Přidat článek mezi oblíbenéZasílat nové komentáře e-mailem MikroTik jako SOHO router - 1 - základní konfigurace

Pro připomenutí, SOHO je zkratka pro "small office/home office". Zařízení MikroTik jsou v povědomí jako zařízení pro profesionální použití se složitou konfigurací. Je tomu opravdu tak? Ukážeme si, jak nastavit router MikroTik (konkrétně Mikrotik RouterBOARD RB951G-2HnD) pro domácí použití.

Úvod

Před několika dny jsem o MikroTiku nevěděl nic. Informace v článku jsou z pohledu začátečníka s tímto zařízením.

Domů si přineseme kartonovou krabici, na které jsou vytisknuty základní údaje, potřebné pro konfiguraci. V krabici je vlastní router a zdroj. Jde wifi N router na pásmu 2,4GHz s integrovanými anténami. Integrovaných antén se nebojte, zjistíte, že pokrytí signálu je lepší než u routerů s několika externími anténami. Obsahuje 5-ti portový switch 10/100/1000Mbs, z toho první zásuvka se využívá pro WAN a umožňuje napájení routeru (POE), pokud máte router umístěný např. na půdě. Router obsahuje i USB zásuvku, kterou je možné využít pro připojení pevného disku, sdílené tiskárny, ...

[http://pc.poradna.net/file/view/14443-rb-jpg]

1. Začínáme

MikroTik používá pro prvotní konfiguraci adresu 192.168.88.1, jméno admin a žádné heslo. Pro konfiguraci routeru potřebujeme počítač, router, síťový kabel a informace o internetovém připojení od poskytovatele internetu.
Na síťové kartě v počítači musíme zadat pevnou IP adresu ve stejném rozsahu jako router, např. 192.168.88.2 s maskou 255.255.255.0.
Spustíme si internetový prohlížeč a zadáme adresu 192.168.88.1. Pokud se vše podařilo, objeví se internetová stránka systému Router OS (v době psaní článku verze 5.25) s údaji pro přihlášení. Jako uživatelské jméno zadáme: admin, heslo nezadáváme a potvrdíme přihlášení.
MikroTik je profesionální zařízení, proto uživatelská přítulnost není taková, na jakou jste zvyklí z obyčejných routerů. Naopak možnosti konfigurace jsou opravdu obrovské. Ale není třeba se bát.
Odměnou nám bude stabilní zařízení, které na každou změnu konfigurace reaguje okamžitě bez nutnosti restartů. Na internetu je obrovské množství informací s popisem scénářů, hotových skriptů...

[http://pc.poradna.net/file/view/14425-jf03bm-00051           0-png]

2. Možnosti konfigurace

Kromě možnosti konfigurace pomocí webového rozhraní routeru (Wbfig) v internetovém prohlížeči je možné použít WinBox nebo Telnet. Winbox je aplikace pro Windows, která téměř totožná s konfigurací v prohlížeči. Stáhnout si ji můžeme přímo z webového rozhraní routeru. Telnet využijí milovníci příkazové řádky. Všechny 3 nástroje poskytují plnohodnotné možnosti konfigurace a je možné je mezi sebou libovolně zaměňovat.

3. Základní konfigurace

Router obsahuje v několika posledních verzích režim Quick Set. Je to obrovská pomoc, díky které nemusíme být odborníci na sítě a přesto zvládneme router nastavit. Je to vlastně průvodce, kde na jedné obrazovce jsou seskládané údaje pro základní nastavení routeru.

Než se pustíme do vlastního nastavování, zjistíme si volnou frekvenci pro wifi.
Klikneme na kartu Wireless a na záložce Interfaces použijeme tlačítko Freq.Usage. Přehledně vidíme využití jednotlivých frekvencí (kanálů) a na první pohled najdeme volné frekvence. Zapamatujeme si tu, která má nulové využití a kolem ní je relativně volno. Dejme tomu, že v našem případě to bude 2427 MHz. Není třeba se bát, později můžeme změnit jakýkoliv údaj, který jsme zadali.
Vrátíme se na kartu Quick Set a provedeme základní nastavení routeru.

[http://pc.poradna.net/file/view/14429-jf03bm-00051         5-png]

Představíme si typický scénář:
Od poskytovatele internetu jsme dostali pevnou IP adresu a masku, adresu brány a adresy DNS serverů.
Ve vnitřní síti budeme chtít automatické přidělování adres v rozsahu např. 192.168.1.100 - 192.168.1.200.
Budeme chtít zabezpečenou wifi, abychom nesloužili jako nedobrovolný poskytovatel internetu širokému okolí.

