Как поменять пароль на микротике


Настройка роутера Mikrotik на примере RB951Ui-2HnD

Оборудование Mikrotik пользуется заслуженной популярностью у профессиональных сетевых инженеров, благодаря редкому сочетанию богатой функциональности, стабильной работы и невысокой цены. Однако что хорошо инженеру, то рядовому пользователю - если не смерть, то боль и страдания как минимум. Mikrotik - оборудование от гиков для гиков, поэтому настраивать его значительно сложнее, чем продукты конкурентов. На этапе начальной настройки и "засыпается" большинство пользователей, решивших причаститься к Mikrotik.

Тем не менее, процесс хоть и нетривиален, но вполне осваиваем. Разберем небольшой пример на базе устройства Mikrotik RB951Ui-2HnD.

Подготовка

1. Для начала скачиваем WinBox - утилиту для управления устройствами Mikrotik. Работать с ней значительно удобнее, чем через web-интерфейс, установки она не требует. Берем отсюда: http://www.mikrotik.com/download

2. Включаем роутер, к 1-му порту подключаем кабель провайдера Интернет, компьютер - в любой другой.

3. Запускаем WinBox. В нижней секции во вкладке Neighbors, даже при отсутствии соединения с роутером по IP, его будет видно по MAC-адресу:

Логин по умолчанию - admin, пароля нет. Выбираем наше устройство и жмем Connect.

4. После входа в устройство, нам откроется окошко RouterOS Default Configuration. Удаляем конфигурацию по умолчанию, нажав на Remove Configuration:

Из админки нас выбросит, входим заново, как в п. 3.

Настройка сетевых интерфейсов в Mikrotik RB951Ui-2HnD

1. Открываем Interfaces, видим такую картину:

2. По умолчанию все проводные сетевые интерфейсы в Mikrotik называются etherN. Оперировать такими названиями неудобно, поэтому откроем интерфейс ether1, к которому у нас подключен кабель провайдера, и переименуем его в WAN. В принципе, делать это необязательно - название ни на что не влияет. Но зато сильно упрощает администрирование роутера в будущем.

3. Поочередно открываем интерфейсы ether2 - ether5, переименовываем их в LAN1 - LAN4. На интерфейсе LAN1 параметр Master Port оставляем в положении "none", а на интерфейсах LAN2 - LAN4 переключаем параметр Master Port в положение LAN1:

Расшифруем то, что было сделано: по умолчанию в роутерах Mikrotik порты не объединены в коммутатор, т.е. не умеют общаться друг с другом. За работу коммутатора отвечает специальный аппаратный чип коммутации, который позволяет разгрузить CPU устройства от коммутации пакетов между портами свитча. Однако работать он будет только в том случае, если будут назначены Master и Slave порты (что и было нами сделано).
Второй вариант создания свитча - программный - предусматривает объединение портов в Bridge. В этом случае коммутацией пакетов будет заниматься CPU, а скорость работы устройства будет существенно ниже максимально возможной, что особенно хорошо заметно на гигабитных портах.

4. Заодно включим беспроводной интерфейс. К его настройке мы вернемся позже:

5. Присваиваем ему более понятное название:

6. Создаем новый Bridge. Для этого открываем пункт меню Bridge и жмем +:

7. Присваеваем мосту название - LAN (т.к. внутри этого моста будут "ходить" пакеты по контуру нашей локальной сети):

8. Переходим во вкладку Ports, жмем на +, чтобы добавить порты в мост:

Из кластера портов LAN1 - LAN4 нам достаточно добавить в мост только LAN1, поскольку для LAN2 - LAN4 он уже является мастер-портом (см. п. 3 данного раздела). Соответственно, параметр Interface - LAN1, Bridge - LAN. Повторяем такое же действие для интерфейса WLAN:

9. Таким образом получаем следующий список портов внутри моста LAN:

Настройка параметров TCP/IP на Mikrotik

1. Присвоим роутеру IP-адрес. В нашем примере это будет 10.20.30.254 с маской 255.255.255.0 (или /24; вообще запись /24 эквивалентна записи /255.255.255.0, RouterOS понимает оба варианта. Подробности бесклассовой адресации можно выяснить здесь: https://ru.wikipedia.org/wiki/Бесклассовая_адресация). Для этого в меню IP -> Addresses добавим новый адрес и присвоим его интерфейсу LAN (ранее созданный мост):

2. Присвоим внешнему интерфейсу роутера IP-адрес. В данном примере мы рассматриваем сценарий, когда провайдер Интернет предоставляет нам прямой доступ в сеть с белым IP-адресом. Для этого снова жмем на + в меню IP -> Addresses, вводим выданный провайдером адрес и маску, а в качестве интерфейса выбираем WAN:

3. Наш список адресов принял следующий вид:

4. Указываем роутеру, какими DNS-серверами пользоваться ему самому через меню IP -> DNS:

5. Укажем шлюз провайдера Интернета. Для этого создадим в меню IP -> Routes новый маршрут, нажав +, присвоим параметр Dst. Address - 0.0.0.0/0, Gateway - выданный нам провайдером:

Настройка DHCP на Mikrotik

1. Пора настроить DHCP-сервер, который будет раздавать IP-адреса в локальной сети. Для этого открываем IP -> DHCP Server и нажимаем кнопку DHCP Setup:

2. Выбираем интерфейс, на котором будут раздаваться IP-адреса. В нашем случае - LAN (мы же хотим раздавать IP-адреса только внутри локальной сети?):

3. Вводим адрес сети и ее маску:

4. Вводим адрес шлюза сети, т.е. нашего роутера:

5. Вводим пул адресов, которые роутер будет раздавать подключенным к сети устройствам:

6. Вводим адреса DNS-серверов (на скриншоте - DNS-серверы Google):

7. Вводим срок, на который устройствам выдаются адреса (в формате ДД:ЧЧ:ММ):

8. И после очередного нажатия кнопки Next работа мастера настройки DHCP заканчивается:

Настройка NAT на Mikrotik

1. Настраиваем NAT. В меню IP -> Addresses во вкладке NAT жмем +. Во вкладке General параметр Chain ставим в положение scrnat, Out. Interface - в WAN:

2. Переходим во вкладку Action, и ставим параметр Action в положение masquerade:

Теперь у нас должен появиться доступ в Интернет:

Настройка Wi-Fi на Mikrotik

1. Теперь настроим Wi-Fi. Напомним, что в п. 4-5 раздела "Настройка сетевых интерфейсов в Mikrotik RB951Ui-2HnD", мы уже включили беспроводной интерфейс и присвоили ему новое название.
Теперь открываем меню Wireless, вкладку Security Profiles, а в ней - профиль default.
Отмечаем галочками:
Authentication Types - WPA2 PSK
Unicast Ciphers и Group Ciphers - aes ccm и tkip
В поле WPA2 Pre-Shared Key вводим желаемый пароль для беспроводной сети:

2. Теперь открываем интерфейс WLAN, переходим во вкладку Wireless, выбираем Mode - ap bridge, Band - 2GHz-B/G/N, вводим SSID - название беспроводной сети:

Если у вас есть под рукой компьютер с Wi-Fi, то после этого вы сможете увидеть на нем новую сеть:

Наводим марафет

1. Мы на финишной прямой. Настроим часовой пояс через System -> Clock, где снимем автоопределение часового пояса - Time Zone Autodetect, и выберем нужный часовой пояс (в нашем случае - Europe/Moscow):

2. Установим пароль администратора. Для этого зайдем в System -> Password, где и введем новый пароль:

3. И, наконец, отключим ненужные сервисы для доступа, дабы сделать наш Mikrotik менее уязвимым. Лишними можно считать все сервисы, кроме WinBox, но в данном случае следует исходить из вашей конкретной ситуации. Их список находится в IP -> Services. Нужные оставляем, ненужные выключаем крестиком:

На этом процесс базовой настройки можно считать завершенным! "Долго ли умеючи" (с).

Если вам нужна помощь в конфигурировании Mikrotik любой сложности, то на этот случай у нас есть сертифицированные специалисты, которые смогут помочь.
Также у нас можно приобрести любое современное устройство Mikrotik, а также заказать его монтаж и настройку "под ключ": http://treolink.ru/mikrotik

Настройка подключения на роутерах MikroTik

Эта статья поможет быстро настроить роутер MikroTik с помощью упрощенного меню QuickSet.

Роутеры MikroTik — это очень надежные и функциональные устройства. Раньше настройка роутера MikroTik была достаточно сложной задачей для обычного пользователя. Позже в роутерах появилось специальное меню QuickSet для простой и быстрой настройки. Поэтому Вы можете смело покупать для домашнего пользования Wi-Fi роутеры MikroTik и самостоятельно настраивать их.


Подключение роутера MikroTik

Кабель с интернетом подключаем в первый LAN порт роутера - это WAN порт, иногда он подписан как "Internet". Компьютер подключаем к роутеру по Wi-Fi или по кабелю в любой из оставшихся LAN портов.
Если Вы подключаете компьютер к роутеру с помощью сетевого кабеля, проверьте, чтобы в настройках сетевой карты компьютера было выбрано «Получить IP-адрес автоматически».

Настройка QuickSet

Чтобы зайти в QuickSet, откройте браузер и в адресной строке введите адрес 192.168.88.1.

После этого автоматически откроется меню QuickSet, в котором выполняется настройка роутера MikroTik.

Мы будем настраивать двухдиапазонный Wi-Fi роутер, который работает на 2,4 ГГц и 5 ГГц.
Первым делом в правом верхнем углу выберите режим работы Home AP Dual (домашняя точка доступа двухдиапазонная).
Если Ваш роутер работает только на частоте 2,4 ГГц, то выберите режим Home AP.

Настройка Wi-Fi точки доступа

В разделе Wireless указываем параметры Wi-Fi точки доступа:

  1. Network Name - введите название точки доступа для частоты 2,4 ГГц и 5 ГГц. Можно указать одинаковое название, но тогда при подключении будет сложно понять, какая из них на какой частоте работает.
  2. Frequency - рабочая частота точки. Можно оставить без изменений auto. В этом случае роутер самостоятельно выберет наименее зашумленную Wi-Fi частоту.
  3. Band - стандарты, в которых будет работать точка доступа. Для совместимости со старыми беспроводными устройствами выбираем 2GHz-B/G/N и 5GHz-A/N/AC.
  4. Country - выбор страны. Выбрать страну Russia.
  5. WiFi Password - придумайте и введите пароль для подключения к Wi-Fi точке доступа. Мы не рекомендуем использовать в качестве пароля: даты рождения, номер телефона, имя или фамилию, комбинации символов расположенных подряд на клавиатуре (такие как: 123456, 987654321, qweasd, zxcasd, qwerty, 000000 и иные аналогичные).

Настройка PPPoE

Мы предоставляем услугу доступа в интернет через PPPoE соединение.
В разделе Internet выполните следующие настройки:

  1. Address Acquisition - выберите PPPoE;
  2. PPPoE User - введите имя пользователя (логин или лицевой счёт) из договора на интернет;
  3. PPPoE Password - введите пароль из договора на интернет;
  4. MAC Address - ничего не менять, оставить как есть.

Настройка DHCP сервера и NAT

Чтобы роутер автоматически выдавал сетевые настройки компьютерам и Wi-Fi устройствам, а также разрешал доступ к интернету, необходимо в разделе Local Network настроить DHCP сервер и NAT:

  1. IP Address - IP адрес роутера. Оставьте без изменений;
  2. Netmask - укажите маску сети 255.255.255.0 (/24);
  3. DHCP Server - поставьте галочку, чтобы включить DHCP сервер;
  4. DHCP Server Range - диапазон IP адресов, которые будут выдаваться подключаемым устройствам. Оставьте без изменений;
  5. NAT - поставьте галочку, чтобы разрешить доступ в интернет подключаемым устройствам.
  6. UPnP - поставьте галочку (не обязательно), чтобы приложения, требующие проброски портов в интернет, могли это делать самостоятельно.

Установка пароля для входа в настройки MikroTik

Чтобы никто, кроме администратора (Вас) не смог войти в настройки роутера MikroTik и изменить их, необходимо установить пароль.

Для этого в разделе System в поле Password введите новый пароль и подтвердите его в поле Confirm Password.

ВАЖНО: Мы не рекомендуем использовать в качестве пароля: даты рождения, номер телефона, имя или фамилию, комбинации символов расположенных подряд на клавиатуре (такие как: 123456, 987654321, qweasd, zxcasd, qwerty, 000000 и иные аналогичные).

Применение настроек QuickSet

После введения настроек нажмите в правом нижем углу кнопку Apply Configuration, чтобы применить все настройки.

После применения настроек, чтобы войти в устройство, необходимо ввести логин и пароль. Логин по умолчанию admin.

Введите пароль и проверьте, чтобы в разделе Internet в полях DHCP Server и NAT стояли галочки, иначе доступ к интернету на компьютере не появится.

На этом настройка роутера MikroTik завершена.

Тонкая настройка роутеров Mikrotik.

Старт и схема подключения.

 

В этой статье рассмотрим начальную настройку роутера Mikrotik, как роутера для домашнего пользования. Прежде чем начинать настройку любого устройства, нам нужно представить, а лучше нарисовать общую схему нашей планируемой сети.

Наша схема будет выглядеть следующим образом:
1.В первом порту коммутатора будет вставлен кабель, который приходит от оператора связи. На операторском языке данный порт будет называться аплинком (англ. uplink), на языке клиента - это WAN-порт (англ. Wide Area Network - широкополосный доступ к сети).
2. Во втором порту у нас будет подключена TV-приставка, которая получает TV-поток через многоадресную рассылку от оператора (англ. multicast)
3. Третий и четвертый порты будут использоваться под рабочие станции
4. Беспроводной модуль (в терминологии Mikrotik - Wireless, в общепризнанной терминологии Wi-Fi) будет использоваться для подключения беспроводных устройств.

