Вы здесь

Изначальная конфигурация Mikrotik

Обнуление конфигурации командой

Изначально Миктрот приходит с дефолтной конфигурацией.
Рассмотрим как полностью обнулить конфиг:

system reset-configuration no-defaults=yes

На полностью обнулённый маршрутизатор можно подключиться с использованием WinBOX с использованием MAC адреса.
Физически можно подключиться к портам 2-5 (к порту 1 Internet подключиться нельзя).
Username: Admin
Pass: пусто

Учетка админа

Первое что нужно сделать - создать своего админа и удалить дефолтного.

user add name=mikrotadmin password=mikrotpass group=full

Проверка:
user print

Удаление:

user remove X

где x-идентификатор юзера.

Внешний IP

# Даём имя интерфейсу interface ethernet set ether1 name=ether1-isp1 # Присваиваем интерфейсу IP /ip address add address=32.105.149.228/27 comment=isp1 interface=ether1-isp1 network=32.105.149.224 # # Устанавливаем Шлюз /ip route add distance=1 gateway=32.105.149.225

Проверка:
ip address print
ip route print

После выполнения данной минимальной конфигурации роутер будет доступен через Интернет по SSH, Telnet, Winbox.

Поскольку в данном случае разрешено подключаться кому угодно (возможен подбор пароля), необходимо как можно быстрее защитить брендмауэром.

Настройка LAN

Сделаем порты ether3, ether4, ether5 портами LAN с использованием коммутации Switch.
Это наиболее быстрый тип коммутации, не использующий ресурсы CPU, но и имеет наименьшее количество возможностей. Порты объединённые одним master-port становятся коммутатором, во главе с этим master-port.
Для этого мы выберем master-port.

interface ethernet set ether3 name=ether3-master-lan interface ethernet set ether4 master-port=ether3-master-lan interface ethernet set ether5 master-port=ether3-master-lan

Далее настроим Bridge.
Bridge - это также способ коммутации, но высокоуровневый и более медленный. Bridge нам необходим для связки с WiFi.

/interface bridge add name=lan-bridge # /interface bridge port add bridge=lan-bridge interface=ether3 # /ip address add address=192.168.88.1/24 comment=lan interface=lan-bridge network=192.168.88.0

Проверка:

interface ethernet print
interface bridge print
interface bridge port print
ip address print

Firewall

/ip firewall address-list add address=32.105.149.224/28 list=23 add address=192.168.2.0/24 list=23 /ip firewall filter add chain=input connection-state=established,related add chain=input protocol=icmp add chain=input dst-port=8291 protocol=tcp src-address-list=23 add chain=input dst-port=23 protocol=tcp src-address-list=23 add chain=input dst-port=22 log=yes protocol=tcp src-address-list=23 add action=drop chain=input in-interface=ether1-isp1 add chain=forward in-interface=lan-bridge add chain=forward connection-state=established,related in-interface=ether1-isp1 add action=drop chain=forward in-interface=ether1-isp1

Кеширующий DNS Server

/ip dns set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4

DHCP

/ip pool add name=lan-pool ranges=192.168.88.10-192.168.88.254 /ip dhcp-server add address-pool=lan-pool disabled=no interface=lan-bridge name=lan-dhcp # /ip dhcp-server network add address=192.168.88.0/24 comment="LAN" gateway=192.168.88.1 dns-server=192.168.88.1,8.8.8.8 # /ip dns static add address=192.168.88.1 name=router

Проверка:
ip dhcp-server network print
ip dhcp-server print
ip dhcp-server lease print

NAT для пользователей

/ip firewall nat add action=masquerade chain=srcnat comment="User NAT" out-interface=ether1-isp1

NTP

/system clock set time-zone-name=Europe/Moscow /system identity set name=Mik01 /system ntp client set enabled=yes primary-ntp=194.190.168.1

SNMP

/snmp community add addresses=192.168.22.49/32 name=mycomm # /snmp set contact=Vladimir enabled=yes location=Moscow

Настройка Netflow

/ip traffic-flow set active-flow-timeout=1m cache-entries=32k enabled=yes /ip traffic-flow target add dst-address=192.168.22.49 port=9996

Минимальные настройки Wifi

/interface wireless security-profiles add authentication-types=wpa-psk,wpa2-psk eap-methods="" management-protection=allowed mode=dynamic-keys name=profile1 supplicant-identity="" wpa-pre-shared-key=my_key wpa2-pre-shared-key=my_key /interface wireless set [ find default-name=wlan1 ] country=russia disabled=no frequency-mode=regulatory-domain mode=ap-bridge name=Mik2Mhz \ security-profile=profile1 ssid=mik2 set [ find default-name=wlan2 ] country=russia disabled=no frequency-mode=regulatory-domain mode=ap-bridge name=Mik5Mhz \ security-profile=profile1 ssid=mik5 /interface bridge port add bridge=lan-bridge interface=Mik2Mhz add bridge=lan-bridge interface=Mik5Mhz

Reset Mikrotik

В случае потери связи с миктротом в удалённом месте его можно ресетнуть до дефолтной конфигурации:

  1. Выключаем питание, нажимаем кнопку RES и держим её нажатой. Включаем питание и ждём пока USR LED начнёт мигать. Отпускаем кнопку RES.
  2. В дефолтной конфигурации будет создан switch для портов 2-5, поэтому в них можно подключить ISP + компьютер с IP адресом ISP. Таким образом можно получить доступ через интернет к компьютеру и Микроту.
  3. С компа:
    • даём IP
      /ip address add address=32.105.149.228/27 interface=ether1 network=32.105.149.224
    • даём шлюз
      /ip route add distance=1 gateway=32.105.149.225
    • удаляем все дефолтные правила Firewall (из терминала)
    • Добавляем своего юзера-админа и удаляем дефолтного
    • Далее уже можно подключаться к микроту и выполнить все пункты данной статьи

Добавить комментарий

Filtered HTML

  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Допустимые HTML-теги: <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Строки и абзацы переносятся автоматически.

Plain text

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и абзацы переносятся автоматически.
CAPTCHA
Этот вопрос задается для того, чтобы выяснить, являетесь ли Вы человеком или представляете из себя автоматическую спам-рассылку.
Target Image