Настройка MikroTik RB951Ui-2HnD

mikrotik лежит на столе
Сегодня мы настроим шаг за шагов легендарный Mikrotik RB951Ui-2Hnd. Это отец 951G, разница у них только в скоростях портов, все остальное один в один. Работать он у нас будет в режиме «кухонного комбайна» то есть все что нужно мы на него прикрутим.
Прошивка
Первым делом рекомендуется обновить девайс до RouterOS 6.48.3. В ней исправили уязвимость в wireless «FragAttacks» (CVE-2020-24587, CVE-2020-24588, CVE-2020-26144, CVE-2020-26146, CVE-2020-26147);
Сделать вы можете это разными способами, но рекомендуем через NetInstall (снимает блокировку на мощность карточки WiFi)
РЕКОМЕНДАЦИЯ
Наша команда советует изучить углубленный курс по администрированию сетевых устройств MikroTik.
В курсе много лабораторных работ по итогам которых вы получите обратную связь.
После обучения вы получите диплом гос. образца РФ. Подробности и доступ к началу курса бесплатно тут.
DNS
Для разрешения имён мы используем всеми известную службу Domain Name System. Но в данной статье мы сделаем преобразование более защищённым. Начиная с RouterOS 6.47 появилась возможность использования DoH (DNS over HTTPS). Теперь все ваши запросы будут идти не в открытом виде, а зашифрованные с помощью HTTPS, что в свою очередь скрывает от чужих глаз ваш трафик. Список публичных DoH серверов можно посмотреть на github. В демонстрации будем использовать от CloudFlare:
Указываем данный URL в Use DoH Server и ставим галочку Verify DoH Certificate.
настройка DoH на Mikrotik RB951Ui-2HnD
Посмотрите внимательно на данную настройку. Есть нюансы:
  • Использовать можно только 1 DoH;
  • Т.к. мы используем URL, то адрес CloudFlare нужно отрезолвить, для этого мы указываем 1.0.0.1;
  • Для верификации сертификата провайдера, нужен публичный ключ глобального CA, для CloudFlare это DigiCert Global Root CA. Скачиваем DigiCert pem и импортируем в Mikrotik.
импорт pem файлов на Mikrotik
DHCP
Настроим раздачу IP адресов. Но для начала нам нужно собрать Bridge и определиться, через какой порт будет доступен провайдер, предлагаю по стандарту через 1-ый. Открываем Bridge, жмем на плюсик и указываем имя.
настройка Mikrotik RB951Ui-2HnD
Далее добавляем порты с 2 по wlan1.
курс по микротик
добавление интерфейсов в BridgeLAN
Зададим адрес в локальной сети для микротика.
добавим IP адрес на BridgeLAN
И запускаем мастер DHCP-конфигурации, в котором укажем что хотим навесить его на BridgeLAN.
DHCP мастер настройки
На следующем шаге сверяем что Address Space верный.
DHCP Space
Проверяем что шлюзом в сети будет адрес микротика в локальной сети.
шлюз по умолчанию в DHCP
Задаём выдаваемый пул адресов.
пул адресов DHCP
На следующем шаге меняем DNS адрес на микротик в локальной сети.
DNS сервер
Время аренды можете не менять, но тут по желанию.
указываем время аренды
Убедимся, что DHCP сервер создался корректно.
список DHCP серверов в mikrotik
Выход в интернет и NAT
Провайдером в моей лаборатории будет домашний роутер. Предоставлять доступ через динамический адрес. Так же данная настройка подойдёт и для людей с выходом IPoE. Открываем меню DHCP-Client, создаём новый на первом интерфейсе, настройки оставляем по умолчанию.
обучение по микротик
добавление клиента DHCP на RB951UI-2HnD
Проверяем что мы получили адрес и можем пропинговать ya.ru
Если по каким-либо причинам, разрешение имён у вас не работает, то можете перейти на классическое преобразование, отключив DoH.
Для того чтобы клиенты ЛВС имели выход в интернет, необходимо создать правило IP-Firewall-NAT, в котором говорим, что, если src. Address из сети 192.168.1.0/24, то выпускать трафик через ether1.
правило NAT для LVS
На вкладке Action говорим, что делаем masquerade. Сохраняем правило.
маскарад IP адресов на mikrotik
Настройка WiFi
Mirtotik RB961Ui-2Hnd оснащён не плохим чипом, но имеет поддержку только 2,4 Ггц. Настроим его в режиме точки доступа, именем сети Test и паролем 12345678. Чтобы задать пароль, нужно создать Security Profile:
  • Имя профиля;
  • Mode – dynamic keys;
  • Authentication Types – WPA PSK, WPA2 PSK (если есть возможность использоваться только WPA2, то отключайте WPA);
  • Сам пароль от сети.
настройка пароля для WiFi сети на Mikrotik
Далее переходим к настройке самой точки. Переходим в WiFi Interfaces и открываем свойства единственного wlan1. Активируем Advanced Mode.
расширенные настройки WiFi на mikrotik
Переходим во вкладку Wireless и задаём настройки согласно скриншоту.
RB951Ui в режиме точки доступа
Жмём Apply и Enable.
Настройка Firewall
Ниже приведён конфиг среднестатистического Mikrotik, у которого разрешён:
  • Входящий SSH, Winbox порты с любых адресов;
  • WEB доступ только с сети 192.168.1.0/24;
  • DNS трафик с сети 192.168.1.0/24;
  • Соединения established и related.
/ip firewall filter

add action=accept chain=input comment=in_Winbox&SSH-Allow connection-state=new dst-port=22,8291 protocol=tcp

add action=accept chain=input comment=in-WEB-from-LAN connection-state=new dst-port=80 protocol=tcp src-address=192.168.1.0/24

add action=accept chain=input comment=in-DNS-from-LAN dst-port=53 protocol=udp src-address=192.168.1.0/24

add action=accept chain=input comment=in-E&R-Allow connection-state=established,related

add action=drop chain=input comment=in-All-Drop
Последняя строчка запрещает весь остальной входящий трафик на роутер. Я попытался внести небольшую изюминку в настройку микротика rb951ui-2hnd, но в общем нет разницы что за роутер, они все работают на операционной системе RouterOS, так что конфигурирование у всех будет одинаковое.
РЕКОМЕНДАЦИЯ
Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдете для себя полезную информацию в углубленном курсе «Администрирование сетевых устройств MikroTik». В курсе много практических лабораторных работ по результату выполнения которых вы получите обратную связь. После окончания обучения вы получите диплом гос. образца РФ. Подробности и доступ к началу курса бесплатно тут.