Подключение к устройству

Для настройки будем использовать программу WinBox, которая разработана специалистами Mikrotik для удобства настройки продуктов Mikrotik. Для настройки, так же, можно использовать Web-интерфейс, то есть настраивать устройство через браузер, а, так же, через командную строку, заходя на устройство через Telnet или его защищенную версию SSH.

Программу WinBox скачиваем о официального сайта Mikrotik: https://mikrotik.com/download В этом же разделе мы будем скачивать последнюю версию программного обеспечения (прошивку).

Подключаем роутер к нашей рабочей станции кабелем Ethernet. Поскольку маршрутизатор из коробки уже имеет какую-то первоначальную настройку, рекомендуется подключаться в любой порт, кроме первого. После загрузки, маршрутизатор отобразится во вкладке Neibhors в программе WinBox. Первоначальная настройка через WinBox хороша тем, что нам не обязательно знать какие IP-адреса прописаны на маршрутизаторе и будут ли они доступны с адресов, прописанных на нашей сетевой карте. WinBox позволяет использовать протоколы MAC-Telnet и MAC-Winbox. Подключение происходит не с IP-адреса на IP-адрес, а с MAC-адреса на MAC-адрес.

Нажимаем на MAC-адрес нашего маршрутизатора, он копируется в поле "Connect To", вводим Login и Password и нажимаем кнопку Connect.

По умолчанию у Mikrotik Login: admin, Password: `пустое поле`, то есть без пароля.

Если с роутером не производилось никаких действий по настройке, при первичном подключении через WinBox, он сообщит о неких уже произведенных на заводе предустановках. Не будем разбираться подходят они нам или нет и просто их сбрасываем.

Обновление RouterOS

Далее нам необходимо обновить программное обеспечение маршрутизатора. Заходим на https://mikrotik.com/download и видим, что огромное количество возможных загрузок операционной системы Router OS. Для того, что бы выбрать нужную, нам необходимо понять какая архитектура процессора используется в нашем настраиваемом устройстве. Ее тип можно увидеть в верхней части окна WinBox. В нашем случае это SMIPS. В нашем случае мы можем установить любую из трех веток RouterOS: Bugfix only, Current и Release candidate. Ветка Bugfix only используется там, где необходима максимальная стабильность программного обеспечения. Здесь нет новых "фишек" операционной системы. Здесь они появляется, в среднем, через полгода после появления в ветке Current. В данной ветке предложена самая последняя версия с новыми возможностями RouterOS, которая уже прошла тестирование, но тем не менее, в которой могут содержаться какие-либо ошибки. Вероятнее всего среднестатистический пользователь домашнего беспроводного роутера с ними просто не столкнется. В ветке Release candidate представлены самые последние разработки, которые еще проходят тестирование, которые постоянно дорабатываются в процессе тестирования. После того, как завершается тестирование, операционная система из ветки Release candidate перетекает в ветку Current, а когда из нее будут убраны все ошибки, перетекает в ветку Bugfix only. Для настройки нашего роутера возьмем ветку Current.

Далее мы видим, что можно скачать Main package и Extra packages. В Main package уже содержится набор пакетов операционной системы, который необходим среднестатистическому пользователю данного типа устройств, т.е. ничего лишнего. В Extra packages представлены все возможные пакеты, нужные из которых мы можем выбрать для использования.
Несколько слов о предназначении пакетов:
Для работы маршрутизатора необходим пакет system. В нем находится ядро операционной системы. Что бы у роутера работал беспроводной (Wireless, WiFi) модуль, нам необходим пакет wireless. Для работы нам потребуется пакет dhcp - для получения IP-адресов от оператора и назначения IP-адресов нашим домашним устройствам. Если мы подключаемся к инетнету через протоколы PPPoE, PPTP или L2TP, нам необходим пакет ppp. Если мы планируем смотреть IPTV, которое работает через многоадресную рассылку multicast, нам потребуется пакет multicast. Если в нашем устройстве есть LCD-экран, то для него нужен пакет lcd. Можно не выбирать пакеты, а установить сразу все. В случае с Extra packages не получится так, что какого-то пакета нам не хватает. Ненужные пакеты просто будут занимать память устройства. В дальнейшем, их можно отключить.

Обновление RouterOS происходит очень просто: т.к. у нашего устройства еще нет доступа в интернет, мы просто выделяем нужные пакеты и перетаскиваем их в окно WinBox (drag-and-drop). После того, как пакеты скопировались, мы перезагружаем устройство, нажав в разделе System кнопку Reboot. Процесс обновления занимает примерно одну минуту, после чего мы можем нажать кнопку Reconnect в WinBox. После каждого обновдения операционной системы, нам нужно обновить и BIOS устройства. Для этого заходим в System - Routerboard и нажимаем кнопку Upgrade. В данном окошке мы видим текущую версию BIOS (Current Firmware), версию, на котоую можем обновить (Upgrade Firmware) и версию, которая была установлена при производстве устройства (Factory Firmware). После обновления обязательно необходимо перезагрузить устройство: System - Reboot. В дальнейшем, когда устройство будет подключено к Internet, его можно обновлять зайдя в System - Packages и нажав в открывшемся окне кнопку Check For Updates. При необходимости, здесь можно выбрать ветку RouterOS: Bugfix only, Current и Release candidate.

Подключение к Internet

После обновления RouterOS мы можем приступить к ее настройке.

Прежде всего нам необходимо подключить устройство к интернету. Для этого нам важно знать какой тип подключения нам предлагает наш оператор связи. Если этой информации нет, необходимо выяснить это в технической поддержке Вашего оператора связи. У оператора связи ForceLine используется комбинация DHCP и PPPoE, т.е. необходимо настроить оба типа подключения.

Рассмотрим несколько возможных:

DHCP - когда мы все настройки от оператора получаем автоматически. Заходим в раздел IP - DHCP Client. Добавляем клиента, обязательно указав интерфейс (порт), в который подключен кабель, приходящий от оператора связи.
PPPoE - когда нам при подключении необходимо вводить логин и пароль, выданные оператором. Заходим в раздел PPP. Во вкладке Interface добавляем PPPoE Client. В открывшемся окне обязательно выбираем интерфейс подключения к интернету, вводим логин и пароль, а, так же, ставим галочку Use Peer DNS.

Безопасность

Прежде, чем перейти к дальнейшей настройке, необходимо защитить устройство от взлома злоумышленниками. Сначала зададим пароль для доступа к устройству. Для этого заходим в раздел System - Password и зададим новый пароль. Поле Old Password оставляем пустым, т.к. изначально пароля не было. Далее необходимо отключить службы, которые Вы не будете в дальнейшем использовать. Заходим в раздел IP - Services. В открывшемся окне отобразятся все службы, через которые возможен удаленный доступ к Вашему устройству. Если Вы не планируете подключаться к роутеру через WEB-интерфейс, используя браузер, отключите все службы, кроме winbox, если планируете, оставьте включенной службу www.

Настройка локальной сети

Что бы все наши устройства были в одной локальной сети, необходимо оставшиеся интерфейсы объединить в сетевой мост - это аналог функции коммутатора на маршрутизирующих устройствах.

Объединение интерфейсов в сетевой мост.
Заходим в раздел Brigde и добавляем новый сетевой мост, назовем его bridge1.
Далее во вкладке Ports добавляем в наш мост интерфейсы (порты), который принадлежат нашей локальной сети. Интерфейс wlan1 - это беспроводной (Wireless, WiFi) интерфейс. Интерфейсы ether2(3-5) - это ethernet интерфейсы. Цифра соответствует номеру порта. При добавлении в сетевой мост порта, в который подключена рабочая станция, с которой производится настройка, произойдет отключение WinBox от маршрутизатора. Связано это с тем, что у порта маршрутизатора, при добавлении в сетевой мост, изменится MAC-адрес на MAC-адрес сетевого моста и нам необходимо подключиться к новому MAC-адресу. Новый MAC-адрес мы увидим во вкладке Neibhors WinBox`а.

Назначение IP-адреса
Далее необходимо назначить IP-адрес марщрутизатору, который, так же, будет основным шлюзом для устройств локальной сети. Заходим в раздел IP - Adresses. Вводим IP-адрес. Для локальной сети будем использовать адресацию 192.168.20.0/24, где 192.168.20.1/24 - это IP-адрес маршрутизатора (основной шлюз), а адреса 192.168.20.2 - 192.168.20.254/24 будут использоваться остальными устройствам в локальной сети, подключаемыми к нашему маршрутизатору.
/24 указывает значение маски подсети, соответствующее значению 255.255.255.0, т.е. наша локальная сеть рассчитана на 254 IP-адреса. В поле Interface обязательно необходимо указать bridge1.

Настройка DHCP-сервера
После установки IP-адреса, настроим службу, которая будет присваивать IP-адреса устройствам, которые будут подключаться к маршрутизатору.
Заходим в раздел IP - DHCP Server. Нажимаем кнопку DHCP Setup, выбираем DHCP Server Interface: bridge1 и нажимаем кнопку Next. В следующем окне предлагается указать DHCP Address Space. Это выбранная сеть 192.168.20.0/24, оставляем ее без изменения и жмем Next, следующее окно нам предлагает указать основной шлюз, который будет назначаться подключаемым к роутеру устройствам. Это IP-адрес, который мы назначили маршрутизатору 192.168.20.1, далее предлагается указать диапазон IP-адресов, которые будут назначаться подключаемым устройствам: 192.168.20.2 - 192.168.20.254, далее указываются DNS-сервера, которые будут использовать подключаемые устройства. Если роутер еще не подключен к интернету, эти поля будут не активны. Если их не заполнять, то будут назначаться те сервера, которые будут назначены оператором связи роутеру, когда он подключится к интернету. Можно указать другие DNS-сервера, например 8.8.8.8 (Google). Важно знать: не запрещено ли Вашим оператором использование сторонних (отличных от назначаемых оператором) DNS-серверов. Далее предлагается выбрать время, на которое подключаемому устройству будет назначен IP-адрес. Рекомендуется изменить его на значение 1d 00:00:00, т.е. на одни сутки. При нажатии на кнопку Next, DHCP-сервер будет создан и готов к работе.

Настройка NAT
Чтобы подключаемые к маршрутизатору устройства могли получить доступ в интернет, необходимо настроить подмену IP-адресов с сетевых, на внешний, до которого есть доступ из интернета. Если данную подмену не настроить, то пакеты из локальной сети будут уходить, но вернуться уже не могут, поскольку Интернет "не знает" где находится Ваша локальная сеть с внутренними IP-адресами.
Для настройки заходим в раздел IP - Firewall, выбираем вкладку NAT. Настраиваем правила подмены по принципу: если пакету нужно уйти в интернет, т.е. исходящий интерфейс у него будет интерфейсом подключения к интернет - произвести подмену.
Важно отметить, что, если подключение к интернет происходит при помощи туннелей PPPoE, PPTP или L2TP, интерфейсом доступа в интернет у нас будет не порт (ether1), а созданный интерфейс ppp. Для того, что бы был доступ к локальной сети оператора, для оператора ForceLine это адреса 10.216.0.0/16, добавляем еще одно похожее правило, где исходящим интерфейсом у нас будет ether1, подключенный к сети оператора.

Настройка беспроводной сети
Для настройки беспроводной сети заходим в раздел Wireless, вкладка WiFi Interfaces. Если у нас роутер с поддержкой 5ГГц, мы увидим 2 интерфейса. Обычно wlan2 - это интерфейс беспроводной сети 5ГГц. Производим двойной клик по интерфейсу wlan1 для его настройки.
Справа в открывшемся окне нажимаем кнопку Advenced Mode, длч получения доступа к всему спектру настроек.
В вкладке Wireless выбираем:
1. Mode: ap bridge - режим точки доступа
2. Band: 2GHz-G/N - для возможности подключения устройств стандартов 802.11g и 802.11n. Если Ваши беспроводные устройства достаточно современные, можете выбрать 2GHz-only-N, что бы исключить возможность устройствам подключаться по устаревшему протоколу 802.11g.
* При настройке беспроводного модуля 5ГГц, выбирайте диапазон 5GHz-A/N/AC.
3. Channel Width - 20 MHz. Устанавливать значение 20/40 MHz не рекомендуется, в силу большого количества помех в данном диапазоне. Значения 5 и 10 MHz устанавливать нельзя, беспроводные устройства перестанут подключаться.
* При настройке беспроводного модуля 5ГГц, можно смело выбирать 20/40/80 MHz
4. Frequency: auto. В данном случае роутер выберет самый свободный канал. Если беспроводная связь у Вас работает некорректно: пропадает связь, работает очень медленно - можно установить вручную один из каналов из ниспадающего меню. Путем перебора найти тот канал, который обеспечит наиболее корректную работу беспроводной сети.
5. SSID - Здесь указывается имя беспроводной сети, которую Вы будете выбирать на подключаемом устройстве.
6. Wireless Protocol: 802.11 - это общемировой стандарт беспроводной связи.
7. WPS Mode: disabled. Данный метод аутентификации беспроводных клиентов небезопасен и легко взламывается злоумышленниками.
8. Frequency Mode: regulatory-domain
9. Contry: russia
Данные настройки используются для приведения мощности излучаемого сиглана беспроводным подулем в рамки закона определенной страны.
10. WMM Support: enabled
Во вкладке Advanced:
1. Diatance: indoors
2. Adaptive Noice Immunity: ap and client mode. Данная настройка активирует алгоритмы устойчивости беспроводной связи к помехам.

На этом закончим настройку беспроводного интерфейса и нажмем кнопку Ок.

