Настройка MikroTik RB951Ui-2HnD: Полная инструкция

Сегодня мы настроим шаг за шагов легендарный Mikrotik RB951Ui-2Hnd. Это отец 951G, разница у них только в скоростях портов, все остальное один в один. Работать он у нас будет в режиме «кухонного комбайна» то есть все что нужно мы на него прикрутим.

Содержание

Прошивка
DNS
DHCP
Выход в интернет и NAT
Настройка WiFi
Настройка Firewall

Прошивка

Первым делом рекомендуется обновить девайс до RouterOS 6.48.3. В ней исправили уязвимость в wireless «FragAttacks» (CVE-2020-24587, CVE-2020-24588, CVE-2020-26144, CVE-2020-26146, CVE-2020-26147);

Сделать вы можете это разными способами, но рекомендуем через NetInstall (снимает блокировку на мощность карточки WiFi)

Наша команда рекомендует изучитьНаша команда рекомендует изучить углубленный курс по администрированию сетевых устройств MikroTik В курсе много лабораторных работ по итогам которых вы получите обратную связь. После обучения вы получите диплом гос. образца РФ. Подробности и доступ к началу курса бесплатно тут.

DNS

Для разрешения имён мы используем всеми известную службу Domain Name System. Но в данной статье мы сделаем преобразование более защищённым. Начиная с RouterOS 6.47 появилась возможность использования DoH (DNS over HTTPS). Теперь все ваши запросы будут идти не в открытом виде, а зашифрованные с помощью HTTPS, что в свою очередь скрывает от чужих глаз ваш трафик. Список публичных DoH серверов можно посмотреть на github. В демонстрации будем использовать от CloudFlare:

Указываем данный URL в Use DoH Server и ставим галочку Verify DoH Certificate.

Посмотрите внимательно на данную настройку. Есть нюансы:

Использовать можно только 1 DoH;
Т.к. мы используем URL, то адрес CloudFlare нужно отрезолвить, для этого мы указываем 1.0.0.1;
Для верификации сертификата провайдера, нужен публичный ключ глобального CA, для CloudFlare это DigiCert Global Root CA. Скачиваем DigiCert pem и импортируем в Mikrotik.

DHCP

Настроим раздачу IP адресов. Но для начала нам нужно собрать Bridge и определиться, через какой порт будет доступен провайдер, предлагаю по стандарту через 1-ый. Открываем Bridge, жмем на плюсик и указываем имя.

Далее добавляем порты с 2 по wlan1.

Зададим адрес в локальной сети для микротика.

И запускаем мастер DHCP-конфигурации, в котором укажем что хотим навесить его на BridgeLAN.

На следующем шаге сверяем что Address Space верный.

Проверяем что шлюзом в сети будет адрес микротика в локальной сети.

Задаём выдаваемый пул адресов.

На следующем шаге меняем DNS адрес на микротик в локальной сети.

Время аренды можете не менять, но тут по желанию.

Убедимся, что DHCP сервер создался корректно.

Выход в интернет и NAT

Провайдером в моей лаборатории будет домашний роутер. Предоставлять доступ через динамический адрес. Так же данная настройка подойдёт и для людей с выходом IPoE. Открываем меню DHCP-Client, создаём новый на первом интерфейсе, настройки оставляем по умолчанию.

Проверяем что мы получили адрес и можем пропинговать ya.ru

Если по каким-либо причинам, разрешение имён у вас не работает, то можете перейти на классическое преобразование, отключив DoH.

Для того чтобы клиенты ЛВС имели выход в интернет, необходимо создать правило IP-Firewall-NAT, в котором говорим, что, если src. Address из сети 192.168.1.0/24, то выпускать трафик через ether1.

На вкладке Action говорим, что делаем masquerade. Сохраняем правило.

Настройка WiFi

Mirtotik RB961Ui-2Hnd оснащён не плохим чипом, но имеет поддержку только 2,4 Ггц. Настроим его в режиме точки доступа, именем сети Test и паролем 12345678. Чтобы задать пароль, нужно создать Security Profile:

Имя профиля;
Mode – dynamic keys;
Authentication Types – WPA PSK, WPA2 PSK (если есть возможность использоваться только WPA2, то отключайте WPA);
Сам пароль от сети.

Далее переходим к настройке самой точки. Переходим в WiFi Interfaces и открываем свойства единственного wlan1. Активируем Advanced Mode.

Переходим во вкладку Wireless и задаём настройки согласно скриншоту.

Жмём Apply и Enable.

Настройка Firewall

Ниже приведён конфиг среднестатистического Mikrotik, у которого разрешён:

Входящий SSH, Winbox порты с любых адресов;
WEB доступ только с сети 192.168.1.0/24;
DNS трафик с сети 192.168.1.0/24;
Соединения established и related.

/ip firewall filter
add action=accept chain=input comment=in_Winbox&SSH-Allow connection-state=new dst-port=22,8291 protocol=tcp
add action=accept chain=input comment=in-WEB-from-LAN connection-state=new dst-port=80 protocol=tcp src-address=192.168.1.0/24
add action=accept chain=input comment=in-DNS-from-LAN dst-port=53 protocol=udp src-address=192.168.1.0/24
add action=accept chain=input comment=in-E&R-Allow connection-state=established,related
add action=drop chain=input comment=in-All-Drop

Последняя строчка запрещает весь остальной входящий трафик на роутер. Я попытался внести небольшую изюминку в настройку микротика rb951ui-2hnd, но в общем нет разницы что за роутер, они все работают на операционной системе RouterOS, так что конфигурирование у всех будет одинаковое.

Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдете для себя полезную информацию в углубленном курсе «Администрирование сетевых устройств MikroTik». В курсе много практических лабораторных работ по результату выполнения которых вы получите обратную связь. После окончания обучения вы получите диплом гос. образца РФ. Подробности и доступ к началу курса бесплатно тут.