IP(1)→Firewall(2)→Filter Rules(3)→здесь необходимо изменить правила где In. Interface стоит значение ether1(4)(5) на pptp-out1.
Выбираем необходимое привило и щелкаем два раза левой кнопкой мыши (1), провалившись в настройки во вкладке General(2) в поле In. Interface(3) выбираем pptp-out1.
Эту же процедур необходимо выполнить и для второго правила. После этого можно переходить к следующему разделу настройки.
Произведем настройку NAT Микротик rb951g 2hnd. Выберем меню IP(1)→Firewall(2)→NAT(3)→щелкнув два раза по правило mascaquerade(4)→установим в поле Out Interface(5) pptp-out1→применим настройки Apply(6).
На этом настройка завершена. Осталось проверить работоспособность.
В данной статье я подробно рассмотрю вопрос базовой настройки роутеров mikrotik на примере бюджетной и самой популярной модели RB951G-2HnD. Данная инструкция подойдет практически к любой модели, так как все они сделаны на базе одной и той же операционной системы.
Введение
Роутеры Mikrotik routerboard достаточно давно появились на рынке, но так до сих пор и не завоевали большую популярность. Хотя свою нишу заняли. Лично я считаю, что это отличный роутер для дома, по надежности у него нет конкурентов. Это действительно маршрутизатор, который можно один раз настроить и забыть. Лично мне еще ни разу не попадалось устройство, которое бы приходилось принудительно перезагружать, чтобы вывести его из комы, как это часто бывает с другими бюджетными железками.
Распространение среди домашних пользователей сдерживает в первую очередь сложность настройки. И хотя более ли менее продвинутому пользователю может показаться, что ничего тут сложного нет. Но на самом деле есть. И я часто сталкивался с просьбами настроить роутер дома для раздачи интернета по wifi, так как купившие по чьей-нибудь рекомендации пользователи сами не могли полностью настроить нужный функционал, хотя инструкций в интернете хватает.
Этот пробел я хочу восполнить и написать подробную пошаговую инструкцию по настройке микротика с нуля для чайников на примере самой подходящей для дома модели RB951G-2HnD. У меня давно подготовлена личная шпаргалка в виде текстового файла. По ней я буквально за 10 минут настраиваю роутер и отдаю пользователю. То есть реально ничего сложного нет, если знаешь, что делаешь. На основе этой шпаргалки я и напишу материал.
Возможно опытному пользователю нечего будет тут почерпнуть, а может быть я сам что-то делаю не совсем правильно или не оптимально. Прошу сделать подсказку или замечание в комментарии, если это действительно так. Я пишу статьи в том числе и для того, чтобы самому научиться чему-то новому. Как гласит одна восточная мудрость — чтобы получить новые знания, нужно поделиться теми, что есть у тебя с другими. Именно этим я и занимаюсь на страницах данного сайта.
Описание Mikrotik RB951G-2HnD
Вот он, герой сегодняшней статьи — Mikrotik RB951G-2HnD. Его описание, отзывы и стоимость можно быстро проверить на сайте. По количеству отзывов уже можно сделать вывод об определенной популярности этого роутера.
Внешний вид устройства.
Важной особенностью этого роутера, которой лично я активно пользуюсь, является возможность запитать его с помощью специального poe адаптера.
На изображении он справа. Берется стандартный блок питания от роутера и poe адаптер. Блок питания подключается к адаптеру, а от адаптера уже идет патч корд в первый порт routerboard. Маршрутизатор можно повесить на стену в любое место, нет необходимости привязываться к розетке. Сразу отмечу, что запитать роутер можно только poe адаптером микротика. У него другой стандарт и привычные poe свитчи 802.3af не подойдут.
Существует похожая модель RB951Ui-2HnD. Она отличается от описываемой мной только тем, что у нее 100Mb порт, а у RB951G-2HnD 1Gb. Если для вас эти отличия не принципиальны, то можете покупать более дешевую модель. В остальном они идентичны.
Будем потихонечку двигаться дальше. Как проще всего настроить микротик? Я для этого использую стандартную утилиту winbox. Можно пользоваться и web интерфейсом, но лично мне намного удобнее winbox. Так что для продолжения настройки скачивайте ее на компьютер.
Сброс настроек роутера
Подключаем роутер к сети, подаем питание и запускаем на компьютере winbox. Переходим на вкладку Neighbors и ждем, когда утилита найдет наш микротик. Это может занять какое-то время. На всякий случай можно нажать Refresh, если роутер долго не обнаруживается.
Нажимаем на мак адрес устройства, он должен будет скопироваться в поле Connect To. Пароль по-умолчанию для входа в роутеры mikrotik — пустой, а пользователь — admin. Вводим имя пользователя, поле с паролем оставляем не заполненным. Нажимаем connect. Нас встречает информационное окно, в котором приведено описание стандартных настроек.
Здесь их можно либо оставить, либо удалить. Я всегда удаляю, так как стандартные настройки чаще всего не подходят под конкретную ситуацию. Приведу несколько примеров, почему это так:
- Я запитал свой роутер по первому порту через poe адаптер и поэтому вынужден использовать этот порт как локальный. В настройках по-умолчанию этот порт используется как wan порт для получения интернета от провайдер.
- В настройках по-умолчанию установлено автоматическое получение настроек от провайдера по dhcp. Если у вас другой тип подключения, то вам стандартная настройка не подходит.
- По-умолчанию устанавливается адресное пространство 192.168.88.0/24. Мне лично не нравятся сетки по-умолчанию, так как если в них случайно воткнуть новое устройство, где будет так же забит умолчательный адрес, то в сети начнутся проблемы. Дома может это и не актуально, но в коммерческих организациях мне приходилось с этим сталкиваться. Поэтому я на всякий случай сетку всегда меняю.
Так что мы нажимаем Remove Configuration, чтобы удалить настройки. После этого роутер перезагрузится. Ждем примерно минуту и подключаемся к нему снова.
Если вы по какой-то причине не удалили сразу предустановки, то выполнить сброс настроек в mikrotik на заводские можно позже. Для этого надо в терминале набрать сначала system, а затем reset. У вас спросят подтверждение и после этого routerboard перезагрузится с заводскими настройками.
Обновление прошивки
После очистки настроек я рекомендую сразу выполнить обновление прошивки роутера Mikrotik. Для этого идем в раздел Download официального сайта и скачиваем нужный файл. В данном случае это платформа mipsbe, пакет для загрузки Main package. Загружаем его на компьютер и подключаемся к роутеру с помощью winbox. Выбираем слева раздел Files. Затем открываем рядом два окна — один с файлом прошивки, второй с winbox и перетаскиваем мышкой файл из папки в winbox в список файлов.
Дожидаемся окончания загрузки прошивки и перезагружаем микротик. Прошивка обновится во время загрузки роутера. Подождать придется минуты 3. Поле этого снова подключаемся к устройству. После обновления прошивки, нужно обновить загрузчик. Делается это в пункте меню System — RouterBoard. Заходите туда, проверяете строки Current Firmware и Upgrade Firmware. Если они отличаются, то жмете кнопку Upgrade. Если одинаковые, то можно ничего не делать.
Проверить версию установленной прошивки можно в разделе System — Packages.
В моем случае версия прошивки — 6.33.3. В будущем, когда на роутере будет настроен интернет, обновляться можно автоматически в этом разделе, нажимая на Check For Updates.
