Налаштування обладнання MikroTik

Ця стаття створена як інструкція з налагодження різних параметрів і функціоналу обладнання MikroTik . І постійно доповнюватиметься новими темами, які будуть корисні не тільки новачкам але і просунутим користувачам які вже не перший день мають справу з обладнанням MIkroTik .

Зміст:

  1. Відновлення MikroTik за допомогою Netinstall
  2. Автоматична відправка конфігурації MikroTik на email
  3. Налаштування Log файлу на MikroTIk
  4. MikroTik - доступ з локальної мережі по зовнішньому IP - Hairpin NAT
  5. Базові правила Firewall MikroTik

1. Відновлення MikroTik за допомогою Netinstall

Іноді буває, що після оновлення програмного забезпечення пристроїв MikroTik або ж при не вдалому налаштуванні пристрій перетворюється на «цеглину». Перестає завантажуватися і блимає світлодіодами як новорічна ялинка. Не поспішайте, розбирати пристрій і реанімувати його методом перепайки чіпа. Існує простіший , і як правило в 95% дієвий спосіб відновлення Router OS за допомогою програми Netinstall. Для цього вам знадобитися комп'ютер з операційною системою Windows або Linux, пачкорд RJ45 і пристрій MikroTik з блоком живлення.

Підготовчий етап займе всього лише кілька хвилин:

  • Скачати програму Netinstall
    Завантажити програму можна і потрібно з офіційно сайту mikrotik.com, в разі використання програми не з офіційного сайту немає гарантії, що процес відновлення буде вдалий. (сайт mikrotik.com, розділ Software , вкладка Downloads і натискаємо на кнопку Netinstall вибираємо потрібну версію програми)
    Netinstall с официально сайта mikrotik.com
  • Завантажити потрібну прошивку (збірку пакетів RouterOS для нашої моделі)
    У тому ж розділі Software вкладка Downloads знаходимо відповідну збірку RouterOS (на даному етапі потрібно проявити особливу уважність і обережність, так як модельний ряд виконаний на різних типах процесорів і для кожного типу своя збірка RouterOS). У разі якщо необхідно використовувати більш пізню збірку, то їх можна знайти у вкладці Download archive .
    Download archive RouterOS


    ВАЖЛИВО!!! Версія збірки RouterOS не може бути нижче ніж спочатку була встановлена на плату (RouterBOARD) версія збірки можливо перевірити в меню System / routerboard. Як правило базова версія 3.25, але за останні роки компанія MikroTik стала випускати плати з більш пізнішими версіями RouterBOARD 6.46.хх. На жаль на плати з прошивкою версії 6.46.хх не можна встановити збірку RouterOS більш ранньої версії наприклад 6.45.хх.

  • Встановити статичну IP - адресу на Ethernet порту комп'ютера. Безпосередньо, пачкордом під’єднатися в boot порт обладнання MikroTik (якщо на пристрої boot порт не підписаний, тоді це перший порт з ідентифікацією ether0/Internet). У прикладі буде використана стандартна мережа MikroTik 192.168.88.0/24. На комп'ютері буде встановлена наступна адреса 192.168.88.10/24. Бажано відключити всі не задіяні в процесі перевстановлення мережеві інтерфейси, це необхідно для стабільної роботи програми Netinstall .
  • Запускаємо Netinstall. Натискаємо на кнопку «Net booting », активуємо сервер і вводимо адресу який буде призначений пристрою MikroTik , в нашому прикладі це IP адреса 192.168.88.1 . Натискаємо кнопку «ОК»
    Запускаем Netinstall

Підготовчий етап закінчено, переходимо безпосередньо до пристрою, затискаємо кнопку «Reset» і підключаємо блок живлення. Утримуємо кнопку «Reset» приблизно 30-40 секунд або до появи пристрої в програмі Netinstall у вікні Rouetrs / Drives . Обираємо наш пристрій і натискаємо кнопку «Browse», вказуємо директорію в якій заздалегідь було розміщено збірку RouterOS, вибираємо відповідну версію і натискаємо кнопку « Install ». Процес запущено, він займе приблизно 5 хвилин і в кінці процесу пристрій перевантажитися і буде готове до роботи.

