Add arp for leases mikrotik что это

Записки IT специалиста

Настройка гостевого Wi-Fi на роутерах Mikrotik для одиночного роутера

• Автор: Уваров А.С.
• 23.01.2022

Wi-Fi сегодня для многих стал практически синонимом слова «интернет», беспроводной доступ воспринимается как нечто само собой разумеющееся, а его отсутствие вызывает недоумение и удивление. Мы привыкли к тому, что Wi-Fi есть на работе, в гостях, в публичных местах и т.д. и т.п. Но то, что хорошо обычному пользователю доставляет массу забот системному администратору — неконтролируемые пользовательские устройства в периметре локальной сети. Выход здесь один — создание гостевой Wi-Fi сети и изоляция ее от сети предприятия.

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.

В данной статье мы рассмотрим самый простой вариант — организацию гостевой Wi-Fi сети для одиночного роутера. Это может быть полезно для небольших предприятий и домашних сетей. Предприятиям полезно вынести в гостевую сеть как посетителей, так и личные устройства сотрудников. В домашних сетях тоже не следует раздавать доступ направо и налево всем друзьям и знакомым, ведь все что они хотят — это выйти в интернет, гостевая сеть прекрасный вариант сделать это не создавая угроз безопасности.

Далее подразумевается, что у вас уже есть настроенный роутер Mikrotik с основной Wi-Fi сетью, если это не так, то воспользуйтесь нашей статьей: Базовая настройка роутера MikroTik.

Настройка виртуального беспроводного интерфейса

Самым первым шагом создадим новый профиль безопасности, так как делать открытую гостевую сеть — это очень плохая идея, а для организаций еще и нарушение закона, требующего обязательную идентификацию пользователей. Для этого откроем Wireless — Security Profiles и добавим новый профиль. Настройки просты: Mode — dynamic keys, Authentication Types — WPA PSK2, WPA2 Pre-Shared Key — пароль доступа к сети, от 8 символов, Name — произвольное имя профиля, в нашем случае guest.

Команда для терминала, в качестве пароля мы задали 987654321:

Теперь перейдем в Wireless — WiFi Interfaces и добавим новый виртуальный интерфейс, нажав на кнопку с плюсом и выбрав в выпадающем меню Virtual.

В открывшемся окне указываем режим работы интерфейса Mode — ap bridge, выбираем основной физический радиоинтерфейс Master Interface — wlan1, указываем желаемый SSID и выбираем созданный нами ранее для гостевой сети профиль безопасности в Security Profiles. Также снимаем флаг Default Forward что исключит общение гостевых устройств между собой. Остальные параметры оставляем по умолчанию.

В терминале настроек побольше, вам также потребуется указать MAC-адрес, который следует взять у физического беспроводного интерфейса.

Если у вас двухдиапазонная точка доступа и вы желаете создать в каждом из них гостевые сети, то создайте еще один виртуальный беспроводной интерфейс и укажите в качестве Master Interface второй беспроводной адаптер. Рабочую частоту, ширину канала, мощность и прочие настройки виртуальный адаптер наследует от физического интерфейса. Т.е. гостевая сеть будет работать на том же канале и с такими же параметрами, как и основная.

После чего перейдем в Bridge и создадим новый сетевой мост, в параметре ARP укажем reply-only, что заставит роутер отвечать на канальном уровне только известным устройствам, что значительно ограничит самодеятельность в гостевой сети, так гости смогут работать только с настройками, полученными от роутера, самостоятельно настроить сетевые параметры не получится.

В командной строке это же действие:

Затем добавим в этот мост созданные нами виртуальные беспроводные интерфейсы, с помощью графического интерфейса в разделе Bridge — Ports или в консоли:

После чего назначим ему IP-адрес, для гостевой сети следует выбрать отдельный диапазон адресов, не пересекающийся с вашими сетями, в нашем примере это будет 192.168.134.0/24, адресом роутера в этом случае будет 192.168.134.1. Откроем IP — Addresses и добавим новый адрес, его следует указать в формате 192.168.134.1/24 (что соответствует маске 255.255.255.0), в поле Interface выберите интерфейс созданного на предыдущем шаге сетевого моста, у нас это bridge2.

Или выполните в терминале:

Если вам нужно несколько гостевых сетей с разным уровнем доступа, то создайте нужное количество виртуальных сетевых интерфейсов и мостов (по одному для каждой сети), а также присвойте каждой сети свой диапазон адресов.

Настройка базовых сетевых служб: DHCP, DNS, NAT

Для настройки DHCP-сервера воспользуемся мастером, для этого перейдем в IP — DHCP Server — DHCP и нажмем кнопку DHCP Setup, в открывшемся мастере выберем интерфейс — bridge2 и последовательно ответим на ряд вопросов, задав сеть, пул адресов, адрес шлюза и т.д.

А вот при указании DNS-сервера следует подумать, мы можем указать адрес роутера и использовать уже имеющуюся на нем службу, но в ряде случаев это может быть нежелательно, например, у вас имеются записи для внутренних служб, и вы не хотите их утечки во внешнюю сеть. Либо вам нужно дополнительно фильтровать содержимое, отдаваемое гостевым пользователям. В этом случае в качестве DNS-сервера можно указать адрес любого публичного сервиса, который подходит под ваши требования.

С другой стороны собственный DNS сервер позволяет самостоятельно блокировать некоторые ресурсы, более подробно вы можете прочитать об этом здесь.

После завершения работы мастера откройте созданную запись в IP — DHCP Server — DHCP и установите флаг Add ARP For Leases, теперь сервер будет динамически добавлять MAC-адреса клиентов, получивших аренду в ARP-таблицу, чтобы они могли работать в гостевой сети. По окончании аренды такая запись будет удалена и даже если клиент перенастроил свое устройство на статический адрес через некоторое время он потеряет доступ к сети. В связи с этим обратите внимание на параметр Lease Time, который задает время аренды адреса, по умолчанию это 10 минут, вполне разумный интервал, но вы можете как увеличить его (если это сеть для личных устройств сотрудников) или уменьшить, чтобы ускорить освобождение адресов.

Чтобы настроить DHCP-сервер в терминале выполните:

Для того, чтобы клиенты гостевой сети могли выходить в интернет, следует настроить NAT, перейдем в IP — Firewall — NAT и создадим новое правило: Chain — srcnat, Src. Address — 192.168.134.0/24 — диапазон гостевой сети, Out. Interface — внешний интерфейс, через который осуществляется выход в интернет, в нашем случае ether5. На закладке Action ставим действие masquerade.

Или в терминале:

Теперь самое время сделать небольшую паузу и попробовать подключиться к нашей гостевой Wi-Fi сети, убедитесь, что устройство получает адрес и у него есть доступ в интернет.

Если вы нигде не ошиблись — все должно работать.

Изолируем гостевую сеть при помощи брандмауэра

Гостевая Wi-Fi сеть работает — и это хорошо, теперь самое время принять кое-какие меры безопасности. Прежде всего изолируем ее от основной сети. Открываем IP — Firewall — Filtres и создаем следующее правило: Chain — Forward, In. Interface — bridge2, Out. Interface — bridge1, на закладке Action ставим действие drop, тем самым полностью запретив транзитный трафик из гостевой сети в основную (bridge1).

