Микротик логин пароль по умолчанию. Сброс настроек Mikrotik. Подключаем MikroTIk к интернету. Static Routes

Настроим клиента pptp на mikrotik. Все настройки, произведённые ниже, также можно применять к настройке клиента l2tp. Выберем меню PPP(1)→plus(2)→PPTP Client(3)→Dial Out(4)→заполним IP address сервера предоставленный провайдером в поле Connect To(5)→введем login(6) и password(6)→выставим галочку в Add default route(7). Нажмем OK для завершения данной настройки.

Перейдем к настройкам Firewall. Для этого зайдите IP(1)→Firewall(2)→Filter Rules(3)→здесь необходимо изменить правила где In. Interface стоит значение ether1(4)(5) на pptp-out1.

Выбираем необходимое привило и щелкаем два раза левой кнопкой мыши (1), провалившись в настройки во вкладке General(2) в поле In. Interface(3) выбираем pptp-out1.

Эту же процедур необходимо выполнить и для второго правила. После этого можно переходить к следующему разделу настройки.

Произведем настройку NAT Микротик rb951g 2hnd. Выберем меню IP(1)→Firewall(2)→NAT(3)→щелкнув два раза по правило mascaquerade(4)→установим в поле Out Interface(5) pptp-out1→применим настройки Apply(6).

На этом настройка завершена. Осталось проверить работоспособность.

В данной статье дано исчерпывающее пошаговое описание всех этапов при сбросе роутеров и точек доступа Mikrotik в настройки по умолчанию (заводские).

Для владельцев оборудования Mikrotik, особенно для тех, кто впервые с ним сталкивается, рано или поздно наступает необходимость возврата настроек устройства в их первоначальное состояние. Другими словами - нужно сбросить роутер или точку доступа в настройки по умолчанию. При условии программно-аппаратной целостности роутера это вернет его к заводской конфигурации.

Зачем нужен сброс Микротик к заводским настройкам?

Современные сетевые устройства включают в себя очень внушительный арсенал технологических решений и состоят из сложнейшей программно-аппаратной архитектуры. Эта сложность обеспечена высокотребовательными задачами, возлагаемыми на них. И чем сложнее механизм, тем он более подвержен сбоям и поломкам. Самый простейший способ решить определенный ряд проблем и вернуть нормальную работу точки доступа или роутера Микротик - это сбросить все его настройки, с целью вернуть его в исходное состояние, в котором его выпустил производитель.

Итак, в каких же случаях может понадобиться возврат роутера к первоначальным настройкам?

1. Если мы где-то в настройках зашли в тупик и ничего не остается кроме как сбросить текущую конфигурацию.
2. Если мы что-то настраивали, тестировали, и проще не возвращать всё пошагово назад, а достаточно вернуть роутер к исходному состоянию просто сбросом;
3. Если MikroTik не хочет прошиваться через веб-интерфейс или Winbox.
4. Если нам просто что-то не нравится в устройстве: как оно работает, как оно реагирует на наши настройки и т. д.

Итак. Сбрасываем Mikrotik в дефолт.

Сброс Микротик с помощью удаленного доступа

Через веб-интерфейс или Winbox

В случаях, когда имеется беспрепятственная возможность зайти в Wibox или веб-интерфейс Микротик, то для сброса настроек достаточно нажать кнопку «Reset configuration». Ее можно найти:

• В меню «Quck Set».
• В меню «System».

Аппаратный сброс настроек MikroTik

Если нет возможности зайти в интерфейс Микротик удаленно, через веб-интерфейс или Winbox, то можно сбросить настройки роутера или точки доступа так называемым аппаратным способом. Для этого нам понадобится физический доступ к устройству, проще говоря, нам нужно будет брать его в руки.

Чего нам при этом ожидать, как должно при этом себя вести устройство, и как оно себя вести не должно, подробно будет описано ниже.

Сброс Mikrotik кнопкой Reset

Большинство микротиковских роутеров и точек доступа оснащены специальной микро-кнопкой. Она может находиться как внутри корпуса, так и снаружи.

Внешней кнопкой Reset оснащены свитчи и роутеры MikroTik семейств hAP (RB941, RB951, RB952, RB962), mAP, hEX (RB750r2, RB750Gr2, RB750Gr3, RB960) RB260, CRS106 и некоторые другие модели - в основном, для установки в помещениях. Для сброса настроек нам потребуется просто нажать кнопку пальцем.

Кнопка сброса на hAP ac (RB962):

В случае внутреннего расположения кнопки для доступа к ней на корпусе обычно есть отверстие. В настольных моделях оно может располагаться на лицевой панели роутера или на задней.

