Скорее всего вам уже наскучили мануалы в интернете, взятые под копирку, да ещё и с не настроенным фаерволом или инстансы которых базирующиеся на default config. В нашей инструкции мы покажем простую, но правильную настройку роутера Mikrotik RB951G-2HnD , а также расширим функционал устройства, не прибегая к его вскрытию или аппаратных изменений.
Обзор RB951G-2HnD
В студии сегодня легендарный Mikrotik RB951G-2HnD. Данная модель, является усовершенствованной RB951Ui-2Hnd. Это, по сути, один и тот же девайс, только с одним отличаем, вместо чипа коммутации Atheros8227 установлен Atheros8337. Помимо канальной скорости в 1Gb/s, мы ещё получаем дополнительные фишки на аппаратном уровне, а именно:
- RX limit;
- Host table 2048 вместо 1024;
- Rule table в 92 правила;
- По количеству vlan все стандартно – 4096.
Годами проверенный процессор Atheros AR9344 частотой в 600 Mhz и ОЗУ 128MB DDR2.
Давайте взглянем на блог диаграмму:
Имеем 5 гигабитных портов, MIMO 2×2, ОЗУ, флешку, USB порт, индикатор, сигнализатор и в середине схемы ЦП. Скорость между свитч чипом и ЦП – 1Gb/s – имейте в виду, когда надумаете роутить трафик между портами или если захотите создать AP в связке с беспроводной карточкой и ethernet портом. В этом случае у вас все будет работать на скорости ЦП. Достаточно мощный роутер для Home office. Перейдём к настройке.
Вводные данные
Mikrotik RB951G-2HnD;
Провайдером предоставляются услуги по PPoE;
Локальная сеть 192.168.0.0/24;
Правильно прошьём до версии RouterOS 6.47.3
Вот тут мы и прибегнем к маленькой хитрости – увеличим мощность wifi адаптера. Ну точнее — снимем ограничения через Netinstall. Дело в том, что с завода выпускаемые устройства для России лочатся по мощности, ну чтобы без проблем их ввозить в страну и продавать. Блокировка подразумевает уменьшение мощности до 100мВт и частот 2400 — 2483,5 МГц. Мы это ограничение снимем и получим 1Ват плюс весь доступный диапазон чипа. Прошиваем через NetInstall, в итоге получаем все, за что заплатили.
После прошивки подключаемся. Видим, что никаких настроек нет – это то, что нам нужно или Blank Config. Обязательно сравниваем версию BIOS и загрузчика в System — RoterBOARD. В моем случае они различаются. Жмём Upgrade и System — Reboot.
Настройка доступа в интернет WAN
Нам известно, что провайдер подаёт услугу по протоколу PPoE и подключён в ether1. С нашей стороны нужно настроить клиента. Но сначала, подпишем интерфейсы. Именно подпишем, а не изменим их название. Открываем вкладку Interfaces. Выделяем первый интерфейс и ставим комментарий.
Т.к. все оставшиеся интерфейсы будут объединены в bridge локальной сети, то зададим комментарий LAN только на ether2.
Теперь, наглядно понятно, кто куда относится. Создадим PPoE для выхода в интернет. Нажимаем на синий плюс, выбираем PPoE Client.
На основной вкладке задаём имя и интерфейс, с которого будет подключение.
В Dial Out задаём логин пароль в соответствующих полях. Default Route Distance не трогаем, если не хотим изменить метрику маршрута «последней надежды». Service и AC Name меняем только в том случае, если хотим всегда подключаться к определённому серверу. Применяем настройки. Статус должен быть Connected.
На вкладке статус видим полученный адрес — Local Address, количество разрывов — Link Downs, время жизни подключения – Uptime, а также Active Service Name и Active AC Name – это те параметры, которые можно жёстко указать в Dial Out, тогда девайс будет подключаться только к этому серверу.
Проверим корректность маршрутов IP – Routes. Маршрут выхода в интернет получил именно ту метрику, какую задали в свойствах клиентского подключения.
Почему у одной метрики значение 1, а у другой 2? Дело в том, что локально заданные адреса, будут всегда иметь наивысший приоритет 0 над другими.
Настройка коммутатора
Как известно, в терминологии Mikrotik, чтобы объединить интерфейсы в свитч, их нужно добавить в мост. В меню Bridge создадим мост для локальной сети.
