Вы находитесь на странице: 1из 48

НАСТРОЙКА

ОБОРУДОВАНИЯ MIKROTIK
Конспект к видеокурсу

Версия 1.01
support@kursy-po-it.ru
Оглавление
Модуль 1. Введение .................................................................................................................................... 5
Официальные учебные программы MikroTik ....................................................................................... 5
Официальные учебные курсы MikroTik ............................................................................................. 5
Схема прохождения курсов по MikroTik............................................................................................ 5
Описание курсов.................................................................................................................................. 5
Обозначения в курсе ............................................................................................................................... 5
Обозначения в графическом интерфейсе ......................................................................................... 5
Обозначения в консоли ...................................................................................................................... 6
Компания MikroTik .................................................................................................................................. 6
Плюсы и минусы MikroTik ....................................................................................................................... 7
Знакомство с RouterOS ............................................................................................................................ 7
Лицензирование .................................................................................................................................. 8
Прочее .................................................................................................................................................. 9
Знакомство с RouterBOARD..................................................................................................................... 9
Маркировка RouterBOARD ...................................................................................................................... 9
Маркировка Cloud Core Router .............................................................................................................11
Блок схема RouterBOARD ......................................................................................................................12
Сравнение производительности сетевого оборудования .................................................................12
Как выбрать устройство на базе RouterBOARD ...................................................................................12
Знакомство с Cloud Hosted Router (CHR)..............................................................................................13
Лицензирование ................................................................................................................................13
Первое подключение к устройству MikroTik .......................................................................................14
WebFig ....................................................................................................................................................14
WinBox, настройки подключения.........................................................................................................15
WinBox, интерфейс настроек маршрутизатора...................................................................................16
Подключение через Telnet и SSH .........................................................................................................16
Интерфейс командной строки..............................................................................................................16
Справка и перемещение ...................................................................................................................17
Общие команды ................................................................................................................................17
Быстрая настройка ................................................................................................................................19
Простейшая конфигурация для доступа в Интернет ..........................................................................19
Объединение портов в коммутаторе ..................................................................................................20
Работа с файлами ..................................................................................................................................20

Конспект к видеокурсу Настройка оборудования MikroTik. курсы-по-ит.рф


Страница 1 из 47
Резервное копирование .......................................................................................................................20
Сброс настроек ......................................................................................................................................20
Программный сброс ..........................................................................................................................21
Аппаратный сброс настроек .............................................................................................................21
Пакеты в RouterOS .................................................................................................................................21
Обновление RouterOS и RouterBOOT...................................................................................................23
Установка предыдущей версии RouterOS (downgrade) .................................................................24
Переустановка RouterOS .......................................................................................................................24
Настройка времени ...............................................................................................................................24
Управление пользователями ...............................................................................................................25
Управление службами ..........................................................................................................................26
Активация доступа по https:// ..............................................................................................................26
Получение информации о лицензии ...................................................................................................26
Идентификация системы ......................................................................................................................26
Безопасный режим................................................................................................................................26
Настройка USB-модема .........................................................................................................................27
MikroTik Neighbor Discovery Protocol (MNDP) .....................................................................................27
Модуль 2. DHCP, DNS и ARP ......................................................................................................................27
DNS ..........................................................................................................................................................27
DHCP-клиент...........................................................................................................................................27
DHCP-сервер...........................................................................................................................................28
Аренда адресов .....................................................................................................................................28
ARP ..........................................................................................................................................................28
Модуль 3. Мостовые соединения (Bridging) ...........................................................................................28
Концепция сетевых мостов...................................................................................................................28
Настройка Bridge-интерфейса ..............................................................................................................29
Модуль 4. Маршрутизация .......................................................................................................................30
Основы маршрутизации .......................................................................................................................30
Редактирование таблицы маршрутизации .........................................................................................30
Настройка двух Интернет-провайдеров в режиме резервирования ...............................................31
Модуль 5. Беспроводные сети .................................................................................................................31
Wi-Fi на MikroTik ....................................................................................................................................31
Настройки беспроводного интерфейса. Вкладки General и Wireless ...............................................31
Вкладка “General” ..............................................................................................................................31
Вкладка “Wireless” .............................................................................................................................32
Настройки беспроводного интерфейса. Прочие вкладки .................................................................33
Вкладка “Advanced”...........................................................................................................................33
Конспект к видеокурсу Настройка оборудования MikroTik. курсы-по-ит.рф
Страница 2 из 47
Вкладка “HT” ......................................................................................................................................34
Остальные вкладки ...........................................................................................................................34
Connect list..............................................................................................................................................34
Access list ................................................................................................................................................34
Модуль 6. Брандмауэр (firewall) ..............................................................................................................35
Теория.....................................................................................................................................................35
Firewall Filter, теория .............................................................................................................................35
Firewall Filter, описание опций .............................................................................................................36
Вкладка “Gerenal” ..............................................................................................................................36
Вкладка “Advanced”...........................................................................................................................37
Вкладка “Extra” ..................................................................................................................................37
Вкладка “Action” ................................................................................................................................37
Firewall Filter, правила для гостевой беспроводной сети ..................................................................38
Пользовательские цепочки ..................................................................................................................39
Firewall NAT, проброс портов ...............................................................................................................39
Firewall NAT, описание опций...............................................................................................................39
Вкладка “Gerenal” ..............................................................................................................................39
Вкладка “Advanced”...........................................................................................................................39
Вкладка “Extra” ..................................................................................................................................40
Вкладка “Action” ................................................................................................................................40
Список адресов ......................................................................................................................................42
FastTrack .................................................................................................................................................42
Отслеживание соединений ..................................................................................................................42
Брандмауэр в реальной жизни ............................................................................................................42
Модуль 7. QoS (Quality of Service) ............................................................................................................43
Введение в QoS ......................................................................................................................................43
Ограничение скорости ..........................................................................................................................43
Ограничение скорости, режим =Вспышка= ........................................................................................44
Равномерное распределение ширины канала ...................................................................................44
Назначение приоритета трафику .........................................................................................................45
Правильные значения Max Limit и Limit At .........................................................................................45
Модуль 8. Туннели ....................................................................................................................................45
Общие настройки ..................................................................................................................................45
PPPoE (Site-to-Site) .................................................................................................................................45
PPTP (Site-to-Site) ...................................................................................................................................46
SSTP (Site-to-Site) ....................................................................................................................................46
L2TP (Site-to-Site)....................................................................................................................................46
Конспект к видеокурсу Настройка оборудования MikroTik. курсы-по-ит.рф
Страница 3 из 47
L2TP (Client-to-Site) ................................................................................................................................46
Настройка брандмауэра .......................................................................................................................46
Возможные правила .........................................................................................................................46

Конспект к видеокурсу Настройка оборудования MikroTik. курсы-по-ит.рф


Страница 4 из 47
Модуль 1. Введение
Официальные учебные программы MikroTik
Официальные учебные курсы MikroTik
 MTCNA - MikroTik Certified Network Associate
 MTCRE - MikroTik Certified Routing Engineer
 MTCWE - MikroTik Certified Wireless Engineer
 MTCTCE - MikroTik Certified Traffic Control Engineer
 MTCUME - MikroTik Certified User Management Engineer
 MTCIPv6E - MikroTik Certified IPv6 Engineer
 MTCINE - MikroTik Certified Inter-networking Engineer

Схема прохождения курсов по MikroTik

Описание курсов
Курс MTCNA является базовым курсом и рассказывает о возможностях оборудования
RouterBOARD и операционной системы RouterOS. Так же рассматриваются начальные вопросы
настройки RouterOS.

Курс MTCRE рассказывает о маршрутизации. Развернуто рассматривается статическая и


динамическая маршрутизации.

Курс MTCINE является расширенным курсом по маршрутизации. Рассматриваются протоколы BGP


и MPLS.

Курс MTCWE рассказывает о настройке беспроводных сетей.

Курс MTCTCE рассказывает о настройках брандмауэра, технологии QoS. Подробно разбирается


схема прохождения трафика.

Курс MTCUME рассказывает об управлении пользователями, настройке хотспотов, туннелях и


IPSec.

Курс MTCIPv6E рассказывает о настройке протокола IPv6

Обозначения в курсе
Обозначения в графическом интерфейсе
Обозначение IP => Firewall => NAT равносильно действиям, показанным на картинке:

Конспект к видеокурсу Настройка оборудования MikroTik. курсы-по-ит.рф


Страница 5 из 47
Обозначения в консоли
 Лиловым цветом выделяются команды, которую надо ввести в консоли.
 красным цветом (возможно с курсивом) указываются аргументы для которых надо указать
реальные значения.
 С помощью вертикальной черты (|) разделяются альтернативные, взаимоисключающие
элементы.
 В квадратных скобках ([ ]) указываются необязательные элементы.
 В фигурных скобках ({ }) указываются обязательные элементы.
 В фигурных скобках, помещенных в квадратные скобки ([ { } ]), указываются обязательные
элементы в пределах необязательного элемента.

Компания MikroTik
Mikrotīkls Ltd. (в переводе с латышского — «Маленькие сети», известны под торговой маркой
MikroTík, произносится как [микрот`ик] ) - производитель сетевого оборудования. Компания
расположена в Латвии в Риге. MikroTik разрабатывает и продает проводное и беспроводное
сетевое оборудование, в частности маршрутизаторы, сетевые коммутаторы (свитчи), точки
доступа, а также программное обеспечение - операционные системы и вспомогательное ПО.
Компания была основана в 1996 году с целью продажи оборудования на развивающихся рынках.
По состоянию на декабрь 2015 года, в компании работало 160 сотрудников. Боле поздняя
информация отсутствует.

История компании:

 1996 г. – основание компании MikroTik.


 1997 г. – выход первой RouterOS для x86.
 2002 г. – выход RouterBOARD.
 2006 г. – проведение первого MUM в истории в г. Прага.
 2011 г. – начата официальная продажа в РФ.
 2012 г. – проведение первого MUM в РФ.

Ресурсы по MikroTik:

 http://mikrotik.com
 http://routerboard.com
 http://cloudcorerouter.com
 http://www.youtube.com/user/mikrotikrouter
 http://mum.mikrotik.com
Конспект к видеокурсу Настройка оборудования MikroTik. курсы-по-ит.рф
Страница 6 из 47
 http://wiki.mikrotik.com
 http://mikrotik.com/support.html
 http://mikrotik.com/consultants.html
 http://mikrotik.vetriks.ru

Плюсы и минусы MikroTik


Минусы:

 требует понимания того, что делаешь;


 нет многих полезных опций. Например, WINS-сервера;
 мало учебных материалов;
 информация на английском языке;
 плохая техническая поддержка;
 отсутствие сертификации ФСТЭК;
 не поддерживает проприетарные протоколы других вендоров (EIGRP и др.);
 не маршрутизирует более 80 Gbps.

Плюсы:

 стоимость;
 функциональность;
 стабильность;
 свободное получение обновлений;
 единый интерфейс;
 масштабируемость.