Где расположена кнопка для сброса настроек на Mikrotik RB2011:

Где расположена кнопка для сброса настроек на RB951G:

В роутерах и точках доступа MikroTik, которые предназначены для установке на улице, отверстие для доступа к кнопке сброса обычно находится под крышкой, защищающей Lan-порт.

Сброс настроек на моделях семейства MikroTik SXT - расположение кнопки:

В моделях семейств Mikrotik Groove, Metal, wAP мы увидим примерно такое расположение кнопки сброса настроек :

Для того, чтобы нажать “спрятанную” кнопку и сбросить настройки к заводским, нам понадобится какой-нибудь тонкий инструмент:

• Шариковую ручку использовать не рекомендуется, т. к., шарик ручки будет скользить по кнопке и вы ее просто-напросто «обрисуете» чернилами.
• Карандаш использовать тоже нельзя, т. к. его грифель является проводником, и его частички могут попасть на токоведущие части платы, что приведет к замыканию и нанесет вред устройству.

Лучше всего подойдет зубочистка или отвертка.

Сброс Mikrotik с помощью замыкания контактов на плате

Помимо кнопки Reset, в большинстве Микротиков имеется на печатной плате отверстие диаметром с пару миллиметров, вокруг которого находятся две оголенные (незащищенные лаком) печатные площадки. Они предназначены для более «глубокого» сброса настроек. Данный вид сброса предполагает отсутствие загрузки конфигурации по умолчанию, после которого устройство не будет иметь IP-адреса, профиль его конфигурации будет пуст, и роутер будет готов к настройкам «с нуля». Пригодится это в тех случаях, если по каким-то причинам не срабатывает сброс кнопкой.

Для того, чтобы сбросить настройки замыканием контактов, чаще всего не нужно разбирать Микротик - на корпусе роутеров обычно имеется отверстие для доступа к месту сброса. К примеру, на моделях серий RB750, RB751, RB951 оно расположено между ножками:

Обычно этот способ сброса осуществляется отверткой с крестовидным жалом, но нередко бывают случаи, что отверстие текстолита платы меньше по диаметру контура этих самых оголенных печатных площадок и острие жала отвертки не позволяет замкнуть их. В таких случаях следует прибегнуть к применению другого металлического инструмента. Например, взять пинцет, или на худой конец смятый кусочек фольги либо скрученный петелькой отрезок паяльного припоя.

Примечательно, что при данном способе сброса, устройство издает не обычный одинарный либо двойной звуковой сигнал, а характерную переливную трель. Эта трель и «поет» нам о том, что полный аппаратный сброс прошел удачно.

Как сбросить Mikrotik: порядок действий

Раз уж нам понадобилось сбрасывать настройки, значит, на то есть причина. И одной из них может быть сомнение в корректной работе точки доступа или роутера Микротик. Поэтому во время процедуры сброса настроек следует обратить внимание на поведение устройства:

• загораются ли (или гаснут) нужные индикаторы,
• подается ли звуковой сигнал,
• отображается ли сетевая активность точки доступа или роутера, если они в это время подключены к сети или компьютеру и т. д.

Для сброса в заводские настройки необходимо следовать определенному порядку действий:

1. Если мы сбрасываем подключенное к сети устройство - можно заранее запустить терминальное окно с ping 192.168.88.1 - для того, чтобы увидеть, как после сброса устройство запингуется.
2. Роутер или точка доступа MikroTik должны быть выключены (обесточены) .
3. Нажимаем кнопку Reset и держим ее.
4. Не отпуская кнопку, подаем питание на MikroTik (вставляем кабель PoE или шнур блока питания в зависимости от модели). Убеждаемся, что засветился индикатор питания и, возможно еще какие-то другие индикаторы.
5. Ждем примерно 10-15 секунд до момента, когда один из индикаторов перестанет мигать и только после этого кнопку отпускаем.
6. Вслед за этим роутер издаст короткий звуковой сигнал , и это обозначает то, что прошла успешная процедура аппаратного самотестирования и теперь устройство приступает к следующему этапу загрузки.
7. Через 15-20 секунд, если роутер или точка доступа в этот момент подключены к компьютеру через сетевой кабель, то в области уведомлений операционной системы мы увидим момент переподключения устройства.
8. Спустя еще 20-25 секунд мы услышим снова звуковой сигнал , но уже двойной. Это говорит о том, что устройство прошло процедуру программного самотестирования. Операционная система RouterOS запустилась и загрузила заводскую настройку по умолчанию.
9. Через еще 10-15 секунд, если предварительно запустить терминальное окно с командой «ping 192.168.88.1» - мы увидим, что устройство запинговалось. Т. е. теперь мы удостоверились, что работает сетевой интерфейс MikroTik и роутер пингуется.