Прошивку обновили, можно приступать к настройке.
Объединение портов в бридж
Одной из особенностей роутеров mikrotik routerboard является отсутствие предустановленных настроек портов. Объясняю на пальцах, что это такое. Покупая обычный бюджетный роутер, вы увидите подписи к портам. На одном из них обязательно будет написано WAN, на других либо ничего не будет написано, либо LAN. То есть у вас уже будет один порт настроен определенным образом для подключения интернета и остальные порты будут объединены в switch для удобства подключения оборудования.
В Mikrotik не так. Там все порты равнозначны и WAN портом может стать абсолютно любой, какой пожелаете. Так как я 1-й порт использую для подключения питания, в качестве WAN у меня будет выступать 5-й порт. А все остальные я объединю в единую сеть с помощью bridge и добавлю к ним wifi интерфейс.
Будем считать, что 1-й порт у нас мастер-порт, хотя это не обязательно, мастер портом может стать любой свободный порт. Укажем всем остальным портам использовать его в качестве мастера. Для этого в winbox идем в раздел Interfaces, выбираем ether2, два раза нажимаем на него мышкой и попадаем в его настройки. Там ищем поле Master Port, в выпадающем списке выбираем ether1.
Сохраняем настройку. То же самое проделываем для всех остальных портов, кроме 5-го. Напротив настроенного порта должна появиться буква S.
Мы объединили порты с 1 по 4 в свитч, теперь объединим их с wifi интерфейсом в bridge. Для этого идем в раздел Bridge, нажимаем на плюсик и жмем ОК. Все настройки оставляем по-умолчанию.
У нас появился bridge1. Переходим на вкладку ports и жмем плюсик. Выбираем ether1 и жмем ОК.
Вас отключит от роутера. Так и должно быть, подключайтесь снова. Идем в тот же раздел и еще раз нажимаем плюс и добавляем интерфейс wlan1. Должно получиться вот так:
Мы объединили все необходимые интерфейсы в бридж для организации единого пространства для всех подключенных устройств.
Настройка статического IP
До этого мы подключались к роутеру по МАК адресу. Сейчас можно ему назначить статический локальный ip адрес, по которому он будет доступен в сети. Для этого идем в раздел IP -> Addresses и жмем плюсик.
Указываете в разделе Address любую подсеть. Я выбрал 192.168.9.0. Соответственно микротику мы назначаем адрес 192.168.9.1/24. В качестве интерфейса выбираем bridge1. Поле Network можно не заполнять, оно заполнится автоматически. Теперь наш роутер доступен и по локальным интерфейсам, и по wifi (который еще предстоит настроить) по адресу 192.168.9.1.
Настройка интернета в микротик
Сейчас самое время подключиться к провайдеру и настроить интернет. Тут трудно охватить все возможные варианты подключения. Их может быть много. Я рассмотрю два самых популярных способа:
- Вы получаете настройки от провайдера автоматически по dhcp.
- Провайдер дал вам готовые настройки и вы их вводите вручную.
Как я уже писал ранее, для подключения к провайдеру мы будем использовать 5-й порт. Подключайте провод провайдера.
Для получения настроек по dhcp переходите в winbox в раздел IP -> DHCP Client и жмите плюсик. Выбираете интерфейс ether5 и жмете ОК.
Если вы все сделали правильно, то увидите, какой IP адрес получили. В разделе IP -> Addresses будет информация о настройках.
Рассмотрим вариант, когда провайдер выдал все настройки и вам нужно самим их задать. Будем считать, что наши настройки интернета следующие:
| IP адрес | 192.168.1.104 |
| Маска | 255.255.255.0 |
| Шлюз | 192.168.1.1 |
| DNS | 192.168.1.1 |
Сначала укажем IP адрес. Делаем все то же самое, что и в предыдущем пункте при настройке статического IP. Только теперь вместо интерфейса bridge1 указываем ether5 и вводим соответствующий адрес — 192.168.1.104/24. Тут мы сразу указали и адрес и маску подсети.
Дальше нам нужно установить шлюз по-умолчанию. Без этого обязательного шага интернет не заработает. Идем в раздел IP -> Routes и жмем плюсик для добавления шлюза по-умолчанию. В Dst. Address оставляем как есть 0.0.0.0/0, а в поле Gateway вписываем шлюз провайдера и жмем ОК.
Уже сейчас интернет должен заработать, но без указания DNS сервера обращаться можно только по прямым ip адресам. Например можно пропинговать ip адрес серверов гугла. Открываем New Terminal и проверяем.
Теперь установим DNS сервер. Для этого идем в IP -> DNS, в поле Servers вводим адрес dns сервера провайдера. Если у вас их два, то нажав на треугольничек, направленной вершиной вниз, вы можете ввести еще одно значение. Обязательно ставите галочку напротив Allow Remote Requests.
На этом все, мы полностью установили настройки интернета провайдера. Можно проверить и пропинговать привычный адрес сайта.
На самом маршрутизаторе уже есть выход в интернет. На нам нужно его настроить для пользователей. Для этого продолжаем настройку mikrotik.
Настройка dhcp сервера
Для того, чтобы подключенные устройства могли получать сетевые настройки автоматически с роутера, на нем необходимо настроить DHCP сервер. Делается это не сложно, я сейчас по шагам все распишу. Идем в IP -> DHCP, переходим на вкладку DHCP и нажимаем DHCP Setup. Нам предлагают выбрать интерфейс, на котором будет работать сервер. Выбираем bridge1.
Жмем next. Теперь нужно выбрать адресное пространство, из которого будут выдаваться ip адреса. По-умолчанию указана подсеть, в которую входит ip адрес роутера. На это подходит, оставляем значение по-умолчанию 192.168.9.0/24.
Дальше нужно указать адрес шлюза, который будут получать клиенты. Так как для них шлюзом будет выступать сам микротик, оставляем его адрес, который уже предложен.
Теперь нужно указать диапазон адресов, которые будут выдаваться клиентам. Если вам не принципиально и вы не знаете, зачем его нужно менять, то оставляйте как есть. Будут использованы все свободные адреса подсети.
На последнем этапе вводим адрес dns сервера, который будет выдаваться клиентам. Это может быть как сам микротик, так и dns сервер провайдера. Это не принципиально, но лучше указать сам роутер. Так что пишем туда локальный адрес 192.168.9.1.
Следующий параметр оставляем по-умолчанию и жмем Next. На этом настройка dhcp сервера для локальной сети закончена.
Если мы сейчас проводом подключим любого клиента к mikrotik, то он получит сетевые настройки, но в интернет выйти не сможет. Не хватает еще одной важной настройки — NAT.
Настройка NAT
NAT это преобразование, или как еще говорят трансляция сетевых адресов. Я не буду рассказывать, что это такое, можно самим почитать в интернете. Все современные роутеры имеют функцию NAT для обеспечения доступа к интернету абонентов. Так что мы тоже настроим NAT в mikrotik.
Идем в раздел IP -> Firewall, открываем вкладку NAT и жмем плюсик. На вкладке General указываем только один параметр Out. Interface — ether5 (интерфейс подключения к провайдеру), все остальное не трогаем.
Переходим на вкладку Action, выбираем в выпадающем списке masquerade. Остальное не трогаем и жмем ОК.