Подготовительный этап закончен, переходим непосредственно к устройству 1
Подготовительный этап закончен, переходим непосредственно к устройству 2

2. 2. Автоматична відправка конфігурації MikroTik на email

Створити і зберегти резервну копію налаштувань в RouterOS можливо різними способами, в ручну або автоматично. В даному прикладі ми розглянемо автоматичне створення «бекап» налаштувань і відправку їх на зазначену пошту. Але для початку розберемося в якому вигляді будемо зберігати копію налаштувань. Обладнання MikroTik дозволяє зберегти у вигляді файлу з розширенням backup і rsc . Файл backup - це повна копія всіх налаштувань і параметрів пристрою аж до мак - адрес на порту. Такий вид файлу дозволяє коректно відновити всі налаштування тільки на тому пристрої на якому він був зроблений, а при відновленні на ідентичному по ТТХ пристрою, будуть перезаписані всі параметри повністю. Іншими словами, при відновленні налаштувань з файлу backup ми створимо клон нашого пристрою, і в разі використання таких пристроїв в одній мережі виникне проблема в роботі даної мережі. Файл rsc - це свого роду список команд, які були введені при налаштуванні пристрою. Цей файл можна редагувати видаляти або додавати необхідні команди, це особливо зручно в разі перенесення налаштувань на пристрій з іншими технічними характеристиками.

І так переходимо до налаштувань:

  • Першим етапом буде створення резервної копії налаштувань в автоматичному режимі: Головне меню - System - Scripts , натискаємо «+» і створюємо правило з назвою « backup to email»:

    / Export file = " backup to email ";  - Цей рядок створює файл з розширенням rsc
    / System backup save name = " backup to email "; - Цей рядок створює файл з розширенням backup
    / Tool email send to = My _ email @ gmail . com subject = " My _ backup " file = " backup to email . rsc ";  - Цей рядок створює і відправляє лист на адресу My _ email @ gmail . com з темою My _ backup і вкладає фай backup to email . rsc
    / Tool email send to = My _ email @ gmail . com subject = " My _ backup " file = " backup to email . backup "; - Цей рядок створює відправляє лист на адресу My _ email @ gmail . com з темою My _ backup і вкладає фай backup to email . backup


    Тепер при натисканні кнопки Run Script буде створений файл конфігурації, але лист не відправиться так як ще ми не налаштовали email сервер для відправки повідомлень.
    Run Script
  • Другим етапом, будуть налаштування відправки повідомлень на email. Головне меню - Tool- Email. У цьому прикладі листи будуть відправлятися і приходити на один і той-же поштовий акаунт. А в ролі поштового сервера буде використовуватися сервер gmail.com. Заповнюємо всі дані і вводимо пароль від облікового запису і натискаємо кнопку «ОК». Тепер при запуску скрипта на поштову скриньку Ця електронна адреса захищена від спам-ботів. Вам необхідно увімкнути JavaScript, щоб побачити її. перейде лист із вкладеним файлом конфігурації.
    Настройка отправки сообщений на email
  • Третім і завершальним етапом, буде створення автоматичної відправки повідомлень, відповідно до розкладу. Головне меню - System - Sheduler , натискаємо «+» створюємо запис у розкладі, даємо ім'я, ставимо дату, коли стартує наше правило, встановлюємо час виконання і періодичність виконання. І найголовніше, що буде виконуватися - наш скрипт «backup to email». Натискаємо кнопку «ОК», готово.
    Создание автоматической отправки уведомлений

