Компания, в которой я работаю начала немного разрастаться и нам пришлось арендовать отдельное помещение, где всю сетевую инфраструктуру нужно было подымать и настраивать с нуля. После долгого планирования кабельщики провели сеть, питание и у нас сформировалось маленькое подобие серверной комнатки. Туда, недолго думая, был поставлен UPS и заведен первый провайдер интернета. Изначально был поставлен слабенький, перешедший из прежнего офиса, роутер от которого не хватало много нужного функционала. Нужно было выбирать что ставить на вход: сервер или роутер. С серверами я и до того много работал, а вот с так хваленым mikrotik не приходилось, вот я и решил заказать фирме роутер, в котором есть весь, нужный на данный момент, функционал – и мне хорошо (skills improvement) и фирма не против.
Был приобретён mikrotik RB951G-2HnD (Рис 1).

Рисунок 1 – Внешний вид роутера RB951G-2HnD

Mikrotik наименования

Чтобы дать более точную информацию по модели – расшифруем её наименование (Рис 2).

Рисунок 2 – Пример наименования mikrotik роутера

Как видим, наименование нашего роутера состоит из четырех разделов. Распишем значения каждой группы.

RB	Стандартное сокращение RouterBoard
9	Серия
5	Количество проводных интерфейсов
1	Количество беспроводных интерфейсов
G	Гигабитная и может включать: ·         “U“ – USB ·         “А“ – больше памяти ·         “Н“ – более мощный CPU Только, если не идет в сочетании с “L“ — light edition. В моем случаи с “U”.
2	Радиомодуль частотой 2.4 Ghz
H	Повышенной мощности: ·         23-24dBm на 6Mbps 802.11a ·         24-27dBm на 6Mbps 802.11g
n	Поддержка 802.11n протокола
D	“Dual chain”, т.е. MIMO (Multiple In Multiple Out), т.е. многопотоковая передача данных

Чтобы расшифровать наименования вашего устройства – можете использовать официальную документацию . Исходя из вышеизложенной информации — у нас WiFi роутер с 5-ю Гигабитными Ethernet портами и USB.

Первый запуск роутера

Чтобы сразу не положить офисную сеть, подключаем роутер на прямую к персональному компьютеру через сетевой кабель (Рис 3).

Рисунок 3 – Вид подключения роутера к ноутбуку

Следующим шагом нужно скачать последний winbox. Это софт, который позволяет подключаться и настраивать RouterOS. На момент написания статье это версия 3.11.

Запускаем winbox -> переходим на вкладку Neighbors, выделяем запись с нашим роутером и нажимаем Connect (Рис 4). По умолчанию: пользователь admin и пустой пароль.

Рисунок 4 – Вид окна подключения к роутеру через WinBox

Первое, что мы увидим – это настройки роутера по умолчанию, что нам не интересно, так как мы хотим сами все настроить с нуля. Поэтому выбираем пункт – Удалить конфигурацию (Рис 5).

Рисунок 5 – Вид окна первого подключения к роутеру

Теперь роутер подумает над своим поведением, перезагрузиться и нужно будет опять к нему подключиться тем же способом (Рис 6).

Рисунок 6 – Вид окна подключения к роутеру через WinBox после удаления конфигурации

Если случайно нажали ОК вместо Reset Configuration, то можете сбить настройки роутера используя меню (Рис 7).

Рисунок 7 – Вид окна сброса настроек роутера mikrotik

Или же через кнопку RES, которую видно на рисунке 1:

• Отключите питание роутера;
• Нажмите и держите кнопку RES;
• Включите питание роутера;
• Дождитесь, пока замигает индикатор ACT, и отпустите кнопку RES.

ВАЖНО: Если не отпустите кнопку RES и дождетесь, когда индикатор ACT перестанет мигать, то устройство перейдет в режим Netinstall для переустановки операционной системы RouterOS.

Базовая настройка

Обновляем пакеты

Первым делом советую обновиться до последней версии всех пакетов, чтобы идти в ногу с баг фиксингом и безопасностью. Переходим в System -> Packages и жмем на кнопку Check For Updates (Рис 8).

