Начальная настройка mikrotik

Введение

Отличительной особенностью роутеров Mikrotik от многих производителей сетевого оборудования является фирменная утилита для настройки устройств — Winbox

Я сразу обратил на это внимание, когда первый раз познакомился с микротиками. По первости глаза разбегаются, когда подключаешься через нее к устройству, но если немного освоишься, то понимаешь ее удобство

Несмотря на то, что я могу все, что необходимо, настроить через cli, чаще всего делаю это через winbox.

Особенно удобно, когда надо что-то продебажить. Можно открыть несколько окон внутри программы — тест скорости, список правил firewall для наблюдения за счетчиками, torch для анализа трафика и до кучи график загрузки сетевого интерфейса.

И все это доступно во всей линейке оборудования, даже в самых бюджетных моделях. Вам известно что-то подобное у других производителей в ценовой категории 50-150$? Мне лично нет, но тут я могу заблуждаться. Если у каких-то вендоров есть что-то похожее на Winbox, было бы любопытно узнать об этом.

Знакомство с устройством

Статьи предназначены прежде всего для учителей информатики общеобразовательных школ, так как в большинстве случаев именно на них возложено поддержание работы локальной сети, при этом главным сетевым устройством в локальной сети является домашняя версия модема/роутера TP-Link, D-Link и прочие Asus.

Данные устройства не отличаются стабильностью работы под нагрузкой из 20+ компьютеров, не обладают гибкостью настройки, да и в целом не предназначены для поддержания большого количества клиентских устройств, тем самым вызывая многие проблемы.

Оборудование MikroTik может полностью снять большинство проблем сети, а так же благодаря своему функционалу быстро выявлять источник возникших проблем.

Все дальнейшие настройки будут показываться на примере настройки MikroTik Hap ac Lite, используемого в общеобразовательной школе.

Изображение 1. MikroTik Hap ac Lite

Роутеры MikroTik используют единую систему RouterOS на своих устройствах, поэтому данная статья подходит для настройки других устройств MikroTik или же чистой RouterOS установленной на обычном ПК (в зависимости от устройства, может быть доступен разный набор расширенных компонентов).

Вы можете купить Mikrotik RouterOS Level 4 отдельная лицензия для установки на компьютер (стоимость лицензии RouterOS около 42$).

В этом случае вы получите намного более мощный и дешевый «роутер», пожертвовав компактностью и надежностью, зависящей только от надежности компонентов ПК.

В одной из школ моего города, настроен именно такой «роутер» на базе старого неактуального HP Proliant сервера с 1Gb памяти (для сравнения роутер MikroTik Hap ac Lite оснащен процессором 650MHz и 64Mb памяти).За все годы работы сервера в качестве «роутера» с ним не было ни одной проблемы, количество обслуживаемых устройств около 120.

Итак, вы получили данное устройство и видите 5 доступных сетевых портов, первый из которых подписан Internet и PoE In, а пятый порт выделен желтым цветом и подписан PoE out (PoE технология).

Первое отличие роутеров MikroTik от более привычных TP-Link, D-Link и прочего доступного в магазинах то, что входящим интернет портом может быть любой порт роутера и даже несколько портов, так же как и исходящим портом (для локальной сети), а не один подписанный порт, как на привычных ранее роутерах.

Надпись Internet присутствует только для удобства пользователя и данный порт ничем не отличается от других.

Так же, присутствуют два PoE порта, 1й порт — входящий, 5й порт — исходящий,  т.е. для установки роутера на месте, вы больше не привязаны к розетке.

Питание роутеру можно подать через обычный сетевой кабель, на первый порт, при этом этот сетевой кабель так же будет доступен для передачи данных .

С пятого порта вы можете запитать уже другое устройство с поддержкой данной технологии, например точку доступа.

Для нашей сети мы будем использовать подключение к интернету через первый порт (на котором подключен модем Beeline), кабель локальной сети, подключим в 2 порт.

(В данном примере мы рассматриваем MikroTik Hap ac Lite подключенный к интернету через другой модем. Другие способы подключения MikroTik через PPoE, L2TP, LTE будут рассмотрены в других статьях)

• адрес роутера 192.168.137.1
• диапазон адресов локальной будущей локальной сети: 192.168.137.0/24, причем первые 20 адресов выделим под служебные нужды

Подготовка

Получение статического «белого» IP-адреса

Для использования всех возможностей роутера вам потребуется статический «белый» IP-адрес; закажите эту услугу у интернет-провайдера.