В терминале:

Теперь изолируем от гостевой сети сам роутер, все что нужно от него клиентам — это получение IP-адреса по DHCP и доступ к DNS-серверу устройства, ничего больше видеть они не должны. Ок, разрешаем доступ к DHCP-серверу, создаем еще одно правило: Chain — input, Protocol — udp, Dst. port — 67, In. Interface — bridge2, так как действие по умолчанию accept — просто сохраняем правило.

Если вы предоставляете гостям собственный DNS, то добавьте еще одно такое-же правило, но измените номер порта на 53 UDP, на котором работает служба имен, если же раздаете адреса внешних DNS-серверов, то открывать доступ к созданному не нужно. Затем создадим запрещающее правило, оно очень простое: Chain — input, In. Interface — bridge2, на закладке Action ставим действие drop. Теперь все остальные запросы к роутеру будут отклоняться.

Этот же набор правил в терминале:

Это минимальный набор правил для типовой конфигурации, в случае наличия дополнительных сетей и интерфейсов вам может потребоваться создать дополнительные правила с учетом особенностей вашей конфигурации. Общие принципы должны быть понятны из этого раздела: блокируем транзитный трафик из гостевой сети к остальным сетям и изолируем сам роутер.

Ограничение скорости в гостевой сети

Гостей может быть много, а исходящий канал не резиновый, тем более что современные мобильные устройства позволяют просматривать видео в высоких разрешениях, что может привести к повышенной нагрузке на сеть. Поэтому мы поступим просто — ограничим скорость гостевой сети, никаких сложных настроек производить не будем, просто сделаем одно ограничение на всех, как оно будет делиться между клиентами нас особо не волнует.

Для ограничения трафика используются очереди — Queues, обратите внимание, что для работы очередей должен быть отключен Fasttack. Перейдем в Queues — Simple Queues и создадим простую очередь. В поле Target укажем интерфейс гостевой сети — bridge2, Dst — интерфейс выхода в интернет, в нашем случае ether5. В Max Limit укажем ограничения для входящего и исходящего трафика, мы поставили по 10 Мбит/с.

В терминале:

Теперь еще раз подключимся и проверим работу ограничений, несложно убедиться, что все работает так, как задумывалось:

Как видим, настроить гостевую Wi-Fi сеть на оборудовании Mikrotik совсем несложно, а широкие возможности RouterOS позволяют существенно повысить уровень ее безопасности, максимально ограничив гостям сетевые возможности.

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.

Дополнительные материалы:

Mikrotik

The Dude

Помогла статья? Поддержи автора и новые статьи будут выходить чаще:

Или подпишись на наш Телеграм-канал:

Инструкции по настройке MikroTik

Настройка MikroTik Routerboard, базовая конфигурация роутера

Данная инструкция предназначена для самостоятельной настройки роутера MikroTik. В качестве примера будет использоваться роутер MikroTik hAP ac lite (RB952Ui-5ac2nD), который будет настроен для работы интернета и использования локальных сетей Ethernet и WiFi(включая Apple Iphone).

Инструкция состоит из двух больших примеров: “Быстрая настройка” и ‘Ручная настройка“, задача которых состоит в демонстрации двух методов настроек: с помощью внутреннего мастера настроек Quick Set и распределённая настройка посредством Winbox или Webfig.

№1. Быстрая настройка

№2. Ручная настройка

Нужна настройка MikroTik в базовой конфигурации?

Настройка служб на роутерах MikroTik: подключение интернета, DHCP, brige, VLAN, WiFi, Capsman, VPN, IpSec, PPTP, L2TP, Mangle, NAT, проброс портов, маршрутизация(routing), удаленное подключение и объединение офисов.

Пример №1. Быстрая настройка MikroTik

Данный пример настройки роутера MikroTik самый простой и не требует детального изучения принципов работы MikroTik. Его можно применять с использованием ПК или ноутбука, а также мобильного телефона.

Исходные настройки роутера MikroTik должны соответствовать заводским, если по какой причине это не так, следует их сбросить через кнопку Reset.

ВАЖНО: при использовании кнопки RESET оборудование MikroTik может принимать 3 разных состояния. Переход между состоянии зависит от времени нажатия кнопки RESET. Внимательно изучите последовательность сброса для перехода к заводским настройкам.

Сброс через кнопку RESET

На задней панели расположена кнопка RESET

Необходимо последовательно совершить действия:

1. Отключить питание роутера;
2. Нажать и держать кнопку Reset;
3. Включить питание роутера(Reset нажат);
4. Подождать 5-6сек., в этот момент должен замигать какой-то индикатор(ACT|SYS| или другой);
5. Как только замигал индикатор. отпустить Reset.

Подключение роутера MikroTik по кабелю

1. Включить роутер MikroTik в электросеть;
2. На порт ether1 – подключить интернет провайдера(WAN);
3. На любой порт из ether2-ether5 подключить компьютер. Эти порты считаются локальными (LAN).

Подключение роутера MikroTik по WiFi

Подключение к роутеру MikroTik через WiFi может стать актуальным, если у ноутбука нет Ethernet порта или настройка роутера производится через смартфон. В списке доступных WiFi подключений должен отображаться роутер MikroTik, по аналогии как на примере ниже.

Вход в настройки роутера MikroTik

Для входа в настройки MikroTik можно воспользоваться любым web браузером.

1. Отрыть web браузер;
2. В адресной строке ввести IP адрес 192.168.88.1 и нажать переход(Enter);
3. Авторизоваться на роутере MikroTik с помощью учётных данных по умолчанию(Login: admin, Password: пустой).

Настройка MikroTik с помощью Quick Set

Quick Set это мастер быстрых настроек, который содержит оптимизированные шаблоны уже готовых конфигураций, достаточно только их заполнить пользовательскими данными. В рамках данной настройки будет выбран шаблон Home AP Dual.

Обновление прошивки

1. Нажать кнопку Check For Updates;
2. Установить Channel = long term;
3. Нажать кнопку Download&Install.

Роутер MikroTik будет перезагружен и после будет доступен по прежнему адресу “192.168.88.1“.

Настройка MikroTik WiFi

1. Заполнить Network Name для 2GHz и 5GHz ;
2. Frequency = auto;
3. Band2GHz = 2GHz-B-G-N, Band 5GHz = 5GHz-A-N-AC
4. Country = no_country_set
5. Заполнить WiFi Password.

Настройка интернета, автоматические настройки

• Выбрать Address Acquusition = Automatic.

Настройка интернета, статический IP адрес

1. Выбрать Address Acquusition = Static;
2. Заполнить параметрами выданные провайдером: IP Address, Netmask, Gateway, DNS Servers.

Настройка интернета, PPPoE

1. Выбрать Address Acquusition = PPPoE;
2. Заполнить параметрами выданные провайдером: PPPoEUser, PPPoE Password.

