Инструкции по настройке MikroTik

Данная инструкция предназначена для самостоятельной настройки роутера MikroTik. В качестве примера будет использоваться роутер MikroTik hAP ac lite(RB952Ui-5ac2nD), который будет настроен для работы интернета и использования локальных сетей Ethernet и WiFi(включая Apple Iphone).

Инструкция состоит из двух больших примеров: “Быстрая настройка” и ‘Ручная настройка“, задача которых состоит в демонстрации двух методов настроек: с помощью внутреннего мастера настроек Quick Set и распределённая настройка посредством Winbox или Webfig.

№1. Быстрая настройка

1. Сброс роутера
2. Подключение по кабелю
3. Подключение по WiFi
4. Вход в настройки
5. Quick Set настройка
   • Обновление прошивки
   • Настройка WiFi
   • Настройка интернета, автоматические настройки
   • Настройка интернета, статический IP
   • Настройка интернета, PPPoE
   • Настройка LAN

№2. Ручная настройка

1. Подключение к ПК
2. Вход в настройки
   • Ошибки Winbox
3. Сброс роутера
4. Установить пароль
5. Обновить прошивку
6. Настройка LAN
   • DHCP сервера
   • DNS
7. Настройка интернета
   • DHCP клиент
   • Статический IP
   • PPPOE
8. Настройка WiFi
   • WiFi 2G
   • WiFi 5G
9. Проброс портов
10. Настройка FireWall
11. Сброс на заводские настройки
12. Задать вопрос по настройке MikroTik

Оборудование MikroTik использует операционную систему RouterOS, которая содержит все необходимые функции — маршрутизация, firewall, управление полосой пропускания, управление точкой беспроводного доступа, бесшовный WiFi CAPsMAN, Hotspot, VPN сервер и многое другое. Стоит отметить то, что RoutesOS настраивается на любом оборудовании MikroTik одинаково. Это свойство универсальности позволяет применять любые настройки из раздела Инструкций на любом оборудовании MikroTik. 

Нужна настройка MikroTik в базовой конфигурации?

Настройка служб на роутерах MikroTik: подключение интернета, DHCP, brige, VLAN, WiFi, Capsman, VPN, IpSec, PPTP, L2TP, Mangle, NAT, проброс портов, маршрутизация(routing), удаленное подключение и объединение офисов.

Важно! Телефон указывать в формате +380YYXXXXXXX

Пример №1. Быстрая настройка MikroTik

Данный пример настройки роутера MikroTik самый простой и не требует детального изучения принципов работы MikroTik. Его можно применять с использованием ПК или ноутбука, а также мобильного телефона.

Исходные настройки роутера MikroTik должны соответствовать заводским, если по какой причине это не так, следует их сбросить через кнопку Reset.

Сброс через кнопку RESET

На задней панели расположена кнопка RESET

Необходимо последовательно совершить действия:

После процедуры аппаратного сброса до заводских настроек Reset устройство будет перезагружено, а конфигурация будет соответствовать конфигурации оборудованию “с коробки”. Этот метод сброса настроек можно использовать на любом оборудовании MikroTik: роутере, коммутаторе, точке доступа WiFi. Расширенные примеры по сбросу находятся в инструкции Сброс настроек в MikroTik, заводские настройки через Reset →

Подключение роутера MikroTik по кабелю

Для настройки роутера MikroTik потребуется два патч-корда RJ-45. Это стандартный сетевой кабель для подключения Ethernet устройств.

Со стороны компьютера(ноутбука) предполагается, что сетевая карта настроена на автоматическое получение IP адреса(DHCP), если это не так, необходимо обновить этот параметр.

На примере ОС Windows нужно открыть раздел Панель управления\Сеть и Интернет\Сетевые подключения

и в свойствах сетевого адаптера

установить “Получить IP-адрес автоматически”.

После изменений настроек сетевой карты нужно сохранить все изменения.

Подключение роутера MikroTik по WiFi

Подключение к роутеру MikroTik через WiFi может стать актуальным, если у ноутбука нет Ethernet порта или настройка роутера производится через смартфон. В списке доступных WiFi подключений должен отображаться роутер MikroTik, по аналогии как на примере ниже.