Соглашение. Провайдером выделен адрес

Загрузка клиента для настройки RouterOS

Обязательно скачайте программу Winbox до начала проведения любых нижеописанных манипуляций. К сожалению, она доступна только для Windows, но может быть запущена в виртуальной машине.

Подключение роутера

Подключите устройство к питанию, кабель провайдера установите в первый порт. Также патч-кордом соедините ваш компьютер с роутером, используя любой свободный порт. (В этой инструкции используется пятый.)

MikroTik hAP AC минимально настроен по умолчанию, поэтому компьютер получит внутренний IP-адрес из специфической подсети . Запустите Winbox.

Во вкладке Neighbors представлен список роутеров; подключайтесь к единственному доступному, используя адрес , имя пользователя и пустой пароль. В открывшемся окне вы увидите описание базовой конфигурации.

Через замыкание

Хардкорный вариант, когда и разобрать нужно, да и без отвертки не обойтись. А бонусом – отсутствие кнопки и игра в электрика. На плате располагается отверстие с двумя оголенным пластинками-контактами. Замыкаем их чем-нибудь – и роутер как новенький.

Обычно такая возможность есть на большинстве сетевого оборудования Микротик. Применяется, если что-то пошло не так и почему-то кнопка сброса не отрабатывает как положено. К тому же, очень часто доступ к этому отверстию есть и в самом корпус, разбирать не придется:

Характерно для серий RB750, RB751, RB951

Если ближе к плате, то выглядит это примерно так:

Звук при таком сбросе отличается от стандартного сброса – при успешном исполнении можно услышать даже целую «мелодию».

На старых моделях вроде RB133 можно было найти «джампер». Алгоритм замыкания тот же самый, просто немного отличается от пластин и неопытного может ввести в ступор:

Как зайти в настройки роутера Mikrotik?

После того как сетевой кабель от роутера вставлен в сетевой порт компьютера или ноутбука, открываем любой браузер и в адресную строку вводим 192.168.88.1. Данный ip адрес является стандартным для любого сетевого устройства Mikrotik.

Стандартный адрес для входа в настройки MikroTik

Затем нажимаем Enter и на экране отобразится окно авторизации, где будет предложено ввести комбинацию логин/пароль для входа в настройки.

Запрос авторизационных данных

Указание на отсутствующий по умолчанию пароль для вход в настройки MikroTik на упаковке

Если у вас не получается попасть в настройки с пустым полем «Password», значит ваш маршрутизатор уже пытались настроить и установили какой — то пароль.

В этом случае единственным вариантом будет сброс роутера на заводские настройки.

Через настройки

Сбрасывать через настройки можно двумя способами:

• С помощью мастера быстрой настройки «Quick Set» он помогает в первичной настройке, но при этом затираем все существующие, отличный аналоги сброса.
• Через системное меню System – Reset Configuration

В веб-интерфейсе для того же hAP Lite кнопка Reset Configuration расположена прямо на главной странице.

Немного пояснения по окошку:

• Keep User Configuration – можно сохранить учетки пользователей
• CAPS mode – дальнейший поиск контроллеров CAPsMAN для создания бесшовной сети
• No Default Configuration – не использовать заводскую конфигурацию, полное обнуление почти как сбросом через замыкание
• Do Not backup – не создавать бэкап. Ранние версии не шифровали бэкапы, и через них можно было вытащить пароль. Сейчас же способа сбросить пароль без сброса настроек не существует.
• Run After Reset – что запустить после сброса, там подборка скриптов

Доступ в настройки можно получить через веб-конфигуратор (192.168.88.1) или же приложение WinBox. Как туда попасть уточняйте по вашей конкретной модели с помощью поиска на нашем сайте.

Если подключаетесь через консоль, сброс настроек MikroTik можно сделать такой консольной командой:

/system reset-configuration no-defaults=yes skip-backup=yes

Описание Mikrotik RB951G-2HnD

Вот он, герой сегодняшней статьи — Mikrotik RB951G-2HnD. Его описание, отзывы и стоимость можно быстро проверить на Яндекс.Маркете. По количеству отзывов уже можно сделать вывод об определенной популярности этого роутера.

Внешний вид устройства.

