MikroTik hAP AC: сброс и базовая настройка

В этой части вы узнаете как обновить MikroTik hAP AC, стереть его конфигурацию, а после — вручную настроить проводную локальную сеть и доступ в интернет.

Из чего состоит hAP AC

Аппаратную платформу своих устройств MikroTik называет RouterBOARD. Она состоит из системной платы и установленных на ней компонентов, а также управляющей микропрограммы.

Но гораздо важнее другой «бренд» — RouterOS¹. Это собственная операционная система на базе Linux, под управлением которой работают все устройства MikroTik. Настройка роутера сводится к настройке RouterOS.

Процесс конфигурирования различных устройств будет максимально схожим. Таким образом, нижеприведенная инструкция может быть использована с практически любым роутером MikroTik, а не только hAP AC.

RouterOS доступна отдельно от RouterBOARD. Скачав и установив эту операционную систему, вы сделаете полноценный маршрутизатор из любого персонального компьютера.

Подготовка

Получение статического «белого» IP-адреса

Для использования всех возможностей роутера вам потребуется статический «белый» IP-адрес; закажите эту услугу у интернет-провайдера.

Соглашение. Провайдером выделен адрес 79.79.79.79

Загрузка клиента для настройки RouterOS

Обязательно скачайте программу Winbox² до начала проведения любых нижеописанных манипуляций. К сожалению, она доступна только для Windows, но может быть запущена в виртуальной машине.

Подключение роутера

Подключите устройство к питанию, кабель провайдера установите в первый порт. Также патч-кордом соедините ваш компьютер с роутером, используя любой свободный порт. (В этой инструкции используется пятый.)

MikroTik hAP AC минимально настроен по умолчанию, поэтому компьютер получит внутренний IP-адрес из специфической подсети 192.168.88.0/24. Запустите Winbox.

Во вкладке Neighbors представлен список роутеров; подключайтесь к единственному доступному, используя адрес 192.168.88.1, имя пользователя admin и пустой пароль. В открывшемся окне вы увидите описание базовой конфигурации.

Обновление программного обеспечения

Проверьте доступность интернета (с помощью браузера или как привыкли). Наличие подключения даст возможность обновить микропрограмму RouterBOARD и RouterOS перед настройкой.

Не страшно, если подключения к интернету не оказалось. (Предположим, провайдер блокирует доступ при смене оборудования.) Продолжите настройку со следующей главы — вы сможете вернуться к этому шагу позднее.

Обновление RouterOS

В главном меню Winbox перейдите в раздел System — Packages. В открывшемся окне, прежде всего, выберите «ветку» обновлений — Channel. Опытные системные администраторы предпочитают bugfix only (отстающую по возможностям, но наиболее стабильную). Чтобы получить максимум функциональности — используйте current.

Нажмите кнопку Check For Updates. Затем, если обновления будут найдены, — Download&Install. Роутер перезагрузится, а Winbox разорвет соединение. Дождитесь перезагрузки устройства (характерный двойной звуковой сигнал), спустя полминуты, подключитесь снова, нажав кнопку Reconnect.

Обновление RouterBOARD

Осталось обновить микропрограмму. Перейдите в System — Routerboard. Нажмите Upgrade, подтвердите желание обновить «прошивку». Еще одна перезагрузка.

Сброс конфигурации

Чтобы процесс настройки был более познавательным, вам необходимо полностью стереть конфигурацию устройства. Сделайте это в разделе System — Reset Configuration; отметьте пункты No Default Configuration и Do Not Backup, нажмите Reset Configuration. Снова перезагрузка.

Подключение к MAC-серверу

К этому моменту вы наверняка увидите сообщение Windows об ошибке подключения к сети. В «чистой» конфигурации микротиков отсутствует DHCP и нет приватного IP-адреса.

Встроенный MAC-сервер позволит подключиться с помощью Winbox. В поле Connect To окна подключения введите не 192.168.88.1, а MAC-адрес устройства, указанный в первой колонке списка вкладки Neighbors. Имя пользователя — admin, пароль — пустой.

Смена имени пользователя и пароля

Первым делом установите надежный пароль вместо пустого; сделайте это в разделе System — Password. Хорошим тоном будет считаться также смена имени пользователя с дефолтного admin на что-то более специфическое; делается в разделе System — Users.

В разделе System — Identity смените имя устройства, которым оно идентифицирует себя в сети.

Переименование сетевых интерфейсов

Раздел Interfaces содержит список всех интерфейсов устройства. У модели hAP AC их восемь: один SFP, пять Ethernet и два беспроводных Atheros. Если вы не планируете использовать SFP — деактивируйте его.

Вы облегчите процесс настройки переименовав ethernet-порты в соответствии с их реальным назначением. Порт подключения провайдера ether1 переименуйте в wan1. Оставшиеся четыре пронумеруйте от единицы, используя префикс lan: lan1, lan2, lan3 и lan4.

