Термины Mikrotik

Mikrotik - это латвийская компания, расположенная в городе Рига.
Компания была основана в 1995 и начала производить ПО RouterOS.

RouterOS - это routing software, которая может работать на любом компе PC based hardware.

В 2002 году Mikrotik открыла производство своего железа под названием RouterBOARD.

RouterBOARD - hardware platform, произведённая компанией Mikrotik.

Таким образом, компания Mikrotik выпускает железо RouterBOARD, на котором работает OS RouterOS.

Установка Winbox

Для работы с Mikrotik нам понадобится Winbox - графический редактор конфигурации.
Его можно скачать здесь:
https://mikrotik.com/download

Подключение

Изначально Миктрот приходит с дефолтной конфигурацией.

На полностью обнулённый маршрутизатор можно подключиться с использованием WinBOX с использованием MAC адреса.
При этом winbox умеет подключаться без использования IP.
Физически можно подключиться к портам 2-5 (к порту 1 Internet подключиться нельзя).
Username: Admin
Pass: пусто

Если подключиться не получается - конфигурацию можно обнулить.

Обнуление конфигурации кнопкой RESET

В случае потери связи с миктротом в удалённом месте его можно ресетнуть до дефолтной конфигурации:

1. Выключаем питание, нажимаем кнопку RES и держим её нажатой. Включаем питание и ждём пока USR LED начнёт мигать. Отпускаем кнопку RES.
2. В дефолтной конфигурации будет создан switch для портов 2-5, поэтому в них можно подключить ISP + компьютер с IP адресом ISP. Таким образом можно получить доступ через интернет к компьютеру и Микроту.

Обнуление конфигурации командой

Рассмотрим как полностью обнулить конфиг через CLI:

system reset-configuration no-defaults=yes

Учетка админа

Первое что нужно сделать - создать своего админа и удалить дефолтного.

user add name=mikrotadmin password=mikrotpass group=full

Проверка:
user print

Удаление:

user remove X

где x-идентификатор юзера.

Удаление правил по умолчанию

Правила по умолчанию будут мешать подключиться снаружи.
Для начала мы их просто удалим, затем следует добавить свои (см.ниже)

ip firewall filter print

ip firewall filter remove 1
.....
ip firewall filter remove 10

Имена интерфейсов

Несмотря на то что, на корпусе интерфейсы помечены номерами, это не имеет ни какого отношения к конфигурации.
У микротика всё привязано к имени интерфейса. И, как это ни странно, нет понятия ID интерфейса.
Это означает что из конфигурации нельзя понять, какой физический интерфейс привязан к какому имени.
Поэтому вначале хорошей практикой будет правильно раздать имена.
Будем следовать схеме:
1 - ether1-isp1
2 - ether2-isp2
3 - ether3-LAN
4 - ether4-LAN
5 - ether5-LAN

Нам нужно получить примерно такую картину:

[vs@Mik01] > interface print                    
Flags: D - dynamic, X - disabled, R - running, S - slave 
 #     NAME                                TYPE       ACTUAL-MTU L2MTU  MAX-L2MTU MAC-ADDRESS      
 0  R  ether1-isp1                         ether            1500  1598       2028 E4:8D:8C:43:FA:06
 1     ether2-isp2                         ether            1500  1598       2028 E4:8D:8C:43:FA:07
 2  RS ether3                              ether            1500  1598       2028 E4:8D:8C:43:FA:08
 3   S ether4                              ether            1500  1598       2028 E4:8D:8C:43:FA:09
 4   S ether5                              ether            1500  1598       2028 E4:8D:8C:43:FA:0A
 5     wlan1                               wlan             1500  1600       2290 E4:8D:8C:43:FA:0C
 6     wlan2                               wlan             1500  1600       2290 E4:8D:8C:43:FA:0B
 7  R  lan-bridge                          bridge           1500  1598            E4:8D:8C:43:FA:08

Т.е. правим интерфейсы типа "ether", применяя команды:

interface set name=ether1-isp1 numbers=0
interface set name=ether2-isp2 numbers=1

"bridge" пока не трогаем.

Внешний IP

# Присваиваем интерфейсу IP
ip address add address=81.211.66.196/26 comment=isp1 interface=ether1-isp1
#
# Устанавливаем Шлюз
ip route add distance=1 gateway=32.105.149.225

Проверка:
ip address print
ip route print

После выполнения данной минимальной конфигурации роутер будет доступен через Интернет по SSH, Telnet, Winbox.

Поскольку в данном случае разрешено подключаться кому угодно (возможен подбор пароля), необходимо как можно быстрее защитить брендмауэром.

Настройка LAN

Начиная с RouterOS 6.41 и выше из настроек удалено понятие master-port.

Сделаем порты ether3, ether4, ether5 портами LAN.

Мы оставим интерфейсы 0 и 1 для основного и резервного провайдеров.
2, 3, 4 выделим под LAN.