Важной особенностью этого роутера, которой лично я активно пользуюсь, является возможность запитать его с помощью специального poe адаптера

На изображении он справа. Берется стандартный блок питания от роутера и poe адаптер. Блок питания подключается к адаптеру, а от адаптера уже идет патч корд в первый порт routerboard. Маршрутизатор можно повесить на стену в любое место, нет необходимости привязываться к розетке. Сразу отмечу, что запитать роутер можно только poe адаптером микротика. У него другой стандарт и привычные poe свитчи 802.3af не подойдут.

Существует похожая модель RB951Ui-2HnD. Она отличается от описываемой мной только тем, что у нее 100Mb порт, а у RB951G-2HnD 1Gb. Если для вас эти отличия не принципиальны, то можете покупать более дешевую модель. В остальном они идентичны.

Будем потихонечку двигаться дальше. Как проще всего настроить микротик? Я для этого использую стандартную утилиту winbox. Можно пользоваться и web интерфейсом, но лично мне намного удобнее winbox. Так что для продолжения настройки скачивайте ее на компьютер.

Защита интерфейсов

Первым шагом, который мы предпримем, является отключение любых физических сетевых интерфейсов, которые не используются. Что лишает доступ злоумышленника к устройству, если они каким-то образом проникли в коммутационный шкаф или серверную комнату

Чтобы подключиться к маршрутизатору, они должны отключить работающее соединение, тем самым привлечь к себе ненужное им внимание

Пересчет интерфейсов

Сначала перечислите все интерфейсы, обратив внимание на номера, связанные с каждым интерфейсом (см. Таблицу интерфейсов выше в начале статьи):

/interface print

Отключите неиспользуемые интерфейсы

Затем отключите все неактивные интерфейсы, чтобы они не могли использоваться для доступа к устройству. В нашем случае интерфейсы 1, 2 и 3 используются, и мы не используем интерфейсы 4 и 5:

/interface set 4,5 disabled=yes

После того как ваши сетевые интерфейсы будут защищены, а оставшаяся часть этого руководства будет завершена, задумайтесь о сегментации ваших сетей с помощью VLAN.

Сетевые интерфейсы MikroTik

Для удобства последующей настройки и администрирования оборудования MikroTik рекомендуется четко обозначить используемые сетевые интерфейсы. Для этого заходим в пункт меню “Interfaces”:

Записываем для первого порта ether1 комментарий “WAN”:

1. Открываем меню Interfaces;
2. Выбираем первый интерфейс ether1;
3. Нажимаем желтую кнопку Comment;
4. В появившемся окне вводим комментарий “WAN“;
5. Нажимаем кнопку OK

Затем выполняем для второго порта ether2 комментарий “LAN”:

1. Выбираем первый интерфейс ether2;
2. Нажимаем желтую кнопку Comment;
3. В появившемся окне вводим комментарий “LAN“;
4. Нажимаем кнопку OK

Немного общей информации

MikroTik это – маршрутизаторы, коммутаторы, точки доступа и много другое оборудование которое выпускает Латвийская фирма. Больше всего она получила свою известность именно за недорогие и функциональные сетевые устройства.

Действительно, когда я первый раз начал его настраивать, первое что я сказал: «Ого и это все можно сделать на железки за 1500 рублей». Масштаб возможностей роутеров действительно поражает это и мультикаст, MPLS, огромное количество технологий VPN. Да он один может справится с работой небальной компании и филиалов, подключённых по pptp например.

Конечно есть и один минус, для неопытных пользователей настроить микротик с первого раза будет сложно. Для этого я и пишу данную статью.

Полномочия

Теперь, когда мы (относительно) защищены снаружи, обеспечим пару вещей внутри маршрутизатора.

Штатная учетная запись Администратора

Сначала давайте установим пароль для пользователя admin по умолчанию, а затем изменим имя администратора на что-то другое, кроме «admin». Также у сетевых устройств не должно быть паролей, заданных производителем по умолчанию.

Так же, как в случае с переименованием учетной записи администратора на серверах Windows, рекомендуется переименовать пользователя-администратора Mikrotik в нечто иное, чем известный по умолчанию (admin):

/user set 0 password=UnathorizedAccessProhibited

/user set 0 name=14bytes.ru.admin comment="Default account - BACKUP ONLY"

Дополнительные учетные записи

Все администраторы маршрутизаторов должны иметь свои собственные логины для гранулирования прав доступа и логирования действий и использовать только эти логины для администрирования устройства. Учетная запись по умолчанию, которую нельзя удалить, должна использоваться только для целей входа в систему. Использование индивидуальных учетных записей требуется для каждого маршрутизатора.

