Настройка маршрутизатора MikroTik RB951G-2HnD с нуля

. Просмотров: 107999

Рейтинг:  5 / 5

Звезда активнаЗвезда активнаЗвезда активнаЗвезда активнаЗвезда активна
 

RouterBOARD RB951G-2HnDПример по настройке маршрутизатора MikroTik RouterBOARD RB951G-2HnD. Также подойдет для большинства моделей RouterBOARD от MikroTik.

Данный вариант настройки подойдет как для домашнего маршрутизатора  так и для маршрутизатора установленного в небольшой фирме.

В статье приводится пример настройки маршрутизатора RB951G-2HnD с операционной системой ROS v5.
Для новых моделей с ROS v6 используйте MikroTik мастер настройки. С ним настроить маршрутизатор MikroTik проще простого.

Маршрутизатор Микротик RB951G-2HnD поставляется с операционной системой RouterOS v5.x. Поэтому все настройки проверены для данной версии.

Подключение:
в порт 1 подключаем нашего провайдера с адресом 1.2.3.4 маской 255.255.255.0 (/24) и шлюзом 1.2.3.254
в порт 2 подключаем компьютер в локальной сети или коммутатор. Адрес локальной сети 192.168.0.0 подсеть 255.255.255.0 (/24).

Теперь все по порядку:

  1. Первым делом надо подключиться к маршрутизатору
    1. По умолчанию, конфигурация на маршрутизаторе настроена на подсеть 192.168.88.0/24. Открываем в веб-браузере адрес , скачиваем и сохраняем на компьютере, например на рабочем столе, Winbox.exe. При необходимости Winbox можете скачать у меня papa-admin.ru/winbox.exe
      Консоль MikroTik RouterBoard

    2. Запускаем Winbox, Напротив Connect to нажимаем кнопку "...", и спустя несколько секунд должен появится в списке ваш маршрутизатор
      2

    3. Два раза щелкаем мышкой по МАС адресу и подключаемся с именем admin без пароля.

    4. При первом входе, система предупредит что был запущен автоматический скрипт настройки маршрутизатора. Нажимаем кнопку Remove Configuration:
      3

    5. После этого дожидаемся пока консоль Winbox закроется, и спустя несколько секунд опять запускаем Winbox (от туда куда вы её сохранили) и опять подключаемся по MAC адресу.

    6. После подключения через Winbox запускаем (из левого меню, внизу) New Terminal, и уже через него вводим все команды
      4


  2. Начинаем настройку. Присваиваем маршрутизатору имя (вместо papa-admin можете указать свое, это ни на что не влияет):

    /system identity set name=papa-admin

  3. Переименовываем сетевые интерфейсы. первый, к которому подключен провайдер, называем wan. Для локальных сразу же указываем мастер-порт.

    /interface ethernet
    set 0 name=wan
    set 1 master-port=none name=ether2-master-local
    set 2 master-port=ether2-master-local name=ether3-slave-local
    set 3 master-port=ether2-master-local name=ether4-slave-local
    set 4 master-port=ether2-master-local name=ether5-slave-local

  4. Настраиваем коммутатор для локальный портов. Немного пояснений: bridge-local это виртуальный порт, в который входят все локальные порты, и ему присваевается MAC адрес мастер-локального порта.

    /interface bridge add name=bridge-local auto-mac=no protocol-mode=rstp admin-mac=[/interface ethernet get ether2-master-local mac-address]
    /interface ethernet switch set 0 mirror-source=none mirror-target=none name=switch1
    /interface bridge port add bridge=bridge-local interface=ether2-master-local
    /interface bridge settings set use-ip-firewall=no use-ip-firewall-for-pppoe=no use-ip-firewall-for-vlan=no

  5. Назначаем ip адреса:

    /ip address
    add address=192.168.0.254/24 disabled=no interface=bridge-local network=192.168.0.0
    add address=1.2.3.4/24 disabled=no interface=wan network=1.2.3.0

