MikroTik jako SOHO router - 1 - základní konfigurace
Pro připomenutí, SOHO je zkratka pro "small office/home office". Zařízení MikroTik jsou v povědomí jako zařízení pro profesionální použití se složitou konfigurací. Je tomu opravdu tak? Ukážeme si, jak nastavit router MikroTik (konkrétně Mikrotik RouterBOARD RB951G-2HnD) pro domácí použití.
Úvod
Před několika dny jsem o MikroTiku nevěděl nic. Informace v článku jsou z pohledu začátečníka s tímto zařízením.
Domů si přineseme kartonovou krabici, na které jsou vytisknuty základní údaje, potřebné pro konfiguraci. V krabici je vlastní router a zdroj. Jde wifi N router na pásmu 2,4GHz s integrovanými anténami. Integrovaných antén se nebojte, zjistíte, že pokrytí signálu je lepší než u routerů s několika externími anténami. Obsahuje 5-ti portový switch 10/100/1000Mbs, z toho první zásuvka se využívá pro WAN a umožňuje napájení routeru (POE), pokud máte router umístěný např. na půdě. Router obsahuje i USB zásuvku, kterou je možné využít pro připojení pevného disku, sdílené tiskárny, ...
1. Začínáme
MikroTik používá pro prvotní konfiguraci adresu 192.168.88.1, jméno admin a žádné heslo. Pro konfiguraci routeru potřebujeme počítač, router, síťový kabel a informace o internetovém připojení od poskytovatele internetu.
Na síťové kartě v počítači musíme zadat pevnou IP adresu ve stejném rozsahu jako router, např. 192.168.88.2 s maskou 255.255.255.0.
Spustíme si internetový prohlížeč a zadáme adresu 192.168.88.1. Pokud se vše podařilo, objeví se internetová stránka systému Router OS (v době psaní článku verze 5.25) s údaji pro přihlášení. Jako uživatelské jméno zadáme: admin, heslo nezadáváme a potvrdíme přihlášení.
MikroTik je profesionální zařízení, proto uživatelská přítulnost není taková, na jakou jste zvyklí z obyčejných routerů. Naopak možnosti konfigurace jsou opravdu obrovské. Ale není třeba se bát.
Odměnou nám bude stabilní zařízení, které na každou změnu konfigurace reaguje okamžitě bez nutnosti restartů. Na internetu je obrovské množství informací s popisem scénářů, hotových skriptů...
2. Možnosti konfigurace
Kromě možnosti konfigurace pomocí webového rozhraní routeru (Wbfig) v internetovém prohlížeči je možné použít WinBox nebo Telnet. Winbox je aplikace pro Windows, která téměř totožná s konfigurací v prohlížeči. Stáhnout si ji můžeme přímo z webového rozhraní routeru. Telnet využijí milovníci příkazové řádky. Všechny 3 nástroje poskytují plnohodnotné možnosti konfigurace a je možné je mezi sebou libovolně zaměňovat.
3. Základní konfigurace
Router obsahuje v několika posledních verzích režim Quick Set. Je to obrovská pomoc, díky které nemusíme být odborníci na sítě a přesto zvládneme router nastavit. Je to vlastně průvodce, kde na jedné obrazovce jsou seskládané údaje pro základní nastavení routeru.
Než se pustíme do vlastního nastavování, zjistíme si volnou frekvenci pro wifi.
Klikneme na kartu Wireless a na záložce Interfaces použijeme tlačítko Freq.Usage. Přehledně vidíme využití jednotlivých frekvencí (kanálů) a na první pohled najdeme volné frekvence. Zapamatujeme si tu, která má nulové využití a kolem ní je relativně volno. Dejme tomu, že v našem případě to bude 2427 MHz. Není třeba se bát, později můžeme změnit jakýkoliv údaj, který jsme zadali.
Vrátíme se na kartu Quick Set a provedeme základní nastavení routeru.
Představíme si typický scénář:
Od poskytovatele internetu jsme dostali pevnou IP adresu a masku, adresu brány a adresy DNS serverů.