Групповые учетные записи не должны настраиваться для использования на сетевом устройстве.

Создайте пользователя для каждого обращения к устройству администратора:

/user add name=eduard password=letonaulitse group=full comment="Eduard @ 14bytes"

Пользователь, которого мы просто переименовали, должен использоваться только для целей резервного копирования, если другие учетные данные каким-то образом были потеряны или забыты. Это также позволяет быстро отключить доступ администратора при уходе, не затрагивая права доступа коллег.

Неблагоприятные учетные записи

Когда администратор покидает организацию, их доступ к маршрутизатору должен быть отключен, чтобы они не могли вносить какие-либо изменения в конфигурацию оборудования. Если администратор отправляется в отпуск или по каким-то причинам теряет доступ, также может быть хорошей идеей временно отключить его доступ на время в зависимости от требований к соблюдению безопасности.

Отключить учетную запись (можно повторно включить):

/user disable 

Удалить аккаунт (нельзя восстановить):

/user remove 

Неавторизованный доступ к сетевом устройствам должен быть отключен.

Описание сетевых интерфейсов

Конфигурация сетевых интерфейсов MikroTik будет выглядеть следующим образом: первый порт будет подключен к провайдеру (WAN порт), остальные порты будут работать в режиме свитча для подключения компьютеров локальной сети.

Чтобы не путать сетевые интерфейсы, опишем их с помощью комментариев.

Входим в настройки MikroTik с помощью программы Winbox.

Записываем для первого порта ether1 комментарий “WAN”:

1. Открываем меню Interfaces;
2. Выбираем первый интерфейс ether1;
3. Нажимаем желтую кнопку Comment;
4. В появившемся окне вводим комментарий “WAN”;
5. Нажимаем кнопку OK.

Записываем для второго порта ether2 комментарий “LAN”:

1. Выбираем первый интерфейс ether2;
2. Нажимаем желтую кнопку Comment;
3. В появившемся окне вводим комментарий “LAN”;
4. Нажимаем кнопку OK.
5. Описание LAN интерфейса MikroTik

Прошу обратить внимание, в консоли после ввода команды /ip address print маркировка WAN не прописывается:

Подключение со статическим IP

Теперь роутеру необходимо присвоить статический IP-адрес. Да, это тоже придётся делать вручную.

В боковом меню кликаем пункт IP – Adress. Здесь в поле Adress вписываем адрес роутера и через слеш маску подсети. Выглядеть это должно так: 192.168.1.1/24. Цифра 24 соответствует значению 255.255.255.0. Не спрашивайте, почему так, просто следуйте инструкции.

Поле Network не трогаем. После нажатия кнопки ОК оно заполнится само. А в поле Interface из выпадающего списка выбираем созданный нами до этого bridge_lan. Теперь подтверждаем ввод данных и переходим к настройке интернет-подключения.

Настройка удаленного доступа Mikrotik

Удаленно подключиться к Mikrotik можно несколькими способами, мы разберем настройку двух наиболее часто используемых:

• Через фирменную графическую утилиту Winbox;
• По протоколу SSH, при помощи сторонних приложений (например, Putty).

Давайте детально разберем в чем отличие этих методов удаленного подключения, на какие порты настроены данные сервисы, их плюсы и минусы.

Mikrotik. Удаленный доступ через Winbox

Чтобы подключиться к Микротику через Winbox, нужно в firewall открыть порт 8291. Для этого запустим фирменную утилиту (которую можно скачать с официального сайта) и перейдем:

IP => Firewall => Filter Rules => “+”.

Добавим правило, разрешающее подключение извне на 8291 port:

• Chain: input;
• Protocol: 6 (tcp);
• Dst. Port: 8291

Перейдем на вкладку Action:

Action: accept.

Разместим созданное правило выше запрещающего:

Таким образом, подключение к Mikrotik из интернета через Winbox разрешено. Данный способ позволяет удаленно настраивать оборудование в графическом режиме, что упрощает работу начинающим инженерам.

Mikrotik. Удаленный доступ по протоколу SSH

Также удаленное подключение до Mikrotik можно осуществить, используя протокол SSH, настроить и выполнить диагностику устройства из командной строки.