  6. Добавляем шлюз по умолчанию:

    /ip route add dst-address=0.0.0.0/0 gateway=1.2.3.254 distance=2 comment="isp"

  7. Создаем пул-адрес и настраиваем DHCP сервер для локальной сети:

    /ip pool add name=lan-dhcp ranges=192.168.0.10-192.168.0.253
    /ip dhcp-server add address-pool=lan-dhcp interface=bridge-local name=default disabled=no
    /ip dhcp-server network add address=192.168.0.0/24 dns-server=192.168.0.254 gateway=192.168.0.254

  8. Настраиваем сервер разрешения имен (DNS). Адрес 8.8.8.8, как и 8.8.4.4, это общедоступные сервера. Вместо них можете использовать адрес DNS сервера предоставленный провайдером.

    /ip dns set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
    /ip dns static add address=192.168.0.254 name=router

  9. Приступаем к настройке файервола. 
    1. Создаем список адресов "inet". ip адреса входящие в этот список будут иметь выход в интернет. Я добавил в него диапазон адресов для всей локальной сети, следовательно доступ будет для всех.

      /ip firewall address-list
      add address=192.168.0.0/24 disabled=no list=inet

    2. Создаем входящие правила. Разрешаем пинги маршрутизатора:

      /ip firewall filter
      add action=accept chain=input comment=icmp disabled=no protocol=icmp

    3. Разрешаем уже установленные соединения:

      add action=accept chain=input comment=established connection-state=established disabled=no
      add action=accept chain=input comment=related connection-state=related disabled=no

    4. Разрешаем доступ к маршрутизатору с любого адреса из локальной сети:

      add action=accept chain=input comment=manage disabled=no in-interface=bridge-local

    5. Все остальные входящие пакеты блокируем

      add action=drop chain=input comment="all other drop" disabled=no in-interface=wan

    6. Настраиваем фильтры для проходящих через маршрутизатора пакетов. Некорректные пакеты блокируем:

      add action=drop chain=forward comment="Drop invalid connection packets" connection-state=invalid disabled=no

    7. Разрешаем уже установленные соединения:

      add action=accept chain=forward comment="Allow established connections" connection-state=established disabled=no
      add action=accept chain=forward comment="Allow related connections" connection-state=related disabled=no

    8. Разрешаем выход в интернет для адресов в группе "inet":

      add action=accept chain=forward comment="Allow acess to internet" disabled=no in-interface=bridge-local out-interface=wan src-address-list=inet

    9. Все остальные пакеты блокируем:

      add action=drop chain=forward comment="All other drop" disabled=no

    10. Разрешаем маскарадинг для пакетов из локальной сети:

      /ip firewall nat add action=masquerade chain=srcnat out-interface=wan

  10. Настраиваем время на маршрутизаторе, чтобы правильно в логах отображалось. Часовой пояс +4 (Москва):

    /system clock set time-zone-name=manual
    /system clock manual set time-zone=+04:00
    /system ntp client set enabled=yes mode=unicast primary-ntp=193.1.193.157

  11. Настраиваем Wi-Fi. По умолчанию беспроводной интерфейс, если он есть, уже имеет некоторые настройки, поэтому мы лишь добавим необходимое

    1. Настраиваем профиль по умолчанию. Включаем WPA-PSK & WPA2-PSK. Пароль 41840268B2FC можете заменить на свой.

      /interface wireless security-profiles
      set 0 mode=dynamic-keys authentication-types=wpa-psk,wpa2-psk group-ciphers=aes-ccm unicast-ciphers=aes-ccm wpa-pre-shared-key=41840268B2FC wpa2-pre-shared-key=41840268B2FC

    2. Включаем беспроводной интерфейс в режиме Точки доступа-Моста. SSID papa-admin можете заменить на свой.