Obrazovka Quick Set je rozdělena do několika částí. Na obrázku je typické nastavení.
Wireless - nastavení wifi rozhraní (frekvence, zabezpečení, heslo).
Configuration - zvolíme režim zařízení, pro náš účel to bude router
WAN - údaje, které jsme dostali od poskytovatele internetu. Na rozdíl od toho, na co jsme zvyklí se maska nezadává ve formě IP adresy (255.255.255.0), ale přímo u adresy za lomítkem (příklady jsou uvedeny na konci článku)
LAN/WLAN - nastavení vnitřní sítě
Zde nastavujeme adresní prostor naší vnitřní sítě. Nejčastěji se používají adresy v rozsahu 192.168.xxx.xxx, případně 10.0.xxx.xxx a opět za lomítkem určíme rozsah. Např. 192.168.1.1/24 pro nejčastější masku 255.255.255.0.
Zapneme DHCP server - ten se postará aby naše počítače dostaly adresu automaticky a určíme rozsah adres, který server bude přidělovat, např. 192.168.1.100-192.168.1.200 a nezapomeneme zapnout NAT.
System - zda si pojmenujeme router a pomocí tlačítka Password nastavíme heslo uživateli admin.

Klikneme na OK. Pokud někdo čekal restart, dlouhé čekání než se konfigurace aplikuje, tak na to zapomeňte. Cokoliv změníte se okamžitě promítne do nastavení a hned funguje.

[http://pc.poradna.net/file/view/14428-jf03bm-00051          4-png]

Ještě doporučuji nastavit na lan portech 2-5 rychlost 1Gbps, protože v základním stavu jsou porty nastaveny na 100Mbps. Switch to umí, tak proč to nevyužít. Na kartě Interfaces (rozhraní) si rozklikneme jednotlivé porty, můžeme změnit jejich jméno, ale hlavně na záložce Ethernet nastavíme 1Gbps.

[http://pc.poradna.net/file/view/14427-jf03bm-00051           3-png]

Tím jsme skončili se základní konfiguraci routeru. Do zásuvky 1 (POE) routeru připojíme kabel, kterým je přiveden internet od poskytovatele a počítač zapojíme do některé ze zásuvek LAN (nezapomeňte opět na síťové kartě v nastavení TCP/IP vrátit automatické přidělování IP adresy), případně se připojíme přes wifi. Naše vnitřní síť je zabezpečená a připojená k internetu.

Příklady zápisu masky sítě:
255.255.0.0 /16
255.255.255.0 /24
255.255.255.252 /30
Více informací najdete např. na:
Masky site
Wikipedii

Přehled kapitol

Kapitola první - základní nastavení routeru a připojení vnitřní sítě k internetu
Kapitola druhá - vzdálený přístup pro správu a pravidla pro přesměrování portů
Kapitola třetí - wifi síť pro návštěvníky
Kapitola čtvrtá - více routerů v síti
Kapitola pátá - wifi roaming
Kapitola šestá - plánované vypnutí/zapnutí WiFi
Kapitola sedmá - omezení WiFi pro zařízení v daném čase
Kapitola osmá - hlídání zařízení s notifikací mailem