Чтобы настроить Mikrotik для удаленного подключения из интернета по протоколу SSH, нужно открыть 22 port. Делается это аналогичным способом, описанным выше. Поэтому мы просто скопируем ранее созданное правило, изменив порт:

• IP => Firewall => Filter Rules;
• Двойным нажатием откроем ранее созданное правило.

Скопируем его:

Изменим значение Dst. Port на 22:

Разместим его выше блокирующего правила:

На этом настройка удаленного подключения, используя SSH соединение, закончена. Давайте проверим, для этого скачаем приложение Putty и запустим:

• Host Name (or IP address) — указываем внешний IP Mikrotik;
• Нажимаем “Open”.

Вводим логин и пароль:

Для маршрутизатора Mikrotik удаленный доступ подключения используя SSH настроен и работает.

Обновление прошивки

После очистки настроек я рекомендую сразу выполнить обновление прошивки роутера Mikrotik. Для этого идем в раздел Download официального сайта и скачиваем нужный файл. В данном случае это платформа mipsbe, пакет для загрузки Main package. Загружаем его на компьютер и подключаемся к роутеру с помощью winbox. Выбираем слева раздел Files. Затем открываем рядом два окна — один с файлом прошивки, второй с winbox и перетаскиваем мышкой файл из папки в winbox в список файлов.

Дожидаемся окончания загрузки прошивки и перезагружаем микротик через раздел меню System -> Reboot. Прошивка обновится во время загрузки роутера. Подождать придется минуты 3. Поле этого снова подключаемся к устройству. После обновления прошивки, нужно обновить загрузчик. Делается это в пункте меню System — RouterBoard. Заходите туда, проверяете строки Current Firmware и Upgrade Firmware. Если они отличаются, то жмете кнопку Upgrade. Если одинаковые, то можно ничего не делать. Изменения вступят в силу после перезагрузки.

Проверить версию установленной прошивки можно в разделе System — Packages.

В моем случае версия прошивки — 6.43.4. В будущем, когда на роутере будет настроен интернет, обновляться можно автоматически в этом разделе, нажимая на Check For Updates.

Прошивку обновили, можно приступать к настройке.

Быстрая настройка интернета с помощью QuickSet.

В мастере быстрой настройки «Quick Set» предусмотрено несколько режимов работы роутера:

• CAP: Контролируемая точка доступа, которая управляется CAPsMAN сервером
• CPE: Режим клиента, который подключается к точке доступа AP.
• Home AP: Домашняя точка доступа. Этот режим подходит для упрощенной настройки доступа к интернету.
• PTP Bridge AP: Создает точку доступа для подключения к ней удаленного клиента PTP Bridge CPE и создания единой сети.
• PTP Bridge CPE: Клиент для подключения к удаленной точки доступа PTP Bridge AP.
• WISP AP: Режим похожий на Home AP, но предоставляет более продвинутые возможности.

Выбираем режим Home AP и приступаем к настройке роутера в качестве обычной точки доступа к интернету, которую можно использовать для небольшого офиса и дома.

Настраиваем WiFi.

Network Name: Название сети. Это название будут видеть тот кто подключается к вашей сети по WiFi.

Frequency: в обычной ситуации лучше оставить значение Auto. роутер сам подберет оптимальную частоту работы.

Band: Диапазон частот для домашнего роутера 2GHz-only-N. Если в сети есть старые устройства, работающие по протоколам 802.11b или 802.11g, тогда нужно будет выбрать режим 2GHz-B/G/N, но будет потеря в скорости соединения.

Use Access List (ACL): Используется для того чтобы ограничить доступ по WiFi. Прежде чем включать эту опцию необходимо создать список клиентов, которым разрешен доступ. Выбираем из списка подключенных клиентов и нажимаем кнопу Copy To ACL.

В обычной ситуации этой функцией лучше не пользоваться т.к. аутентификация по паролю обеспечивает достаточные ограничения.

WiFi Password: укажите здесь пароль для подключения к роутеру по WiFi.

WPS Accept: эта кнопка используется для упрощенного подключения устройств, которые поддерживают режим WPS. Такими устройствами могут быть принтеры или видеокамеры, на которых затруднен ввод пароля вручную. В первую очередь включить WPS нужно на подключаемом устройстве, а затем нажать кнопку роутера «WPS Accept».