Знакомство с RouterOS
Одним из продуктов MikroTik является RouterOS — сетевая операционная система на базе Linux.
RouterOS предназначена для установки на маршрутизаторы MikroTik RouterBOARD. Также данная
система может быть установлена на ПК или виртуальную машину, превращая их в маршрутизатор.

RouterOS поддерживает следующий функционал и многое другое:

Статическая и динамическая маршрутизация на базе: RIP, OSPF, BGP, MPLS и др.

 Виртуальные сети:
o VPN site-to-site и client-to-site: PPTP, PPPoE, SSTP, OpenVPN, L2TP.
o VPN site-to-site: EoIP, IPIP, GRE, VLAN и др.
 Беспроводные сети:
o 802.11 a/b/g/n/ac;
o Проприетарные протоколы: Nstream и Nv2.
 А также: QoS, брандмауэр, DHCP клиент и сервер, HotSpot и др.

Операционная система имеет несколько уровней лицензий с возрастающим числом функций.


Кроме того, существует программное обеспечение под названием Winbox, которое предоставляет
графический интерфейс для настройки RouterOS. Доступ к устройствам под управлением RouterOS
возможен также через FTP, Telnet, и SSH. Существует также API, позволяющий создавать
специализированные приложения для управления и мониторинга.

WISP (Wireless Internet Service Provider) –Интернет провайдер беспроводного доступа в Интернет.

CPE (customer-premises equipment) - телекоммуникационное оборудование, устанавливаемое в


помещении абонента.

Конспект к видеокурсу Настройка оборудования MikroTik. курсы-по-ит.рф


Страница 7 из 47
Controller – контроллер.

Лицензирование

Уровень 0 1 3 4 (WISP) 5 (WISP) 6


лицензии (Триал (бесплат (WISP (Controlle
на 24 ная CPE) r)
часа) демо)

Цена Ключ не Нужна По $45 $95 $250


нужен регистрац запросу
ия от 100
шт.

Поддержка - - - 15 дней 30 дней 30 дней


первоначальной
конфигурации

Беспроводная да - - да да да
точка доступа

Беспроводной да - да да да да
клиент и мост

Протоколы: RIP, да - да(*) да да да


OSPF, BGP

EoIP туннели да 1 неогр. неогр. неогр. неогр.

PPPoE, PPTP, да 1 200 200 500 неогр.


L2TP туннели

OVPN туннели да 1 200 200 неогр. неогр.

VLAN да 1 неогр. неогр. неогр. неогр.


интерфейсы

Активных да 1 1 200 500 неогр.


пользователей
HotSpot

RADIUS клиент да - да да да да

Очередей да 1 неогр. неогр. неогр. неогр.

Конспект к видеокурсу Настройка оборудования MikroTik. курсы-по-ит.рф


Страница 8 из 47
Web proxy да - да да да да

Активных да 1 10 20 50 неогр.
сессий User
manager’а

Количество - 1 неогр. неогр. Неогр. неогр.


гостей KVM

Все уровни лицензий:

 Без ограничения по сроку действия.


 Без ограничений по количеству интерфейсов.
 Без ограничений по обновлениям.
 Рассчитана только на одну установку.

Прочее
История версий:

 RouterOS v3: январь 2008 — октябрь 2009 (основана на ядре Linux 2.4.31)
 RouterOS v4: октябрь 2009 — март 2011 (основана на ядре Linux 2.6.26)
 RouterOS v5: март 2011 — сентябрь 2013 (основана на ядре Linux 2.6.35)
 RouterOS v6: май 2013 — н. в. (основана на ядре Linux 3.3.5)

Обновления выпускаются в трех ветках:

 Bugfix only – только исправление ошибок. Новый функционал отсутствует.


 Current – исправление ошибок и новый функционал, который, в свою очередь, может
внести новые ошибки.
 Release Candidate – тестовая версия, которая содержит самый последний функционал и
является потенциально нестабильной. Не рекомендуется к использованию в рабочей
среде.

Знакомство с RouterBOARD
RouterBOARD — аппаратная платформа от MikroTik, представляющая собой линейку
маршрутизаторов под управлением операционной системы RouterOS.

Cloud Core Router (CCR) – мощный RouterBOARD.

Сайты:

 https://routerboard.com
 http://cloudcorerouter.com

Маркировка RouterBOARD
<название аппаратной платформы> <возможности платформы>-<встроенный беспроводной
модуль> <возможности беспроводной карты>-<тип коннектора> -<тип исполнения>

Название аппаратной платформы

В настоящее время существует три типа именования аппаратных платформ.

Конспект к видеокурсу Настройка оборудования MikroTik. курсы-по-ит.рф


Страница 9 из 47
1. трехзначный номер
o 1-ый знак обозначает серию
o 2-ой знак обозначает количество возможных проводных интерфейсов (Ethernet,
SFP, SFP+)
o 3-ий знак обозначает количество возможных беспроводных интерфейсов
(встроенный, mPCI и mPCIe слоты)
2. Слово - сейчас используются имена: OmniTIK, Groove, SXT, SEXTANT, Metal. Если у
аппаратной платформы происходят принципиальные изменения в аппаратном
обеспечении (вроде другого процессора) в конце будет добавлен номер ревизии.
3. Имена исключения. Платформы 600, 800, 1000, 1100, 1200, 2011 отдельно стоящие
линейки или линейки, которые имеют более 9 проводных интерфейсов. Из-за этого их
название было упрощено с округлением до сотни или года разработки.

Возможности платформы

Возможности платформы идут сразу за названием аппаратной платформы (без пробелов или
дефисов), за исключением, когда название платформы слово. В таком случае возможности
платформы отделяются пробелом.

 A - больше оперативной памяти (обычно так же более высокий уровень лицензии)


 e - наличие слота расширения PCIe
 H - более мощный ЦП
 G - Гигабит (может включать "U","A","H", если не используется с "L")
 U - USB
 i - порт с выходом PoE
 L - упрощенная версия
 P - возможность получать питание с помощью технологии PoE
 R - наличие слота MiniPCI или MINIPCIe
 S - наличие порта SFP
 x<N> - N количество ядер ЦП ( x2, x16, x36 и т. д.)

Встроенный беспроводной модуль

Если на платформе имеется встроенный беспроводной модуль, то все его возможности


указываются в следующем формате:

<диапазон><мощность на канал><протокол><количество каналов>

 Диапазон
o 5 - 5ГГц
o 2 - 2.4ГГц
o 52 - двухдиапазонная 5ГГц и 2.4ГГц
 Мощность на канал
 (не используется) - "Обычная" - <23dBm на 6Mbps 802.11a; <24dBm на 6Mbps 802.11g
o H - "High" (высокая) - 23-24dBm на 6Mbps 802.11a; 24-27dBm на 6Mbps 802.11g
o HP - "High Power" (Высокая мощность) - 25-26dBm на 6Mbps 802.11a; 28-29dBm на
6Mbps 802.11g
o SHP - "Super High Power" (Супер высокая мощность) - 27+dBm на 6Mbps 802.11a;
30+dBm на 6Mbps 802.11g
 Протокол
o (не используется) - для карточек с поддержкой только 802.11a/b/g
o n - для карт с поддержкой 802.11n
Конспект к видеокурсу Настройка оборудования MikroTik. курсы-по-ит.рф
Страница 10 из 47
o ac - для карт с поддержкой 802.11ac
 количество каналов
o (не используется) - один канал
o D - два канала
o T - три канала
 Тип коннектора
o (не используется) - только один коннектор
o MMCX - коннектор типа MMCX
o u.FL - коннектор типа u.FL

Тип исполнения

 (не используется) - основной тип корпуса для этого вида продукции. У всех платформ по-
разному.
 BE - корпус "black edition"
 BU - board unit (no enclosure) - for situation when board-only option is required, but main
product already comes in the case
 EM - увеличенный объем ОЗУ
 IN - напольный вариант
 LM - уменьшенный объем ОЗУ
 OUT - корпус рассчитан на использование на улице
 PC - без вентиляторов, для охлаждения используется радиатор большего размера (Passive
Cooling)
 RM - корпус рассчитан на монтирование в стойку
 TC - "башня" вертикальный корпус

Специфичные версии OUT исполнений

 BB - исполнение типа "Basebox" (для RB911)


 HG - исполнение в виде антенный с большим усилением (для SXT)
 NB - исполнение типа "NetBox" (для RB911)
 NM - исполнение типа "NetMetal" (для RB911)
 PB - исполнение типа "PowerBOX" (для RB750P, RB950P)
 SA - исполнение в виде секторной антенны (для SXT)
 QRT - исполнение типа "QRT" (для RB911)
 SX - исполнение типа "Sextant" (для RB911, RB711)

Маркировка Cloud Core Router


Маршрутизаторы Cloud Core Router (короткая версия - CCR) именуются следующим образом: <4-х
значный номер>-<список портов>-<тип исполнения>

 4-х значный номер


o 1-ый знак обозначает серию
o 2-ой знак зарезервирован
o 3-ий и 4-ый знаки обозначают количество ядер ЦП
 список портов
o -<n>G - количество портов Ethernet со скоростью 1Гб/с
o -<n>S - количество портов SFP
o -<n>S+ - количество портов SFP+

Конспект к видеокурсу Настройка оборудования MikroTik. курсы-по-ит.рф


Страница 11 из 47
 тип исполнения - все устройства CCR рассчитаны на монтаж в стойку, так же возможны
значения: PC (Passive Cooling) - пассивное охлаждение (без вентилятора, без шумный), и
EM (Extended Memory) - увеличенный объем ОЗУ.

Блок схема RouterBOARD


С помощью блок схемы можно выяснить следующую информацию:

 схема объединения портов;


 наличие поддержки аппаратного шифрования у ЦП;
 другие опции.

Обозначения блок схемы:

 Amplifier – усилитель
 Beeper – звуковой сигнализатор
 Bypass group – порты, входящие в группу будут соединены между собой даже, если не
будет электричества
 Chain – канал приемопередатчика беспроводной связи
 CPU – процессор
 CPU with HW accell – процессор с поддержкой аппаратного шифрования
 FLASH – память постоянная
 Integrated Switch – встроенный коммутатор
 LCD – жидкокристаллический экран
 LED – светодиод
 RAM – память оперативная

Сравнение производительности сетевого оборудования


Производительность сетевого оборудования измеряют в:

 пакеты в секунду (pps – packet per second);


 байты в секунду (bps – bytes per second).

При расчете производительности надо учитывать наличие правил файервола, простых очередей и
других параметров которые снижают производительность устройства.

Как выбрать устройство на базе RouterBOARD


До покупки оборудования MikroTik необходимо иметь ответы на следующие вопросы:

С какой целью будет использоваться устройство?

