Отвечу Вам в целом и обобщённо.
1) порт куда подключается провайдер — обычно этот порт не должен быть
нигде с другими портами как-то связан и не должен быть членом бриджа
локального.
1.1) если адрес даётся статично — устанавливаем на порту1 сразу
1.2) если адрес даётся динамический — прописываем порт1 в DHCP Client сразу и получаем
1.3) если подключение по РРРоЕ/L2TP — то физически порт1 нужен нам для связи с сервером
авторизации провайдера, но всё равно, такой порт (порт1) нельзя никуда смешивать.
И интерфейс рррое или l2tp — это те интерфейсы через которые Вы будете выходить в сторону
провайдера и через этот интерфейс и надо делать маршрутизацию/НАТ(маскарайдинг).
2) локальная сеть:
а) простейший вариант: создаёте бридж (это логический интерфейс), в него прописываете
порты для локальной сети (скажем порт2 и порт3), даёте адрес бриджу, на бридже (подчёркиваю)
создаёте/настраиваете DHCP сервер. И уже те компьютеры которые будут входить в состав
бриджа и будут получать от его DHCP нужную(правильную) адресацию.
Хотите, добавьте в бридж и wlan интерфейсы.
б) не простейший вариант:
создаёте второй локальный бридж, в него прописываете интерфейс wlan1, на этом
бридже поднимаете отдельный DHCP с отдельным пулом и адресацией.
И соответственно, кто подключиться во ВиФИ — тот получит адресацию со второго DHCP.
Защита:
а) защищать надо сеть от вторжения/атак на внешнем интерфейсе,
он у Вас или порт1 и/или если есть рррое/l2tp = то этот интерфейс является
внешним.
б) прежде чем защищать от кучи портов, на микротике надо «лишнее» отключить,
то что явно не нужно.
в) золотое правило — то что по-умолчанию не включено/не стоит галочка — лучше и не включать.
г) при настройки DHCP сервера(ов) — аренду адреса(ов) делать 10-15 минут, для тестирования,
уже в работе можно сделать 3-4 часа или даже 10-12 часов. Делать 1-2 дня или 7-10 дней
я со своей стороны Строго НЕ рекомендую.
Почитайте тут на форуме как надо учиться дружить с микротиками, набейте руку, пока что
Вы не понимаете некоторые сетевые сущности и логику.
На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
В прошлой статье https://www.1spla.ru/blog/nastroyka-interneta-na-mikrotik я рассказал как настроить на нашем новом роутере интернет, в этой статье я покажу что нужно сделать чтобы исправить некоторые проблемы стандартной конфигурации.
Сразу приведу список проблем, а потом пошагово разберём то, как эти проблемы устранять.
- Пустой пароль администратора.
- Открытый в интернет DNS-сервер (ваш микротик могут использовать для усиления DDoS-атак).
- Открыты в интернет сервисы для управления микротиком.
- После обновления прошивки микротик автоматически не обновляет загрузчик.
Итак, пойдём по порядку.
Пароль администратора задать совсем просто, для этого нужно зайти в меню System, подменю Users.
В открывшемся окне кликнуть правой клавишей мыши по пользователю admin и выбрать кнопку Password.
В открывшемся окне 2 раза вписываем новый пароль и нажимаем «OK».
Теперь можно закрыть DNS сервер от злоумышленников.
Вариантов это сделать есть два:
- Отключить удалённые запросы к DNS на микротик (IP-DNS, снять галку Allow Remote Requests), но делать мы так не будем, т.к. выдаём собственный DNS в локальную сеть.
- Закрыть доступ к DNS извне нашей локальной сети.
Для этого нам потребуется зайти в IP – Firewall.
Нажимаем на + и создаём ещё одно правило, запрещающее входящий трафик (Chain: input) по протоколу UDP (Protocol: udp) на 53й порт (Dst. Port: 53) интерфейса провайдера (In. Interface: ether1).
На вкладке Action выбираем действие drop.
Нажимаем «ОК» и перетаскиваем его мышкой на 2ю позицию, т.к. правила firewall применяются по порядку, сверху вниз, пока пакет не попадёт под условия одного из правил.
Ещё одна неприятная вещь закрыта.
Теперь займёмся лишними сервисами. Идём в меню IP – Services, тут мы видим все доступные в данный момент сервисы и порты, на которых они работают.
Кроме winbox нам другие сервисы в принципе не нужны, можно выделить их и нажать красный крест в верхней части окна, что отключит их.
При желании, можно кликнуть на сервис winbox и выполнить тонкую настройку данного сервиса (изменить порт, задать список ip-адресов или подсетей из которых к нему можно подключаться).
Итак, последний пункт нашей сегодняшней статьи – обновление загрузчика нашего оборудования.
Идём в пункт System – Routerboard.
Тут мы видим модель нашей железки, её серийный номер и версии загрузчика (заводская, текущая и та, на которую можно обновиться).
К сожалению, у меня не было под рукой оборудования с не обновлённым загрузчиком, поэтому просто скажу, что нужно нажать на кнопку Upgrade в правой части окна и через некоторое время просто перезагрузить роутер.
На этом всё.
В следующей статье я расскажу, как включить и правильно настроить WiFi на нашем роутере.
Если вам нужна помощь в настройке оборудования или серверов, наши специалисты всегда готовы вам помочь.
Статью подготовил технический директор компании Первый Сервисный Провайдер Гавриш Артём.
