Инструкция по настройке роутера Mikrotik Routerboard 750GL
advertisement
Настройка MikroTik RouterBOARD 751 для дома Я фанат маршрутизаторов MikroTik с года так 2000, и по работе взамен Cisco уже беру только их. А вот для дома, до недавнего времени, не было маршрутизатора как сетевого , так и беспроводного (Не, конечно, на базе существующих моделей можно было что-то собрать, но это было и дорого и выглядело не очень симпатично). Но теперь MikroTik исправил ситуацию. RouterBOARD 751U-2HnD Процессор : 400MHz Память : 32MB Архитектура : MIPS-BE Ethernet порты : 5 Беспроводная связь : 802,11 b/n, 30dBm max, 2,5 dBi USB : 1 PoE : 8-30В Размер : 113x138x29 мм Установленная ОС : RouterOS Level 4 На мой взгляд это идеальный маршрутизатор для домашнего использования, небольших или мобильных офисов, т.к. USB порт дает возможность использовать USB 3G модемы для выхода в интернет. Конечно возможности аппрата превосходят потребности обычного домашнего пользователя, это все равно что из пушки по воробьям. Но для ИТ специалистов, с сетевым уклоном, которым недостаточно обычных Асусов и Д-Линков это в самый раз. Да и внешне мне очень симпатичен данный аппарат: нет торчащих антен, а наличие порта с PoE дает возможность установить его в дали от электрических розеток. Но большие возможности в настройке усложняют эту самую настройку, и не каждый айтишник сразу разберется. Поэтому я написал небольшое руководство для начальной настройки. На моем машрутизаторе установлена RouterOS v5.7 Level 4. Также маршрутизатор поставляется преднастроенным. Исходя от этих настроек и будем двигатсья дальше. 1. Подключение к маршрутизатору и смена пароля. Для поддключения к маршрутизатору вы можете воспользоваться кабелем, подключив его в портам 2-5 или подключиться по WiFi (имя MikroTik). Внимание по умолчанию WiFi в открытом доступе и любой может к нему подключиться. На сетевом интерфейсе, через который вы полдключаетесь, должно быт ьнатроена автоматическое получение ip адреса через DHCP. При удачном подключении вы получите адрес из диапазона 192.168.88.0/24 Теперь в строке браузера наберите http://192.168.88.1, и на открывшейся странице выбирете WinBox, скачайте его, к примеру на рабочий стол, и запустите. Укажите данные как на картинке и нажмите Connect Открываем меню System-Users Должно появится вот такое вот окно. Создаем нового пользователя. Я рекомендую именно созадвать нового пользователя а не менять пароль у существущего. Указываем имя нового пользователя в поле Name, в группе выбираем full, и назимаем Apply.Теперь задаем пароль нажав Password, вводим пароль и нажимаем несколько раз Ok .Все теперь отключаемся чеерз меню Exit. И подключаемся уе под новым именем и паролем. Входим под созданным именем и паролем. Опять заходим в System-Users Отключаем учетную запись admin нажав на красный крестик (не путать с плюсом). Должно получитсья как на картинке. 2. Подключаемся к интернету Подключаем кабель от провайдера По умолчанию маршрутизатор настроен так что интернет у него подключается к первому порту (подписан как PoE). Если у вас интернет провайдер подкючает на прямую без вских PPTP & PPoE, автоматически выдавая адрес, то вам достаточно подключить только кабель. В моем же случае мой провайдер АВК-ВЕЛЛКОМ подключает по PPoE. И для работы нужно произвести настроку. Далее я не будут приводить примеры с картинками, т.к. муторно это все, а пакажу команды настройки которые можно ввести через WinBox Terminal (меню New Terminal) или подлкчившись по ssh. 2.1 Отключаем автоматическое получение адреса (DHCP клиента): /ip dhcp-client disable 0 2.2. Добавляем интерфейс PPoE и настраиваем его (клиент - ваш логин у провайдера, пароль - ваш пароль для подключения): /interface pppoe-client add ac-name="" add-default-route=yes allow=pap,chap,mschap1,mschap2 \ dial-on-demand=no disabled=no interface=ether1-gateway max-mru=1480 \ max-mtu=1480 mrru=disabled name=avk password=пароль profile=default \ service-name="" use-peer-dns=yes user=клиент 2.3 отключаем встроеный нат по умолчанию и создаем свое правило (если у вас подлючение без PPoE, и адрес выдается автоматом, то этот пункт нужно пропустить) /ip firewall nat disable 0 /ip firewall nat add action=masquerade chain=srcnat disabled=no out-interface=avk На данном этапе у вас уже должен работать интернет с компьютера. 