Как правильно настроить роутер Mikrotik [Полный гайд]
Многие владельцы роутеров не задумываются о важности в правильной и грамотной настройке оборудования. Зачастую, после покупки шайтан-машины, люди просто втыкают кабель от провайдера, устанавливают пароль на Wi-Fi и оставляют роутер пылиться на тумбочке на долгие годы.
Вы спросите — А что здесь такого? Все же работает, зачем заморачиваться с настройками?
Для большинства людей которые обращаются с компьютерной техникой на ВЫ, ответ будет очевиден — Вы правы, пока работает — лучше не трогать, но для людей которые переживают за свою безопасность такой расклад совершенно не удовлетворяет. В данной статье будет описан подробный и правильный способ (по моему мнению и опыту) настройки большинства роутеров фирмы Mikrotik (в особенности hAP Lite).
Краткий путеводитель:
-> #1 — Как подключиться к роутеру
-> #2 — Быстрая настройка
-> #3 — Доведение роутера до ума
—> #3.1 — Обновляем роутер
—> #3.2 — Создаем нового администратора
—> #3.3 — Ограничиваем доступ к роутеру
-> #4 — Подведение итогов
Как подключиться к Mikrotik?
Сперва подготовим программу для будущего подключения к роутеру. Для этого перейдем на офф. сайт в раздел Загрузки / Downloads , нажмем на кнопку WinBox а затем на появившуюся версию приложения
Теперь, мы приступаем к подключении самого роутера к компьютеру/ноутбуку, для этого:
- В первый разъем (Internet 1 или Eth 1 либо просто крайний с лева) подключаем кабель от провайдера.
- Во второй разъем (LAN 1 либо просто следующий после крайнего с лева) подключаем наш компьютер/ноутбук.
- Включаем кабель питания
Поздравляю, с самым сложным мы справились (почти), остались сущие пустяки :)
Далее нам нужно зайти в настройки самого роутера. Как это сделать? Да просто. Помните, на начале мы скачивали и подготавливали программу для работы с роутером, так вот:
- Запускаем эту программу (WinBox.exe).
- У вас откроется программа в котором нам нужно перейти на вкладку Neighbors
- В открывшемся окне у нас в списке виднеется роутер (При условии, что вы правильно подключили роутер к компьютеру/ноутбуку), нам нужно будет два раза нажать на его МАС адрес (Как на показано на скриншоте)
- Как мы видим, вверху в поле
Connect to
у нас прописался МАС адрес роутера на который мы кликали. В полеLogin
должен быть прописан логин —Admin
, в полеPassword
—ничего
. И нажимаем Connect
Как настроить Mikrotik?
Перед нами открылись настройки роутера. С левой стороны — вы видите какие-то непонятные меню, с права — рабочее поле. Вы спросите — А что то за фигня такая?, помню, и я задавался подобным вопросом когда только начинал знакомство с Mikrotik’ами.
Для начала давайте перейдем в раздел Quick Set (Если оно вдруг не открылось изначально при входе), находится оно в левой панели в самом верху.
Сейчас многие специалисты перекрестятся, ибо, какой в баню Квик сэт, неет дружок, давай по нормальному. Спешу вас разочаровать, ведь накой черт лезть в дебри и настраивать каждый пункт по отдельности, если для стандартной и быстрой настройки на первом этапе хватает банального Quick Set.
Давайте разберемся, что, где, и куда.
WOW, сколько информации…Я понимаю, у вас много, ооочень много вопросов на которые я сейчас постараюсь вам ответить.
Начнем сверху вниз:
-> Wireless
Все что относится к Wi-Fi
- Network Name — Здесь вы можете задать название вашей точки доступа (Wi-Fi)
- Frequency — Устанавливается частота на которой будет работать точка доступа (Wi-Fi), для начала можно оставить в автоматическом режиме.
- Band — Набор диапазонов (B/G/N) на которых будет работать Wi-Fi, если у вас есть старые телефоны/ноутбуки которые не поддерживают новые диапазоны — то стоит поиграться с настройкой и выбрать подходящие диапазоны под вашу технику. По умолчанию можете ничего не менять, по крайней мере, в моей практике я еще не стыкался с нуждой выбрать другой диапазон.