Вот вы пытаетесь подключиться к Wi-Fi с телефона или планшета. Но видите «ошибку конфигурации IP», когда происходит бесконечное получение IP адреса или адрес вовсе не доступен. Чаще такие проблемы можно увидеть на операционной системе «Android». И я сразу отвечу, почему это происходит. Смартфон отправляет запрос на роутер, чтобы тот предоставил ему IP, маску и DNS. Маршрутизатор так и работает. Без установленного адреса, роутер не будет знать куда слать пакеты информации.
Это как жить в глухом лесу и заказывать посылки. Почтальон просто не будет знать куда их доставлять. По умолчанию, на всех интернет-центрах включена функция DHCP. Вот как раз она и раздаёт все эти адреса. Но иногда бывает, что функция отключена или она сломана. А у Андроид в настройках сети стоит автономное получение айпи адреса.
В таком случаи у нас есть три варианта, если не удалось подключиться к роутеру:
- Подойдите и перезагрузите ваш роутер – просто выдерните его из розетки и через 2 минуты вставьте обратно. Если не поможет – и читаем инструкции ниже.
- Прописать IP адрес вручную на телефоне;
- Включить DHCP на роутере.
Об этом мы и будем говорить сегодня. Я подробно расскажу вам про все, с картинками и пояснениями. Но начнём, наверное, с телефона.
Содержание
- Установка сетевых настроек на смартфоне или планшете
- Как включить DHCP на роутере?
- TP-Link
- D-Link
- ASUS
- Zyxel Keenetic
- Более редкое решение
- Всё равно не подключается к WiFi
- Задать вопрос автору статьи
Установка сетевых настроек на смартфоне или планшете
Минус данного метода в том, что, прописав вручную настройки на одном телефоне – он будет работать. Но вот если вы попытаетесь подключить другие устройства – на них также придётся прописывать IP, маску и т.д.
- Сначала нам надо узнать IP адрес нашего роутера. Для этого можно заглянуть под корпус аппарата и посмотреть на этикетку.
- Если там указан DNS адрес, а не IP, то узнать можно через компьютер или ноутбук. Подключитесь к роутеру по проводу, который надо будет воткнуть в LAN порт.
- Нажимаем на ноуте или компе сочетание клавиш + R.
- Прописываем команду «CMD».
- В консоли вводим «ipconfig» и жмём Enter. Запоминаем IP из строки «Основной шлюз». В моём случае это 192.168.1.1, но у вас может быть и другой.
- Зайдите в «Настройки».
- Теперь переходим в раздел, где у вас находится Wi-Fi подключения. Нажмите на ваше подключение и удалите его.
- Теперь, как обычно нажмите на вашу сеть, чтобы подключиться. Но не торопитесь вводить пароль. Сначала нажмите на стрелочку раздела «Расширенные настройки».
- Нажмите на «Настройки IP» и выберите «Пользовательские», чтобы ввести настройки вручную.
- Сначала введите в поле шлюз IP вашего роутер. У меня это 192.168.1.1. А потом IP-адрес телефона. Но нужно вписать такой же значение как у шлюза, только поменять последнюю цифру на любую другую, но не на 255. Я установил 128, но можно поставить и 16, 18, 28 и т.д. Если, к примеру у вас шлюз (айпи роутера) 192.168.0.1, то IP адрес телефона надо поставить как 192.168.0.*любая цифра* – например 192.168.0.124.
- Теперь пролистываем в самый низ.
- В качестве DNS ставим в первую строку 8.8.8.8, а во вторую 8.8.4.4 — это ДНС адреса от Google. Они позволяют корректно работать всем приложениям на смартфоне и правильно открывать сайты.
- В самом конце листаем вверх, вписываем пароль и подключаемся.
Как включить DHCP на роутере?
Это самый надёжный способ, так как после этого любое устройство сможет без проблем работать в беспроводной сети. Для начала нам надо подключиться к роутеру по проводу. Как это сделать я уже писал выше. Далее открываем браузер на компьютере или ноутбуке и в адресной строке прописываем IP или DNS адрес роутера.
Напомню, что он находится под корпусом маршрутизатора на этикетке. Вас попросят ввести логин и пароль от «Админки», он находится там же. Далее инструкции будут немного отличаться от компании, выпустившей интернет-центр.
TP-Link
На старых моделях: слева выберите «DHCP» и включите режим. Далее «Сохранить».
На новых моделях – «Дополнительные настройки» – «Сеть» – «DHCP-сервер». Активируем и сохраняемся.
D-Link
На более старых моделях выбираем «Сеть». Далее «LAN» и переводим в разделе «DHCP-сервер» в состояние «Разрешить». Не забудьте нажать кнопку «Применить». На новых прошивках всё тоже самое, только сначала надо зайти в раздел «Расширенные настройки».
ASUS
«Локальная сеть» – «DHCP-сервер» – ставим «Да». В левом нижнем углу нажимаем «Применить».
Zyxel Keenetic
В самом низу выберите второй раздел с двумя компьютерами. Далее переходим на вторую вкладку «Сегменты». Нажимаем на первую группу «Home».
В разделе «Сервер DHCP» включаем функцию и применяем настройки.
Более редкое решение
Расскажу из собственного опыта. У меня такая проблема была, когда я перепрошил свой роутер. При этом интернет на компе, который был подключен по проводу был. Но вот подключиться к беспроводной сети, мне так и не удалось. Я залез в настройки, скачал новую прошивку, и она также не работала. Хотя устанавливал я её с официального сайта.
Так что если вы ранее обновляли прошивку вручную или через систему Web-интерфейса аппарата, то стоит сбросить настройки до заводских. Просто зажимаем кнопку «Reset» на 15 секунд. Ждём пять минут и настраиваем его заново. Не все прошивки ровно встают на маршрутизатор.