Если на новом роутере MikroTik по умолчанию установлен заводской пароль на WiFi, его можно найти на наклейке, которая располагается на корпусе роутера.

Вход в настройки роутера MikroTik

Для входа в настройки MikroTik можно воспользоваться любым web браузером.

• 192.168.88.1 – IP адрес MikroTik по умолчанию.

На новых роутерах MikroTik пароль часто располагается на наклейке, которая по заводу присутствует на корпусе устройства.

Настройка MikroTik с помощью Quick Set

Quick Set это мастер быстрых настроек, который содержит оптимизированные шаблоны уже готовых конфигураций, достаточно только их заполнить пользовательскими данными. В рамках данной настройки будет выбран шаблон Home AP Dual.

Обновление прошивки

• long term – самая стабильная версия. Рекомендовано для производственных сред!
• stable – long term плюс поддержка новых функций. Новые технологии это всегда хорошо.

Если на роутере прошивка RouterOS v7, то необходимо выбрать Channel = stable. А далее роутер MikroTik будет перезагружен и после будет доступен по прежнему адресу “192.168.88.1“.

Настройка MikroTik WiFi

• Frequency = auto – частота для 2.4ГГц и 5Ггц будет выбираться автоматически. Это оптимальный вариант для применения без изучения частотных каналов;
• Country = no_country_set – WiFi модули MikroTik не будут использовать ни каких ограничений по выбору частоты, а также мощности сигнала. Это важно применять в тех средах, где уровень сигнала слабый.

 

Настройка интернета, автоматические настройки

Значение IP Address будет присвоено роутеру MikroTik интернет провайдером автоматически.

Настройка интернета, статический IP адрес

Все заполняемые параметры статического IP адреса выдаются интернет провайдером, как правило дополнительной(платной) опцией.

Настройка интернета, PPPoE

Настройка локальной сети

Пример №2. Ручная настройка MikroTik

Подключение роутера MikroTik к компьютеру

Предварительно стоит отметить, что у роутера MikroTik в качестве порта WAN может выступать любой порт. Однако в заводской прошивке, в качестве WAN порта выступает ether1, на котором активен dhcp client. Эту особенность заводской прошивки стоит учитывать при подключении к роутеру MikroTik, т.к. конфигурация определена так, что все входящие подключения на ether1 будут недоступны. Из этого следует то, что при первичной настройке роутера MikroTik, патч корд нужно подключить в любой порт кроме ether1.

Вход в настройки MikroTik RouterOS

Для настройки роутера MikroTik лучше всего воспользоваться утилитой Winbox, которая специально разработана для управления оборудованием MikroTik.

Winbox обнаружит устройство независимо от назначенного ему адреса. Чаще всего это 192.168.88.1, но и встречаются варианты когда ip адрес = «0.0.0.0». В этом случае подключение происходит по MAC адресу устройства. Кроме этого Winbox отображается все найденные устройства MikroTik в сети, а также дополнительную информацию(версия прошивки, UpTime):

Учётная запись(пароль) по умолчанию:

• пользователь = «admin»
• пароль = «»(пустой)

Новая линейка роутеров MikroTik в заводской конфигурации уже имеет предустановленный пароль, значение которого можно увидеть на наклейке, на одной из сторон роутера.

Сброс роутера MikroTik

Т.к. ручная настройка предполагает полную настройку роутера MikroTik с нуля, при первом подключении необходимо полностью удалить заводскую настройку. После нажатия кнопки Remove Configuration роутер будет перезагружен, а его настройки удалены.

Если по какой-то причине роутер MikroTik не вывел форму сброса, это можно сделать в ручном режиме.

Reset через Winbox

Настройка находится в System→Reset Configuration

No Default Configuration все настройки роутера MikroTik будут сброшены. Конфигурация будет пустой.

/system reset-configuration no-defaults=yes skip-backup=yes

Сброс роутера MikroTik будет сопровождаться перезагрузкой устройства, после которой можно повторно подключиться к роутеру только через MAC адрес.