Ve vnitřní síti budeme chtít automatické přidělování adres v rozsahu např. 192.168.1.100 - 192.168.1.200.
Budeme chtít zabezpečenou wifi, abychom nesloužili jako nedobrovolný poskytovatel internetu širokému okolí.
Obrazovka Quick Set je rozdělena do několika částí. Na obrázku je typické nastavení.
Wireless - nastavení wifi rozhraní (frekvence, zabezpečení, heslo).
Configuration - zvolíme režim zařízení, pro náš účel to bude router
WAN - údaje, které jsme dostali od poskytovatele internetu. Na rozdíl od toho, na co jsme zvyklí se maska nezadává ve formě IP adresy (255.255.255.0), ale přímo u adresy za lomítkem (příklady jsou uvedeny na konci článku)
LAN/WLAN - nastavení vnitřní sítě
Zde nastavujeme adresní prostor naší vnitřní sítě. Nejčastěji se používají adresy v rozsahu 192.168.xxx.xxx, případně 10.0.xxx.xxx a opět za lomítkem určíme rozsah. Např. 192.168.1.1/24 pro nejčastější masku 255.255.255.0.
Zapneme DHCP server - ten se postará aby naše počítače dostaly adresu automaticky a určíme rozsah adres, který server bude přidělovat, např. 192.168.1.100-192.168.1.200 a nezapomeneme zapnout NAT.
System - zda si pojmenujeme router a pomocí tlačítka Password nastavíme heslo uživateli admin.
Klikneme na OK. Pokud někdo čekal restart, dlouhé čekání než se konfigurace aplikuje, tak na to zapomeňte. Cokoliv změníte se okamžitě promítne do nastavení a hned funguje.
Ještě doporučuji nastavit na lan portech 2-5 rychlost 1Gbps, protože v základním stavu jsou porty nastaveny na 100Mbps. Switch to umí, tak proč to nevyužít. Na kartě Interfaces (rozhraní) si rozklikneme jednotlivé porty, můžeme změnit jejich jméno, ale hlavně na záložce Ethernet nastavíme 1Gbps.
Tím jsme skončili se základní konfiguraci routeru. Do zásuvky 1 (POE) routeru připojíme kabel, kterým je přiveden internet od poskytovatele a počítač zapojíme do některé ze zásuvek LAN (nezapomeňte opět na síťové kartě v nastavení TCP/IP vrátit automatické přidělování IP adresy), případně se připojíme přes wifi. Naše vnitřní síť je zabezpečená a připojená k internetu.
Příklady zápisu masky sítě:
255.255.0.0 /16
255.255.255.0 /24
255.255.255.252 /30
Více informací najdete např. na:
Masky site
Wikipedii
Přehled kapitol
Kapitola první - základní nastavení routeru a připojení vnitřní sítě k internetu
Kapitola druhá - vzdálený přístup pro správu a pravidla pro přesměrování portů
Kapitola třetí - wifi síť pro návštěvníky
Kapitola čtvrtá - více routerů v síti
Kapitola pátá - wifi roaming
Kapitola šestá - plánované vypnutí/zapnutí WiFi
Kapitola sedmá - omezení WiFi pro zařízení v daném čase
Kapitola osmá - hlídání zařízení s notifikací mailem
Jo, to je on, mého srdce šampión. Za +/- 1500 korun.
Vyčerpávající dokumentaci RouterOS lze najít na Wiki
-------
USB port na routeru pro disk, tiskárnu.
Je nastavitelný z routeru? Tedy: lze určit, ve kterých sítích, na kterých PC bude sdílený disk přístupný?
Up.
Co to USB? Díky.
Zatim jsem nemel cas si s tim hrat. Vyzkousim na tom rozjet nejakou tiskarnu, ale musis vydrzet.
Dobry den, mohl by jste prosim napsat oznaceni tohoto mikrotiku? jak to popisujete, tak to bychom potrebovali... diky moc, info@unifone.cz
Trosku poopravim JaFiho. Webove rozhranie neposkytuje plnohodnotne nastavenie OS, takze pre tych co chcu vyuzit plnohodnotne moznosti Mikrotiku musia pouzit Winbox, pripadne terminal.
