Mikrotik, setarea inițială. Partea 1.
Am decis să încep o serie de articole despre setările RouterOS Mikrotik. Veți spune, pe vasta Internetului, că sunt deja pline și veți avea dreptate. Nu voi pretinde să fie exclusivă, aș spune mai mult, cea mai mare parte a informațiilor va fi luată de acolo, restul experienței și, da, tot ce va fi descrisă complet funcțional, deoarece verificat personal. Deci, ce întrebi? Pur și simplu, în primul rând, ca întotdeauna să scriu pentru mine (în lumina dezvoltării sclerozei multiple) Cribs. Unele sarcini nu pot apărea atât de des, atât de puțini sunt uitate și trebuie să caute nuanțe, din nou, în cazul în care? și anume pe Internet. În al doilea, în mod constant la Google și caută exact unde este descris sau care trebuie să fie hrănite, ar fi de dorit, astfel încât totul era într-un singur loc, rapid și permanent disponibil. Nu voi explica lucrurile elementare, sperând că cititorul, adică ai cunoștințele inițiale. Pentru a configura vor fi utilizate exclusiv WinBox și interfață grafică de utilizator, deși va fi posibilă și versiunea de consolă. Deci, să începem, de la foarte simplu la simplu.
Nu acordați atenție unor neconcordanțe în aceleași file pe diferite capturi de ecran, acestea fiind făcute din router-e diferite. Toate routerele au cel mai recent firmware v.6.38.1
Suntem toți conectați. La prima pornire, vi se va solicita să descărcați configurația de bază sau să o resetați.
Selectați Eliminare configurație. Routerul va reporni. Ne conectăm încă o dată și vedem:
Acum hai să ne îndepărtăm puțin de router și să determinăm ce trebuie să includă în mod necesar setarea de bază. În opinia mea, ar trebui să arate astfel:
Acesta este un minim obligatoriu și va fi configurat în această secvență.
Înainte de a începe, vreau să fiu atenți la fila QuickSet
Pe aceasta puteți realiza aproape toată configurarea inițială, dar făcând acest lucru, nu înțelegeți principiul stabilirii, uneori poate începe să pară că setările sunt duplicate. Prin urmare, nu vom atinge această filă, dar vom ajusta totul în ordine din locurile directe pentru acest scop. Și la sfârșitul configurației, veți vedea ce și unde a apărut pe această filă sau invers, ceea ce se creează atunci când introduceți setări pe ea. Dar, ce să înțelegem al doilea, este necesar să mergem în primul rând.
1 Creați un utilizator nou și dezactivați (șterge) admin'a
În meniul din stânga, faceți clic pe Sistem-> Utilizatori. În fereastra deschisă, faceți clic pe plus
În câmpurile Parolă și Confirmare parole, introduceți o nouă parolă.
Faceți clic pe OK. Utilizatorul a fost creat. Administratorul standard de utilizator este dezactivat sau șters.
În această și în toate celelalte setări vom folosi rețeaua 192.168.20.0/24
În meniul din stânga, faceți clic pe Bridge. în fereastra deschisă apăsăm pe plus,
În fereastra NewInterface, în câmpul Name, introduceți numele podului nostru. Puteți să introduceți un nume oricum, cel mai important, ce ați mai înțelege atunci ce este și de ce. Propun să o numesc trite: bridge_local (podul local), în câmpul ARP selectăm proxy-arp. faceți clic pe OK.
Accesați fila Porturi, faceți clic pe plus
În câmpul Interfață, selectați eter2. În câmpul Bridge, selectați bridge_local creat anterior. Repetați pentru toate interfețele ulterioare, în funcție de model. Ca rezultat, ar trebui să avem patru porturi pentru cinci porturi sau nouă pentru dispozitive cu zece porturi, plus o interfață wlan1 pentru dispozitivele cu Wi-Fi.
Există o altă opțiune prin combinarea interfețelor la nivelul hardware, atunci când una dintre interfețe este instalată de masterul principal, iar restul sunt sclavi secundari și numai cea primară este adăugată la pod, dar nu o voi lua în considerare, deoarece Consider că este mai puțin flexibil în viitor. Deși, așa cum se spune, hardware-ul reduce încărcarea procesorului și mărește lățimea de bandă, dar nu am observat încărcarea uriașă a procesorului și scăderea lățimii de bandă.
Deci, podul este creat, interfețele sunt adăugate la acesta, mergi la IP -> Adrese. În fereastra AddressList, apăsați tasta plus
Și completați câmpurile
3 Configurarea serverului DHCP
Deschidem IP-> DHCPServers pe care îl apăsăm și ne umplem ca pe un skinhead
Nume - dhcp_local
Interfață - bridge_local
Termenul de închiriere - specificați ora în formatul hh.mm.ss. dacă specificați mai mult de oră 60.00.00 acel timp va fi afișat 1d 00:00:00. În stadiul inițial, este mai bine să părăsiți 10 minute (și mai puțin). dacă jucați cu legarea IP pe MAC, legarea va fi actualizată mai rapid (fără repornirea). După sfârșit, în funcție de locul de utilizare, pentru a stabili un timp mai lung, casa este optimă pentru 24 de ore, pentru birou 10 ore, pentru cafenea (Wi-Fi) 30 de minute.