Для установки пароля на беспроводную сеть переходим во вкладку Security Profiles. Двойным щелчком мыши открываем профиль default, устанавливаем Mode: dynamic keys. Authentifacation Types выбираем WPA2 PSK, устанавливаем галки напротив aes ccm в Unicast Ciphers и Group Ciphers. В поле WPA2 Pre-Shared Key вводим пароль, который будем использовать для подключения к нашей беспроводной сети.
По умолчанию беспроводной интерфейс выключен, его необходимо включить, выделив его и нажав на синюю галку.
На этом первоначальную настройку маршрутизатора Mikrotik можно считать законченной. Можно подключать устройтства как к проводной сети, так и беспроводной.
Важно отметить, что все подключаемые устройства должны быть настроены

Настройка MikroTik и RouterOS с нуля - +Альянс

Про настройку Микротика и RoutOS написано огромное количество статей. Информации в них достаточно для настройки устройства для дома. Другое дело. когда речь идет о сети офиса. Мы решили собрать серию статей, в которых опишем необходимый функционал и методику его настройки.

Здравствуйте!

В интернете можно найти много статей по настройке разных конфигураций устройств MikroTik на RouterOS, но мало кто упоминает о некоторых подводных камнях, которые могут случаться. В этой серии статей я хотел бы описать настройку роутера MikroTik с нуля с применением некоторых фич, и с учетом всех сюрпризов, с которыми можно столкнуться в разных сценариях использования.

Содержание:

  1. Начало работы. Установка доп. пакетов
  2. Первичная настройка
  3. Настройка локальной сети
  4. Настройка выхода в интернет
  • Настройка провайдеров
  • Настройка маркировки пакетов
  • Настройка Firewall и безопасности
  • Дополнительные настройки (VPN туннель) 

  • Для начала стоит определиться с конфигурацией сети и задачами:

    Сеть состоит из одного управляемого POE коммутатора, нескольких телефонов и компьютеров, интернет приходит от двух операторов, один из них за биллингом, подсеть биллинга, пару облачных решений, два контроллера домена, один находится в облаке, поэтому сразу видим несколько задач:

    • Научить Mikrotik работать с двумя операторами одновременно;
    • Сделать доступ к биллингу и подсети биллинга;
    • Сделать безопасную локальную сеть;
    • При работе двух операторов сделать так, чтобы не отвалились некоторые сервисы;
    • Подключить и настроить маршрутизацию между облачными сетями и наземными.

    Начало работы. Установка доп. пакетов

    Настройку начнем с самого начала, необходимо скачать утилиту Winbox с оф. сайта изготовителя, далее подключаем наше устройство к компьютеру и к любому порту роутера, в первый (или любой, на ваше усмотрение) порт втыкаем интернет.

    Перед настройкой необходимо понять нужно ли нам еще что-то кроме того функционала, который есть, к примеру NTP сервер, или DUDE сервер, если не нужен, то пропускам этот пункт и сразу переходим к настройке.

    Те, кому нужен дополнительный функционал заходим в WinBox и смотрим название нашего устройства, в нашем случае это RB750Gr3. 


    Заходим на официальный сайт, переходим в раздел " Software", скачиваем Netinstall.


    На сайте ищем нужное нам устройство и скачиваем к нему Extra packages.


    Распаковываем Netinstall, распаковываем в другую папку Extra packages, ставим такие настройки сетевой карты: ip адрес – 10.1.1.2, маска 255.255.255.0 (Эти данные по умолчанию рекомендуются производителем). 


    Далее запускаем программу Netinstall, нажимаем на Net booting, выставляем галочку напротив Boot server enabled, в Client Ip прописываем 10.1.1.4


    Далее идем к нашему роутеру, находим у него кнопку reset, обычно она утоплена в корпус, для этого нужно использовать скрепку или нечто похожее. Выключаем Mikrotik, вставляем кабель от компьютера в 1 порт, зажимаем кнопку reset, вставляем питание в роутер и не отжимаем кнопку reset более чем на 10 секунд, пока все лампочки не погаснут.

    Если все сделано правильно, то мы увидим наш Mikrotik.


    Идем в папку с Extra packages, для начала найдем стандартные пакеты, они приложены в скриншоте: 


    К ним еще добавляем те пакеты, которые нам нужны (в данном случае это ntp server)

    Идем в Netinstall, нажимаем Browse, выбираем папку, где все лежит

    Далее нажимаем по нашему роутеру и выделяем все пакеты галочками:


    После нажимаем install. Начнется процесс установки.

    Как всего будет готово нажимаем boot, ждем перезагрузки и запускаем WinBox, ставим настройки нашего сетевого интерфейса по умолчанию.

    Через WinBox находим наш роутер и нажимаем connect 


    Нужный пакет мы установили, начинаем настройку.

    Первичная настройка

    Для начала нам нужно настроить саму систему для работы, заходим в WinBox во вкладку Neighbors, в ней мы должны увидеть наш роутер, нажимаем на его Mac Address, в поле логин вводим admin, пароль оставляем незаполненным. Нажимаем Connect. 


    После загрузки мы увидим такое окно, это главное окно для управления роутером:


    В первую очередь необходимо сбросить настройки. Заходим во вкладку system – reset configuration, ставим галочку напротив No Default Configuration – reset configuration.


    На все вопросы жмем Yes и ждем перезагрузки, после так же по аналогии заходим на роутер.

    Сброс конфигурации делается так как по умолчанию от производителя уже есть настройки, они имеют минимально необходимый функционал, достаточный для работы в домашнем использовании, но не достаточный для работы в небольшой компании, так как необходимы более гибкие настройки. Мы их настроим сами.

    После запуска заходим во вкладку System – packages

    Если вы не будете использовать протокол ipv6, то нам необходимо будет его выключить, так как в противном случае надо будет либо настраивать брандмауэр для этого протокола, либо будет большая брешь в безопасности, поэтому желательно его выключить. Для начала идем в system – packages и выключаем его выделением, а после нажатием disable. Пакет отключится после перезагрузки.


    После надо будет обозвать наш роутер понятным именем, которое он будет транслировать во всю сеть, идем в System – identity и называем роутер как душе угодно. Я назвал "Mikrotik.mini" (видно на скриншоте).


    После настраиваем время:

    System – clock, ставим вашу дату и время, часовой пояс.


    По умолчанию в роутерах Mikrotik работают все службы, такие как FTP, SSH, Telnet, для простой работы или настройки вам не потребуется использовать эти протоколы, так как WinBox содержит в себе весь функционал, который предлагают эти протоколы, поэтому для того, чтобы не оставлять дыры в безопасности нужно закрыть все неиспользуемые протоколы. Идем в ip – Services и отключаем все, кроме WinBox, порт WinBox лучше поменять на любой вам удобный, для того, чтобы перекрыть возможность взлома по стандартным портам.


    Поменяем порт на произвольный, заходим на winbox, меняем порт на 54321, нажимаем Ok.


    Последним в начальной настройке будет настройка идентификации пользователей, так как стандартный пользователь не содержит пароля, что позволяет кому угодно заходить на роутер, поэтому нужно поставить пароль на стандартного пользователя. В офисном использовании рекомендуется создать 1 или 2 дополнительных пользователя с полными правами и удалить пользователя Admin. Нажимаем System – users, нажимаем на Admin и меняем ему пароль, мы удалять пользователя Admin не будем, просто поставим доп. пароль и создадим еще одного пользователя. 


    Заходим, нажимаем правой кнопкой на admin и нажимаем password, вводим новый пароль и подтверждение пароля, нажимаем Ok. 


    После этого нажимаем + и создаем другого пользователя, вводим login, group выбираем full, вводим пароль и подтверждение пароля, после этого Ok.


    После создания видим двух пользователей.


    Первоначальная настройка закончена, переходим к настройке локальной сети.

    Настройка локальной сети

    Поскольку основная наша цель — создать сеть второго уровня модели OSI (сеть с коммутатором), то нам необходимо настроить функцию моста. Благодаря функции моста (mikrotik bridge) можно объединить несколько портов в один сегмент.

    С этого момента процесс настройки будет показан как графически, так и консольно.

    Переименовываем порты, добавляем к ним комментарии, чтобы было наглядно видно какой порт за что отвечает. Провайдеры в нашем случае будут подключаться к 1 и 2 порту, назовем их wan1 и wan2.

    Заходим в interface , нажимаем на нужный нам порт и переименовываем его (переименовывать не обязательно, но для наглядности и понятности всего функционала и кто за что отвечает рекомендуется каждую вашу настройку обзывать понятным именем).


    Либо консольно

     /interface ethernet
 set [ find default-name=ether1 ] comment=Оператор1 name=wan1
 set [ find default-name=ether2 ] comment=Оператор2 name=wan2
 

    Так же отключим неиспользуемые порты и добавим комментарии к другим для их идентификации . (Порты отключаем для того, чтобы немного снизить нагрузку на процессор роутера. Отключение портов не обязательное, но показываю для наглядности).

    Нажимаем на нужном интерфейсе правой кнопкой и нажимаем Comment. 


    Нажимаем на нужном интерфейсе и нажимаем красный крестик 


    Либо консольно

     /interface ethernet set [ find default-name=ether3 ] comment=local
 /interface ethernet set [ find default-name=ether4 ] comment=Reserved
 /interface ethernet set [ find default-name=ether5 ] comment=Server
 /interface ethernet set [ find default-name=ether6 ] disabled=yes
 /interface ethernet set [ find default-name=ether7 ] disabled=yes
 /interface ethernet set [ find default-name=ether8 ] disabled=yes
 /interface ethernet set [ find default-name=ether9 ] disabled=yes
 /interface ethernet set [ find default-name=ether10 ] disabled=yes
 

    В конце получаем такую картину:


    Для удобства настройки firewall добавим еще интерфейс лист с портами операторов, называем его internet и после добавляем в него интерфейсы:


    Либо консольно

     /interface list add name=internet
 /interface list member add interface=wan1 list=internet
 /interface list member add interface=wan2 list=internet
 

    После настройки интерфейсов необходимо создать bridge, и добавить в него все интерфейсы, кроме интерфейсов интернета. (Мост – это программная настройка, которая объединяет все порты в один свитч, используя мощности и ресурсы процессора. Обладает защитой от петель, поэтому запетлять роутер используя bridge у вас не получится. В Mikrotik так же есть чип коммутации, который так же умеет объединять порты в один сегмент, для него будут совершенно другие настройки и свои минусы. В простом офисном использовании на количество клиентов до 100 будет хватать процессора, поэтому рекомендуется использовать мост для стабильной работы сети.) P.S. Использование чипа коммутации для объединения портов будет рассмотрено в следующих статьях.

    Для настройки моста в левой панели находим вкладку «Bridge», заходим в нее, дальше идет в «Bridge» и создаем новый мост. Называем понятным именем и ставим в ARP настройку proxy-arp.
    При подключении по VPN вы можете неприятно удивиться, почему вы можете открыть страницу логина в роутер, 192.168.88.1 (если у вас такой), но не сможете открыть ни один внутренний ресурс. Штука в том, что надо включить proxy-arp на внутреннем интерфейсе, за которым есть нужный вам ресурс. У меня proxy-arp включен на весь bridge-local. Этот параметр позволяет взаимодействовать хостам, находящимся в разных сегментах сети, между друг другом.

    ARP это - (“Address Resolution Protocol” — протокол определения адреса) — использующийся в компьютерных сетях протокол низкого уровня, предназначенный для определения адреса канального уровня по известному адресу сетевого уровня. Наибольшее распространение этот протокол получил благодаря повсеместности сетей IP, построенных поверх Ethernet, поскольку практически в 100 % случаев при таком сочетании используется ARP.

     
    ARP протокол работает с MAC адресами. Свой индивидуальный MAC адрес есть у каждой сетевой карты.
     

    Добавляем интерфейсы в мост

    Заходим во вкладку ports – нажимаем + и выбираем все интерфейсы:


    Во время настройки вас может выкинуть, не пугаемся и просто перезаходим обратно

    После получаем такую картину:


    Либо делаем это консольно

     /interface bridge add arp=proxy-arp name=bridge_local
 /interface bridge port add bridge=bridge_local interface=ether3
 /interface bridge port add bridge=bridge_local interface=ether4
 /interface bridge port add bridge=bridge_local interface=ether5
 /interface bridge port add bridge=bridge_local interface=ether6
 /interface bridge port add bridge=bridge_local interface=ether7
 /interface bridge port add bridge=bridge_local interface=ether8
 /interface bridge port add bridge=bridge_local interface=ether9
 /interface bridge port add bridge=bridge_local interface=ether10
 

    Далее нам необходимо создать DHCP сервер, дать ip нашему роутеру, после этого приступ к настройке выхода в интернет. DHCP сервер нужен для автоматической раздачи IP адресов и настроек для подключения к сети для устройств.

    Для начала заходим в IP – Addresses – нажимаем «+», вводим нужный нам ip роутера, назначаем его на созданный bridge, вы можете вписать любой IP адрес на ваше усмотрение, главное чтобы он не пересекался с IP сети, который выдает провайдер:


    Консольно

     /ip Address add address=192.168.0.0/24 interface=bridge_local network=192.168.0.1
 

    Нам осталось создать DHCP сервер и закинуть его на наш bridge.

    Заходим в IP – DHCP Server – Network – нажимаем «+» и вводим данные нашей сети, это адрес сети, шлюз, маска сети, DNS сервера

    DNS сервером может выступать все что угодно, но для того, чтобы сеть была управляемой рекомендуется либо использовать роутер как DNS сервер, либо использовать любые другие внутренние устройства, поддерживающие эти функции, к примеру контроллер домена. В нашем случае контроллера нет, поэтому будет использовать роутер как сервер DNS. 


    Консольно

     /ip dhcp-server network add address=192.168.0.1/24 dns-server=192.168.0.1 gateway=192.168.0.1 netmask=24
 

    После заходим в IP – Pool и создаем пул адресов, из которого будут выдаваться адреса для нашей сети, в поле addresses вводим диапазон адресов по типу 192.168.0.2-192.168.0.255 и нажимаем Ok.