Mikrotik HAP Lite a nedostatek místa pro update

Jsou zobrazeny jen nové komentáře. Zobrazit všechny
Předmět Autor Datum
Jo, to je on, mého srdce šampión. Za +/- 1500 korun. Vyčerpávající dokumentaci RouterOS lze najít na…
L-Core 16.06.2013 08:13
L-Core
Up. Co to USB? Díky. nový
L-Core 19.06.2013 11:57
L-Core
Zatim jsem nemel cas si s tim hrat. Vyzkousim na tom rozjet nejakou tiskarnu, ale musis vydrzet. nový
Jan Fiala 19.06.2013 18:11
Jan Fiala
Dobry den, mohl by jste prosim napsat oznaceni tohoto mikrotiku? jak to popisujete, tak to bychom po… nový
unifone 28.06.2014 15:48
unifone
Šlo by přidat i odstaveček na téma, proč zvolit Mikrotik a ne nějakou krabičku za podobné peníze (na… nový
Moas 18.06.2013 15:01
Moas
Vykon, skalovatelnost, profesionalne moznosti nastavovania a nemrznuci rezim. Mikrotiky fakt nemrznu… nový
fleg 18.06.2013 16:54
fleg
Zajímavé, asi půjdu do Mikrotiku, jakmile moje 1043 zhebne. Btw myslel jsem, že Mikrotiky stojí mini… nový
Moas 20.06.2013 11:21
Moas
Já jsem už 100% rozhodnut. Stoletá Barikáda poputuje do sklepa mezi podobné krámy. nový
L-Core 22.06.2013 10:03
L-Core
Mel jsem doma LynkSys, což je levnější produkce Cisca (2-pasmový). Ten jsem pak vyměnil za D-Link DI… nový
Jan Fiala 18.06.2013 19:34
Jan Fiala
Vy mate v praci SOHO zarizeni? A je to kombinace Router+Wifi, nebo alespon kazde zvlast? nový
JR_Ewing 24.06.2013 06:16
JR_Ewing
Je to jen sit pro jednacku + pro ty pohodlne, kteri nechteji strkat kabel do notebooku. Ale je na to… nový
Jan Fiala 24.06.2013 08:15
Jan Fiala
ahoj, mam rovnaky router a chcel by som sa spytat, na co je v interface liste ten bridge? Je to brid… nový
shiro 09.08.2014 17:47
shiro
Připojuji se k otázce "Shira" na co je tam položka "Bridge All LAN Ports", která se zatrhává v Quick… nový
Talisman 03.03.2015 14:29
Talisman
Hosi zapojte mozog kusok a pridete na to aj sami. Bridge je uz podla slova proste most, je to premos… nový
fleg 04.03.2015 09:48
fleg
a jak je to s DNS. Je možné udělat aby se mi při automatickém přidělování IP adres pro klienty nasta… nový
czmirage 20.08.2014 07:20
czmirage
DNS si samozrejme nastavujes pri nastavovani DHCP servera. nový
fleg 23.10.2014 14:24
fleg
Pokud je v dhcp přidělováno DNS = lan adresa mikrotiku (např. 192.168.88.1/24), pak mikrotik pracuje… nový
nickac 04.11.2015 17:08
nickac
no ja nevim, ale vidim zatrzeno auto negotiation a tak neni duvod zatrhavat 1Gbit, nebo ano? :o nový
Hujer1 14.01.2015 08:53
Hujer1
partnerem routeru je na druhém konci kabelu čínský ovladač síťovky nebo nasu. pokud si chceš být jis… nový
lední brtník 25.05.2015 22:24
lední brtník
Zde je na místě poděkovat panu J. F. za dobře odvedenou práci. Jen tak dále. Děkuji. nový
wifi5ghz 13.05.2016 10:19
wifi5ghz
Zdravim, potreboval by som radu od ludi, co sa vyznaju. :-) Kupil som Mikrotik RB951G-2HnD. Ked som… nový
Tono 19.05.2016 13:11
Tono
Winbox komunikuje na L2 vrstve, takze sa pozri, ci ti ho najde ako suseda. Potom sa pripoje cez jeho… nový
fleg 01.06.2016 16:59
fleg
Dobrý den, trošku v nastavení tápám (ano, jsem lama, ale chci s tím bojovat), a proto bych se chtěl… nový
Mára86 22.06.2016 13:10
Mára86
Odpovím si sám, ano funguje to. Mára nový
Mára86 29.06.2016 08:22
Mára86
Zdravim vsechny a prosim o radu, kde je u tohoto modemu polozka s moznosti nastavim vykon pro wifi.… nový
Pokaimu 15.07.2016 14:17
Pokaimu
Nie je to modem a vykon si mozes regulovat v polozke wireless bud nastavenim utlmu anteny (antenna g… nový
fleg 22.08.2016 07:47
fleg
Kúpil som si z alzy - Mikrotik RB951G-2HnD - a potrebujem pomoc. Tento návod je zrejme super pre ver… poslední
Michal123456 22.12.2017 12:31
Michal123456

Jo, to je on, mého srdce šampión. Za +/- 1500 korun.
Vyčerpávající dokumentaci RouterOS lze najít na Wiki

-------
USB port na routeru pro disk, tiskárnu.

Je nastavitelný z routeru? Tedy: lze určit, ve kterých sítích, na kterých PC bude sdílený disk přístupný?