Все, NAT настроили. Теперь если подключить клиента проводом в один из портов, то он получит сетевые настройки по DHCP и будет иметь доступ к интернету. Нам осталось самая малость — настроить wifi для подключения беспроводных клиентов.
Настройка wifi точки доступа в mikrotik
Наш роутер почти готов к работе. Осталось только настроить wi fi точку доступа и можно про него забывать :). Настройка wifi в микротике заслуживает отдельной статьи. Там очень много нюансов и возможностей. Мы сейчас сделаем самую простую настройку, которая подойдет и полностью удовлетворит потребности домашнего wifi роутера. А для более глубоких познаний можно будет воспользоваться отдельным материалом на эту тему.
Первым делом активируем беспроводной интерфейс. По-умолчанию он выключен. Идем в раздел Wireless, выбираем wlan1 и жмем синюю галочку.
Интерфейс из серого станет светлым. Переходим на вкладку Security profiles, два раза жмем мышкой на строчку с профилем default. В поле Mode выбираем dynamic keys. Ставим галочки напротив WPA PSK и WPA2 PSK и aes ccm. В поля WPA Pre-Shared Key и WPA2 Pre-Shares Key вводим пароль от будущей беспроводной сети.
Сохраняем настройки. Возвращаемся на вкладку Interfaces и два раза жмем на wlan1, открываются настройки wifi интерфейса микротика. Переходим на вкладку Wireless. Выставляем настройки как у меня на скриншоте.
Обращаю внимание на следующие настройки:
- SSID — имя вашей беспроводной сети. Пишите то, что хочется.
- Frequency — частота, соответствующая одному из 12-ти каналов. Самое первое значение это первый канал и так далее. Тут рекомендуется выбрать тот канал, который в вашем конкретном случае менее всего занят другими точками доступа. Если вы не знаете что это за каналы и как их проверить, то не обращайте внимания, может выбрать любое значение из списка.
Сохраняете настройки, нажимая ОК. Все, wifi точка доступа на mikrotik настроена, можно проверять. Запускаете любое устройство, ищете вашу сеть, вводите пароль доступа и проверяете интернет. Все должно работать.
На этом основная настройка микротика закончена, но я рекомендую выполнить еще несколько настроек для удобства и безопасности.
Смена пароля администратора по-умолчанию
Как я уже писал ранее, пароль администратора по-умолчанию в mikrotik не задан, он пустой. Имя пользователя — admin. Давайте установим свой пароль для ограничения доступа посторонних к настройкам. Для этого идем в раздел System -> Users. Выбираем единственного пользователя admin, жмем правой кнопкой мыши и выбираем самый последний пункт password.
В открывшемся окошке 2 раза вводим свой пароль и сохраняем его. Теперь, чтобы подключиться через winbox нужно будет указать не только пользователя admin, но и установленный пароль.
Настройка времени
Я рекомендую устанавливать правильное время и включать его автоматическую синхронизацию. Это может пригодиться, если вам понадобится посмотреть какие-нибудь логи и сопоставить время. Если оно не будет установлено, то это трудно сделать. Так что настроим его. Идем в System -> Clock, устанавливаем вручную время, дату и часовой пояс.
Сделаем так, чтобы время автоматически обновлялось через интернет. Идем в раздел System -> SNTP Client. Ставим галочку Enabled, в поле с адресами серверов вводим 193.171.23.163 и 85.114.26.194. Жмем Apply и наблюдаем результат синхронизации.
Теперь часы роутера всегда будут иметь актуальное время.
На этом базовая настройка роутера mikrotik для домашнего пользования закончена. Можно устанавливать его на место и пользоваться.
Видео
В данной статье мы рассмотрим как настроить Mikrotik RB951Ui-2HnD.
Предполагается, что заранее у вас уже есть точка доступа, если не имеется — по выгодной цене оборудование Mikrotik можно приобрести в нашем интернет магазине.
Если вы ищете понятный и удобный источник информации по микротикам, то вот он: курс «Настройка оборудования MikroTik». Это видеоучебник, где «без воды» собрана вся базовая информация по работе с MikroTik и RouterOS. Для новичков станет прямым руководствам, опытные инженеры смогут освежить и упорядочить знания. 162 видеоурока и 45 лабораторных работ, основанные на программе вендора MTCNA. Первые 25 уроков можно заказать бесплатно на странице курса.
На всех устройствах компании Mikrotik установленна операционная система Router OS, по этому эта инструкция подойдет к любому устройству этого производителя.
Роутеры компании Mikrotik завоевали популярность не только в кругу специалистов, но и обычных пользователей, которые используют его дома для подключения к Интернету. Однако многие из них сталкиваются с проблемами при первоначальной настройке устройства. В этом обзоре мы рассмотрим как настроить оборудование Mikrotik в режиме точки доступа и выходом в интернет по протоколу L2TP.
Внешний вид.
Устройство поставляется в маленькой картонной коробке
Внутри находится сам роутер, блок питания к нему и инструкция на английском языке.
С лицевой стороны находятся 5 сетевых портов RJ45 10/100 мегабит, первый порт поддерживает питание посредством пассивного PoE, а 5 порт может раздавать PoE-питание.
С правой стороны устройства присутствует порт USB для подключения флэшки или 3G модема сотового оператора. Вверху расположены индикаторы активности сетевых портов и беспроводного адаптера.
С нижней стороны имеются резиновые ножки для расположения на столе, 2 “крестика” для крепления на стену, а так же отверстие для СБРОСА устройства. Что бы произвести сброс настроек нужно замкнуть и удерживать тонкой отверткой 2 контакта внутри во время включения устройства.
Внутри расположен Wi-Fi радиомодуль мощностью 1 Вт.
Теперь приступим к настройке устройства.
1. Подключение
Настраивать мы будем через фирменную утилиту Winbox, скачать его можно на сайте производителя.
При открытии Winbox переходим на вкладку Neighbors, тут будут показаны все устройсва которые находятся в нашей локальной сети. Выбираем его и нажимаем Connect.
При первом подключении появится окно:
Будет выведен список стандартных настроек, если нажимаем ОК, то они сохраняются, но мы будем настраивать устройство с нуля, по этому нажимаем Remove Configuration, после чего устройство перезагрузится.
Опять открываем Winbox и переходим на вкладку Neighbors, IP адрес у устройства изменился на 0.0.0.0, по этому мы выбираем MAC Adress нашего устройства и нажимаем Connect.
После чего откроется Winbox, но уже без настроек.
2. Обновление прошивки
Можно сразу обновить прошивку, как это сделать мы рассматривали в статье Как обновить прошивку Mikrotik Router OS, нам подойдет второй способ, тк подключение к интернету у нас еще нет.
3. Объединение портов в Bridge
Изначально все порты равнозначны и любой может быть настроен на Uplink, поэтому сделаем разграничение кто куда будет смотреть и за что отвечать.
Переходим на вкладку Bridge
Нажимаем +
Появится окно создания Bridge, имя можно изменить, мы оставляем и нажимаем ОК.
У нас появился наш bridge1
Переходим на вкладку Ports и добавляем все порты кроме первого (его оставляем под WAN), а так же ,беспроводной интерфейс wlan1.
В итоге должно получится так:
Число интерфейсов ether зависит от модели роутера.
После добавления портов в бридж они будут прозрачно пропускать трафик сквозь себя и все подключенные устройства смогут обмениваться данными между собой.