Всё равно не подключается к WiFi
Если ИП не работает и долго подключается, после выполнения всех вышестоящих инструкций – то такое может быть в случаи системной поломки телефона на Андроид. Система начинает криво работать из-за вирусов или сторонних программ. Особенно это показательно, когда все устройства и другие телефоны и планшеты подключаются, а ваш нет. Тогда стоит сбросить некоторые настройки. Зайдите в «Настройки» – «Система» – «Сброс настроек».
Теперь поочередно сделайте сброс по каждому пункту. Сначала сбрасываем настройки «Wi-Fi, мобильного интернет и Bluetooth». Перезагружаем телефон и вновь пытаемся подключиться к сети роутера. Потом делаем сброс по второму пункту – ну и так далее. В конце если ничего не поможет, сбросьте до заводских настроек.
В данной статье мы собрали наиболее распространённые виды ошибок, связанные с выбором и настройкой оборудования от компании MikroTik.
Нет комментариевПросмотров: 1801
Ошибки выбора
На протяжении многих лет работы с оборудованием MikroTik мы встречали множество вариаций его применения. Благодаря гибкости в настройке и широкому ассортименту разработанного оборудования, устройства на базе RouterOS подходят для решения как типовых, так и сложных, неординарных задач. Однако, вместе с широкими возможностями оборудования возрастает вероятность совершения ошибки. В данной статье мы собрали наиболее часто встречающиеся случаи.
Скоростной режим портов
В ассортименте оборудования MikroTik есть устройства как с гигабитными, так и с 100-мегабитными портами. При построении сети из нескольких коммутационных устройств следует убедиться, что все коммутаторы и роутеры поддерживают требуемый скоростной режим портов. В противном случае, устройство со 100-мегабитными портами, подключенное между устройств с гигабитными портами, станет «бутылочным горлышком» при прохождении трафика на высоких скоростях.
Порты SFP, которыми оснащены некоторые устройства, поддерживают максимальную пропускную способность до 1 ГБит/с. Устройства MikroTik могут сочетать в себе как порты SFP, так и SFP+, максимальная пропускная способность которых — 10 ГБит/с. При проектировании сети с SFP-подключениями на это также нужно обращать внимание.
Поддержка скоростных режимов портов указывается в названии устройства. Обозначение «G» — поддержка скорости ethernet-портов до 1 Гбит/с, «S» — наличие SFP-порта с пропускной способностью до 1 ГБит/с, «S+» — наличие SFP+ порта 10 ГБит/с. Например, устройство RB962UiGS-5HacT2HnT имеет гигабитные Ethernet-порты и SFP-порт.
Ограничения лицензии RouterOS
Планируя конфигурацию беспроводной сети Wi-Fi на базе оборудования MikroTik, следует обращать внимание на оборудование с лицензиями RouterOS Level 3. Данная лицензия ограничивает количество одновременных беспроводных подключений к точке доступа до 1, т.к. предназначена для устройств-радиомостов в режиме «точка-точка». Чтобы использовать такое устройство в режиме точки доступа или в конфигурации «точка-многоточка», нужно дополнительно приобрести и установить лицензию RouterOS Level 4. Ниже приведены ссылки на оборудование и лицензию.
Модуль аппаратного шифрования
Благодаря обширным возможностям RouterOS, устройства MikroTik подходят для решения широкого круга задач. Одна из них — объединение географически удалённых сетей в единую при помощи туннелей (VPN, IPIP, IPSec). Операционная система позволяет включить шифрование трафика туннеля при необходимости, однако, в некоторых случаях эта функция приводит к снижению пропускной способности туннеля и повышению загрузки ЦП маршрутизатора.
Некоторые устройства MikroTik оснащены модулем аппаратного шифрования, который разгружает ЦП маршрутизатора, обрабатывая операции шифрования трафика. Для построения географически удалённых сетей следует выбирать именно такие устройства. Наличие и возможности модуля шифрования в интересующей модели маршрутизатора опубликованы в описании устройства на сайте производителя mikrotik.com, в разделе «Test results». Например, маршрутизатор MikroTik hEX с модулем аппаратного шифрования обеспечивает скорость внутри туннеля с MTU 1400 байт, зашифрованного алгоритмами AES-128-CBC + SHA1, — до 469,3 Мбит/с.
Также в Википедии MikroTik опубликован перечень всех устройств, оснащённых модулем аппаратного шифрования.
Ограничения аппаратной архитектуры
При работе с большими объёмами трафика могут возникать ситуации, когда сетевое устройство не обеспечивает ожидаемую пропускную способность в каком-либо направлении. Проектируя сети для больших объёмов трафика, следует изучать блок-схемы внутренней архитектуры сетевых устройств. Производитель MikroTik публикует эти материалы в описании устройства, в разделе Support & Downloads (Block diagram). Анализируя блок-схему MikroTik RB4011iGS+RM, оснащённого 10 Ethernet-портами 1 Гбит/с и одним портом SFP+ 10 Гбит/с, делаем выводы:
- Максимальная пропускная способность между Ethernet и SFP+ — 5 Гбит/с. Одновременное прохождение трафика между SFP+ и шестью портами Ethernet будет ограничено этой скоростью;
- Максимальная пропускная способность между группами Ethernet 1-5 и 6-10 — 2,5 Гбит/с.