 Устройство все в одном: маршрутизатор и Wi-Fi (Как правило, невозможно стойкое


шифрование со скоростью выше 20 Мб/c).
 Точка доступа Wi-Fi.
 Маршрутизатор единственного офиса или филиала без обязательного стойкого
шифрования VPN-канала(ов) (Суммарная скорость всех шифрованных каналов не более 20
Мб/с).
 Маршрутизатор ядра или маршрутизатор филиала с обязательным стойким шифрованием
VPN-канала(ов). Все маршрутизаторы начальных линеек с производительностью
аналогичной или ниже чем у линейки 2011 не смогут предоставить большую скорость. Для
того чтобы получить приемлемую скорость передачи данных в зашифрованном канале
надо использовать более мощный процессор, как правило, еще и много ядерный. Так же
желательна аппаратная поддержка шифрования.

Конспект к видеокурсу Настройка оборудования MikroTik. курсы-по-ит.рф


Страница 12 из 47
Если требуется Wi-Fi модуль, то определиться:

 Будет использоваться внутри помещения или на улице?


 Какие беспроводные стандарты нужны 2,4 ГГц, 5 ГГц или оба сразу?
 Количество каналов на каждом используемом стандарте?
 Нужна направленная или всенаправленная антенна?

Дополнительные вопросы:

 Какое исполнение корпуса нужно?

Полезные ссылки (между русскими словами нижнее подчеркивание):

 http://mikrotik.vetriks.ru/wiki/Прочее:Выбор_оборудования_MikroTik
 http://mikrotik.vetriks.ru/wiki/VPN:Тест_скорости_передачи_данных_при_VPN

Знакомство с Cloud Hosted Router (CHR)


Cloud Hosted Router (CHR) - это RouterOS интегрированная в виртуальную машину.

Возможные форматы:

 RAW disk image (.img file)


 VMWare disk image (.vmdk file)
 Hyper-V disk image (.vhdx file)
 VirtualBox disk image (.vdi file)

Минимальные системные требования:

 64-х битный ЦП с поддержкой виртуализации;


 ≥128 MB ОЗУ;
 ≥ 128 MB места для виртуального диска ВМ.

Последовательность установки:

1. Скачайте образ диска для нужного Вам гипервизора.


2. Создайте гостевую виртуальную машину.
I. В процессе создания укажите, что хотите использовать, загруженный ранее образ
виртуального диска.
3. Запустите виртуальную машину.
4. Залогиньтесь в CHR. Имя пользователя 'admin', без пароля.

Лицензирование
Для всех тарифов:

 доступа 60-ти дневная триал версия;


 лицензия бессрочная;
 допускается перенос лицензии на другое CHR устройство;
 если CHR не сможет связаться с сервером лицензирования, то лицензия станет триал-
версией и не сможет получать обновления;

Лицензия Ограничение скорости Цена

Бесплатная 1 Мб/c Бесплатно

Конспект к видеокурсу Настройка оборудования MikroTik. курсы-по-ит.рф


Страница 13 из 47
P1 1 Гб/c 45$

P10 10 Гб/c 95$

P-Unlimited Без ограничения 250$

Первое подключение к устройству MikroTik


Варианты подключения к маршрутизатору:

 Через интерфейс Ethernet или Wi-Fi:


o WinBox (IP или MAC-адрес);
o WebFig (http и https, требуется поддержка Java Script);
o SSH;
o Telnet.
 Через консольный порт (RS-232). Настройки: 115200 bps, 8 data bits, 1 stop bit, no parity, no
flow control.
 Без специального подключения для x86.

Настройки по умолчанию RouterBOARD:

 IP-адрес: 192.168.88.1
 Имя пользователя – admin
 Пароля нет
 Внешний интерфейс: ether1 или wlan1 для точек доступа
 Внутренний интерфейс: ether2 или ether1 для точек доступа

Настройки по умолчанию Cloud Hosted Router:

 IP-адрес 1-го интерфейса: DHCP-клиент


 Имя пользователя – admin
 Пароля нет

WebFig

Конспект к видеокурсу Настройка оборудования MikroTik. курсы-по-ит.рф


Страница 14 из 47
WinBox, настройки подключения

Tools => Advanced mode – переключение в расширенный режим.

Поля:

 Connect To – IP или MAC-адрес устройства


 Login – имя пользователя
 Password – пароль
 Session – выбор сохраненной сессии
 Note – примечание
 Group – группа
 RoMON Agent – выбор RoMON агента

Чек-боксы:

 Keep Password – сохранять пароль


 Secure Mode – использовать протокол TLS для обеспечения безопасности сессии
 Autosave Session – сохранять сессию после отключения
 Open In New Windows – начинать сессию в новом окне

Выпадающее меню «File»:

 New – создать новый список управляемых устройств и задать его расположение


 Open – открыть список управляемых устройств
 Save As – сохранить текущий список устройств в файл
 Exit – выход из WinBox
Конспект к видеокурсу Настройка оборудования MikroTik. курсы-по-ит.рф
Страница 15 из 47
Выпадающее меню «Tools»:

 Advanced Mode – включение/выключение расширенного режима отображения


 Import – импорт сохраненного файла сессий
 Export – экспорт текущих сессий в файл
 Move Session Folder – изменить папку в которой сохраняются файлы сессий
 Clear cache – очистка кэша WinBox
 Check For Updates – проверить наличие обновлений для WinBox

По умолчанию WinBox использует порт TCP 8291.

Расположение профиля по умолчанию:


C:\Users\%username%\AppData\Roaming\Mikrotik\Winbox\Addresses.cdb

WinBox, интерфейс настроек маршрутизатора

Подключение через Telnet и SSH


Клиент putty можно взять с сайта: http://www.putty.org/

Страница загрузки: http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html

Интерфейс командной строки.


Консоль (интерфейс командной строки, CLI - Command Line Interface) используется для доступа к
маршрутизаторам MikroTik для настройки и управления средствами текстового терминала. Доступ
к консоли может быть получен с помощью серийного порта, telnet, SSH или окна терминала в
утилитах WinBox или WebFig. Если RouterOS установлена на компьютер, то доступ может быть
получен с помощью монитора и клавиатуры. Консоль так же может быть использована для
написания скриптов.
Конспект к видеокурсу Настройка оборудования MikroTik. курсы-по-ит.рф
Страница 16 из 47
Консоль позволяет управлять настройками маршрутизатора используя текстовые команды.
Поскольку существует много доступных команд, они разделены на группы, организованных
соответственно иерархическим уровням меню графического интерфейса. Название уровня меню
отражает информацию о конфигурации, доступную в соответствующем разделе, например, /ip
route.

Ввиду того, что существует огромное количество возможных команд, они разбиты по группам,
организованным по принципу иерархического меню. Наименование уровня меню отображает
конфигурационную информацию доступную в данной секции. Например, /ip route.

Преимущества командной строки:

 некоторые операции можно выполнить только из консоли;


 увеличивает скорость;
 облегчает чтение конфигурации;
 соединение возможно при самых низких скоростях соединения.

Справка и перемещение
Одинарное нажатие клавиши [Tab]

Если нажать клавишу [Tab] после части слова, консоль пытается найти в текущем контексте
команду, которая начинается с этого слова. Если есть только одно совпадение, команда
автоматически добавляется и за ней следует пробел.

Если нажать клавишу [Tab] без введения части слова, то в выдаче будут показаны возможные
следующие команды.

Двойное нажатие клавиши [Tab] - без введения части слова, то в выдаче будут показаны
возможные следующие команды включая команды для встроенного языка скриптов.

? - то же, что и [Tab] без введения части слова, но с добавлением описания команды.

/ - переместиться в корень консоли.

.. - переместиться в консоли на один уровень вверх.

стрелка вверх и стрелка вниз - перемещение по истории команд

Общие команды
Есть некоторые команды, которые являются общими почти для всех уровней меню. Такие
команды имеют одинаковое поведение на разных уровнях меню.

Добавление, редактирование и удаление элементов


add - эта команда обычно имеет все те же аргументы, как set, кроме аргумента с номером
элемента. Это добавляет новый элемент со значениями, которые Вы определили, как правило, в
конце списка позиций, в тех местах, где порядок элементов имеет значение. Есть некоторые
необходимые свойства, которые вы должны поставить, например, как интерфейс для нового
адреса, в то время как для других свойств устанавливаются значения по умолчанию, если вы явно
не указали их.

 Общие параметры:
o copy-from - копировать параметры из уже существующего элемента. Если вы не
хотите, сделать точную копию, то вы можете указать новые значения для
некоторых свойств. При копировании элементов, которые имеют имена, вы, как
правило, должны дать новое имя копии;

Конспект к видеокурсу Настройка оборудования MikroTik. курсы-по-ит.рф


Страница 17 из 47
o place-before - помещает новый элемент перед существующим элементом с
указанной позиции. Таким образом, вам не нужно использовать команду
перемещения после добавления элемента в список;
o disabled - управление состоянием отключено / включено для вновь добавленного
элемента(-ов);
o comment - содержит описание вновь созданного пункта.
 Возвращаемые значения:
o добавляет команду возврата внутреннего номера элемента который был
добавлен.

remove - удалить определенный(ые) элемент(ы) из списка.

enable - включение опции

disable - выключение опции

enabled - со значением =yes включено, а со значением =no выключено

disabled - со значением =no выключено, а со значением =no включено

edit - эта команда связана с командой set. Она может быть использована для редактирования
значений свойств, которые содержат большое количество текста, например, скрипты, но она
работает со всеми редактируемыми свойствами. В зависимости от возможностей терминала, либо
полноэкранный редактор, или один редактор строки запускается для редактирования значения
указанного свойства.

set - позволяет изменять значения общих параметров или параметров изделия. Команда имеет
множество аргументов с именами соответствующих значений, которые вы можете изменить.
Используйте ? или двойной [Tab], чтобы увидеть список всех аргументов. Если есть список
элементов, для которых доступны действия, установите аргумент соответственно номеру
элемента (или список номеров), который(е) вы хотите настроить. Эта команда не возвращает
ничего.

Прочие команды
comment - добавить комментарий

brief - краткое описание

detail - отобразить подробное описание

export - отобразить конфигурацию текущего уровня иерархии. При выполнении из корня


отобразит всю текущую конфигурацию.

find - Команда find имеет те же аргументы, что и set, плюс флаг аргументы, как disabled или active,
которые принимают значения yes или no в зависимости от значения соответствующего флага. Для
того чтобы увидеть все флаги и их имена, смотрите на начало вывода команды print. Команда find
возвращает внутренние номера всех элементов, которые имеют те же значения аргументов, как
указано команде.

move - меняет порядок элементов в списке.

 первый аргумент определяет перемещаемый элемент(-ы).


 второй аргумент задает элемент, перед которым, будут размещены перемещаемые
элементы (они помещаются в конец списка, если второй аргумент опущен).