- Country — Здесь нужно установить вашу страну, будьте внимательны, так как в разных странах свои разрешенные и запрещенные частоты, выбрав не правильную страну, можно получить за использование запрещенной частоты.
- MAC Address — Уникальный идентификатор устройства.
- WiFi Password — Пароль для вашей точки доступа (Wi-Fi) (Что бы задать его — просто кликните на это поле)
- Guest Network — Позволяет задать гостевую сеть (в дополнение к основной)
- Wireless Clients — Список устройств которые подключены к вашему Wi-Fi в данный момент
-> Internet
- Address Acquisition — Данный пункт подразумевает выбор типа подключения. Он может быть как:
- Static — Все настройки подключения вводятся вручную.
- Automatic — Автоматическое получение настроек.
- PPPoE — Для подключения используется логин и пароль предоставляющийся от провайдера.
Если у вас тип подключения Static
, тогда вам нужно будет вручную настроить:
- IP Address — Ваш айпи адрес
- Netmask — Ваша маска подсети
- Gateway — Ваш шлюз по умолчанию
Если у вас тип подключения Automatic
пункты 3-4 можете пропустить, провайдер сделает все за вас
- MAC Address — Уникальный идентификатор WAN порта (Internet 1) через который мы получаем интернет. Иногда провайдеры подвязывают подключение под конкретный MAC адрес, при смене которого нужно будет созваниваться с провайдером и просить перепрописать новый МАС адрес.
-> Local Network
Теперь начинается самое интересное, то, что специалисты
здесь не настраивают, а мы настроим. Ибо первоначально сделать это отсюда будет быстрее и незаморочливей.
- IP Adress — Шлюз по умолчанию в локальной сети. Будет правильно изменить её на какую-то другую, к примеру
10.10.30.1
. Можно конечно оставить как есть, но я считаю, раз уже настраиваем, то по правильному. - Netmask — Маску подсети можем оставить по умолчанию
/24
- DHCP Server Range — Пул айпи адресов которые роутер будет выдавать всем устройствам подключившимся к роутеру. Так как я задал Шлю по умолчанию в подсети
10.10.30.*
тогда и пул адресов задаю в этой же подсети10.10.30.100-10.10.30.200
. Этим я говорю, что к роутеру может подключиться лишь 100 клиентов одновременно и каждому будет выдаваться адрес по очереди10.10.30.100
,10.10.30.101
,10.10.30.102
…..10.10.30.200
P.S. VPN и System мы пока трогать не будем.
Давайте же посмотрим, что у нас получилось. Вот мой вариант настройки:
Не забываем в конце всех настроек нажать ОК или ничего не сохранится.
Поздравляю, роутер базово настроен и готов к работе. Но это еще не все, теперь нужно закрыть не нужный доступ извне, обновить роутер до последней версии, установить пароль админа и т. д.
Как защитить Mikrotik?
Благо с базовой настройкой мы разобрались, интернет у нас работает и теперь мы можем перейти к защите нашего роутера, что бы никто посторонний, не смог завладеть нашим роутером.
Обновляем до последней версии
Начнем с обновления роутера до последней версии. Для этого перейдем в соответствующий пункт меню System -> Packages
. В открывшемся меню нажимаем на Check For Updates
В появившемся окне выбираем Channel
в положение Current
или если такого пункта нет, то — Stable
и жмем Check For Updates
ЛИБО, если у вас ранее Mikrotik нашел последнее обновление, то меню будет выглядеть сразу таким образом, где нам нужно будет нажать кнопку Download&Install
:
После нажатия данной кнопки начнется скачивание и установка последней версии обновлений, после чего ваш роутер автоматически перезагрузится.
Устанавливаем пароль администратора
Для того, что бы установить/поменять пароль администратору нужно зайти в меню System -> Users
Мы не будем устанавливать пароль администратору по умолчанию admin
, так как это стандартный логин который знают все, что бы усложнить жизнь тем, кто попытается взломать наш роутер, мы создадим нового администратора и зададим ему пароль. А admin
— банально, удалим.
Для того, что бы создать нового администратора либо пользователя — нажимаем на [+]
В открывшемся окне задаем:
- Имя нового администратора — Пример:
MyName
- Выставляем полные права
full
- Устанавливаем сложный пароль
Отлично, пользователя создали. Очень важно не забыть удалить старого пользователя admin. Для этого кликаем один раз на пользователя и нажимаем на красный минус.