Ошибки при подключении к Winbox

ERROR: router does not support secure connection, please enable legacy mode if you want to connect anyway

Решение: необходимо активировать режим Legacy Mode.

ERROR: wrong username or passwords

Решение-1: Недопустимые учётные данные(неверное имя пользователя или пароль). За доступом нужно обратиться к администратору устройства или сделать сброс к заводским настройкам →.

Решение-2: Обновить версию Winbox.

ERROR: could not connect to MikroTik-Ip-Address

Решение: Проблема связана с доступом, частые причины:

1. Подключение закрыто через Firewall;
2. Изменён порт управления через Winbox с 8291 на другой;
3. Подключение происходит через WAN порт, интернет провайдер которого блокирует подобные соединения;

Установить пароль на роутер MikroTik

Первым важным делом настройки нового роутера MikroTik это обновление пароля администратора. Случаи бывали разные, это пункт просто нужно выполнить.

Настройка находится в System→Users

добавление нового пользователя с полными правами:

/user add name="admin-2" password="PASSWORD" group=full

деактивация старого пользователя:

/user set [find name="admin"] disable="yes"

Обновление прошивки в MikroTik RouterOS

Одной из важной задачей при вводе в эксплуатацию нового устройства MikroTik: маршрутизатора(роутера), коммутатора(свитча) или точки доступа WiFi это обновление прошивки. Чаще всего это имело рекомендованный характер, но недавний инцидент с “back door” в категории long-term указал на то, что актуальность прошивки в устройствах MikroTik имеет критический характер.

Настройка находится в System→Packages

Действия в кнопке Download&Install произведут закачку выбранной редакции прошивки и автоматическую перезагрузку роутера MikroTik. Установка будет произведена в момент загрузки. Не выключайте роутер MikroTik до полной перезагрузки и обеспечьте стабильное питание электросети при обновлении прошивки.

Редакции прошивок MikroTik

• long term(bug fix only) – самая стабильная версия. Рекомендовано для производственных сред!
• stable(current) – long term плюс поддержка новых функций. Новые технологии это всегда хорошо.

Другие редакции не рекомендуется устанавливать в рабочие устройства MikroTik, т.к. это может привести к нежелательным последствиям.

Важным дополнением в обновлении прошивки является обновление Current Firmware – это аппаратная прошивка, аналог BIOS в компьютере.

Настройка находится тут System→Routerboard

Изменения вступят в силу после перезагрузки устройства MikroTik(System→Reboot).

Настройка локальной сети MikroTik LAN

В основе работы локальной сети (LAN) на роутере MikroTik находится Bridge – программное объединение портов в свитч. В состав Bridge может входить любая последовательность портов роутера MikroTik, а если туда добавить все порты – роутер станет точкой доступа WiFi или коммутатором.

Стоит учитывать, что такое объединение  управляется CPU. Этот факт важен при значительных нагрузках на CPU.

Настройка LAN на роутере MikroTik состоит из следующих ключевых этапов:

1. Объединение все локальных портов в Bridge;
2. Настройка локального IP адреса для роутера MikroTik;
3. Настройка DHCP сервера.

Настройка MikroTik Bridge

Настройка находится в основном меню Bridge→Bridge

Копирование значения MAC Address в Admin MAC Address поможет исключить ошибку:

ether3:bridge port received packet with own address as source address (MAC ether3), probably loop”

/interface bridge add admin-mac=74:4D:28:68:FE:3C auto-mac=no name=bridge1

Добавление портов MikroTik в Bridge

Настройка находится в основном меню Bridge→Ports

/interface bridge port add bridge=bridge1 hw=yes interface=ether2
/interface bridge port add bridge=bridge1 hw=yes interface=ether3
/interface bridge port add bridge=bridge1 hw=yes interface=ether4
/interface bridge port add bridge=bridge1 hw=yes interface=ether5

/interface bridge port add bridge=bridge1 interface=wlan1
/interface bridge port add bridge=bridge1 interface=wlan2

Hardware Offload — аппаратная поддержка bridge отдельным чипом. Список поддерживаемых устройств.