Ja jsem Flegu nenasel nic, co bych pro sve potreby pres web nenastavil. Ale to bude tim, ze si s tim hraju jen par dnu a nepotrebuju jit uplne do detailu.
Pozrel si si aj nastavenie cez winbox? Uz na prvy pohlad ti ponukne toho ovela ovela viac. Ale uznavam, ze asi veci, co nepotrebujes. Btw neviem ako v novych verziach, ale kedze mas verejnu IP adresu pozri si, co mas na fw dropnuty input (standardne byval), pretoze ta hned najdu roboty a spamovat bruteforce utokmi cez ssh, ftp a pod.
Ak nieco budes chciet vediet spytaj sa...a pekne ti dakujem, pretoze uz rok sa chystam napisat seriu clankov o Mikrotiku a nejako sa k tomu neviem dokopat a uz si mi vyfukol temu;o).
Btw Mikrotik je len OS (to by bolo dobre zdoraznit) a ty si recenzoval skor RB. Pisem to preto, ze RB maju relativne maly vykon a na profesionalne pouzitie sa Mikrotik nasadzuje na klasicke PC, kde zvlada naozaj velku zataz, takze by nemal vzniknut dojem, ze RB=Mikrotik a Mikrotik=RB.
A este by som sa mozno zmienil o tom, ze RB krabicky su straaasne, ale straaasne skarede. Posobia velmi lacnym home-made dojmom, ale ta stabilita...nic ine uz firemnym zakaznikom ani neponukam.
Pres WinBox jsem to nastavoval, delal jsem z nej i screnshoty. A vse co je ve Winboxu jsem nasel i ve WebFigu. Mozna se to zmenilo a WebFig vylepsili... Jestli chces, zpristupnim ti rozhrani.
V zakladu je na routerbordu zakazana z venku veskera komunikace. A tim myslim uplne vsechna. Neni otevreny jediny port.
Mikrotik je vyrobce, operacni system je Router OS a routerboard je hardware vcetne OS
Co se tyka clanku, muzes pokracovat, protoze ja jsem napsal uvod - 3 kapitoly pro zacatecniky - jednoduchy navod konfiguraci, se kterou si vystacis na vse, co budes potrebujes od domaciho routeru. Vykon, ktery ten router ma - 600MHz procesor a 128MB pameti je brutalne predimenzovany na vse, co by uzivatel doma mohl potrebovat.
A mas pravdu, ty krabicky nejsou zadne designove kousky. Ale ja doma nepotrebuju mit router, ktery bude uprostred obyvaku, ale potrebuju router, ktery bude spolehlivy a nakonfigurovanim budu schopny vyresit veskere nestandardni situace.
Tohle bys mohl zakaznikum nabizet: muzete si vybrat - router, ktery bude obcas zamrzat, budete jej muset restartovat, obcas vam zpomali internet, ale bude vypadat moc hezky nebo router, ktery pekny neni, ale od okmaziku, kdy jej nastavite o nem nebudete vedet a po par letech si nevzpomenete, kde bezi
Sorry s nazvom, dnes om asi uplne pomyleny, mas samozrejme pravdu uz radsej nic dnes nebudem pisat.
Ja som chcel spravit seriu clankov od historie, cez vyvoj aj po sucasnost, predstavenie jedntlivych rad RB az po konkretne nastaveni a bezne predavanych kuskov (RB7xx, RB4xx).
Ten zaver s tym suhlasim, ale ked dam zakaznkovi vybrat si 741 za 20 eur a toto za 60 eur tak hadaj, co si vyberie? Dokonca aj do firiem to mam problem pretlacit, aspon sa mi dari pretlacit 750 ako gw a zvysok siete uz tvoria menej spolahlive 741, ktore aj tak robia len blbe AP.
