Пример по настройке маршрутизатора MikroTik. Подходит для большинства моделей RouterBOARD от MikroTik.
Данный вариант настройки подойдет как для домашнего маршрутизатора так и для маршрутизатора установленного в небольшой фирме.
Маршрутизаторы MikroTik поставляются с операционной системой RouterOS.
Подключение:
в порт 1 подключаем нашего провайдера с адресом 1.2.3.4 маской 255.255.255.0 (/24) и шлюзом 1.2.3.254
в порт 2 подключаем компьютер в локальной сети или коммутатор. Адрес локальной сети 192.168.0.1 подсеть 255.255.255.0 (/24).
По умолчанию, конфигурация на маршрутизаторе настроена на подсеть 192.168.88.0/24. Открываем в веб-браузере адрес , скачиваем и сохраняем на компьютере, например на рабочем столе, Winbox.exe.
Запускаем Winbox, Напротив Connect to нажимаем кнопку "...", и спустя несколько секунд должен появится в списке ваш маршрутизатор
Два раза щелкаем мышкой по МАС адресу и подключаемся с именем admin без пароля.
При первом входе, система предупредит что был запущен автоматический скрипт настройки маршрутизатора. Нажимаем кнопку Remove Configuration.
После этого дожидаемся пока консоль Winbox закроется, и спустя несколько секунд опять запускаем Winbox (от туда куда вы её сохранили) и опять подключаемся по MAC адресу.
После подключения через Winbox запускаем (из левого меню, внизу) New Terminal, и уже через него вводим все команды.
Начинаем настройку. Присваиваем маршрутизатору имя (вместо IR01 можете указать свое, это ни на что не влияет):
/system identity set name=IR01
Переименовываем сетевые интерфейсы. первый, к которому подключен провайдер, называем wan. Для локальных сразу же указываем мастер-порт.
/interface ethernet
set 0 name=wan
set 1 master-port=none name=ether2-master-local
set 2 master-port=ether2-master-local name=ether3-slave-local
set 3 master-port=ether2-master-local name=ether4-slave-local
set 4 master-port=ether2-master-local name=ether5-slave-local
Настраиваем коммутатор для локальный портов. Немного пояснений: bridge-local это виртуальный порт, в который входят все локальные порты, и ему присваевается MAC адрес мастер-локального порта.
/interface bridge add name=bridge-local auto-mac=no protocol-mode=rstp admin-mac=[/interface ethernet get ether2-master-local mac-address]
/interface ethernet switch set 0 mirror-source=none mirror-target=none name=switch1
/interface bridge port add bridge=bridge-local interface=ether2-master-local
/interface bridge settings set use-ip-firewall=no use-ip-firewall-for-pppoe=no use-ip-firewall-for-vlan=no
Назначаем ip адреса:
/ip address
add address=192.168.0.1/24 disabled=no interface=bridge-local network=192.168.0.0
add address=1.2.3.4/24 disabled=no interface=wan network=1.2.3.0
Добавляем шлюз по умолчанию:
/ip route add dst-address=0.0.0.0/0 gateway=1.2.3.254 distance=2 comment="GATE"
Создаем пул-адрес и настраиваем DHCP сервер для локальной сети:
/ip pool add name=lan-dhcp ranges=192.168.0.20-192.168.0.199
/ip dhcp-server add address-pool=lan-dhcp interface=bridge-local name=default disabled=no
/ip dhcp-server network add address=192.168.0.0/24 dns-server=192.168.0.1 gateway=192.168.0.1
Настраиваем сервер разрешения имен (DNS). Адрес 8.8.8.8, как и 8.8.4.4, это общедоступные сервера. Вместо них можете использовать адрес DNS сервера предоставленный провайдером.
/ip dns set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip dns static add address=192.168.0.1 name=IR01
Приступаем к настройке файервола.
Создаем список адресов "inet". ip адреса входящие в этот список будут иметь выход в интернет. Я добавил в него диапазон адресов для всей локальной сети, следовательно доступ будет для всех.
/ip firewall address-list
add address=192.168.0.0/24 disabled=no list=inet
Создаем входящие правила. Разрешаем пинги маршрутизатора:
/ip firewall filter
add action=accept chain=input comment=icmp disabled=no protocol=icmp
Разрешаем уже установленные соединения:
add action=accept chain=input comment=established connection-state=established disabled=no
add action=accept chain=input comment=related connection-state=related disabled=no
Разрешаем доступ к маршрутизатору с любого адреса из локальной сети:
add action=accept chain=input comment=manage disabled=no in-interface=bridge-local
Все остальные входящие пакеты блокируем
add action=drop chain=input comment="all other drop" disabled=no in-interface=wan
Настраиваем фильтры для проходящих через маршрутизатора пакетов. Некорректные пакеты блокируем:
add action=drop chain=forward comment="Drop invalid connection packets" connection-state=invalid disabled=no
Разрешаем уже установленные соединения:
add action=accept chain=forward comment="Allow established connections" connection-state=established disabled=no
add action=accept chain=forward comment="Allow related connections" connection-state=related disabled=no
Разрешаем выход в интернет для адресов в группе "inet":
add action=accept chain=forward comment="Allow acess to internet" disabled=no in-interface=bridge-local out-interface=wan src-address-list=inet
Все остальные пакеты блокируем:
add action=drop chain=forward comment="All other drop" disabled=no
Разрешаем маскарадинг для пакетов из локальной сети:
/ip firewall nat add action=masquerade chain=srcnat out-interface=wan
Настраиваем время на маршрутизаторе, чтобы правильно в логах отображалось. Часовой пояс +5 (Уральское):
/system clock set time-zone-name=manual
/system clock manual set time-zone=+05:00
/system ntp client set enabled=yes mode=unicast primary-ntp=205.171.76.135
Настраиваем Wi-Fi. По умолчанию беспроводной интерфейс, если он есть, уже имеет некоторые настройки, поэтому мы лишь добавим необходимое.
Настраиваем профиль по умолчанию. Включаем WPA-PSK & WPA2-PSK. Пароль 41840268B2FC можете заменить на свой.
/interface wireless security-profiles
set 0 mode=dynamic-keys authentication-types=wpa-psk,wpa2-psk group-ciphers=aes-ccm unicast-ciphers=aes-ccm wpa-pre-shared-key=41840268B2FC wpa2-pre-shared-key=41840268B2FC
Включаем беспроводной интерфейс в режиме Точки доступа-Моста. SSID MyWiFi можете заменить на свой.
/interface wireless
set 0 ssid=MyWiFi bridge-mode=enabled name=wlan disabled=no wireless-protocol=any mode=ap-bridge
Добавляем беспроводной интерфейс в группу к локальным интерфейсам, чтобы общая сеть была:
/interface bridge port add bridge=bridge-local interface=wlan
Перезагружаем маршрутизатор
/system reboot
отвечаем Y и после перезагрузки у нас все должно работать.