По итогам, закладка Bridge→Ports должна иметь вид:

Создать Interface List LAN

Группировка интерфейсов по направлению, помогает описывать настройки более общими правилами. Это достаточно удобно, когда два и более интерфейса являются LAN или WAN и для них нужно применить одинаковые правила Firewall, NAT.

Наименование Interfaces List можно задавать произвольное, оно не влияет и не пересекается ни с каким настройками. Обычно:

• LAN – локальная сеть;
• WAN – интернет интерфейс.

Настройка находится в Interfaces→Interfaces List→List

Добавить Bridge в Interface List LAN

Настройка находится в Interfaces→Interfaces List

Таким образом в Interfaces List был добавлен bridge1 и если в каких-то настройка роутера MikroTik указать Interfaces List = LAN, то будут использовать все интерфейсы, которые в него добавлены. В данном случае это bridge1.

Назначение локального IP адреса

После добавления портов в Bridge нужно назначить статический IP адрес и правильней всего это указать в качестве интерфейса созданный bridge1. С этого момента любая настройка адресации или маршрутизации в роутере MikroTik будет осуществляться через bridge1.

Настройка находится в IP→Addresses

При заполнение IP адреса важно указать маску подсети. Это частая опечатка может произвести к отсутствию отклика от роутера MikroTik. При этом значение Network заполнится автоматически.

Установка IP адреса на выбранный интерфейс

/ip address add address=192.168.0.1/24 interface=bridge1 network=192.168.0.0

Настройка DCHP сервера в MikroTik

DHCP сервер занимается выдачей IP адресов всем устройствам, которые отправляют соответствующий запрос. Это незаменимая опция при настройке WiFi на роутере MikroTik, но и также облегчает обслуживание локальной сети в этом вопросе.

Настройка будет состоять из 3-ёх пунктов:

Определение диапазона назначаемых IP адресов

Настройка находится в IP→Pool

Диапазон Addresses содержит IP адреса для всех клиентов роутера MikroTik и часто принимает значение или как показано на изображении или 192.168.0.100-192.168.0.254. Это даст возможность указывать статические IP адреса для: сервера, принтера, видеорегистратора, IP камеры и тд.

/ip pool add name=pool-1 ranges=192.168.0.2-192.168.0.254

Задание сетевых настроек для клиента

Настройка находится в IP→DHCP Server→Networks

• Netmask = 24 – это эквивалент привычному значению 255.255.255.0;
• Gateway – шлюз по умолчанию(роутер MikroTik);
• DNS Servers – DNS сервер, который будет выдан клиенту. В данном случае это также роутер MikroTik.

/ip dhcp-server network add address=192.168.0.0/24 dns-server=192.168.0.1 gateway=192.168.0.1 netmask=24

Общие настройки MikroTik DCHP сервера

Настройка находится в IP→DHCP Server→DHCP

• Lease Time – время аренды IP адреса. По умолчанию время аренды IP адреса составляет или 10 или 30 минут, это может влить на работу смартфонов(Android и Iphone), которые в режиме сна могут повторно не отправить DHCP запрос. Такая ситуация может спровоцировать отключения устройства от WiFi и исправится только при повторном подключении;
• Add ARP For Leases — добавляет MAC адрес устройства в таблицу ARP, которому был выдан IP адрес. Можно использовать в качестве блокировки статических IP. Без присутствия соответствующего MAC в таблице ARP пакеты с данного устройства не будут обрабатываться.

/ip dhcp-server add address-pool=pool-1 disabled=no interface=bridge1 lease-time=8h name=DHCP-Server

DHCP сервер будет работает на всех портах bridge таких как Ethernet и WiFi.

Настройка MikroTik DNS

В рамках данной инструкции по настройке роутера MikroTik будет рассмотрена конфигурация, когда сам роутер выступает в качестве DNS сервера. Это имеет несколько преимуществ:

• DNS записи кэшируются на локальный роутер MikroTik, доступ к которому в разы быстрее чем к DNS серверу провайдера;
• Если к роутеру подключено 2 провайдера, не будет возникать конфликтов по доступу к DNS серверам 1-ого или 2-ого провайдера. DNS сервер один – роутер MikroTik.