Šlo by přidat i odstaveček na téma, proč zvolit Mikrotik a ne nějakou krabičku za podobné peníze (např. oblíbený TPLINK 1043ND)? Něco pro běžného uživatele, aby pochopil, v čem tkví přínos Mikrotiku, proč o něm uvažovat...

Zajímavé, asi půjdu do Mikrotiku, jakmile moje 1043 zhebne.
Btw myslel jsem, že Mikrotiky stojí minimálně 3-4 tisíce, ale ten JaFiho za 1600 nevypadá vůbec jako špatná koupě. Snad ho někde neošulili na kvalitě součástek atp.

Mel jsem doma LynkSys, což je levnější produkce Cisca (2-pasmový). Ten jsem pak vyměnil za D-Link DIR-852 (taky dvoupasmovy), protoze ten LinkSys s integrovanymi antenami nezvladal pokryt to, co jsem potreboval.
Oba jsou z vyssi cenove hranice nez popisovany Mikrotik.
D-Link obcas mrznul, v posledni dobe zacaly problemy s IP telefonem, ktery se nedostal na ustrednu. Na chvili vzdy pomohl reset do firemniho nastaveni.

Tento Microtic i s integrovanymi antenami ma lepsi pokryti nez ten D-Link. Od te doby, co jsem ho nastavil o nem nevim. Jak psal Fleg, je to zarizeni, ktere zvlada provoz spousty klientu soucasne, na domaci pouziti je hrube predimenzovany.

V praci mame uz nekolikaty router, vcetne TP-Linku. Zadny delsi dobu nezvladne provoz vice klientu (do 20). Vzdy po nekolika dnech je nutny reset.

ahoj, mam rovnaky router a chcel by som sa spytat, na co je v interface liste ten bridge? Je to bridge medzi cim? je tam potrebny? Ked ho vypnem tak mi spadne internet a aj na mikrotik samotny sa dostanem winboxom len cez jeho MAC adresu, pretoze sa nehlasi pod svojou IP.

V predchadzajucom RB750 som ziadny bridge nemal, tak ma to matie.

Připojuji se k otázce "Shira" na co je tam položka "Bridge All LAN Ports", která se zatrhává v Quick Set v Local Network společně s DHCP Server... Pokud tuto položku nezatrhnu nemám dostupný internet na LAN portech ani Wi-Fi?

Hosi zapojte mozog kusok a pridete na to aj sami.
Bridge je uz podla slova proste most, je to premostenie viacerych fyzickych rozhrani. Pre jednoduchost (a asi kvoli amikom), zacal Mikrotik bridgovat vsetky porty do jedneho okrem gateway uz v defaulte a to z dovodu jednoduchsieho ovladania. Pri bridgi si zapnete jeden dhcp server (pre rozhranie bridge), vytvorite si jedno pravidlo na fw (opat rozhranie bridge) a pod. Nemusite so ovladat kazdy port samostatne, pretoze je to malokedy potrebne, hlavne na doma.
Samozrejme ak vypnete bridge vsetky rozhrania sa vam opat osamostatnia, cize prestane vam fungovat dhcp server (je nastaveny na bridge) a pod.

a jak je to s DNS. Je možné udělat aby se mi při automatickém přidělování IP adres pro klienty nastavoval DNS server poskytovatele a né DNS co se vystaví v mikrotiku? Zdá se mi, že mě to doma zlobí. Že se mi nějaké stránky nezobrazí na první, ale musím dát reload v prohlížeči, aby mě stránka naskočila

Pokud je v dhcp přidělováno DNS = lan adresa mikrotiku (např. 192.168.88.1/24), pak mikrotik pracuje jako DNS cache. Tedy zodpoví rychleji dotazy které zná, to co nezná se dotazuje DNS srveru poskytovatele:
1) V položce IP>DNS tedy nastavíte dns poskytovatele + vám tam mohou naskočit i dynamicky, pokud máte na WAN dhcp klient.
2) Zatrhnete Allow remote requst (jen pak DNS mikrotiku na dotaz odpoví).
3) Teď už to resolví, ale je nutno zabezpečit.
přes terminál vlep toto níže uvedené, když předtím nahradíš WAN svým názvem wan portu:
/ip firewall filter
add action=drop chain=input in-interface=WAN disabled=no dst-port=53 protocol=udp
add action=drop chain=input in-interface=WAN disabled=no dst-port=53 protocol=tcp

To zabezpečení je nutné, jinak byste se nevědomky mohli stát zdrojem DDOS útoku.