Настройка локальной сети

• Заполнить IP Address;
• Netmask255.255.255.0 (/24);
• Включить DHCP Server;
• Заполнить DHCP Server Range;
• Включить NAT.

Пример №2. Ручная настройка MikroTik

Подключение роутера MikroTik к компьютеру

Предварительно стоит отметить, что у роутера MikroTik в качестве порта WAN может выступать любой порт. Однако в заводской прошивке, в качестве WAN порта выступает ether1, на котором активен dhcp client. Эту особенность заводской прошивки стоит учитывать при подключении к роутеру MikroTik, т.к. конфигурация определена так, что все входящие подключения на ether1 будут недоступны.

1. Включить роутер MikroTik в электро сеть;
2. На порт ether1 – подключить интернет провайдера(WAN);
3. На любой порт из ether2-ether5 подключить компьютер. Эти порты считаются локальными (LAN).

Вход в настройки MikroTik RouterOS

Для настройки роутера MikroTik лучше всего воспользоваться утилитой Winbox , которая специально разработана для управления оборудованием MikroTik.

обнаружит устройство независимо от назначенного ему адреса. Чаще всего это 192.168.88.1, но и встречаются варианты когда ip адрес = «0.0.0.0». В этом случае подключение происходит по MAC адресу устройства. Кроме этого Winbox отображается все найденные устройства MikroTik в сети, а также дополнительную информацию(версия прошивки, UpTime):

1. Запустить утилиту для настройки MikroTik;
2. Среди списка устройств выбрать нужный роутер MikroTik и нажать кнопку Connect;

Учётная запись(пароль) по умолчанию:

• пользователь = «admin»
• пароль = «»(пустой)

Сброс роутера MikroTik

Т.к. ручная настройка предполагает полную настройку роутера MikroTik с нуля, при первом подключении необходимо полностью удалить заводскую настройку.

Если по какой-то причине роутер MikroTik не вывел форму сброса, это можно сделать в ручном режиме.

Reset через Winbox

Настройка находится в System→Reset Configuration

1. Установить переключатели No Default Configuration и Do Not Backup;
2. Нажать кнопку Reset Configuration.

Сброс роутера MikroTik будет сопровождаться перезагрузкой устройства, после которой можно повторно подключиться к роутеру через MAC адрес.

Ошибки при подключении к Winbox

ERROR: router does not support secure connection, please enable legacy mode if you want to connect anyway

Решение: необходимо активировать режим Legacy Mode.

ERROR: wrong username or passwords

Решение-1: Недопустимые учётные данные(неверное имя пользователя или пароль). За доступом нужно обратиться к администратору устройства или сделать → .

Решение-2: Обновить версию Winbox.

ERROR: could not connect to MikroTik-Ip-Address

Решение: Проблема связана с доступом, частые причины:

1. Подключение закрыто через Firewall;
2. Изменён порт управления через Winbox с 8291 на другой;
3. Подключение происходит через WAN порт, интернет провайдер которого блокирует подобные соединения;

Установить пароль на роутер MikroTik

Первым важным делом настройки нового роутера MikroTik это обновление пароля администратора. Случаи бывали разные, это пункт просто нужно выполнить.

Настройка находится в System→Users

1. Нажать + и добавить новую учётную запись администратора;
2. Заполнить параметры: Name, Group, Password;
3. Открыть учётную запись admin и деактивировать кнопкой Disable.

добавление нового пользователя с полными правами:

деактивация старого пользователя:

Рекомендация: Для повышения уровня безопасности роутера MikroTik следует:

• создать и использовать новую учётную запись с полными правами(full);
• на учётной записи по умолчанию (admin) изменить пароль и деактировать.

Обновление прошивки в MikroTik RouterOS

Одной из важной задачей при вводе в эксплуатацию нового устройства MikroTik: маршрутизатора(роутера), коммутатора(свитча) или точки доступа WiFi это обновление прошивки. Чаще всего это имело рекомендованный характер, но недавний инцидент с “back door” в категории long-term указал на то, что актуальность прошивки в устройствах MikroTik имеет критический характер.

Настройка находится в System→Packages

1. Нажать кнопку Check For Updates;
2. Выбрать Channel = long term;
3. Загрузить и установить прошивку на MikroTik кнопкой Download&Install.

Действия в кнопке Download&Install произведут закачку выбранной редакции прошивки и автоматическую перезагрузку роутера MikroTik. Установка будет произведена в момент загрузки. Не выключайте роутер MikroTik до полной перезагрузки и обеспечьте стабильное питание электросети при обновлении прошивки.

Редакции прошивок MikroTik

• long term(bug fix only) – самая стабильная версия. Рекомендовано для производственных сред!
• stable(current) – long term плюс поддержка новых функций. Новые технологии это всегда хорошо.

Другие редакции не рекомендуется устанавливать в рабочие устройства MikroTik, т.к. это может привести к нежелательным последствиям.

Важным дополнением в обновлении прошивки является обновление Current Firmware – это аппаратная прошивка, аналог BIOS в компьютере.

Настройка находится тут System→Routerboard

Изменения вступят в силу после перезагрузки устройства MikroTik(System→Reboot).

Настройка локальной сети MikroTik LAN

В основе работы локальной сети (LAN) на роутере MikroTik находится Bridge – программное объединение портов в свитч. В состав Bridge может входить любая последовательность портов роутера MikroTik, а если туда добавить все порты – роутер станет точкой доступа WiFi или коммутатором.

Стоит учитывать, что такое объединение управляется CPU. Этот факт важен при значительных нагрузках на CPU.

Настройка LAN на роутере MikroTik состоит из следующих ключевых этапов:

1. Объединение все локальных портов в Bridge;
2. Настройка локального IP адреса для роутера MikroTik;
3. Настройка DHCP сервера.

Настройка MikroTik Bridge

Настройка находится в основном меню Bridge→Bridge

1. Нажать + и добавить новый Bridge;
2. Присвоить Name для выбранного Bridge;
3. Нажать кнопку Apply и скопировать значение MAC Address в Admin MAC Address;

Копирование значения MAC Address в Admin MAC Address исключить ошибку:

ether3:bridge port received packet with own address as source address (MAC ether3), probably loop”

Добавление портов MikroTik в Bridge

Настройка находится в основном меню Bridge→Ports

1. Нажать + и добавить новый Port;
2. Выбрать соответствующие значение в параметрах: Interface, Bridge;
3. Повторить аналогичные действия для всех интерфейсов, которые определены как LAN.

добавление портов(LAN, VLAN, WLAN и тд)

Hardware Offload — аппаратная поддержка bridge отдельным чипом. Список поддерживаемых устройств.

По итогам, закладка Bridge→Ports должна иметь вид:

Назначение локального IP адреса

После добавления портов в Bridge нужно назначить статический IP адрес и правильней всего это указать в качестве интерфейса созданный bridge-1. С этого момента любая настройка адресации или маршрутизации в роутере MikroTik будет осуществляться через bridge-1.