    Будем использовать диапазон в 249 адресов, ip 192.168.0.1 и диапазон 192.168.0.251-255 оставим под служебные устройства (серверы и прочие) 


    Консольно

     /ip pool add name=dhcp_pool_all ranges=192.168.0.2-192.168.0.250
 

    После переходим обратно в IP – DHCP server – DHCP и нажимаем «+»

    Вводим имя сервера, выбираем интерфейсом наш мост, Lease Time – это время аренды, его можно поставить любым, но оптимальным будет 1 день ( запись вида 1 day 00:00:00), выбираем пул адресов, который создали на предыдущем шаге, нажимаем Ok, и у нас опять вылетает WinBox, после этого ждем пока компьютер получит IP адрес и после этого авторизуемся уже по IP.

     

    Консольно

     /ip dhcp-server add address-pool=dhcp_pool_all disabled=no interface=bridge_local lease-time=1d name=dhcp_aliance
 

    Последним шагом будет добавление DNS серверов, либо ваших личных, либо которые предоставляет провайдер, либо любых других публичных. Эти DNS сервера будет использовать сам Mikrotik для выхода в интернет, и так же будет их использовать, выступая DNS сервером.

    Заходим в IP – DNS и вводим сервера DNS 


     /ip dns set allow-remote-requests=yes servers=77.88.8.8,8.8.8.8
 

    Настройка локальной сети окончена, переходим к настройке операторов.

    Настройка выхода в интернет

    Настройка провайдеров

    Подключаться будем по статике, поэтому вводим статические настройки, которые предоставляет оператор, вы так же можете подключаться любым другим способом, в сети много мануалов.

    Оборудование Mikrotik поддерживает USB модемы, поэтому можно подключаться и через него.

    Приступ к настройке

    Мы получили статические настройки, вида:

    • IP адрес 192.168.1.104
    • Маска 255.255.255.0 (24)
    • Шлюз 192.168.1.1
    • DNS 192.168.1.1

    Заходим в ip – addresses и указываем ip адрес, который нам выдал оператор, не забываем указать маску

     

    Делаем это для двух операторов.

    На этом этапе следует так же добавить настройку в IP – routes, чтобы роутер знал маршруты через провайдеров, но так как у нас их два настройка будет происходить немного хитрее.

    Маркировка пакетов

    Мы плавно перешли к тому как будут работать у нас два оператора, можно выполнить простое резервирование канала или любую другую настройку, но наша задача в другом, нам необходимо работать через двух провайдеров одновременно, поэтому настроек больше и они сложнее, в первую очередь настроим маркировку пакетов, чтобы роутер мог понимать откуда прилетел ответ и куда отправлять.

    Настройки будем производить через консоль, так как настроек очень много и будет намного удобнее скопировать и исправить парочку строк, чем настраивать все через графический интерфейс.

    Начинаем настройку

     #Пометим каждое соединение, пришедшее снаружи и адресованное нашему роутеру (тут меняем in-interface на ваш):
 
 /ip firewall mangle add action=mark-connection chain=input in-interface=ISP1 new-connection-mark=cin_ISP1
 /ip firewall mangle add action=mark-connection chain=input in-interface=ISP2 new-connection-mark=cin_ISP2
 
 #что бы отвечать через те же интерфейсы, откуда пришли запросы, поставим соответствующую роутинг-марку на каждое соединение.
 
 /ip firewall mangle add action=mark-routing chain=output connection-mark=cin_ISP1 new-routing-mark=rout_ISP1 passthrough=no
 /ip firewall mangle add action=mark-routing chain=output connection-mark=cin_ISP2 new-routing-mark=rout_ISP2 passthrough=no
 
 #добавим default gateway в каждую из промаркированных таблиц маршрутизации:
 
 /ip route add distance=1 gateway=10.100.1.254 routing-mark=rout_ISP1 check-gateway=ping
 /ip route add distance=1 gateway=10.200.1.254 routing-mark=rout_ISP2 check-gateway=ping
 
 #failover через второго провайдера для каждого из шлюзов
 
 /ip route add distance=2 gateway=10.200.1.254 routing-mark=rout_ISP1
 /ip route add distance=2 gateway=10.100.1.254 routing-mark=rout_ISP2
 
 #разделим трафик на две группы по исх. адресу и порту
 
 /ip firewall mangle add src-address=10.1.1.0/24 action=mark-routing chain=prerouting new-routing-mark=lan_out_ISP1 per-connection-classifier=src-address-and-port:2/0
 /ip firewall mangle add src-address=10.1.1.0/24 action=mark-routing chain=prerouting new-routing-mark=lan_out_ISP2 per-connection-classifier=src-address-and-port:2/1
 
 #добавим default gateway в каждую из промаркированных для LAN трафика таблиц маршрутизации:
 
 /ip route add distance=1 gateway=10.100.1.254 routing-mark=lan_out_ISP1 check-gateway=ping
 /ip route add distance=1 gateway=10.200.1.254 routing-mark=lan_out_ISP2 check-gateway=ping
 
 #failover через второго провайдера для каждого из шлюзов
 
 /ip route add distance=2 gateway=10.200.1.254 routing-mark=lan_out_ISP1
 /ip route add distance=2 gateway=10.100.1.254 routing-mark=lan_out_ISP2
 

    Важное замечание!

    Возьмем 2 неравнозначных канала, например, 100 мбит и 50 мбит. Сбалансируем их через Nth, PCC или ECMP. Какую суммарную пропускную способность получим?

    На самом деле — где-то около 100 мбит (самый слабый канал Х раз).

    Происходит это потому, что mikrotik понятия не имеет о пропускной способности каналов, он ее не измеряет. Он просто делит трафик на относительно равные группы.

    Побороть этот нюанс можно правильно проектируя группы исходящего трафика, с учетом пропускной способности каналов.

    Для нашей конфигурации это:

     /ip firewall mangle add src-address=10.1.1.0/24 action=mark-routing chain=prerouting new-routing-mark=lan_out_ISP1 per-connection-classifier=src-address-and-port:3/0
 /ip firewall mangle add src-address=10.1.1.0/24 action=mark-routing chain=prerouting new-routing-mark=lan_out_ISP1 per-connection-classifier=src-address-and-port:3/1
 /ip firewall mangle add src-address=10.1.1.0/24 action=mark-routing chain=prerouting new-routing-mark=lan_out_ISP2 per-connection-classifier=src-address-and-port:3/2
 

    Настроим NAT для выхода в интернет: 

     /ip firewall nat add action=masquerade chain=srcnat out-interface-list=internet
 

    После этого интернет должен заработать, но не все так просто, интернет то заработал, но теперь мы сталкиваемся с проблемой неработающей телефонии, в случае если SIP сервер находится в облаке, так же сталкиваемся с проблемами нерабочих банк клиентов и кучу других проблем, которые мы огребаем по ходу работы. Можно придумать много решений, мы остановимся на том же, на чем у нас работают два оператора, на маркировке пакетов: 

     #маркировка SIP трафика до определённого IP. Можно маркировать по портам, и выкидывать в нужный интерфейс, а можно маркировать по IP, что в конечном итоге дает тот же самый результат, но при этом не ломает нам другие гипотетические службы
 
 /ip firewall mangle add action=mark-routing chain=prerouting comment="Mark SIP test" dst-address= 11.1.1.1 new-routing-mark=SIP passthrough=no
 
 #failover для двух операторов
 
 /ip route add comment="SIP – wan1" distance=1 dst-address=11.1.1.1/24 gateway=10.1.1.1 routing-mark=SIP
 
 /ip route add comment="SIP – wan2" distance=2 dst-address=11.1.1.1/24 gateway=10.1.1.2 routing-mark=SIP
 

    Так же обеспечим стабильную работу банк клиентов: 

     #Прикручиваем марку на порты HTTP, HTTPS и другие порты, используемые банк клиентами
 
 /ip firewall mangle add action=mark-routing chain=prerouting comment="Mark HTTPS" dst-port= 80,443,9999 new-routing-mark=HTTPS passthrough=no protocol=tcp
 /ip route add comment="HTTPS to wan1" distance=1 gateway=10.1.1.1 routing-mark=HTTPS
 /ip route add comment="HTTPS to wan2" distance=2 gateway=10.1.1.2 routing-mark=HTTPS
 

    Прописываем по два маршрута с разным distance для того, чтобы в случае потери связи с первым оператором все перешло на второго

    Остаётся совсем немного, прописать правила firewall

    Настройка безопасности

    Настроек так же много, но данный конфиг универсален и не требует доработок, разве что только пару правил прописать на разрешение связи с облачными службами

     #Защищаемся от брутфорса
 
 /ip firewall filter add action=add-src-to-address-list address-list=bruteforse_blacklist address-list-timeout=1w3d chain=input comment="bruteforse add to blacklist" connection-state=new dst-port=22,23,3389 protocol=tcp src-address-list=bruteforse_stage3
 /ip firewall filter add action=add-src-to-address-list address-list=bruteforse_stage3 address-list-timeout=1w3d chain=input comment="bruteforse add to stage3" connection-state=new dst-port=22,23,3389 protocol=tcp src-address-list=bruteforse_stage2
 /ip firewall filter add action=add-src-to-address-list address-list=bruteforse_stage2 address-list-timeout=1w3d chain=input comment="bruteforse add to stage2" connection-state=new dst-port=22,23,3389 protocol=tcp src-address-list=bruteforse_stage1
 add action=add-src-to-address-list address-list=bruteforse_stage1 address-list-timeout=2m chain=input comment="bruteforse add to stage1" сonnection-state=new dst-port=22,23,3389 protocol=tcp src-address-list=!alow_ssh
 
 #Разрешаем порты основных служб
 
 /ip firewall filter add action=accept chain=input dst-port=123,161,500,1701,4500 protocol=udp
 
 #Убираем из обработки брандмауэром хорошие подключения
 
 /ip firewall filter add action=fasttrack-connection chain=forward connection-state=established,related
 
 #Разрешаем хорошие и грохаем плохие
 
 /ip firewall filter add action=accept chain=forward connection-state=established,related
 /ip firewall filter add action=drop chain=forward connection-state=invalid
 /ip firewall filter add action=accept chain=input connection-state=established,related
 /ip firewall filter add action=drop chain=input connection-state=invalid
 
 #Разрешаем порты основных служб
 
 /ip firewall filter add action=accept chain=forward dst-port=123,5050-5070,9000-19000 protocol=udp
 
 #Разрешаем порты для SIP подключений
 
 /ip firewall filter add action=accept chain=forward dst-port=5050-5070 protocol=tcp
 
 #Разрешаем PING
 
 /ip firewall filter add action=accept chain=input protocol=icmp
 /ip firewall filter add action=accept chain=output protocol=icmp
 
 #Убиваем все что не разрешено (самое главное правильно для безопасности, без которого все настройки бессмысленны
 
 /ip firewall filter add action=drop chain=input in-interface-list=internet
 

    Нам остаётся внести некоторые правила для безопасности, после чего ваш роутер будет полностью готов к функционированию: 

     /ip firewall raw add action=accept chain=prerouting protocol=udp src-port=123
 /ip firewall raw add action=accept chain=prerouting dst-port=123 protocol=udp
 /ip firewall raw add action=accept chain=prerouting dst-port=123 protocol=tcp
 /ip firewall raw add action=accept chain=prerouting protocol=tcp src-port=123
 /ip firewall raw add action=drop chain=prerouting comment="drop bruteforces" src-address-list=bruteforce_blacklist
 /ip firewall raw add action=drop chain=prerouting comment="drop DNS" dst-port=53 in-interface-list=internet protocol=udp
 /ip firewall raw add action=drop chain=prerouting comment="drop DNS" dst-port=53 in-interface-list=internet protocol=tcp
 
 #Выключаем ненужные сервисы для Mikrotik
 
 /ip firewall service-port
 set ftp disabled=yes
 set tftp disabled=yes
 set irc disabled=yes
 
 #Выключаем настройку роутера по MAC
 
 /tool mac-server
 set allowed-interface-list=none
 /tool mac-server mac-winbox
 set allowed-interface-list=none
 

    Роутер настроен и полностью безопасен.

    В настройки firewall можно вносить своё, а можно оставить как есть.

    Но на самом деле настройка не до конца выполнена, мы не настраивали IPSec туннели, необходимо только тем, кто использует сервера в облаках.

    Настройка IPSec туннелей

    Для начала поднимаем VPN туннель на стороне провайдера облачных услуг и выясняем настройки шифрования, настройки внешнего IP, создаем общий ключ. В следующих статьях мы рассмотрим, как правильно поднять VPN-туннель со стороны Azure или Облакотеки.

    Для настройки IPSec туннеля на вашей стороны у вас должен быть статический публичный IP адрес, иначе VPN потребуется поднимать другими способами.

    Мы создали на стороне облаков VPN, выяснили все настройки, убедились в том, что у нас статика, после этого можно приступать к настройке.

    Заходим в IP – IPSec – groups и создаем группы VPN, необходимо создавать по одной группе на каждый туннель:

     

    Далее заходим во вкладку proposal (предложения) это те настройки шифрования, которые будет предлагать наш роутер удаленному роутеры, который будет к нам стучаться, настройки сугубо индивидуальные (не забудьте указать понятные вам имя для идентификации соединения):


    Следующим необходимо настроить Profiles, это аналог «предложений», но уже со стороны облачного сервиса, настройки опять же сугубо индивидуальные:

     

    Следующая настройка peer, это наше соединение, используем наш созданный profile, задаем удаленный адрес в поле address и локальный в поле local address, указываем Exchange mode, Mikrotik поддерживает только IKEv2.