Adresa piscină - pool_local
Și notați Adăugați ARP pentru contracte de leasing
Accesați fila Rețele, faceți clic pe plus
Ne umplem. (Aceasta este ceea ce vom distribui clienților prin DHCP)
Salvăm. Serverul DHCP este creat și gata de plecare.
4 Configurarea paravanului de protecție
Principalul lucru de care nu mi-e teamă este singura regulă pentru pachete atunci când configurează Firewall:
"Ce nu este permis. atunci este interzisă. "
Ne restrângem la zece reguli de bază. Deschideți fila IP-> Firewall din Regulile filtrului. După cum puteți vedea, este gol, apăsăm pe plus și începem să creăm reguli.
Aici avem nevoie de două file generale și de acțiune
Acțiune - acțiunea care se aplică pachetului. Din acțiunile pe care le vom lua acum în considerare doar accept / drop (activa / dezactiva)
Dacă valoarea în câmp nu este specificată, atunci este "toate"
Majoritatea parametrilor au o casetă de bifare înaintea câmpului de introducere, dacă marcați-o și specificați o valoare, câmpul este citit ca "toate decât cele specificate" (în fila Firewall, valoarea va fi precedată de un semn de exclamare).
Și deci prima regulă
Vă permitem să vă conectați la router prin telnet, ssh, web, winbox dintr-o anumită rețea externă IP
Acțiune - acceptați
Și astfel a fost creată prima regulă, a permis accesul de acasă la muncă.
A doua regulă permite accesul la router de la orice interfață adăugată la bridge_local, adică din rețeaua locală. Principalul lucru nu este să-l oprești. În cazul în care router-ul într-un loc public (de birou, cafenea), este recomandat pentru a elimina interfețele publice, cum ar fi de la WLAN permis accesul la router. Sau, dacă accesul este de la o singură stație de lucru, setați valoarea lui Src. Adresa
A treia regulă permite tuturor conexiunilor de intrare la portul 53 prin intermediul protocolului udp de la orice interfețe adăugate la bridge_local. Permitem dispozitivelor de rețea locală să utilizeze serverul dns pe routerul nostru
Al patrulea permite icmp (ping) de la orice interfață.
Al cincilea permite toate pachetele de conexiuni existente.
Al șaselea rezolvă toate pachetele de conexiuni conexe.
Nu uitați, regulile sunt procesate de la primul din listă la ultimul, deci regula interzicerii ar trebui să fie ultima din grup. Regulile pot fi trase oriunde în listă cu mouse-ul.
Lanț - srcnat (pachetele sunt procesate de la rețeaua internă la cea externă)
Out. Interfata - ether1 (pachetele trimise la interfata ether1 sunt procesate)
Acțiune - mascare (înlocuiți toate pachetele cu o ip internă internă pe albul extern)
Apoi, accesați fila ServicePorts. selectați toate (Ctrl + A) și faceți clic pe crucea roșie (dezactivați toate porturile de servicii)
Aceasta completează configurația inițială a Firewall-ului.
5 Configurarea WLan
Nu voi detalia configurația din acest articol. Pentru a porni setările nu sunt multe. Mai târziu, intenționez să scriu articole cu o descriere detaliată a setărilor principalelor interfețe și funcții.
Accesați Wireless.
Mai întâi mergeți la fila SecurityProfiles. Faceți clic pe plus și creați un nou profil. Numele pe care îl doriți, cheile (parolele) de cel puțin opt caractere sunt la fel, restul este la fel ca în captura de ecran
Mergeți la fila Interfețe unde avem o interfață wlan1. Dacă nu este activă, activați-o (selectați și faceți clic pe bifa albastră), apoi faceți dublu clic pe interfață. În partea dreaptă, faceți clic pe butonul Mod avansat și setați parametrii
Nume - wlan1 (Puteți să o lăsați, puteți să îl redenumiți)
ARP - proxy-arp
Ca și în captura de ecran
Distanța - alegeți în interior
Tx Power Mode - toate tarifele fixate
Puterea Tx - 15 dBm
6 Configurarea accesului la furnizor
Conectare dinamică (primirea setărilor de la furnizor prin DHCP).
Conexiune statică (introducerea manuală a setărilor primite).
IP 40.50.60.70
Masca 255.255.255.0 (24)
Gateway 40.50.60.1
DNS 40.50.61.2 și 40.50.61.3
Sunt configurate trei file, lista de adrese, setările DNS și lista de rute.
În lista de rute, trebuie să adăugăm o poartă. Salvăm.
Ca urmare, lista de adrese. Setarea DNS și lista de rute vor arăta astfel
Aceasta finalizează configurația inițială. Ca o promisiune la început, vă arată unde provin setările din fila QuickSet Quick Setup.
Aceasta finalizează configurația inițială. Așteptați continuarea.