Настройка находится в IP→Addresses

1. Нажать + и добавить новый IP адрес;
2. Заполнить параметры: Address, Interface.

При заполнение IP адреса важно указать маску подсети. Это частая опечатка может произвести к отсутствию отклика от роутера MikroTik. При этом значение Network заполнится автоматически.

установка ip адреса на выбранный интерфейс

Настройка DCHP сервера в MikroTik

DHCP сервер занимается выдачей IP адресов всем устройствам, которые отправляют соответствующий запрос. Это незаменимая опция при настройке WiFi на роутере MikroTik, но и также облегчает обслуживание локальной сети в этом вопросе.

Будет состоять из 3-ёх пунктов:

Определение диапазона назначаемых IP адресов

Настройка находится в IP→Pool

1. Нажать + и добавить новый IP Pool;
2. Заполнить параметры: Name, Addresses.

Диапазон Addresses содержит IP адреса для всех клиентов роутера MikroTik и часто принимает значение или как показано на изображении или 192.168.0.100-192.168.0.254. Это даст возможность указывать статические IP адреса для: сервера, принтера, видеорегистратора, IP камеры и тд.

Задание сетевых настроек для клиента

Настройка находится в IP→DHCP Server→Networks

1. Нажать + и добавить новую DHCP сеть;
2. Заполнить параметры: Address, Gateway, Netmask, DNS Server.

• Netmask = 24 – это эквивалент привычному значению 255.255.255.0;
• Gateway -шлюз по умолчанию(роутер MikroTik);
• DNS Servers – DNS сервер, который будет выдан клиенту. В данном случае это также роутер MikroTik.

Общие настройки MikroTik DCHP сервера

Настройка находится в IP→DHCP Server→DHCP

1. Нажать + и добавить новый DHCP сервер;
2. Заполнить параметры: Interface, Address Pool.

Дополнение: если DHCP нужно применить к одному из портов bridge, то в качестве интерфейса нужно указать именно этот bridge.

Add ARP For Leases — добавляет MAC адрес устройства в таблицу ARP, которому был выдан IP адрес. Можно использовать в качестве блокировки статических IP. Без присутствия соответствующего MAC в таблице ARP пакеты с данного устройства не будут обрабатываться.

Настройка MikroTik DNS

В рамках данной инструкции по настройке роутера MikroTik будет рассмотрена конфигурация, когда сам роутер выступает в качестве DNS сервера. Это имеет несколько преимуществ:

• DNS записи кэшируются на локальный роутер MikroTik, доступ к которому в разы быстрее чем к DNS серверу провайдера;
• Если к роутеру подключено 2 провайдера, не будет возникать конфликтов по доступу к DNS серверам 1-ого или 2-ого провайдера. DNS сервер один – роутер MikroTik.

Настройка находится в IP→DNS

Для такой конфигурации DNS сервера нужно:

1. Задать внешние DNS сервера в параметре Servers. Это может быть DNS сервера Google: 8.8.8.8 и 8.8.4.4 или Cloudflare: 1.1.1.1 и 1.0.0.1;
2. Активировать параметр Allow Remote Requests. Это разрешит внешним запросам обращаться к роутеру MikroTik как к DNS серверу;
3. Обратить внимание на Cache Size. В больших сетях(от 100 узлов) его стоит увеличить в 2 или 3 раза. По умолчанию его значение = 2048Кб.

DNS сервера Google

ИЛИ

DNS сервера Cloudflare

Настройка Интернета на роутере MikroTik

Для настройки интернета на роутере MikroTik нужно совершить два действия:

• определить тип подключения на определенном порту(куда вставлен провайдер);
• активировать функцию NAT (masquerade).

Настройка DHCP client в MikroTik

Это самый распространённый тип подключения интернета на роутерах MikroTik. На указанный порт(ether1) будут приходить настройки от интернет провайдера. DHCP клиент не только облегчает настройку интернета, но и служит индикатором, когда услуга отсутствует на линии(не работает интернет), но и также позволяется добавить скрипт, который будет выполняться при изменении значения Status.

Как добавить скрипт в dhcp client MikroTik рассмотрено в статье “Настройка резервирования интернета в MikroTik, автопереключение провайдера через Netwatch → “

Настройка находится в IP→DHCP Client

1. Нажать + и добавить новый DHCP клиент;
2. Выбрать интерфейс, на котором подключен интернет в роутер MikroTik;
3. Остальные параметры оставить без изменений.

Опцией Add Default Route можно манипулировать, но выключенное состояние потребует ручного добавления маршрута. Это может стать полезным при использовании балансировки между несколькими линиями интернета.

Настройка статического IP в MikroTik

Настройка статического IP адреса в роутере MikroTik ни чем не отличается от аналогичной настройки любого сетевого устройства и состоит из трех разделов:

1. Настройка IP адреса на интерфейсе;
2. Создание статического маршрута.

Установка IP адреса на выбранный интерфейс

Настройка находится в IP→Addresses

1. Нажать + и добавить новый IP адрес;
2. Заполнить параметры: Address, Interface.

Популярные маски подсети:

• IP-Address/31 – 255.255.255.254
• IP-Address/30 – 255.255.255.252
• IP-Address/29 – 255.255.255.248
• IP-Address/28 – 255.255.255.240
• IP-Address/27 – 255.255.255.224
• IP-Address/26 – 255.255.255.192
• IP-Address/25 – 255.255.255.128
• IP-Address/24 – 255.255.255.0

Добавление статического маршрута(шлюз по умолчанию)

Настройка находится в IP→Routes

1. Нажать + и добавить новый статический маршрут в MikoTik;
2. Заполнить параметры: Gateway.

• Dst. Address= 0.0.0.0/0 – типичное обозначение для любого трафика. Таким значением в MikroTik необходимо определять интернет трафик;
• Gateway – это шлюз по умолчанию со стороны интернет провайдера, который подключен к роутеру MikroTik.

Настройка PPPoE в MikroTik

PPPoE сохраняет свою популярность при настройке интернета на роутере MikroTik.

Настройка находится в PPP→Interface

1. Нажать + и добавить новое PPPoE подключение;
2. Заполнить параметры: Interfaces, User, Password.

• Interfaces – интерфейс роутера MikroTik, на котором подключен интернет;
• User, Password – параметры для подключения интернета, выдаются провайдером.

В случае успешного соединения, на PPPoE интерфейсе будет определен статус RUN.

Настройка MikroTik NAT

NAT это механизм, который позволяет преобразовывать IP адреса для транзитных пакетов. Именно NAT является основной настройкой, которая обычное устройство MikroTik преобразовывает в роутер.

Настройка находится в IP→Firewall→NAT

1. Нажать + и добавить новое правило NAT;
2. Установить Chain = srcnat;
3. Out Interface = интерфейс с интернетом;
4. Action = Masquerade.

Masquerade это основное правило NAT для работы интернета на роутере MikroTik.

правило для работы интернета

Дополнение: srcnat можно использовать ещё в ситуации, когда на исходящем порту несколько ip адресов: провайдер выделил диапазон адресов на одном проводном подключении.

