Помогите настроить роутер

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
th704
Сообщения: 8
Зарегистрирован: 13 дек 2016, 18:40

Mikrotik RouterBOARD hEX (RB750Gr3)
ОС - Router OS v.6.36.1
Что нужно из функционала?
Нужно просто настроить аппарат в режиме роутера.
Витая пара спускается в квартиру с чердака. (там у провайдера оборудование).
Бридж на компе не устраивает категорически.
Нужно просто, чтобы роутер поднимал соединение. (PPPoE) и отдавал на домашний комп.
Из дополнительных опций файрвол и NAT (автоматом).
Настраивал роутер по этому ролику.
https://www.youtube.com/watch?v=kEbznrLcwiY
Но с настройкой Firewall и NAT не понятно.
https://www.youtube.com/watch?feature=p ... cwiY#t=389
Здесь показано, что простую настройку можно произвести через браузер просто поставив галочки. Однако, в версии 6.36.1 это не доступно. (т.е. просто поставить галочки уже не получится).
Как сделать автоматические, стандартные настройки Firewall и NAT средствами Winbox?


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Все описано, о шагам viewtopic.php?f=15&t=5972


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

th704 писал(а):Mikrotik RouterBOARD hEX (RB750Gr3)
ОС - Router OS v.6.36.1
Что нужно из функционала?
Нужно просто настроить аппарат в режиме роутера.

Подход и задачи правильно поставлены, это уже радует.
1) Всё же советую обновить роутер до версии 6.37.3 и обновить и прошивку и загрузчик. Обнулить конфигурации, сделать чистую, без заводских настроек.
2) Поднятие сессии РРРоЕ и защита - основопологающие моменты и роутер с ними справляется,но надо правильно настроить.
3) Я Вам дам сейчас ниже пару важных строк кода, которые Вам помогут, автоматических правил увы нет сейчас.
(в строчках кода которые я вам дам, как бы всё примерно унифицировано, но прежде чем их давать роутеру через консоль, поправить название рррое сессии надо всё же,
а также задать в переменную вашу локальную сеть).

Итак:
1) Создадим список и опишем в нём WAN порты (для удобство в будущем с ними работать)
Примем что порт1 и РРРоЕ сессия - это внешние интерфейсы

Код: Выделить всё

/interface list
add name=list1-WAN-iface
/interface list member
add interface=ether1 list=list1-WAN-iface
add interface=pppoe-out1-RTK list=list1-WAN-iface


2) Опишем нашу локальную сеть (зададим её адресацию)(Вы подставите ту сеть что у вас уже стоит)

Код: Выделить всё

/ip firewall address-list
add address=192.168.1.0/24 list=LocalNet


3) Опишем защиту (эти правила появится в файрволле, в закладке Filters)
(не пугайтесь, что не читаемо, потом это превратиться в русские комментарии, увидете в винбоксе)

