Базовая настройка RouterOS v2.9 (часть 1)

Первое сообщение топика

И так, в моем распоряжении маршрутизатор RouterBoard 532 с предустановленной RouterOS v2.9.27

Если вы также используете не PC компьютер, который можно подключить к монитору с клавиатурой, то для дальнейшей настройки необходимо подключиться к com-порту нуль-модемным кабелем.
Следуем инструкции с сайта производителя http://www.mikrotik.com/testdocs/ros/2.9/guide/basic.php и в любой терминальной программе устанавливаем параметры 115200 bits/s, 8 data bits, 1 stop bit, no parity, hardware (RTS/CTS) flow control. Хочу обратить внимание, что только для RouterBoard выставляется скорость 115200, для остальных 9600.
После подключении и запуска терминала включаем в розетку маршрутизатор.
Если все правильно вы подключили и настроили то сразу начинается отоброжение загрузки на экран. RouterBoard грузится всего за несколько секунд, в отличии, к примеру, любого маршрутизатора Cisco. После загрузки у вас на экране должно появится такое вот приглашение:

Код:

MikroTik 2.9.27
MikroTik Login:

По умолчанию для входа имя admin без пароля. Вводим и получаем приглашение:

Код:

MikroTik 2.9.27
MikroTik Login: admin
Password:
(Тут лого Mikrotika)
MikroTik RouterOS 2.9.27 (c) 1999-2006 http://www.mikrotik.com/

[[email protected]] >

Если у вас система только что проинсталлирована и имеет не активированный ключ, экран будет немного отличаться (система предупредит что у вас временный ключ который действует всего 24 часа, и по его истечению вам придется переинсталлировать систему)
Первое что вы можете сделать, это получить на сайте www.mikrotik.com бесплатный ключ, который не имеет ограничений по времени, но сильно ограничивает возможности маршрутизатора, но лучше приобрести сразу полнофункциональный ключ.
Ограничения, в зависимости от уровня лицензии, я тут не буду освещать.

Первое что я рекомендую сделать

Это добавить нового пользователя вместо админа, а админа заблокировать:

добавляем пользовалея alex с паролем 123 и полным доступом:

Код:

[[email protected]] > use add name=alex password=123 group=full

Выходим из системы с именем admin и входим под новым именем alex.

Код
[[email protected]] > quit

Отключаем пользователя admin (будьте предельно внимательны):

Код:

[[email protected]] > user disable admin
[[email protected]] > user print
Flags: X — disabled
# NAME GROUP ADDRESS
0 X;;; system default user
admin full 0.0.0.0/0
1 alex full 0.0.0.0/0
[[email protected]] >

Как видно, напротив admin стоит X, что означает что он отключен.

Настройка интерфейсов.

Вы можете воспользоваться командой setup, но это слишком просто, а мы не ищем лёгких путей , поэтому я подробно расскажу как с помощью команд все сделать.

Смотрим список доступных в системе интерфейсов:

Код:

[[email protected]] > interface print
Flags: X — disabled, D — dynamic, R — running
# NAME TYPE RX-RATE TX-RATE MTU
0 R ether1 ether 0 0 1500
1 R ether2 ether 0 0 1500
2 R ether3 ether 0 0 1500
[[email protected]] >

Предположим, что ether1 будет смотреть локальную сеть.
Активируем первый интерфейс:

Код:

[[email protected]] > interface enable 0

Я буду использовать сеть 172.17.1.0/24, т.к. она используется у меня, но вы можете использовать любую сеть, только учтите что лучше соблюдать стандарты и для внутреннего использования брать сеть из следующих диапазонов 10.0.0.0/8, 172.16.0.0/12 или 192.168.0.0/16.
Назначим первому интерфейсу адрес 172.17.1.199 с маской 255.255.255.0 (24), что дает нам право на использование 254 адреса с 172.17.1.1 по 172.17.1.254.

Код:

[[email protected]] > ip address add address 172.17.1.199/24 interface ether1
[[email protected]] > ip address print
Flags: X — disabled, I — invalid, D — dynamic
# ADDRESS NETWORK BROADCAST INTERFACE
0 172.17.1.199/24 172.17.1.0 172.17.1.255 ether1
[[email protected]] >

Теперь настроим интерфейс ether2 который у нас подключен к Интернет провайдеру.

Код:

[[email protected]] > interface enable 1
[[email protected]] > ip address add address 62.231.27.174/29 interface ether2
[[email protected]] > ip address print
Flags: X — disabled, I — invalid, D — dynamic
# ADDRESS NETWORK BROADCAST INTERFACE
0 172.17.1.199/24 172.17.1.0 172.17.1.255 ether1
1 62.231.27.174/29 62.231.27.168 62.231.27.175 ether2
[[email protected]] >

Добавляем шлюз который будет использоваться по умолчанию (его предоставляет обычно провайдер)

Код:

[[email protected]] > ip route add gateway=62.231.27.169
[[email protected]] > ip route print
Flags: X — disabled, A — active, D — dynamic,
C — connect, S — static, r — rip, b — bgp, o — ospf
# DST-ADDRESS PREF-SRC G GATEWAY DISTANCE INTERFACE
0 ADC 62.231.27.168/29 62.231.27.174 ether2
1 ADC 172.17.1.0/24 172.17.1.199 ether1
2 A S 0.0.0.0/0 r 62.231.27.169 ether2
[[email protected]] >

Из этого видно что все адреса из сети 172.17.1.0/24 пойдут через ether1, сеть 62.231.27.168/29 через ether2, а все остальное через 62.231.27.169 ether2.