Рисунок  8 – Вид окна Packages

Видим, что у нас версия немного застарелая. Можно почитать, что было добавлено/исправлено в новых версиях я нажимаем Download->Install (Рис 9).

Рисунок  9 – Вид окна проверки на обновления

Роутер скачает все что нужно, перезагрузиться и мы должны увидеть что-то типа этого (Рис 10).

Рисунок  10 – Вид окна Packages  после обновления

Теперь мы на последней версии софта.

Настройка сетевых интерфейсов

Первым делом нужно поиздеваться над сетевыми интерфейсами. Если это домашняя сеть или просто одна линка провайдера, то можно просто переименовать сетевые интерфейсы, чтобы было понятно, что за что отвечает. Когда добавляется уже два провайдера на один роутер, тогда предпочтение идет просто в группировании интерфейсов как они есть. В данном случаи мы переименуем все сетевые интерфейсы. Переходи в Interfaces -> Вкладка Interface (Рис 11).

Рисунок 11 – Вид вкладки Interfaces

Далее один за одним кликаем на интерфейс дважды и называем как нам нужно. Первый интерфейс у меня будет называться WAN (Рис 12).

Рисунок 12 – Вид окна настроек первого интерфейса: WAN

Все остальные порты должны быть объединены в один сегмент локальной сети. Mikrotik RouteOS позволяет это делать двумя способами: Bridging и Master port. На официальном форуме mikrotik не раз задавался вопрос, что лучше выбрать, и ответ всегда был: это зависит о конфигурации, которая вам нужна. Ответ от представителя mikrotik:

Bridge is software switching, master port is hardware switching. Use master ports to switch multiple physical interfaces where you want full wire speed. Use bridges to connect those master ports together, possibly with wlan ports as well.
With hardware switching alone there is no way to place a wired Ethernet segment on the same broadcast domain as a wireless segment, or interconnect different switch chips. For that, you need to use software switching (bridge functionality).
In a WISP situation, I usually do not bother with master/slave ports because it is rare, given the limitations of wireless PtMP radio equipment, that you will ever be in a situation where you are switching gigabit traffic; in such situations, where you are usually switching <100Mbps, hardware switching introduces additional complexity of configuration while decreasing CPU load only minimally. The difference is much greater when dealing with traffic nearing gigabit speeds; any switching at this rate that you can remove from the router CPU and offload to the switch CPU makes it worth setting up master/slave, even though it makes the configuration a little more complicated.

Ми идем по пути уменьшения нагрузки на CPU, и поэтому в нашей номинации побеждает Master/Slave конфигурация. Следующим у нас будет порт с названием eth0, который будет мастером для всех остальных (Рис 13).

Рисунок 13 – Вид окна настроек второго интерфейса: LAN Master

Все остальные интерфейсы переименуем и поставим для них как мастер порт eth0 (Рис 14).

Рисунок 14 – Вид окна настроек второго интерфейса: LAN Slave

Те же действия проделаем с остальными проводными интерфейсами. И на закуску переименуем беспроводной интерфейс (Рис 15).

Рисунок 15 – Вид окна настроек беспроводного интерфейса: LAN WiFi

Смотрим, что у нас получилось и также включаем WiFi (Рис 16).

Рисунок 16 – Вид окна списка интерфейсов

Настройка Интернет доступа

Чтобы у нас был доступ в Интернет – нужно настроить WAN интерфейс. В нашем случаи провайдер дает динамический IP адрес, поэтому нам нужно настроить DHCP клиент. Переходим в IP -> DHCP client вкладка DHCP Client жмем “+”, на вкладке DHCP выбираем Interface: WAN и жмем ОК (Рис. 17).

Рисунок 17 – Вид окна настроек DHCP client

И мы должны получить что-то типа этого (Рис 18).

Рисунок 18 – Вид окна полученных WAN настроек

Настройка WiFi доступа

Для WiFi доступа нам нужно подправить настройки интерфейса и профайл безопасности. Идем в Wireless вкладка Interfaces и там кликаем на wifi. В появившимся окне на вкладке Wireless выбираем Mode: ap bridge, Band: 2GHz-B/G/N, вписываем название SSID (в моем случаи OFFICE) и жмем ОК (Рис 19).