Однако, нередко случается так, что при казалось бы простейшей процедуре сброса, поведение устройства при этом не такое, как мы этого ожидаем, или попросту говоря - Микротик ведет себя неадекватно. Возможно, в этом случае, оно просто неисправно и нужно .

Видео сброса МикроТик к заводским настройкам

Из видео можно понять, как должны вести себя индикаторы, какой звук должен быть, сколько примерно времени занимает процедура сброса.

Сбрасываем настройки кнопкой на примере MikroTik SXT:

Сброс Микротика к заводской конфигурации с помощью отверстия на плате:

Таким образом, в роутерах, точках доступа, свитчах Mikrotik, с момента нажатия на кнопку сброса и до определения устройства в системе уходит не более минуты. После этого можно приступать к полноценной настройке.

Примечание.

По непонятным причинам, некоторые устройства Mikrotik не снабжены элементом звукового оповещения (спикером, бипером), и отслеживать порядок и правильность этапов сброса приходится по поведению органов индикации (светодиодов). Это в меньшей степени информативно, особенно если есть подозрение, что роутер неисправен.

Как подключиться к Микротик после сброса

Окончательно убедиться в том, что устройство готово к работе, можно запустив фирменную утилиту от Mikrotik WinBox и увидев во вкладке Neighbors нашу модель.

Если сброс производился кнопкой Rese t, то в этой вкладке мы должны увидеть сетевой адрес по умолчанию 192.168.88.1.

При первом включении Микротик нам будет предложен некоторый профиль по умолчанию, отказаться от которого можно нажав на кнопку "Remove configuration".

Если Микротик сбрасывался замыканием контактных площадок , то вместо сетевого адреса будут отображены четыре нуля 0.0.0.0 и профиля по умолчанию после подключения не предлагается.

Удачных вам «сбросов» и пусть устройства вас слушаются).

сайт

Решил открыть раздел на этом сайте со статьями по роутерам MikroTik. И начать я решил с инструкции по входу в настройки роутера MikroTik. Рассмотрим подробно, как войти в RouterOS (на которой работают эти сетевые устройства) по адресу 192.168.88.1, и разберемся с возможными проблемами. Когда не открывается страница по адресу 192.168.88.1 и не заходит в настройки маршрутизатора.

Многие обходят роутеры MikroTik стороной. По той причине, что у них очень сложный web-интерфейс, и их очень сложно настроить. Операционная система RouterOS, на которой работают эти роутеры, немного сложная и сильно загружена разными настройками. С одной стороны это плохо, так как простому пользователю, который не сильно разбирается в этих фишках, будет сложно найти и настроить какую-то функцию. Но с другой стороны, есть возможность очень тонко настроить свой MikroTik. К тому же, эти роутеры очень надежные и производительные. И цена на них хорошая.

Это первая моя инструкция по MikroTik, и первое мое знакомство с самим брендом и системой RouterOS в том числе. И я хочу сказать, что там нет ничего сложно. Все основные настройки можно задать на главной странице (настройка Wi-Fi, подключение к интернету, смена пароля web-интерфейса) . Все что нужно, это подключиться к роутеру MikroTik по Wi-Fi сети, или по сетевому кабелю, зайти на IP-адрес 192.168.88.1 через браузер, задать необходимые параметры и сохранить.

Как зайти на 192.168.88.1 в настройки роутера MikroTik?

Устройство, с которого мы будем открывать настройки, должно быть подключено к маршрутизатору. Можно подключится по Wi-Fi сети. По умолчанию сеть открыта, без пароля. Или с помощью сетевого кабеля. В комплекте с моим MikroTik hAP Lite TC сетевого кабеля в комплекте не было, и это очень плохо.

На компьютере, в свойствах подключения (через которое вы подключены к роутеру) нужно поставить автоматическое получение IP-адреса. По умолчанию, как правило, там стоит именно автоматическое получение всех адресов. Если web-интерфейс роутера не откроется, то нужно в первую очередь проверить именно эти параметры.

Чтобы открыть панель уравнения маршрутизатором MikroTik, нужно в браузере перейти по адресу http://192.168.88.1 . Подойдет любой браузер: Опера, Хром, Internet Explorer и т. д.

Вот так выглядит сам web-интерфейс RouterOS:

Как можно увидеть выше на скриншоте, на главной странице можно задать практически все необходимые параметры. Да, соглашусь, что если необходимо например сделать проброс портов, или еще что-то, то придется покопаться в настройках. Их там очень много 🙂

Почему не заходит на 192.168.88.1?

Самая популярная проблема – когда не удается открыть настройки по IP-адресу 192.168.88.1. Страница не открывается, или появляется ошибка, что "Не удается получить доступ к сайту", "Отобразить страницу" и т. д.