Для этого мы настроим Bridge.
Bridge - это способ коммутации, который объединяет под собой физические порты. Bridge нам необходим в том числе и для связки с WiFi.

interface bridge add name=lan-bridge
interface bridge port add bridge=lan-bridge interface=ether3
interface bridge port add bridge=lan-bridge interface=ether4
interface bridge port add bridge=lan-bridge interface=ether5
ip address add address=10.252.10.1/24 comment=lan interface=lan-bridge

Проверка: (следует удалить элементы от дефолтного конфига)

interface ethernet print
interface bridge print
interface bridge port print
ip address print

Firewall

• Firewall rules
  Firewall работает с Firewall rules.
  Firewall rules обрабатываются по порядку: сверху вниз. Firewall rules могут включать различные conditions, и первое совпадение обработку прекращает.
  Firewall rules группируются в Firewall chains. Firewall chain определяет характер трафика.
  По умолчанию существуют 3 chains:
  • input - Через эту chain идет трафик, направленный на интерфейсы роутера.
  • forward - Любой транзитный трафик.
  • output - Трафик, источниками которого являются интерфейсы роутера.

  Хотя админ может создать и свои chains - для уменьшения нагрузки на CPU или для организационных нужд, - но все дополнительные chains будут иметь связи на эти три основные.
  Другими словами, user-defined chains увидят трафик лишь в случае, когда этот трафик будет перенаправлен дефолтной chain.

• Connections
  Mikrotik firewall относится к типу Statefull Firewall.
  Это означает, что ПО умеет оперировать с Session State.
  В терминологии Mikrotik Session есть синоним Connection и характеризуется уникальной комбинацией параметров: Source IP, Source port, Destination IP, Destination port.
  Различают 4 типа Connections:
  • New - новое Connection, т.е. в случае, когда комбинация src/dst/port в памяти не существует, и инициируется новое New Connection
  • Established - уже созданное и существующее Connection, т.е. когда комбинация src/dst/port в памяти найдена.
  • Related - это Connection, "рожденное" и являющееся частью какого-то существующего Connection. Например FTP сперва поднимает сессию на 21 порт. затем динамически открывается дополнительная сессия на 20 порт
  • Invalid - Invalid packet не принадлежит к какой -либо сессии и не создаёт новую сессию. Такие пакеты нужно дропать.

Следующие правила позволят обеспечить безопасность для роутера + работу NAT для внутренних пользователей.

/ip firewall address-list
add address=32.105.149.224/28 list=23
add address=192.168.2.0/24 list=23

/ip firewall filter
add action=accept chain=input connection-state=established,related
add action=accept chain=input protocol=icmp
add action=accept chain=input dst-port=8291 protocol=tcp src-address-list=23
add action=accept chain=input dst-port=23 protocol=tcp src-address-list=23
add action=accept chain=input dst-port=22 log=yes protocol=tcp src-address-list=23
add action=drop chain=input in-interface=ether1-isp1
add action=accept chain=forward in-interface=lan-bridge
add action=accept chain=forward connection-state=established,related in-interface=ether1-isp1
add action=drop chain=forward in-interface=ether1-isp1

Проверка Firewall:
Смотрим конфигурацию

ip firewall filter print
ip firewall filter export

Смотрим текущие сессии:

ip firewall connection print
ip firewall connection print detail
ip firewall connection print interval=1
ip firewall connection print where src-address ~ "10.252.10.10"

Генерим сами сессии, и сразу их смотрим:

ping 8.8.8.8 src-address=10.252.10.1
ip firewall connection print where src-address ~ "10.252.10.1"

Кеширующий DNS Server

ip dns set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4

Обновление ОС

Проверка версии:

system resource print

Обновление проще всего делать из Winbox:
System > Packages

Check for updates

Жмем Download&Install
Система все сделает сама и перезагрузится.

DHCP

/ip pool
add name=lan-pool ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=lan-pool disabled=no interface=lan-bridge name=lan-dhcp
#
/ip dhcp-server network
add address=192.168.88.0/24 comment="LAN" gateway=192.168.88.1 dns-server=192.168.88.1,8.8.8.8 
#
/ip dns static
add address=192.168.88.1 name=router

Проверка:
ip dhcp-server network print
ip dhcp-server print
ip dhcp-server lease print

NAT для пользователей

NAT - это процесс изменения исходных Source IP, Destination IP, Source port, Destination port.
NAT Mikrotik напоминает NAT от Juniper.
Функции NAT похожи на функции Firewall: NAT состоит из правил "matchers", и также группируются в chains.
По умолчанию их две:

• Source NAT (srcnat) - у пакета изменяется source IP address. Наиболее общая его функция - masquerading, - скрывание внутренней сети за внешним IP.
• Destiantion NAT (dstnat) - у пакета меняется Destination IP address. Позволяет публиковать внутренние сервера.