Добавим в него интерфейсы ether2-5, wlan1 через синий плюс, ничего не меняя.
.
Далее навесим IP адрес локальной сети. IP – Address. В списке можно заметить полученный адрес от провайдера.
После применения, должен появится новый адрес в списке.
DNS
Чтобы внутренние устройства могли разрешать имена в адреса, необходимо сконфигурировать IP – DNS:
- Указываем адреса в Servers;
- Разрешаем удалённые запросы;
- Изменяем время жизни в кэше.
Через кнопку Static можно задать статические записи, которые никогда не будут удаляться, даже после ребута. Посмотреть кэш можно в DNS Cache, очистить его Flush Cache – удалятся все не статические записи.
NAT
Заветная кнопка, которая выпускает пользователей в интернет IP – Firewall – NAT. Создаём правило маскардинга:
- Цепочка — src-nat;
- Src. Address – 192.168.0.0/24;
- Out. Interface – ISP WAN.
Action – masquerade.
А теперь прочтём правило: если есть пакеты, исходящие с сети 192.168.0.0/24 в неизвестном направлении, то отправляем их через интерфейс ISP-WAN подменяя адрес, который имеется на внешнем интерфейсе.
Если у вас статический адрес от провайдера, то вы можете оптимизировать нагрузку использовав вместо masquerade – src-nat указав внешний IP, в моем случае это 10.200.143.124.
Отличие masquerade от src-nat не только в этом. Когда Mikrotik пропускает новое соединение через себя, он проверяет, какой адрес задан на Out Interface, берет самый младший, подставляет его и отправляет наружу. И так с каждым новым соединением. Помимо этого, если у вас дёрнется WAN интерфейс и стоит masquerade, то все соединения с Connection Tracker удалятся, т.е. все сессии будут закрыты, и пользователь сразу это заметит. В случае src-nat вы можете регулировать какой адрес подставлять, если их несколько, и не разрывает соединения в случае кратковременного падения WAN.
Если вы в процессе траблшутинга не хотите в дампе видеть не понятный трафик, то рекомендую отключать всяческие хелперы. По опыту работы замечались проблемы с голосом, проходящим через NAT.
Interface List
Замечательный функционал, который позволяет создавать именованные листы. Далее вы можете их использовать при настройке firewall или конфигурировании доступа к устройству. Есть дефолтные, но мы создадим свой собственный.
Далее добавляем интерфейсы в лист. В дальнейшем он нам пригодиться.
Настройка DHCP Server
К счастью, есть DHCP Setup, который запустит довольно удобный мастер настройки DHCP сервера.
Выбираем интерфейс, на котором будет работать служба.
Мастер автоматически определит необходимую подсеть. Он ориентируется на заданный адрес и маску подсети выбранного интерфейса. Если у вас более одного адреса, мастер может сработать не корректно.
Далее зададим шлюз для данной сети.
Указываем выдаваемый пул.
Какой DNS сервер раздавать. Можно указать несколько. Я предпочитаю указывать адрес шлюза.
Последний этап, время жизни аренды. Предпочитаю менять с 10 минут до 1 дня. В случае, если нужно узнать, когда подключалось устройство к сети, поможет данный счётчик в таблице выданных адресов.
В таблице серверов мы видим сервер с именем dhcp1 на интерфейсе General-Bridge, время аренды 1 день и имя пула dhcp_pool0. Вы можете изменить имена пула и сервера для удобства администрирования в IP – Pool и щелкнув 2 раза по имени инстанса.
Перейдя на вкладку аренды, мы увидим устройство, которое 30 секунд назад получило адрес.
Зарезервировать адрес можно нажав ПКМ – Make Static.
После активирования резервации, обязательно удаляйте Client ID щёлкнув на стрелочку в свойствах выбранного адреса. Иногда он может меняться, особенно на FreeBSD.
Настройка WiFi
Девайс имеет одну физическую карточку и будет выступать в качестве точки доступа. Ранее мы добавили wlan1 в основной бридж. С чего начинается настройка wifi? Правильно, с Security Profiles, открываем и создаём новый.
Не используйте default профили, лучше создайте новый
После сохранения, открываем свойства адаптера и включаем Advanced Mode.
Задаём параметры:
- Режим работы – точка доступа;
- Протоколы – G и N;
- Частота;
- Название сети;
- Протокол беспроводной сети;
- Созданный на прошлом шаге профиль безопасности;
- Режим частоты;
- Страна.