Настройка находится в IP→DNS

Для такой конфигурации DNS сервера нужно:

DNS сервера Google

/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4

ИЛИ

DNS сервера Cloudflare

/ip dns set allow-remote-requests=yes servers=1.1.1.1,1.0.0.1

Использование общедоступных DNS серверов достаточно популярная опция в ситуациях, когда провайдер блокирует какие-то сайты по DNS. В данном случае Google и Cloudflare DNS являются лидерами в аналогичных решениях, предоставляя безотказный доступ к своим DNS серверам.

Настройка Интернета на роутере MikroTik

Для настройки интернета на роутере MikroTik нужно совершить два действия:

• определить тип подключения на определенном порту(куда вставлен провайдер);
• активировать функцию NAT (masquerade).

Настройка DHCP client в MikroTik

Это самый распространённый тип подключения интернета на роутерах MikroTik. На указанный порт(ether1) будут приходить настройки от интернет провайдера. DHCP клиент не только облегчает настройку интернета, но и служит индикатором, когда услуга отсутствует на линии(не работает интернет), но и также позволяется добавить скрипт, который будет выполняться при изменении значения Status.

Настройка находится в IP→DHCP Client

• Use Peer DNS – использовать DNS сервера интернет провайдера. Они будут автоматически добавлены на роутер MikroTik в раздел IP→DNS;
• Use Peer NTP – использовать сервер времени, который может передать интернет провайдер, вместе с автоматическими настройками интернета.

/ip dhcp-client add add-default-route=no dhcp-options=hostname,clientid disabled=no interface=ether1

Опцией Add Default Route можно манипулировать, но выключенное состояние потребует ручного добавления маршрута. Это может стать полезным при использовании балансировки между несколькими линиями интернета.

Настройка статического IP в MikroTik

Настройка статического IP адреса в роутере MikroTik ни чем не отличается от аналогичной настройки любого сетевого устройства и состоит из трех разделов:

1. Настройка IP адреса на интерфейсе;
2. Добавление DNS серверов;
3. Создание статического маршрута.

Установка IP адреса на выбранный интерфейс

Настройка находится в IP→Addresses

Популярные маски подсети:

• IP-Address/31 – 255.255.255.254
• IP-Address/30 – 255.255.255.252
• IP-Address/29 – 255.255.255.248
• IP-Address/28 – 255.255.255.240
• IP-Address/27 – 255.255.255.224
• IP-Address/26 – 255.255.255.192
• IP-Address/25 – 255.255.255.128
• IP-Address/24 – 255.255.255.0

/ip address add address=81.21.12.15/27 interface=ether1 network=81.21.12.0

Добавление DNS серверов

Настройка находится в IP→DNS

/ip dns set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4

Добавление статического маршрута(шлюз по умолчанию)

Настройка находится в IP→Routes

• Dst. Address = 0.0.0.0/0 – типичное обозначение для любого трафика. Таким значением в MikroTik необходимо определять интернет трафик;
• Gateway – это шлюз по умолчанию со стороны интернет провайдера, который подключен к роутеру MikroTik.

/ip route add distance=1 gateway=81.21.12.1 dst-address=0.0.0.0/0

Настройка PPPoE в MikroTik

PPPoE сохраняет свою популярность при настройке интернета на роутере MikroTik. Значения User и Password выдаются исключительно интернет провайдером при составлении договора на предоставление услуги.

Настройка находится в PPP→Interface

• Interfaces – интерфейс роутера MikroTik, на котором подключен интернет;
• User, Password – параметры для подключения интернета, выдаются провайдером;
• Use peer DNS – использовать DNS сервера выданные интернет провайдером.

В случае успешного соединения, на PPPoE интерфейсе будет определен статус RUN.

/interface pppoe-client add add-default-route=yes disabled=no interface=ether1 name=\
pppoe-out1 password=PASSWORD use-peer-dns=yes user=USER

Создать Interface List WAN

По аналогии с ранее созданным Interfaces List LAN будет создан Interfaces List WAN, для удобства описания Firewall и NAT.