На этом настройка Bridge закончена.
4. Настройка IP адреса
Переходим в IP -> Addresses и нажимаем +
В поле Address вбиваем ip адрес нашего роутера и маску подсети 24 — которая означает подсеть 255.255.255.0, в нашем случае 192.168.0.1/24 и выбираем ранее созданный bridge1 и нажимаем ОК.
После этого устройство будет доступно по адресу 192.168.0.1
6. Настройка DNS.
Что бы роутер мог работать в качестве DNS сервера и отвечать на запросы клиентских компьютеров перейдем в IP->DNS
Вводим DNS сервер гугла — 8.8.8.8 или тот что выдал провайдер. Так же ставим галочку Allow Remote Requests.
7. Настройка DHCP сервера
Для того, чтобы подключенные устройства могли получать сетевые настройки автоматически с роутера, на нем необходимо настроить DHCP сервер. Заходим в IP -> DHCP Server и нажимаем DHCP Setup. Интерфейс выбираем ранее созданный bridge1 и нажимаем Next.
Теперь нужно выбрать адресное пространство, из которого будут выдаваться ip адреса. По-умолчанию указана подсеть, в которую входит ip адрес роутера. Нажимаем Next.
На второй вкладке видим настройки шлюза
На следующей вкладке предложат заполнить пул адресов, которые будут выдаваться клиентам
Вводим настройки DNS сервера
Время на которое выдается ip адрес (по умолчанию 3 дня)
На последнем шаге появиться окно об успешной настройки DHCP сервера
8. Настройка NAT
Для того что бы устройства подключенные к роутеру могли получить доступ в Интернет, нужно настроить Nat – трансляцию сетевых адресов. Провайдер выдает клиенту только один IP-адрес, и через него будут иметь доступ в сеть все компьютеры сети. Для этого в меню IP -> Firewall заходим на вкладку NAT и на + добавляем новое правило, где указываем только адрес клиентской подсети – Src. Address – 192.168.0.0/24.
На вкладке Action выбираем действие правила из списка – masquerade. Нажимаем Ok. Теперь все компьютеры в локальной сети могут получить доступ в Интернет.
9. Настройка безопасности.
В последнее время участились случае, когда различные боты и сетевые вирусы перебирать пароли для получения не санкционированного доступа на устройство. Что бы обезопасить себя от таких проблем следует отключить все службы, предоставляемые устройством, кроме доступа через winbox. Для этого в меню IP -> Services выбираем нужные все службы по очереди и нажимаем на Х вверху окна.
Так же рекомендуем установить пароль, для этого заходим в System -> Users и открываем пользователя admin (пользователь по умолчанию, при желании можно сменить) и нажимаем Password
Вводим пароль и подтверждаем его, после чего нажимаем ОК.
10. Настройка Wi-Fi
Теперь приступим к настройке беспроводного адаптера. Переходим в раздел Wireless
Выбираем наш интерфейс wlan1 и нажимаем на V тем самым делая его активным
Далее переходим на вкладку Security Profiles, заходим в свойства существующего профиля default и производим следующие настройки:
Authentication Types – поставить галочки напротив WPA PSK и WPA2 PSK для включения соответствующих шифрований, если нужен только один из них, ставите галочку только у него.
Unicast Ciphers и Group Ciphers – отмечаете типы шифрований, tkip и/или aes ccm. Обычно устанавливают оба, что бы все беспроводные устройства смогли получить доступ в сеть, некоторые, особенно старые устройства, могут иметь проблемы с шифрованием aes.
WPA Pre-Shared Key и WPA2 Pre-Shares Key – в этих полях вводится пароль для беспроводной сети.
Далее возвращаемся на вкладку Wireless -> Interfaces и заходим в свойства wlan1.
Mode – ap bridge – включаем режим работы в качестве точки доступа.
Band – 2GHz-B/G/N – выбираем частоту и стандарт.
Frequency – 2412 – указываем частоту работы беспроводной сети, для возможности подключения ноутбуков нужно выбирать только в диапазоне 2412-2472, они выделены жирным шрифтом в списке частот. Так же можно поставить Auto.
SSID – Buywifi – имя беспроводной сети, можно указать любое.
Wireless Protocol – 802.11 – указывает режим работы wi-fi для возможности подключения любых устройств. Так же можно поставить any любой поддерживаемый.
Channel Width – можно оставить без изменений 20MHz или включить полосу 40MHz, что позволит удвоить скорость работы беспроводной сети, поддерживается только устройствами, работающими в режиме N.
Галочка Default Forward – разрешает обмениваться данными клиентами беспроводной сети между собой, если галочку снять, то один клиент беспроводной сети не сможет получить доступ к ресурсам другого.
Для вывода расширенных настроек нажимаем Advanced Mode
На вкладке Data Rates производится управление модуляциями и скоростями, на которых работает устройство.
В разделе Rate выбрать configured и снять все галочки с разделов Supported Rates B и Basic Rates B, что полностью отключит работу беспроводного адаптера в режиме B и оставит возможность работы в режимах G и N.
На вкладке Advanced находятся расширенные настройки беспроводного адаптера.
На вкладке HT производится управление антеннами устройства.
Галочки chain0 и chain1 должны стоять.
На вкладке HT MCS происходит управление беспроводной сетью в режиме N и MIMO, каждая галочка позволяет работать на каждом типе модуляции/скорости и изменения этих параметров производить не следует.
На вкладке WDS происходит управление подключением WDS клиентов к сети (например таких же роутеров). В пункте WDS Mode выбирается dynamic и в WDS Default Bridge указывается созданный ранее бридж – bridge1. Но нам это не требуется, по этому оставим настройки по умолчанию.
На вкладке Nstreme нужно снять галочку Enable Polling.
Поллинговые протоколы позволяют улучшить качество и скорость работы беспроводной сети, но все клиенты должны поддерживать их. Такими клиентами могут быть только устройства фирмы Mikrotik, ноутбуки, коммуникаторы и смартфоны такими клиентами не являются, поэтому поллинговые протоколы следует отключить.
На вкладке Tx Power задается мощность радиокарты. Работа на максимальной мощности не позволяет получить максимальные скорости в радиоканале, поэтому мощность нужно уменьшать. Например до 18дбм. Для этого в пункте Tx Power Mode нужно поставить card rates и строчкой ниже в пункте Tx Power указать требуемое значение мощности – 17dBm.
Так же мощность можно поставить в режим all rates fixed, тогда на каждой модуляции/скорости будет одно и то же ее значение, или в режим manual – в этом случае можно задавать мощность для каждой модуляции/скорости отдельно.
На вкладке Current Tx Power можно посмотреть текущие мощности радиокарты. В первом столбике Rate указаны канальные скорости, в столбике Tx Power мощность указанная в настройках, столбик Real Tx Power показывает реальную выходную мощность по каждому каналу, а Total Tx Power суммарную по всем каналам.
На этом настройки беспроводной карты завершены.
11. Настройка подключения к сети провайдера.
Если ваш провайдер выдает ip адреса автоматически, в этом случае заходим в IP -> DHCP Client
При нажатии на + в открывшемся окне следует указать в пункте Interface интерфейс ether1 (первый порт устройства), поставить галочки Use Peer DNS, Use Per NTP и Add Default Route поставить значение yes. Это позволит автоматически получить и установить IP адрес устройства, сервер DNS, время системных часов и маршрут по умолчанию в сеть Интернет. После произведенных настроек достаточно воткнуть кабель от провайдера в первый порт.
