Mikrotik- Быстрый Старт

1. Первый запуск на примере Микротик RB951.

1.1. Подготовка
1.2. Скачиваем прошивку
1.3. Ресет
1.4. Подключаем роутер
1.5. Скачиваем WinBox
1.6. Запускаем WinBox.exe
1.7. Прошиваемся.

2. Смена MAC
2.1. Смена MAC адресса

3. Подключаемся к провайдеру
3.1. Динамический IP
3.2. Статический IP
3.3. Подключение PPPoE
3.4. Подключение PPTP, L2TP. VPN по логину и паролю
3.5. Подключение PPTP, L2TP Dual Access
3.6. Настраиваем DNS. Проверяем сеть и DNS с помощью
Ping
3.7. Время на роутере. NTP сервера времени

4. Настраиваем локальную сеть.

4.1. Статический IP у клиентов
4.2. Динамический IP у клиентов. Выдача IP по MAC
4.3. Блокировка левых MAC+IP. ARP-лист. Reply-only
4.4. Настраиваем WiFi на раздачу. Режим обычного
роутера.

5. Пускаем нашу локалку в интернет.

5.1. Локалка в Интернет

Быстрый старт

1. Первый запуск, начальная настройка mikrotik, на примере Mikrotik RB951ui-2Hnd.

1.1. Перед подключением роутера желательно скопировать MAC-адрес

компьютера (или роутера), к которому напрямую подключен интернет.

Скопируйте или запишите все настройки текущего интернет соединения.

Для Static IP – IP адрес, Шлюз, ДНС-сервера.

Для PoE, PPTP, L2TP – дополнительно логин, пароль, адрес VPN-сервера.

MAC-адрес и все настройки сети можно посмотреть командой ipconfig /all из

консоли.

1.2. Также желательно сразу скачать последнюю прошивку под Ваш Микротик
с сайта mikrotik.com. Раздел Download. Выбирам нашу серию - 700.

Скачиваем файл с расширением .npk

Тут же можно скачать zip – архив с доп. модулями и WinBox.exe.

1.3. Рекомендуется сделать Ресет(сброс на заводские настройки), если настройки

роутера раньше менялись.

Ресет: выключаем питание, ручкой зажимаем и держим ресет, включаем питание,

держим ресет еще 20 сек. Пока не заморгает и снова не загорится сзади Лампочка
Act.

1.4. Подключаем роутер.

Один конец витой пары в комп. Другой в порт №2 на роутере.

Если Вы уже скачали Winbox – можете перейти к п. 1.6.

1.5. RB951 mikrotik на портах №2-5 по умолчанию имеет IP-адрес 192.168.88.1

Поэтому меняем IP-адрес сетевой карты на компе на 192.168.88.2,

маску подсети 255.255.255.0

Заходим на web-страницу роутера 192.168.88.1

Скачиваем оттуда WinBox.exe

1.6. Запускаем WinBox.exe.

Кликаем по кнопке, что справа - […]

Далее по MAC-адресу нашего роутера. (В WinBox можно заходить по MAC-адресу

или IP роутера)

Нажимаем кнопку Connect и попадаем в WinBox интерфейс.

Должна появиться табличка. Кликаем [OK]. Все настройки останутся по умолчанию.

[Remove Configuration] - удалит все дефолтные настройки роутера.

Совет: Перед серьезными изменениями на роутере делайте бэкап настроек.

Files – Backup. Не забывайте также про кнопки Undo-Redo и Safe Mode.

1.7. Рекомендую сразу прошить роутер на последнюю прошивку.

Перетаскиваем мышкой на WinBox наш .npk файл прошивки.

Теперь перезагружаем роутер. Ждем пока он прошьеться. 2-3 мин. Не отключайте

питание!

После прошивки роутер сам удалит наш файл.

Все настройки роутера микротик сохранятся.

Начиная с версии 5.15 - появился раздел Quick Set - быстрая настройка.

Все основные базовые настройки можно сделать на этой одной странице.

Тут можно поменять также MAC-адрес WAN-порта.