В таком случае, попробуйте следующие решения:

Надеюсь, вы смогли зайти в настройки своего маршрутизатора MikroTik. У меня не возникло вообще никаких проблема. Все даже проще, чем с другими маршрутизаторами более популярных компаний. Почему проще? Нет пароля по умолчанию на Wi-Fi сеть и на доступ к веб-интерфейсу. Зайти на RouterOS не сложно, а вот разобраться в ней... 🙂

В распоряжении имеется роутер RB751U, который в свою очередь подключен к провайдеру Interzet. В нашу задачу входит, стандартным образом настроить подключение к сети провайдера, локальную и беспроводную сети, правила firewall для безопасной работы в интернет, ну и освоить другие полезные фишки которые пригодятся нам в будущей работе.

Для лучшего понимания процесса настройки, кроме традиционных скриншотов интерфейса RouterOS через Winbox параллельно буду выкладывать CLI-команды, как если бы настройка производилась в терминале или по SSH.

Затем переходим на вкладку Advanced и выставляем значения как на рисунке.

На вкладке HT изменяем следующие параметры.

Нажимаем ОК. Затем переходим на вкладку Security Profiles и выбираем профиль default.

Выставляем режим и тип шифрования, задаем пароль. Нажимаем ОК.

Затем переходим на вкладку Interfaces и включаем интерфейс wlan1.

Для выполнения тех же операций через терминал, набираем следующие команды:

/interface wireless set wlan1 bridge-mode=enabled name=wlan1 disabled=no mode=ap-bridge band=2ghz-b/g/n channel-width=20/40mhz-ht-above ssid=Mikrotik wireless-protocol=802.11 frequency-mode=regulatory-domain country=russia wmm-support=enable distance=indoors periodic-calibration=enabled hw-protection-mode=rts-cts adaptive-noise-immunity=ap-and-client-mode ht-rxchains=0,1 ht-txchains=0,1 ht-guard-interval=long /interface wireless security-profiles set default mode=dynamic-keys authentication-types=wpa2-psk wpa2-pre-shared-key=12345678

На этом настройка wi-fi завершена.

5) Настройка безопасности доступа к маршрутизатору

Отключаем не нужные сервисы управления для доступа к устройству. Для этого переходим в меню IP\Services и последовательно отключаем их нажатием на крестик.

Так же зададим, фильтр подключений с определенного ip-адреса или сети задав его в поле «Available From».

В терминале порядок действий аналогичный: Выводим список сервисов, отключаем не нужные, разрешаем доступ к определенному сервису из сети 192.168.3.0/24

/ip service print /ip service disable 0,1,2,4,5,7 /ip service set www port=80 address=192.168.3.0/24 /ip service set ssh port=22 address=192.168.3.0/24

Отключаем поиск других устройств (соседей) по протоколам MNDP и CDP на внешних интерфейсах. На внутренних интерфейсах желательно так же отключить, но если нужен доступ к роутеру по mac-адресу, то оставляем локальный интерфейс. Для этого переходим в меню IP\Neighbors\Discovery Interfaces и отключаем все кроме внутренних интерфейсов LAN (ether2) или Bridge, нажатием на кнопку Disable.

/ip neighbor discovery print /ip neighbor discovery set 0,1,2,3,4,5 discover=no

Затем идем в меню Tools/MAC Server и на закладках Telnet Interfaces и WinBox Interfaces так же оставляем только внутренние интерфейсы и отключаем интерфейс «*all». Bridge оставляем, т.к. опять же перестает работать доступ по Winbox.

/tool mac-server disable 0,1,2,3,4,5,6 /tool mac-server mac-winbox disable 0,1,2,3,4,5

Поменяем имя и пароль учетной записи администратора в меню System\Users. В поле Group — зададим права доступа. Возможные варианты: full — полный административный доступ, read — просмотр информации о настройках и событиях и выполнение команд, не затрагивающих конфигурацию роутера, write — изменение настроек и политик за исключением настроек пользователей системы.

/user set supermicro password=12345678 group=full

6) Настройка фильтрации трафика, выхода в интернет

По умолчанию стандартный скрипт настраивает firewall таким образом, чтобы пропускать из локальной сети наружу любой трафик (mascarading), а снаружи только тот, который запрашивается локальными хостами (dnat), а также ping.

В самом начале создадим правило разрешающее прохождения трафика на маршрутизатор (цепочка: input) установленных (established) и связанных подключений (related).