В принципе, предпоследний пункт выбирать не нужно. Его выбирают если хотят юзать не стандартные частоты для страны. Самая последняя галочка должна быть установлена. Если она отсутствует, то ни одно устройство не сможет подключиться к сети, если его нет в Access List.
Пару слов о WPS Mode. Режим Push button сработает если на девайсе есть физическая кнопка, если ее нет, то выбираем virtual push button only. Так же можно отключить функционал.
Проверим, все ли антенны включены, применим настройки и включим адаптер.
Расширенные настройки безопасности
Чтобы защитить роутер от нежелательной прослушки, отключим ненужные сервисы и трафик, который шлет девайс, пытая всех вокруг уведомить своим присутствием. Сперва отключим не нужные службы и немного кастомизируем их. Переходим в IP – Services. Видим список активных служб. Отключаем то, что не собираемся использовать.
И изменим дефолтные значения двойным кликом по каждому. Порты Winbox и SSH я изменил на не стандартные, а на веб-интерфейс разрешил ходить только с локальной сети – это первый контур безопасности для www.
Далее отключим аналог CDP на Mirkotik. Тот самый трафик, который выдаёт наш роутер. Скажем что можно слать его, только в интерфейс лист LAN созданный ранее.
Далее открываем MAC Server. Разрешаем подключаться по MAC Winbox и MAC Telnet только с листа LAN, а MAC Ping запрещаем вовсе.
Теперь мы спрятали роутер от чужих глаз. Но на этом не все. Нужно сделать дополнительный контур безопасности.
Базовая настройка Firewall
Ранее мы оптимизировали отправку служебного трафика и порты для служб, но этого недостаточно для базовой защиты девайса. Мы не будем погружаться в тонкости фильтрации, просто покажу самый обычный фаерволл.
Вся настройка у rb951g 2hnd находится в Filter Rules. Порядок следования правил имеет значение, чем меньше цифра, тем выше приоритет. Рекомендуется более узкие правила ставить выше общих. Данная конфигурация разрешает новые входящие соединения для изменённых портов SSH, Winbox, DNS и HTTP трафик из локальной сети (второй контур безопасности), устоявшиеся и связанные соединения, ну и в конце, мы убиваем весь входящий трафик. Т.е. если входящий трафик не соответствует ни одному из правил, то убить пакет.
Правило для пересылки очень простое – форвардим весь трафик через FastTrack. Это полезная фича, которая позволяет пересылать пакеты не по всей цепочке Packetflow Diagram, что в совокупности ускоряет обмен данными и разгружает девайс. В Mangle появятся соответствующие правила маркировки.
Вышеописанную логику можно применить следующими командами:
/ip firewall filter
add action=accept chain=input comment=IN-SSH-Allow connection-state=new dst-port=5222 protocol=tcp
add action=accept chain=input comment=IN-Winbox-Allow connection-state=new dst-port=58291 protocol=tcp
add action=accept chain=input comment=IN-DNS-from-LAN-Allow dst-port=53 protocol=udp src-address=192.168.0.0/24
add action=accept chain=input comment=IN-Web-from-LAN-Allow connection-state=new dst-port=80 protocol=tcp src-address=192.168.0.0/24
add action=accept chain=input comment=IN-EST-REL-Allow connection-state=established,related
add action=drop chain=input comment=IN-ALL-Drop
add action=fasttrack-connection chain=forward comment=Enable-Fasttrack src-address=192.168.0.0/24
Резервная копия конфигурации и устройства
Делаем правильный бэкап. Мы можем сделать 2 вида бэкапа. Первый – экспорт конфигурации, второй – полный слепок устройства. Разница между первым и втором – экспорт можно загрузить в любой девайс, второй – только на этот же самый роутер.
Сделаем выгрузку через консоль с помощью команды export file=BK-Export
В файлах появится выгрузка с типом script. Его можно открыть текстовым редактором.
Здесь же, по кнопке Backup можно создать полный слепок, обязательно задаем пароль.
Оба файла копируем на ПК или внешний диск и удаляем с устройства. Хранить бэкапы на устройстве – плохая идея! Да статья конечно получилась длинна но в ней мы затронули все аспекты по настройке mikrotik rb951g 2hnd, привели его характеристики, прошивку и все что нужно знать когда вы берете его в руки.
Удачных конфигураций.