    Далее заходим в identities и вводим общий ключ, выбираем нашу group в policy group, остальное оставляем по умолчанию:

     

    Далее заходим в Policies и уже настраиваем инициацию нашего подключения

    Выбираем нужный peer, нажимаем галочку tunnel, вводим локальный адрес в Src. address и адрес удаленной локальной сети в Dst. address:

     

    Заходим в action и выбираем наши предложения:

     

    Нажимаем Ok и в итоге получаем надпись, что соединение established, что означает правильность настройки:


    При использовании двух операторов может возникнуть проблема из-за того, что роутер не знает куда и откуда идти, прописываем route

     #Маршруты для хождения между подсетями
 
 /ip route add distance=5 dst-address=10.0.0.0/24 gateway=bridge_local
 
 #Маршрут до облака через первого оператора
 
 /ip route add distance=5 dst-address=99.99.99.99/24 gateway=wan1
 

    Так же для работы необходимо прописать правило NAT, чтобы все заработало

     #В сторону облака
 
 /ip firewall nat add action=accept chain=srcnat comment=to_10.0.0.0/24 dst-address=10.0.0.0/24 src-address=192.168.0.0/24
 
 #В сторону локальной сети
 
 /ip firewall nat add action=accept chain=srcnat comment=to_10.0.0.0/24 dst-address=192.168.0.0/24 src-address=10.0.0.0/24
 

    На этом настройка роутера Mikrotik окончена.

    Подведем итоги:

    1. Настроили локальную сеть
    2. Настроили безопасность
    3. Настроили firewall
    4. Настроили двух провайдеров через маркировку пакетов
    5. Подняли IPSec туннель
    6. Установили дополнительный пакет

    P.S. При создании статьи происходила настройка сразу двух роутеров, поэтому могут возникать некоторые ошибки на скриншотах или в консольных командах вида: в одном скриншоте 10 портов на роутере, в другом 5, или похожие. Настройки и вид команд для каждого роутера различаются по количеству портов и вашему воображению.

    Настройка гостевой сети Wi-Fi на MikroTik hAP AC

    Настройка гостевой сети Wi-Fi на MikroTik это задача которую нужно иногда решать сисадминам в средних и крупных компаниях. В MikroTik как раз есть для этого все инструменты. В самом простом случае надо создать VirtualAP навесить на неё IP адрес и настроить DHCP. Но мы ведь простых путей не ищем? Что нужно ещё сделать? Об этом данная статья.

    Для тех кто не хочет тратить своё дорогое время на изучение данного мануала предлагаем нашу платную помощь. 

     

    Освоить MikroTik Вы можете с помощью онлайн-куса «Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В состав входят 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

     

    Для примера будем рассматривать MikroTik с настройками по умолчанию: сеть 192.168.88.0/24, локальные интерфейсы входят в bridge, ether1 служит wan.

    Идём в Wireless/WiFi Interfaces/Virtual:

     

    Выбираем название сети: Guest

    • Security Profile можно выбрать из имеющихся: default - без пароля вообще в новых версиях Router OS
    • Default Forward - галочку можно снять. Это запретит обмен данными между гостевыми Wi-Fi клиентами

    Аналогично создаём и настраиваем Virtual AP на 5 гГц сети:

    Получается такое:

    Более подробно о настройке Wi-Fi интерфейсов на MikroTik можно почитать здесь

    Теперь надо обьединить два виртуальных беспроводных интерфейса в бридж.

    Создаём bridge1-guest:

    Добавляем два виртуальных беспроводных интерфейса в bridge1-guest:

     

    Осталось прописать IP и настроить DHCP сервер на интерфейсе bridge1-guest:

    Настроим DHCP сервер на интерфейсе bridge1-guest:

    Next

    Next

    Next

    Next

    Next

    Настройка для малой сети завершена! Если вы хотите настроить ещё защиту от ручного назначения IP адресов пользователями читаем далее:

    Отредактируем настройки полученого DHCP сервера:

    Ставим галочку Add ARP For Leases, что позволит автоматически добавлять IP адрес в ARP таблицу роутера при получении IP. 

    На интерфейсе bridge1-guest надо выбрать reply-only в протоколе ARP:

    Теперь даже если пользователь вручную назначит IP доступа к интернету у него не будет

    Защитим основную сеть от проникновения из гостевой:

    Идём IP/Firewall/Filter Rule:

    В цепочке forward создаём правило запрещающее прохождение трафика из гостевой сети 192.168.89.0/24 в локальную 192.168.88.0/24

    Перетаскиваем правило мышью на 1 место:

    Осталось настроить ограничение скорости пользователям, но это уже описано в старой статье: настройка динамического шейпинга на MikroTik

    Настраивать ограничения для доступа к MikroTik из гостевой сети в нашем случае не имеет смысл так как новый bridge1-guest не входит в список локальных в Interface List и доступа к нему и так нет.

    Настройка завершена! Если вам не удалось настроить вы можете обратиться к нам за платной помощью Обратиться

    Для Wi-Fi можно также настроить мак фильтрацию на MikroTik

     

    Освоить MikroTik Вы можете с помощью онлайн-куса «Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В состав входят 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

    Мнение: как роутеры Mikrotik могли решить все проблемы с Wi-Fi раз и навсегда

    01.03.21

    Это не рекламная статья, а результат изысканий автора и личный опыт на тему вечной проблемы сетевых устройств


     

    Сбои в работе цифровых устройств происходят регулярно. Иногда вследствие нетипичных условий работы, иногда из-за упущений при разработке. С проблемами Wi-Fi сталкивались все и формулировка «перезагрузить сеть/роутер/вай-фай» стала обыденной. Как же роутеры Mikrotik, со сложным  на первый взгляд интерфейсом настроек, могут решить проблемы рядового пользователя с Wi-Fi?

     

    В близкой ретроспективе

     

    Рынок сетевых устройств весьма обширный. В Украине он начал активно расти 5-7 лет назад, когда проникновение интернета в нашей стране достигло 71%. Этому способствовали, в том числе, смартфоны, которые открыли доступ к интернету там, где не было кабельных провайдеров.

     

    Пользовательских устройств в домашних сетях становится все больше. Потребность в увеличении пропускной способности оказывается всё острее. Вместе с тем важным фактором стала возможность оптимально перераспределять сигнал сетевым оборудованием. Чтобы минимизировать последствия от наложения радио-частот внутри и извне (от соседей, например) домашней сети.

     

    Вот уже несколько лет мы сталкивались с весьма банальным и вместе с тем загадочным явлением. В описании очередного Wi-Fi-роутера говорилось о «сотне подключаемых устройств, стабильном сигнале, бесперебойной работе» и т.д. Пока тестируешь девайс неделю-две всё действительно хорошо. Видео в высоком разрешении из локальной сети, видео-стримы, социальные сети и игровой трафик, все они исправно приходят на девайсы и поток данных достигает заявленной пропускной способности. Количество одновременно подключённых устройств также примерно соответствует ценовому диапазону. Бюджетный роутер «переваривает» десяток устройств, средний – под два десятка, дорогой – столько устройств найти сложно. Каналы данных заполняются в соответствии с заявленными цифрами. В среднем, при не интенсивном трафике нормально работают с интернетом и десять, и пятнадцать устройств. В общем, характеристик обычно в избытке для среднестатистической квартиры или дома.

     

    Однако когда пользователи останавливаются на выборе и покупают маршрутизатор домой всё становится не так радужно. Через пару недель-месяц наблюдается спонтанное пропадание интернет-сигнала, которое лечится исключительно перезагрузкой. Как пример, десяток устройств друзей «ломится» постить фото в инстаграмм и сеть ложиться.  Особенно обидно, когда играешь в сетевые игры и от «упавшего» интернета сливается катка.

     

     

    Первые разы грешишь на провайдера. Обновляешь прошивку, если таковая возможность есть. Но чаще всего просто перезагружаешь маршрутизатор, дожидаясь зелёной индикации соединения со свичем провайдера и работаешь дальше… До следующего такого «отпадания» интернета. Сервисные центры, могут лишь предложить перепрошивку маршрутизатора. Это, разумеется, не помогает и через месяц-полтора всё повторяется.

     

    Лабораторных исследований и глубоких изысканий наш Тестлаб не проводил. По логам, неполадок и недоработок ни разу не находилось, а препарирование кода удовлетворения не даст. Даже потратив на исследование годы, вряд ли найденный глюк исправят и решат на глобальном уровне.

     

    Отметим, что история таких мелких багов и необходимости периодически перезагружать роутер, закончилась довольно неожиданно. Идея этой статьи потому и родилась, что ещё год-полтора назад, решением всех проблем с зависаниями роутеров была покупка устройства от Mikrotik.

     

    Так совпало, что в середине 2020 года все чаще в интерфейсах начала появляться возможность планировать регулярную перезагрузку устройства. Это было и до того очевидным решением, но поскольку вендоры добавлять такой пункт не спешили, не глючащие Mikrotik-и были манной небесной.  Бренд, известный в узких кругах специалистов, не имел таких проблем в принципе.

     

     

    Пример появившегося меню перезагрузки в роутерах

     

    Немного истории

     

    В 1996 году на рынок вышел латвийский производитель сетевого оборудования. Компания Mikrotik разрабатывает и продаёт проводное и беспроводное сетевое оборудование, в частности маршрутизаторы, сетевые коммутаторы (свитчи), точки доступа, а также программное обеспечение — операционные системы и вспомогательное ПО. Одним из продуктов MikroTik является RouterOS — сетевая операционная система на базе Linux. В частности роутеры Mikrotik считаются лучшими с точки зрения сетевого инженера. Они позволяют строить очень сложные сетевые решения и вместе с тем не требовать взамен больших сумм за устройства.

     

     

    Если представить самый навороченный домашний маршрутизатор с «сотней функций и настроек», то в описании Mikrotik-а стоит написать «бесконечность +1». Потому что это количество зависит только от прямоты рук и умения работать с кодом. Мы же поговорим об их устройстве для малых помещений и простых конфигураций с одним роутером и десятком пользовательских устройств. Хотя у наших коллег успешно работают сети с несколькими камерами наблюдения, сетевыми хранилищами (NAS) и бесшовным роумингом из нескольких точек.

     

    Вероятно, у вас уже сложился образ утилитарной черной коробочки, которую можно настроить, используя командную строку и шаманский бубен. Отчасти вы будете правы, если говорить о моделях 8-10 летней давности. Однако за последние годы в портфеле Mikrotik появились и весьма симпатичные устройства. Более того, в RouterOS есть режим быстрой настройки, который интуитивен и понятен. Так что без всяких специальных знаний можно настроить такой девайс и у себя дома.

     

    Закономерно спрашивая «А зачем собственно брать что-то, что не на слуху у большинства?», отвечаем: «Сейчас, в 2021 году, острой необходимости нет. Но  ещё год назад перезагрузки по расписанию не было и роутеры за 100, 200, 300 и больше долларов, регулярно вынуждали, чтобы их ребутнули из интерфейса или кнопкой на корпусе». Это если резюмировать.

     

    Mikrotik hAP ac²

     

     

    Коротко расскажем о том, что такое Mikrotik и RouterOS на примере модели за $60. Сейчас его можно найти даже за $45-50. Данный обзор мы подготовили для пользователей с базовыми знаниями. Предполагается, что они знают, как создать единую домашнюю сеть с несколькими точками доступа и выбрать для каждой свободный беспроводной канал, как минимум.

     

    Дизайн Mikrotik hAP ac² можно назвать утилитарным и простым, если бы это было важно для маршрутизатора, который вы увидите единожды — в день покупки и момент помещения его на шкаф, или в какой ни будь закуток. Установить, к слову, его можно по-разному – на ребро, плашмя или повесив на стенку.

     

     

    Mikrotik hAP ac² имеет поддержку двух диапазонов: 2,4 и 5 ГГц. Модель принадлежит к классу AC1200 и обеспечивает до 300 Мбит/с в 802.11n и до 867 Мбит/с в 802.11ac. Поддерживая 802.11ac (нынче Wi-Fi 5) реализована также поддержка более специфических стандартов, которые мы укажем в таблице спецификаций.

     

     

    У роутера есть пять гигабитных Ethernet-портов, любой из которых может быть WAN-ом. Здесь четыре внутренние антенны и корпус, который помещается на ладони. Думаете, у него  есть проблемы с покрытием или силой сигнала? Трёхкомнатная квартира, в которой он успешно  работает с несколькими ПК и мобильными устройствами, намекает что нет.

     

     

    Кроме описанного, есть разъем входа питания, кнопка сброса и подключения по WPS, порт USB 2.0 и два светодиодных индикатора на фронтальной панели. Кнопку «Mode», рядом с USB, можно запрограммировать и назначить выполнение любого скрипта. Ну и ещё на корпусе предусмотрено несколько относительно небольших решеток вентиляции.

     

     

     

    В роутере установлен чип Qualcomm IPQ4018, который имеет четыре ядра ARM Cortex A7, работающих на штатной частоте 716 МГц. Объем оперативной памяти составляет 128 МБ. Для прошивки используется флеш на 16 МБ. Чипсет также содержит два радиоблока с конфигурацией 2×2 и сетевой коммутатор на базе чипа QCA8075 и контроллер USB.

     

     

    Настройка RouterOS для чайников

     

    Настройке и работе с Mikrotik посвящено бесконечное множество ресурсов в интернете, не говоря уже о специализированных курсах профессионального уровня с сертификацией. Не будучи подготовленным пользователем, и зайдя в интерфейс RouterOS, вы скорее всего почувствуете себя неуютно. Но для получения стандартной функциональности – здесь всё есть.

     

     

    Mikrotik предоставляет несколько вариантов настройки оборудования. В их число входят доступ к интерфейсу командной строки (CLI) через telnet и ssh, веб-интерфейс и фирменная графическая утилита Winbox для ОС Windows.

     

    Заводские настройки запускают его в режиме беспроводного роутера с подключением к интернету в режиме IPoE с автоматическим получением адреса. Ни профиль администратора, ни беспроводные сети не защищены паролем. Так что для начала нужно поменять эти настройки. Собственно далее можно воспользоваться Quick Set, где представлены готовые шаблоны для наиболее часто используемых сценариев. В том числе активации защиты для беспроводных точек доступа.