Настройка находится в Interfaces→Interfaces List→List

Добавить интернет интерфейс в Interface List WAN

Настройка находится в Interfaces→Interfaces List

Настройка MikroTik NAT

NAT это механизм, который позволяет преобразовывать IP адреса для транзитных пакетов. Именно NAT является основной настройкой, которая обычное устройство MikroTik преобразовывает в роутер.

Настройка находится в IP→Firewall→NAT

Masquerade это основное правило NAT для работы интернета на роутере MikroTik.

правило для работы интернета

/ip firewall nat add action=masquerade chain=srcnat ipsec-policy=out,none out-interface-list=WAN

Если у интернет соединения выделенный IP адрес, то рекомендуется установить:

• Action = src-nat;
• To Addresses = Внешний_IP_Адрес.

Настройка WiFi на роутере MikroTik

Рассмотрим ситуацию, когда у роутера MikroTik имеется два WiFi модуля 2.4ГГц и 5ГГц. Такая конфигурация позволит одновременно работать в двух разных диапазонах. Для их включения нужно последовательно настроить каждый из них.

Первым делом нужно настроить конфигурацию безопасности. Если локальная сеть не содержит гостевой сети, можно отредактировать конфигурацию по умолчанию.

Настройка пароля для WiFi в MikroTik

Настройка находится в Wireless→Security Profiles

/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" \
group-key-update=1h mode=dynamic-keys supplicant-identity=MikroTik \
wpa2-pre-shared-key=12345678

Настройка WiFi на частоте 2,4ГГц

Роутер MikroTik не будет блокировать настройку конфигурации WiFi если задать одно SSID имя. WiFi сигналы будут распространяться на абсолютно разных антеннах и в разных частотных диапазонах.

Настройки находятся Wireless→WiFi Interfaces

• Frequency = auto – частота для 2.4ГГц будет выбираться автоматически. Это оптимальный вариант для применения без изучения частотных каналов;
• Country = no_country_set – WiFi модуль MikroTik не будут использовать ни каких ограничений по выбору частоты, а также мощности сигнала. Это важно применять в тех средах, где уровень сигнала слабый.

/interface wireless
set [ find default-name=wlan1 ] antenna-gain=0 band=2ghz-b/g/n channel-width=\
20/40mhz-Ce country=no_country_set disabled=no frequency=auto \
frequency-mode=manual-txpower mode=ap-bridge security-profile=default \
ssid=Mikrorik station-roaming=enabled wireless-protocol=802.11

Настройка WiFi на частоте 5ГГц

Настройки находятся Wireless→WiFi Interfaces

• Frequency = auto – частота для 5ГГц будет выбираться автоматически;
• Country = no_country_set – WiFi модуль MikroTik не будут использовать ни каких ограничений по выбору частоты, а также мощности сигнала.

/interface wireless
set [ find default-name=wlan2 ] antenna-gain=0 band=5ghz-a/n/ac \
channel-width=20/40/80mhz-Ceee country=no_country_set disabled=no \
frequency=auto frequency-mode=manual-txpower mode=ap-bridge \
security-profile=default ssid=Mikrotik station-roaming=enabled \
wireless-protocol=802.11

Важно принимать факт нахождения WiFi интерфейса в составе bridge, без этой настройки WiFi клиенты не смогут получит IP адрес(dhcp сервер настроен на bridge), взаимодействовать с локальной сетью и будут ограничены доступом в интернет.

Проброс портов(port forwarding) в роутере MikroTik

Проброс портов это популярная функция любого роутера MikroTik, которая обеспечивает удаленный доступ к локальному ресурсу: VPN серверу, видеорегистратору, web сайту и тд. Для настройки проброса порта в роутере MikroTik следует добавить правило:

Настройка находится в IP→Firewall→NAT

• Цепочка dstnat – весь входящий трафик;
• To Ports – можно не заполнять, если их значения совпадают с Dst. Port.

В данном примере рассмотрен проброс портов http и https для web сервера, который находится в локальной сети.