Ну и под конец настроим DNS (не забудьте поменять адреса DNS серверов на свои):

Код:

[[email protected]] > ip dns set primary-dns=212.44.130.6 secondary-dns=195.68.135.5 allow-remote-requests=yes
[[email protected]] > ip dns print
primary-dns: 212.44.130.6
secondary-dns: 195.68.135.5
allow-remote-requests: yes
cache-size: 2048KiB
cache-max-ttl: 1w
cache-used: 17KiB
[[email protected]] >

Базовая защита маршрутизатора:

Код:

[[email protected]] > ip firewall filter add chain input connection-state=invalid action=drop comment=»Drop invalid connection packets»
[[email protected]] > ip firewall filter add chain input connection-state=established action=accept comment=»Allow established connections»
[[email protected]] > ip firewall filter add chain input connection-state=related action=accept comment=»Allow related connections»
[[email protected]] > ip firewall filter add chain input protocol=udp action=accept comment=»Allow UDP»
[[email protected]] > ip firewall filter add chain input protocol=icmp action=accept comment=»Allow ICMP Ping»
[[email protected]] > ip firewall filter add chain input src-address=172.17.1.50 action=accept comment=»Access to router only for admin»
[[email protected]] > ip firewall filter add chain input action=drop comment=»All other inputs drop»

Должно выглядеть вот так:

Код:

[[email protected]] > ip firewall filter print input
Flags: X — disabled, I — invalid, D — dynamic
0 ;;; Drop invalid connection packets
chain=input connection-state=invalid action=drop

1 ;;; Allow established connections
chain=input connection-state=established action=accept

2 ;;; Allow UDP
chain=input protocol=udp action=accept

3 ;;; Allow ICMP Ping
chain=input protocol=icmp action=accept

4 ;;; Access to router only for Admin
chain=input src-address=172.17.1.50 action=accept

5 ;;; All other Drop
chain=input action=drop
[[email protected]] >

Второе сообщение топика

Забыл описать одну вещь: настройка даты и времени. В маршрутизаторах RouterBoard, в отличии от систем построенных на обычных компах, дата и время не хранится. поэтому после каждого выключения оно сбрасывается.
Чтобы дата и время были актуальными надо подключть маршрутизатор к серверу времени.

1. устанавливаем часовой пояс (настройки для москвы)
Код:

[[email protected]] > system clock set time-zone=+4

2. подключаем к серверу времени
Код:

[[email protected]] > system ntp client set enabled=yes primary-ntp=159.148.60.2

спустя несколько минут в маршрутизаторе должно установится правильное время.
Код:

[[email protected]] > /system clock print
time: 17:00:00
date: dec/14/2006
time-zone: +03:00
dst-active: no
[[email protected]] >

Сообщение-Вопрос

Добрый день не подскажите с настройкой MICROTIC OS, есть adsl интернет надо его по локальной сети раздать на 40 пользователей и ограничить скорость либо поделить всем поровну (а то задолбали уже ктонить один качает или кино смотрит и у всех нет тормозит раньше распределял скорость через юзергате но он глючил все время), microtic стоит на стареньком компе пень 4 с двумя сетевухами одна смотрит в модем другая в хаб, я делал по разным инструкциям но остановился на DHCP сервере что бы все работало автоматом без настройки клиентских машин делал так:

  1. Переименовываем интерфейсы в LAN – локальный и WAN – внешний:
    Код:

    / interface address
    set 0 name=»LAN» disabled=no
    set 1 name=»WAN» disabled=no

  2. Присваиваем IP адрес локальному интерфейсу:
    Код:

    / ip address
    add address=192.168.0.1/24 interface=LAN

  3. Далее настраиваем DHCP сервер:
    Код:

    / ip pool
    add name=»dhcp_pool1″ ranges=192.168.0.2-192.168.0.254
    / ip dhcp-server
    add name=»dhcp1″ interface=LAN address-pool=dhcp_pool1 disabled=no
    / ip dhcp-server network
    add address=192.168.0.0/24 gateway=192.168.0.1 dns-server=192.168.0.1

  4. Прописываем DNS провайдера.
    Код:

    /ip dns
    set primary-dns=213.135.128.2 secondary-dns=213.135.128.9 allow-remote-requests=yes

  5. Создаем dhcp server :
    Код:

    /ip dhcp-client
    add interface=WAN use-peer-dns=yes add-default-route=yes disabled=no

  6. Выпускаем нашу локальную сеть в Интернет использую NAT:
    Код:

    /ip firewall nat
    add chain=srcnat out-interface=WAN action=masquerade

в этой конфигурации не могу ограничить скорость делал simple queues на сеть 192.168.0.0 но режется походу и 192.168.0.1 который является шлюзом и все сильно тормозит. За ранее спасибо

В теме больше полезных сообщение и ссылок не было.

Поделиться ссылкой:

Оставить комментарий

avatar
  Подписаться  
Уведомление о