Если же провайдер не выдает IP адреса автоматически, тогда требуется указание их вручную, для этого нужно произвести следующие настройки:
Указать IP адрес, заходим в IP -> Addresses и нажимаем +
В нашем случае
Address — 10.4.175.74/24 — ip адрес выданный провайдером и маска подсети
Network — можно не указывать
Interface — интерфейс в какой вставлен кабель провайдера (важно что бы этот интерфейс не был в бридже!!!)
Настройка L2TP
Далее нужно создать VPN подключение, заходим в PPP и выбираем L2TP Client (в вашем случае может быть другой тип соединений PPTP или PPOE)
В появившемся окне заполним:
Connect To — ip адрес vpn сервера провайдера
User — имя учетной записи
Password — пароль
Profile — оставляем default-encryption
ставим галочку Add Default Route что бы после соединения с провайдером автоматически сменился маршрут по умолчанию, так же выбираем шифрование, в нашем случае chap.
Настройка PPOE
Если у вас PPOE подключение, тогда добавляем PPOE Client и на вкладке General в пункте Interfaces указать сетевой интерфейс, через который будет происходить подключение к Интернету, в нашем случае это первый порт – Ether1.
На вкладке Dial Out настраивается пароль и логин для подключения к сети провайдера. В поле User вводится логин, в поле Password – пароль. Так же надо поставить галочки Add Default Route и Use Peer DNS – что бы получить шлюз по умолчанию и адрес DNS сервера от провайдера.
и нажимаем Apply, на этом подключение будет создано.
Примечание. Не открываются некоторые сайты.
Если роутер работает через pptp/l2tp и при этом некоторые сайты (например mail.ru, odnoklassniki.ru) не отображаются в браузере, то нужно отключить Change TCP MSS в профиле pptp/l2tp (ppp->profiles->default (или default-encription смотря какой используем) и ставим у пункта Change TCP MSS — no)
а также создать правило в файерволе ip->firewall->mangle-> Нажимаем + и на вкладке Generalchain=forward protocol=tcp
вкладка Advanced — tcp-mss=1453-65535 tcp-flags=syn
вкладка Action action=change-mss newt tcp mss=1360 и галочка на Passthrough
Так же рекомендуем сразу настроить Firewall, как это сделать, можно прочитать в нашей статье Настройка firewall Mikrotik.
Все, на этом настройка завершена. Устройство можно использовать в режиме беспроводного роутера, который работает стабильно.
Если вы хотите купить Mikrotik RB951Ui-2HnD это можно сделать в нашем магазине по привлекательной цене.
Если вы ищете понятный и удобный источник информации по микротикам, то вот он: курс «Настройка оборудования MikroTik». Это видеоучебник, где «без воды» собрана вся базовая информация по работе с MikroTik и RouterOS. Для новичков станет прямым руководствам, опытные инженеры смогут освежить и упорядочить знания. 162 видеоурока и 45 лабораторных работ, основанные на программе вендора MTCNA. Первые 25 уроков можно заказать бесплатно на странице курса.
Компания, в которой я работаю начала немного разрастаться и нам пришлось арендовать отдельное помещение, где всю сетевую инфраструктуру нужно было подымать и настраивать с нуля. После долгого планирования кабельщики провели сеть, питание и у нас сформировалось маленькое подобие серверной комнатки. Туда, недолго думая, был поставлен UPS и заведен первый провайдер интернета. Изначально был поставлен слабенький, перешедший из прежнего офиса, роутер от которого не хватало много нужного функционала. Нужно было выбирать что ставить на вход: сервер или роутер. С серверами я и до того много работал, а вот с так хваленым mikrotik не приходилось, вот я и решил заказать фирме роутер, в котором есть весь, нужный на данный момент, функционал – и мне хорошо (skills improvement) и фирма не против.
Был приобретён mikrotik RB951G-2HnD (Рис 1).
Рисунок 1 – Внешний вид роутера RB951G-2HnD
Mikrotik наименования
Чтобы дать более точную информацию по модели – расшифруем её наименование (Рис 2).
Рисунок 2 – Пример наименования mikrotik роутера
Как видим, наименование нашего роутера состоит из четырех разделов. Распишем значения каждой группы.
| RB | Стандартное сокращение RouterBoard |
| 9 | Серия |
| 5 | Количество проводных интерфейсов |
| 1 | Количество беспроводных интерфейсов |
| G | Гигабитная и может включать:
· “U“ – USB · “А“ – больше памяти · “Н“ – более мощный CPU Только, если не идет в сочетании с “L“ — light edition. В моем случаи с “U”. |
| 2 | Радиомодуль частотой 2.4 Ghz |
| H | Повышенной мощности:
· 23-24dBm на 6Mbps 802.11a · 24-27dBm на 6Mbps 802.11g |
| n | Поддержка 802.11n протокола |
| D | “Dual chain”, т.е. MIMO (Multiple In Multiple Out), т.е. многопотоковая передача данных |
Чтобы расшифровать наименования вашего устройства – можете использовать официальную документацию . Исходя из вышеизложенной информации — у нас WiFi роутер с 5-ю Гигабитными Ethernet портами и USB.
Первый запуск роутера
Чтобы сразу не положить офисную сеть, подключаем роутер на прямую к персональному компьютеру через сетевой кабель (Рис 3).
Рисунок 3 – Вид подключения роутера к ноутбуку
Следующим шагом нужно скачать последний winbox. Это софт, который позволяет подключаться и настраивать RouterOS. На момент написания статье это версия 3.11.
Запускаем winbox -> переходим на вкладку Neighbors, выделяем запись с нашим роутером и нажимаем Connect (Рис 4). По умолчанию: пользователь admin и пустой пароль.
Рисунок 4 – Вид окна подключения к роутеру через WinBox
Первое, что мы увидим – это настройки роутера по умолчанию, что нам не интересно, так как мы хотим сами все настроить с нуля. Поэтому выбираем пункт – Удалить конфигурацию (Рис 5).
Рисунок 5 – Вид окна первого подключения к роутеру
Теперь роутер подумает над своим поведением, перезагрузиться и нужно будет опять к нему подключиться тем же способом (Рис 6).
Рисунок 6 – Вид окна подключения к роутеру через WinBox после удаления конфигурации
Если случайно нажали ОК вместо Reset Configuration, то можете сбить настройки роутера используя меню (Рис 7).
Рисунок 7 – Вид окна сброса настроек роутера mikrotik
Или же через кнопку RES, которую видно на рисунке 1:
- Отключите питание роутера;
- Нажмите и держите кнопку RES;
- Включите питание роутера;
- Дождитесь, пока замигает индикатор ACT, и отпустите кнопку RES.
ВАЖНО: Если не отпустите кнопку RES и дождетесь, когда индикатор ACT перестанет мигать, то устройство перейдет в режим Netinstall для переустановки операционной системы RouterOS.
Базовая настройка
Обновляем пакеты
Первым делом советую обновиться до последней версии всех пакетов, чтобы идти в ногу с баг фиксингом и безопасностью. Переходим в System -> Packages и жмем на кнопку Check For Updates (Рис 8).
Рисунок 8 – Вид окна Packages
Видим, что у нас версия немного застарелая. Можно почитать, что было добавлено/исправлено в новых версиях я нажимаем Download->Install (Рис 9).