Настроить WAN, LAN (Static IP, Dynamic IP, PPPoE) и даже WiFi. Пока нет только
PPTP, L2TP и Dual Access.

Но настоятельно рекомендую настроить вручную. Для понимания - что и зачем.

2. Смена MAC

2.1. Смена MAC адресса

Это самое первое, что всегда нужно делать при подключении к провайдеру.

Кликаем - [New Terminal]. Вводим:

/in et set 0 mac="00:11:22:33:44:55"

00:11:22:33:44:55 – это наш скопированный MAC-адрес (можно взять со старого

роутера ил компьютера). 0 — Это порт роутера №1.

Теперь кабель провайдера тыкаем в порт №1.

Если у Вас все на автомате (Dynamic IP) – то интернет уже должен быть и ничего
настраивать больше не нужно.

Также можно переименовать интерфейсы. Кликаем Interfaces.

Двойной клик по интерфейсу №1, меняем название на WAN1.

Двойной клик по интерфейсу №2, меняем название на LAN1.

3. Подключаемся к провайдеру

3.1. Динамический IP. (На автомате. DHCP-клиент включен)

Итак, у Вас настройки от провайдера приходят на автомате.

По умолчанию DHCP-клиент должен быть уже включен.

Для проверки кликаем: IP – DHCP Client.

В строчке IP Address – должен быть IP -адрес, полученный от провайдера.

Если такой строчки нет — то кнопкой [+] создаем запись с номером порта №1.

Двойной клик по этой строчке. Далее Status. Тут видим все настройки, полученные от
провайдера. IP, Шлюз, DHCP сервер, DNS-ы.

В IP – Routes – должны появиться маршруты от провайдера (с буквой D – Dynamic)

В Address list – Должна быть динамическая запись - с IP адресом порта №1,

полученные от провайдера.

Переходим к п. 3.6.

3.2. Статический IP. (DHCP-клиент отключен)

Итак, у Вас IP нужно прописывать вручную.

Идем в IP – DHCP Client. Отключаем или удаляем DHCP запись.

Переходим во вкладку IP - Address List.

Кликаем [+] и добавляем - 178.11.22.33/24, 178.11.22.0, интерфейс WAN1

178.11.22.33 — Ваш IP-адрес_выданный_провайдером

24 – это то же самое, что 255.255.255.0 — маска подсети

В IP – Routes – должны появиться маршруты от провайдера.

Переходим к п. 3.6.

3.3. PPPoE. По логину и паролю

Вначале делаем при необходимости все по п.3.1. или 3.2.

Кликаем PPP. Кнопка [+]. PPPoE клиент.

Вкладка General. В Interfaces выбираем наш WAN1.

Вкладка Dial Out. В User и Password вводим логин и пароль от провайдера.

Add Default Route - включить

Выбираем профиль default или default-encryption.

При необходимости меняем наш профиль во вкладке профили.

Далее Apply. Кнопкой Disable-Enable – включаем наш PPPoE.

Внизу справа появится Status: Connected.

Во вкладке Interface — должна быть запись PPPoE клиента.

В IP – Routes – наблюдаем динамические маршруты от провайдера.

Переходим к п. 3.6.

3.4. PPTP, L2TP. VPN по логину и паролю

Вначале делаем все по п.3.1. или 3.2.

Кликаем PPP. Кнопка [+]. PPTP клиент. L2TP — аналогично.

Вкладка Dial Out.

Connect to: адрес VPN-сервера.

В User и Password вводим логин и пароль от провайдера.

Add Default Route - включить

Выбираем профиль default или default-encryption.

При необходимости меняем наш профиль во вкладке профили.

Далее Apply. Кнопкой Disable-Enable – включаем наш PPTP.

Внизу справа появится Status: Connected.

Во вкладке Interface — должна быть запись PPTP клиента.

В IP – Routes – наблюдаем динамические маршруты от провайдера.

Переходим к п. 3.6.

3.5. PPTP, L2TP Dual Access.

Вначале делаем все по п.3.1. или 3.2.

Если у Вас Dual Access и наблюдаются обрывы каждую минуту, то:

Открываем New Terminal.