      /interface wireless
      set 0 ssid=papa-admin  bridge-mode=enabled name=wlan disabled=no wireless-protocol=any mode=ap-bridge 

    3. Добавляем беспроводной интерфейс в группу к локальным интерфейсам, чтобы общая сеть была:

      /interface bridge port add bridge=bridge-local interface=wlan

  12. Перезагружаем маршрутизатор

    /system reboot
    отвечаем Y и после перезагрузки у нас все должно работать.

 

Комментарии  

+2 # Igor 14.01.2014 19:31
Здравствуйте, хорошая статья по настройке, без воды. Но мне вот не понятно а зачем нужен мастер порт ?
0 # alex 15.01.2014 10:03
Если честно, не задумывался. Первое что в голову приходит: тот же bridge использует MAC адрес мастер порта.
+2 # Дмитрий 09.04.2014 18:02
Объясняется так:
Коммутация портов

Коммутация позволяет достичь проводной скорости (wire speed) обмена данными между портами одной группы, как между портами в обычном Ethernet-коммут аторе. Эта функция может быть настроена посредством задания параметра "master-port" для одного или более портов в меню /interface ethernet. Основной (master) порт будет являться портом, через который RouterOS будет сообщаться со всеми остальными портами данной группы.

Смысл - разгрузка CPU роутера при обмене данными между портами Ethernet
http://wiki.mikrotik.com/wiki/%D0%A0%D1%83%D0%BA%D0%BE%D0%B2%D0%BE%D0%B4%D1%81%D1%82%D0%B2%D0%B0:%D0%92%D0%BE%D0%B7%D0%BC%D0%BE%D0%B6%D0%BD%D0%BE%D1%81%D1%82%D0%B8_%D1%87%D0%B8%D0%BF%D0%B0_%D0%BA%D0%BE%D0%BC%D0%BC%D1%83%D1%82%D0%B0%D1%86%D0%B8%D0%B8
http://nixman.info/?p=2213

За статью по настройке- спасибо. С кем бы еще пообщаться на тему настройки OpenVPN-клиента Микротик...
0 # Dginko 05.03.2014 13:08
спасибо, настроил без проблем. а не подскажете как настроить гостевой доступ по wifi? без доступа в lan?
0 # alex 05.03.2014 13:42
если коротко, то так:
1. исключаете wifi из bridge
2. создаете для wifi новый dhcp
3. разрешаете выход в интернет для них
0 # Dginko 05.03.2014 13:55
еще раз спасибо, но исключив из бриджа я тем самым исключу вифи и из сетки, а мне надо чтоб был и фиви с доступом к лан и гостевой, заранее спасибо
0 # bAjDa 12.11.2014 15:14
создать VirtualAccessPoint
назначить для неё отдельный DHCP, отдельно же настроить маскарадинг
в файерволе закрыть возможность пересылать порты из одной автономной сети в другую автномную сеть

по теме VAP
http://www.technotrade.com.ua/Articles/virtual_ap_mikrotik_setup.php
http://wiki.mikrotik.com/images/5/5f/Create_Virtual_AP_for_Campus.pdf
0 # Игорь 19.03.2014 11:41
Привет.
Напишите пожалуйста подробную статью как настроить всё для такого варианта:
http://forum.ru-board.com/topic.cgi?forum=8&topic=43141&start=4960#18
+1 # Pasha 23.03.2014 12:37
Огромное спасибо за статью! Несколько часов безуспешно пытался настроить сей девайс. С этой статьей все заработало минут за 10!!! Единственная проблема с урезанием скорости, у меня дома 50 мбит/с от билайна. Проверял скорость на http://www.speedtest.net/, через роутер скорость поднимается до 32 мбит максимум, включаю провод напрямую, стабильно выдает 47-49 мбит. Подскажи плз с чем это может быть связано?
-1 # Сергей 29.03.2014 06:45
Буду очень благодарен за решения вопроса

1. есть две сети первая 10.0.0.x и вторая 192.168.0.x
2. стоит микротик первый порт поднимает PPPoE интернет.
3. 2-3й порт поднят bridge c ip 10.0.0.11 через этот шлюз клиенты сети 10.0.0.х получают интернет проброс портов для нужд этой сети.