Конспект к видеокурсу Настройка оборудования MikroTik. курсы-по-ит.рф


Страница 18 из 47
print - показывает всю информацию, которая доступна из определенного уровня команд. Таким
образом, /system clock print показывает системные дату и время, /ip route print показывает все
маршруты и т.д. Если есть список элементов в текущем уровне, и они не только для чтения, то есть
вы можете изменить или удалить их (пример только для чтения элемента списка или системной
историю, которая показывает историю выполненных действий), а затем напечатать команду также
правопреемников номера, которые используются всеми командами, которые работают с
элементами в этом списке.

 from - показать только указанные элементы, в том же порядке, в котором они даны.
 where - показать только те элементы, которые соответствуют указанным критериям.
Синтаксис свойства where аналогичен команде find.
 brief - заставляет команду печати использовать табличную форму вывода
 detail - заставляет команду печати использовать форму вывода property=value
(свойство=значение)
 count-only - показывает количество элементов
 file - печатает содержимое конкретного подменю в файл на маршрутизаторе.
 interval - обновление вывода команды print через интервал, заданный в секундах.
 oid - печатает значение OID для свойств, которые доступны из SNMP
 without-paging - печатает вывод без остановки после каждого заполненного экрана.

Быстрая настройка
Возможные режимы:

 CAP – аббревиатура от “Client Access Point”. Точка доступа Wi-Fi.


 CPE – аббревиатура от "Customer Premises Equipment". В этом режиме устройство будет
подключаться к другой беспроводной сети (как ноутбук), но при этом не будет создавать
свою собственную беспроводную сеть.
 Home AP – если переводить дословно, то это «домашняя точка доступа». По факту это
домашняя точка доступа + маршрутизатор.
 PTP Bridge – режим используется для настройки сети типа «точка-точка». Используется для
расширения сети в случае, когда нет проводного подключения.
 WISP AP – аббревиатура от "Wireless Internet Service Provider". Переводится, как
«Интернет-провайдер по беспроводному каналу». В этом режиме устройство может
распространять более одного SSID и позволяет настраивать другие расширенные опции.

Простейшая конфигурация для доступа в Интернет


Порядок:

1. Сбросить настройки с установкой «без дефолтной конфигурации» (System => Reset


Configuration, установить галку на «no default configuration»).
2. Подключиться с помощью MAC-WinBox.
3. Задать минимальные настройки.

Минимальные настройки:

1. IP-адрес на внешнем интерфейсе (WAN);


2. маршрут по умолчанию;
3. IP-адрес на внутреннем интерфейсе (LAN);
4. создать правило NAT (masquerade);
5. настроить DNS-сервер (не обязательно):

Конспект к видеокурсу Настройка оборудования MikroTik. курсы-по-ит.рф


Страница 19 из 47
I. разрешить прием DNS-запросов;
II. указать сервер(ы) для пересылки.

Объединение портов в коммутаторе


По умолчанию порты, входящие в состав коммутатора, не объединены.

Объединение портов может быть сделано с помощью встроенного коммутатора или мостового
соединения (bridging).

Для того, чтобы заставить порты работать в составе коммутатора надо выбрать «главный»
интерфейс (Master Port) и у остальных интерфейсов, которые должны работать в составе
коммутатора (Slave-интерфейсы) в параметре “Master Port” необходимо указать «главный»
интерфейс. После этого все настройки, которые должны применяться к группе портов необходимо
задавать Master порту.

Состояние портов обозначается с помощью флагов. Порт может иметь один или сразу несколько
флагов.

Флаги портов:

 D (dynamic) – динамический
 X (disabled) – отключен
 R (running) – в рабочем состоянии
 S (slave) – в группе коммутатора, подчинен другому порту

Работа с файлами
Если в файловом хранилище есть папка “flash”, то информацию надо сохранять в нее, т. к. все что
хранится вне это директории хранится в оперативной памяти и будет удалено после перезагрузки.

Резервное копирование
Устройства на базе RouterOS позволяют делать резервное копирование двумя способами:

 Копирование в бинарный файл (Backup)


 Экспорт конфигурации (только из консоли)

Бинарный файл Экспорт


Полная копия системы Копия нужного раздела или всей
конфигурации
Включает все пароли Часть информации не может быть сохранена:
сертификаты, пароли пользователей
Не редактируется Можно открыть текстовым редактором
Должен быть восстановлен на том же Можно восстанавливать на другом
оборудовании оборудовании
При восстановлении старые настройки При восстановлении старые и новые
заменяются новыми настройки суммируются
Доступно из графического интерфейса и Доступен только из консоли
консоли
Надо знать пароль пользователя при котором Есть режим отладки. Можно определить из-за
создавалась резервная копия чего импорт не происходит
Сброс настроек
Существует три способа сброса настроек:

 Программный
 Аппаратный
Конспект к видеокурсу Настройка оборудования MikroTik. курсы-по-ит.рф
Страница 20 из 47
 Программно-аппаратный

Аппаратный и программно-аппаратный так же подходят для сброса пароля.

Программный сброс
Через графический интерфейс: System => Reset Configuration.

Через консоль:

/system reset-configuration [keep-users] [no-defaults] [run-after-reset=script_name] [skip-backup]

Аппаратный сброс настроек


1. Отключите питание
2. Зажмите кнопку
3. Включите питание
4. Дождитесь что бы светодиод начал мигать
5. Отпустите кнопку

ВАЖНО! Если дождаться пока светодиод перестанет мигать, то маршрутизатор перейдет в режим
переустановки RouterOS.

Пакеты в RouterOS
Пакет – это опция расширяющая функционал RouterOS.

Просмотр текущих пакетов:

 Через графический интерфейс: System => Packages.


 Через консоль: /system package print .

Виды пакетов:

 “Main package” (routeros-*.npk) – содержит стандартный набор пакетов;


 “Extra packages” (all_packages-*.zip) – архив, который содержит стандартный набор пакетов
и все дополнительные.

Для простого домашнего маршрутизатора для обеспечения базового функционала достаточно


одного пакета “system”. Следующим по важности может быть пакет “DHCP”, если Интернет-
провайдер предоставляет IP-адрес с помощью этой технологии. Пакет “PPP” может потребоваться,
если вам требуется подключение типа PPPoE или PPTP. Остальные пакеты не нужны для простого
домашнего маршрутизатора. Рекомендуется устанавливать их только, если вы уверены, что они
действительно вам нужны.

Package Features
advanced-tools (mipsle, mipsbe, утилиты: ping, netwatch, ip-scan, sms tool, wake-on-LAN
ppc, x86)
calea (mipsle, mipsbe, ppc, x86) инструменты сбора данных для специфичного использования
по требованиям "Communications Assistance for Law
Enforcement Act" в США
Конспект к видеокурсу Настройка оборудования MikroTik. курсы-по-ит.рф
Страница 21 из 47
dhcp (mipsle, mipsbe, ppc, x86) DHCP клиент и сервер
gps (mipsle, mipsbe, ppc, x86) поддержка устройств GPS (Global Positioning System)
hotspot (mipsle, mipsbe, ppc, сервер HotSpot портала для управления пользователями (user
x86) management)
ipv6 (mipsle, mipsbe, ppc, x86) поддержка IPv6
mpls (mipsle, mipsbe, ppc, x86) поддержка протокола MPLS (Multi Protocol Labels Switching
support)
multicast (mipsle, mipsbe, ppc, поддержка многоадресной рассылки (Multicast) и IGMP-Proxy
x86)
ntp (mipsle, mipsbe, ppc, x86) NTP-сервер и клиент. NTP-клиент уже встроен в пакет "system"
и полноценно функционирует без установки этого пакета.
openflow (mipsle, mipsbe, ppc, поддержка OpenFlow
x86)
ppp (mipsle, mipsbe, ppc, x86) MlPPP client, PPP, PPTP, L2TP, PPPoE, ISDN PPP клиенты и
серверы
routerboard (mipsle, mipsbe, доступ и управление RouterBOOT. Специальная информация о
ppc, x86) RouterBOARD.
routing (mipsle, mipsbe, ppc, поддержка протоколов динамической маршрутизации: RIP,
x86) BGP, OSPF и утилит маршрутизации: BFD, фильтры для
маршрутов и др.
security (mipsle, mipsbe, ppc, поддержка IPSEC, SSH, Secure WinBox
x86)
system (mipsle, mipsbe, ppc, базовый функционал маршрутизатора: статическая
x86) маршрутизация, IP-адресация, sNTP, telnet, очереди, файервол,
web-proxy, DNS-кэш, TFTP, пулы IP-адресов, SNMP, снифер
пакетов, утилита отправки сообщений по электронной почте,
построение графиков, тест пропускной способности, утилита
Torch, мостовые соединения (bridging), VLAN, протоколы: EoIP,
IPIP, VRRP и др. Так же для платформы RouterBOARD
поддержка MetaROUTER
ups (mipsle, mipsbe, ppc, x86) управление источниками бесперебойного питания фирмы APC
user-manager (mipsle, mipsbe, сервер управления Hotspot и другими средствами управления
ppc, x86) пользователями.
wireless (mipsle, mipsbe, ppc, поддержка беспроводных сетей.
x86)
arlan (x86) поддержка Aironet Arlan
isdn (x86) поддержка модемов ISDN
lcd (x86) поддержка LCD экраном для устройств, подключенных через
параллельный или последовательный порт. Не нужно для LCD
экранов отRouterBOARD.
radiolan (x86) поддержка карт RadioLan
synchronous (x86) поддержка FarSync
routeros-mipsle (mipsle) комбинированный пакет для mipsle (RB100, RB500)
(включает system, hotspot, wireless, ppp, security, mpls,
advanced-tools, dhcp, routerboard, ipv6, routing)
routeros-mipsbe (mipsbe) комбинированный пакет для mipsbe (RB400) (включает system,
hotspot, wireless, ppp, security, mpls, advanced-tools, dhcp,
routerboard, ipv6, routing)
routeros-powerpc (ppc) комбинированный пакет для powerpc (RB300, RB600, RB1000)
(включает system, hotspot, wireless, ppp, security, mpls,
advanced-tools, dhcp, routerboard, ipv6, routing)

Конспект к видеокурсу Настройка оборудования MikroTik. курсы-по-ит.рф


Страница 22 из 47
routeros-x86 (x86) комбинированный пакет для x86 (Intel/AMD PC, RB230)
(включает system, hotspot, wireless, ppp, security, mpls,
advanced-tools, dhcp, routerboard, ipv6, routing)

«Стандартные пакеты», которые установлены по умолчанию: advanced-tools, dhcp, hotspot, mpls,


ppp, routing, security, system, wireless.

Процедура добавления пакетов:

1. Определить архитектуру маршрутизатора (mipsbe, x86, tile или др.).


2. Скачать файл “Extra packages” (all_packages-*.zip) и распаковать его.
3. Выбрать нужные пакеты.
4. Перетащить файлы в свободное поле WinBox.
5. Перезагрузить маршрутизатор.

Включение, выключение и удаление пакетов с помощью консоли: /system package {enable | disable
| uninstall} .

ВАЖНО! Все изменения происходят после перезагрузки маршрутизатора!

Обновление RouterOS и RouterBOOT


RouterOS – это операционная система. RouterBOOT – это загрузчик, аналог BIOS на x86.
RouterBOOT есть только на аппаратных платформах MikroTik: (RouterBOARD, Cloud Core Router и
др.)

Существует три способа обновления:

 Drag & Drog. Необходимо перетянуть файл с обновлением ОС на рабочую поверхность


WinBox.
 Через интерфейс WinBox:
o System => Packages => “Check For Updates” (обновление через Интернет)
o System => Auto Upgrade => “Auto Upgrade” (обновление с указанного источника
обновлений)
 Через консоль:

/system package update


check-for-updates
Install

ВАЖНО! Обновление происходит после перезагрузки маршрутизатора!