/ip route

rule add act=lookup dst-a=10.128.4.71/32 ta=matrix_vpn

add dist=1 dst-a=10.128.4.71/32 ga=10.0.137.1 routing-mark=matrix_vpn

add dist=1 dst-a=0.0.0.0/0 ga=10.128.4.71

10.128.4.71 — это адрес VPN-сервера.

10.0.137.1 - это шлюз, полученный от провайдера по DHCP.

Далее Делаем все по п.3.4.

Единственное, что PPTP клиенте Add Default Route – выключить.

А в Connect to: такой же адрес VPN-сервера, что и выше .

Переходим к п. 3.6.

3.6. Настраиваем DNS. Проверяем сеть и DNS с помощью Ping.

Идем в IP – DNS. Там должны быть уже прописаны DNS-ы.

Если их нет, то прописываем в DNS Servers наши DNS от провайдера.

Allow Remote Request – включаем.

Идем в Tools – Ping.

Пингуем сначала адрес 8.8.8.8. Если пингуется значит коннект есть.

Затем пингуем ya.ru. Если пингуется, значит DNS настроены верно.

3.7. Время на роутере. NTP сервера времени

System – SNTP Client. Enabled. Unicast.

В Primary NTP Server и Secondary NTP Server – вписываем сервера времени.

К примеру ts1.aco.net. В Last Update появится 00:00:02 ago.

Идем в System – Clock. Выбираем наш регион, например Europe/Kiev. Apply.

Все. Время теперь установлено верно.

4. Настраиваем локальную сеть.

Для начала нужно определиться какой сегмент сети Вы хотите использовать.

По умолчанию на роутере на порту №2 (наш LAN1) стоит 192.168.88.1

Допустим мы хотим поменять на сегмент сети 192.168.0.0/24.

Сегмент сети — должен отличаться от сегмента провайдера.

4.1. Статический IP у клиентов.

В данном режиме клиенты IP адреса от роутера получать не будут.

Пропишите у клиентов на компах адреса вида 192.168.0.ххх, маску подсети

255.255.255.0, Шлюз и DNS 192.168.0.1.

В IP – Address List откроем запись на порту LAN1, изменим все записи

192.168.88.ххх на 192.168.0.ххх. Если такой записи нет — то создайте ее. Адрес порта
LAN1 на роутере – 192.168.0.1/24

В IP – DHCP Server: вкладка Networks отключаем или удаляем запись DHCP.

Во вкладке DHCP также отключаем или удаляем запись DHCP.

4.2. Динамический IP у клиентов. Выдача IP по MAC.

1. В IP – Address List откроем запись на порту LAN1, меняем все записи

192.168.88.ххх на 192.168.0.ххх. Если такой записи нет — то создайте ее.

2. В IP – DHCP Server – вкладка Networks меняем все записи 192.168.88.ххх на

192.168.0.ххх. В DNS прописать IP роутера - вида 192.168.0.1

3. В IP – DHCP Server – вкладка DHCP – кликаем по записи. Смотрим название

Address Pool – например это dhcp_pool1.

Идем в IP- Pool – меняем в dhcp_pool1 все записи 192.168.88.ххх на 192.168.0.ххх.

Можно указать диапазон IP адресов, которые будут выдаваться клиентам.

Можно просто грохнуть 2 записи в DHCP и нажать DHCP setup, настроив DHCP
заново. Не забудьте настроить IP- Pool.

4.3. Блокировка левых MAC+IP. ARP-лист. Reply-only.

Для того, чтобы включить блокировку левых MAC и IP нужно:

1. В IP – DHCP Server – Leases – сделать все записи статическими.

По умолчанию все записи создаются динамически. Имеют букву D слева.

Двойной клик по записи. Make Static. Ок. Можно также прописать желаемый IP-
адрес клиенту.

2. В IP - ARP - по умолчанию все записи динамические (с меткой D).

Тоже делаем двойной клик по записи и Make Static.

Важно! Ваш MAC-адрес и IP-адрес должен быть в списке! Иначе Вы не сможете

зайти в WinBox.