Рисунок 9 – Вид окна проверки на обновления
Роутер скачает все что нужно, перезагрузиться и мы должны увидеть что-то типа этого (Рис 10).
Рисунок 10 – Вид окна Packages после обновления
Теперь мы на последней версии софта.
Настройка сетевых интерфейсов
Первым делом нужно поиздеваться над сетевыми интерфейсами. Если это домашняя сеть или просто одна линка провайдера, то можно просто переименовать сетевые интерфейсы, чтобы было понятно, что за что отвечает. Когда добавляется уже два провайдера на один роутер, тогда предпочтение идет просто в группировании интерфейсов как они есть. В данном случаи мы переименуем все сетевые интерфейсы. Переходи в Interfaces -> Вкладка Interface (Рис 11).
Рисунок 11 – Вид вкладки Interfaces
Далее один за одним кликаем на интерфейс дважды и называем как нам нужно. Первый интерфейс у меня будет называться WAN (Рис 12).
Рисунок 12 – Вид окна настроек первого интерфейса: WAN
Все остальные порты должны быть объединены в один сегмент локальной сети. Mikrotik RouteOS позволяет это делать двумя способами: Bridging и Master port. На официальном форуме mikrotik не раз задавался вопрос, что лучше выбрать, и ответ всегда был: это зависит о конфигурации, которая вам нужна. Ответ от представителя mikrotik:
Bridge is software switching, master port is hardware switching. Use master ports to switch multiple physical interfaces where you want full wire speed. Use bridges to connect those master ports together, possibly with wlan ports as well.
With hardware switching alone there is no way to place a wired Ethernet segment on the same broadcast domain as a wireless segment, or interconnect different switch chips. For that, you need to use software switching (bridge functionality).
In a WISP situation, I usually do not bother with master/slave ports because it is rare, given the limitations of wireless PtMP radio equipment, that you will ever be in a situation where you are switching gigabit traffic; in such situations, where you are usually switching <100Mbps, hardware switching introduces additional complexity of configuration while decreasing CPU load only minimally.
The difference is much greater when dealing with traffic nearing gigabit speeds; any switching at this rate that you can remove from the router CPU and offload to the switch CPU makes it worth setting up master/slave, even though it makes the configuration a little more complicated.
Ми идем по пути уменьшения нагрузки на CPU, и поэтому в нашей номинации побеждает Master/Slave конфигурация. Следующим у нас будет порт с названием eth0, который будет мастером для всех остальных (Рис 13).
Рисунок 13 – Вид окна настроек второго интерфейса: LAN Master
Все остальные интерфейсы переименуем и поставим для них как мастер порт eth0 (Рис 14).
Рисунок 14 – Вид окна настроек второго интерфейса: LAN Slave
Те же действия проделаем с остальными проводными интерфейсами. И на закуску переименуем беспроводной интерфейс (Рис 15).
Рисунок 15 – Вид окна настроек беспроводного интерфейса: LAN WiFi
Смотрим, что у нас получилось и также включаем WiFi (Рис 16).
Рисунок 16 – Вид окна списка интерфейсов
Настройка Интернет доступа
Чтобы у нас был доступ в Интернет – нужно настроить WAN интерфейс. В нашем случаи провайдер дает динамический IP адрес, поэтому нам нужно настроить DHCP клиент. Переходим в IP -> DHCP client вкладка DHCP Client жмем “+”, на вкладке DHCP выбираем Interface: WAN и жмем ОК (Рис. 17).
Рисунок 17 – Вид окна настроек DHCP client
И мы должны получить что-то типа этого (Рис 18).
Рисунок 18 – Вид окна полученных WAN настроек
Настройка WiFi доступа
Для WiFi доступа нам нужно подправить настройки интерфейса и профайл безопасности. Идем в Wireless вкладка Interfaces и там кликаем на wifi. В появившимся окне на вкладке Wireless выбираем Mode: ap bridge, Band: 2GHz-B/G/N, вписываем название SSID (в моем случаи OFFICE) и жмем ОК (Рис 19).
Рисунок 19 – Вид окна настроек Wifi Interface
Теперь нужно отредактировать профайл безопасности. Идем во вкладку Security Profiles кликаем на default, во вкладке General выставляем
- Mode: dynamic keys
- Authentication Types: WPA2 PSK
- Unicast Ciphers: aes ccm, tkip
- Group Ciphers: aes ccm, tkip
- WPA2 Pre-Shared Key: <свой_пароль>
И нажимаем ОК (Рис 20).
Рисунок 20 – Вид окна настроек WiFi Security Profiles
Теперь у нас есть рабочий WiFi который можно уже использовать (Рис 21).
Рисунок 21 – Вид окна настроек WiFi Interfaces после редактирования
Настройка сетевых мостов
С интерфейсами закончили. Теперь переходим к настройке bridge. Это нужно для того, чтобы все интерфейсы были в одном сегменте сети. Нажимаем на меню Bridge, на вкладке Bridge нажимаем символ “+”, в появившимся окне на вкладке General вписываем имя моста (Рис 22). В нашем случаи – LAN, который буде объединять все беспроводные и проводные интерфейсы, т.е. наш Wifi и Master port eth0.
Рисунок 22 – Вид окна настроек сетевого моста LAN
Теперь добавляем к нашему бриджу сетевые интерфейсы. Первым пойдет Мастер порт проводных интерфейсов. Переходим в вкладку Ports, нажимаем на значок “+”. В Interface выбираем eth0 и в Bridge ставим LAN (Рис 23).
Рисунок 23 – Вид окна настроек проводных портов для LAN bridge
Тоже делаем с беспроводным интерфейсом (Рис 24).
Рисунок 24 – Вид окна настроек беспроводного порта для LAN bridge
Настройка IP стека
Переходим к настройке IP адресов. Как так, что наш роутер до сих пор не имеет IP адреса – нужно это исправить. Нажимаем IP -> Addresses, далее на “+” и вводим IP, по которому буде доступен наш роутер (в моем случаи это 10.222.222.254/24) и в поле Interface ставим наш LAN bridge (Рис 25).
Рисунок 25 – Вид окна IP настроек роутера
У роутера теперь есть IP адрес, но раздавать IP адреса из этой сети он не еще не может. Нужно ему в этом деле помочь. Переходим в меню IP -> DHCP Server. На вкладке DHCP нажимаем на кнопочку DHCP Setup и идем по гайду (Рис 26).
Рисунок 26 – Вид окна настроек DHCP server
Выбираем наш локальный LAN bridge, вводим пул адресов, IP адрес шлюза (что есть наш адрес роутера), диапазон адресов для раздачи, список DNS серверов и время резервирования адресов за клиентами (Рис 27).
Рисунок 27 – Вид окон мастера настроек DHCP server
Теперь мы получим IP при подключении к роутеру.
Настройка NAT
Теперь настроим правила для Firewall-а. Если этого не сделать, то наши пакеты смогут ходить только по локальной сети без надежды попасть во внешний мир. Идем в IP -> Firewall. Вкладка NAT и жмем “+”. Во вкладке General выбираем Chain: srcnat и ставим для нее Out. Interface: WAN (Рис 28).
Рисунок 28 – Вид окна настроек Firewall NAT
Переходим во вкладку Action, выбираем masquerade и жмем ОК (Рис 29).