Рис.1. Блок-схема маршрутизатора MikroTik RB4011iGS+RM
На диаграмме рис.1 группы портов 1-5 и 6-10 подключены к блоку чипа коммутации. Это отдельный архитектурный элемент, имеющий свои особенности и ограничения. Его назначение – разгрузка ЦП маршрутизатора путём выполнения операций коммутации за счёт собственных ресурсов. В устройствах MikroTik используются разные чипы коммутации. Их характеристики представлены в Википедии MikroTik. Функция разгрузки ЦП (Hardware Offloading) включается автоматически при правильном конфигурировании L2-функций. Каждый чип коммутации поддерживает свой набор функций, при выборе устройства рекомендуем сверяться с документацией.
Недорогие устройства, оснащённые гигабитными портами, при полной нагрузке могут не обеспечивать ожидаемую пропускную способность. Это связано с архитектурными особенностями конкретной модели — результирующая общая скорость обмена ограничена скоростью шины, к которой подключен чип коммутации. На рис.2 представлена блок-схема архитектуры роутера MikroTik hEX в случае, когда чип коммутации используется для разгрузки ЦП (порты объединены в Bridge, на портах активен Hardware Offloading). Как видно из блок-схемы, при прохождении трафика между Bridge и портами не в Bridge будет задействован ЦП, и общая пропускная способность будет ограничена 1 Гбит/с.
Рис.2. Блок-схема MikroTik hEX при использовании чипа коммутации
В производительных устройствах, спроектированных для обработки большого объёма трафика, каждый порт подключен напрямую к процессору. Благодаря такому архитектурному решению отсутствует бутылочное горлышко в виде общей шины, устройство обеспечит максимальную пропускную способность при коммутации в любом направлении.
Рис.3. Блок-схема MikroTik CCR1009-7G-1C-1S+
Ошибки настройки Микротик
Устройство MikroTik из коробки имеет предустановленную конфигурацию по умолчанию. В ней настроены базовые функции. Пользователю нужно настроить параметры, относящиеся к конечной среде эксплуатации. Это можно сделать как вручную, так и воспользовавшись функцией Quick Set.
Скриншот 1. Меню настройки Quick Set.
Далеко не все владельцы устройств MikroTik закрывают доступ к своим устройствам, не настраивая устройство в конечной среде эксплуатации. Ниже перечислены наиболее распространённые ошибки настройки RouterOS.
Разрешён доступ по умолчанию
По умолчанию в RouterOS нет пароля на доступ к устройству. Это касается как управляющего доступа к устройству, так и транслируемой Wi-Fi-сети. Незащищённое устройство RouterOS очень быстро становится жертвой атак, необходимо ограничить доступ к маршрутизатору: сменить логин и пароль управляющего доступа, установить пароль на Wi-Fi.
Для установки пароля следует воспользоваться управляющим интерфейсом роутера. Инструментов для управления устройством MikroTik несколько, самые распространённые из них:
- Управление из веб-браузера — подключение по IP-адресу (по умолчанию 192.168.88.1);
- Управление через утилиту Winbox — автообнаружение устройства в сети и подключение по IP-адресу или MAC-адресу;
- Управление через мобильное приложение MikroTik (iOS) или MikroTik Home (Android) — автообнаружение устройства в сети и подключение по IP-адресу или MAC-адресу.
Для установки пароля на управление роутером следует открыть раздел System — Users. Cоздаём нового пользователя, включив его в группу full. Пользователя по умолчанию (admin) нужно отключить. Присвоив пароль новому пользователю, не спешите закрывать интерфейс управления. Обязательно проверьте пароль, зайдя на роутер под этим пользователем во втором окне — ошибка в пароле на данном этапе приведёт к потере управления роутером и необходимости сброса настроек.
Скриншот 2. Настройка управляющего доступа к устройству
Пароль для беспроводной сети изменяется в разделе Wireless — Security. Рекомендуется выполнять базовую настройку беспроводной сети, воспользовавшись функцией Quick Set.
Публикация в Интернет через Discovery
В RouterOS существует инструмент обнаружения активного сетевого оборудования посредством широковещательных запросов, который находится в разделе IP — Neighbors. В списке отображаются различные параметры найденных устройств, такие как IP-адрес, название, данные об аппаратном обеспечении устройств. Не стоит передавать третьим лицам информацию о нашей сети, поэтому следует изменить настройки по умолчанию, как показано на скриншоте 3.
Скриншот 3. Корректировка настроек обнаружения устройства
Как видно на скриншоте 1, в L2-сегменте сети провайдера есть устройства MikroTik, передающие свои параметры по протоколам Discovery всем соседям.
Несоответствие версии Firmware и RouterOS
В RouterOS имеются встроенные инструменты обновления программного обеспечения. Вместе с новыми версиями пакетов RouterOS на устройство скачивается прошивка, однако устанавливать её нужно вручную. Проверка соответствия версии RouterOS и Firmware выполняется меню System — Resources. Запуск обновления выполняется кнопкой Upgrade и последующей перезагрузкой устройства.
Скриншот 4. Проверка соответствия версии Firmware и RouterOS
Несоответствие версии RouterOS и Firmware может стать причиной периодических невоспроизводимых проблем в работе устройства, поэтому данный факт исключается одним из первых в ходе первичной диагностики настроек RouterOS.
Операцию обновления прошивки устройства следует выполнять с осторожностью, обеспечив бесперебойное питание устройства на время обновления ПО. Если всё-таки произошёл сбой, и доступ к устройству потерян, на помощь приходит процедура NetInstall.
Очень часто не удаётся добиться видимости роутера в утилите в режиме сетевой загрузки. Если устройство не появляется в программе, убедитесь, что:
- IP-адрес компьютера и сервера сетевой загрузки Netinstall не совпадают и находятся в одной подсети;
- На компьютере отключен брандмауэр и антивирус;
- Включено сетевое обнаружение для всех профилей сетевого окружения (частная / общественная).