Guest Network: эта функция позволяет создать отдельную гостевую сеть WiFi. Те, кто подключаются через гостевой WiFi, не будут иметь доступа к вашему роутеру, локальной сети и устройствам, находящимся в ней. Используйте гостевую сеть для повышения сетевой безопасности.

Задайте пароль в поле «Guest WiFi Password» и ограничение скорости на скачивание «Limit Download Speed»

Wireless Clients: здесь можно увидеть подключенные в данный момент по WiFi устройства. В таблице показан MAC-адрес, IP-адрес, продолжительность подключения, качество сигнала и ACL (список разрешенных устройств)

Настраиваем интернет.

Здесь мы указываем те параметры подключения, которые нам передал провайдер интернета.

Port: Указываем физический порт, к которому подключен кабель провайдера

Adress Acquisition: указывем способ получения IP адреса. В моем случае адрес статический. При PPPoE подключении указываем логин, пароль и адрес pppoe-сервера.

MAC Address: физический адрес устройства, который будет видеть провайдер. Имеет смысл менять если вы Mikrotik ставите вместо другого роутера, а у провайдера на маршрутизаторе установлена привязка по mac-адресу.

MAC server / MAC Winbox: позволяет подключаться к роутеру используя его mac-адрес. Может пригодится при отладке или восстановлении, когда роутер недоступен по ip-адресу.

Discovery: позволяет распознавать роутер другими роутерами Mikrotik.

Настройка локальной сети.

IP Address: указываем ip-адрес устройства в нашей локальной сети.

Netmask: маску оставляем наиболее распространенную для большинства случаев 255.255.255.0.

Bridge All LAN Ports: объединяем все порты роутера в общий коммутационный узел, позволяя всем подключенным устройствам находится в одной сети и обнаруживать друг друга.

DHCP Server: включаем сервер автоматической раздачи ip-адресов устройствам, подключенным к роутеру.

NAT: должен быть включен для трансляции ip-адресов из локальных в публичные, иначе устройства локальной сети не получат возможность выйти в интернет.

UPnP: эту опцию лучше не активировать, если нет необходимости т.к. она позволяет выполнять автоматический проброс стандартных локальных портов в интернет. Порты лучше пробрасывать вручную, чтобы злоумышленники не знали их адреса.

Настройку VPN рассматривать в рамках данной статьи не будем. Отмечу лишь, что она так же доступна в QuickSet и может пригодится тем, кто использует VPN-туннели для объединения нескольких локальных сетей или устройств в одну частную сеть через интернет.

Прошивка – обновление

В следующем действии нужно рядом открыть два окна – на одном изображен winbоx, а на втором – файл с прошивкой. Так вот, файл с обновлением необходимо мышкой перетащить в список файлов интерфейса роутера.

Далее остается дождаться окончания загрузки, перезагрузить устройство, пройдя путь «Systеm» – «Rebооt». Обновление будет установлено во время перезагрузки маршрутизатора. Как правило, на установку требуется около 3–4 минут. После обновления программных компонентов остается еще обновить загрузчик.

Это можно сделать следующим образом: «Systеm» – «RоutеrBоаrd». Пройдя путь, нужно проверить строки «Upgrаdе   Firmwаrе», «Currеnt Firmwаrе». Если они отличны друг от друга, то надо нажать кнопку «Upgrаdе». В случае, когда они идентичны, то предпринимать каких-либо действий не нужно.

Обратите внимание! После обновления программных компонентов и загрузки можно настроить аппарат

Что нужно сделать после настройки роутера «Микротик»

После завершения настройки маршрутизатора Mikrotik нужно обязательно убедиться в работоспособности сетевого оборудования и провести на Mikrotik анализ (мониторинг, зеркалирование) трафика, присутствуют ли ограничения скорости.

Обратите внимание! На внешних накопителях или встроенной памяти маршрутизатора рекомендуется хранить резервную копию настроек. Настройка роутеров Mikrotik не имеет принципиальных отличий в сравнении с другими маршрутизаторами

Если строго следовать прилагаемым пошаговым алгоритмам настройки, удастся самостоятельно и быстро провести подключение беспроводной точки доступа

Настройка роутеров Mikrotik не имеет принципиальных отличий в сравнении с другими маршрутизаторами. Если строго следовать прилагаемым пошаговым алгоритмам настройки, удастся самостоятельно и быстро провести подключение беспроводной точки доступа.