Рисунок 29 – Вид окна настроек Firewall NAT Actions
Настройка времени
Чтобы время событий совпадало с нашей реальностью, нужно настроить часики на роутере. Переходим в System -> Clock, вкладка Time и выставляем нужные значения (Рис 30).
Рисунок 30 – Вид окна настроек времени
Смена пароля по умолчанию
Изначально мы подключались на систему без ввода пароля пользователем admin. Так делать нельзя – нужно поставить нормальный пароль. Идем в System -> Users. На вкладке Users кликаем на пользователя admin. В открывшимся окне нажимаем на кнопку Password. В следующем окне вводим пароль и жмем ОК (Рис 31).
Рисунок 31 – Вид окна смены пароля для пользователя admin
На этом этапе моя базовая настройка роутера закончилась.
Скорее всего вам уже наскучили мануалы в интернете, взятые под копирку, да ещё и с не настроенным фаерволом или инстансы которых базирующиеся на default config. В нашей инструкции мы покажем простую, но правильную настройку роутера Mikrotik RB951G-2HnD , а также расширим функционал устройства, не прибегая к его вскрытию или аппаратных изменений.
Содержание
- Обзор RB951G-2HnD
- Вводные данные
- Правильно прошьём до версии RouterOS 6.47.3
- Настройка доступа в интернет WAN
- Настройка коммутатора
- DNS
- NAT
- Interface List
- Настройка DHCP Server
- Настройка WiFi
- Расширенные настройки безопасности
- Базовая настройка Firewall
- Резервная копия конфигурации и устройства
- 89 вопросов по настройке MikroTik
Обзор RB951G-2HnD
В студии сегодня легендарный Mikrotik RB951G-2HnD. Данная модель, является усовершенствованной RB951Ui-2Hnd. Это, по сути, один и тот же девайс, только с одним отличаем, вместо чипа коммутации Atheros8227 установлен Atheros8337. Помимо канальной скорости в 1Gb/s, мы ещё получаем дополнительные фишки на аппаратном уровне, а именно:
- RX limit;
- Host table 2048 вместо 1024;
- Rule table в 92 правила;
- По количеству vlan все стандартно – 4096.
Годами проверенный процессор Atheros AR9344 частотой в 600 Mhz и ОЗУ 128MB DDR2.
Давайте взглянем на блог диаграмму:
Имеем 5 гигабитных портов, MIMO 2×2, ОЗУ, флешку, USB порт, индикатор, сигнализатор и в середине схемы ЦП. Скорость между свитч чипом и ЦП – 1Gb/s – имейте в виду, когда надумаете роутить трафик между портами или если захотите создать AP в связке с беспроводной карточкой и ethernet портом. В этом случае у вас все будет работать на скорости ЦП. Достаточно мощный роутер для Home office. Перейдём к настройке.
Если вы хотите углубить свои знания по работе с роутерами MikroTik, то наша команда рекомендует пройти курсы которые сделаны на основе MikroTik Certified Network Associate и расширены автором на основе опыта . Подробно читайте ниже.
Вводные данные
Mikrotik RB951G-2HnD;
Провайдером предоставляются услуги по PPoE;
Локальная сеть 192.168.0.0/24;
Правильно прошьём до версии RouterOS 6.47.3
Вот тут мы и прибегнем к маленькой хитрости – увеличим мощность wifi адаптера. Ну точнее — снимем ограничения через Netinstall. Дело в том, что с завода выпускаемые устройства для России лочатся по мощности, ну чтобы без проблем их ввозить в страну и продавать. Блокировка подразумевает уменьшение мощности до 100мВт и частот 2400 — 2483,5 МГц. Мы это ограничение снимем и получим 1Ват плюс весь доступный диапазон чипа. Прошиваем через NetInstall, в итоге получаем все, за что заплатили.
После прошивки подключаемся. Видим, что никаких настроек нет – это то, что нам нужно или Blank Config. Обязательно сравниваем версию BIOS и загрузчика в System — RoterBOARD. В моем случае они различаются. Жмём Upgrade и System — Reboot.
Настройка доступа в интернет WAN
Нам известно, что провайдер подаёт услугу по протоколу PPoE и подключён в ether1. С нашей стороны нужно настроить клиента. Но сначала, подпишем интерфейсы. Именно подпишем, а не изменим их название. Открываем вкладку Interfaces. Выделяем первый интерфейс и ставим комментарий.
Т.к. все оставшиеся интерфейсы будут объединены в bridge локальной сети, то зададим комментарий LAN только на ether2.
Теперь, наглядно понятно, кто куда относится. Создадим PPoE для выхода в интернет. Нажимаем на синий плюс, выбираем PPoE Client.
На основной вкладке задаём имя и интерфейс, с которого будет подключение.
В Dial Out задаём логин пароль в соответствующих полях. Default Route Distance не трогаем, если не хотим изменить метрику маршрута «последней надежды». Service и AC Name меняем только в том случае, если хотим всегда подключаться к определённому серверу. Применяем настройки. Статус должен быть Connected.
На вкладке статус видим полученный адрес — Local Address, количество разрывов — Link Downs, время жизни подключения – Uptime, а также Active Service Name и Active AC Name – это те параметры, которые можно жёстко указать в Dial Out, тогда девайс будет подключаться только к этому серверу.
Проверим корректность маршрутов IP – Routes. Маршрут выхода в интернет получил именно ту метрику, какую задали в свойствах клиентского подключения.
Почему у одной метрики значение 1, а у другой 2? Дело в том, что локально заданные адреса, будут всегда иметь наивысший приоритет 0 над другими.
Настройка коммутатора
Как известно, в терминологии Mikrotik, чтобы объединить интерфейсы в свитч, их нужно добавить в мост. В меню Bridge создадим мост для локальной сети.
Добавим в него интерфейсы ether2-5, wlan1 через синий плюс, ничего не меняя.
.
Далее навесим IP адрес локальной сети. IP – Address. В списке можно заметить полученный адрес от провайдера.
После применения, должен появится новый адрес в списке.
DNS
Чтобы внутренние устройства могли разрешать имена в адреса, необходимо сконфигурировать IP – DNS:
- Указываем адреса в Servers;
- Разрешаем удалённые запросы;
- Изменяем время жизни в кэше.
Через кнопку Static можно задать статические записи, которые никогда не будут удаляться, даже после ребута. Посмотреть кэш можно в DNS Cache, очистить его Flush Cache – удалятся все не статические записи.
NAT
Заветная кнопка, которая выпускает пользователей в интернет IP – Firewall – NAT. Создаём правило маскардинга:
- Цепочка — src-nat;
- Src. Address – 192.168.0.0/24;
- Out. Interface – ISP WAN.
Action – masquerade.
А теперь прочтём правило: если есть пакеты, исходящие с сети 192.168.0.0/24 в неизвестном направлении, то отправляем их через интерфейс ISP-WAN подменяя адрес, который имеется на внешнем интерфейсе.
Если у вас статический адрес от провайдера, то вы можете оптимизировать нагрузку использовав вместо masquerade – src-nat указав внешний IP, в моем случае это 10.200.143.124.