Если устройство всё равно не видно в программе, перезагрузите компьютер и повторите настройку ещё раз.
IP-адрес на подчинённом интерфейсе
В RouterOS существует понятие «Подчинённый интерфейс» (Slave). Оно применимо к интерфейсам, объединённым под управлением «Главным интерфейсом» (Master). Например, объединение нескольких Ethernet-портов в Bridge.
В процессе настройки возникает необходимость скорректировать состав главного интерфейса — удалить или добавить в него подчинённые интерфейсы. При этом, если на подчинённом интерфейсе был назначен статический IP-адрес, он продолжает быть активен (скриншот 5).
Скриншот 5. IP-адрес на подчинённом интерфейсе
Данная настройка усложняет чтение конфигурации и может стать причиной нештатного поведения устройства, не следует пользоваться ей на постоянной основе. В описанной ситуации достаточно переназначить IP-адрес на Master-интерфейс (bridge1).
Ошибки настройки Firewall
В конфигурации по умолчанию в разделе IP — Firewall — Filter присутствует преднастроенный брандмауэр, защищающий устройство и локальную сеть от нежелательного доступа извне. Логика брандмауэра — нормально закрытый (запрещено всё, что явно не разрешено). Такой конфигурации достаточно в большинстве случаев, отменять и корректировать написанные правила следует с осторожностью и пониманием своих действий.
Брандмауэр в RouterOS проверяет трафик последовательно от первого правила к последнему. Поэтому неосмотрительные изменения могут отменить функционал всей ветки, и запрещающее правило не сработает. На скриншоте 6 показано разрешающее правило № 3, пропускающее через себя весь входящий трафик. По условиям этого правила весь трафик попадает в него, и до запрещающего правила № 7 трафик не доходит. Поэтому роутер оказывается открыт для доступа извне.
Скриншот 6. Ошибка в настройке брандмауэра
/ip firewall filter add action=accept chain=input comment=»defconf: accept established,related,untracked» connection-state=established,related,untracked
/ip firewall filter add action=drop chain=input comment=»defconf: drop invalid» connection-state=invalid
/ip firewall filter add action=accept chain=input
/ip firewall filter add action=accept chain=input comment=»defconf: accept ICMP» protocol=icmp /ip firewall filter add action=accept chain=input comment=»defconf: accept to local loopback (for CAPsMAN)» dst-address=127.0.0.1
/ip firewall filter add action=accept chain=input in-interface=all-ppp
/ip firewall filter add action=drop chain=input comment=»defconf: drop all not coming from LAN» in-interface-list=!LAN
Не работают расширенные функции управления трафиком
Устройства на базе RouterOS позволяют гибко управлять трафиком путём настройки расширенных функций управления трафиком, таких как управление скоростью прохождения трафика (функция Queues), изменение направления прохождения трафика на основе настраиваемых параметров (применение функции Mangle). В конфигурации по умолчанию в разделе IP — Firewall — Filter настроено правило FastTrack, задача которого — разгрузить процессор маршрутизатора. Данное правило упрощает обработку трафика, исключая из процесса большую часть алгоритмов, представленных на рис.3.
Рис.3. Упрощённый алгоритм обработки трафика функцией FastTrack
Как видно из диаграммы, FastTrack исключает алгоритмы Queues, Mangle, Filter, NAT, поэтому соответствующие функции не выполняются. При необходимости задействования этих функций необходимо отключить правило FastTrack или переписать его таким образом, чтобы оно исключало трафик, подлежащий обработке с помощью вышеупомянутых функций.
Заключение
В статье собраны наиболее часто встречающиеся ошибки, допущенные при работе с сетевым оборудованием MikroTik. Все эти, а также многие другие случаи подробно разобраны в рамках курса MTCNA, который проводит наш тренинг-центр под руководством тренера Князева Ильи.
Добавлено 5 июня 2019 в 00:04
Это инструкция, как пошагово настроить роутер MikroTik с нуля без использования заводской конфигурации.
Содержание:
Подключение роутера MikroTik
Схема подключения роутера MikroTik:
- кабель провайдера интернета подключаем в первый порт роутера;
- компьютер подключаем к роутеру MikroTik сетевым кабелем в любой LAN порт от 2 до 5;
- ноутбук и другие беспроводные устройства подключим по Wi-Fi;
- блок питания включаем в разъем «Power» роутера MikroTik.
Настройка сетевой карты компьютера
Чтобы на компьютере можно было зайти в настройки роутера Mikrotik, настроим сетевую карту на получение автоматических настроек.
Открываем «Пуск» → «Панель управления» → «Центр управления сетями и общим доступом».
Перейдем в «Изменение параметров адаптера».
Нажимаем правой кнопкой мыши на «Подключение по локальной сети» и выбираем «Свойства»
Нажимаем на «Протокол Интернета версии 4 (TCP/IPv4)» и кнопку «Свойства».
Выбираем «Получить IP-адрес автоматически» и нажимаете кнопку «OK».
Если сетевая карта не получает автоматически IP адрес из подсети 192.168.88.x, попробуйте его указать вручную (например: 192.168.88.21) или сбросить роутер Mikrotik к заводским настройкам.
Вход в настройки роутера MikroTik
Выполнить настройку роутера MikroTik можно разными способами:
- С помощью специальной программы Winbox для ОС Windows. Скачать на официальном сайте.
- С помощью браузера, перейдя по адресу 192.168.88.1. В настройках браузера не должен быть указан proxy-сервер!