Порядок обновления с помощью Drag & Drop:

1. Определить архитектуру маршрутизатора (mipsbe, x86, tile или др.).


2. Скачать нужный файл:
I. “Main package” (routeros-*.npk) – содержит стандартный набор пакетов;
II. “Extra packages” (all_packages-*.zip) – архив, который содержит стандартный набор
пакетов и все дополнительные.
3. Переместить файлы на устройство.
4. Перезагрузить маршрутизатор.

ВАЖНО! Расширенные пакеты надо обновлять сразу!

Конспект к видеокурсу Настройка оборудования MikroTik. курсы-по-ит.рф


Страница 23 из 47
Установка предыдущей версии RouterOS (downgrade)
Порядок:

1. Определить архитектуру маршрутизатора (mipsbe, x86, tile или др.).


2. Скачать нужный файл:
I. “Main package” (routeros-*.npk) – содержит стандартный набор пакетов;
II. “Extra packages” (all_packages-*.zip) – архив, который содержит стандартный набор
пакетов и все дополнительные.
3. Переместить файлы на устройство.
4. В System => Packages нажать “Downgrade”.
5. Перезагрузить маршрутизатор.

ВАЖНО! Расширенные пакеты надо понижать в версии сразу!

Переустановка RouterOS
Порядок переустановки:

1. Назначьте ПК статический IP-адрес.


2. Соедините ПК кабелем Ethernet с:
 портом Ether1 для всех RouterBOARD (кроме RB1xxx);
 последним Ethernet-портом для RouterBOARD RB1xxx и все CCR.
3. Запустите Netinstall.
4. Нажмите “Net Booting”, установите галку на “Boot Server enabled” и укажите IP-адрес из той
же сети, что и у ПК.
5. Отключите питание.
6. Зажмите кнопку.
7. Включите питание.
8. Дождитесь что бы устройство отобразилось в интерфейсе Netinstall. Ориентировочно 15 -
25 секунд.
9. Отпустите кнопку.
10. Выберите устройство в списке Netinstall.
11. В разделе “Packages” нажмите “Browse” и выберите нужный файл (*.npk).
12. Выберите нужный режим конфигурации после установки.
13. Нажмите “Install”
14. В случае успешной переустановки должна выйти надпись: “Installation finished successfully”

Настройка времени
Через графический интерфейс: System => SNTP Client

Конспект к видеокурсу Настройка оборудования MikroTik. курсы-по-ит.рф


Страница 24 из 47
Через консоль:

/system ntp client


set enabled=yes server-dns-names=ru.pool.ntp.org

Список серверов времени: http://www.pool.ntp.org/ru/

Управление пользователями
Список прав пользователей:

 local – локальное подключение (с помощью монитора, клавиатуры и мыши)


 ssh – подключение по SSH
 reboot – перезагрузка устройства
 write – право просмотра и изменения конфигурации
 test – тестовые утилиты (ping, traceroute, bandwidth-test и др.)
 password – возможность изменять пароль
 sniff – использование сниферов
 api – подключение с помощью api
 dude – вход на Dude-сервер
 telnet – подключение по telnet
 ftp – возможность подключаться по ftp и отправлять и получать файлы. Пользователи с
этим правом могут читать, редактировать и удалять файлы не зависимо от того, что
указано в настройках прав “read” и “write”
 read – право просмотра конфигурации
 policy – управление учетными записями пользователей. Необходимо использовать в
связке с правом “write”
 winbox – подключение с помощью WinBox
 web – подключение с помощью web-браузера
 sensitive – отображение паролей
 romon – подключение с помощью RoMon

Пример минимального «набора» прав для учетной записи стажера:

 reboot
Конспект к видеокурсу Настройка оборудования MikroTik. курсы-по-ит.рф
Страница 25 из 47
 test
 read
 web

Пример минимального «набора» для web-интерфейса для учетной записи стажера:

 System
o Reboot
 Files
 Tools
o Ping
 Logout

Управление службами
Через графический интерфейс: IP => Services

Через консоль: /ip service

Рекомендуется отключать все службы, которые не будут использоваться. Так же можно


ограничивать доступ к службе по IP-адресу или сети.

Активация доступа по https://


System => Certificates

Через консоль: /certificate

Доступ по https:// более безопасный по сравнению с http://.

Получение информации о лицензии


Через графический интерфейс: System => License

Через консоль: /system license print

Идентификация системы
Через графический интерфейс: System => Identity.

Через консоль: /system identity set name=name

Безопасный режим
Безопасный режим нужен для того, чтобы настройки вернулись в изначальное состояние в случае
разрыва соединения после неправильной настройки устройства. Отмена происходит в случае
разрыва IP-соединения в течении 15-20 минут. Если разрыв был по причине прекращения подачи
электрического питания, то настройки сохранятся.

Активация происходит ли при нажатии кнопки “Safe Mode” в графическом интерфейсе.

Конспект к видеокурсу Настройка оборудования MikroTik. курсы-по-ит.рф


Страница 26 из 47
Либо при нажатии комбинации клавиш: Ctrl + X.

Настройка USB-модема
Модем должен быть в списке поддерживаемых устройств:
http://wiki.mikrotik.com/wiki/Supported_Hardware

Последовательность действий:

1. Подключить USB-модем.
2. Убедиться, что появился LTE-интерфейс.
3. Настроить DHCP-client на LTE-интерфейс.
4. Создать правило NAT.

Если USB-модем подключить с помощью USB-удлинителя, то скорость соединения может


увеличиться.

MikroTik Neighbor Discovery Protocol (MNDP)


Через графический интерфейс: IP => Neighbors => Neighbors

Через консоль: /ip neighbor print detail

MikroTik Neighbor Discovery Protocol (MNDP) – это протокол обнаружения соседей MikroTik.
Протокол находит другие устройства совместимые с MNDP или CDP Cisco Discovery Protocol) или
LLDP (Link Layer Discovery Protocol) в своем широковещательном домене.

Модуль 2. DHCP, DNS и ARP


DNS
Через графический интерфейс: IP => DNS

Через консоль: /ip dns

Служба DNS на устройствах MikroTik поддерживает только A-записи

Команды в консоли:

 Задать вышестоящие DNS-серверы и разрешить прием DNS-запросов:

/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4

 Сделать статическую DNS-запись:

/ip dns static


add address=192.168.18.11 name=viktor

DHCP-клиент
Через графический интерфейс: IP => DHCP Client

Через консоль: /ip dhcp-client

Конспект к видеокурсу Настройка оборудования MikroTik. курсы-по-ит.рф


Страница 27 из 47
DHCP-сервер
Через графический интерфейс: IP => DHCP Server

Через консоль: /ip dhcp-server

Для создания DHCP-сервера надо:

1. Создать пул адресов: IP => Pool.


2. Создать DHCP-сервер: IP => DHCP Server => DHCP.
3. Задать настройки сети для DHCP-сервера: IP => DHCP Server => Networks.

Аренда адресов
Через графический интерфейс: IP => DHCP Server => Leases

Через консоль: /ip dhcp-server lease

Устройства MikroTik позволяют выдавать IP-адрес с привязкой по MAC-адресу. Это может


понадобится, если надо, что бы устройство получало один и тот же IP-адрес.

 Сделать статическую привязку по MAC-адресу:

/ip dhcp-server lease


add address=ip-address [comment=PH01] mac-address=[00:15:65:2F:8B:3E] server=dhcp_server

ARP
Через графический интерфейс: IP => ARP

Через консоль: /ip arp

Режимы работы:

 Enabled – ARP работает в обычном режиме. Режим по умолчанию.


 Disabled – ARP не работает.
 Proxy-arp – ответ на ARP-запросы от всех подключенных сетей.
 Reply-only – только ответы на ARP-запросы. ARP-таблица должна быть заполнена
статически.

Режим “Reply-only”:

 Увеличивает безопасность.
 Хосты не смогут выйти в Интернет с IP-адресом отличным от указанного в ARP-таблице.
 Подходит только для маленьких сетей.

DHCP и ARP:

 DHCP-сервер может автоматически добавлять ARP-записи.


 Статическая аренда DHCP-адресов в связке с режимом ARP “reply-only”:
o увеличивает безопасность сети;
o увеличивает нагрузку на администратора сети.

Модуль 3. Мостовые соединения (Bridging)


Концепция сетевых мостов
Сетевой мост, бридж (с англ. bridge) — сетевое устройство второго уровня модели OSI,
предназначенное для объединения сегментов (подсети) компьютерной сети в единую сеть.

Конспект к видеокурсу Настройка оборудования MikroTik. курсы-по-ит.рф


Страница 28 из 47
Сетевой мост работает на канальном уровне сетевой модели OSI, при получении из сети кадра
сверяет MAC-адрес последнего и, если он не принадлежит данной подсети, передаёт
(транслирует) кадр дальше в тот сегмент, которому предназначался данный кадр; если кадр
принадлежит данной подсети, мост ничего не делает.

Типы мостов:

 Прозрачные мосты (англ. transparent bridges) объединяют сети с едиными протоколами


канального и физического уровней модели OSI;
 Транслирующие мосты (англ. translating bridges) объединяют сети с различными
протоколами канального и физического уровней;
 Инкапсулирующие мосты (англ. encapsulating bridges) соединяют сети с едиными
протоколами канального и физического уровня через сети с другими протоколами.

Мост обеспечивает:

 ограничение домена коллизий


 задержку фреймов, адресованных узлу в сегменте отправителя
 ограничение перехода из домена в домен ошибочных фреймов:
o карликов (фреймов меньшей длины, чем допускается по стандарту (64 байта))
o фреймов с ошибками в CRC
o фреймов с признаком «коллизия»
o затянувшихся фреймов (размером больше, чем разрешено стандартом)
 Обнаружение (и подавление) петель (широковещательный шторм)

Мосты «изучают» характер расположения сегментов сети путём построения адресных таблиц
вида «Интерфейс - MAC-адрес», в которых содержатся адреса всех сетевых устройств и сегментов,
необходимых для получения доступа к данному устройству.

Мосты увеличивают латентность сети на 10-30 %. Это увеличение латентности связано с тем, что
мосту при передаче данных требуется дополнительное время на принятие решения.

Мост рассматривается как устройство с функциями хранения и дальнейшей отправки, поскольку


он должен проанализировать поле адреса пункта назначения фрейма и вычислить контрольную
сумму CRC в поле контрольной последовательности фрейма перед отправкой фрейма на все
порты.

Если порт пункта назначения в данный момент занят, то мост может временно сохранить фрейм
до освобождения порта.

Для выполнения этих операций требуется некоторое время, что замедляет процесс передачи и
увеличивает латентность.

Настройка Bridge-интерфейса
Через графический интерфейс: Bridge

Через консоль: /interface bridge

Последовательность:

1. Создать bridge-интерфейс.
2. Назначить порты, входящие в bridge-интерфейс.

