Настройка маршрутизатора MikroTik RB951G-2HnD с нуля

RouterBOARD RB951G-2HnDПример по настройке маршрутизатора MikroTik RouterBOARD RB951G-2HnD. Также подойдет для большинства моделей RouterBOARD от MikroTik.

Данный вариант настройки подойдет как для домашнего маршрутизатора так и для маршрутизатора установленного в небольшой фирме.

Маршрутизатор Микротик RB951G-2HnD поставляется с операционной системой RouterOS v5.x. Поэтому все настройки проверены для данной версии.

Подключение:
в порт 1 подключаем нашего провайдера с адресом 1.2.3.4 маской 255.255.255.0 (/24) и шлюзом 1.2.3.254
в порт 2 подключаем компьютер в локальной сети или коммутатор. Адрес локальной сети 192.168.0.0 подсеть 255.255.255.0 (/24).

Теперь все по порядку:

Первым делом надо подключиться к маршрутизатору

По умолчанию, конфигурация на маршрутизаторе настроена на подсеть 192.168.88.0/24. Открываем в веб-браузере адрес , скачиваем и сохраняем на компьютере, например на рабочем столе, Winbox.exe.
Консоль MikroTik RouterBoard

Запускаем Winbox, Напротив Connect to нажимаем кнопку «…», и спустя несколько секунд должен появится в списке ваш маршрутизатор
2

Два раза щелкаем мышкой по МАС адресу и подключаемся с именем admin без пароля.

При первом входе, система предупредит что был запущен автоматический скрипт настройки маршрутизатора. Нажимаем кнопку Remove Configuration:
3

После этого дожидаемся пока консоль Winbox закроется, и спустя несколько секунд опять запускаем Winbox (от туда куда вы её сохранили) и опять подключаемся по MAC адресу.

После подключения через Winbox запускаем (из левого меню, внизу) New Terminal, и уже через него вводим все команды
4

Начинаем настройку. Присваиваем маршрутизатору имя (вместо papa-admin можете указать свое, это ни на что не влияет):

 /system identity set name=papa-admin

Переименовываем сетевые интерфейсы. первый, к которому подключен провайдер, называем wan. Для локальных сразу же указываем мастер-порт.

 /interface ethernet
 set 0 name=wan
 set 1 master-port=none name=ether2-master-local
 set 2 master-port=ether2-master-local name=ether3-slave-local
 set 3 master-port=ether2-master-local name=ether4-slave-local
 set 4 master-port=ether2-master-local name=ether5-slave-local

Настраиваем коммутатор для локальный портов. Немного пояснений: bridge-local это виртуальный порт, в который входят все локальные порты, и ему присваевается MAC адрес мастер-локального порта.

 /interface bridge add name=bridge-local auto-mac=no protocol-mode=rstp admin-mac=[/interface ethernet get ether2-master-local mac-address]
 /interface ethernet switch set 0 mirror-source=none mirror-target=none name=switch1
 /interface bridge port add bridge=bridge-local interface=ether2-master-local
 /interface bridge settings set use-ip-firewall=no use-ip-firewall-for-pppoe=no use-ip-firewall-for-vlan=no

Назначаем ip адреса:

 /ip address
 add address=192.168.0.254/24 disabled=no interface=bridge-local network=192.168.0.0
 add address=1.2.3.4/24 disabled=no interface=wan network=1.2.3.0

Добавляем шлюз по умолчанию:

 /ip route add dst-address=0.0.0.0/0 gateway=1.2.3.254 distance=2 comment="isp"

Создаем пул-адрес и настраиваем DHCP сервер для локальной сети:

 /ip pool add name=lan-dhcp ranges=192.168.0.10-192.168.0.253
 /ip dhcp-server add address-pool=lan-dhcp interface=bridge-local name=default disabled=no
 /ip dhcp-server network add address=192.168.0.0/24 dns-server=192.168.0.254 gateway=192.168.0.254

Настраиваем сервер разрешения имен (DNS). Адрес 8.8.8.8, как и 8.8.4.4, это общедоступные сервера. Вместо них можете использовать адрес DNS сервера предоставленный провайдером.

 /ip dns set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
 /ip dns static add address=192.168.0.254 name=router

Приступаем к настройке файервола.

Создаем список адресов «inet». ip адреса входящие в этот список будут иметь выход в интернет. Я добавил в него диапазон адресов для всей локальной сети, следовательно доступ будет для всех.

 /ip firewall address-list
 add address=192.168.0.0/24 disabled=no list=inet

Создаем входящие правила. Разрешаем пинги маршрутизатора:

 /ip firewall filter
 add action=accept chain=input comment=icmp disabled=no protocol=icmp

Разрешаем уже установленные соединения:

 add action=accept chain=input comment=established connection-state=established disabled=no
 add action=accept chain=input comment=related connection-state=related disabled=no

Разрешаем доступ к маршрутизатору с любого адреса из локальной сети:

 add action=accept chain=input comment=manage disabled=no in-interface=bridge-local

Все остальные входящие пакеты блокируем

 add action=drop chain=input comment="all other drop" disabled=no in-interface=wan

Настраиваем фильтры для проходящих через маршрутизатора пакетов. Некорректные пакеты блокируем:

 add action=drop chain=forward comment="Drop invalid connection packets" connection-state=invalid disabled=no

Разрешаем уже установленные соединения:

 add action=accept chain=forward comment="Allow established connections" connection-state=established disabled=no
 add action=accept chain=forward comment="Allow related connections" connection-state=related disabled=no

Разрешаем выход в интернет для адресов в группе «inet«:

 add action=accept chain=forward comment="Allow acess to internet" disabled=no in-interface=bridge-local out-interface=wan src-address-list=inet

Все остальные пакеты блокируем:

 add action=drop chain=forward comment="All other drop" disabled=no

Разрешаем маскарадинг для пакетов из локальной сети:

 /ip firewall nat add action=masquerade chain=srcnat out-interface=wan

Настраиваем время на маршрутизаторе, чтобы правильно в логах отображалось. Часовой пояс +4 (Москва):

 /system clock set time-zone-name=manual
 /system clock manual set time-zone=+04:00
 /system ntp client set enabled=yes mode=unicast primary-ntp=193.1.193.157

Настраиваем Wi-Fi. По умолчанию беспроводной интерфейс, если он есть, уже имеет некоторые настройки, поэтому мы лишь добавим необходимое

Настраиваем профиль по умолчанию. Включаем WPA-PSK & WPA2-PSK. Пароль 41840268B2FC можете заменить на свой.

 /interface wireless security-profiles
 set 0 mode=dynamic-keys authentication-types=wpa-psk,wpa2-psk group-ciphers=aes-ccm unicast-ciphers=aes-ccm wpa-pre-shared-key=41840268B2FC wpa2-pre-shared-key=41840268B2FC

Включаем беспроводной интерфейс в режиме Точки доступа-Моста. SSID papa-admin можете заменить на свой.

 /interface wireless
 set 0 ssid=papa-admin bridge-mode=enabled name=wlan disabled=no wireless-protocol=any mode=ap-bridge

Добавляем беспроводной интерфейс в группу к локальным интерфейсам, чтобы общая сеть была:

 /interface bridge port add bridge=bridge-local interface=wlan

Перезагружаем маршрутизатор

 /system reboot

отвечаем Y и после перезагрузки у нас все должно работать.

Источник http://papa-admin.ru/blog/mikrotik/nastrojka-marshrutizatora-mikrotik-rb951g-2hnd-s-nulya.html

Запись опубликована в рубрике *Lan&Wan, MikroTik, Сетевое. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не спамер This plugin created by Alexei91