Почему winbox не видит Mikrotik по mac

Рассмотрим теперь ситуации, когда Микротик не виден в Winbox. Как я уже рассказывал выше, на микротике может быть банально отключена служба, которая отвечает на запросы по mac адресу. В таком случае, он не будет виден в списке найденных устройств. При этом, если вы знаете mac адрес микротика, вы сможете ввести его вручную и подключиться. Проверить, на каких интерфейсах вы можете обнаружить свой микротик по mac, можно в разделе IP -> Neighbors.

В данном примере микротик виден по mac на всех интерфейсах, кроме динамических. Так же некоторые новички не понимают, что для доступа по mac вы должны быть с устройством в одном широковещательном домене. Подробно я уже об этом рассказал в самом начале. Если между вами есть маршрутизатор, который работает на третьем уровне модели osi, вы не увидите друг друга по мак адресу. Это невозможно технически. В общем случае, конечно.

На некоторых устройствах прописан мак адрес порта на самом устройстве. Если не получается обнаружить микротик в сети, попробуйте вручную вбить этот адрес порта и подключиться напрямую. Только опять же, убедитесь, что вы с этим портом подключены в один и тот же свитч.

Иногда проблему с видимостью микротика по мак адресу можно решить просто удалив кэш winbox на компьютере. Можно на время переименовать папку C:\Users\user\AppData\Roaming\Mikrotik\Winbox, перезапустить утилиту и еще раз попробовать выполнить поиск соседей.

И еще одну проблему знаю, когда никак не получалось подключиться к одному очень старому микротику. Как оказалось, для него нужно было скачать какую-то старую версию winbox. И только через эту версию по mac адресу, введя его вручную, можно было подключиться к устройству.

Настройка контроллера MikroTik CAPsMAN

Как настроить роутер MikroTik для раздачи интернета мы останавливаться не будем. Это подробно описано в статье Простая настройка MikroTik с помощью QuickSet. Переходим к настройке CAPsMAN.

Сначала активируем CAPsMAN:

1. Откройте меню CAPsMAN и перейдите на вкладку Interfaces.
2. Нажмите кнопку Manager.
3. В появившемся окне поставьте галочку Enable.
4. Нажмите кнопку OK.

Выполняем настройку Wi-Fi канала:

1. Перейдите на вкладку Channels.
2. Нажмите синий плюсик.
3. В появившемся окне в поле Name укажите название канала. Я назвал его channel2, поскольку он будет для частоты 2,4ГГц. Для частоты 5ГГц я буду использовать название channel5.
4. В поле Width можете указать ширину канала 20Mhz. Ширина 40Mhz и 80Mhz пока не поддерживается. Мы оставили это поле пустым.
5. В поле Band укажите стандарты, в которых будет работать Wi-Fi точка. Для большей совместимости ставим стандарты b/g/n.
6. В поле Extension Channel указывается, в какую сторону от указанной частоты будет распределяться наш канал. Мы оставили это поле пустым.
7. В поле Tx Power укажите выходную мощность Wi-Fi, например, 20 dBm (100 мВт). Оставлять это поле пустым не желательно, поскольку в этом случае устройства будут работать на максимальной мощности, а это нужно далеко не всегда.
8. Нажмите кнопку OK.

У нас двухдиапазонные устройства, поэтому аналогичным образом настраиваем Wi-Fi канал для частоты 5ГГц. Если ваши устройства поддерживают только 2,4ГГц, то пропустите данный шаг.

В итоге получаем два канала: channel2 и channel5.

Настраиваем пароль для подключения к Wi-Fi сети:

1. Перейдите на вкладку Security Cfg.
2. Нажмите синий плюсик.
3. В появившемся окне в поле Name укажите название профиля. Мы оставили без изменения security1.
4. В поле Autentification Type укажите типа авторизации WPA2 PSK.
5. В Encryption выберите алгоритм aes ccm.
6. В списке Group Encryption выберите алгоритм aes ccm.
7. В поле Passphrase введите пароль для подключения к Wi-Fi точке.
8. Нажмите кнопку OK.