Конспект к видеокурсу Настройка оборудования MikroTik. курсы-по-ит.рф


Страница 29 из 47
Модуль 4. Маршрутизация
Основы маршрутизации
Через графический интерфейс: IP => Routes

Через консоль: /ip route

Порядок выбора маршрута:

1. Недоступные шлюзы игнорируются


2. Адрес назначения («Куда?») должен попадать в подсеть маршрута
3. В случае нескольких возможных маршрутов в приоритете:
I. более длинная маска (/24 лучше чем /8)
II. маршрут с меньшей дистанцией (метрикой)
4. Если не найден подходящий маршрут, то будет использован маршрут по умолчанию
(0.0.0.0)

Флаги маршрутов:

 X - Disabled - маршрут выключен. Никаким образом не влияет на маршрутизацию и на


другие маршруты.
 A - Active - Активен. Маршрут используется для пересылки пакетов.
 D - Dynamic - Динамический маршрут. Создан программно, автоматически системой. Не
импортируется при импорте и его вручную изменить нельзя.
 C - Сonnect - Подключено.
 S - Static - Статический маршрут. Можно изменять.
 r - RIP route - RIP-маршрут. Routing Information Protocol - протокол дистанционно-
векторной маршрутизации, который оперирует транзитными участками в качестве
метрики маршрутизации.
 b - BGP route - BGP маршрут. Маршрут динамической маршрутизации BGP.
 - OSPF route - OSPF маршрут. Маршрут динамической маршрутизации OSPF.
 m - MME route - MME маршрут. Маршрут собственного протокола Mikrotik Mesh Made
Easy.
 B - Blackhole - "Черная дыра". Запись в таблице маршрутизации, которая направляет
трафик «в никуда». Таким образом, достигается эффект, подобный при использовании
брэндмауэра — соответствующие правилу пакеты фактически не достигают пункта
назначения.
 U - Unreachable - Недоступен. Пакет идущий по этому маршруту сохраняется, отправителю
сообщается о недоступности получателя.
 P - Prohibit - Отклонить. Пакет отклоняется, отправителю сообщается что пакет отклонен.

Редактирование таблицы маршрутизации


Маршрут по умолчанию:

/ip route
add distance=1 gateway=ip-address

Поля:

 Dst. Address – сеть назначения («Куда?»).


 Gateway – шлюз через который будет доступна сеть назначения.
 Check Gateway – проверка шлюза (arp или ping).
 Distance – метрика.
Конспект к видеокурсу Настройка оборудования MikroTik. курсы-по-ит.рф
Страница 30 из 47
Настройка двух Интернет-провайдеров в режиме резервирования
Реализация с помощью “Ping Gateway”:

 Настроить оба Интернет-канала.


 В маршрутах по умолчанию через оба Интернет-канала активировать опцию “Ping
Gateway”.
 Маршруту по умолчанию для второго Интернет-канала назначить метрику больше чем у
первого Интернет-канала.

Подходит только для ситуаций, когда маршрут по умолчанию статический.

Модуль 5. Беспроводные сети


Wi-Fi на MikroTik
Назначение вкладок в настройках беспроводного интерфейса:

 Interfaces – список доступных беспроводных интерфейсов.


 Nstreme Dual – настройка двух устройств MikroTik для работы с протоколом nstreme2 в
режиме точка-точка.
 Access List – список доступа, который используется для ограничения доступа к
беспроводной сети
 Registration – информация о подключенных клиентах. Используется только для точек
доступа.
 Connect List – список подключений используется для назначения приоритета и настроек
безопасности для соединений с удаленными точками доступа.
 Security Profiles – профили безопасности, которые содержат информацию о возможных
способах шифрования, пароле и др.
 Channels – список каналов, который может быть настроен вручную.

Назначение вкладок

Настройки беспроводного интерфейса. Вкладки General и Wireless


Вкладка “General”

Конспект к видеокурсу Настройка оборудования MikroTik. курсы-по-ит.рф


Страница 31 из 47
Вкладка “Wireless”

 Mode – выбор режим работы беспроводной сети


o station – находит и подключается к точке доступа
o station-wds – то же самое, что и “station”, только создает подключение WDS с
помощью проприетарного расширения
o station-bridge – представляет поддержку «прозрачного» мостового соединения L2
независимого от протокола. Режим работает только с устройствами на базе
RouterOS
o station-pseudobridge – то же самое, что и “station”, только дополнительно
выполняются манипуляции с MAC-адресом.
o station-pseudobridge-clone - то же самое, что и “station-pseudobridge”, только
используется параметр “station-bridge-clone-mac address” для соединения с точкой
доступа
o ap-bridge – основной режим точки доступа
o bridge - то же самое, что и “ap-bridge”, только разрешается подключение от одного
клиента
o wds-slave - то же самое, что и “ap-bridge”, только ищет точки доступа с таким же
SSID и устанавливает соединение WDS.
o alignment-only – режим продолжительной передачи. Используется для настройки
удаленной антенны.

Конспект к видеокурсу Настройка оборудования MikroTik. курсы-по-ит.рф


Страница 32 из 47
o nstreme-dual-slave – дает возможность использовать интерфейс в режиме nstreme-
dual
 Band - Определяет скорость передачи данных, частоту и ширину канала.
 Channel Width – Выбор ширины канала. Возможно использование расширений канала (Ce,
eC и т. д.) до или после основной частоты.
 Frequency – частота на которой будет работать устройство.
 SSID – имя беспроводной сети.
 Radio Name - описательное имя устройства, которое отображается в таблице регистрации
удаленных устройств. Является проприетарным расширением.
 Scan List - список частот и диапазонов частот, которые будут сканироваться.
 Wireless Protocol - протокол, который будет использоваться.
 Security Profile – выбор профиля безопасности.
 WPS Mode – режим WPS. Держать выключенным!
 Frequency mode – ограничение по частотам
o regulatory-domain – ограничивает доступные каналы и максимальную мощность
передатчика в соответствии с законодательством страны.
o manual-txpower – то же, что и «regulatory-domain», но без ограничения
максимальной мощности передатчика
o superchannel – позволяет использование всех каналов, поддерживаемых
беспроводной картой

Список всех доступных каналов для каждого диапазона можно увидеть с помощью
команды: /interface wireless info allowed-channels

 Country – выбор страны чьи ограничения будут использованы в случае использования


опций “regulatory-domain” или “manual-txpower”. Для РФ выбирать “russia”, а не “russia2”.
 Antenna Gain - коэффициент усиления антенны (в dBi) по отношению к стандартам
разрешенным в стране.
 WMM Support - без дополнительных настроек не оказывает влияния.
 Default Authenticate (чек-бокс):
o В режиме точки доступа – значение аутентификации для клиентов, которые не
попадают под правила, указанные в access-list.
o В режиме станции – значение аутентификации для точек доступа, которые не
попадают под правила, указанные в connect-list.
 Default Forward (чек-бокс) - могут ли устройства подключенные к данной сети
взаимодействовать друг с другом. Используется, если нет совпадений в access-list.
 Hide SSID (чек-бокс) - возможность скрыть SSID.

Настройки беспроводного интерфейса. Прочие вкладки


Вкладка “Advanced”
 Max Station Count - максимальное количество устройств, которые могут подключиться к
беспроводной сети.
 Distance - Как долго ожидать подтверждения доставки unicast-кадров перед решением о
том, что передача прошла безуспешно. При значении “dynamic” точка доступа будет
использовать минимальные таймауты, которые допустимы со всеми подключенными
клиентами.
 Noise Floor Threshlod - параметр «сигнал/шум» хуже которого не будет допускаться
подключение. Действует только для карт на базе чипа AR5211. Может принимать значения
от -128 до 127.
 Hw. Protection Mode - Возможность защиты передачи с помощью протокола RTS/CTS.
Конспект к видеокурсу Настройка оборудования MikroTik. курсы-по-ит.рф
Страница 33 из 47
 Adaptive Noise Immunity - Ставьте значение “ap and client mode”. Действует только для
карт на базе чипов Atheros.

Вкладка “HT”
Возможность включать/выключать каналы

Остальные вкладки
 Data Rates – возможность изменять допустимые скорости на разных стандартах.
 WDS – режим WDS.
 Nstreme – режим Nstreme.
 NV2 – режим NV2.
 Tx Power – настройка мощности передатчика.
 Current Tx Power – мониторинг текущей мощности передатчика.
 Status – мониторинг текущего состояния интерфейса.
 Traffic – мониторинг траффика.

Connect list
Через графический интерфейс: Wireless => Connect List

Через консоль: /interface wireless connect-list

Connect List используется для назначения приоритета и параметров безопасности для


подключения к удаленным точкам доступа в режиме станции.

Правила работы:

 Правила обрабатываются последовательно, начиная с первого.


 Отключенные правила игнорируются.
 Применяется только первое совпавшее правило.
 Если точка доступа совпадает с правилом и значение connect=no, то соединение не будет
установлено.
 Если точка доступа совпадает с правилом и значение connect=yes, то соединение будет
установлено.
 Если не найдено ни одного совпадения, тогда используются значение параметра “Default
Authenticate” из настроек интерфейса.
 Если ни одна из точек доступа не совпала с правилом, имеющим значение connect=yes, и
Default Authenticate=yes, то подключение будет установлено с точкой доступа с лучшим
сигналом и совместимыми настройками безопасности.
 В режиме точки доступа Connect List проверяется перед установлением WDS-соединения с
удаленным устройством. Если не найдено ни одного совпадения, тогда используются
значение параметра “Default Authenticate” из настроек интерфейса.

Access list
Через графический интерфейс: Wireless => Access List

Конспект к видеокурсу Настройка оборудования MikroTik. курсы-по-ит.рф


Страница 34 из 47
Через консоль: /interface wireless access-list

Используется для назначения управления параметрами подключения и разрешения или запрета


подключения клиентских устройств к точке доступа приоритета и параметров безопасности для
подключения к удаленным точкам доступа в режиме станции.

Правила работы:

 Правила обрабатываются последовательно, начиная с первого.


 Отключенные правила игнорируются.
 Применяется только первое совпавшее правило.
 Если удаленное устройство совпадает с правилом, у которого значение authentication=no,
то соединение не будет установлено.
 Если удаленное устройство совпадает с правилом, у которого значение authentication=yes,
то соединение будет установлено.
 Если не найдено ни одного совпадения, тогда используются значение параметра “Default
Authenticate” из настроек интерфейса.

Если нет совпадений в ACL и клиент подключился, то ACL будет игнорироваться в течении всего
времени пока клиент подключен.

Модуль 6. Брандмауэр (firewall)


Теория
Виды работы брандмауэра:

 Нормально открытый. Все разрешено, что не запрещено.


 Нормально закрытый. Все запрещено, что не разрешено.

