Настройка Микротик RB951G-2HnD

Скорее всего вам уже наскучили мануалы в интернете, взятые под копирку, да ещё и с не настроенным фаерволом или инстансы которых базирующиеся на default config. В нашей инструкции мы покажем простую, но правильную настройку роутера Mikrotik RB951G-2HnD , а также расширим функционал устройства, не прибегая к его вскрытию или аппаратных изменений.

Обзор RB951G-2HnD

В студии сегодня легендарный Mikrotik RB951G-2HnD. Данная модель, является усовершенствованной RB951Ui-2Hnd. Это, по сути, один и тот же девайс, только с одним отличаем, вместо чипа коммутации Atheros8227 установлен Atheros8337. Помимо канальной скорости в 1Gb/s, мы ещё получаем дополнительные фишки на аппаратном уровне, а именно:

  • RX limit;
  • Host table 2048 вместо 1024;
  • Rule table в 92 правила;
  • По количеству vlan все стандартно – 4096.

Годами проверенный процессор Atheros AR9344 частотой в 600 Mhz и ОЗУ 128MB DDR2.

Давайте взглянем на блог диаграмму:

Просмотр устройства RB951G

Имеем 5 гигабитных портов, MIMO 2×2, ОЗУ, флешку, USB порт, индикатор, сигнализатор и в середине схемы ЦП. Скорость между свитч чипом и ЦП – 1Gb/s – имейте в виду, когда надумаете роутить трафик между портами или если захотите создать AP в связке с беспроводной карточкой и ethernet портом. В этом случае у вас все будет работать на скорости ЦП. Достаточно мощный роутер для Home office. Перейдём к настройке.

Если вы хотите углубить свои знания по работе с роутерами MikroTik, то наша команда рекомендует пройти курсы которые сделаны на основе MikroTik Certified Network Associate и расширены автором на основе опыта . Подробно читайте ниже.

Вводные данные

Mikrotik RB951G-2HnD;

Провайдером предоставляются услуги по PPoE;

Локальная сеть 192.168.0.0/24;

Правильно прошьём до версии RouterOS 6.47.3

Вот тут мы и прибегнем к маленькой хитрости – увеличим мощность wifi адаптера. Ну точнее — снимем ограничения через Netinstall. Дело в том, что с завода выпускаемые устройства для России лочатся по мощности, ну чтобы без проблем их ввозить в страну и продавать. Блокировка подразумевает уменьшение мощности до 100мВт и частот 2400 — 2483,5 МГц. Мы это ограничение снимем и получим 1Ват плюс весь доступный диапазон чипа. Прошиваем через NetInstall, в итоге получаем все, за что заплатили.

После прошивки подключаемся. Видим, что никаких настроек нет – это то, что нам нужно или Blank Config. Обязательно сравниваем версию BIOS и загрузчика в System — RoterBOARD. В моем случае они различаются. Жмём Upgrade и System — Reboot.

Сравниваем загрузчик и RouterOS

Настройка доступа в интернет WAN

Нам известно, что провайдер подаёт услугу по протоколу PPoE и подключён в ether1. С нашей стороны нужно настроить клиента. Но сначала, подпишем интерфейсы. Именно подпишем, а не изменим их название. Открываем вкладку Interfaces. Выделяем первый интерфейс и ставим комментарий.

Создание комментариев WAN интерфейса

Т.к. все оставшиеся интерфейсы будут объединены в bridge локальной сети, то зададим комментарий LAN только на ether2.

Создание комментариев LAN интерфейса

Теперь, наглядно понятно, кто куда относится. Создадим PPoE для выхода в интернет. Нажимаем на синий плюс, выбираем PPoE Client.

Выбор необходимого интерфейса

На основной вкладке задаём имя и интерфейс, с которого будет подключение.

Задаем имя интерфейсу PPoE

В Dial Out задаём логин пароль в соответствующих полях. Default Route Distance не трогаем, если не хотим изменить метрику маршрута «последней надежды». Service и AC Name меняем только в том случае, если хотим всегда подключаться к определённому серверу. Применяем настройки. Статус должен быть Connected.

Задаем основные настройки клиента PPoE

На вкладке статус видим полученный адрес — Local Address, количество разрывов — Link Downs, время жизни подключения – Uptime, а также Active Service Name и Active AC Name – это те параметры, которые можно жёстко указать в Dial Out, тогда девайс будет подключаться только к этому серверу.Просмотр статуса интернет подключения

Проверим корректность маршрутов IP – Routes. Маршрут выхода в интернет получил именно ту метрику, какую задали в свойствах клиентского подключения.

Просмотр полученных маршрутов

Почему у одной метрики значение 1, а у другой 2? Дело в том, что локально заданные адреса, будут всегда иметь наивысший приоритет 0 над другими.

Настройка коммутатора

Как известно, в терминологии Mikrotik, чтобы объединить интерфейсы в свитч, их нужно добавить в мост. В меню Bridge создадим мост для локальной сети.

Создание основного бриджа

Добавим в него интерфейсы ether2-5, wlan1 через синий плюс, ничего не меняя.