2.4 Базовая защита маршрутизатора, чтобы через него кто-попало не лазил в вашу внутреннюю сеть. Разрешаем маршрутизацию служебных пакетов через сам маршрутизатор: /ip firewall packets" /ip firewall connections" /ip firewall connections" /ip firewall /ip firewall filter add chain forward connection-state=invalid action=drop comment="Drop invalid connection filter add chain forward connection-state=established action=accept comment="Allow established filter add chain forward connection-state=related action=accept comment="Allow related filter add chain forward protocol=udp action=accept comment="Allow UDP" filter add chain forward protocol=icmp action=accept comment="Allow ICMP for Ping" Разрешаем выход в интернет для всех адресов из локальной сети: Вариант для PPoE: /ip firewall filter add chain forward in-interface=bridge-local out-interface=avk action=accept comment="Access to internet from local network" Вариант без PPoE: /ip firewall filter add chain forward in-interface=bridge-local out-interface=ether1-gateway action=accept comment="Access to internet from local network" Все остальные пакеты проходящие через маршорутизатор блокируем: /ip firewall filter add chain forward action=drop comment="All other forwards drop" Ну и при PPoE подключении конечно же не забываем закрыть доступ к маршрутизатору снаружи. Для обычного подключения это сделано по умолчанию. /ip firewall filter`add action=drop chain=input comment="drop access to router from inet" disabled=no ininterface=avk А то, я пока настраивал, минут 10 прошло, а ко мне уже какие-то редиски пытались по ssh подключиться перебирая имена и пароли. 14:11:24 system,error,critical login failure for user sdnmuser from 61.138.205.243 via ssh 14:11:26 system,error,critical login failure for user hxht from 61.138.205.243 via ssh 14:11:29 system,error,critical login failure for user root from 61.138.205.243 via ssh 14:11:32 system,error,critical login failure for user root from 61.138.205.243 via ssh 14:11:34 system,error,critical login failure for user sbin from 61.138.205.243 via ssh 14:11:37 system,error,critical login failure for user root from 61.138.205.243 via ssh 14:11:40 system,error,critical login failure for user root from 61.138.205.243 via ssh 14:11:42 system,error,critical login failure for user tory from 61.138.205.243 via ssh 14:11:45 system,error,critical login failure for user taz from 61.138.205.243 via ssh 14:11:47 system,error,critical login failure for user root from 61.138.205.243 via ssh 2.5 Ну, и на последок настроим правильно время в маршрутизаторе, чтобы в логах и резервных копиях все пучком было. Временная зона +4 (для Москвы): /system clock set time-zone-name=manual /system clock manual set time-zone=+04:00 /system ntp client set enabled=yes mode=unicast primary-ntp=62.117.76.134 secondary-ntp=192.43.244.18 На этом настройка "проводной" части закончена. Далее расскажу о настройке беспроводой сети. 3. Настройка беспроводной сети (WiFi) По умолчанию WiFi настроен так, что любой может подключитсья к вашему маршрутизатору. Мы исправим это дело. Внимание! Для настройки WiFi лучше подключитсья по кабелю, но не обязательно. Просто при изменениях вам придется заново подключаться. А если вы что-то не правильно сделаете то больше вообще не сможете подключиться. Для начало изменим имя сети SSID на наше (bazooka - замените на ваше): /interface wireless set 0 ssid=bazooka Теперь утановим защищенную сеть WPA2-PSK и пароль (Пароль заменить на ваш пароль): /interface wireless security-profiles set default mode=dynamic-keys authentication-types=wpa2-psk groupciphers=tkip unicast-ciphers=tkip wpa2-pre-shared-key=Пароль Все, теперь к маршрутизатору по WiFi можно подключиться только по паролю. Если вы считаете что вам для безопасности нужно больше, то можете еще настроить и фильтрацию по MAK адерсу. Но с этим уже сами разберетесь. Кстати качества сигнала с 751U-2HnD сильнее и лучше чем у меня до этого с D-Link 804 было. Статья взята с сайта http://papa-admin.ru