/ip firewall filter add chain=input connection-state=established,related comment="accept established & related"

Add chain=input action=drop connection-state=invalid

Разрешим icmp, если необходимо:

/ip firewall filter add chain=input protocol=icmp comment="ping"

Следующим правилом разрешим подключаться к роутеру из нашей локальной сети или определенного узла в сети по Winbox, кроме подключений идущих из интернета, т.е. ether1:

/ip firewall filter add chain=input dst-port=8291 protocol=tcp action=accept src-address=192.168.3.0/24 in-interface=!ether1 comment="accept winbox from LAN: ether2 (not WAN: ether1)"

Затем, запрещаем любые другие входящие соединения из интернета на роутер.

/ip firewall filter add chain=input action=drop in-interface=ether1 comment="drop all from WAN"

/ip firewall filter add chain=forward connection-state=established,related comment="established forward & related"

Запретим инвалидный трафик, теперь уже для forward.

/ip firewall filter add chain=forward action=drop connection-state=invalid comment="drop forward"

Затем, если у нас имеются dnat правила проброса портов из интернет (вкладка NAT), то необходимо задать разрешение здесь. Например, что бы разрешить узлу 192.168.3.10 принимать подключения из интернета на 80-порт, добавим следующее правило:

/ip firewall filter add chain=forward dst-port=80 protocol=tcp action=accept dst-address=192.168.3.10 in-interface=ether1 comment="accept dnat for 192.168.3.10:80"

Что бы разрешить маскарадинг (SNAT), позволяющий выходить компьютерам локальной сети в интернет (SNAT) добавим следующее правило:

/ip firewall filter add chain=forward protocol=tcp action=accept src-address=192.168.3.0/24 out-interface=ether1 comment="accept snat"

И в конце добавим правило, запрещающее любые другие подключения.

/ip firewall filter add chain=forward action=drop comment="drop all forward"

В итоге, на выходе получим такую картинку:

Для настройки выхода в интернет / маскарадинга, воспользуемся вкладкой NAT. Например, что бы предоставить доступ в интернет двум компьютерам в сети с адресами: 192.168.3.10, 192.168.3.11, наберем следующую команду:

/ip firewall address-list add address=192.168.3.10/31 disabled=no list=lan-access

/ip firewall nat add action=masquerade chain=srcnat out-interface=ether1 list=lan-access

Здесь мы сначала добавляем узлы 192.168.3.10 и 192.168.3.11 в некий список «lan-access» предполагающий разрешение доступа, затем создаем само правило разрешающее этим двум ПК выход в интернет.

Если необходимо выполнить проброс портов из интернета на внутренний сервер/сервис в локальной сети (dnat) добавим следующее правило:

/ip firewall nat add chain=dst-nat in-interface=ether1 protocol=tcp dst-port=80 action=dnat to-addresses=192.168.3.10 to-ports=80 comment="web" disabled=no

Если необходимо жестко задать IP-адрес с которого можно подключаться, то укажем его в поле Dst.Address. Не забываем, так же, что проброс портов не будет работать пока мы не разрешим это в правилах фильтрации, на вкладке Filter Rules.

7) Подключение и настройка usb-модема Yota 4G

Беспроводное подключение через модем Yota у нас будет в качестве резервного канала на случай выхода из строя основного провайдера.

Вставляем модем в usb-порт роутера. В списке интерфейсов должен появится новый интерфейс lte1.

Теперь переходим в меню ip\dhcp-client и выберем в списке интерфейс lte1.

В поле Add Default Router если оставить yes , будет создан маршрут по умолчанию, который в свою очередь отключит маршрут по основному провайдеру, если он есть. Что бы этого не произошло, и маршрут Yota был прописан в качестве дополнительного мы в поле Default Route Distance можем выставить значение 2 и тогда маршрут примет вид отключенного и будет таковым до тех пор пока, не упадет основной маршрут у которого Distance — 1. Но такой маршрут в последствии нельзя будет редактировать (например, задать комментарий), поэтому пока в поле Add Default Router поставим no и создадим маршрут сами.

На вкладке Status, убедимся так же, что роутер получил все необходимые настройки от DHCP-сервера модема.

Переходим в меню IP\Routers. Создаем новый маршрут, в поле Gateway укажем адрес — 10.0.0.1. Distance — 2 и комментарий — gw2.

Нажимаем ОК. Получим примерно следующую картинку.

Здесь у меня первый маршрут (gw1), как раз таки приоритетный и рабочий, просто отключен и поэтому в статусе unreachable, а «ётовский» как раз активный.

Затем добавим два правила на firewall’е. Одно правило для маскарадинга (snat), другое запрещающее любой не разрешенный входящий трафик на интерфейсе lte1.

/ip firewall nat add action=masquerade chain=srcnat out-interface=lte1

/ip firewall filter add chain=input action=drop in-interface=lte1 comment="drop input yota"

7) Настройка SNTP-клиента.

