Мы достали из коробки сей чудо аппарат. Для доступа к устройству будем использовать фирменную утилиту WinBox. Остальное отключим за ненадобностью + что бы минимизировать число каналов, через которые можно взломать роутер.
Как раз завалялся RB751U-2HnD, на нем и будем проводить настройку. На самом деле модель для нас не важна в данном случае, ибо настройки идентичные на всех моделях (+\-).
Воткнули устройство в сеть, запустили winbox. Если мы подключаем компьютер напряму в роутер, по умолчанию его IP-адрес 192.168.88.1, но об этом стоит забыть, как правило хорошего тона. Наша сеть вряд ли будет в этом адресном пространстве в дальнейшем, поэтому новые устройства лучше искать через обнаружение устройств Mikrotik в сети. Для этого нажимаем на вкладку Neighbors, через некоторое время подгрузятся все доступные устройства в сети. Мы знаем модель нашего оборудования (если устройство в сети первое, проблем с выбором не будет) и стандартный IP- адрес. Нажимаем на MAC-адрес и подключаемся по MAC (если нажать на IP, подключение будет по IP, учитывая, что наша сеть скорее всего в другом адресном пространстве, к устройству мы не подключимся.
Далее нам предлагает принять или удалить стандартную конфигурацию. Принимаем ее(чтоб в дальнейшем было меньше работы по настройке), хотя в интернетиках пишут, что стоит лучше обнулить и настраивать с нуля. Но это лишние телодвижения и наше время. Нажимаем ОК и переходим к дальнейшей настройке.
Если кратко: скрипт настраивает Firewall, делает открытую сеть wifi, добавляет wan и lan листы, активирует dhcp клиент на первом порту роутера, остальные порты объединяет в lan и включает dhcp сервер для остальных портов кроме wan.
Можно долго расписывать RouterOS, но в данный момент у нас задача настроить интернет в корпоративной сети. Предположим у нас есть DHCP сервер в сети, в этом случае сразу заходим в IP – DHCP server и отключаем его на красный крестик, чтоб он не перебивал наш основной DHCP сервер (если же сеть голая и пока это единственное устройство, оставляем как есть, что бы наши компьютеры получали сетевые настройки).
Как правило для корпоративного сегмента (проще для бизнеса) провайдеры подают интернет 2 типов настройки: настройки выдают по DHCP и второе, что чаще всего, нам дают настройки (IP, mask, dns, gate), а мы уже вручную их настраиваем. Предположим второй способ наш, его и рассмотрим ниже.
Если провайдер дает нам настройки по DHCP, на первый порт адрес прилетит автоматически и все чудесным образом заработает (при условии что мы приняли стандартный конфиг и провод провайдера воткнули в 1 порт).
Провайдер дал нам настройки:
- IP адрес 45.12.126.46
- Маска подсети 255.255.255.252
- DNS 8.8.8.8
- DNS 2 8.8.4.4
- Шлюз 45.12.126.45
На самом деле все это делается за 2 мин и особых затруднений возникнуть не должно.
Провод провайдера воткнут в 1 порт, с 2 по 4 локальная сеть. Скриптом стандартной конфигурации они сразу поделены на листы интерфейсов WAN и LAN. Сейчас и далее мы будем пользоваться листами и списками при настройке оборудования, это очень упрощает настройку в дальнейшем.
Итак, нам необходимо настроить на нашем оборудование настройки, полученные от провайдера, быстренько пробежимся по пунктам.
IP-адрес.
Заходим в IP -> addresses. Мы видим назначенный по умолчанию адрес нашего bridge, это адрес нашего устройства в нашей сети по умолчанию. Меняем его на необходимый нам. Например, 192.168.0.1/24 (24 в данном случае – разрядность маски подсети, которая указывает на маску 255.255.255.0, соответствие маски разрядности можно посмотреть здесь).
Назначаем адрес нашему роутеру, далее назначаем адрес первому порту. Обращаем внимание на будущее, первый порт у нас написан курсивом, это означает, что в данный момент к этому порту не подключен провод. На заметку, курсив – порт не подключен. После ввода разрядности подсети, network заполняется автоматически.
Так же если под рукой нет таблицы масок подсетей (а вручную мало кто считает), можно через обратный слеш написать маску, которую выдали, она автоматически преобразуется в правильную после нажатия OK или Apply.
Далее настраиваем шлюз.
Переходим IP -> Routes, Gateway
Вводим адрес шлюза, полученный от провайдера. И нажимаем ОК. Обращаем внимание, порт 1 выделен синим цветом, значит порт в данный момент не подключен (unreachable говорит о том, что шлюз не доступен). Осталось дело за малым, DNS
Настройка DNS.
Переходим в IP -> DNS
Добавляем DNS выданные провайдером (или альтернативные DNS по необходимости. Жмем ОК и у нас появляется интернет.
На самом деле DNS нужен только роутеру, чтоб он мог скачать обновления или попинговать какой то адрес. Далее DNS — сервер будет настрое отдельно, потому что сеть будет доменная и DNS-сервер должен быть на контроллере домена.
Но это только начало.
Далее нам необходимо: отключить стандартного пользователя Admin, создать другого с правами админа, естественно с паролем. Отключить неиспользуемые сервисы (web-интерфейс, api и прочие), обновить прошивку и версию ядра до последней версии.
System -> Users
Добавляем нового пользователя с полными правами, задаем пароль, сохраняем. после этого на красный крестик отключаем учетную запись admin.
Можно конечно сменить пароль от учетной записи admin, не создавая новую, но так надежней. В случае бутфорса, если каким то чудом winbox повернулся опой в интернет и защита от бутфорса почему то не настроена — у неприятеля меньше шансов на успешнй бутфорс.
IP -> Services
Отключаем все открытые порты кроме winbox. На данном этапе мы ими все равно не пользуемся, при необзодимости всегда можно включить. Но любой открытый порт — заранее уязвимость (просто на всякий случай, вдруг у производителя прошивки что то пойдет не так и через этот порт кулл-хацкеры найдут уязвимость).
System -> Packages
Заходим и нажимаем на копку проверить обновления.
Далее нажимаем Download & Install. Загружается прошивка, Роутер перезагружается, логинимся снова.
После обновления прошивки необходимо обновить ядро.
System -> Routerboard
Видим заводское ядро, текущее ядро и новое. Жмем Upgrade, далее появляется красная надпись «Новая прошивка установлена, ребут для применения. System -> Reboot
Это необходимый минимум, что бы у нас появился интернет при условии, что у нас есть отдельный DHCP сервер и мы настроили на нем адрес шлюза – адрес нашего bridge, если отдельного DHCP сервера пока не настроено и роль DHCP сервера выполняет наш роутер (если отключили его в начале — стоит включить) – никаких дополнительных манипуляций не требуется.