*************************
Proti pokusům o proniknutí na služby (porty 21-23) na vašem mikrotiku lze využít toto:

# ftp, ssh, telnet princip: při přístupu na sledovaný port se src IP uloží do 1.listu, timeout IP v něm je 1m. Pokud přijde nová konekce a src IP je v 1. listu, založí se do adress-listu 2. atd. Vytváří se ještě 3. list s uptime 1m. # Pokud tedy během celkem 3 minut se 3x vytvořila nová konekce na sledované porty, tak se IP hodí do konečného black listu 30, který má uptime už 30 dnů a z něho se vytváří drop.

/ip firewall filter
add chain=input protocol=tcp dst-port=21-23 src-address-list=in_blacklist30 \
action=drop \
comment="dropuje dle adress-listu in_blacklist30 porty 21-23" disabled=no

add chain=input protocol=tcp dst-port=21-23 connection-state=new src-address-list=in_blacklist3 \
action=add-src-to-address-list address-list=in_blacklist30 address-list-timeout=30d disabled=no \
comment="port 21-23 => black list 30 z listu 3, timeout 30 dní"

add chain=input protocol=tcp dst-port=21-23 connection-state=new src-address-list=in_blacklist2 \
action=add-src-to-address-list address-list=in_blacklist3 address-list-timeout=1m disabled=no \
comment="port 21-23 => black list 3 z listu 2, timeout 1 min"

add chain=input protocol=tcp dst-port=21-23 connection-state=new src-address-list=in_blacklist1 \
action=add-src-to-address-list address-list=in_blacklist2 address-list-timeout=1m disabled=no \
comment="port 21-23 => black list 2 z listu 1, timeout 1 min"

add chain=input protocol=tcp dst-port=21-23 connection-state=new \
action=add-src-to-address-list address-list="in_blacklist1" address-list-timeout=1m disabled=no \
comment="port 21-23 => black list 1, timeout 1 min"

Jo TIK je skvělá krabička...

Zdravim,

potreboval by som radu od ludi, co sa vyznaju. :-) Kupil som Mikrotik RB951G-2HnD. Ked som ho zapojil, tak sa nan neviem dostat cez IP adresu 192.168.88.1. DHCP mam podla navodu zapnute a aj automaticke ziskavanie IP adresy na sietovej karte.

ping na 192.168.88.1 neprejde. Pochopitelne, ani WinBox ci prehliadac sa nevie na router pripojit. Zaroven vsak funguje pripojenie na internet - internetovy kabel do WAN portu (c.1), pocitac do LAN portu (c.2)

Viete mi poradit, co pozriet/nastavit, aby som sa dostal do nastaveni routera?

Zial, nestihol ho hned odskusat, takze mi uplynula doba na vratenie tovaru. Namiesto zdlhavej reklamacie by som teda uprednostnil pokus o najdenie chyby, najma ked je celkom mozne, ze robim nieco zle.

Dakujem za rady a odpovede.

Dobrý den,
trošku v nastavení tápám (ano, jsem lama, ale chci s tím bojovat), a proto bych se chtěl zeptat, zda to chápu správně, že na straně:
WAN: budou informace od poskytovatele internetu, tedy IP: 193.165.xx.xxx/30, výchozí brána - gateway: 193.165.xx.xxx a hodnoty k upřednostňovaný a alternativní DNS server.
LAN vnitřní sítě:
je to jedno, nastavuji si sám. Tedy vezmu přesný vzor z článku LAN IP 192.168.1.1/24, DHCP server ano, DHCP Range 192.168.1.100-192.168.1.200, NAT ano.

A po tomto nastavení by to mělo už fungovat? Nemusím nic dalšího měnit na síťové kartě apod?
Děkuji.
Marek

Kúpil som si z alzy - Mikrotik RB951G-2HnD - a potrebujem pomoc. Tento návod je zrejme super pre verziu v ktorej bol písaný, ale pomohol mi aj tak - volako som to nastavil. Ibaže zle. :D
Tu je foto čo sa mi zobrazí po reštarte - defaultné prvé pripojenie LANkom - PC - router - internet --- pričom prvý port som dal vstup internetu druhý lan kábel k PC a zapojil - naťukal IP do chromu a zobrazilo mi: https://ibb.co/i3tL4m - vpravo hore by som mal asi zmeniť to čo predvolilo v ponuke.. či?

Moc krát ďakujem za rýchlu pomoc.

Zpět na články Přidat komentář k článku Nahoru