Для отображения корректного времени на устройстве, необходимо настроить SNTP-клиент который в свою очередь будет получать точное время от внешних ntp-серверов. Для этого переходим в меню System\SMTP Client отмечаем галку Enable и вводим ip-адреса первичного и вторичного серверов времени. Нажимаем ОК для сохранения настроек. Для получения самих адресов воспользуемся командой nslookup, например на адрес ru.pool.ntp.org.

А вот для того что бы выставить корректный часовой пояс без ввода команд не обойтись. Для этого в терминале набираем:

/system clock set time-zone-name=Europe/Moscow

Кроме вышеперечисленной команды, добавим сами серверы времени:

/system ntp client set enabled=yes primary-ntp=188.134.70.129 secondary-ntp=46.8.40.31

Посмотреть время на устройстве:

/system clock print

8) Настройка IPTV

Для того что бы настроить IPTV на роутере микротик необходимо предварительно добавить модуль multicast. Для этого переходим на сайт производителя. Выбираем серию устройств для которой будет скачивать пакет. В данном случае это mipsbe… RB700 series . Выбираем All package и скачиваем файл all_packages-mipsbe-x.xx.zip к себе на компьютер. Убедимся, что версия пакета соответствует текущей версии RouterOS, иначе придется обновить и систему тоже. (см. ниже).

Открываем архив all_packages-mipsbe-x.xx.zip и извлекаем от туда фаил multicast-x.xx-mipsbe.npk. В Winbox переходим в меню Files и перетаскиваем мышкой наш файл в окно Files List. Дожидаемся окончания процесса загрузки. Перезагружаем роутер.

Проверяем что пакет multicast установлен в System\Packages.

Что в свою очередь активирует новое дополнительное меню IGMP Proxy в разделе Routing. Открываем Settings и ставим галочку Quick Leave, что по идее должно увеличить скорость переключения каналов, нажимаем Apply для сохранения настроек.

/routing igmp-proxy set query-interval=1s query-response-interval=1s quick-leave=yes

Затем нажимаем «+» и создаем два IGMP Proxy интерфейса, один для внешней сети, который будет принимать поток многоадресной рассылки от провайдера, один для внутренней сети за микротиком, куда трафик будет дальше поступать к устройствам локальной сети.

Создаем первый IGMP proxy интерфейс, который смотрит в сеть провайдера, в нашем случае это ether1 (WAN), в поле Alternative Subnets укажем сеть вещания IPTV (если известна), если нет то поставим 0.0.0.0/0. Отметим галочку напротив Upsteam.

/routing igmp-proxy interface add alternative-subnets=0.0.0.0/0 comment="" disabled=no interface=ether1 threshold=1 upstream=yes

Теперь добавим второй IGMP proxy интерфейс, к которому подключены устройства внутренней сети, компьютер или IPTV-приставка. Задаем внутренний локальный интерфейс, нажимаем ОК.

/routing igmp-proxy interface add comment="" disabled=no interface=bridge1 threshold=1 upstream=no

Следующим шагом, необходимо создать правило на файрволе, разрешающее входящий IGMP-трафик, иначе ничего работать не будет. Для этого, в меню IP – Firewall, на вкладке Filter Rules, добавляем запись: Chain – input; Protocol — igmp; Action – accept. Помещаем созданное правило в начало списка, перед запрещающими.

/ip firewall filter add chain=input action=accept protocol=igmp

Если, мы все правильно настроили, то на вкладке IGMP Proxy\MFC должны появиться динамические правила, а так же пакеты, идущие через них.

Для работы IPTV через wi-fi, нужно в свойствах беспроводного интерфейса wlan1 на вкладке Wireless выставить значение параметра Multicast Helper в Full.

/interface wireless set wlan1 multicast-helper=full

9) Обновление MikroTik RouterOS

Для выполнения процедуры обновления RouterOS скачиваем прошивку с официального сайта. Выбираем, для какой серии устройств будем скачивать пакет обновления. Нас интересует mipsbe… RB700 series . Выбираем Upgrade package. Скачиваем npk-фаил.

Затем, переходим в меню Files и перетаскиваем мышкой наш фаил в окно Files List. Дожидаемся окончания процесса загрузки, после чего, файл должен отобразится в окне Files List.

Затем, перегружаем роутер. После перезагрузки версия RouterOS будет обновлена.

Есть задача: настроить устройство на базе RouterOS в качестве замены SOHO роутера для дома или небольшого офиса. Это HOWTO, потому технических подробностей будет минимум, Next-Next-Next-Ok и вы получаете готовое к работе устройство, так что приступаем.

Подготовка

Все описанное тестировалось на RouterBOARD RB 951G-2HnD, но может служить инструкцией по конфигурации любого устройства на базе RouterOS 6.25 и выше. Для конфигурации устройства вам потребуется фирменная утилита winbox (для windows), либо mactelnet-client (для linux), конечно у RouterOS есть telnet/http/ssh, но пока про них забываем.