Firewall Filter, теория


Через графический интерфейс: IP => Firewall => Filter

Через консоль: /ip firewall filter

Правила работают по принципу «если …, то …» и как результат состоят из двух частей:

 условие (если …)
 действие (то …)

Должны состоять в цепочке (chain):

 одной из трех предопределенных: Input, Output, Forward


 или пользовательской

Обрабатываются по порядку:

 обработка начинается сразу с нужной цепочки


 обработка заканчивается после первого совпадения

Предопределенные цепочки:

 Input – траффик, направленный маршрутизатору


 Output – траффик, исходящий из маршрутизатора
 Forward – траффик, проходящий через маршрутизатор

Правила можно обрабатывать на основании состояния соединения:

Конспект к видеокурсу Настройка оборудования MikroTik. курсы-по-ит.рф


Страница 35 из 47
 new (новое)
 established (установленное)
 related (связанное)
 invalid (не идентифицированное), рекомендуется отбрасывать

Firewall Filter, описание опций

Вкладка “Gerenal”
 Chain - выбор цепочки: Input, Output, Forward или пользовательская.
 Src. Address – адрес источника пакета. Можно указать:
o адрес – 192.168.88.1
o сеть – 192.168.88.0/24
o диапазон адресов – 192.168.88.1-192.168.88.100
Нельзя указывать несвязанный диапазон адресов.
 Dst. Address – адрес назначения пакета. Способы указания, как у “Src. Address”.
 Protocol – выбор протокола (TCP, UDP, GRE, ICMP и др.)
 Src. Port – порт с которым пришел пакет. Поле доступно, только, если в качестве протокола
выбран TCP или UDP. Можно указать:
o порт – 80 или 443
Конспект к видеокурсу Настройка оборудования MikroTik. курсы-по-ит.рф
Страница 36 из 47
o диапазон портов – 3389-4000 или 5600-5645
o перечисление портов – 80,443
o перечисление диапазонов портов – 3389-4000,5600-5645
o комбинации перечисления – 80,443,3389-4000,5600-5645
 Dst. Port – порт на который пришел пакет. Поле доступно, только, если в качестве
протокола выбран TCP или UDP. Способы указания, как у “Src. Port”.
 In Interface – интерфейс на который пришел пакет.
 Out Interface – интерфейс на который будет отправлен пакет.
 Connection State – состояние соединения (new, established, related, invalid).
 Connection NAT State – состояние соединения NAT.

Вкладка “Advanced”
 Src. Address List – адресный список в котором указаны адреса источники пакета.
 Dts. Address List – адресный список в котором указаны адреса назначения пакета.

Вкладка “Extra”
 Time – период работы правила. Можно указать время и дни недели. Для корректной
работы правила на маршрутизаторе должны быть правильно настроены часы.

Вкладка “Action”

Для всех действий возможны следующие опции:

 Log – сделать запись в журнале.


 Log Prefix – префикс записи в журнале.

Выпадающий список “Action”:

 accept – разрешить.
 add dst to address list – добавить адрес назначения пакета с список адресов (address list).
При выборе появляются опции:
o Address List – выбор списка адресов или создание нового
o Timeout – время жизни записи. По истечении времени запись будет удалена.

Конспект к видеокурсу Настройка оборудования MikroTik. курсы-по-ит.рф


Страница 37 из 47
 add src to address list – добавить адрес источника пакета с список адресов (address list).
При выборе появляются опции:
o Address List – выбор списка адресов или создание нового
o Timeout – время жизни записи. По истечении времени запись будет удалена.

 fasttrack connection – обработка с помощью функции “Fast Track”. Функция увеличивает


возможную пропускную способность, но при этом игнорируются правила QOS. Подходит
только для TCP и UDP.
 drop – удалить пакет и ничего далее не делать.
 jump – перенаправить пакет на собственную цепочку. Цепочку, в которую надо сделать
перенаправление надо указать в опции “Jump Target”.
 log – сделать запись в журнале
 passthrough – передать пакет на следующее правило и ничего не предпринимать. Как
правило, используется для статистики, т. к. счетчики при этом работают.
 reject – запретить прохождение пакета и отправить в ответ сообщение об ошибке. При
выборе появляются варианты сообщения об ошибке.
 return – прервать выполнение собственной цепочки и перейти на правило следующее за
правилом, которое перенаправило в пользовательскую цепочку (правило action=jump).
 tarpit – дать согласие на установку соединения, но при этом выставить нулевое окно
передачи.

Firewall Filter, правила для гостевой беспроводной сети


Для того, чтобы заблокировать трафик из основной сети в гостевую необходимо создать правило,
которое будет блокировать трафик в цепочке forward. В качестве “In. Interface” надо указать
интерфейс локальной сети, в качестве “Out. Interface” указать интерфейс гостевой сети.
Конспект к видеокурсу Настройка оборудования MikroTik. курсы-по-ит.рф
Страница 38 из 47
Для того, чтобы заблокировать трафик из гостевой сети в основную необходимо создать правило,
которое будет блокировать трафик в цепочке forward. В качестве “In. Interface” надо указать
интерфейс гостевой сети, в качестве “Out. Interface” указать интерфейс локальной сети.

Пользовательские цепочки
Пользовательские цепочки уменьшают нагрузку на процессор и упрощают структуру правил
файервола.

Firewall NAT, проброс портов


Правило проброса портов:

/ip firewall nat


add chain=dstnat dst-port=3389 in-interface=ether1-WAN1 protocol=tcp action=dst-nat to-
addresses=192.168.35.3 to-ports=3389

Обязательно надо указать входящий интерфейс.

Firewall NAT, описание опций


Через графический интерфейс: IP => Firewall => NAT

Через консоль: /ip firewall nat

Вкладка “Gerenal”
 Chain - выбор цепочки:
o dstnat – заменить адрес назначения и опционально порт назначения. В этой
цепочке нет возможности выбрать “Out. Interface”.
o srcnat – заменить адрес источника и опционально порт источника. В этой цепочке
нет возможности выбрать “In. Interface”
o пользовательская цепочка.
 Src. Address – адрес источника пакета. Можно указать:
o адрес – 192.168.88.1
o сеть – 192.168.88.0/24
o диапазон адресов – 192.168.88.1-192.168.88.100
Нельзя указывать несвязанный диапазон адресов.
 Dst. Address – адрес назначения пакета. Способы указания, как у “Src. Address”.
 Protocol – выбор протокола (TCP, UDP, GRE, ICMP и др.)
 Src. Port – порт с которым пришел пакет. Поле доступно, только, если в качестве протокола
выбран TCP или UDP. Можно указать:
o порт – 80 или 443
o диапазон портов – 3389-4000 или 5600-5645
o перечисление портов – 80,443
o перечисление диапазонов портов – 3389-4000,5600-5645
o комбинации перечисления – 80,443,3389-4000,5600-5645
 Dst. Port – порт на который пришел пакет. Поле доступно, только, если в качестве
протокола выбран TCP или UDP. Способы указания, как у “Src. Port”.
 In Interface – интерфейс на который пришел пакет.
 Out Interface – интерфейс на который будет отправлен пакет.

Вкладка “Advanced”
 Src. Address List – адресный список в котором указаны адреса источники пакета.
 Dts. Address List – адресный список в котором указаны адреса назначения пакета.

Конспект к видеокурсу Настройка оборудования MikroTik. курсы-по-ит.рф


Страница 39 из 47
Вкладка “Extra”
 Time – период работы правила. Можно указать время и дни недели. Для корректной
работы правила на маршрутизаторе должны быть правильно настроены часы.

Вкладка “Action”

Для всех действий возможны следующие опции:

 Log – сделать запись в журнале.


 Log Prefix – префикс записи в журнале.

Выпадающий список “Action”:

 accept – Ничего не делать с пакетом. Используется для исключения части пакетов из


обработки.
 add dst to address list – добавить адрес назначения пакета с список адресов (address list).
При выборе появляются опции:
o Address List – выбор списка адресов или создание нового
o Timeout – время жизни записи. По истечении времени запись будет удалена.

 add src to address list – добавить адрес источника пакета с список адресов (address list).
При выборе появляются опции:
o Address List – выбор списка адресов или создание нового
o Timeout – время жизни записи. По истечении времени запись будет удалена.

Конспект к видеокурсу Настройка оборудования MikroTik. курсы-по-ит.рф


Страница 40 из 47
 dst-nat – заменить адрес назначения пакета на адрес, указанный в “To Addresses”. Так же
возможна подмена порта на порт, указанный в “To Ports”. Опция работает только при
указании цепочки “dstnat” либо других относящихся к ней.

 jump – перенаправить пакет на собственную цепочку. Цепочку, в которую надо сделать


перенаправление надо указать в опции “Jump Target”.
 log – сделать запись в журнале
 masquerade – «классическое» правило NAT. По сути является частным случаем “src-nat”.
Адрес источника пакета будет заменен на первый адрес out-interface. Используется только
в цепочке “srcnat”. Правило должно стоять первым в списке правил!
 netmap – используется при необходимости перенаправить траффик одни к одному.
Например, когда траффик, предназначенный для сети 192.168.10.0/24 должен быть
перенаправлен на сеть 172.16.15.0/24.
 passthrough – передать пакет на следующее правило и ничего не предпринимать. Как
правило, используется для статистики, т. к. счетчики при этом работают.
 Redirect – перенаправляет траффик на сам маршрутизатор. По сути является частным
случаем “dst-nat”.
 redirect – маршрутизатор перенаправляет траффик сам на себя. По сути является частным
случаем “dst-nat”.
 return – прервать выполнение собственной цепочки и перейти на правило следующее за
правилом, которое перенаправило в пользовательскую цепочку (правило action=jump).
 same – заменить адрес источника траффика на адрес, указанный в “To Addresses”. Так же
возможна подмена порта на порт, указанный в “To Ports”. Опция работает только при
указании цепочки “srcnat” либо других относящихся к ней. Используется в случае наличия

Конспект к видеокурсу Настройка оборудования MikroTik. курсы-по-ит.рф


Страница 41 из 47
нескольких адресов, которые задействованы для преобразования. По сути является
частным случаем “src-nat”.
 src-nat – заменить адрес источника траффика на адрес, указанный в “To Addresses”. Так же
возможна подмена порта на порт, указанный в “To Ports”. Опция работает только при
указании цепочки “srcnat” либо других относящихся к ней.

Список адресов
В списке адресов возможно добавление: адресов, диапазонов адресов, подсетей и доменных
имен. Возможно указать таймаут списка.

Возможна фильтрация группы адресов одним правилом и автоматическое добавление адресов в


заданные списки адресов, в т. ч. на заданный промежуток времени.

FastTrack
С помощью FastTrack можно увеличить производительность маршрутизатора за счет того, что
трафик будет направлен в обход ядра операционной системы. FastTrack работает только с TCP и
UDP. Не будут работать: Queues, Firewall Filter и Mangle правила.

/ip firewall filter


add action=fasttrack-connection chain=forward comment="Permit FastTrack connections" connection-
state=established,related disabled=yes

Отслеживание соединений
Через графический интерфейс: IP => Firewall => Connections

Через консоль: /ip firewall connection

Брандмауэр в реальной жизни


Рекомендации общие:

 Ограничить управляющий траффик:


o ограничить доступ по SSH (закрыть, изменить порт, создать правило вносящее в
«черный» список после X неудачных попыток входа).
o закрыть доступ по Telnet.
o Использовать https://, а не http:// .
 Не использовать имена пользователей по умолчанию: “admin”, “administrator” и др.
 Использовать сложные пароли.
 Запретить DNS-запросы из-вне.