Настройка General-Bridge.

Далее навесим IP адрес локальной сети. IP – Address. В списке можно заметить полученный адрес от провайдера.

Конфигурирование IP адреса для бриджа

После применения, должен появится новый адрес в списке.

Список IP адресов

DNS

Чтобы внутренние устройства могли разрешать имена в адреса, необходимо сконфигурировать IP – DNS:

  • Указываем адреса в Servers;
  • Разрешаем удалённые запросы;
  • Изменяем время жизни в кэше.

Включаем DNS сервер

Через кнопку Static можно задать статические записи, которые никогда не будут удаляться, даже после ребута. Посмотреть кэш можно в DNS Cache, очистить его Flush Cache – удалятся все не статические записи.

Просмотр кэша и создание статических записей DNS

NAT

Заветная кнопка, которая выпускает пользователей в интернет IP – Firewall – NAT. Создаём правило маскардинга:

  • Цепочка — src-nat;
  • Src. Address – 192.168.0.0/24;
  • Out. Interface – ISP WAN.

Задаем параметры NAT правила

Action – masquerade.

Настройка masquerade

А теперь прочтём правило: если есть пакеты, исходящие с сети 192.168.0.0/24 в неизвестном направлении, то отправляем их через интерфейс ISP-WAN подменяя адрес, который имеется на внешнем интерфейсе.

Если у вас статический адрес от провайдера, то вы можете оптимизировать нагрузку использовав вместо masquerade – src-nat указав внешний IP, в моем случае это 10.200.143.124.

Отличие masquerade от src-nat не только в этом. Когда Mikrotik пропускает новое соединение через себя, он проверяет, какой адрес задан на Out Interface, берет самый младший, подставляет его и отправляет наружу. И так с каждым новым соединением. Помимо этого, если у вас дёрнется WAN интерфейс и стоит masquerade, то все соединения с Connection Tracker удалятся, т.е. все сессии будут закрыты, и пользователь сразу это заметит. В случае src-nat вы можете регулировать какой адрес подставлять, если их несколько, и не разрывает соединения в случае кратковременного падения WAN.

Настройка параметров src-nat

Если вы в процессе траблшутинга не хотите в дампе видеть не понятный трафик, то рекомендую отключать всяческие хелперы. По опыту работы замечались проблемы с голосом, проходящим через NAT.

Список хелперов Mikrotik

Interface List

Замечательный функционал, который позволяет создавать именованные листы. Далее вы можете их использовать при настройке firewall или конфигурировании доступа к устройству. Есть дефолтные, но мы создадим свой собственный.

Создаем именованный Interface List

Далее добавляем интерфейсы в лист. В дальнейшем он нам пригодиться.

Добавляем интерфейсы

Настройка DHCP Server

К счастью, есть DHCP Setup, который запустит довольно удобный мастер настройки DHCP сервера.

Открытие мастера конфигурирования DHCP

Выбираем интерфейс, на котором будет работать служба.

Указываем интерфейс DHCP

Мастер автоматически определит необходимую подсеть. Он ориентируется на заданный адрес и маску подсети выбранного интерфейса. Если у вас более одного адреса, мастер может сработать не корректно.

Задаем Address Space

Далее зададим шлюз для данной сети.

Default Gateway

Указываем выдаваемый пул.

Назначаем IP диапазон для аренды

Какой DNS сервер раздавать. Можно указать несколько. Я предпочитаю указывать адрес шлюза.

Укажем DNS выдаваемый сервер

Последний этап, время жизни аренды. Предпочитаю менять с 10 минут до 1 дня. В случае, если нужно узнать, когда подключалось устройство к сети, поможет данный счётчик в таблице выданных адресов.

Срок аренды адреса

В таблице серверов мы видим сервер с именем dhcp1 на интерфейсе General-Bridge, время аренды 1 день и имя пула dhcp_pool0. Вы можете изменить имена пула и сервера для удобства администрирования в IP – Pool и щелкнув 2 раза по имени инстанса.

Список DHCP серверов

Перейдя на вкладку аренды, мы увидим устройство, которое 30 секунд назад получило адрес.

Список активных аренд

Зарезервировать адрес можно нажав ПКМ – Make Static.

Зарезервируем адрес за MAC

После активирования резервации, обязательно удаляйте Client ID щёлкнув на стрелочку в свойствах выбранного адреса. Иногда он может меняться, особенно на FreeBSD.

Корректная настройка резервации

Настройка WiFi

Девайс имеет одну физическую карточку и будет выступать в качестве точки доступа. Ранее мы добавили wlan1 в основной бридж. С чего начинается настройка wifi? Правильно, с Security Profiles, открываем и создаём новый.

Не используйте default профили, лучше создайте новый

Конфигурация WiFi профиля безопасности

После сохранения, открываем свойства адаптера и включаем Advanced Mode.

Расширенные настройки WiFi адаптера

Задаём параметры:

  • Режим работы – точка доступа;
  • Протоколы – G и N;
  • Частота;
  • Название сети;
  • Протокол беспроводной сети;
  • Созданный на прошлом шаге профиль безопасности;
  • Режим частоты;
  • Страна.