В итоге в списке пользователей у нас остается лишь новый администратор который мы создали ранее
Закрываем не нужные доступы
Не стоит забывать о том, что изначально на роутере открыты различные порты, а именно (21,22,23,8291,80
) через которые не только вы можете подключаться к нему, но и злоумышленники. Что бы закрыть доступ извне, или хотя бы жестко ограничить перейдем в пункт меню IP -> Services
Здесь мы можем видеть какие порты открыты, а какие нет. В нашем случае, думаю и в вашем здесь будет подобная картина.
Если вы не планируете подключаться к роутеру через ftp
, ssh
, telnet
или браузер, а будете использовать лишь WinBox (Что, кстати, правильно), тогда следуем следующим пунктам:
- Для начала отключим все не нужные сервисы. Для этого кликаем на не нужный и нажимаем красный крестик. (В моем случае, не нужные ftp, ssh, telnet, www.) Кстати сервисы API и API-SSL можете не отключать, хотя, они нам тоже не нужны.
- Так как мы будем использовать лишь подключение через Winbox нам нужно настроить сервис оставшийся сервис winbox, название как мы видим, говорит само за себя :) Два раза кликаем на сервис, открывается новое окно
Для начала давайте изменим порт на какой-то другой, ибо 8291
все знают и постоянно сканируют. Зададим к примеру — 33241
. Уверен никто не будет заморачиваться пытаться подключиться к вашему роутеру через не стандартный порт.
Затем, в разделе Available From кликаем на пустое поле и задаем IP-адрес с которого можно будет подключаться к вашему роутеру. Будьте внимательны, вводя свой IP-адрес, так как одна левая цифра и к роутеру вы уже фиг подключитесь.
Вводим сперва IP-адрес нашей подсети вместе с маской. В нашем случае — 10.10.30.0/24
P.S. Здесь же можно задать несколько IP-адресов, просто нажимая стрелочку вниз (Справа от поля в которое мы вводили адрес). Лично я задаю вторым полем рабочий IP-адрес, что бы можно было подключаться к роутеру с рабочего места.
И нажимаем OK
Если вы все сделали правильно, у вас предыдущем окне появятся наши прописанные адреса
Супер, с этим разобрались. Теперь никто из посторонних людей не сможет к вам подключиться и сделать плохо вашему роутеру.
ВАЖНО Если вы при настройке порта для WinBox указали по мимо локального IP-адреса, дополнительный. Не забудьте открыть для него полный доступ к роутеру, ибо не сделав этого, вы не сможете подключиться удаленно к роутеру.
Для этого заходим в меню IP -> Firewall и создаем новое правило:
В появившемся меню в первой вкладке General
изменяем параметр Chain
в положение Input.
Затем в Src.
Address прописываем IP адрес которому нужно разрешить подключение к роутеру. Так как я задавал IP-адрес (195.45.78.22
) я прописываю его здесь.
Теперь можно нажать ОК и передвинуть правило практически в самый вверх списка всех правил
Подводим итоги
Благодаря моей незамысловатой инструкции мы провели базовую и правильную настройку вашего роутера Mikrotik.
- Мы обновили его до последней версии. Это нужно было сделать первым делом, так как мы закрываем множество дыр в безопасности в предыдущих версиях ПО. Чем свежее версия прошивки, тем меньше вероятности, что вас взломают. Не забывайте поддерживать прошивку в актуальном состоянии своевременно обновляя её
- Мы удалили стандартного администратора и создали нового. Так как стандартный логин знают все, мы пошли на перекор судьбы и удалили его, тем самым лишив злоумышленников возможности использовать его для попыток проникновения.
- Мы закрыли не нужные порты и типы подключений к роутеру. Зачем держать на роутере открытые порты если ими все равно никто пользоваться не будет. Мы не только в наглую закрыли их, но еще и жестко прописал IP-адреса, через которые можно будет подключаться к роутеру.
Теперь, если постоянно следить за обновлениями прошивки и своевременно обновлять роутер — ни один мамин хацкер не сможет вас взломать. Он сломает все ноги об нашу стену защиты и уйдет с пустыми руками.