Отличие masquerade от src-nat не только в этом. Когда Mikrotik пропускает новое соединение через себя, он проверяет, какой адрес задан на Out Interface, берет самый младший, подставляет его и отправляет наружу. И так с каждым новым соединением. Помимо этого, если у вас дёрнется WAN интерфейс и стоит masquerade, то все соединения с Connection Tracker удалятся, т.е. все сессии будут закрыты, и пользователь сразу это заметит. В случае src-nat вы можете регулировать какой адрес подставлять, если их несколько, и не разрывает соединения в случае кратковременного падения WAN.
Если вы в процессе траблшутинга не хотите в дампе видеть не понятный трафик, то рекомендую отключать всяческие хелперы. По опыту работы замечались проблемы с голосом, проходящим через NAT.
Interface List
Замечательный функционал, который позволяет создавать именованные листы. Далее вы можете их использовать при настройке firewall или конфигурировании доступа к устройству. Есть дефолтные, но мы создадим свой собственный.
Далее добавляем интерфейсы в лист. В дальнейшем он нам пригодиться.
Настройка DHCP Server
К счастью, есть DHCP Setup, который запустит довольно удобный мастер настройки DHCP сервера.
Выбираем интерфейс, на котором будет работать служба.
Мастер автоматически определит необходимую подсеть. Он ориентируется на заданный адрес и маску подсети выбранного интерфейса. Если у вас более одного адреса, мастер может сработать не корректно.
Далее зададим шлюз для данной сети.
Указываем выдаваемый пул.
Какой DNS сервер раздавать. Можно указать несколько. Я предпочитаю указывать адрес шлюза.
Последний этап, время жизни аренды. Предпочитаю менять с 10 минут до 1 дня. В случае, если нужно узнать, когда подключалось устройство к сети, поможет данный счётчик в таблице выданных адресов.
В таблице серверов мы видим сервер с именем dhcp1 на интерфейсе General-Bridge, время аренды 1 день и имя пула dhcp_pool0. Вы можете изменить имена пула и сервера для удобства администрирования в IP – Pool и щелкнув 2 раза по имени инстанса.
Перейдя на вкладку аренды, мы увидим устройство, которое 30 секунд назад получило адрес.
Зарезервировать адрес можно нажав ПКМ – Make Static.
После активирования резервации, обязательно удаляйте Client ID щёлкнув на стрелочку в свойствах выбранного адреса. Иногда он может меняться, особенно на FreeBSD.
Настройка WiFi
Девайс имеет одну физическую карточку и будет выступать в качестве точки доступа. Ранее мы добавили wlan1 в основной бридж. С чего начинается настройка wifi? Правильно, с Security Profiles, открываем и создаём новый.
Не используйте default профили, лучше создайте новый
После сохранения, открываем свойства адаптера и включаем Advanced Mode.
Задаём параметры:
- Режим работы – точка доступа;
- Протоколы – G и N;
- Частота;
- Название сети;
- Протокол беспроводной сети;
- Созданный на прошлом шаге профиль безопасности;
- Режим частоты;
- Страна.
В принципе, предпоследний пункт выбирать не нужно. Его выбирают если хотят юзать не стандартные частоты для страны. Самая последняя галочка должна быть установлена. Если она отсутствует, то ни одно устройство не сможет подключиться к сети, если его нет в Access List.
Пару слов о WPS Mode. Режим Push button сработает если на девайсе есть физическая кнопка, если ее нет, то выбираем virtual push button only. Так же можно отключить функционал.
Проверим, все ли антенны включены, применим настройки и включим адаптер.
Расширенные настройки безопасности
Чтобы защитить роутер от нежелательной прослушки, отключим ненужные сервисы и трафик, который шлет девайс, пытая всех вокруг уведомить своим присутствием. Сперва отключим не нужные службы и немного кастомизируем их. Переходим в IP – Services. Видим список активных служб. Отключаем то, что не собираемся использовать.
И изменим дефолтные значения двойным кликом по каждому. Порты Winbox и SSH я изменил на не стандартные, а на веб-интерфейс разрешил ходить только с локальной сети – это первый контур безопасности для www.
Далее отключим аналог CDP на Mirkotik. Тот самый трафик, который выдаёт наш роутер. Скажем что можно слать его, только в интерфейс лист LAN созданный ранее.
Далее открываем MAC Server. Разрешаем подключаться по MAC Winbox и MAC Telnet только с листа LAN, а MAC Ping запрещаем вовсе.
Теперь мы спрятали роутер от чужих глаз. Но на этом не все. Нужно сделать дополнительный контур безопасности.
Базовая настройка Firewall
Ранее мы оптимизировали отправку служебного трафика и порты для служб, но этого недостаточно для базовой защиты девайса. Мы не будем погружаться в тонкости фильтрации, просто покажу самый обычный фаерволл.
Вся настройка у rb951g 2hnd находится в Filter Rules. Порядок следования правил имеет значение, чем меньше цифра, тем выше приоритет. Рекомендуется более узкие правила ставить выше общих. Данная конфигурация разрешает новые входящие соединения для изменённых портов SSH, Winbox, DNS и HTTP трафик из локальной сети (второй контур безопасности), устоявшиеся и связанные соединения, ну и в конце, мы убиваем весь входящий трафик. Т.е. если входящий трафик не соответствует ни одному из правил, то убить пакет.
Правило для пересылки очень простое – форвардим весь трафик через FastTrack. Это полезная фича, которая позволяет пересылать пакеты не по всей цепочке Packetflow Diagram, что в совокупности ускоряет обмен данными и разгружает девайс. В Mangle появятся соответствующие правила маркировки.
Вышеописанную логику можно применить следующими командами:
/ip firewall filter
add action=accept chain=input comment=IN-SSH-Allow connection-state=new dst-port=5222 protocol=tcp
add action=accept chain=input comment=IN-Winbox-Allow connection-state=new dst-port=58291 protocol=tcp
add action=accept chain=input comment=IN-DNS-from-LAN-Allow dst-port=53 protocol=udp src-address=192.168.0.0/24
add action=accept chain=input comment=IN-Web-from-LAN-Allow connection-state=new dst-port=80 protocol=tcp src-address=192.168.0.0/24
add action=accept chain=input comment=IN-EST-REL-Allow connection-state=established,related
add action=drop chain=input comment=IN-ALL-Drop
add action=fasttrack-connection chain=forward comment=Enable-Fasttrack src-address=192.168.0.0/24
Резервная копия конфигурации и устройства
Делаем правильный бэкап. Мы можем сделать 2 вида бэкапа. Первый – экспорт конфигурации, второй – полный слепок устройства. Разница между первым и втором – экспорт можно загрузить в любой девайс, второй – только на этот же самый роутер.
Сделаем выгрузку через консоль с помощью команды export file=BK-Export
В файлах появится выгрузка с типом script. Его можно открыть текстовым редактором.
Здесь же, по кнопке Backup можно создать полный слепок, обязательно задаем пароль.
Оба файла копируем на ПК или внешний диск и удаляем с устройства. Хранить бэкапы на устройстве – плохая идея! Да статья конечно получилась длинна но в ней мы затронули все аспекты по настройке mikrotik rb951g 2hnd, привели его характеристики, прошивку и все что нужно знать когда вы берете его в руки.
Удачных конфигураций.
89 вопросов по настройке MikroTik
Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдёте для себя полезную информацию в курсе «Настройка оборудования MikroTik». 162 видеоурока, большая лабораторная работа и 89 вопросов, на каждый из которых вы будете знать ответ. Подробности и доступ к началу курса бесплатно тут.