     

     

    Гибкость операционной системы такова, что в ней можно следить за каждый байтом информации и заставить роутер реагировать на него. Но всё это производится не нажатием галочек в лаконичных веб-интерфейсах, а требует более сложных и осознанных действий. В качестве простого примера, можно программно отключать питание порта USB, чтобы перезагрузить используемый сотовый модем.

     

     

    Пользователь может настроить одновременную работу каналов в режимах балансировки и/или резервирования, устанавливать свои правила для выхода в сеть определённым клиентам, открывать доступ к заданным серверам через нужные каналы, настраивать маршрутизацию по различным правилам и так далее. Беспроводные точки доступа поддерживают создание нескольких SSID на каждом физическом интерфейсе, различные профили защиты, правила доступа, работу в качестве меш-сети. Есть встроенные функции сканирования эфира и определения нагрузки на каналы. Инструменты содержат набор сервисов и утилит для мониторинга сети. RouterOS построена по модульному принципу и предусматривает расширение своих функций установкой дополнительных пакетов.

     

    Перспективы

     

    В начале этого года на рынке уже можно найти бюджетные модели устройств с поддержкой Wi-Fi 6 (802.11ax). Это значит, что технология уже перешла от статуса технологического свежака в привычный стандарт.

     

    Вместе с тем, в Mikrotik разумеется, понимают, что специалистов не так много и что зарабатывать придётся и в массовом сегменте. Поэтому в магазинах можно найти модели с поддержкой новых стандартов связи и за те же приемлемые стоимости, даже меньше чем $100.

     

    RouterOS не стоит на месте и её ревизии всегда становятся доступны моделям прошлых годов. Даже откровенно старых. Да, RouterOS это особенный мир, который кардинально отличается от массового домашнего сегмента. Но если интересно получить необычные функции и возможности – всегда можно обратиться к гуглу за инструкциями и пошаговыми руководствами к действию.

     

    Характеристики Mikrotik hAP ac²
    Сеть:IEEE 802.11b//g/n до 300 Мбит/с

    IEEE 802.11ac до 867 Мбит/с

    IEEE 802.3 10BASE-T (10 Мбит/с), IEEE 802.3u 100BASE-TX (100 Мбит/с), IEEE 802.3ab 1000BASE-T (1000 Мбит/с), IEEE 802.3x

    Количество антенн:4
    Интерфейсы:5х RJ45 для 10/100/1000 LAN/WAN
    Процессор, память:Qualcomm IPQ4018, 4 ядра, 128 МБ ОЗУ, 16 МБ ПЗУ
    NAT, VPN, DHCP:да, да, да
    Безопасность:WPS, WPA-PSK/ WPA2-PSK
    Дополнительно:USB 2.0
    Операционная система:Linux, RouterOS
    Габариты:119х98х34 мм
    Цена:$55

    Оценка:

    + стабильность работы

    + функциональные возможности

    + цена

    + компактные габариты

    -сложный интерфейс настроек для среднестатического пользователя

      


    Читайте также

    Настройка роутера MikroTik RB4011iGS, за 5 минут

    Обновлено 09.03.2022

    Добрый день! Уважаемые читатели и гости одного из крупнейших IT блогов рунета Pyatilistnik.org. В прошлый раз мы с вами разобрали, как быстро и правильно удалить Крипто ПРО с вашего компьютера или сервера. Сегодня я вас научу, как настроить роутера MikroTik RB4011iGS для организации локальной сети, WiFI и интернета для маленького и среднего офиса размером от 15 до 30 человек. Даже самый не подготовленный человек пройдя по данной инструкции сможет наладить рабочий процесс своего офиса, фирмы, тем самым сэкономив на вызове технического специалиста, так же все действия подойдут и для организации домашней точки доступа.

    Настройка роутера микротик RB4011iGS

    Перед тем, как мы рассмотрим алгоритм действия, я бы хотел вам показать, что из себя представляет роутер MikroTik RB4011iGS и почему я выбрал его для организации точки доступа в офисе на 15 человек.

    MikroTik RB4011iGS беспроводной/проводной маршрутизатор, 10x Gbit LAN, SFP+, 4 антенны 2.4Ghz 802.11b/g/n 2x2 с к/у 3дБи, макс. 1.73 Гбит/с, 4-core Cortex A15 1.4GHz, 1GB RAM, 512Mb Flash, БП 24В или PoE, 228x38x120мм - официальный сайт https://www.regard.ru/catalog/tovar304956.htm?utm_medium=cpc&utm_source=priceru-gmc&utm_campaign=400995354&utm_content=744076796

    Сразу отмечу, что хоть он и стоит 15 000, но он полностью себя оправдывает, двумя WiFI модулями, 4-ми антеннами бьющими метром на 30 спокойно, поддержка всех 802.11b/g/n, большим количеством памяти и хорошим процессором. Что еще нужно для стабильной работы офиса. 10 гигабитных портов помогут подключить, ip камеры, принтеры, и другие точки доступа, например как в моем случае, это было Wi-Fi точка доступа MikroTik RBcAPGi-5acD2nD cAP ac.

    Подготовительный этап настройки микротика с нуля

    Для выполнения нашей поставленной задачи, нам необходимо подготовить:

    1. Иметь ноутбук для настройки оборудования
    2. Наличие сетевого кабеля с разъемами RJ45
    3. Получить сетевые настройки от провайдера, выяснить ip-адрес, маску сети, шлюз по умолчанию и DNS сервера если это подключение VPN виды L2TP или PPoE, то выяснить логин и пароль ля доступа. В моем случае был статический IP-адрес, выданный провайдером Весколл.
    4. Последняя прошивка операционной системы routeros

    Методы настройки роутеров Microtik

    Существует несколько методов, позволяющих вам произвести настройку вашего оборудования микротик:

    1. Использование специализированной утилиты WinBox с графическим интерфейсом
    2. Настройка из командной строки
    3. Настройка через веб интерфейс оборудования

    Я буду все манипуляции производить, самым простым методом, который для пользователя максимально дружелюбный, это через утилиту WinBox.

    Скачивание утилиты WinBox и прошивки

    WinBox - это специализированная утилита по настройке оборудования компании Mikrotik. Она умеет делать абсолютно любые настройки из графического интерфейса, в 95% случаев для первой, базовой настройки используют исключительно ее.

    Скачать утилиту WinBox можно с официального сайта - https://mikrotik.com/download или можно с моего сайта загрузить WinBox

    И чуть ниже загрузите новую прошивку RouterOS

    Подключаем ваш ноутбук к любом из гигабитных портов MikroTik RB4011iGS, в моем примере, это 9-ый порт. Во второй порт я воткнул провод интернет провайдера. Запускаем утилиту WinBox. Она про сканирует все доступные с вашего ноутбука устройства микротик и если она их обнаружит, то покажет их в списке доступных. Так как мы подключены по проводу напрямую к роутеру Microstik, то мы видим на вкладке "Neighbors" наш MikroTik RB4011iGS, нам показывают его IP_адрес по умолчанию, это 192.168.88.1 и его mac адрес, хочу отметить, что что в поле Connect To можно вписывать как цель подключения, как IP-адрес, так и mac-адрес, утилите без разницы, а микротики понимают разные методы. Указываем в качестве цели MAC-адрес и нажимаем "Connect".

    По умолчанию логин на вход на любой Mikrotik Admin и пароль пустой

    Мы с вами подключились к роутеру Microtik через WinBox, Утилита имеет с левой стороны столбы с настройками. Первым делом нам нужно установить новую прошивку н наш роутер MikroTik RB4011iGS. Нажимаем на вкладку "Files".

    У вас откроется окно со списком файлов на вашей памяти оборудования, сюда мы и будем копировать прошивку.

    Нажимаем кнопку "Upload" и указываем наш файл с новой стабильной версией RouteOS, на момент написания статьи, это версия 6.44.3.

    Начнется передача файла на ваш роутер MikroTik RB4011iGS

    Чтобы обновить наш роутер MikroTik RB4011iGS, нам необходимо открыть пункт "System - Reboot".

    Подтверждаем перезагрузку оборудования микротик.

    В итоге ваша утилита WinBox потеряет связь с оборудованием на момент его перезагрузки.

    Видим, что WinBox нашел наш роутер MikroTik RB4011iGS и у него свежая версия прошивки 6.44.3. Производим к нему подключение.

    Удаление заводской настройки MikroTik

    Следующим шагом идет удаление заводских настроек на роутере микротик, для этого нам необходимо перейти "System - Reset Configuration"

    Выставляем галки на пунктах:

    • No Default Configuration - это чтобы роутер не устанавливал конфигурацию по умолчанию
    • Do Not Backup - не делать резервную копию текущих настроек

    После чего нажимаем "Reset Configuration"

    Подтверждаем удаление заводских настроек.

    Вы снова потеряете связь с оборудованием в WinBox.

    После того, как оборудование будет загружено, вы увидите, что у микротик будет обнулен IP-адрес, вместо 192.168.88.1 станет 0.0.0.0 и подключиться к нему можно только по MAC-адресу.

    Настройка интерфейсов на MikroTik RB4011iGS

    Заново переподключившись, переходим на вкладку "Interfaces". Данный раздел будет отображать информацию по всем вашим интерфейсам.

    Повторюсь, что на втором порту ether2 у меня подключен провод интернет провайдера.

    Так как я не использую интерфейс sfp-sfpplus1, то я его отключу, главное правило безопасности, гласит, что работать должно только то, что используется, все остальное правильно отключать.

    В итоге интерфейс стал прозрачным. Обратите внимание, что по умолчанию отключены интерфейсы wlan1 и wlan2, это интерфейсы WIFI, включим их через нажатие на галку.

    Все теперь WIFI интерфейсы активированы.

    Создание моста на MikroTik RB4011iGS

    Следующим шагом, нам необходимо объединить все порты, кроме интернет провайдерского в мост. Сетевой мост представляет собой устройство , которое делит сеть на сегменты. Каждый сегмент представляет отдельный домен коллизий, поэтому количество коллизий в сети уменьшается. Каждый домен коллизий имеет свою собственную полосу пропускания, поэтому мост также повышает производительность сети. Мост работает на канальном уровне (уровень 2) модели OSI. Он проверяет входящий трафик и решает, следует ли его перенаправить или отфильтровать. Каждый входящий кадр Ethernet проверяется на наличие MAC-адреса назначения. Если мост определяет, что хост назначения находится в другом сегменте сети, он пересылает кадр в этот сегмент.

    Открываем вкладку "Bridge" и нажимаем + для создания нового моста. В окне "New Interfaces" задаем ему имя в поле "Name" у меня, это будет br-1, нажимаем "Ok".

    Видим, что в списке появился наш новый мост, теперь в него нужно добавить нужные нам интерфейсы.

    Для добавления в наш сетевой мост на MikroTik RB4011iGS, вы переходите на вкладку "Ports' и нажимаете +, для добавления порта. Указываете нужный интерфейс, задаете в поле "Bridge" наш созданный сетевой мост и нажимаете "Apply" для применения.

    Еще раз напоминаю, что тот порт, в который у вас идет шнурок от интернет провайдера, НЕ ДОЛЖЕН быть добавлен в данный сетевой мост

    В итоге у меня получилось вот так, не забываем добавлять WLAN порты WIFI. Учтите, что когда вы добавите в мост, порт по которому ваш ноутбук подключен к роутеру микротик, то вы будите отключены в WinBox. Вам потребуется заново установить подключение.

    Настройка IP адреса MikroTik RB4011iGS

    Продолжаем нашу настройку роутера микротик и настало время задать вашему роутеру статический IP-адрес. Вы заранее должны продумать, какая у вас будет адресация в локальной сети. Открываем раздел "IP - Address".

    Тут настройка микротика как для чайников, вы нажимаете +, у вас откроется окно "New Address". В поле "Address" вы указываете ваш ip адрес и маску сети, в моем примере, это 192.168.100.1/24, поле "Network" заполнится автоматически, так же обязательно в поле "Interfaces" выберите наш сетевой мост bridge-br-1, созданный ранее. Нажимаем Apply.

    Настройка IP-адреса провайдера

    После настройки IP-адреса роутера MikroTik RB4011iGS, не закрывая данный раздел, нажмите еще раз +, и введите в поле:

    • Address - IP-адрес полученный от провайдера вместе с маской
    • Network - заполнится автоматически
    • Interfaces - выберите тот интерфейс к которому подключен патчкорд от провайдерского оборудования

    Вот так у меня выглядит мой список IP адресов на моем оборудовании MikroTik RB4011iGS

    Настройка DNS на MikroTik RB4011iGS

    IP адрес, это конечно хорошо, но в интернет мы выходим по DNS именам, поэтому нам необходимо настроить адрес DNS-сервера. Открываем раздел "IP - DNS"

    В окне "DNS Setting" задаем DNS сервера выданные вашим провайдера, по мимо них я еще указал DNS адреса Google в виде 8.8.8.8 и 8.8.4.4. Обязательно поставьте галку "Allow Remote Requests", делается это для того, чтобы микротик отвечал на запросы DNS в локальной сети. Сохраняем настройки.

    Настройка FIREWALL на MikroTik RB4011iGS

    Чтобы наш роутер прятал нашу локальную сеть от внешнего мира, нам необходимо создать правила. Открываем "IP - Firewall"

    Переходим на вкладку NAT и нажимаем +. В окне "New NAT Rule" перейдите на вкладку "Action".

    В действиях выберите пункт "Masquerade". Masquerade - замена адреса источника IP пакета на автоматически определенный адрес средствами маршрутизации.

    На вкладке "General" в пункт "Src. Address" указываем вашу подсеть и маску сети.

    В итоге правило NAT выглядит вот таким образом.