- Настройка через Telnet.
Мы будем настраивать роутер Mikrotik с помощью программы Winbox.
Подключаемся к роутеру MikroTik:
- Запустите программу Winbox и перейдите на вкладку Neighbors;
- В списке отобразится ваш роутер. Нажмите левой кнопкой мыши на его MAC адрес;
- Нажмите кнопку Connect.
Login по умолчанию admin, пароль пустой.
Сброс настроек роутера
Сбросим все настройки роутера MikroTik.
При первом входе у вас появится окно, как на картинке ниже. Нажмите кнопку Remove Configuration и дождитесь перезагрузки устройства.
Если у вас не появилось данное окно, сбросим настройки через меню:
- Выбираем слева меню System — Reset Configuration;
- Поставьте галочку No Default Configuration;
- Нажмите кнопку Reset Configuration.
- Нажмите кнопку Yes и дождитесь перезагрузки устройства.
Описание сетевых интерфейсов
Конфигурация сетевых интерфейсов MikroTik будет выглядеть следующим образом: первый порт ether1 будет подключен к провайдеру (WAN порт), остальные порты ether2-5 будут работать в режиме коммутатора для подключения компьютеров локальной сети.
Чтобы не путать сетевые интерфейсы, опишем их с помощью комментариев.
Входим в настройки MikroTik с помощью программы Winbox.
Записываем для первого порта ether1 комментарий «WAN»:
- Открываем меню Interfaces;
- Выбираем первый интерфейс ether1;
- Нажимаем желтую кнопку Comment;
- В появившемся окне вводим комментарий «WAN«;
- Нажимаем кнопку OK.
Записываем для второго порта ether2 комментарий «LAN»:
Выбираем интерфейс ether2;
Нажимаем желтую кнопку Comment;
В появившемся окне вводим комментарий «LAN«;
Нажимаем кнопку OK.
Теперь в списке интерфейсов четко видно их назначение.
Настройка WAN интерфейса MikroTik
Смена MAC адреса WAN порта
Если Ваш провайдер блокирует доступ к сети по MAC адресу, то необходимо сначала изменить MAC адрес WAN порта роутера MikroTik. В противном случае пропустите этот пункт.
Чтобы изменить MAC адрес порта MikroTik, открываем в программе Winbox меню New Terminal и вводим команду:
/interface ethernet set ether1 mac-address=00:01:02:03:04:05, где ether1 — имя WAN интерфейса, 00:01:02:03:04:05 — разрешенный MAC адрес.
Чтобы вернуть родной MAC адрес порта, нужно выполнить команду:
/interface ethernet reset-mac ether1, где ether1 — имя интерфейса.
Настройка Dynamic IP
Если интернет провайдер выдает Вам сетевые настройки автоматически, то необходимо настроить WAN порт роутера MikroTik на получение настроек по DHCP:
- Открываем меню IP;
- Выбираем DHCP Client;
- В появившемся окне нажимаем кнопку Add (плюсик);
- В новом окне в списке Interface выбираем WAN интерфейс ether1;
- Нажимаем кнопку OK для сохранения настроек.
Теперь мы получили IP адрес от провайдера, который отображается в столбце IP Adress.
Проверим, что есть связь с интернетом:
- Открываем меню New Terminal;
- В терминале пишем команду ping 8.8.8.8 (пингуем сайт google) и жмем Enter на клавиатуре.
Как видим, идут пинги по 60ms, значит интернет подключен и работает. Остановить выполнение команды можно комбинацией клавиш на клавиатуре Ctrl+C.
На компьютерах, подключенных к роутеру MikroTik, интернет не будет работать, пока вы не настроите локальную сеть, Firewall и NAT.
Настройка Static IP
Если вы используете статические сетевые настройки, необходимо настроить WAN порт роутера MikroTik вручную.
Настроим статический IP адрес и маску подсети WAN порта MikroTik :
- Открываем меню IP;
- Выбираем Addresses;
- В появившемся окне нажимаем кнопку Add (плюсик);
- В новом окне в поле Address прописываем статический IP адрес / маску подсети;
- В списке Interface выбираем WAN интерфейс ether1;
- Для сохранения настроек нажимаем кнопку OK.
Настроим адрес интернет шлюза MikroTik:
- Открываем меню IP;
- Выбираем Routes;
- В появившемся окне нажимаем кнопку Add (плюсик);
- В новом окне в поле Gateway прописываем IP адрес шлюза;
- Нажимаем кнопку OK для сохранения настроек.
Добавим адреса DNS серверов MikroTik:
- Открываем меню IP;
- Выбираем DNS;
- В появившемся окне нажимаем кнопку Settings;
- В новом окне в поле Servers прописываем IP адрес предпочитаемого DNS сервера;
- Нажимаем кнопку «вниз» (черный треугольник), чтобы добавить еще одно поле для ввода;
- В новом поле прописываем IP адрес альтернативного DNS сервера;
- Ставим галочку Allow Remote Requests;
- Нажимаем кнопку OK для сохранения настроек.
Проверим, что есть доступ к интернету:
- Открываем меню New Terminal;
- В терминале пишем команду ping 8.8.8.8 (пингуем сайт google) и жмем Enter на клавиатуре.
Как видим, идут пинги по 60ms, значит интернет подключен и работает. Остановить выполнение команды можно комбинацией клавиш на клавиатуре Ctrl+C.
На компьютерах, подключенных к роутеру MikroTik, интернет не будет работать, пока вы не настроите локальную сеть, Firewall и NAT.