Inak seria clankov trosku scipla na nevelkej ochote I4 kedze som s nimi jednal o zapozicani jednotlivo recenzovanych kuskov RB a nejake venovania do sutaze, ale cheli to robit straaasne komplikovane (podpisanie zmenky, pomerna neochota venovat drahsie kusky do sutaze, problem sa dovolat a pod). Skoda mohli mat reklamu, ale jednanie s nimi kusok zzdrhavalo.
Edit: A mas pravdu do 5 verzii webu uz naozaj popridavali toho ovela viac ako bolo v 4 verziach, ale na Winbox to nema;o). Prirovnal by som to k Webminovi na linuxe vs ssh cez putty.
Tak divoké to snad nebude.
http://forum.mikrotik.com/viewtopic.php?f=13&t=567 45
http://wiki.mikrotik.com/wiki/Manual:First_time_st artup
Tak si teoreticky nastavuji své připojení do tohoto routeru.
Na straně LAN dnes používám 192.168.3.1 s maskou 255.255.255.0, v RouterOS zapíšu jako 192.168.3.1/24
Co se stranou WAN, kde mám masku 255.255.255.255 (data od providera).
IP = 80.87.***.***, jaké číslo dát za "lomeno"? Bude to /32 (v binárním tvaru se jedná o 11111111.11111111.11111111.11111111)
Díky.
Ano, pak budes mit /32.
Vic napr. zde:
cidr.html
Sympatický odkaz, znamenám si
Pridal jsem ho do clanku. Nasel jsem to az ted a prehlednejsi uz to snad ani byt nemuze
Šlo by přidat i odstaveček na téma, proč zvolit Mikrotik a ne nějakou krabičku za podobné peníze (např. oblíbený TPLINK 1043ND)? Něco pro běžného uživatele, aby pochopil, v čem tkví přínos Mikrotiku, proč o něm uvažovat...
Vykon, skalovatelnost, profesionalne moznosti nastavovania a nemrznuci rezim. Mikrotiky fakt nemrznu a zvladnu aj stovky zariadeni na sieti.
1043 na to aka je draha zdaleka neposkytuje taky komfort.
Zajímavé, asi půjdu do Mikrotiku, jakmile moje 1043 zhebne.
Btw myslel jsem, že Mikrotiky stojí minimálně 3-4 tisíce, ale ten JaFiho za 1600 nevypadá vůbec jako špatná koupě. Snad ho někde neošulili na kvalitě součástek atp.
Já jsem už 100% rozhodnut. Stoletá Barikáda poputuje do sklepa mezi podobné krámy.
Mel jsem doma LynkSys, což je levnější produkce Cisca (2-pasmový). Ten jsem pak vyměnil za D-Link DIR-852 (taky dvoupasmovy), protoze ten LinkSys s integrovanymi antenami nezvladal pokryt to, co jsem potreboval.
Oba jsou z vyssi cenove hranice nez popisovany Mikrotik.
D-Link obcas mrznul, v posledni dobe zacaly problemy s IP telefonem, ktery se nedostal na ustrednu. Na chvili vzdy pomohl reset do firemniho nastaveni.
Tento Microtic i s integrovanymi antenami ma lepsi pokryti nez ten D-Link. Od te doby, co jsem ho nastavil o nem nevim. Jak psal Fleg, je to zarizeni, ktere zvlada provoz spousty klientu soucasne, na domaci pouziti je hrube predimenzovany.
V praci mame uz nekolikaty router, vcetne TP-Linku. Zadny delsi dobu nezvladne provoz vice klientu (do 20). Vzdy po nekolika dnech je nutny reset.
Vy mate v praci SOHO zarizeni? A je to kombinace Router+Wifi, nebo alespon kazde zvlast?
Je to jen sit pro jednacku + pro ty pohodlne, kteri nechteji strkat kabel do notebooku.
Ale je na tom pekne videt, jak ty normalni routery nezvladaji vic klientu...
ahoj, mam rovnaky router a chcel by som sa spytat, na co je v interface liste ten bridge? Je to bridge medzi cim? je tam potrebny? Ked ho vypnem tak mi spadne internet a aj na mikrotik samotny sa dostanem winboxom len cez jeho MAC adresu, pretoze sa nehlasi pod svojou IP.