4. 4-5й порт поднят bridge с 192.168.0.49 через этот шлюз клиенты сети 192.168.0.х получают интернет проброс портов для нужд этой сети при чем это нужно только для одной машины. но это не важно все настроено и работает. Вопрос в следующем

1. из сети 10.0.0.х возникла необходимость нырять на шары с доками в сеть 192.168.0.х но только вход одностаронний из сети 10.0.0.х для двух машин по мак адресу. возможно ли реализовать данное желание на том же микротике.

да микротик RB7xx series v6.10
0 # papa-admin 31.03.2014 09:12
К данной статье это никак не относится. Пишите на форуме. может кто-то и ответит.
0 # Сергей 19.05.2014 23:19
Большое спасибо за мануал :) сделал себе скрипт для быстрого развертывания
хочу лишь отметить, что для полноты и перед перезагрузкой не хватает всего четырех команд:
[code type="xml"]/password

passwordhere
passwordhere
смена пароля на учетку admin
0 # Сергей 19.05.2014 23:20
оп. скрипт проглотил пустую строку после команды /password, она отвечает за ввод старого пароля, который пуст
0 # Евгений 23.05.2014 13:17
Добрый день. У меня проблема сначала. не могу зайти в винбокс пишет Error Wrong username or password.
Ситуация такая: маршрутизатор установлен в офисе. Всё работает по проводам. Хочу узнать пароль WiFi, чтоб можно было подключиться. Никто не знает, никто не пользуется. Настраивал сотрудник сам, он не спец. Как быть.?
0 # papa-admin 23.05.2014 19:48
Ну и какое это имеет отношение к данной теме ?

Все вопросы пишите на форуме !
0 # Евгений 26.05.2014 10:28
Я извиняюсь, но я думал это сюда. Ведь маршрутизатор такой же, и пароль только узнать надо.
0 # Юзер 26.05.2014 12:07
Как вытащить сохранённый пароль из WinBox
пароли просто храняться открытым текстом в файле.
Имя этого файлика winbox.cfg, и в зависимотси от ОС он лежит:

для windows XP:
c:documents and settings%user%a pplication datamikrotikwin boxwinbox.cfg

для windows 7
c:users%user%ap pdataroamingmik rotikwinboxwinb ox.cfg
0 # Евгений 26.05.2014 17:45
Или лыжи или я.
Нет в этом файле пароля((((
0 # Артем 11.07.2014 13:27
Я новичок в работе с такими устройствами. Подскажи пожалуйста правильность настройки
в порт 1 подключаем нашего провайдера с адресом 1.2.3.45 маской 255.255.255.252 (/24) и шлюзом 1.2.3.254
+1 # Евгений 22.09.2014 08:11
Данный мануал безумно помог, так как интернет по локалке работал, а wi-fi нет
подскажите, у нас есть АТС, на нее приходит SIP телефония, и при подключении MikroTik теперь сбились все настройки, в трубке короткие гудки. Возможно какой-то ethernet-порт блокирует соединение?
0 # Евгений 22.09.2014 09:24
Все, спасибо, заработало.
Шлюз же мы здесь (в мануале) прописывали 192.168.0.254, а на АТС ссылался на 192.168.0.1
Подправил настройки MikroTik и все заработало.
Спасибо еще раз за действительно работающий туториал!
0 # Евгений 22.09.2014 14:14
И есть такая проблема с Wi-Fi - урезает скорость 5mbps
Настройки вроде верные =>
Band: 2H-B/G/N
Channel: 20/40 mHz HT Above (пробовал разные режимы)
Frequency: 2412 (пробовал разные)
wireless Protocol: 802.11
country: russia
в чем может быть дело?
Спасибо
0 # Дмтрий 22.09.2014 15:45
5mbps - Если это 5 Мегабайт в секунду - это нормально для "обычного" 802.11g и не самого лушего 802.11n
0 # Евгений 23.09.2014 10:56
И все таки - подключили MikroTik - теряем звонки.
в личном кабинете телефонии за вчерашний день более 20 звонков по SIP потеряно
в офисе атс panasonic - что делать?
-1 # papa-admin 23.09.2014 19:47
Пожалуйста комментарии только по теме.
Все вопросы на форуме !
0 # Frozer 28.02.2015 09:35
Цитирую Евгений:
И все таки - подключили MikroTik - теряем звонки.
в личном кабинете телефонии за вчерашний день более 20 звонков по SIP потеряно
в офисе атс panasonic - что делать?

