Сегодня мы настроим шаг за шагов легендарный Mikrotik RB951Ui-2Hnd. Это отец 951G, разница у них только в скоростях портов, все остальное один в один. Работать он у нас будет в режиме «кухонного комбайна» то есть все что нужно мы на него прикрутим.
Прошивка
Первым делом рекомендуется обновить девайс до RouterOS 6.48.3. В ней исправили уязвимость в wireless «FragAttacks» (CVE-2020-24587, CVE-2020-24588, CVE-2020-26144, CVE-2020-26146, CVE-2020-26147);
Сделать вы можете это разными способами, но рекомендуем через NetInstall (снимает блокировку на мощность карточки WiFi)
DNS
Для разрешения имён мы используем всеми известную службу Domain Name System. Но в данной статье мы сделаем преобразование более защищённым. Начиная с RouterOS 6.47 появилась возможность использования DoH (DNS over HTTPS). Теперь все ваши запросы будут идти не в открытом виде, а зашифрованные с помощью HTTPS, что в свою очередь скрывает от чужих глаз ваш трафик. Список публичных DoH серверов можно посмотреть на github. В демонстрации будем использовать от CloudFlare:
Указываем данный URL в Use DoH Server и ставим галочку Verify DoH Certificate.
Посмотрите внимательно на данную настройку. Есть нюансы:
- Использовать можно только 1 DoH;
- Т.к. мы используем URL, то адрес CloudFlare нужно отрезолвить, для этого мы указываем 1.0.0.1;
- Для верификации сертификата провайдера, нужен публичный ключ глобального CA, для CloudFlare это DigiCert Global Root CA. Скачиваем DigiCert pem и импортируем в Mikrotik.
DHCP
Настроим раздачу IP адресов. Но для начала нам нужно собрать Bridge и определиться, через какой порт будет доступен провайдер, предлагаю по стандарту через 1-ый. Открываем Bridge, жмем на плюсик и указываем имя.
Далее добавляем порты с 2 по wlan1.
Зададим адрес в локальной сети для микротика.
И запускаем мастер DHCP-конфигурации, в котором укажем что хотим навесить его на BridgeLAN.
На следующем шаге сверяем что Address Space верный.
Проверяем что шлюзом в сети будет адрес микротика в локальной сети.
Задаём выдаваемый пул адресов.
На следующем шаге меняем DNS адрес на микротик в локальной сети.
Время аренды можете не менять, но тут по желанию.
Убедимся, что DHCP сервер создался корректно.
Выход в интернет и NAT
Провайдером в моей лаборатории будет домашний роутер. Предоставлять доступ через динамический адрес. Так же данная настройка подойдёт и для людей с выходом IPoE. Открываем меню DHCP-Client, создаём новый на первом интерфейсе, настройки оставляем по умолчанию.
Проверяем что мы получили адрес и можем пропинговать ya.ru
Если по каким-либо причинам, разрешение имён у вас не работает, то можете перейти на классическое преобразование, отключив DoH.
Для того чтобы клиенты ЛВС имели выход в интернет, необходимо создать правило IP-Firewall-NAT, в котором говорим, что, если src. Address из сети 192.168.1.0/24, то выпускать трафик через ether1.
На вкладке Action говорим, что делаем masquerade. Сохраняем правило.
Настройка WiFi
Mirtotik RB961Ui-2Hnd оснащён не плохим чипом, но имеет поддержку только 2,4 Ггц. Настроим его в режиме точки доступа, именем сети Test и паролем 12345678. Чтобы задать пароль, нужно создать Security Profile:
- Имя профиля;
- Mode – dynamic keys;
- Authentication Types – WPA PSK, WPA2 PSK (если есть возможность использоваться только WPA2, то отключайте WPA);
- Сам пароль от сети.
Далее переходим к настройке самой точки. Переходим в WiFi Interfaces и открываем свойства единственного wlan1. Активируем Advanced Mode.
Переходим во вкладку Wireless и задаём настройки согласно скриншоту.
Жмём Apply и Enable.
Настройка Firewall
Ниже приведён конфиг среднестатистического Mikrotik, у которого разрешён:
- Входящий SSH, Winbox порты с любых адресов;
- WEB доступ только с сети 192.168.1.0/24;
- DNS трафик с сети 192.168.1.0/24;
- Соединения established и related.
/ip firewall filter
add action=accept chain=input comment=in_Winbox&SSH-Allow connection-state=new dst-port=22,8291 protocol=tcp
add action=accept chain=input comment=in-WEB-from-LAN connection-state=new dst-port=80 protocol=tcp src-address=192.168.1.0/24
add action=accept chain=input comment=in-DNS-from-LAN dst-port=53 protocol=udp src-address=192.168.1.0/24
add action=accept chain=input comment=in-E&R-Allow connection-state=established,related
add action=drop chain=input comment=in-All-Drop
Последняя строчка запрещает весь остальной входящий трафик на роутер. Я попытался внести небольшую изюминку в настройку микротика rb951ui-2hnd, но в общем нет разницы что за роутер, они все работают на операционной системе RouterOS, так что конфигурирование у всех будет одинаковое.
89 вопросов по настройке MikroTik
Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдете для себя полезную информацию в курсе «Настройка оборудования MikroTik». 162 видеоурока, большая лабораторная работа и 89 вопросов, на каждый из которых вы будете знать ответ. Подробности и доступ к началу курса бесплатно тут.