Настройка PPPoE
Если вы используете ADSL модем, к которому по сетевому кабелю подключен роутер MikroTik, сначала необходимо настроить ADSL модем в режим Bridge (мост).
Настроим клиентское PPPoE соединение на роутере MikroTik:
- Слева выбираем меню PPP;
- Нажимаем кнопку Add (плюсик);
- Выбираем PPPoE Client.
Настраиваем параметры PPPoE соединения MikroTik:
- В поле Name указываем имя соединения;
- В списке Interfaces выбираем первый WAN порт ether1, который подключен к провайдеру;
Выбор интерфейса PPPoE MikroTik - Переходим на вкладку Dial Out;
- В поле User указываем имя пользователя;
- В поле Password вводим пароль;
- Ставим галочку Use Peer DNS;
- Нажимаем кнопку OK.
После создания PPPoE соединения напротив него должна появиться буква R, которая говорит о том, что соединение установлено.
Проверим, что есть связь с интернетом:
- Открываем меню New Terminal;
- В терминале пишем команду ping 8.8.8.8 (пингуем сайт google) и жмем Enter на клавиатуре.
Как видим, идут пинги по 60ms, значит интернет подключен и работает. Остановить выполнение команды можно комбинацией клавиш на клавиатуре Ctrl+C.
На компьютерах, подключенных к роутеру MikroTik, интернет не будет работать, пока вы не настроите локальную сеть, Firewall и NAT.
Настройка локальной сети MikroTik
Объединение Wi-Fi и проводных интерфейсов в локальную сеть
Чтобы компьютеры, подключенные к роутеру по кабелю и по Wi-Fi, друг друга «видели», необходимо объединить беспроводной и проводные интерфейсы MikroTik. Если у вас роутер без Wi-Fi, то объединяете только проводные интерфейсы.
Создаем объединение bridge-local (мост);
- Открываем меню Bridge;
- Нажимаем кнопку Add (плюсик);
- В поле Name прописываем имя объединения bridge-local;
- Нажимаем кнопку OK.
Добавляем в объединение проводные ethetnet порты 2-5:
- Переходим на вкладку Ports;
- Нажимаем кнопку Add (плюсик);
- В списке Interface выбираем ethernet порт ether2;
- В списке Bridge выбираем имя объединения bridge-local;
- Нажимаем кнопку OK;
- Точно так же добавляем порты ether3, ether4, ether5.
Добавляем в объединение Wi-Fi интерфейс.
- Переходим на вкладку Ports;
- Нажимаем кнопку Add (плюсик);
- В списке Interface выбираем беспроводной интерфейс wlan1;
- В списке Bridge выбираем имя объединения bridge-local;
- Нажимаем кнопку OK.
Назначение IP адреса локальной сети
Настроим IP адрес локальной сети MikroTik:
- Открываем меню IP;
- Выбираем Addresses;
- Нажимаем кнопку Add (плюсик);
- В поле Address вводим адрес и маску локальной сети, например 192.168.88.1/24;
- В списке Interface выбираем bridge-local;
- Нажимаем кнопку OK.
Настройка DHCP сервера
Чтобы компьютеры, подключенные к роутеру, получали сетевые настройки автоматически, настроим DHCP сервер MikroTik:
- Открываем меню IP;
- Выбираем DHCP Server;
- Нажимаем кнопку DHCP Setup;
Настройка DHCP сервера MikroTik - В списке DHCP Server Interface выбираем bridge-local;
- Нажимаем кнопку Next;
Выбор интерфейса DHCP сервера MikroTik - В этом окне выбирается сеть для DHCP. Оставляем без изменений и нажимаем кнопку Next;
Настройка IP адрес локальной сети MikroTik - В следующем окне указывается адрес шлюза. Нажимаем кнопку Next;
Настройка IP адрес шлюза для локальной сети MikroTik - В этом окне прописывается диапазон IP адресов, которые будет раздавать DHCP сервер. Нажимаем кнопку Next;
Настройка диапазона IP адресов DHCP сервера MikroTik - Далее вводятся адреса DNS серверов. Нажимаем кнопку Next;
Настройка DNS серверов DHCP сервера MikroTik - Здесь задается время резервирования IP адресов. Нажимаем кнопку Next;
Время резервирования IP адресов - Настройка DHCP сервера успешно завершена. Жмем кнопку OK.
Настройка DHCP сервера MikroTik успешно завершена
Теперь сетевой кабель компьютера отключаем от роутера и еще раз подключаем к нему.
Настройка Wi-Fi точки доступа MikroTik
Сначала необходимо включить Wi-Fi модуль:
- Открываем меню Wireless;
- Выбираем Wi-Fi интерфейс wlan1;
- Нажимаем кнопку Enable (синяя галочка).
Создаем пароль для подключения к точке доступа MikroTik:
- Открываем вкладку Security Profiles;
- Нажимаем кнопку Add (плюсик);
- В новом окне в поле Name указываем имя профиля безопасности;
- Для лучшей безопасности оставляем только регистрацию по протоколу WPA2 PSK;
- В поле WPA2 Pre-Shared Key вводим пароль для доступа к Wi-Fi точке;
- Для сохранения настроек нажимаем кнопку OK.
Настраиваем параметры Wi-Fi точки MikroTik:
- Открываем вкладку Interfaces;
- Делаем двойной клик кнопкой мыши на Wi-Fi интерфейсе wlan1, чтобы зайти в его настройки;
- Переходим на вкладку Wireless;
- В списке Mode выбираем режим работы ap bridge (точка доступа в режиме моста);
- В списке Band выбираем в каких стандартах будет работать Wi-Fi точка, мы выбрали B/G/N;
- В поле SSID прописываем имя точки доступа;
- В списке Security Profile выбираем имя профиля безопасности, в котором мы создавали пароль для доступа к Wi-Fi точке;
- Нажимаем кнопку OK для сохранения настроек.