Подключаем ПК к пятому порту Mikrotik(вообще можно использовать любой, кроме первого), переворачиваем устройство и видим на наклейке со штрих-кодом диапазон mac адресов, последний относится к пятому порту, вводим его в окно подключения winbox, либо используем как аргумент mactelnet. Пользователь admin, пароль отсутсвует.

Добавление пользователя

Первым делом создаем нового пользователя и удаляем admin"а, да об этом все забывают.

Переходим: ➙➙[+] .
Name: логин ;
Group: full(полный доступ);
Password: пароль ;
Confirm Password: пароль еще раз .
Подтверждаем нажатием на .
В таблице с пользователями выделяем admin и нажимаем .

Консольная версия

Отключаемся и заходим на устройство под новым пользователем.

Настройка провайдера

Провайдер будет подключаться в первый порт RouterBOARD, остальные четыре и беспроводной интерфейс отданы под домашнюю подсеть 192.168.10.0/24, адрес роутера в домашней подсети: 192.168.10.1, клиентам сети будут раздаваться адреса из диапазона 192.168.10.100-192.168.10.200.

Способы соединения с провайдером бывают различные, и если на физическом уровне у нас Ethernet (даже если он идет от xDLS-модема), то в качестве сетевых протоколов может быть IPoE (Static или DHCP), PPPoE, L2TP, PPTP или их комбинации (вообще PPTP, L2TP без настроенного IP работать не смогут), в добавок ко всему может быть привязка по mac адресу. Постараюсь рассмотреть наиболее частые случаи.

Но для начала переименовываем интерфейс ether1 в eth1-wan, для удобства: ➙➙➙ .

Консольный вариант

Подключаем кабель провайдера в первый порт устройства.

Подмена mac-адреса

Не скажу, что все провайдеры используют привязку по mac, но встречаются такие довольно часто, особенно если используется IPoE для привязки IP и защиты от халявщиков.

Подмену можно совершить только через командный режим, так что нажимаем и вводим:
/interface ethernet set eth1-wan mac-address=00 :11 :22 :33 :44 :55

где 00:11:22:33:44:55 — mac зарезервированный у провайдера.

Автоматическое получение настроек средствами DHCP.

Наиболее простой вараиант: ➙➙[+]➙➙ .

Консольный вариант

Статическая настройка IP

Тоже простой вариант, но потребуется уточнить у провайдера следующие параметры (значение указаны в качестве примера):
IP (ip адрес): 192.0.2.10;
mask (маска): 255.255.255.0(или /24);
gateway (шлюз): 192.0.2.1;
DNS1: 192.0.2.2;
DNS2: 192.0.2.3.
Добавляем IP на интерфейс: ➙➙[+]➙➙ ;
Добавляем default route: ➙➙[+]➙➙ ;
Добавляем DNS: ➙➙➙ .

Консольный вариант

Настройка PPPoE

PPPoE — туннельный протокол для которого не требуется предварительная настройка IP. Конечно, у провайдера может быть пиринг с другими сетями или доступ в свою сеть без ограничения по скорости, которые работают вне PPPoE интерфейса и требуют добавления отдельного маршрута (DualAccess или Russian PPPoE в SOHO роутерах), но подобная конфигурация выходит за рамки HOWTO для начинающих.

Для конфигурации PPPoE потребуется узнать логин и пароль для подключения к сети (обычно выдаются при заключении договора).

Добавляем туннельный интерфейс: ➙[+]➙ .

На вкладке указываем имя интерфейса Name=tap1-wan и интерфейс провайдера Interface=eth1-wan .

На вкладке указываем логин и пароль для подключения, остальные опции по скриншотам.

Консольный вариант

Важно: Если вы используете PPPoE, то в дальнейшем используйте вместо eth1-wan интерфейс tap1-wan.

Настройка L2TP/PPTP

Вот мы и подошли к самому богатому на подводные камни способу подключения. Оба протокола настраиваются схожим образом, но требуют предварительной настройки IP (средствами DHCP, либо статически). Проблема mikrotik в том, что задав адрес сервера доменным именем, он распознает его в адрес один раз и будет использовать только данный адрес, если адрес поменяется (либо провайдер использует RoundRobin DNS и сервер будет перегружен), то велика вероятность остаться без интернета. Со стороны провайдера тоже могут быть забавные вещи, например DNS сервера доступные только из локальной сети, либо необходимость заранее прописать статический маршрут до сервера PPTP/L2TP, если вам посчастливилось стать клиентом желто-полосатого провайдера, можете смело скачивать и изучать соответствующую инструкцию . Вариант с DualAccess L2TP/PPTP тоже возможен.