3. Налаштування Log файлу на MikroTIk

Коли обладнання працює справно і не виникає проблем з його роботою - це ідеальна ситуація. Але навіть при ідеальній роботі потрібно відстежувати параметри роботи пристрою, це необхідно для запобігання перебоїв у майбутньому або виходу з ладу обладнання. А також для діагностики і аналізу помилок в процесі налаштувань та роботи пристрою. Для онлайн моніторингу та контролю пристроїв в мережі, можна скористатися сервером моніторингу DUDE безкоштовним додатком від MikroTik. Але для розгортання і налаштування сервера DUDE необхідно багато часу і додатковий пристрій. Але що ж робити, коли треба вирішити проблему зараз і тут? Д ля цього можна скористатися сервісом системних журналів, який доступний на пристрої MikroTik - LOG -файл. Але для того що б скористатися інформацією з LOG-файлу потрібно зробити невеликі налаштування, так як за замовчуванням інформація про події перебувати в оперативній пам'яті пристрою і після перезавантаження просто зникає.


ВАЖЛИВО!!! Виробник, не рекомендує використовувати внутрішню флеш пам'ять пристрою для великих і постійно змінних журналів подій. Так як постійний перезапис зменшує термін експлуатації флеш пам'ять пристрою і призведе до виходу його з ладу.


І так, коли натиснемо в головному меню на кнопку Log - ми отримаємо доступ до подій, які відбуваються на пристрої.

За замовчуванням вони записуються в оперативну пам'ять і відслідковуються тільки основні служби:

  • error – виникають помилки
  • info - повідомлення
  • warning – попередження
  • critical – критичні помилки, і за замовчуванням цей вид записів не пишеться в пам'ять, а відображається в окремому спливаючому вікні при виникненні такого роду помилок

Увесь список параметрів, які можна відслідковувати і каталогізувати ви зможете знайти на сайті виробника в розділі документації.

Log – все события, которые происходят на устройстве

Для того щоб додати або змінити параметри запису журналу подій, потрібно перейти Головне меню- System - Logging , натиснемо на «+» і створимо нове правило для відстеження:

У розділі «Topics» вибираємо процес який будемо відстежувати, а в розділі «Action», вибираємо яким чином ми будемо відстежувати, тут нам доступні чотири параметри:

  • disk – запис на флеш-пам'ять пристрою або зовнішній пристрій пам'яті ( USB флеш або карту пам'яті) ;
  • echo – виводить помилки на екран;
  • memory – запис в оперативну пам'ять пристрою;
  • remote – можливість вивантаження на віддалений сервер;

Для налаштувань і створінь нових параметрів дій, переходимо у вкладку «Actions»:

  • Вкладка «Actions»
    вкладку «Actions» 2
    disk - запис на флеш-пам'ять пристрою або зовнішній пристрій пам'яті ( USB флеш або карту пам'яті);
    • Type - вибір пристрою на який буде записуватися журнал подій. Якщо ваш пристрій є USB порт або карта пам'яті, то буде доступний запис на зовнішній носій disk1;

    • File Name - даємо назву файлу (журналу) і директорію для зберігання;

    • Lines Per File - задаємо кількість записів в один файл (журнал);

    • File Count - задаємо кількість файлів (журналів);

    • Stop on Full - при активації цієї умови запис зупинитися, в іншому випадку запис піде по колу, затираючи найстаріші записи.

    • disk
  • echo - висновок помилки на екран; при активації «Save», подія буде записано в системний журнал.
    echo
  • memory - запис в оперативну пам'ять пристрою;
    • Line – задаємо кількість записів, яке буде зберігатися в оперативній пам'яті;
    • Stop on Full -  при активації цієї умови запис зупинитися, в іншому випадку запис піде по колу, затираючи найстаріші записи.
      memory
  • remote - можливість вивантаження на віддалений сервер;
    • Remote Address – адреса віддаленого сервера;
    • Remote Port - порт сервера
    • Src. Address - локальна адреса сервісу.
      remote

При використанні віддаленого сервера не забувайте додати відповідне правило в firewall.

