MikroTik RB4011: первый запуск и настройка

В прошлых главах, посвященных настройке микротиков, я упоминал, что большинство инструкций по настройке будут приводиться в виде консольных команд. Такой гиковский способ настройки поможет лучше понять устройство RouterOS. Знали ли вы, что оборудование MikroTik умеет менять mac-адреса сетевых интерфейсов? (Но эта возможность доступна только из консоли.)

Приготовления

Включите роутер в сеть; в первый порт подключите кабель провайдера, во второй — рабочего компьютера. Запустите Winbox, подключитесь к устройству 192.168.88.1. В меню слева выберите пункт New Terminal.

Сброс конфигурации

/system reset-configuration no-defaults=yes skip-backup=yes

Подтвердите сброс конфигурации (Winbox разорвет соединение) и дождитесь перезагрузки устройства. В интерфейсе Winbox выберите вкладку Neighbors и подключитесь к нужному устройству по mac-адресу. Как и при первом подключении — New Terminal.

Создание суперпользователя

Придумайте нестандартное имя и сложный пароль. Создайте пользователя с этими реквизитами и выдайте полный набор прав. После — удалите стандартного пользователя admin.

Обратите внимание, что некоторые символы — например, символ доллара — необходимо экранировать обратным слешем.

/user
add name=%{username} password=%{password} group=full
remove admin

Перезапустите Winbox. Используйте реквизиты созданного пользователя, снова откройте окно терминала.

Настройка системных параметров

Установка часового пояса

Задайте дату (в формате Jan/01/2019) и время (00:00:00), близкие к текущим. Желательно также указать корректный часовой пояс (например, Europe/Moscow) и отключить его автоматическое определение.

/system clock
set date=%{date} time=%{time} time-zone-name=%{timezone} time-zone-autodetect=no

Определение имени устройства

/system identity
set name=%{hostname}

Настройка проводных интерфейсов

Переопределение имен интерфейсов

Модели серии RB4011 оснащены двумя свичами. Я планирую использовать два интернет-канала, которые будут заведены на разные свичи; первый и шестой порты отведены специально для них. Также я отключаю неиспользуемый SFP+.

/interface ethernet
set ether1 name=wan1
set ether6 name=wan2
set ether2 name=lan1
set ether3 name=lan2
set ether4 name=lan3
set ether5 name=lan4
set ether7 name=lan5
set ether8 name=lan6
set ether9 name=lan7
set ether10 name=lan8
set sfp-sfpplus1 name=sfp1 disabled=yes

Настройка моста

/interface bridge
add name=br1

При проведении следующих настроек Winbox разорвет соединение; переподключитесь и продолжите с шага, на котором закончили.

/interface bridge port
add bridge=br1 interface=lan1
add bridge=br1 interface=lan2
add bridge=br1 interface=lan3
add bridge=br1 interface=lan4
add bridge=br1 interface=lan5
add bridge=br1 interface=lan6
add bridge=br1 interface=lan7
add bridge=br1 interface=lan8

Определение параметров локальной сети

Разрешение приема DNS-запросов

/ip dns
set allow-remote-requests=yes

Определение подсети

Роутер будет обслуживать сеть 192.168.0.0, сам себе присвоит последний адрес диапазона — 192.168.0.254

/ip address
add address=192.168.0.254/24 interface=br1 network=192.168.0.0

Определение клиентского адресного пространства

Клиентам (как проводным, так и беспроводным) будет доступен диапазон 192.168.0.1 — 192.168.0.200. Оставшиеся адреса можно будет использовать для статической адресации конкретных устройств.

/ip pool
add name=pool1 ranges=192.168.0.1-192.168.0.200

Определение параметров клиентских подключений

Эти параметры будут переданы каждому клиенту для корректной настройки его сетевого интерфейса и роутинга.

/ip dhcp-server network
add address=192.168.0.0/24 dns-server=192.168.0.254 gateway=192.168.0.254 netmask=24

Настройка DHCP-сервера

/ip dhcp-server
add name=dhcp1 address-pool=pool1 lease-time=7d interface=br1 disabled=no

Перезагрузка

/system reboot

Настройки безопасности

После перезагрузки устройство начнет работать в полном соответствии с указанными настройками: сам роутер и все подключенные устройства получат IP-адреса.

С этого момента я рекомендую подключаться к роутеру по SSH, используя терминал или совместимую программу-клиент (вроде putty для Windows).

ssh %{username}@192.168.0.254

Отключение сервера оценки пропускной способности

/tool bandwidth-server set enabled=no

Отключение MAC-сервера

/tool mac-server set allowed-interface-list=none
/tool mac-server mac-winbox set allowed-interface-list=none
/tool mac-server ping set enabled=no

Отключение неиспользуемых сервисов

/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set api disabled=yes
set api-ssl disabled=yes

Фильтрация подключений SSH и Winbox

Принимать ssh- и winbox-подключения только из локальной сети:

/ip service
set ssh address=192.168.0.0/24
set winbox address=192.168.0.0/24

Настройка файрвола

Ошибки (как сами правила, так и их порядок) в процессе настройки файрвола потенциально могут заблокировать возможность подключения к устройству. Чтобы избежать этой неприятной ситуации, используйте сочетание клавиш CTRL+X. (Командная строка при этом дополнится символами <SAFE>.)

