Как правильно настроить роутер Mikrotik [Полный гайд]

Многие владельцы роутеров не задумываются о важности в правильной и грамотной настройке оборудования. Зачастую, после покупки шайтан-машины, люди просто втыкают кабель от провайдера, устанавливают пароль на Wi-Fi и оставляют роутер пылиться на тумбочке на долгие годы.

Вы спросите — А что здесь такого? Все же работает, зачем заморачиваться с настройками?

Для большинства людей которые обращаются с компьютерной техникой на ВЫ, ответ будет очевиден — Вы правы, пока работает — лучше не трогать, но для людей которые переживают за свою безопасность такой расклад совершенно не удовлетворяет. В данной статье будет описан подробный и правильный способ (по моему мнению и опыту) настройки большинства роутеров фирмы Mikrotik (в особенности hAP Lite).

Краткий путеводитель:

-> #1 — Как подключиться к роутеру
-> #2 — Быстрая настройка
-> #3 — Доведение роутера до ума
—> #3.1 — Обновляем роутер
—> #3.2 — Создаем нового администратора
—> #3.3 — Ограничиваем доступ к роутеру
-> #4  — Подведение итогов

Как подключиться к Mikrotik?

Сперва подготовим программу для будущего подключения к роутеру. Для этого перейдем на офф. сайт в раздел Загрузки / Downloads , нажмем на кнопку WinBox а затем на появившуюся версию приложения

Теперь, мы приступаем к подключении самого роутера к компьютеру/ноутбуку, для этого:

1. В первый разъем (Internet 1 или Eth 1 либо просто крайний с лева) подключаем кабель от провайдера.
2. Во второй разъем (LAN 1 либо просто следующий после крайнего с лева) подключаем наш компьютер/ноутбук.
3. Включаем кабель питания

Поздравляю, с самым сложным мы справились (почти), остались сущие пустяки :)

Далее нам нужно зайти в настройки самого роутера. Как это сделать? Да просто. Помните, на начале мы скачивали и подготавливали программу для работы с роутером, так вот:

1. Запускаем эту программу (WinBox.exe).
2. У вас откроется программа в котором нам нужно перейти на вкладку Neighbors

1. В открывшемся окне у нас в списке виднеется роутер (При условии, что вы правильно подключили роутер к компьютеру/ноутбуку), нам нужно будет два раза нажать на его МАС адрес (Как на показано на скриншоте)

1. Как мы видим, вверху в поле Connect to у нас прописался МАС адрес роутера на который мы кликали. В поле Login должен быть прописан логин — Admin, в поле Password — ничего. И нажимаем Connect

Как настроить Mikrotik?

Перед нами открылись настройки роутера. С левой стороны — вы видите какие-то непонятные меню, с права — рабочее поле. Вы спросите — А что то за фигня такая?, помню, и я задавался подобным вопросом когда только начинал знакомство с Mikrotik’ами.

Для начала давайте перейдем в раздел Quick Set (Если оно вдруг не открылось изначально при входе), находится оно в левой панели в самом верху.

Сейчас многие специалисты перекрестятся, ибо, какой в баню Квик сэт, неет дружок, давай по нормальному. Спешу вас разочаровать, ведь накой черт лезть в дебри и настраивать каждый пункт по отдельности, если для стандартной и быстрой настройки на первом этапе хватает банального Quick Set.

Давайте разберемся, что, где, и куда.

WOW, сколько информации…Я понимаю, у вас много, ооочень много вопросов на которые я сейчас постараюсь вам ответить.

Начнем сверху вниз:

-> Wireless Все что относится к Wi-Fi - Network Name — Здесь вы можете задать название вашей точки доступа (Wi-Fi) - Frequency — Устанавливается частота на которой будет работать точка доступа (Wi-Fi), для начала можно оставить в автоматическом режиме. - Band — Набор диапазонов (B/G/N) на которых будет работать Wi-Fi, если у вас есть старые телефоны/ноутбуки которые не поддерживают новые диапазоны — то стоит поиграться с настройкой и выбрать подходящие диапазоны под вашу технику. По умолчанию можете ничего не менять, по крайней мере, в моей практике я еще не стыкался с нуждой выбрать другой диапазон. - Country — Здесь нужно установить вашу страну, будьте внимательны, так как в разных странах свои разрешенные и запрещенные частоты, выбрав не правильную страну, можно получить за использование запрещенной частоты. - MAC Address — Уникальный идентификатор устройства. - WiFi Password — Пароль для вашей точки доступа (Wi-Fi) (Что бы задать его — просто кликните на это поле) - Guest Network — Позволяет задать гостевую сеть (в дополнение к основной) - Wireless Clients — Список устройств которые подключены к вашему Wi-Fi в данный момент