3. Идем в Interfaces. Два раза кликаем по интерфейсу LAN1, на котором сидят

клиенты. В опции Arp: выбираем Reply-only.

Теперь при смене MAC или IP, или подключении левого пользователя — интернет и
доступ к сети они не получат.

4.4. Настраиваем WiFi на раздачу. Режим обычного роутера. Mikrotik настройка

wifi.

Кликаем Wireless. Там должна быть запись Wi-Fi интерфейса.

Если ее нет — добавляем кнопкой [+]. Кликаем Advanced Mode.

Выбираем Mode: AP Bridge. SSID – Имя нашей WiFi точки.

Band: ставим желаемый режим работы WiFi.

Channel Widh: ширину канала.

Обычно — 2GHz-B/G/N, Channel Widh: 20/40MHz HT Below — режим

совместимости.

Если нужен расширенный диапазон частот - Frequency mode: Superchannel.

Frequency: ставим желаемую частоту. (Учитывайте, что ноутбуки работают только на

стандартных частотах)

Security Profile:Default (В этом профиле мы затем укажем WPA пароль)

Bridge Mode: включен.

В Data Rates выбираем режимы работы.

В HT Включаем — Chain 0, antenna a. (Chain 0, Chain1 – только для MIMO)

Для ноутбуков WDS, Nstream, NV2 – должен быть отключен.

Pooling — оставить включенным.

В TX Power можно выставить мощность передатчика.

Жмем Apply. Enable. Внизу справа должно появиться — running ap

Не забудьте отредактировать профиль в Security Profiles и поставить WPA пароль для

доступа к точке.

Идем во вкладку Security Profiles.

2 раза кликаем по Default. Mode: dynamic keys. WPA PSK, WPA2 PSK, tkip, aes com
— включаем.

WPA Pre-Shared Key, WPA2 Pre-Shared Key – ставим наш пароль из 8 символов.

Management Protection: disabled.

При желании можно добавить любое количество WiFi точек с разными SSID

(Wireless – Interfaces - [+] Virtual AP).

Теперь идем в IP – Address List. Добавляем запись c IP: 192.168.2.1/0, 192.168.2.0,

Интерфейс wlan1.

Интернет уже будет, если на Wi-Fi адаптере компьютера поставить IP 192.168.2.2,

Маску 255.255.255.0, Шлюз 192.168.2.1, DNS 192.168.2.1.

Для получения IP по DHCP есть 2 варианта.

1. Добавить еще один DHCP-сервер на порт wlan1 с пулом адресов 192.168.2.ххх.

2. Сбриджевать интерфейсы локалки и WiFi.

Идем в раздел Bridge. [+] - добавляем интерфейс bridge1.

Тут же кликаем Settings. Use IP Firewall.

В Ports добавляем 2 интерфейса. Вначале LAN1. Затем wlan1.

Идем в IP - DHCP Server, DHCP. Двойной клик по записи DHCP. И меняем

интерфейс LAN1 на bridge1.

Не забудьте, что в IP – ARP динамически появятся записи с интерфейсом bridge1. Их

сделайте статическими при необходимости. Старые записи на интерфейсе LAN1 —
удалите. Во вкладке Interfaces – кликните по bridge1 и укажите Arp: reply-only, если
нужна блокировка.

Не забудьте в Tools - MAC-Server - WinBox добавить интерфейс bridge1, чтоб

заходить через WinBox по MAC-у.

Все. Теперь WiFi клиенты получат IP адреса из того же сегмента сети, что и
проводные.
В Wireless – Registration – будут появляться все клиенты, которые подключены к
вашей WiFi точке. Тут можно посмотреть их Tx/Rx скорости и пр. параметры.

5. Пускаем нашу локалку в интернет.

5.1. Локалка в Интернет

Идем в IP – Firewall, вкладка NAT. По умолчанию NAT уже должен быть прописан.

Если нету — то кликаем [+]. Chain – srcnat.

Out. Interface – интерфейс, который смотрит в интернет. Можно оставить пустым.

Вкладка Action – masquerade.

Все. Интернет настроен.

-Левчук Владимир-