/ip firewall nat
add action=masquerade chain=srcnat comment="User NAT" out-interface=ether1-isp1

Здесь action=masquerade - самое простое action NAT, когда srcnat применяется к пакетам, leaving interface ether1-isp1. При этом source IP adress подменяется на адрес на интерфейсе ether1-isp1.

Проверка NAT:

ip firewall nat print
ip firewall nat export

Проверка Firewall:
Смотрим конфигурацию

ip firewall filter print
ip firewall filter export

Смотрим текущие сессии:

ip firewall connection print
ip firewall connection print detail
ip firewall connection print interval=1
ip firewall connection print where src-address ~ "10.252.10.10"

Генерим сами сессии, и сразу их смотрим:

ping 8.8.8.8 src-address=10.252.10.1
ip firewall connection print where src-address ~ "10.252.10.1"

Другие полезные инструменты из командной строки

tool traceroute 8.8.8.8 src-address=10.252.10.1

NTP

/system clock
set time-zone-name=Europe/Moscow
/system identity
set name=Mik01
/system ntp client
set enabled=yes primary-ntp=88.147.254.227 secondary-ntp=109.195.19.73

Проверка:

system ntp client print
system clock print

SNMP

/snmp community
add addresses=192.168.22.49/32 name=mycomm
#
/snmp
set contact=Vladimir enabled=yes location=Moscow

Настройка Netflow

/ip traffic-flow
set active-flow-timeout=1m cache-entries=32k enabled=yes
/ip traffic-flow target
add dst-address=192.168.22.49 port=9996

Минимальные настройки Wifi

/interface wireless security-profiles
add authentication-types=wpa-psk,wpa2-psk eap-methods="" management-protection=allowed mode=dynamic-keys name=profile1 supplicant-identity="" wpa-pre-shared-key=my_key wpa2-pre-shared-key=my_key

/interface wireless
set [ find default-name=wlan1 ] country=russia disabled=no frequency-mode=regulatory-domain mode=ap-bridge name=Mik2Mhz \
    security-profile=profile1 ssid=mik2
set [ find default-name=wlan2 ] country=russia disabled=no frequency-mode=regulatory-domain mode=ap-bridge name=Mik5Mhz \
    security-profile=profile1 ssid=mik5

/interface bridge port
add bridge=lan-bridge interface=Mik2Mhz
add bridge=lan-bridge interface=Mik5Mhz

Вариант, показавший более высокую скорость:

/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa-psk,wpa2-psk eap-methods="" management-protection=allowed mode=dynamic-keys name=profile1 supplicant-identity="" wpa-pre-shared-key=my_key wpa2-pre-shared-key=my_key

/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce country=russia disabled=no mode=ap-bridge name=Mik2Mhz security-profile=profile1 ssid=mik2
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=20/40/80mhz-Ceee country=russia disabled=no mode=ap-bridge name=Mik5Mhz security-profile=profile1 ssid=mik5

Reset Mikrotik

В случае потери связи с миктротом в удалённом месте его можно ресетнуть до дефолтной конфигурации:

1. Выключаем питание, нажимаем кнопку RES и держим её нажатой. Включаем питание и ждём пока USR LED начнёт мигать. Отпускаем кнопку RES.
2. В дефолтной конфигурации будет создан switch для портов 2-5, поэтому в них можно подключить ISP + компьютер с IP адресом ISP. Таким образом можно получить доступ через интернет к компьютеру и Микроту.
3. С компа:
   • даём IP
     

     /ip address
     add address=32.105.149.228/27 interface=ether1 network=32.105.149.224

   • даём шлюз
     

     /ip route
     add distance=1 gateway=32.105.149.225

   • удаляем все дефолтные правила Firewall (из терминала)
   • Добавляем своего юзера-админа и удаляем дефолтного
   • Далее уже можно подключаться к микроту и выполнить все пункты данной статьи

Удаленное восстановление сломанного микрота

Предположим у нас сломался микрот, но есть его Backup, а также имеется идентичная модель на замену.
Reset Mikrotik

1. Выключаем питание, нажимаем кнопку RES и держим её нажатой. Включаем питание и ждём пока USR LED начнёт мигать. Отпускаем кнопку RES.
2. В дефолтной конфигурации будет создан switch для портов 2-5, поэтому в них можно подключить ISP + компьютер с IP адресом ISP. Таким образом можно получить доступ через интернет к компьютеру и Микроту. Также на Микроте будет создан IP 192.168.88.1, следовательно мы сможем дать компу адрес из этой сети и получить доступ к микроту
3. На компе:
   • даём IP адреса:
     

     
     81.211.66.196 255.255.255.224
     192.168.88.10 255.255.255.0
     DG 81.211.66.193
     

   • Подключаемся к микроту используя адрес 192.168.88.1, а также логин:
     Username: Admin
     Pass: пусто
     
   • Выбираем

     Files -> Upload

     Аплоадим файл бэкапа.

   • Выбираем загруженный файл и жмем Restore.