Добавляем интерфейс PPTP/L2TP: ➙[+]➙ .
На вкладке указываем имя подключения: Name=tun1-wan .
На вкладке указываем сервер PPTP или L2TP, логин и пароль.

Консольный вариант

Важно: Если вы используете L2TP/PPTP, то в дальнейшем используйте вместо eth1-wan интерфейс tun1-wan.

А как-же Yota?

А просто. Если вам попался USB модем, то скорее всего он будет определяться как ethernet интерфейс в ➙ и достаточно забирать с него IP средствами DHCP. Но для первичной активации модем придется подключить к ПК. Не знаю со всеми моделями модемов так или мне попался неудачный, но без предварительной активации на ПК работать он отказывался.

Другие 3G/4G модемы

Если модем не определяется как сетевая карта, но Mikrotik его видит в ➙➙ , то потребуется создать PPP подключение для интерфейса usb1, в некоторых ситуациях устройство необходимо прежде перевести в режим модема AT командой(ищите на соответствующих форумах). В любом случае вариантов великое множество, один из них описан .

Подготовка интерфейсов для локальной сети

На данный момент интерфейсы ether2-ether5 и wlan1 работают независимо друг от друга, их необходимо объединить в единую среду передачи данных.

Ethernet интерфейсы можно объединить на аппаратном уровне, что повысит скорость передачи данных и снизит нагрузку на CPU (по сравнению с программным мостом). В качестве master port будет использоваться ether5, можно назначить любой, но если появится еще один провайдер, то логично будет подключить его во второй порт (и отключить на нем master port).

Переименовываем ether5 в eth5-lan: ➙➙➙ ;
Переименовываем ether2-ether4 и устанавливаем для них master port: ➙➙➙ .

Консольный вариант

Интересный момент. Средствами master port можно объединить интерфейсы принадлежащее одному чипсету, на старших моделях чипсетов может быть несколько (колонка switch), интерфейсы с разных чипсетов объединяются через программный Bridge, ну или пачкордом.

Теперь все локальные Ethernet интерфейсы объединены под именем eth5-lan.

Wireless интерфейс существует отдельно от Ethernet, для объединения потребуется прибегнуть к программному мосту (bridge).

Создаем интерфейс моста: ➙[+]➙➙ ;
Добавляем интерфейсы: ➙➙[+]➙➙
➙➙[+]➙➙

Консольный вариант

Теперь все локальные Ethernet и wlan интерфейсы объединены под именем br1-lan.

Безопасность беспроводной сети

Вещь муторная(точнее муторно ее описывать), но необходимая.

Добавляем профиль безопасности и указываем пароль для беспроводного подключения: ➙➙[+]

Name — название профиля;

WPA/WPA2 Pre-Shared Key — ключи для WPA/WPA2(пароль от wi-fi);

Остальное по скриншоту, в завершении .

Консольный вариант

Активируем и настраиваем беспроводной интерфейс: ➙➙ .

На вкладке :

Mode: ap bridge;

Band: 2gHz-B/G/N. Если ваши беспроводные девайсы выпущены несколько лет назад, то логичнее выбрать 2gHz-B/G. ;

Frequency: auto. В SOHO устройствах этот параметр называется Канал соответствие можно посмотреть по ссылке . Если не уверены что выбрать, оставляйте auto. ;

SSID: Название точки доступа;

Wireless Protocol: 802.11;

Securiity Profile: wpa2-protect. Профиль созданный на предыдущем шаге.;

Bridge Mode: enabled;

Default Authenticate: yes;

Default Forward: yes;

Hide SSID: no. Можно скрыть точку доступа. Но не стоит считать это панацеей. ;

Отключаем все.

Как закончили, нажимаем и пробуем подключиться (ip телефон не получит, но подключение должно установиться).

Консольный вариант

Настройка ip, dhcp-server

Добавляем ip на интерфейса br1-lan: ➙➙[+]➙➙

Консольный вариант

Создаем пул адресов для dhcp: ➙➙[+]➙ ➙

Консольный вариант

Включаем прослушку dhcp-запросов на интерфейсе br1-lan: ➙➙[+]➙➙

Теперь надо определиться какие параметры будут отдаваться по dhcp: ➙➙➙[+]

Address: 192.168.10.0/24;

Gateway: 192.168.10.1;

Netmask: 24;

DNS Servers: 192.168.10.1.

По окончанию .

На скриншоте в качестве NTP сервера указан адрес роутера, но в базовой поставке раздавать точное время Mikrotik не умеет, можно указать любой другой сервер из сети, либо добавить и настроить пакет ntp(описано в конце HOWTO).

Консольный вариант