4. MikroTik - доступ з локальної мережі по зовнішньому ip - Hairpin NAT

Що таке і для чого потрібен Hairpin NAT? Це можливість потрапити з локальної мережі на пристрій в локальній мережі при цьому звертаючись через зовнішню IP адресю маршрутизатора. Дуже часто це пов'язано з доступом до відео-реєстратора. Для того щоб потрапити на відео-сервер перебуваючи в іншій мережі потрібно прокинути порти і цього буде досить, але коли такий запит відправляється з середини мережі то з'єднатися з відео-сервером неможливо. Це відбувається через те, що запит приходить на відео-регістратор асоціюється як запит з локальної мережі і відео-реєстратор відповідає на пряму в локальну мережу. У свою чергу пристрій який подав запит на з'єднання на зовнішньої IP адреса відкидає всі відповіді від відео-реєстратора з локальної мережі, так як очікує відповідь від зовнішньої адреси. У такій ситуації і рятує Hairpin NAT.

Для налаштування Hairpin NAT нам потрібно створити кілька правил в розділі Firewall. Головне меню - IP - Firewall, вкладка NAT, натискаємо «+» і для початку створимо правило і прокинемо порт, для прикладу будемо використовувати 10000 порт. Зовнішня IP адреса буде 10.10.10.10 ( зовнішній інтерфейс Internet ), а внутрішня IP адреса буде 192.168.88.100, приступимо:

1. У вкладці «General» налаштовуємо поля:

  • Chain: dstnat
  • Protocol: 6(tcp)
  • Dst. Port: 10000
  • In. Interface: Internet

2. У вкладці «Action» налаштовуємо поля:

  • Action: netmap
  • To Addresses: 192.168.088.100
  • To Ports: 10000

Hairpin NAT

Тепер перейдемо до безпосередніх налаштувань Hairpin NAT. Для цього розділі Firewall у вкладці NAT створюємо ще два правила:

Правило №1:

Вкладка «General»

  • Chain: dstnat
  • Address: 192.168.88.0/24
  • Address: 10.10.10.10
  • Protocol: 6 (tcp)
  • Port: 10000

Вкладка «Action»

  • Action: dst-nat
  • To Addresses: 192.168.88.100

Первое правило

Правило №2

Вкладка «General»

  • Chain: srcnat
  • Address: 192.168.88.0/24
  • Address: 192.168.88.100
  • Protocol: 6 (tcp)
  • Port: 10000

Вкладка «Action»

  • Action: masqueade

Правило №2

5. Базові правила Firewall MikroTik

FireWall на RouterOS - це потужний механізм захисту який можна розділити на чотири частини Filter - фільтрація трафіку , NAT - забезпечує доступ до мережі інтернет з локальної мережі , Managle - маркування трафіку і RAW - первинна обробка трафіку. Повний огляд всіх частин FireWall ми розглянемо м окремо статті. Зараз же мова піде про базові правила з розділу Filter які включені в заводську конфігурацію пристрою. Цей мінімальний набір правил, за порадою фахівців компанії MikroTik був оптимізований для повноцінної та безпечної роботи пристрою в домашній мережі або мережі малого офісу.

Головне меню - IP- Firewall:

Базовые правила Firewall MikroTik

Як бачимо, у вкладці Filter Rules міститься список правил, кожне з них налаштовується у вигляді ланцюжка (Chain). Цей ланцюжок складається з двох частин: перша-це напрямок трафіку, друга – що робити пристрою з цим трафіком.

У маршрутизаторі існує три напрямки трафіку:

  • Input – це трафік який приходить на маршрутизатор з мережі інтернет.
  • Output - це трафік який виходить з нашого маршрутизатора.
  • Forward – це трафік який проходить крізь маршрутизатор.