    Настройка DHCP и пула адресов

    Для того, чтобы пользователи, устройства могли работать в вашей локальной сети нам необходимо произвести настройку микротика, чтобы у него был пул IP-адресов, который он мог выдавать, принтерам, ноутбукам, телефонам. Для этого перейдите в раздел "IP - Pool"

    Создаем новый пул, указываем его имя и саму адресацию, в моем примере, это 192.168.100.50-192.168.100.200, нажимаем OK.

    Далее настроим наш DHCP сервер. Для этого переходим в "IP - DHCP Server".

    Задаем настройки DHCP:

    • Name - Имя DHCP сервера
    • Interface - выбираем наш мост
    • Lease Time - время аренды, настройте под себя, если в офисе не особо большая текучка устройств, то можете настроить день или два, если проходимость большая, то выставите минут 30 или 60
    • Address Pool - Выбираем созданный ранее пул адресов

    Сохраняем настройки DHCP сервера на вашем роутере MikroTik RB4011iGS

    В списке появился мой новый DHCP сервер.

    Далее переходим на вкладку "Network", нажимаем добавить новую. Пишем в:

    • Address - адрес вашей сети и маску
    • Gateway - указываем шлюз, который будет у клиентов, у нас это будет адрес MikroTik RB4011iGS 192.168.100.1
    • Netmask - маска сети
    • DNS Server - первым DNS сервером ставим наш роутер микротик 192.168.100.1, потом какие угодно, провайдерские, или гугловские. Сохраняем настройки.

    Открываем командную строку Windows и с помощью команды ipconfig, мы посмотрим текущий ip-адрес на моем ноутбуке. Как видим это APIPA адрес 169.254.7.146 и 192.168.43.61.

    Теперь давайте запросим новый ip-адрес у DHCP сервера, для это введите команду:

    Сразу моя система Windows 8.1 нашла новую сеть 4, что означает, что я получил новый IP-адрес.

    Снова выполняем команду ipconfig и мы видим, что я получил IP-адрес 192.168.100.200.

    Хочу отметить, что на роутере Mikrotik адреса раздаются с последнего в пуле, такая специфика работы оборудования

    На вкладке "Leases" вы увидите список всех ваших арендованных адресов у DHCP сервера.

    Через правый клик по IP-адресу вы можете выбрать "Detail Mode"

    Будет выведено больше информации о клиентском подключении.

    Так же вы можете заранее задать нужный IP-адрес, который будет присвоен определенному клиенты, так например можно поступить с принтерами, зная их MAC-адрес, вы легко к нему привяжите нужный IP.

    Настройка маршрутизации на роутере MikroTik RB4011iGS

    Теперь нам осталось настроить еще одну важную, это маршрутизация трафика, чтобы все ваши запросы к DNS отправлялись дальше к провайдеру и вы получили работающий интернет. Открываем раздел "IP - Routes".

    У вас тут уже будет два созданных, автоматически правила. Добавим новое. В поле:

    • Dst. Address - пишем 0.0.0.0 - это означает любой ip-адрес интернета
    • Gateway - шлюз через который нужно идти на адрес 0.0.0.0, это тот который вам дал провайдер.

    В поле "Check Gateway" выберем пункт ping и нажмем "Apply", этим мы проверим доступность нашего шлюза.

    Видим, что у нас определился ether2 и состояние reachable, означающее, что все хорошо. Сохраняем наши настройки маршрутизации на роутере микротик.

    Проверяем в командной строке с помощью команды ping, доступность ресурсов в интернете. Как видим ya.ru отвечает, это означает, что интернет на роутере MikroTik RB4011iGS у нас есть.

    Настройка безопасности на MikroTik RB4011iGS

    Настройка роутера микротик будет не полной, если мы не позаботимся, о безопасности нашего оборудования, нам необходимо снаружи запретить подключение. Для этого переходим в раздел "IP - FireWall"

    Нажимаем "New Rule', в пункте "Chain" выбираем input

    В "In. Interface" указываем наш интерфейс, куда воткнут провод провайдера. Далее в "Connection State" ставим галку "Invlid" и "New". После чего переходим на вкладку "Action"

    В действиях выбираем дропанье пакетов "drop".

    Вот так выглядит мое правило в списке.

    Настройка WIFI на MikroTik RB4011iGS

    Продолжаем нашу настройку роутера микротик, следующим важным шагом, будет настройка наших WIFI модулей, так как от этого зависит качество вашей скорости по без проводному подключению. Переходим в раздел "Wireless", видим наши два WIFI интерфейса, wlan1 и wlan2.

    Один отвечает за диапазон 2Ghz, второй за 5Ghz

    Для того, чтобы наш MikroTik RB4011iGS выступал в качестве точки доступа, нам необходимо на вкладке "Wireless"в пункте "Mode" выбрать режим "ap bridge".

    Выбираем поддерживаемые стандарты, в поле "Band" выберите для MikroTik RB4011iGS 5GHz A/N/AC

    Выбираем длину каналов "Channel Width" 20/40/80MHz XXXX, при такой настройке у меня давало спокойно 100 мбит интернета.

    В режиме "Frequency" выберите auto.

    Так как в каждой стране свои стандарты и разрешенные частоты, то очень важно выбрать правильную настройку на роутере микротик. Для России в поле "Country" выставите значение "russia3"

    В "Wireless Protocol" ставим 802.11

    Задаем нужное имя сети SSID, это то, как будет называться наш WIFI. Сохраняем настройки.

    Теперь открываем вкладку "Security Profiles". Имя оставляем по умолчанию, в режиме "Mode" ставим "Dynamic keys", ставим галку WPA2 PSK и задаем пароль доступа к WIFI, сохраняем настройки.

    Аналогично поступаем для второго модуля WIFI 2GHz, там настройки будут похожи:

    • Mode - ap bridge
    • Band - 2GHz-G/N
    • Frequency - auto
    • SSID - ABDG-2G
    • Country - Russia3

    Профиль безопасности, с паролем на WIFI сеть будет одинаков для каждого WIFI модуля и интерфейса wlan1 и wlan2

    Создание новой административной записи на MikroTik RB4011iGS

    Так как по умолчанию для настройки роутера Mikrotik мы использовали стандартную учетную запись Admin без пароля, то это нужно теперь поправить, чтобы злоумышленники не могли попасть к настройкам нашего оборудования. Для этого перейдите в пункт "System - Users"

    Создаем нового пользователя, придумываем ему логин, пароль и уровень прав FULL.

    отключаем встроенную учетную запись admin,

    Как видм под администратором уже не получается войти.

    Автоматическое обновление роутера MikroTik

    Так же в микротиках есть функция автоматического обновления, для этого откройте "System - Auto Upgrade"

    Тут вы сможете найти новые прошивки пакетов и самой RouterOS

    Резервное копирование настроек микротик

    Настройка роутера mikrotik не будет полной, если после всех манипуляций вы не сделаете резервной копии настроек, чтобы легко можно было развернуть все с нуля или откатиться после изменений. Откройте меню "Files" и нажмите кнопку "Backup" задайте имя резервной копии, пароль при необходимости.

    На этом базовую настройку роутера Mikrotik можно считать законченной. Мы с вами настроили работу роутера MikroTik RB4011iGS, подключили его к интернету, настроили WIFI, теперь небольшой офис может спокойно работать. С вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org.

    Mikrotik / RouterBOARD hAP: Пароль

    Примечание. Если вы не можете решить эту проблему, следуя этим инструкциям, мы можем помочь. Получите помощь от службы поддержки RouterCheck.



    Понимание проблемы «Неверный пароль администратора»

    Пароль администратора защищает маршрутизатор от несанкционированного доступа к его функциям.Плохо выбранный пароль позволяет хакерам легко скомпрометировать мир маршрутизаторов и домашних сетей. Сломанные маршрутизаторы подвергают все ваши домашние компьютеры дальнейшим атакам, что подвергает риску ваши конфиденциальные данные.

    К сожалению, многие люди никогда не меняют пароль администратора своего маршрутизатора по умолчанию, что делает его довольно легким для хакеров. Существуют даже веб-сайты, на которых вы можете найти пароль по умолчанию для любой модели маршрутизатора.Вот почему так важно использовать надежный пароль.

    Если RouterCheck определил, что у вас неверный пароль администратора, то либо пароль по умолчанию не был изменен, либо был выбран очень распространенный пароль, который легко угадать. В обоих случаях рекомендуется немедленно изменить пароль.


    Каков риск не решить эту проблему?

    Плохо выбранный пароль маршрутизатора — это всегда серьезная проблема.Многие люди имеют ложное чувство безопасности, потому что считают, что их домашняя сеть недоступна для хакеров через Интернет. Хотя это может быть правдой, это не означает, что пароль администратора маршрутизатора вне атаки.

    Хакеры обычно используют вирусы на компьютерах в домашней сети, чтобы попытаться проникнуть в этот маршрутизатор. Вы также можете использовать атаку CSRF (подделка межсайтовых запросов), которая использует вредоносные веб-сайты для использования определенных уязвимостей маршрутизатора.Суть в том, что пароль администратора маршрутизатора очень важен, и для него не следует устанавливать значение по умолчанию, иначе его значение легко угадать.

    Документация производителя

    Часто рекомендуется просмотреть документацию вашего маршрутизатора, чтобы узнать, как решить проблемы. Перейдите на веб-сайт поставщика поддержки, где вы можете загрузить документацию.


    Как решить проблему «Неверный пароль администратора»


    Шаг 1: Войдите в роутер

    Вы используете веб-браузер для взаимодействия с маршрутизатором и устранения проблем с его конфигурацией. Однако, прежде чем вы сможете общаться с браузером, вы должны войти в него. RouterCheck может дать вам подробные инструкции по входу в маршрутизатор.

    Шаг 2: Если вы успешно вошли в систему, откроется домашняя страница маршрутизатора.

    Шаг 3: Перейдите на страницу администратора.

    Поиск страниц в настройках администратора. Название страницы может быть похоже на:

    • Администратор
    • Администрация
    • Настройки администратора

    Перейдите на эту страницу, нажав соответствующие пункты меню и кнопки.

    Шаг 4: В случае успеха откроется страница администратора маршрутизатора.

    Шаг 5: Выберите новый пароль.

    Выбор нового пароля — очень важный шаг. Он защищает свой маршрутизатор и домашнюю сеть от злоумышленников.

    Не используйте общий пароль, такой как «пароль» или «qwerty».Выберите что-то немного редкое, но незабываемое для вас. Это зависит от системы безопасности.

    Шаг 6: смените пароль.

    Шаг 1: Найдите место для ввода нового пароля — возможно, поле под названием «Новый пароль».
    Шаг 2: При необходимости введите тот же пароль в другое поле под названием «Повторно введите новый пароль».
    Шаг 3: Нажмите кнопку «Применить».

    Шаг 7: Запомните новый пароль.

    Ключевой частью установки пароля является запоминание пароля. Маршрутизатор — это не обычный веб-сайт, который сбрасывает ваш пароль или мы пришлем вам подсказки, если вы его забудете. Если вы забыли пароль администратора маршрутизатора, единственный способ получить доступ к маршрутизатору — это сбросить настройки маршрутизатора к заводским настройкам по умолчанию.Это позволяет вам вернуться к маршрутизатору, но отменяет любые настройки маршрутизатора (Как настроить безопасность WiFi). Вы должны повторить эти настройки.

    При необходимости можно записать пароль роутера. Но:

    • Держите то, что вы записали, от посторонних глаз.
    • Вспомните, где вы это записали! Запись чего-либо не поможет, если вы не можете найти, куда это записать.

    Кроме того, вы можете хранить пароли в диспетчере паролей. pl [Менеджер паролей не только может помочь вам, создав пароль для вас, но и надежно сохранит пароль для вас, и вам не придется искать этот клочок бумаги.] И, скорее всего, Менеджер паролей войдет за вас на страницу администрирования WiFi. Если вы планируете использовать менеджер паролей, мы рекомендуем использовать Sticky Password.

    Шаг 8: Перезапустите RouterCheck.

    Теперь, когда проблема устранена, снова запустите RouterCheck, чтобы убедиться, что она действительно устранена.

    .

    Как сбросить пароль и настройки роутера MikroTik RouterBOARD? (МикроТик)

    Инструкции для обычных пользователей. Не для профессионалов и системных администраторов. Устройства MikroTik очень «гибкие» и есть много вариантов сброса. В этой статье я покажу и расскажу, как сбросить настройки до заводских на роутерах MikroTik RouterBOARD двумя способами: с помощью кнопки «Reset», «Res/WPS» или с помощью панели управления. Таким образом, вы можете сбросить пароль для входа в веб-интерфейс, если вы его установили и забыли.

    В качестве примера покажу модель MikroTik hAP Lite TC. Инструкции, которые подходят для других моделей. Есть некоторые нюансы по сравнению с роутерами других производителей. С первого раза, без каких-либо инструкций, сложно будет догадаться, как сделать сброс до заводских настроек.

    Не забывайте, что после выполнения этой процедуры абсолютно все параметры будут сброшены на значения по умолчанию. И придется перенастраивать роутер. Возможно, вашу проблему можно решить без сброса настроек.

    Сброс настроек MikroTik кнопкой

    Найдите на роутере кнопку "Reset", "Res" или "Res/WPS" (как на моем hAP Lite TC). Если кнопка утоплена в корпус, нажмите на нее острым предметом. Это выглядит так:

    Процедура:

    • Выключите маршрутизатор.
    • Нажмите и удерживайте кнопку «Сброс» или «Res».
    • Включите питание.
    • Удерживайте кнопку, пока индикатор «usr» не начнет активно мигать.Как только он начнет мигать, отпустите кнопку.
    • Все готово.

    Ничего сложного, но не как у других роутеров.

    Сброс через веб-интерфейс

    Этот способ не сработает, если вы забыли пароль от настроек и при попытке входа в веб-интерфейс получаете сообщение «Ошибка аутентификации: неверное имя пользователя или пароль». (Неправильное имя пользователя или пароль).