Рисунок 19 – Вид окна настроек Wifi Interface

Теперь нужно отредактировать профайл безопасности. Идем во вкладку Security Profiles кликаем на default, во вкладке General выставляем

• Mode: dynamic keys
• Authentication Types: WPA2 PSK
• Unicast Ciphers: aes ccm, tkip
• Group Ciphers: aes ccm, tkip
• WPA2 Pre-Shared Key: <свой_пароль>

И нажимаем ОК (Рис 20).

Рисунок 20 – Вид окна настроек WiFi Security Profiles

Теперь у нас есть рабочий WiFi который можно уже использовать (Рис 21).

Рисунок 21 – Вид окна настроек WiFi Interfaces после редактирования

Настройка сетевых мостов

С интерфейсами закончили. Теперь переходим к настройке bridge. Это нужно для того, чтобы все интерфейсы были в одном сегменте сети. Нажимаем на меню Bridge, на вкладке Bridge нажимаем символ “+”, в появившимся окне на вкладке General вписываем имя моста (Рис 22). В нашем случаи – LAN, который буде объединять все беспроводные и проводные интерфейсы, т.е. наш Wifi и Master port eth0.

Рисунок 22 – Вид окна настроек сетевого моста LAN

Теперь добавляем к нашему бриджу сетевые интерфейсы. Первым пойдет Мастер порт проводных интерфейсов. Переходим в вкладку Ports, нажимаем на значок “+”. В Interface выбираем eth0 и в Bridge ставим LAN (Рис 23).

Рисунок 23 – Вид окна настроек проводных портов для LAN bridge

Тоже делаем с беспроводным интерфейсом (Рис 24).

Рисунок 24 – Вид окна настроек беспроводного порта для LAN bridge

Настройка IP стека

Переходим к настройке IP адресов. Как так, что наш роутер до сих пор не имеет IP адреса – нужно это исправить.  Нажимаем IP -> Addresses, далее на “+” и вводим IP, по которому буде доступен наш роутер (в моем случаи это 10.222.222.254/24) и в поле Interface ставим наш LAN bridge (Рис 25).

Рисунок 25 – Вид окна IP настроек роутера

У роутера теперь есть IP адрес, но раздавать IP адреса из этой сети он не еще не может. Нужно ему в этом деле помочь. Переходим в меню IP -> DHCP Server. На вкладке DHCP нажимаем на кнопочку DHCP Setup и идем по гайду (Рис 26).

Рисунок 26 – Вид окна настроек DHCP server

Выбираем наш локальный LAN bridge, вводим пул адресов, IP адрес шлюза (что есть наш адрес роутера), диапазон адресов для раздачи, список DNS серверов и время резервирования адресов за клиентами (Рис 27).

Рисунок 27 – Вид окон мастера настроек DHCP server

Теперь мы получим IP при подключении к роутеру.

Настройка NAT

Теперь настроим правила для Firewall-а. Если этого не сделать, то наши пакеты смогут ходить только по локальной сети без надежды попасть во внешний мир. Идем в IP -> Firewall. Вкладка NAT и жмем “+”. Во вкладке General выбираем Chain: srcnat и ставим для нее Out. Interface: WAN  (Рис 28).

Рисунок 28 – Вид окна настроек Firewall NAT

Переходим во вкладку Action, выбираем masquerade и жмем ОК (Рис 29).

Рисунок 29 – Вид окна настроек Firewall NAT Actions

Настройка времени

Чтобы время событий совпадало с нашей реальностью, нужно настроить часики на роутере. Переходим в System -> Clock, вкладка Time и выставляем нужные значения (Рис 30).

Рисунок 30 – Вид окна настроек времени

Смена пароля по умолчанию

Изначально мы подключались на систему без ввода пароля пользователем admin. Так делать нельзя – нужно поставить нормальный пароль.  Идем в System -> Users. На вкладке Users кликаем на пользователя admin. В открывшимся окне нажимаем на кнопку Password. В следующем окне вводим пароль и жмем ОК (Рис 31).

Рисунок 31 – Вид окна смены пароля для пользователя admin

На этом этапе моя базовая настройка роутера закончилась.