-> Internet

• Address Acquisition — Данный пункт подразумевает выбор типа подключения. Он может быть как:
• Static — Все настройки подключения вводятся вручную.
• Automatic — Автоматическое получение настроек.
• PPPoE — Для подключения используется логин и пароль предоставляющийся от провайдера.

Если у вас тип подключения Static, тогда вам нужно будет вручную настроить:

• IP Address — Ваш айпи адрес
• Netmask — Ваша маска подсети
• Gateway — Ваш шлюз по умолчанию

Если у вас тип подключения Automatic пункты 3-4 можете пропустить, провайдер сделает все за вас

• MAC Address — Уникальный идентификатор WAN порта (Internet 1) через который мы получаем интернет. Иногда провайдеры подвязывают подключение под конкретный MAC адрес, при смене которого нужно будет созваниваться с провайдером и просить перепрописать новый МАС адрес.

-> Local Network

Теперь начинается самое интересное, то, что специалисты здесь не настраивают, а мы настроим. Ибо первоначально сделать это отсюда будет быстрее и незаморочливей.

• IP Adress — Шлюз по умолчанию в локальной сети. Будет правильно изменить её на какую-то другую, к примеру 10.10.30.1. Можно конечно оставить как есть, но я считаю, раз уже настраиваем, то по правильному.
• Netmask — Маску подсети можем оставить по умолчанию /24
• DHCP Server Range — Пул айпи адресов которые роутер будет выдавать всем устройствам подключившимся к роутеру. Так как я задал Шлю по умолчанию в подсети 10.10.30.* тогда и пул адресов задаю в этой же подсети 10.10.30.100-10.10.30.200. Этим я говорю, что к роутеру может подключиться лишь 100 клиентов одновременно и каждому будет выдаваться адрес по очереди 10.10.30.100, 10.10.30.101, 10.10.30.102 ….. 10.10.30.200

P.S. VPN и System мы пока трогать не будем.

Давайте же посмотрим, что у нас получилось. Вот мой вариант настройки:

Не забываем в конце всех настроек нажать ОК или ничего не сохранится.

Поздравляю, роутер базово настроен и готов к работе. Но это еще не все, теперь нужно закрыть не нужный доступ извне, обновить роутер до последней версии, установить пароль админа и т. д.

Как защитить Mikrotik?

Благо с базовой настройкой мы разобрались, интернет у нас работает и теперь мы можем перейти к защите нашего роутера, что бы никто посторонний, не смог завладеть нашим роутером.

Обновляем до последней версии

Начнем с обновления роутера до последней версии. Для этого перейдем в соответствующий пункт меню System -> Packages. В открывшемся меню нажимаем на Check For Updates

В появившемся окне выбираем Channel в положение Current или если такого пункта нет, то — Stable и жмем Check For Updates

ЛИБО, если у вас ранее Mikrotik нашел последнее обновление, то меню будет выглядеть сразу таким образом, где нам нужно будет нажать кнопку Download&Install:

После нажатия данной кнопки начнется скачивание и установка последней версии обновлений, после чего ваш роутер автоматически перезагрузится.

Устанавливаем пароль администратора

Для того, что бы установить/поменять пароль администратору нужно зайти в меню System -> Users

Мы не будем устанавливать пароль администратору по умолчанию admin, так как это стандартный логин который знают все, что бы усложнить жизнь тем, кто попытается взломать наш роутер, мы создадим нового администратора и зададим ему пароль. А admin — банально, удалим.

Для того, что бы создать нового администратора либо пользователя — нажимаем на [+]

В открывшемся окне задаем:

1. Имя нового администратора — Пример: MyName
2. Выставляем полные права full
3. Устанавливаем сложный пароль

Отлично, пользователя создали. Очень важно не забыть удалить старого пользователя admin. Для этого кликаем один раз на пользователя и нажимаем на красный минус.