V predchadzajucom RB750 som ziadny bridge nemal, tak ma to matie.
Připojuji se k otázce "Shira" na co je tam položka "Bridge All LAN Ports", která se zatrhává v Quick Set v Local Network společně s DHCP Server... Pokud tuto položku nezatrhnu nemám dostupný internet na LAN portech ani Wi-Fi?
Hosi zapojte mozog kusok a pridete na to aj sami.
Bridge je uz podla slova proste most, je to premostenie viacerych fyzickych rozhrani. Pre jednoduchost (a asi kvoli amikom), zacal Mikrotik bridgovat vsetky porty do jedneho okrem gateway uz v defaulte a to z dovodu jednoduchsieho ovladania. Pri bridgi si zapnete jeden dhcp server (pre rozhranie bridge), vytvorite si jedno pravidlo na fw (opat rozhranie bridge) a pod. Nemusite so ovladat kazdy port samostatne, pretoze je to malokedy potrebne, hlavne na doma.
Samozrejme ak vypnete bridge vsetky rozhrania sa vam opat osamostatnia, cize prestane vam fungovat dhcp server (je nastaveny na bridge) a pod.
a jak je to s DNS. Je možné udělat aby se mi při automatickém přidělování IP adres pro klienty nastavoval DNS server poskytovatele a né DNS co se vystaví v mikrotiku? Zdá se mi, že mě to doma zlobí. Že se mi nějaké stránky nezobrazí na první, ale musím dát reload v prohlížeči, aby mě stránka naskočila
DNS si samozrejme nastavujes pri nastavovani DHCP servera.
Pokud je v dhcp přidělováno DNS = lan adresa mikrotiku (např. 192.168.88.1/24), pak mikrotik pracuje jako DNS cache. Tedy zodpoví rychleji dotazy které zná, to co nezná se dotazuje DNS srveru poskytovatele:
1) V položce IP>DNS tedy nastavíte dns poskytovatele + vám tam mohou naskočit i dynamicky, pokud máte na WAN dhcp klient.
2) Zatrhnete Allow remote requst (jen pak DNS mikrotiku na dotaz odpoví).
3) Teď už to resolví, ale je nutno zabezpečit.
přes terminál vlep toto níže uvedené, když předtím nahradíš WAN svým názvem wan portu:
/ip firewall filter
add action=drop chain=input in-interface=WAN disabled=no dst-port=53 protocol=udp
add action=drop chain=input in-interface=WAN disabled=no dst-port=53 protocol=tcp
To zabezpečení je nutné, jinak byste se nevědomky mohli stát zdrojem DDOS útoku.
*************************
Proti pokusům o proniknutí na služby (porty 21-23) na vašem mikrotiku lze využít toto:
# ftp, ssh, telnet princip: při přístupu na sledovaný port se src IP uloží do 1.listu, timeout IP v něm je 1m. Pokud přijde nová konekce a src IP je v 1. listu, založí se do adress-listu 2. atd. Vytváří se ještě 3. list s uptime 1m. # Pokud tedy během celkem 3 minut se 3x vytvořila nová konekce na sledované porty, tak se IP hodí do konečného black listu 30, který má uptime už 30 dnů a z něho se vytváří drop.
/ip firewall filter
add chain=input protocol=tcp dst-port=21-23 src-address-list=in_blacklist30 \
action=drop \
comment="dropuje dle adress-listu in_blacklist30 porty 21-23" disabled=no
add chain=input protocol=tcp dst-port=21-23 connection-state=new src-address-list=in_blacklist3 \
action=add-src-to-address-list address-list=in_blacklist30 address-list-timeout=30d disabled=no \
comment="port 21-23 => black list 30 z listu 3, timeout 30 dní"
add chain=input protocol=tcp dst-port=21-23 connection-state=new src-address-list=in_blacklist2 \
action=add-src-to-address-list address-list=in_blacklist3 address-list-timeout=1m disabled=no \
comment="port 21-23 => black list 3 z listu 2, timeout 1 min"
add chain=input protocol=tcp dst-port=21-23 connection-state=new src-address-list=in_blacklist1 \
action=add-src-to-address-list address-list=in_blacklist2 address-list-timeout=1m disabled=no \
comment="port 21-23 => black list 2 z listu 1, timeout 1 min"
add chain=input protocol=tcp dst-port=21-23 connection-state=new \
action=add-src-to-address-list address-list="in_blacklist1" address-list-timeout=1m disabled=no \
comment="port 21-23 => black list 1, timeout 1 min"
Jo TIK je skvělá krabička...