Что что... Вызвать специалиста надо было!
0 # Pavel 11.02.2015 01:05
Цитата:
9. Все остальные пакеты блокируем:
add action=drop chain=forward comment="All other drop" disabled=no
после этого интернет нет. появляется только если добавить src-address-lis t=inet или отключить этот пункт , в чем проблема?
0 # Алексей 18.03.2015 12:15
Не подскажете, как сделать доступным USB-диск, подключенный в порт роутера?
-1 # Алексей 18.03.2015 14:19
Как расшарить внешний USB-диск, или где форум, на котором можно задать этот вопрос?
+4 # POS_troi 26.03.2015 01:56
Переименование интерфейсов лучше делать по другому

К примеру

/interface ethernet
set [ find default-name=et her1 ] name="WAN"
set [ find default-name=et her2 ] name="PORT2"
set [ find default-name=et her3 ] master-port="PO RT2" name="PORT3"
set [ find default-name=et her4 ] master-port="PO RT2" name="PORT4"
set [ find default-name=et her5 ] master-port="PO RT2" name="PORT5"

Дело в том что при "set 0 name=wan", под "0" может запросто скрываться и Ether5 - если настройка производится не на свеже сброшенном тике или разработчикам что-то в голову взбредёт.
Сейчас эти "id" присваиваются так - читаются все интерфейсы, сортируются по имени и потом уже присваиваются "id". Тоесть если интерфейс "ether5-slave-l ocal" переименовать в "1_ether5-slave -local" то он станет "0"ликом и в результате заместь переименования WAN порта мы переименуем пятый порт.

Пример выше даёт однозначную индентификацию интерфейса

/interface ethernet print detail
0 # Evgeniy Kovtun 15.03.2016 23:50
Цитирую POS_troi:
Переименование интерфейсов лучше делать по другому

К примеру

/interface ethernet
set [ find default-name=ether1 ] name="WAN"
set [ find default-name=ether2 ] name="PORT2"
set [ find default-name=ether3 ] master-port="PORT2" name="PORT3"
set [ find default-name=ether4 ] master-port="PORT2" name="PORT4"
set [ find default-name=ether5 ] master-port="PORT2" name="PORT5"

Дело в том что при "set 0 name=wan", под "0" может запросто скрываться и Ether5 - если настройка производится не на свеже сброшенном тике или разработчикам что-то в голову взбредёт.
Сейчас эти "id" присваиваются так - читаются все интерфейсы, сортируются по имени и потом уже присваиваются "id". Тоесть если интерфейс "ether5-slave-local" переименовать в "1_ether5-slave-local" то он станет "0"ликом и в результате заместь переименования WAN порта мы переименуем пятый порт.

Пример выше даёт однозначную индентификацию интерфейса

/interface ethernet print detail


А что получается WAN 5-ый порт сделать нельзя, только 1 порт может так работать?
0 # Роман 17.04.2015 02:18
Здравствуйте. Я ввел ваши команды, заменив только адреса на свои, но интернет у меня не заработал.
Точнее на роутере внешние сайты пингуются, а с компьютера нет.
Из всех ваших команд не прошла только одна "/system ntp client set enabled=yes mode=unicast primary-ntp=193.1.193.157"

Помогите пож-та наладить раздачу интернета?