В итоге в списке пользователей у нас остается лишь новый администратор который мы создали ранее

Закрываем не нужные доступы

Не стоит забывать о том, что изначально на роутере открыты различные порты, а именно (21,22,23,8291,80) через которые не только вы можете подключаться к нему, но и злоумышленники. Что бы закрыть доступ извне, или хотя бы жестко ограничить перейдем в пункт меню IP -> Services

Здесь мы можем видеть какие порты открыты, а какие нет. В нашем случае, думаю и в вашем здесь будет подобная картина.

Если вы не планируете подключаться к роутеру через ftp, ssh, telnet или браузер, а будете использовать лишь WinBox (Что, кстати, правильно), тогда следуем следующим пунктам:

1. Для начала отключим все не нужные сервисы. Для этого кликаем на не нужный и нажимаем красный крестик. (В моем случае, не нужные ftp, ssh, telnet, www.) Кстати сервисы API и API-SSL можете не отключать, хотя, они нам тоже не нужны.

1. Так как мы будем использовать лишь подключение через Winbox нам нужно настроить сервис оставшийся сервис winbox, название как мы видим, говорит само за себя :) Два раза кликаем на сервис, открывается новое окно

Для начала давайте изменим порт на какой-то другой, ибо 8291 все знают и постоянно сканируют. Зададим к примеру — 33241. Уверен никто не будет заморачиваться пытаться подключиться к вашему роутеру через не стандартный порт.

Затем, в разделе Available From кликаем на пустое поле и задаем IP-адрес с которого можно будет подключаться к вашему роутеру. Будьте внимательны, вводя свой IP-адрес, так как одна левая цифра и к роутеру вы уже фиг подключитесь.

Вводим сперва IP-адрес нашей подсети вместе с маской. В нашем случае — 10.10.30.0/24

P.S. Здесь же можно задать несколько IP-адресов, просто нажимая стрелочку вниз (Справа от поля в которое мы вводили адрес). Лично я задаю вторым полем рабочий IP-адрес, что бы можно было подключаться к роутеру с рабочего места.

И нажимаем OK
Если вы все сделали правильно, у вас предыдущем окне появятся наши прописанные адреса

Супер, с этим разобрались. Теперь никто из посторонних людей не сможет к вам подключиться и сделать плохо вашему роутеру.

ВАЖНО Если вы при настройке порта для WinBox указали по мимо локального IP-адреса, дополнительный. Не забудьте открыть для него полный доступ к роутеру, ибо не сделав этого, вы не сможете подключиться удаленно к роутеру.

Для этого заходим в меню IP -> Firewall и создаем новое правило:

В появившемся меню в первой вкладке General изменяем параметр Chain в положение Input. Затем в Src. Address прописываем IP адрес которому нужно разрешить подключение к роутеру. Так как я задавал IP-адрес (195.45.78.22) я прописываю его здесь.

Теперь можно нажать ОК и передвинуть правило практически в самый вверх списка всех правил

Подводим итоги

Благодаря моей незамысловатой инструкции мы провели базовую и правильную настройку вашего роутера Mikrotik.

1. Мы обновили его до последней версии. Это нужно было сделать первым делом, так как мы закрываем множество дыр в безопасности в предыдущих версиях ПО. Чем свежее версия прошивки, тем меньше вероятности, что вас взломают. Не забывайте поддерживать прошивку в актуальном состоянии своевременно обновляя её
2. Мы удалили стандартного администратора и создали нового. Так как стандартный логин знают все, мы пошли на перекор судьбы и удалили его, тем самым лишив злоумышленников возможности использовать его для попыток проникновения.
3. Мы закрыли не нужные порты и типы подключений к роутеру. Зачем держать на роутере открытые порты если ими все равно никто пользоваться не будет. Мы не только в наглую закрыли их, но еще и жестко прописал IP-адреса, через которые можно будет подключаться к роутеру.

Теперь, если постоянно следить за обновлениями прошивки и своевременно обновлять роутер — ни один мамин хацкер не сможет вас взломать. Он сломает все ноги об нашу стену защиты и уйдет с пустыми руками.