no ja nevim, ale vidim zatrzeno auto negotiation a tak neni duvod zatrhavat 1Gbit, nebo ano? :o
partnerem routeru je na druhém konci kabelu čínský ovladač síťovky nebo nasu.
pokud si chceš být jist, zatrhneš. (kdyby to ještě někdo řešil)
Zde je na místě poděkovat panu J. F. za dobře odvedenou práci. Jen tak dále. Děkuji.
Zdravim,
potreboval by som radu od ludi, co sa vyznaju. Kupil som Mikrotik RB951G-2HnD. Ked som ho zapojil, tak sa nan neviem dostat cez IP adresu 192.168.88.1. DHCP mam podla navodu zapnute a aj automaticke ziskavanie IP adresy na sietovej karte.
ping na 192.168.88.1 neprejde. Pochopitelne, ani WinBox ci prehliadac sa nevie na router pripojit. Zaroven vsak funguje pripojenie na internet - internetovy kabel do WAN portu (c.1), pocitac do LAN portu (c.2)
Viete mi poradit, co pozriet/nastavit, aby som sa dostal do nastaveni routera?
Zial, nestihol ho hned odskusat, takze mi uplynula doba na vratenie tovaru. Namiesto zdlhavej reklamacie by som teda uprednostnil pokus o najdenie chyby, najma ked je celkom mozne, ze robim nieco zle.
Dakujem za rady a odpovede.
Winbox komunikuje na L2 vrstve, takze sa pozri, ci ti ho najde ako suseda. Potom sa pripoje cez jeho mac a nie IP a mozme sa pohnut dalej.
Dobrý den,
trošku v nastavení tápám (ano, jsem lama, ale chci s tím bojovat), a proto bych se chtěl zeptat, zda to chápu správně, že na straně:
WAN: budou informace od poskytovatele internetu, tedy IP: 193.165.xx.xxx/30, výchozí brána - gateway: 193.165.xx.xxx a hodnoty k upřednostňovaný a alternativní DNS server.
LAN vnitřní sítě:
je to jedno, nastavuji si sám. Tedy vezmu přesný vzor z článku LAN IP 192.168.1.1/24, DHCP server ano, DHCP Range 192.168.1.100-192.168.1.200, NAT ano.
A po tomto nastavení by to mělo už fungovat? Nemusím nic dalšího měnit na síťové kartě apod?
Děkuji.
Marek
Odpovím si sám, ano funguje to.
Mára
Zdravim vsechny a prosim o radu, kde je u tohoto modemu polozka s moznosti nastavim vykon pro wifi. Nemohu to najit.
Dekuji
Nie je to modem a vykon si mozes regulovat v polozke wireless bud nastavenim utlmu anteny (antenna gain)alebo v podpolozke tx power.
Kúpil som si z alzy - Mikrotik RB951G-2HnD - a potrebujem pomoc. Tento návod je zrejme super pre verziu v ktorej bol písaný, ale pomohol mi aj tak - volako som to nastavil. Ibaže zle. :D
Tu je foto čo sa mi zobrazí po reštarte - defaultné prvé pripojenie LANkom - PC - router - internet --- pričom prvý port som dal vstup internetu druhý lan kábel k PC a zapojil - naťukal IP do chromu a zobrazilo mi: https://ibb.co/i3tL4m - vpravo hore by som mal asi zmeniť to čo predvolilo v ponuke.. či?
Moc krát ďakujem za rýchlu pomoc.