Настройка WiFi на роутере MikroTik

Рассмотрим ситуацию, когда у роутера MikroTik имеется два WiFi модуля 2.4ГГц и 5ГГц. Такая конфигурация позволит одновременно работать в двух разных диапазонах. Для их включения нужно последовательно настроить каждый из них.

Первым делом нужно настроить конфигурацию безопасности. Если локальная сеть не содержит гостевой сети, можно отредактировать конфигурацию по умолчанию.

Настройка пароля для WiFi в MikroTik

Настройка находится в Wireless→Security Profiles

1. Открыть профиль default для установки пароля WiFi ;
2. Установить Mode = dynamic keys;
3. Authentication Types = WPA2 PSK;
4. Chiphers = aes com;
5. WPA2 Pre-Shared Key – пароль для WiFi.

Настройка WiFi на частоте 2,4ГГц

Роутер MikroTik не будет блокировать настройку конфигурации WiFi если задать одно SSID имя. WiFi сигналы будут распространяться на абсолютно разных антеннах и в разных частотных диапазонах.

Настройки находятся Wireless→WiFi Interfaces

1. Открыть WiFi интерфейс wlan1;
2. Установить режим работы точки доступа Mode = ap bridge;
3. Поддерживаемые стандарты WiFi Band = 2Ghz-B/G/N;
4. Ширину канала Channel Width =20/40Mhz Ce;
5. Частоту WiFi Frequency = auto;
6. Имя WiFi сети SSID = MikroTik;
7. Пароль для WiFi Security Profile = default.

Детальнее про выбор частоты радиомодуля WiFi рассмотрено в инструкции “ → “

Настройка WiFi на частоте 5ГГц

Настройки находятся Wireless→WiFi Interfaces

1. Открыть WiFi интерфейс wlan2;
2. Установить режим работы точки доступа Mode = ap bridge;
3. Поддерживаемые стандарты WiFi Band = 5Ghz-A/N/AC;
4. Ширину канала Channel Width =20/40/80Mhz Ceee;
5. Частоту WiFi Frequency = auto;
6. Имя WiFi сети SSID = MikroTik;
7. Пароль для WiFi Security Profile = default.

Важно принимать факт нахождения WiFi интерфейса в составе bridge, без этой настройки WiFi клиенты не смогут получит IP адрес(dhcp сервер настроен на bridge), взаимодействовать с локальной сетью и будут ограничены доступом в интернет.

Проброс портов(port forwarding) в роутере MikroTik

Проброс портов это популярная функция любого роутера MikroTik, которая обеспечивает удаленный доступ к локальному ресурсу: VPN серверу, видеорегистратору, web сайту и тд. Для настройки проброса порта в роутере MikroTik следует добавить правило:

Настройка находится в IP→Firewall→NAT

1. Нажать + и добавить новое правило NAT;
2. Выбрать Chain=dstnat;
3. Dst. Address = внешний адрес роутера MikroTik;
4. Protocol = tcp;
5. Dst. Port = 80,443;
6. In. Interface = интерфейс с интернет провайдером;
7. Action = dst-nat;
8. To Addresses = IP адрес во внутренней сети.

• Цепочка dstnat – весь входящий трафик;
• To Ports – можно не заполнять, если их значения совпадают с Dst. Port.

В данном примере рассмотрен проброс портов http и https для web сервера, который находится в локальной сети.

Настройка Mikrotik FireWall

Firewall в роутере MikroTik является одним из самых важных компонентов на текущий момент. Неправильно настроенный Firewall может привести к ограниченному доступу к роутеру MikroTik, а его отсутствие поставит под угрозу всю сетевую инфраструктуру.

Специалисты Настройка-Микротик.Укр настоятельно рекомендуют не пренебрегать FIREWALL -ом роутера MikroTik, при настройке ИТ инфраструктуры

Настройка находится в IP→Firewall

Разрешение для уже установленных соединений

1. Нажать + и добавить новое правило Firewall;
2. Выбрать Chain=forward;
3. Connection state = established,related;
4. Action=accept.

1. Нажать + и добавить новое правило Firewall;
2. Выбрать Chain=input;
3. Connection state = established,related;
4. Action=accept.

Доверительные правила для локальной сети

1. Нажать + и добавить новое правило Firewall;
2. Выбрать Chain=input;
3. Установить значение LAN интерфейса In. Interface = bridge1;
4. Action=accept.

1. Нажать + и добавить новое правило Firewall;
2. Выбрать Chain=forward;
3. Установить значение LAN интерфейса In. Interface = bridge1;
4. Action=accept.

Разрешить ICMP запросы с WAN интерфейсов

1. Нажать + и добавить новое правило Firewall;
2. Выбрать Chain=input;
3. Protocol = icmp;
4. In. Interface = Интернет интерфейс;
5. Action=accept.

Удалить все входящие пакеты с WAN интерфейсов

1. Нажать + и добавить новое правило Firewall;
2. Выбрать Chain = input;
3. In. Interface = Интернет интерфейс;
4. Action = drop.

Удалить все пакеты в состоянии invalid

1. Нажать + и добавить новое правило Firewall;
2. Выбрать Chain = forward;
3. Connection state = invalid;
4. Action = drop.

1. Нажать + и добавить новое правило Firewall;
2. Выбрать Chain = input;
3. Connection state = invalid;
4. Action = drop.

С расширенной версией по настройке Firewall в роутере MikroTik можно ознакомиться в статье Настройка Firewall в MikroTik, защита от DDOS атаки.

Сброс MikroTik до заводских настроек, hard reset

Если по каким-то причинам необходимо сбросить роутер MikroTik до заводских настроек, это можно выполнить двумя методами:

Reset через Winbox

Настройка находится в System→Reset Configuration

1. Установить переключатели No Default Configuration и Do Not Backup;
2. Нажать кнопку Reset Configuration.

Reset через кнопку RESET

На задней панели расположена кнопка RESET

Необходимо последовательно совершить действия:

1. Отключить питание роутера;
2. Нажать и держать кнопку Reset;
3. Включить питание роутера(Reset нажат);
4. Подождать 5-6сек., в этот момент должен замигать какой-то индикатор(ACT|SYS| или другой);
5. Как только замигал индикатор. отпустить Reset.

После сброса роутера MikroTik, доступ к его настройкам будет осуществляться со стандартным именем пользователя admin и без пароля.

Есть вопросы или предложения по базовой настройке MikroTik? Активно предлагай свой вариант настройки! Оставить комментарий →

adminse

54 комментариев к статье “Настройка MikroTik Routerboard, базовая конфигурация роутера”

Привет, а меню на русском нет в роутере?

MikroTik лучше всего настраивать через Winbox, а он полностью на английском языке. Если сложности с переводом – пользуйтесь google переводчиком. А в версии Webfig можно применить перевод сайта на русский. Но рекомендую все же разобраться с понятиями и терминами, дальше станет легче настраивать эти Микротики

Очень объемная статья, с первого захода такие настройки тяжело “переварить”. Но когда начинаешь вникать в техническую составляющую, Микротик становится чем-то больше чем просто роутер.