Код: Выделить всё

/ip firewall filter
add action=drop chain=input comment="\D3\E1\E8\E2\E0\E5\EC \C8\CD\C2\C0\CB\C8\C4\CD\DB\C5 \EF\E0\EA\E5\F2\FB" connection-state=invalid in-interface=pppoe-out1-RTK
add action=accept chain=input comment="\D0\E0\E7\F0\E5\F8\E0\E5\EC \EF\F3\F2\FC \F3\F1\F2\E0\ED\EE\E2\EB\E5\ED\ED\FB\EC \E8 \EF\F0\EE\E4\EE\EB\E6\E5\ED\ED\FB\EC \EF\E0\EA\E5\F2\E0\EC" connection-state=\
    established,related
add action=accept chain=input comment="\D0\E0\E7\F0\E5\F8\E0\E5\EC Multicast" protocol=igmp
add action=accept chain=input comment="\D0\E0\E7\F0\E5\F8\E0\E5\EC \EF\EE\F0\F2 UDP \E4\EB\FF \CC\F3\EB\FC\F2\E8\EA\E0\F1\F2\E0" dst-port=1234 protocol=udp
add action=drop chain=input comment="\C7\E0\F9\E8\F2\E0 \EE\F2 \F2\E5\F5 IP,\EA\EE\F2\EE\F0\FB\E5 \F0\E0\ED\E5\E5 \F3\E6\E5 \ED\E0\F1 \E0\F2\E0\EA\EE\E2\E0\EB\E8 (\E7\E0 24 \F7\E0\F1\E0)" \
    in-interface-list=list1-WAN-iface src-address-list=Attack-from-WAN
add action=jump chain=input comment="\C0\ED\E0\EB\E8\F2\E8\EA\E0 TCP \EF\EE\F0\F2\E0 53" dst-port=53 jump-target=Block-DDoS-TCP protocol=tcp
add action=jump chain=input comment="\C0\ED\E0\EB\E8\F2\E8\EA\E0 UDP \EF\EE\F0\F2\E0 53" dst-port=53 jump-target=Block-DDoS-UDP protocol=udp
add action=add-src-to-address-list address-list=Attack-from-WAN address-list-timeout=1d chain=Block-DDoS-TCP comment=\
    "\D1\EE\E1\E8\F0\E0\E5\EC IP-\E0\E4\F0\E5\F1\E0 \E0\F2\E0\EA\F3\FE\F9\E8\F5 \E2 \F1\EF\E8\F1\EE\EA" in-interface-list=list1-WAN-iface
add action=add-src-to-address-list address-list=Attack-from-WAN address-list-timeout=1d chain=Block-DDoS-UDP comment=\
    "\D1\EE\E1\E8\F0\E0\E5\EC IP-\E0\E4\F0\E5\F1\E0 \E0\F2\E0\EA\F3\FE\F9\E8\F5 \E2 \F1\EF\E8\F1\EE\EA" in-interface-list=list1-WAN-iface
add action=drop chain=Block-DDoS-TCP comment="\C1\EB\EE\EA\E8\F0\F3\E5\EC \E2\F5\EE\E4\FB \EF\EE \EF\EE\F0\F2\F3 TCP 53" in-interface-list=list1-WAN-iface
add action=drop chain=Block-DDoS-UDP comment="\C1\EB\EE\EA\E8\F0\F3\E5\EC \E2\F5\EE\E4\FB \EF\EE \EF\EE\F0\F2\F3 UDP 53" in-interface-list=list1-WAN-iface
add action=jump chain=input comment="\C0\ED\E0\EB\E8\F2\E8\EA\E0 TCP \EF\EE\F0\F2\EE\E2 80 \E8 443" dst-port=80,443 jump-target=WWW_Block_TCP_RLS protocol=tcp
add action=jump chain=input comment="\C0\ED\E0\EB\E8\F2\E8\EA\E0 UDP \EF\EE\F0\F2\EE\E2 80 \E8 443" dst-port=80,443 jump-target=WWW_Block_UDP_RLS protocol=udp
add action=add-src-to-address-list address-list=Attack-from-WAN address-list-timeout=1d chain=WWW_Block_TCP_RLS comment=\
    "\D1\EE\E1\E8\F0\E0\E5\EC IP-\E0\E4\F0\E5\F1\E0 \E0\F2\E0\EA\F3\FE\F9\E8\F5 \E2 \F1\EF\E8\F1\EE\EA" in-interface-list=list1-WAN-iface
add action=add-src-to-address-list address-list=Attack-from-WAN address-list-timeout=1d chain=WWW_Block_UDP_RLS comment=\
    "\D1\EE\E1\E8\F0\E0\E5\EC IP-\E0\E4\F0\E5\F1\E0 \E0\F2\E0\EA\F3\FE\F9\E8\F5 \E2 \F1\EF\E8\F1\EE\EA" in-interface-list=list1-WAN-iface
add action=drop chain=WWW_Block_TCP_RLS comment="\C1\EB\EE\EA\E8\F0\F3\E5\EC \E2\F5\EE\E4\FB \EF\EE \EF\EE\F0\F2\E0\EC TCP 80 \E8 443" in-interface-list=list1-WAN-iface protocol=tcp
add action=drop chain=WWW_Block_UDP_RLS comment="\C1\EB\EE\EA\E8\F0\F3\E5\EC \E2\F5\EE\E4\FB \EF\EE \EF\EE\F0\F2\E0\EC UDP 80 \E8 443" in-interface-list=list1-WAN-iface protocol=udp