Если что-то пойдет не так, вы сможете сбросить устройство, а изменения, сделанные в безопасном режиме, не будут применены.

/ip firewall filter
add chain=input connection-state=established,related action=accept
add chain=input connection-state=invalid action=drop
add chain=forward connection-state=established,related action=accept
add chain=forward connection-state=invalid action=drop
add chain=input in-interface=wan1 action=drop
add chain=forward in-interface=wan1 action=drop

Активация интернет-подключения

Теперь, когда устройство достаточно защищено от потенциальных атак, можно активировать DHCP-сервер на порту провайдера.

/ip dhcp-client
add interface=wan1 dhcp-options=hostname,clientid disabled=no

Проверить доступность глобальной сети можно командой ping:

/ping 8.8.8.8

Чтобы клиентские устройства получили доступ в сеть, необходимо добавить правило NAT:

/ip firewall nat
add chain=srcnat out-interface=wan1 action=masquerade

Настройка NTP (опционально)

Автоматическая подстройка точного времени поможет избежать ряда проблем. (Хотя она же может их и создать, но об этом в другой раз.)

/system ntp client
set enabled=yes primary-ntp=195.3.254.2 secondary-ntp=185.22.60.71 server-dns-names=0.ru.pool.ntp.org,1.ru.pool.ntp.org,2.ru.pool.ntp.org,3.ru.pool.ntp.org

Обновление RouterOS

Попытки взлома устройств MikroTik в последнее время участились. Производитель постоянно напоминает о необходимости обновления встроенного ПО.

/system package update
check-for-updates
install

Если после обновления устройство работает стабильно, имеет смысл обновить и прошивку:

/system routerboard upgrade

Настройка беспроводных интерфейсов

Профиль безопасности

/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk wpa2-pre-shared-key=%{password} mode=dynamic-keys

Названия интерфейсов

В модели hAP ac интерфейс wlan1 отвечал за диапазон 2,4 ГГц, wlan2 — за 5 ГГц. У RB4011 все наоборот, но от привычки избавиться сложнее, чем переименовать интерфейсы на старый лад:

/interface wireless
set wlan1 name=wlan0
set wlan2 name=wlan1
set wlan0 name=wlan2

Предупреждение об опасности

У RB4011 повышенный коэффициент усиления. Это дает возможность использовать передатчик на мощности 28 dBm (а для диапазона 5 GHz и вовсе 33 dBm). Ни в коем случае не используйте эти величины, как и значение default для параметра tx-power-mode.

Для начала установите параметр tx-power-mode равным all-rates-fixed, а tx-power — 1. Проверьте устойчивость соединения на клиентских устройствах в зоне предполагаемого покрытия.

Увеличивайте значение tx-power только при наличии «слепых» зон — по-отдельности для каждого диапазона.

Настройка базовых беспроводных сетей

ssid: Homeland 2,4GHz
radioname: homeland24ghz

/interface wireless
set wlan1 band=2ghz-g/n channel-width=20/40mhz-XX country=russia disabled=no distance=indoors frequency=auto guard-interval=long mode=ap-bridge multicast-helper=full radio-name=%{radioname} ssid="%{ssid}" tx-power=1 tx-power-mode=all-rates-fixed wireless-protocol=802.11 wps-mode=disabled

ssid: Homeland 5GHz
radioname: homeland5ghz

/interface wireless
set wlan2 band=5ghz-a/n/ac channel-width=20/40/80mhz-XXXX country=russia disabled=no distance=indoors frequency=auto guard-interval=long mode=ap-bridge multicast-helper=full radio-name=%{radioname} ssid="%{ssid}" tx-power=1 tx-power-mode=all-rates-fixed wireless-protocol=802.11 wps-mode=disabled

Настройка «междиапазонного роуминга»

Я предпочитаю давать устройствам возможность использовать любой подходящий диапазон, а также переключаться между ними по мере необходимости. Для этого нужно создать два виртуальных интерфейса (зависимых от wlan1 и wlan2, соответственно), указав для обоих одинаковый SSID.

ssid: Homeland

/interface wireless
add arp=reply-only master-interface=wlan1 name=wlan10 ssid="%{ssid}" wps-mode=disabled multicast-helper=full disabled=no
add arp=reply-only master-interface=wlan2 name=wlan20 ssid="%{ssid}" wps-mode=disabled multicast-helper=full disabled=no

Настройка моста для беспроводных интерфейсов

/interface bridge port
add bridge=br1 interface=wlan1
add bridge=br1 interface=wlan10
add bridge=br1 interface=wlan2
add bridge=br1 interface=wlan20