/ip firewall nat add action=dst-nat chain=dstnat dst-address=10.10.10.52 dst-port=80,443 \
in-interface=ether1 protocol=tcp to-addresses=192.168.0.2

Настройка Mikrotik FireWall

Firewall в роутере MikroTik является одним из самых важных компонентов. Неправильно настроенный Firewall может привести к ограниченному доступу к роутеру MikroTik, а его отсутствие поставит под угрозу всю сетевую инфраструктуру.

Firewall в оборудовании MikroTik работает по принципу сверху вниз. Обрабатываемый пакет сравнивается с каждым правилом(Firewall Rule) и если не попадает под условия правила, то достигает конца Firewall и обрабатывается принципом “что не запрещено, то разрешено” . В этой схеме важно учитывать, что если Firewall на роутере MikroTik не будет содержать правил запрета(Action = drop), такой роутер будет открыт(уязвим) из интернета.

Типичные ошибки при настройки Firewall на роутере MikroTik:

1. Отсутствуют или выключены правила запрета(Action = drop);
2. Firewall Rules совсем пустой.

В примере настроек Firewall Rules рассмотрена авторская схема, которая будет состоять из правил разрешений(Action = accept) и правил запретов(Action = drop), основным преимуществом которой – производительность роутера MikroTik.

Список всех правил Firewall

• Правила 0 -1: это самые важные правила из категории быстродействия роутера MikroTik, в контексте настройки Firewall. Они означают то, что если пакет получил одобрение, то его повторно обрабатывать не нужно;
• Правила 2 -3: любые направления для локальных подключений разрешены. Это вторая составляющая списка правил быстродействия;
• Правило 4: разрешить отвечать роутеру MikroTik на ICMP запросы(ping) из интернета;
• Правило 5: запрет подключения к роутеру MikroTik из интернета;
• Правило 6: удалять все пакеты из интернета, кроме тех, которые являются пробросами портов. Т.е. если нужно добавить проброс портов, то дополнительно ни каких правил разрешений не нужно. И если порт проброшен, значит его проброс совершён в ручном режиме, что автоматически воспринимается Firewall как доверительное правило;
• Правила 7 -8: пакеты, которые считаются поломанными(invalid), будут удалены.

Будут применяться Chain(цепочки):

• Chain = input – цепочка входящего движения пакетов;
• Chain = forward – цепочка проходящего движения пакетов, т.е. тех, которые следуют через MikroTik.

Настройка находится в IP→Firewall

Разрешение для уже установленных соединений

/ip firewall filter add action=accept chain=forward connection-state=established,related

/ip firewall filter add action=accept chain=in connection-state=established,related

Доверительные правила для локальной сети

/ip firewall filter add action=accept chain=forward in-interface-list=LAN

/ip firewall filter add action=accept chain=input in-interface-list=LAN

Разрешить ICMP запросы с WAN интерфейсов

/ip firewall filter add action=accept chain=input protocol=icmp in-interface-list=WAN

Удалить все входящие пакеты с WAN интерфейсов

/ip firewall filter add action=drop chain=input in-interface-list=WAN

Удалить все проходящие пакеты с WAN, кроме пробросов портов

/ip firewall filter add action=drop chain=forward connection-nat-state=!dstnat in-interface-list=WAN

Удалить все пакеты в состоянии invalid

/ip firewall filter add action=drop chain=input connection-state=invalid

/ip firewall filter add action=drop chain=forward connection-state=invalid

С расширенной версией по настройке Firewall в роутере MikroTik можно ознакомиться в статье Настройка Firewall в MikroTik, защита от DDOS атаки.

Сброс MikroTik до заводских настроек, hard reset

Если по каким-то причинам необходимо сбросить роутер MikroTik до заводских настроек, это можно выполнить двумя методами:

Reset через Winbox

Настройка находится в System→Reset Configuration

/system reset-configuration

Reset через кнопку RESET

На задней панели расположена кнопка RESET

Необходимо последовательно совершить действия:

После сброса роутера MikroTik, доступ к его настройкам будет осуществляться со стандартным именем пользователя admin и без пароля.