В принципе, предпоследний пункт выбирать не нужно. Его выбирают если хотят юзать не стандартные частоты для страны. Самая последняя галочка должна быть установлена. Если она отсутствует, то ни одно устройство не сможет подключиться к сети, если его нет в Access List.

Настройка Access Point Mikrotik

Пару слов о WPS Mode. Режим Push button сработает если на девайсе есть физическая кнопка, если ее нет, то выбираем virtual push button only. Так же можно отключить функционал.

Проверим, все ли антенны включены, применим настройки и включим адаптер.

Включаем все антенны

Расширенные настройки безопасности

Чтобы защитить роутер от нежелательной прослушки, отключим ненужные сервисы и трафик, который шлет девайс, пытая всех вокруг уведомить своим присутствием. Сперва отключим не нужные службы и немного кастомизируем их. Переходим в IP – Services. Видим список активных служб. Отключаем то, что не собираемся использовать.

Список сервисов Mikrotik

И изменим дефолтные значения двойным кликом по каждому. Порты Winbox и SSH я изменил на не стандартные, а на веб-интерфейс разрешил ходить только с локальной сети – это первый контур безопасности для www.

Настройка сервисов Mikrotik

Далее отключим аналог CDP на Mirkotik. Тот самый трафик, который выдаёт наш роутер. Скажем что можно слать его, только в интерфейс лист LAN созданный ранее.

Отключим соседей для WAN

Далее открываем MAC Server. Разрешаем подключаться по MAC Winbox и MAC Telnet только с листа LAN, а MAC Ping запрещаем вовсе.

Дополнительные настройки безопасности

Теперь мы спрятали роутер от чужих глаз. Но на этом не все. Нужно сделать дополнительный контур безопасности.

Базовая настройка Firewall

Ранее мы оптимизировали отправку служебного трафика и порты для служб, но этого недостаточно для базовой защиты девайса. Мы не будем погружаться в тонкости фильтрации, просто покажу самый обычный фаерволл.

Вся настройка у rb951g 2hnd находится в Filter Rules. Порядок следования правил имеет значение, чем меньше цифра, тем выше приоритет. Рекомендуется более узкие правила ставить выше общих. Данная конфигурация разрешает новые входящие соединения для изменённых портов SSH, Winbox, DNS и HTTP трафик из локальной сети (второй контур безопасности), устоявшиеся и связанные соединения, ну и в конце, мы убиваем весь входящий трафик. Т.е. если входящий трафик не соответствует ни одному из правил, то убить пакет.

Правило для пересылки очень простое – форвардим весь трафик через FastTrack. Это полезная фича, которая позволяет пересылать пакеты не по всей цепочке Packetflow Diagram, что в совокупности ускоряет обмен данными и разгружает девайс. В Mangle появятся соответствующие правила маркировки.

Базовые правила Firewall Mikrotik

Вышеописанную логику можно применить следующими командами:

/ip firewall filter

add action=accept chain=input comment=IN-SSH-Allow connection-state=new dst-port=5222 protocol=tcp

add action=accept chain=input comment=IN-Winbox-Allow connection-state=new dst-port=58291 protocol=tcp

add action=accept chain=input comment=IN-DNS-from-LAN-Allow dst-port=53 protocol=udp src-address=192.168.0.0/24

add action=accept chain=input comment=IN-Web-from-LAN-Allow connection-state=new dst-port=80 protocol=tcp src-address=192.168.0.0/24

add action=accept chain=input comment=IN-EST-REL-Allow connection-state=established,related

add action=drop chain=input comment=IN-ALL-Drop

add action=fasttrack-connection chain=forward comment=Enable-Fasttrack src-address=192.168.0.0/24

Резервная копия конфигурации и устройства

Делаем правильный бэкап. Мы можем сделать 2 вида бэкапа. Первый – экспорт конфигурации, второй – полный слепок устройства. Разница между первым и втором – экспорт можно загрузить в любой девайс, второй – только на этот же самый роутер.

Сделаем выгрузку через консоль с помощью команды export file=BK-Export

Экспорт конфига

В файлах появится выгрузка с типом script. Его можно открыть текстовым редактором.

Проверяем экспорт конфига

Здесь же, по кнопке Backup можно создать полный слепок, обязательно задаем пароль.

Создание полного бэкапа Mikrotik

Оба файла копируем на ПК или внешний диск и удаляем с устройства. Хранить бэкапы на устройстве – плохая идея! Да статья конечно получилась длинна но в ней мы затронули все аспекты по настройке mikrotik rb951g 2hnd, привели его характеристики, прошивку и все что нужно знать когда вы берете его в руки.

Удачных конфигураций.

89 вопросов по настройке MikroTik

Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдёте для себя полезную информацию в курсе «Настройка оборудования MikroTik». 162 видеоурока, большая лабораторная работа и 89 вопросов, на каждый из которых вы будете знать ответ. Подробности и доступ к началу курса бесплатно тут.

Оцените статью
MikroTikLab
Добавить комментарий

восемнадцать + три =

Adblock detector