І одинадцять дій які може зробити пристрій:

  • accept - прийняти пакет. Пакет не передається наступним правилом брандмауера.
  • add-dst-to-address-list - додати адресу призначення в список адрес, заданий параметром address-list .
  • add-src-to-address-list - додати адресу джерела в список адрес, вказаний параметром address-list .
  • drop - відкинути пакет.
  • fasttrack-connection - обробка пакетів із з'єднання за допомогою FastPath шляхом включення FastTrack для з'єднання.
  • jump - перейти до ланцюжку користувача, заданого значенням параметра jump-target .
  • log - додати повідомлення в системний журнал.
  • passthrough - збільшити лічильник і перейти до наступного правила.
  • reject - відкинути пакет і відправити ICMP повідомлення про відхилення.
  • return - передає управління назад в ланцюжок, звідки стався стрибок.
  • tarpit - захоплює і утримувати TCP-з'єднання.

ВАЖЛИВО!!! Список правил Firewall обробляться по черзі. Також можна об'єднувати ідентичні правила, це дозволяє зменшити загальну кількість правил і підвищити продуктивність системи зменшуючи навантаження на процесор.


  • Правило під номером 0 – правило дозволяє проходити трафіку через маршрутизатор і активуючи лічильник пакетів і кількість трафіку. У вкладці General вказуємо тип трафіку - Forward , а у вкладці Action вказуємо дію passthrough .

    Правило под номером 0
  • Правило під номером 1 – це правило дозволяє встановлювати з'єднання.
    У вкладці General вказуємо тип трафіку - Input , далі вибираємо стан підключення ( Connection State ): established, related, untracked, а у вкладці Action вказуємо дію accept

    Правило под номером 1
  • Правило під номером 2 – це правило видаляє неправильні з'єднання.
    У вкладці General вказуємо тип трафіку - Input , далі вибираємо стан підключення ( Connection State ): invalid , а у вкладці Action вказуємо дію drop.

    Правило под номером 2
  • Правило під номером 3 – правило дозволяє встановлювати з'єднання по протоколу ICMP . Іншими словами, це правило дозволяє приймати і відповідати на ping.
    У вкладці General вказуємо тип трафіку - Input , далі вибираємо протокол, в нашому випадку ICMP, а у вкладці Action вказуємо дію accept.

    Правило под номером 3
  • Правило під номером 4 – це правило дозволяє контролеру точок доступу ( CAPsMAN ) отримати доступ до управління власними радіо-модулями.
    У вкладці General вказуємо тип трафіку - Input , далі вибираємо на яку адресу направити трафік ( Dst . Address ) 127.0.0.1 , а у вкладці Action вказуємо дію accept.

    Правило под номером 4
  • Правило під номером 5 - це правило відкидає всі з'єднання які приходять не з локальної мережі (LAN)
    У вкладці General вказуємо тип трафіку - Input , далі вибираємо інтерфейс звідки буде приходити трафік, але що б не перебирати варіанти встановлюємо «!» знак оклику перед параметром інтерфейсу, тим самим інвертований вибір. Це означає, що це правило буде застосовуватися до трафіку приходить з усіх інтерфейсів крім обраного, в нашому випадку інтерфейс а LAN . У вкладці Action вказуємо дію drop.

    Правило под номером 5
  • Правило під номером 6,7 – ці два правила дозволяю пропускати через себе протокол захисту мережевого трафіку IPSec . Правила відрізнятися тільки напрямком одне на вхід, інше на вихід.
    У вкладці General ідентичні налаштування для 6 і 7 правил, вказуємо тип трафіку - Forward . А у вкладці Advanced налаштовуємо IP Policy тип IPSec в правилі 6 вибираємо « in », в 7 « out ». Налаштування у вкладці Action ідентичні для 6 і 7 правил - вказуємо дію drop.