Настраиваем режим обработки данных Datapaths:

1. Перейдите на вкладку Datapaths
2. Нажмите синий плюсик.
3. В поле Name оставляем имя без изменения datapath1.
4. В списке Bridge выберите бридж интерфейс.
5. В поле Local Forwarding ничего не указываем, чтобы наша система работала в режиме Manager Forwarding Mode. Пару слов об этих режимах.В режиме Local Forwarding Mode обработка и перенаправление данных клиентов осуществляется непосредственно на Wi-Fi точках доступа, а не на роутере.В режиме Manager Forwarding Mode все данные клиентов передаются на роутер, где производится их обработка. В этом случае CAPsMAN полностью контролирует перенаправление данных, включая обмен данными между клиентами. Мне этот режим больше понравился, но он создает больше нагрузку на сеть и роутер.
6. Поставьте галочку Client To Client Forwarding, чтобы разрешить клиентам обмениваться данными друг с другом.
7. Нажмите OK.

Создаем новую конфигурацию для частоты 2,4ГГц.

1. Перейдите на вкладку Configurations.
2. Нажмите синий плюсик.
3. В появившемся окне на вкладке Wireless в поле Name укажите название конфигурации cfg2.
4. В списке Mode выберите режим работы ap — точка доступа.
5. В поле SSID укажите название Wi-Fi точки, например, mikrotik2.
6. Поставьте все галочки напротив HT Tx Chains и HT Rx Chains.

Перейдите на вкладку Channel и в списке Channel выберите наш канал на 2,4ГГц под названием channel2.

Перейдите на вкладку Datapath и выберите datapath1.

Перейдите на вкладку Security, укажите наш профиль безопасности security1 и нажмите кнопку OK.

По аналогии создайте новую конфигурацию для частоты 5ГГц. Если ваши устройства не поддерживают 5ГГц, то пропустите этот шаг.

В итоге получаем две конфигурации для 2,4 и 5ГГц.

Теперь необходимо настроить параметры развертывания Provisioning для частоты 2,4ГГц.

1. Откройте вкладку Provisioning.
2. Нажмите синий плюсик.
3. В списке Hw. Supported Modes выберите стандарты gn. Это означает, что указанная конфигурация будет применяться для устройств с поддержкой g и n стандартов, т.е. работающих на частоте 2,4ГГц.
4. В списке Action выберите create dynamic enabled, чтобы в контроллере CAPsMAN автоматически создавались интерфейсы подключаемых точек.
5. В списке Master Configuration выберите конфигурацию для 2,4ГГц, т.е. cfg2.
6. Нажмите OK.

Добавьте второе правило развертывания для частоты 5ГГц.

1. Нажмите синий плюсик.
2. В списке Hw. Supported Modes выберите стандарты an. Это означает, что указанная конфигурация будет применяться для устройств поддерживающих a и n стандарты, т.е. работающих на 5ГГц.
3. В списке Action выберите create enabled.
4. В списке Master Configuration выберите конфигурацию для 5ГГц, т.е. cfg5.
5. Нажмите OK.

Объединение портов в бридж

Еще одна особенность сетевого оборудования данного производителя – отсутствие предустановленных портов. Это означает, что LАN- и WАN-порты равнозначны между собой. Все незадействованные порты можно объединить в wifi и LAN «Микротик».

У Mikrotik проброс портов в локальную сеть осуществляется следующим образом:

1. Прежде всего нужно в разделе Bridgе создать новый мост1.
2. Базовые настройки нужно оставить дефолтными. После создания моста нужно перейти во вкладку «Pоrts» и нажать «+». Добавить в него все порты за исключением WАN.

Обратите внимание! Если все перечисленные действия были выполнены правильно, то доступные пользовательские интерфейсы будут соединены в единое пространство для использования всеми подключенными девайсами

Заключение

Я постарался разобрать все известные мне нюансы подключения к Mikrotik по Winbox. Некоторые вещи я вообще не знал и не задумывал о них долгое время работы с устройствами. Например, только недавно я разобрал тему с подключением по mac. Узнал, как им управлять, ограничивать, запрещать и т.д

До этого просто не обращал на это внимание и оставлял все по дефолту

Онлайн курсы по Mikrotik

Если у вас есть желание научиться работать с роутерами микротик и стать специалистом в этой области, рекомендую пройти курсы по программе, основанной на информации из официального курса MikroTik Certified Network Associate. Помимо официальной программы, в курсах будут лабораторные работы, в которых вы на практике сможете проверить и закрепить полученные знания. Все подробности на сайте .

Стоимость обучения весьма демократична, хорошая возможность получить новые знания в актуальной на сегодняшний день предметной области. Особенности курсов:

• Знания, ориентированные на практику;
• Реальные ситуации и задачи;
• Лучшее из международных программ.