Не получается пробросить порт для видеорегистратора

Настраивал все после инструкции, но wifi теряет сигнал, плохо ловит в дальних точках квартиры. Может поставить какой-то усилитель? У вас можно проконсультировать по работам по Запорожью?

Мы проводим настройку MikroTik по всем городам Украины! Обратитесь на контактные телефоны или заполните форму обратной связи —>

Всего 2 дня и мой MikroTik Hap ac2 заработал как нужно. С настройками справился с помощью 8-ми чашек кофе. Разработчикам привет, а автору спасибо!!

Подскажите как настроить точку доступа MikroTik в режиме моста(WDS)

Это универсальная настройка и подходит для всех роутеров MikroTik? У меня MikroTik RB2011UiAS-2HnD-IN и есть острая проблема в скорости по проводу, на одном роутере 100Мб, а на Микротике всего 20Мб. Микротик режит скорость?

Взломали роутер MikroTik, что делать? Только сбрасывать или можно как-то настроить?

если взломали то лучше прошить заново через netinstall

Бытует поверье – если сменить пароль на отвечающий критериям сложности, то “взлом” весьма затрудняется…

Подскажите как настроить микротик с LTE модемом. Нужно все тоже самое, только вместо обычного интернета будет мобильный

Купил новый роутер MikroTik hAp ac2, а на нём WiFi то для iphone, то для android не работает. Продавец два дня что-то настраивает, это вообще нормально или у них кривые руки?

Обратите внимание на поддержку одновременной работы двух диапазонов WiFi в покупаемой модели …
ps: продавцы судя по всему просто не знают про подобные тонкости.

Включили роутер Микротик с коробки, ни чего не настраивали. Он и так работает, НО не работает Яндекс сервисы такие как Алиса. Это проблема микротика или глубже?

Неплохой вариант настройки роутера. Становится более понятным принципы работы MikroTik

А сколько будет стоить перенести такую настройка на мой роутер MikroTik? Уже нет сил с ним бороться

Немножко становится понятным, как работает роутер Микротик. Но не все настройки даются с первого раза. Раньше с машиной проводил время. теперь с роутером))

Я тоже сменил работу из-за операций. Теперь тоже провожу время с роутерами весело и плакать хочется

Нужно настроить MikroTik hap ac3, такая конфигурация подойдёт или у меня слишком новый роутер?

я себе такой взял. Настроек из коробки практически хватает. Только поменял порт WAN c ether1 на ether2, поскольку ether1 является портом poe-in, а в планах есть перенести “коробочку” повыше

так на порт ether1 и настраивайте. Просто по нему потом через инжектор питание пойдет. Питание и сигнал идут по одному проводу :-).

Пошаговая инструкция по настройке MikroTik слишком сложная. Я воспользовался встроенным мастером настройки Quick Set и могу сказать, что мой роутер MikroTik работает просто отлично! Интернет не тормозит, забыл о слабом сигнале wifi, а главное, мой iphone не теряет связь с wifi!

Добрий день! На роутере Микротик включена точка доступа. После изменения пароля в security profile пароль не обновился и устройства подключаются по старому паролю. как принудительно обновить пароль (точка доступа не под CapsMan)
Спасибо

Самый просто способ – перезагрузить устройство. Но можно и:

выключить\включить интерфейс wlan
сбросить все подключения в таблице регистрации

Добрый день!
Пришлось менять роутер, т.к. предыдущий Microtik накрылся. Бросок питания. И вылетел не брок питания, а сам роутер. Не сбрасывается в заводские настройки и не обнуляется даже через аппаратный сброс. Естественно не запускается и доступа к нему нет.
Поменял на такой же. Старой прошивки к сожалению не сохранил (наука на будущее. ).
Все настроил, включая туннель к другой сети.
Но вот проблемка – компьютеры не видят друг друга в сети. При этом все пингуется, в том числе компьютеры в сети через туннель.
Подскажите, в чем может быть причина и как это побороть….
Заранее благодарен.

Не видят, но пингуются это как? Если именно так – то ваш случай индивидуальный и в нём нужно разбираться. Если работу VPN настроить самостоятельно не получится, обращайтесь в тех. поддержку MikroTIk→

windows 7? новый роутер обновил сетевые настройки на компах с 7 и сеть там стала “Общественной”, где по умолчанию закрыты сетевые ресурсы. Решение в настройках общего доступа либо смене типа сети на “Рабочую” с дальнейшей перезагрузкой.

Как самостоятельно поменять имя сети и установить пароль?

Изменить имя wifi сети(ssid) Winbox→Wireless→WiFi Interfaces→wlan1→SSID
Изменит пароль wifi сети(ssid) Winbox→Wireless→Security Profiles→WPA2 Pre-Shared Key
ссылка для настройки →

Здравствуйте, подскажите, пожалуйста: поменял тариф на 200 МБит/с, на одном порту поменялось значение “Rate” на 1 Gbps, а на другом осталось 100 Mbit. Когда убираю галку с “Auto Negotiation” и вручную ставлю 1 Gbit, то комп перестает видеть роутер по данному порту.

Роутер Mikrotik Hex Poe

У вас на порту автосогласование, т.е. когда на другом конце также будет поддержка 1Гб, то порт об этом отсигнализирует. В этом случае нужно проверить и удаленный порт и сам кабель.
Ваше описание это типичное поведение порта.

Ударила молния и сгорели порты 1,3,4,5.
Как сделать главным другой порт вместо Ethrnet 1??

У каждого типа подключения: в параметрах присутствует выбор интерфейса. Этим значение вы можете манипулировать на свой лад. Также необходимо контролировать разделы:
1. Interfaces→Interace List
2. Ip→Firewall→Filter Rules
3. Ip→Firewall→NAT

на наличие обновленных параметров вашего WAN интерфейса.

Доброго здоров’ячка!
Таке запитання. Роутер налаштовано . Все працює . Але . При намаганні зайти з телефону ( а з компа не пробував – далеко за ним йти) – не заходить на Приват24 та на нову пошту . В другому варіанті пише – немає зв’язку, в першому ( приват) – дуже довго висить відкривання додатку Приват24. Є якісь нюанси ? В який бік копати ? ( Щось так думаю – десь у фаєрволі щось не альо) .

Для чего нужна функция ip cloud
При активации данной функции по sn.mynetname.net в Микротик не зайдешь?
Как сделать чтобы она работала?

В этой инструкции “ ” есть описание тех. части, а в комментариях ответы на интересующие вопросы.

Нам нужно подключить 15 компьютеров, назначить каждому свои 8 портов (TCP vs UDP) и распределить каждому скорость 50мб/c. Какой управляемый маршрутизатор нам подойдет?