4) Ну и NAT (выход в интернет для заданного списка)

Код: Выделить всё

/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-out1-RTK src-address-list=LocalNet


Последний совет: почитать, пролистать, подправить адреса локальные, название рррое-сессии, подумать и вставлять на съедение роутеру,
убедиться что всё появилось, понять и проверить.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
th704
Сообщения: 8
Зарегистрирован: 13 дек 2016, 18:40

Что касается новой прошивки 6.37.3, то я как-то боюсь прошивать. Читал где-то, что это приводит к циклической перезагрузке.
Оно мне надо? Предпочитаю стабильные версии.
К тому же не знаю, как прошивать Микротик. Вот свой Zyxel P-660HT2 EE прошью без проблем (сейчас пока с АДСЛ сижу).

Что за строки кода? Мне это ни о чем не говорит. Что с ними делать?
Я в Zyxel просто ставил галочки NAT и Firewall. С 2006 г. все работает. Никто не взломал.
Как это сделать в Router OS 6.36.1?

На данный момент настроено все точь-в-точь, как в том ролике. Плюс поменял логин и пароль администратора. Также отключил все сервисы, оставил только ssh и winbox. Потом сохранил конфигурацию в файл.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

th704 писал(а):Что касается новой прошивки 6.37.3, то я как-то боюсь прошивать. Читал где-то, что это приводит к циклической перезагрузке. Оно мне надо?

Странно, что я обновил роутеров 15-18 мне доступных, которые многие за 20-100-200км и зависаний нет.
Буду рад если дадите ссылку на статью о циклических зависаниях, тем более что 6.37.3 очень свежая прошивка.

th704 писал(а):Предпочитаю стабильные версии.

Ну и тут Вы не в курсе новых событий, текущая стабильная версия - это 6.36.4, а не Ваша текущая (на сайте микротика можете увидеть)

th704 писал(а):К тому же не знаю, как прошивать Микротик. Вот свой Zyxel P-660HT2 EE прошью без проблем (сейчас пока с АДСЛ сижу).

Ну хоть что-то честно ответили. Побегайте тут по форуму, почитайте, обновлять и уметь это делать - И элементарно и нужный процесс,
и поверьте, легче чем на Зухеле или ещё где-то нибыло.

th704 писал(а):Что за строки кода? Мне это ни о чем не говорит. Что с ними делать?

Забудьте про них. Рано Вам пользоваться микротиком при таком подходе мышления.

th704 писал(а):На данный момент настроено все точь-в-точь, как в том ролике. Плюс поменял логин и пароль администратора. Также отключил все сервисы, оставил только ssh и winbox. Потом сохранил конфигурацию в файл.

Ролик ролику рознь. Ему Вы доверяете, а нам ?
Ищите как закрыть 53 порт, и думаю для начала Вам хватит. SSH я бы тоже отключил, если Вас код пугает, думаю консоль Вам точно не нужна.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
th704
Сообщения: 8
Зарегистрирован: 13 дек 2016, 18:40

Не помню где видел, но именно фраза "циклические перезагрузки" запомнилась. Какой смысл мне врать?

Для RB750Gr3 доступна только 6.37.3. Не видел, чтобы 6.36.4 была совместима с моим роутером.

На Zyxel нужно просто выбрать файл и загрузить его. На Микротике не знаю как прошивать. И надо ли, если такие не лестные отзывы?