В приведенном примере видно, что подключения активны на первом (wan1 — провайдерском) и пятом (lan4 — для рабочего компьютера) портах.

Создание первого сетевого моста

В нынешней ситуации устройства на локальных портах физически неспособны коммуницировать друг с другом; эту возможность даст сетевой мост (bridge).

Соглашение. Для именования сетевых мостов, адресных пространств и других подобных сущностей будут использоваться постфиксы. Например, private или guest.

В разделе Bridge откройте окно создания нового моста. В качестве имени используйте bridge-private, установите значение reply-only в поле ARP; остальные параметры оставьте как есть.

Вы создали интерфейс, который объединит клиентов; осталось буквально подключить их. На вкладке Ports добавляйте новые элементы, указывая значения параметров Interface (каждый из lan-портов) и Bridge (созданный мост bridge-private).

Через несколько секунд после создания связи между мостом и интерфейсом подключения компьютера, роутер разорвет соединение Winbox. Это штатное поведение; нажмите Reconnect и, если необходимо, добавьте недостающие записи.

Регистрация в сети провайдера

Соглашение. Скорее всего, ваш провайдер использует DHCP. Это распространенная практика, поэтому в рамках этой главы настройка VPN-подключения к шлюзу провайдера рассмотрена не будет.

В разделе IP — DHCP Client добавьте новый элемент. В поле Interface выберите порт подключения провайдера — wan1.

В обновленном списке вы увидите ряд параметров текущего соединения: статус, IP-адрес и срок его «аренды».

Вопрос безопасности. Как только роутер прошел регистрацию в сети провайдера, он стал «виден» в сетях общего пользования. Более того — еще и в интернете, учитывая наличие у вас статического «белого» IP-адреса. Поэтому, пока вы не настроили файрвол, вас «защищает» только смененное имя пользователя и надежный пароль.

С помощью утилиты Ping, доступной в разделе Tools, можете проверить работоспособность подключения. Как значение параметра Ping To подойдет любой «белый» IP-адрес (например, гугловый 8.8.8.8). После нажатия кнопки Start роутер начнет посылать пакеты; если все работает, картина будет примерно следующая:

Конфигурация локального DNS

Рассмотренный в прошлой главе ручной ввод IP-адресов намекает на отсутствующий DNS-резолвер. В окне раздела IP — DNS активируйте опцию Allow Remote Requests. Поощряется настройка и других параметров, если вы понимаете их назначение и собственные цели.

Настройка DHCP-сервера

Соглашение. Для локальной сети будет использована подсеть 192.168.0.0/24; для динамического распределения выделено 200 адресов. На оставшиеся можно будет назначить специфическое оборудование (телевизоры, принтеры, NAS, airplay- и прочие устройства). Роутер на адресе 192.168.0.254 будет замыкать диапазон.

Установка IP-адреса для роутера

Список в разделе IP — Addresses уже содержит элемент, автоматически созданный роутером по параметрам сети провайдера. Добавьте еще один. В поле Address укажите 192.168.0.254/24, в Interface — мост приватной сети (bridge-private).

Настройка адресного пространства

Адресные пространства задаются в разделе IP — Pool. Добавьте новый элемент, используйте значения. Name: pool-private (постфикс выбран по аналогии с именем моста приватной сети), Addresses: 192.168.0.1-192.168.0.200 (те самые 200 адресов для динамического распределения).

Активация DHCP-сервера

В разделе IP — DHCP Server создайте новый элемент. (Обратите внимание, что и здесь соблюдаются постфиксы.) Name: dhcp-private, Interface: bridge-private, Address Pool: pool-private, а также активируйте опцию Add ARP For Leases. Можете установить значение параметра Lease Time под собственные нужды.

Клиентам сети необходимо передавать дополнительные параметры, как минимум, адреса основного шлюза и сервера доменных имен. В том же разделе, во вкладке Networks, добавьте новую запись. Address: 192.168.0.0/24, Gateway: 192.168.0.254, Netmask: 24, DNS Servers: 192.168.0.254.

С этого момента сеть настроена, список во вкладке Leases содержит, как минимум, одну запись. (В представленном примере их две: хост с MacOS и виртуальная машина с Windows.)

Доступ в интернет

Чтобы клиенты локальной сети получили доступ в интернет, необходимо создать базовое правило преобразования сетевых адресов³. Сделайте это в разделе IP — Firewall, вкладка NAT.

В окне создания нового правила заполните указанные поля во вкладках General и Action. Chain: srcnat, Out. Interface: wan1, Action: masquerade.

Теперь у вас есть настроенная проводная локальная сеть и доступ в интернет. В следующей статье вы узнаете об обеспечении безопасности вашего роутера.