Рекомендации по проектированию:

 Выбрать тип файервола (нормально открытый или закрытый).


 Располагать частные правила выше общих.
 Минимизировать количество правил, которое должен пройти пакет:
o Выбирать оптимальный порядок прохождения правил.
o Вверху списка установить правило разрешающее “established” и “related” траффик.
o Запретить “invalid” траффик.
o По возможности объединять правила в одно.
 Делать комментарии к правилам.
 Правила одной цепочки располагать друг за другом.

Firewall Filter должен разрешать прохождение трафика NAT-правил.

Конспект к видеокурсу Настройка оборудования MikroTik. курсы-по-ит.рф


Страница 42 из 47
Модуль 7. QoS (Quality of Service)
Введение в QoS
QoS (англ. quality of service — качество обслуживания) — этим термином в области компьютерных
сетей называют вероятность того, что сеть связи соответствует заданному соглашению о трафике,
или же, в ряде случаев, неформальное обозначение вероятности прохождения пакета между
двумя точками сети.

Для большинства случаев качество связи определяется четырьмя параметрами:

 Полоса пропускания (Bandwidth), описывает номинальную пропускную способность среды


передачи информации, определяет ширину канала. Измеряется в bit/s (bps), kbit/s (Kbps),
Mbit/s (Mbps), Gbit/s (Gbps).
 Задержка при передаче пакета (Delay), измеряется в миллисекундах.
 Колебания (дрожание) задержки при передаче пакетов — джиттер.
 Потеря пакетов (Packet loss). Определяет количество пакетов, потерянных в сети во время
передачи.

Для простоты понимания канал связи можно представить в виде условной трубы, а пропускную
способность описать как функцию двух параметров: диаметра трубы и её длины.

Когда передача данных сталкивается с проблемой «бутылочного горлышка» для приёма и


отправки пакетов на маршрутизаторах, то обычно используется метод FIFO: первый пришел —
первый ушёл (First In — First Out). При интенсивном трафике это создаёт заторы, которые
разрешаются крайне простым образом: все пакеты, не вошедшие в буфер очереди FIFO (на вход
или на выход), игнорируются маршрутизатором и, соответственно, теряются безвозвратно. Более
разумный метод — использовать «умную» очередь, в которой приоритет у пакетов зависит от
типа сервиса — ToS. Необходимое условие: пакеты должны уже нести метку типа сервиса для
создания «умной» очереди. Обычные пользователи чаще всего сталкиваются с термином QoS в
домашних маршрутизаторах с поддержкой QoS. Например, весьма логично дать высокий
приоритет пакетам VoIP и низкий — пакетам FTP, SMTP и клиентам файлообменной сети.

В MikroTik технология QoS реализуется с помощью очередей. Есть два вида очередей: “Simple
Queue” и “Queue Tree”

Simple Queue Queue Tree

Важен порядок записей Порядок записей не важен

Простая настройка. Возможность Возможность «тонкой» настройки, работает в


использования маркированного трафика (/ip связке с /ip firewall mangle
firewall mangle)
Правильная структура: использование Правильная структура: использование
родительских и дочерних очередей родительских и дочерних очередей
В случае конфликта с Queue Tree имеет
приоритет
Ограничение скорости
Через графический интерфейс: Queue => Simple

Через консоль: /queue simple

Конспект к видеокурсу Настройка оборудования MikroTik. курсы-по-ит.рф


Страница 43 из 47
Обязательные правила:

 Использовать родительские очереди


 Должен быть указан параметр Max. Limit

Цвета иконок:

 Зеленый –используется 0 – 50% доступной полосы


 Желтый – используется 51 – 75% доступной полосы
 Красный – используется 76 – 100% доступной полосы

Пример правил, устанавливающих ограничение 20 Мб/с для основной сети и 5 Мб/с для гостевой:

/queue simple
add dst=ether1-WAN max-limit=20M/20M name=parent-queue target=""
add max-limit=20M/20M name=bridge1-main parent=parent-queue target=bridge1
add max-limit=5M/5M name=bridge-guest parent=parent-queue target=bridge-guest-wifi

Ограничение скорости, режим =Вспышка=


Режим «Вспышка» позволяет кратковременно увеличить пропускную способность, которая
ограничена параметром Max. Limit, при условии, что это вообще возможно (дается достаточная
скорость Интернет-канала, нет ограничений от других правил и др.).

Параметры:

 Max Limit – максимальная пропускная способность.


 Burst Limit – максимальная пропускная способность в режиме «вспышка».
 Burst Threshold – среднее значение скорости ниже которого режим «вспышка» разрешен.
Фактически это «включатель / выключатель» режима «вспышка». Значение должно быть
более чем limit-at и меньше чем max-limit.
 Burst Time – период времени в секундах за который рассчитывается среднее значение
скорости. Это НЕ время вспышки.
 Limit At – гарантированное значение скорости.

Доработка созданного ранее правила:

/queue simple
add dst=ether1-WAN max-limit=20M/20M name=parent-queue target=""
add max-limit=20M/20M name=bridge1-main parent=parent-queue target=bridge1
add burst-limit=10M/10M burst-threshold=4M/4M burst-time=10s/10s max-limit=5M/5M
name=bridge-guest parent=parent-queue target=bridge-guest-wifi

Равномерное распределение ширины канала


При использовании стандартного правила, действующего по принципу FIFO возможна ситуация,
когда какое-то из устройств забирает весь доступный канал на себя.

Доработка созданного ранее правила:

/queue simple
add dst=ether1-WAN max-limit=20M/20M name=parent-queue target=""
add max-limit=20M/20M name=bridge1-main parent=parent-queue queue=pcq-upload-default/pcq-
download-default target=bridge1
add burst-limit=10M/10M burst-threshold=4M/4M burst-time=10s/10s limit-at=2M/2M max-
limit=5M/5M name=bridge-guest parent=parent-queue target=bridge-guest-wifi

Конспект к видеокурсу Настройка оборудования MikroTik. курсы-по-ит.рф


Страница 44 из 47
Назначение приоритета трафику
Доработка созданного ранее правила:

/queue simple
add dst=ether1-WAN max-limit=20M/20M name=parent-queue target=""
add dst=81.88.86.0/24 max-limit=20M/20M name=ip-telephony parent=parent-queue priority=6/6
target=bridge1
add max-limit=20M/20M name=bridge1-main parent=parent-queue priority=7/7 queue=pcq-upload-
default/pcq-download-default target=bridge1
add burst-limit=10M/10M burst-threshold=4M/4M burst-time=10s/10s limit-at=2M/2M max-
limit=5M/5M name=bridge-guest parent=parent-queue target=bridge-guest-wifi

Правильные значения Max Limit и Limit At


 Max Limit дочерней очереди ≤ Max Limit родительской очереди
 Сумма всех Limit At дочерних очередей ≤ Max Limit родительской очереди

Модуль 8. Туннели
Общие настройки
На сервере:

 Создать пул-адресов (при необходимости)


 Создать профиль (локальный и удаленный адрес, DNS, шифрование, ограничения и др.)
 Задать настройки безопасности (Secret)
 Создать статический интерфейс
 Настроить VPN-сервер
 Настроить маршрут
 Настроить брандмауэр

На клиенте:

 Настроить подключение к серверу


 Настроить маршрут
 Настроить брандмауэр

Для сетей client-to-site рекомендуется использовать динамическую адресацию. Для сетей site-to-
site – статическую адресацию.

PPPoE (Site-to-Site)
PPPoE-сервер запускается на интерфейсе и может не иметь IP-адреса.

Пример настройки на сервере:

/ interface pppoe-server server


add authentication=mschap2 default-profile=site-to-site disabled=no interface=ether1-WAN service-
name=service1

Пример настройки на клиенте:

/interface pppoe-client
add add-default-route=yes disabled=no interface=ether10 name=pppoe-out1 password=filial1
user=filial1

Конспект к видеокурсу Настройка оборудования MikroTik. курсы-по-ит.рф


Страница 45 из 47
PPTP (Site-to-Site)
Пример настройки на сервере:

/interface pptp-server server


set authentication=mschap2 enabled=yes

Пример настройки на клиенте:

/interface pptp-client
add allow=mschap2 connect-to=172.18.0.100 disabled=no name=pptp-out1 password=filial1 user=filial1

SSTP (Site-to-Site)
Пример настройки на сервере:

/interface sstp-server server


set authentication=mschap2 enabled=yes

Пример настройки на клиенте:

/interface sstp-client
add authentication=mschap2 connect-to=172.18.0.100 disabled=no name=sstp-out1 password=filial1
profile=default-encryption user=filial1

L2TP (Site-to-Site)
Пример настройки на сервере:

/interface l2tp-server server


set authentication=mschap2 enabled=yes

Пример настройки на клиенте:

/interface l2tp-client
add allow=mschap2 connect-to=172.18.0.100 disabled=no name=l2tp-out1 password=filial1 user=filial1

L2TP (Client-to-Site)
Порядок настройки:

1. Добавить пул-адресов.
2. Создать профиль.
3. Создать секрет.
4. На интерфейсе локальной сети параметр ARP перевести в режим proxy-arp.

Настройка брандмауэра
Возможные варианты:

 Разрешить подключения с IP-адреса VPN-клиента


 Разрешить подключения для портов и протоколов
 Разрешить подключения с IP-адреса для портов и протоколов

Возможные правила
Разрешить PPTP-подключение:

/ip firewall filter


add chain=input dst-port=1723 protocol=tcp comment="Accept PPTP"
add action=accept chain=input protocol=gre comment=" Accept GRE"

Конспект к видеокурсу Настройка оборудования MikroTik. курсы-по-ит.рф


Страница 46 из 47
Разрешить L2TP-подключение:

/ip firewall filter


add chain=input dst-port=1701 protocol=udp comment=" Accept L2TP"

Разрешить IPSec-подключение:

/ip firewall filter


add chain=input port=500,4500 protocol=udp comment=" Accept IPSec ports 500 and 4500"
add chain=input protocol=ipsec-esp comment=" Accept IPSec protocol ipsec-esp"

Разрешить OpenVPN-подключение:

/ip firewall filter


add action=accept chain=input dst-port=1194 protocol=tcp comment=" Accept OpenVPN"

Разрешить SSTP-подключение:

/ip firewall filter


add action=accept chain=input dst-port=443 protocol=tcp comment=" Accept SSTP"

Разрешить GRE-подключение:

/ip firewall filter


add action=accept chain=input protocol=gre comment=" Accept GRE"

Разрешить IPIP-подключение:

/ip firewall filter


add action=accept chain=input protocol=ipip comment=" Accept IPIP"

Конспект к видеокурсу Настройка оборудования MikroTik. курсы-по-ит.рф


Страница 47 из 47

Вам также может понравиться