Мне нужна была настройка MikroTik и её получил(+ wifi для 5ггц теперь тоже настроено)

Дякую, користний матеріал для більшості користувачів, але маю декілько пропозицій, що до його покращення.
1) Оновлення до 7 версії вже має бути рекомендоване.
2) Включення Fast Forwarding на інтерфейсі bridge має збільшити продуктивність, якщо не потрібна фільтрація кожного пакету.
3) В налаштуваннях дозволу віддаленного доступу до DNS сервісу потрібно дати коменар, що до його обов`язкового захисту із зовні, як і інших вбудованих сервісів як SSH.
4) Не зрозуміло чому в налаштуваннях профілю безпеки бездротової мережі вказано Management protection disabled, замість allowed. Окрім цього більшість рекомендацій безпеки радять не використовувати дефолтні профілі безпеки та створювати їх кастомні копії.
5) В налаштуваннях інтерфейсів бездротової мережі не акцентована увага на вибір Wireless protocol – 802.11, Frequency mode – regulatory-domain, Country – Ukraine бо це є регульвано законодавством країни, Installation -indoor, WMM support – enable. Також на вкладенці Advanced: Distance – indoor, Hw. Protection mode – rts cts, Hw. Protection threshold – 0, Adaptive noise immunity – ap and client mode

Большое спасибо. Статья очень помогла.

Щиро Дякую. Стаття дуже допомогла.

Доброго дня.
Налаштував на мікротік мережу вай-фай на основі СapsMan. Девайси підключаються нормально все працює, але не можу підключити до вай-фай принтер epson L3151. Підключається через раз і постійно втрачається зв’язок з принтером. У документації до принтера сказано що потрібно перевірити і відключити функцію розділювач конфіденційності. Де її можна знайти у налаштуваннях роутера і як вона називається у мікротік. Модель роутера Мікротік HAP AC Lite, точка доступу сAP lite

Маю точку доступу wap r, використовую її як репітер. Проблема втому, що коли зникає мастер точка wifi (та з якої беру інет) то й на моїй ТД зникає wifi(як саме підключенняв списку доступних), мається на увазі, не знаходить саме підключення. Тобто при бажанні підключитись до іншого wifi(master wifi) треба демонтувати точку, брати кабель ноут і так.
Питання, в тому як залиши незалежний канал wifi для обслуговування?

В инструкции рассмотрен случай, когда у точки доступа WiFi имеется отдельный интерфейс для раздачи WiFi, хотя в вашем описании могу быть нюансы…

Доброго дня. Стикнувся з проблемою на девайсах RB952Ui-5ac2nD 7.7 (stable) не працює wi-fi на жодному з конфігів, в логах пише
wlan1: attempts to associate
wlan1: not in local ACL, by default accept
wlan1: connected, signal strength -38
wlan1: disconnected, unicast key exchange timeout, signal strength -37

Настройка Интернета на роутере MikroTik
Для настройки интернета на роутере MikroTik нужно совершить два действия:

определить тип подключения на определенном порту(куда вставлен провайдер);
активировать функцию NAT (masquerade).

не могу найти где именно надо активировать функцию NAT (masquerade).

(это ближайшая ссылка) как раз рассматривается эта настройка.

Доброго дня!
hap ac lite. після хард ресету через фізичну кнопки не запускається wifi для налаштування через андроід додаток.
якщо підключитись через winbox за допомогою кабелю, то додаток закривається десь через 5-6 секунд після авторизації, останне що бачу діалогове вікно:
RouterOS Default Configuration

The following default configuration has been installed on your router:

Wireless interfaces are set to be managed by CAPSMAN.

All ethernet interfaces and CAPSMAN managed interfaces are bridged. DHCP client is set on bridge interface.

You can click on “Show Script” to see the exact commands that are used to add and remove this default configuration. To remove this default configuration click on “Remove Configuration” or click on “OK” to continue.

NOTE: If you are connected using the above IP and you remove it, you will be disconnected.

Вечір добрий , адміни !
Підкажіть будь-ласка де шукати налаштування. Придбав на заміну вмерлого роутера MikroTik hEX (RB750Gr3). По оптоволокну мені від провайдера заходить 200 Мбіт , що тест показував коли налаштовував pppoe підключення роутера і ноут був підключений кабелем до порту Ethernet.
Але коли зібрав всю домашню мережу ( дві точки доступу Ubiquiti по кабелю ы два телевізори по кабелю ) то що вайфай , що телевізор дає максимальну швидкість 95 Мбіт. Розумію що коли все вимкнено і працює лише один девайс, то мало би видавати на один порт максимум

Как правило настройки не режут скорость до 100мб. Можно предположить варианты:

– у вас на входе 100мб
– после роутера стоит коммутатор 100мб(или все патч корды по 4жилы)

На вході 100 процентів – 200 МБіт .

Я правильно розумію , що налаштування не ріжуть і треба перевіряти обжимку кабелів ?
На вайфай точки доступу в мене подається живлення через мережевий кабель також.
Але ж на телевізори мало би показати 200

Дякую за уточнення стосовно налаштувань

Почему не добавляются новый польватель и не удаляются старый логин и пароль , не хочу сбрасывать на микротик

Описание настроек DHCP сервера MikroTik

Что можно делать встроенным DHCP сервером Mikrotik? Вот не полный список того что он позволяет: осуществлять привязку MAC адреса узла к IP адресу, совместно с настройками ARP организовывать MAC фильтрацию пользователей, раздавать WINS, NTP, WEB, SMTP, IRC, POP3 сервера, индивидуально каждому клиенту устанавливать время ареды, выполнять скрипты при обнаружении не авторизованного DHCP в сети, выступать в сети авторизованным/дополнительным сервером раздачи адресов, раздавать параметры для компьютеров загружаемых с сети, добавлять IP пользователей в списки firewall, распространять статические маршруты, передавать многие другие настройки через Option. Сегодня раскажу на что влияют некоторые параметры в настройках DHCP сервера всеми нами любимого маршрутизатора Mikrotik.

Итак произведём ручную настройку DHCP сервера Mikrotik и рассмотрим возможности заложенные в нём. Создадим пул IP адресов которые будут присваиваться клиентам, для этого зайдём в IP/Pool и плюсиком создадим интервал 10.24.3.162-10.24.3.190:

Создадим сам DHCP сервер AlenNet на интерфейсе AlenaNet нажав плюсик в окне IP/DHCP server/DHCP:

lease Time — Время аренды IP адреса клиентом

Address pool — диапазон IP адресов, которые будет раздавать сервер

Add ARP For Leases — Создаёт в таблице ARP записей cопостовление MAC — IP для клиентов получивших аренду у DHCP и позволяет совместно с IP/ARP организовывать MAC фильтрацию на микротик.

Authoritative может быть:

Yes — если клиент запросит IP адрес, микротик ему сразу же ответит. Причём если клиент ранее получал IP адресс с другого DHCP в сети, то микротик пошлёт ему пакет DHCPNAK заставляющий обновить ему свой IP.

No — если клиент ранее получавший IP адресс с другого DHCP запросит адресс у микротика то он его проигнорирует

After 2s delay — если клиент запросит IP адрес недоступный на DHCP Mikrotik он будет его игнорировать 2 секунды, а далее пошлёт DHCPNAK и присвоит IP адрес из своего диапазона. Своим клиентам DHCP микротик отвечает мгновеенно.