Как поменять MAC адрес роутера, на тот что авторизован провайдером?
0 # mikis 19.04.2015 22:20
Подскажите как изолировать wifi от локальной сети. Wifi сделать гостевой сетью.
0 # mikis 30.04.2015 17:32
Две сети, 192.168.170.0 - это вай фай и 192.168.10.0 -это локальная сеть. В бридж не объединял, dhcp только на wi-fi сеть. Подскажите как сделать доступ с локальной сети в сеть Wi-Fi и обратно?
0 # Diana 06.05.2015 21:14
Замечательная статья. Подскажите пожалуйста, какие команды нужно добавить, чтоб получить L2TP подключение к провайдеру?
0 # MTB 23.05.2015 14:27
а как подключить и настроить принтер HP laserjet 1150 к микротику по USB\/
0 # Артем174. 22.07.2015 10:13
Здравствуйте ,можете показать настройки PPPoE ,не подключае соединение.
0 # Wenya 10.09.2015 07:05
привет папа админ! как настроить удаленный доступ для белого статистического айпи адреса на этом девайсе?
0 # lyter 14.10.2015 12:52
Подскажи пожалуйста! как в микротике отключить трафик генератор?
0 # valery 01.11.2015 21:04
rb951g-2hd после выключения и последующего включения электричества сам раньше восстанавливал инет. Теперь только инет восстанавливает ся после перезагрузки средствами самой OS: пункт System и там выбираю Reboot. Что делать? До этого работал бесперебойно долгое время.
+1 # Сергей Александрович 14.02.2016 18:37
Подскажите. Настроил микротик 950 , интернет появился, но по ссылкам из поисковика не переходит.
0 # Evgeniy Kovtun 15.03.2016 23:52
Кто подскажет как поменять порт WAN.
Заранее благодарю!
0 # papa-admin 16.03.2016 08:04
Не понятен сам вопрос. Что значит "поменять" ?
0 # Evgeniy Kovtun 18.03.2016 17:39
Цитирую papa-admin:
Не понятен сам вопрос. Что значит "поменять" ?

Можно ли поменять порт WAN, который по умолчанию 1, на порт 5. Как это правильно сделать?
Необходимо подключить уличный (внешний) мост к порту PoE, который и будет давать канал интернета.
Заранее благодарю.
0 # papa-admin 18.03.2016 18:32
Цитирую Evgeniy Kovtun:
Цитирую papa-admin:
Не понятен сам вопрос. Что значит "поменять" ?

Можно ли поменять порт WAN, который по умолчанию 1, на порт 5. Как это правильно сделать?

Что-то типа:
/interface ethernet
set 0 master-port=non e name=ether1-master-local
set 1 master-port=eth er1-master-loca l name=ether2-slave-local
set 2 master-port=eth er1-master-loca l name=ether3-slave-local
set 3 master-port=eth er1-master-loca l name=ether4-slave-local
set 4 name=wan
0 # Evgeniy Kovtun 18.03.2016 20:11
это только название, а работать то оно как будет?
И будет ли 0-мастером это еще не факт?
По умолчанию 0 не входит не в switch, не в bridge.
Или это не так?
0 # papa-admin 18.03.2016 20:18
Мда...Даже не знаю что сказать. Я вам привел пример. Понятно что надо в бридж и прочее смотреть.
Если сомневаетесь - возьмите и проверьте!
0 # Evgeniy Kovtun 18.03.2016 20:50
Спасибо!
0 # Александр_Е 26.03.2016 12:11
Спасибо. Все отлично и понятно в терминале проще понимать структуру "тонких" настроек.
0 # ANDREY 28.10.2016 00:20
Даа, для меня тут все темный лес. Надо обучаться с нуля....

Недостаточно прав для комментирования