Вы мне так и не объяснили как включить Firewall и NAT. Где эти галочки, что их включают? Без этой защиты я в сеть не полезу.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

th704 писал(а):Не помню где видел, но именно фраза "циклические перезагрузки" запомнилась. Какой смысл мне врать?
Для RB750Gr3 доступна только 6.37.3. Не видел, чтобы 6.36.4 была совместима с моим роутером.
На Zyxel нужно просто выбрать файл и загрузить его. На Микротике не знаю как прошивать. И надо ли, если такие не лестные отзывы?
Вы мне так и не объяснили как включить Firewall и NAT. Где эти галочки, что их включают? Без этой защиты я в сеть не полезу.

1) прошивка рабочая. проверено
2) прошивки при выходе делаются сразу для всех роутеров, главное залить прошивку под ту архитектуру, на базе которой у вас роутер сделан.
3) На микротике прошивка делается также, скачивается файл или в онлайне обновляется.
4) НЕТУ галочек для Файрволла и НАТа, нету универсального решения, микротик это конструктор, его надо настраивать.
Могу посоветовать лишь такое: вернуть роутеру заводскую ПРЕ-конфигурацию, она на 75-80% универсальна конфигурация и рабочая.
Возможно она вам подойдёт. Я с ней не работал.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
th704
Сообщения: 8
Зарегистрирован: 13 дек 2016, 18:40

Прошивка весит 8 430 737 байт. Как она влезет на флешку 16 Мб?
Старую затереть, а как тогда новую заливать?

Что значит "обновляется онлайн"? Я обычно скачиваю прошивку, захожу в соответствующий раздел (на Zyxel) и выбираю нужный файл. Идет проверка файла, затем прошивка. Перезагрузка, потом все настраивать. Все просто и понятно. А как у Микротика это делать?

По заводской настройке по-умолчанию, так там в поле NAT и Firewall просто пусто. Так что это ничего не даст. Я уже проверял.
Поэтому и спрашиваю: как настроить NAT и Firewall?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

th704 писал(а):Прошивка весит 8 430 737 байт. Как она влезет на флешку 16 Мб?
Старую затереть, а как тогда новую заливать?
Что значит "обновляется онлайн"? Я обычно скачиваю прошивку, захожу в соответствующий раздел (на Zyxel) и выбираю нужный файл. Идет проверка файла, затем прошивка. Перезагрузка, потом все настраивать. Все просто и понятно. А как у Микротика это делать?

Ну прочитайте официальную документацию, а?
Прошивка при онлайне обновлении закачивается в память роутера, обновляется, роутер перезапускается.
Память флешки не используется.

th704 писал(а):По заводской настройке по-умолчанию, так там в поле NAT и Firewall просто пусто. Так что это ничего не даст. Я уже проверял.
Поэтому и спрашиваю: как настроить NAT и Firewall?

Ну тогда возвращаемся к моему первому Вам сообщении, там хорошие правила для защиты, примените их (в винбоксе есть кнопка - New Terminal) вот туда по очереди вставьте их,
и поглядите что появиться в итоге у Вас в файрволле.

Ну а если снова НЕТ и не ТАК, то вперёд, изучать основы, теорию и руками писать, а то, это не то, это не так.
И не сравнивайте с зухелем, всё равно что велосипед с трактором сравнивать, вообще разные вещи.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
th704
Сообщения: 8
Зарегистрирован: 13 дек 2016, 18:40

А можно ли сделать резервную копию прошивки? Если что откатиться можно будет на старую версию?

Скажите пожалуйста, а есть ли инструкция на русском языке по прошивке Микротика? Хотел бы почитать.

А, так речь о командной строке? Действительно в меню слева есть "терминал". Это тот, где Mikrotik напечатано из самих букв как в ДОСе?
Я просто думал, что командная строка уже давно не используется.


Ответить