Теперь можно подключаться к роутеру по Wi-Fi.
На компьютерах, подключенных к роутеру MikroTik по Wi-Fi, интернет не будет работать, пока вы не настроите Firewall и NAT.
Настройка Firewall и NAT
Чтобы компьютеры получали доступ к интернету, необходимо настроить Firewall и NAT на роутере MikroTik.
Откройте меню New Terminal для ввода команд.
Настройка NAT выполняется следующими командами:
ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade, где ether1 — это интерфейс, на который приходит интернет от провайдера. Для PPPoE соединений указывается название PPPoE интерфейса.
Настройки NAT достаточно, чтобы заработал интернет.
Protect router — команды для защиты роутера:
ip firewall filter add action=accept chain=input disabled=no protocol=icmp
ip firewall filter add action=accept chain=input connection-state=established disabled=no in-interface=ether1
ip firewall filter add action=accept chain=input connection-state=related disabled=no in-interface=ether1
ip firewall filter add action=drop chain=input disabled=no in-interface=ether1Protect LAN — защита внутренней сети:
ip firewall filter add action=jump chain=forward disabled=no in-interface=ether1 jump-target=customer
ip firewall filter add action=accept chain=customer connection-state=established disabled=no
ip firewall filter add action=accept chain=customer connection-state=related disabled=no
ip firewall filter add action=drop chain=customer disabled=noНазначаем типы интерфейсов для защиты внутренней сети (external — внешний, internal — внутренний LAN):
ip upnp interfaces add disabled=no interface=ether1 type=external
ip upnp interfaces add disabled=no interface=ether2 type=internal
ip upnp interfaces add disabled=no interface=ether3 type=internal
ip upnp interfaces add disabled=no interface=ether4 type=internal
ip upnp interfaces add disabled=no interface=ether5 type=internal
ip upnp interfaces add disabled=no interface=bridge-local type=internalИзменение пароля доступа к роутеру MikroTik
Чтобы изменить пароль доступа к роутеру MikroTik, выполните следующие действия:
- Открываем меню System;
- Выбираем Users;
- Делаем двойной клик кнопкой мыши на пользователе admin;
- Нажимаем кнопку Password…;
- В поле New Password вводим новый пароль;
- В поле Confirm Password подтверждаем новый пароль;
- В окне Change Password нажимаем кнопку OK;
- В окне User нажимаем кнопку OK.
Сброс роутера MikroTik к заводским настройкам
Чтобы сбросить MikroTik к заводским настройкам выполните следующее:
- Отключите питание роутера;
- Нажмите и держите кнопку Reset;
- Включите питание роутера;
- Дождитесь пока замигает индикатор ACT и отпустите кнопку Reset.
После этого роутер перезагрузится, и вы сможете зайти в его настройки со стандартным именем пользователя admin без пароля.
Если вы войдете в настройки с помощью программы Winbox, то появится следующее окно:
C помощью кнопки OK можно выполнить быструю настройку роутера по умолчанию.
Кнопка Remove Configuration позволяет сбросить все настройки для последующей ручной настройки роутера.
Теги
MikroTikWi-FiМаршрутизаторРоутерСетевое оборудование
I have a point to point wireless connection using two mikrotiks. When I plug the mikrotik into a switch with just my laptop I get an IP address conflict on my machine no matter what IP I am assigned. Using wireshark i see the conflicts are from the mac address of the mikrotik on the other end of the wireless connection. Why is it conflicting with multiple IP addresses when the router itself is assigned a single IP address with no NAT entries or anything like that? I included a little diagram to help visualize my issue
[me]
[mikrotik] —————[problem mikrotik]—-(other equipment on diff subnet)
The problem mikrotik has a wan on the same subnet as my machine. The lan is a different subnet. Any ideas? When I plug the equipment into my network I get IP conflicts on a lot of different servers. Took me forever to isolate it to this mikrotik! Thanks
Oh and all this equipment has been working previously with no known changes made to the configs. It just started acting up recently.
asked Sep 8, 2011 at 19:49
9
Have you tried clearing the ARP cache from all devices? If multiple devices shared the same IP address, that is recorded in the ARP cache of neighboring network devices. Til that is cleared, the devices will keep thinking there are duplicate addresses on the network
answered Dec 24, 2014 at 18:17
nGXnGX
3441 gold badge6 silver badges19 bronze badges
Most likely the «IP Conflict» is caused by several configuration options of problem mikrotik interface that (over the wireless link) is bridged to me:
- IP address (with proper subnet mask) belonging to me‘s subnet is missing (this is the misconfiguration that should be fixed);
proxy-arpis enabled (this might be OK depending on the needs).
It is possible that the above mentioned interface is a bridge itself, then IP address, most likely, should be assigned to the bridge (and not any interfaces belonging to the bridge).
answered Jul 3, 2016 at 17:25
DavisNTDavisNT
3361 gold badge3 silver badges12 bronze badges
Can you confirm the problematic Mikrotik does not have Hotspot functionality enabled? If it is enabled, probably your side of the point-to-point link is being part of the «client» hotspot feature.
Mikrotik does a lot of L2 and L3 «magic» to capture any wireless client that may connect and «capture» their traffic to enforce any hotspot authentication or restriction. It does that no matter the client IP configuration.
answered Aug 7, 2018 at 1:44
PabloPablo
4302 silver badges9 bronze badges