Настройка MikroTik RouterBOARD 751U-2HnD для дома

. Просмотров: 34267

Рейтинг:  5 / 5

Звезда активнаЗвезда активнаЗвезда активнаЗвезда активнаЗвезда активна
 

 

2. Подключаемся к интернету

Подключаем кабель от провайдера По умолчанию маршрутизатор настроен так что интернет у него подключается к первому порту (подписан как PoE).

Если у вас интернет провайдер подключает на прямую без всяких PPTP & PPoE, автоматически выдавая адрес, то вам достаточно подключить только кабель.
В моем же случае мой провайдер АВК-ВЕЛЛКОМ подключает по PPoE. И для работы нужно произвести настройку.

Далее я не будут приводить примеры с картинками, т.к. муторно это все, а покажу  команды настройки которые можно ввести через WinBox Terminal (меню New Terminal) или подключившись по ssh.

2.1 Отключаем автоматическое получение адреса (DHCP клиента):

/ip dhcp-client disable 0

2.2. Добавляем интерфейс PPoE и настраиваем его (клиент - ваш логин у провайдера, пароль - ваш пароль для подключения):

/interface pppoe-client add ac-name="" add-default-route=yes allow=pap,chap,mschap1,mschap2 \
    dial-on-demand=no disabled=no interface=ether1-gateway max-mru=1480 \
    max-mtu=1480 mrru=disabled name=avk password=пароль profile=default \
    service-name="" use-peer-dns=yes user=клиент

2.3 отключаем встроенный нат по умолчанию и создаем свое правило (если у вас подключение без PPoE, и адрес выдается автоматом, то этот пункт нужно пропустить)

/ip firewall nat disable 0
/ip firewall nat add action=masquerade chain=srcnat disabled=no out-interface=avk

На данном этапе у вас уже должен работать интернет с компьютера.

2.4 Базовая защита маршрутизатора, чтобы через него кто-попало не лазил в вашу внутреннюю сеть.

Разрешаем маршрутизацию служебных пакетов через сам маршрутизатор:

/ip firewall filter add chain forward connection-state=invalid action=drop comment="Drop invalid connection packets"
/ip firewall filter add chain forward connection-state=established action=accept comment="Allow established connections"
/ip firewall filter add chain forward connection-state=related action=accept comment="Allow related connections"
/ip firewall filter add chain forward protocol=udp action=accept comment="Allow UDP"
/ip firewall filter add chain forward protocol=icmp action=accept comment="Allow ICMP for Ping"

Разрешаем выход в интернет для всех адресов из локальной сети:

Вариант для PPoE:

/ip firewall filter add chain forward in-interface=bridge-local out-interface=avk action=accept comment="Access to internet from local network"

Вариант без PPoE: 

/ip firewall filter add chain forward in-interface=bridge-local out-interface=ether1-gateway action=accept comment="Access to internet from local network"

Все остальные пакеты проходящие через маршрутизатор блокируем:


/ip firewall filter add chain forward action=drop comment="All other forwards drop"

Ну и при PPoE подключении конечно же не забываем закрыть доступ к маршрутизатору снаружи. Для обычного подключения это сделано по умолчанию.

/ip firewall filter add action=drop chain=input comment="drop access to router from inet" disabled=no in-interface=avk

А то, я пока настраивал, минут 10 прошло, а ко мне уже какие-то редиски пытались по ssh подключиться перебирая имена и пароли.

14:11:24 system,error,critical login failure for user sdnmuser from 61.138.205.243 via ssh 
14:11:26 system,error,critical login failure for user hxht from 61.138.205.243 via ssh

14:11:29 system,error,critical login failure for user root from 61.138.205.243 via ssh 
14:11:32 system,error,critical login failure for user root from 61.138.205.243 via ssh 

14:11:34 system,error,critical login failure for user sbin from 61.138.205.243 via ssh 
14:11:37 system,error,critical login failure for user root from 61.138.205.243 via ssh 

14:11:40 system,error,critical login failure for user root from 61.138.205.243 via ssh 
14:11:42 system,error,critical login failure for user tory from 61.138.205.243 via ssh 

14:11:45 system,error,critical login failure for user taz from 61.138.205.243 via ssh 
14:11:47 system,error,critical login failure for user root from 61.138.205.243 via ssh 

2.5 Ну, и на последок настроим правильно время в маршрутизаторе, чтобы в логах и резервных копиях все пучком было. Временная зона +4 (для Москвы):

/system clock set time-zone-name=manual
/system clock manual set time-zone=+04:00
/system ntp client set enabled=yes mode=unicast primary-ntp=62.117.76.134 secondary-ntp=192.43.244.18

На этом настройка "проводной" части закончена. Далее расскажу о настройке беспроводной сети.