    Правило под номером 6,7
  • Правило під номером 8 – це правило дозволяє прискорити проходження трафіку через пристрій, при цьому відчутно знижує навантаження на центральний процесор.
    У вкладці General вказуємо тип трафіку - Forward , далі вибираємо стан підключення ( Connection State ): established, related . А у вкладці Action вказуємо дію fasttrack connection.

    Правило под номером 8
  • Правило під номером 9 – це правило дозволяє пропускати трафік крізь себе з уже встановлений них з'єднань.
    У вкладці General вказуємо тип трафіку - Forward, далі вибираємо стан підключення ( Connection State ): established, related, untracked, а у вкладці Action вказуємо дію accept.

    Правило под номером 9
  • Правило під номером 10 – це правило видаляє неправильний трафік який може з’явитися в результаті обриву з'єднання.
    У вкладці General вказуємо тип трафіку - Forward, далі вибираємо стан підключення ( Connection State ): invalid , а у вкладці Action вказуємо дію drop.

    Правило под номером 10
  • Правило під номером 11 – це правило захищає нас від будь-яких підключень з інтернету, які хочуть пройти через пристрої. При цьому буде пропускатися трафік який проходить через NAT таблицю.
    У вкладці General вказуємо тип трафіку - Forward , далі вибираємо стан підключення ( Connection State ): new , а Connection NAT State вибираємо все, крім dstnat . У вкладці Action вказуємо дію drop.

    Правило под номером 11

Ось ми і розглянули всі правила, які входять з базової конфігурацію. Версія Router OS 6.48.

Схожі матеріали:

Масштабне надходження обладнання MikroTik і Ubiquiti

На складі DEPS - масштабне надходження обладнання MikroTik і Ubiquiti.

Гаряче літо 2018: ні місяця без новинок!

Поки всі відпочивали і набиралися сил, компанія DEPS працювала над розширенням свого продуктового портфоліо. Щомісяця ми додавали нові бренди. Ми не зупиняємося на досягнутому і працюємо над подальшим розширенням нашого портфеля брендів і продуктових новинок.

DEPS – офiцiйний дистрибьютор MikroTik!

Компанія DEPS, провідний постачальник інноваційних рішень на ринку України, стала офіційним дистриб'ютором торгової марки MikroTik.

Отриманий сертифікат УкрСЕПРО на комутатори Mikrotik CRS212-1G-10S-1S + IN

Компанія DEPS отримала сертифікат відповідності УкрСЕПРО на 12 портові керовані комутатори Mikrotik CRS212-1G-10S-1S + IN 3-го рівня з можливістю маршрутизації на всіх портах.

Клієнтське обладнання MikroTik для 3G / 4G LTE мереж. Яка від нього користь?

Огляд і особливості застосування обладнання MikroTik для 3G / 4G LTE мереж.

Останні новини:

Запрошуємо зустрітись на Українській конференції операторів та сервісів (УКОС), яка відбудеться 11 - 14 квітня у захоплюючому Буковелі!

Компанія DEPS взяла участь у Smart Building Forum, який відбувся у Києві 20 – 21 березня.

У 2023 році всього троє постачальників телеком-обладнання досягли зростання показників, тоді як загалом по ринку спостерігалося 5-відсоткове зниження. Одним із них став лідер галузі Huawei, попри спроби влади США та інших країн обмежити доступ китайського гіганта до ринків збуту та новітніх напівпровідникових технологій. Компанія змогла не лише зберегти, а й зміцнила свої позиції, повідомляють аналітики Dell'Oro Group.

На склад надішла довгоочікувана поставка інструментів ТМ Ripley.

Світовий ринок персональних комп'ютерів повернеться до зростання після сильного спаду у 2023 році та найближчими роками залишиться на підйомі. Сприяти такій ситуації мають замовлення корпоративних користувачів та зростання популярності штучного інтелекту, зазначають аналітики International Data Corporation.

Ми приєдналися до бойкоту російської та білоруської продукції. Слава Україні!

We joined the boycott of russian and belarusian products. Glory to Ukraine!!

прапор України