After 10s delay — если клиент запросит IP адрес недоступный на DHCP Mikrotik он будет его игнорировать 10 секунд, а далее пошлёт DHCPNAK и присвоит IP адрес из своего диапазона. Своим клиентам DHCP микротик отвечает мгновенно.

Перейдём на вкладку Networks и создадим список клиентов 10.24.3.160/27 для которого будут раздаваться все остальные настройки. Интересно то что вы можете отдельно каждому клиенту раздавать настройки указав его IP в строке Address:

Gateway — основной шлюз (может быть несколько)

NetMask — маска подсети для раздаваемых IP

DNS servers — сервера имён (может быть неколько)

WINS servers — сервера имён Windows используются для работы сетевого окружения. (может быть несколько)

NTP servers — сервера времени (может быть несколько)

DHCP Option — дополнительные параметры такие как SMTP, POP, WEB, SWAP сервера передаваемые по DHCP. Требует настройки в Options

Перейдём на вкладку Leases (Аренды)

Здесь можно сопоставить раздаваемые клиентам IP адреса с их MAC. Щёлкаем для этого по клиенту и нажимаем кнопку Make Static. Дополнительно можно выбрать список firewall в который нужно добавить клиента запросившего адрес у DHCP. Для этого выбираем в Address List нужный вам список IP адресов.

Отдельного внимания заслуживает наборы Options где вы можете указать дополнительные параметры раздаваемые c помощью DHCP:

В разделе Alerts указываются скрипты выполняемые микротиком в случае если в сети обнаружится не авторизованный DHCP

Опыт использования Mikrotik CHR для организации виртуальной маршрутиризации

В статье приведу результат решения задачи по организации маршрутизации между виртуальными машинами на VMware с использованием MikroTik CHR, причем с организацией доступа по VPN до виртуальных машин из внешней сети.

Введение

Определим исходную задачу:

1. В наличии сервер с объемом памяти 96 Гб, 24 CPU и 22 TB дискового пространств
2. К серверу подключены 2 линии:

• одна служит для менеджмента и управления VMware;
• со второй приходят два VLAN — один для доступа во внутреннюю сеть организации и с выходом в интернет, со второго приходят реальные адреса.

Для того, чтобы больше не использовать адресное пространство организации необходимо внутри сервера для ресурса из 3 виртуальных машин определить собственное адресное пространство и закрыть ресурс для доступа других ресурсов из 3 машин.

Необходимо блокировать трафик с виртуальных машин, который идет не на прокси организации.

Каждый ресурс из трех виртуальных машин предназначен для одного человека, ему также необходимо предоставить доступ для работы из дома.

На сервере стоит VMware ESXi 6, для маршрутизации будет использоваться MikroTik CHR 6.42

Настройка VMware

Как уже определили на сервер приходят два VLAN, один будет служить для доступа виртуальных машин в сеть организации и доступа в интернет через прокси организации, второй необходим для наличия реального адреса и доступа к виртуальным машинам из вне.

Средствами VMware на виртуальном свитче создадим отдельные интерфейсы:

Каждый созданный интерфейс привязан к виртуальной машине с MikroTik CHR и к 3 виртуальным машинам из пула. К примеру для машин с идентификатором Student#8 назначен виртуальный интерфейс VM Vlan 25.

В итоге получаем следующую настройку для виртуальной машины с MikroTik CHR:

Как видим интерфейс Class8-509 для доступа во внутреннюю сеть и Real_Outside для реального адреса.

Настройка MikroTik CHR

Первоначально определим понятные названия интерфейсов и дадим комментарии для понимания какой интерфейс какому пулу виртуальных машин предназначен.

Каждому интерфейсу присвоим IP адрес, в том числе интерфейсу, который будет иметь реальный адрес.

Определим набор сетей. В каждом пуле машин на одной виртуальной машине установлен Windows Server 2012 на котором настроен AD и DNS, поэтому для каждой сети IP адрес этой виртуальной машины будет выступать в качестве DNS.

Для каждого интерфейса определим пул адресов, который будет выдавать DHCP сервер и активируем Add ARP For Leases. Тем самым препятствуя ручному назначению IP адреса для виртуальной машины.

Так как необходимо обеспечить доступ к виртуальным машинам из сети Интернет, то сразу подготовим пул адресов для клиентов, когда они будут подключаться через L2TP/IPsec.

В новых версиях RouterOS появилась возможность создавать списки, поэтому все локальные интерфейсы объединим в один список для облегчения настроек firewall.

Определим список IP адресов прокси и в правилах firewall укажем, что трафик со всех локальных интерфейсов, если он не идет на адреса прокси, будет блокироваться. Сразу укажем правило для запрета ICMP и заблокируем трафик между локальными интерфейсами.

Также определим NAT, в котором весь трафик с локальных адресов будет выходить через интерфейс, который смотрит в сеть организации.

Настройка MikroTik CHR:L2TP/IPsec

Для организации доступа из внешней сети активируем L2TP сервер и создадим для каждого пользователя свои учетные данные и собственный интерфейс. Каждый пользователь сможет создавать только одно соединение одновременно. Так как, часть пользователей использует Windows 10, то в настройках безопасности дополнительно активируем 3DES алгоритм шифрования.
В настройках firewall укажем, что каждый пользователь может обращаться только в свою сеть (на конкретный локальный интерфейс) по определенным портам (RPD и SSH) и заблокируем любой другой трафик. Дополнительно разрешим доступ для l2tp с интерфейса, который имеет реальный адрес.
Для облегчения нагрузки на сеть организации для каждого пользователя сделаем ограничение в скорости.
В итоге получаем следующие настройки, приведу часть настроек для одного пользователя.

Помимо настройки соединения на домашней машине клиента, дополнительно клиент прописывает маршрут до разрешенной ему сети, однако, благодаря правилам firewall, если клиент указал маршрут не до своей сети, то до виртуальных машин указанной сети он доступ получить не сможет.

Маркировка трафика

Так как у нас образуется два интернет соединения нам необходимо входящий трафик правильно отправить обратно через нужный интерфейс. Поэтому используем возможности Mikrotik в маркировке трафика.

SSH block list

Так как у нашего MikroTik имеется реальный адрес, то возникают попытки подбора пароля со стороны сети Интернет по протоколу SSH, поэтому в firewall добавим ряд правил для блокировки таких IP адресов.

На момент создания данной статьи в списки блокировок было порядком 400 адресов.

Итого

В итоге получаем на выходе настроенный виртуальный mikrotik, который выполняет маршрутизацию трафика, обеспечивает возможность подключения со стороны Интернет по l2tp/ipsec и обладает настройками firewall для разграничения пользователей и интерфейсов.

Спасибо gecube. Для MikroTik CHR необходимо приобретать лицензию, иначе каждый интерфейс ограничен скоростью 1 мбит, либо можно активировать trial на 60 дней с полным функционалом. Стоимость и градация лицензий.. Безлимитная лицензия ограничивается только скоростью ваших интерфейсов.