    В этом случае используйте метод, описанный выше.С помощью специальной кнопки.

    Чтобы сбросить настройки из панели управления, ее нужно сначала открыть. Для этого перейдите по адресу 192.168.88.1 в браузере. Я уже писал подробную инструкцию, как зайти в настройки MikroTik.

    В RouterOS на главной странице нажмите «Сбросить настройки» .

    Откроется другая страница, на которой можно выбрать различные параметры с помощью флажков. Но ничего не выбираем и снова нажимаем кнопку «Сбросить настройки».

    Если появится другой запрос, подтвердите его, нажав «ОК». После этого все настройки MikroTik и пароли будут сброшены на заводские.

    .

    192.168.88.1 - MikroTik (RouterOS) (MikroTik)

    вход роутера

    Решил открыть на этой странице раздел со статьями о роутерах MikroTik. И я решил начать с инструкции по входу в настройки роутера MikroTik. Давайте подробно рассмотрим, как войти в RouterOS (на которой работают эти сетевые устройства) по адресу 192.168.88.1 и разобраться с возможными проблемами. Когда не открывается сайт по адресу 192.168.88.1 и не заходит в настройки роутера.

    Многие из них обходят сайт роутеров MikroTik. Из-за этого они имеют очень сложный сетевой интерфейс и очень сложны в настройке. Операционная система RouterOS, на которой работают эти маршрутизаторы, немного сложна и сильно загружена различными настройками. С одной стороны, это плохо, так как простому пользователю, не знакомому с этими функциями, будет сложно найти и настроить функции. Но с другой стороны есть возможность тонкой настройки MikroTik. Кроме того, эти маршрутизаторы надежны и эффективны.И цена правильная.

    Это моя первая инструкция MikroTik и первое знакомство с самим брендом и системой RouterOS. И хочу сказать, что в этом нет ничего сложного. Все основные настройки можно задать на домашней странице (настройка Wi-Fi, подключение к интернету, смена пароля сетевого интерфейса) Просто подключитесь к роутеру MikroTik по сети Wi-Fi или сетевому кабелю, введите IP-адрес 192.168.1.1. 88.1 через браузер, задайте необходимые параметры и сохраните.

    Как ввести 192.168.88.1 в настройках роутера MikroTik?

    Устройство, с которого мы будем открывать настройки, должно быть подключено к роутеру. Вы можете подключиться через Wi-Fi. По умолчанию сеть открыта без пароля. Или по сетевому кабелю. В комплекте не было моего сетевого кабеля MikroTik hAP Lite TC, что очень плохо.

    На компе в свойствах подключения (через которое вы подключены к роутеру) должен автоматически получиться IP адрес.По умолчанию, как правило, все адреса получаются автоматически. Если веб-интерфейс роутера не открывается, необходимо сначала проверить эти параметры.

    Чтобы открыть панель микропроцессора MikroTik, нужно зайти в браузере по адресу http://192.168.88.1 . Подойдет любой браузер: Opera, Chrome, Internet Explorer и т.д.

    Вот так выглядит веб-интерфейс RouterOS:

    Как видно на скриншоте выше, вы можете установить практически все необходимые параметры на домашняя страница.Да, согласен, что если надо, например пробросить порт или что-то еще, придется копаться в настройках. Их очень много 🙂

    Почему не идет на 192.168.88.1?

    Самая распространенная проблема - не получается открыть настройки по IP адресу 192.168.88.1. Страница не открывается или появляется сообщение «Не удалось получить доступ к сайту», «Просмотреть страницу» и т. д.

    В этом случае попробуйте следующие решения:

    • Убедитесь, что свойства IPv4 вашего соединения установлены на автоматически загрузить все адреса.
      Подробнее об этом читайте здесь.
    • Убедитесь, что вы подключены к роутеру MikroTik. Доступа в Интернет может не быть. Интернет не нужен для ввода адреса 192.168.88.1.
    • Сброс настроек роутера.
    • По умолчанию после входа в настройки RouterOS пароль вводить не нужно. Но вы можете установить его. Если вам будет предложено ввести пароль, который вы не знаете, или вы увидите сообщение «Неверный пароль», вам также потребуется сбросить настройки маршрутизатора.
    • Подробнее об этом можно прочитать в статье: не заходит в настройки роутера. Не обращайте внимания, что статья написана на примере других IP-адресов, а не 192.168.88.1.
    • Попробуйте открыть панель управления из другого браузера или устройства.

    Надеюсь, вы сможете войти в настройки роутера MikroTik. У меня вообще не было проблем, все даже проще, чем с другими роутерами популярных фирм. Почему проще? Нет пароля по умолчанию на сеть Wi-Fi и доступ к веб-интерфейсу.Зайти в RouterOS не сложно, а вот разобраться... 🙂

    .

    Восстановление пароля для MikroTik 9000 1

    последнее обновление: 28.11.2012

    ВНИМАНИЕ: Автор не несет НИКАКОЙ ответственности за любое использование, которое может быть сделано в результате использования этого описания, программ, содержащихся на этом сайте, или использования, которое может быть сделано из информации, содержащейся на нем. Это описание и все материалы предоставлены исключительно в ознакомительных целях.
    Информация на сайте и программе mtpass предназначена * ТОЛЬКО * для администраторов и/или владельцев микротиков, которые хотят восстановить свой пароль без потери конфигурации.Использование информации, содержащейся здесь, для любых других целей (например, для нарушения безопасности сети) является нарушением закона!

    ПРИМЕЧАНИЕ2: Англоязычная версия сайта может содержать более полную/актуальную информацию. Согласно информации на MikroTika wiki, невозможно восстановить пароли без потери всей конфигурации. Это неправда - что я и попытаюсь доказать в этом туториале :)

    Новости

    2012-11-28: новая версия программы: mtpass-0.9.tar.bz2 (сборочные исправления для gcc 4.7.2)
    2012-01-29: новая версия программы: mtpass-0.8.tar.bz2 (дальнейшие исправления для более новой RouterOS)
    15.08.2011: новая версия программы: mtpass-0.7.tar.bz2 (исправлена ​​работа файлов RouterOS 5.5)
    2010-10-12: новая версия программы: mtpass-0.6.tar.bz2 (исправлена ​​компиляция на новее g++)
    17.12.2009: добавлено изображение и информация о RB411 с чипсетом AR8012
    Ethernet. 2009-10-06: Добавлена ​​информация о RB1xx
    2009-03-26: новая версия программы: mtpass-0.5.tar.bz2 (улучшено восстановление паролей длиннее 16 символов)
    17.03.2009: новая версия программы: mtpass-0.4.tar.bz2 (множество исправлений ошибок, возможность восстановления паролей из файлов резервных копий и полных дампов прошивки)
    2008-12-13: Добавлена ​​информация о RB411
    08.12.2008: новая версия программы: mtpass-0.3.tar.bz2 (реализован алгоритм построения ключей xor)
    23.01.2008: новая версия программы: mtpass-0.2.tar.bz2 (расшифровывает пароли всех пользователей)

    Необходимое оборудование

    - компьютер (в "полевых" условиях ноутбук очень пригодится) :)
    - RouterBoard (тестировал на версиях 532, 532A и 411 - описанный метод должен, однако, работать на всех RouterBoard, поддерживаемых OpenWrt, Cesco тестировал на RB133C)
    - консольный кабель для последовательного подключения через RS
    - нужна витая пара

    Soft

    - Поскольку я не признаю "единственно правильную операционную систему" поэтому все описание будет основано на Linux, дистрибутив не должен иметь большого значения, хотя описание для Debian
    - сервер dhcp (я использовал isc dhcp)
    - сервер tftp (я использовал tftp-hpa)
    - minicom (для последовательной связи)
    - netcat
    -... и моя программа mtpass :)

    Вот так...

    Наши действия будут сводиться к настройке RouterBoard для запуска системы по сети. Вот как мы загружаем наш Linux, с которым извлеките соответствующий файл паролей из образа RouterOS. А потом уже на компьютере расшифровываем пароли.

    1. Конфигурация Minicom
    Если не указано иное, стандартный консольный порт RouterBoard работает с параметрами передачи: 115200, 8N1. Таким образом, вы должны настроить миником таким образом.Если вы запускаете minicom в первый раз, запустите его с переключателем, который позволяет установить: # миником -с Мы выбираем «Настройка последовательного порта», и появляется меню параметров. В моем случае я выставил параметры так:

     A - Серийное устройство: /dev/ttyUSB0 E - бит/с/пар/бит: 115200 8N1 F — аппаратное управление потоком данных: Да G — Программное управление потоком данных: Нет. 
    Я ввел порт /dev/ttyUSB0, потому что использовал преобразователь USBRS232. Если это стандартный порт COM1/COM2, то вы, конечно, должны ввести /dev/ttyS0 или /dev/ttyS1
    После настройки подтвердите, нажав Enter, и перейдите в главное меню.Теперь осталось только сохранить настройки, выбрав:
    «Сохранить настройку как dfl», и мы настроили minicom.

    2. Сервер dhcp+tftp
    Сервер dhcp должен быть настроен таким образом, чтобы он выдавал адрес MikroTik и после запроса образа отдавал ему соответствующий путь к образу системы. Как настроить dhcp сервер для загрузки по сети это совсем другая тема описание - так что ограничусь необходимым минимумом :)
    файл dhcpd.conf который я использовал:

     время аренды по умолчанию 21600; максимальное время аренды 43200; вариант серверы доменных имен 10.0,0,1; опция netbios-name-servers 10.0.0.1; опция netbios-node-type 8; вариант www-сервера 10.0.0.1; авторитетный; разрешить загрузку; разрешить загрузку; подсеть 10.0.0.0 сетевая маска 255.255.255.0 { вариант маршрутизатора 10.0.0.1; опция маска подсети 255.255.255.0; широковещательный адрес опции 10.0.0.255; имя файла "/tftpboot/linuxrc"; диапазон 10.0.0.10 10.0.0.100; } 
    В каталог /tftpboot/ поместите файл linuxrc. Это прошивка OpenWrt (камикадзе). Оставил он скомпилирован с опцией загрузки с виртуального диска, что является обязательным, поскольку мы не хотим нарушать существующую систему RouterOS в памяти NAND.В прошивке постоянно скомпилирован интерфейс eth0 по адресу 10.0.0.10.
    Для тех, кто заинтересован в компиляции OpenWrt самостоятельно, я предоставляю файл конфигурации (для kamikaze 7.09): .config

    RB411: для RB411 нужно другое ядро ​​(которое нужно заменить на /tftpboot/linuxrc):
    http://wifi.ozo.com/airo/openwrt/firmware/kamikaze/2.6 /ar71xx/12846/openwrt-ar71xx-vmlinux-initramfs.elf

    RB411 с чипсетом AR8012 Ethernet: Благодаря Миреку я узнал, что есть версия RB411 с измененным чипсетом Ethernet (AR8012 вместо KSZ8041NL)
    ://forum .openwrt.org/viewtopic.php?id=22776
    Мирек протестировал восстановление пароля на самостоятельно скомпилированном образе OpenWRT: openwrt-ar71xx-vmlinux-initramfs.elf

    RB1xx: Cesco скомпилировал kamikaze 8.09 для процессора Infineon ADM5120 на каждом RB1xx) — затем загрузите и вставьте следующий файл вместо /tftpboot/linuxrc:
    openwrt-adm5120-vmlinux.elf

    для пакета tftp-сервера от Fedora) вы должны указать путь к файлу относительно chroot-каталога — в этом случае запись выглядит так:

     имя файла "/linuxrc"; 
    3. Итак, поехали :)
    Следующее описание основано на RouterBoard 532 (но я тестировал этот метод также на версиях 532A и 411).
    Подключаем микротик к компу консольным кабелем, и проделываем то же самое с витой парой - разве что он должен быть подключен к основному порту в микротике - часто на него наклеена наклейка PoE.Если мы еще этого не сделали, присваиваем адрес сетевой карте на компьютере и запускаем dhcp-сервер:
     # ifconfig eth0 10.0.0.1 вверх # invoke-rc.d запуск dhcp 
    запускаем миником без инициализации модема (он нам просто не нужен):
     # minicom -o 
    и если система уже запущена на роутерборде, ее следует перезапустить; если не - подключаем к блоку питания - сразу после этого BIOS RouterBoard должен отчитаться в консоли:
     Загрузчик RouterBOOT 1.5 RouterBoard 532 Частота процессора: 264 МГц Объем памяти: 32 МБ Нажмите любую клавишу в течение 1 секунды, чтобы войти в настройки 
    На данный момент у нас есть одна секунда, чтобы нажать любую клавишу (это время можно увеличить позже)
    В случае секунды, вы должны сделать это довольно быстро, и если вы это сделаете, появится главное меню:
     РоутерBOOT-1.5 Что вы хотите настроить? г - задержка загрузки k - загрузочный ключ s - последовательная консоль о - загрузочное устройство у - режим процессора f - попробовать частоту процессора c - сохранить частоту процессора r - сбросить конфигурацию г - обновление прошивки я - информация о плате p - протокол загрузки t - сделать тест памяти х - выйти из настройки твой выбор: 
    мы настаиваем на:
     на ваш выбор: o - загрузочное устройство Выберите загрузочное устройство: e - загрузка через Ethernet *n - загрузка с NAND в - загрузка с CF 1 - загрузка Ethernet один раз, затем NAND 2 - загрузка Ethernet один раз, затем CF b - загрузить выбранное устройство твой выбор: 
    Если загружаемся с NAND по умолчанию выбираем:
    загрузите Ethernet один раз, затем NAND - то есть 1
    если же мы загружаемся с CF (звездочка будет рядом с c) выбираем 2.
    В моем случае я выбрал 1, вернувшись в главное меню.
    Затем я выбрал вариант выбора протокола (p):
     РоутерBOOT-1.5 Что вы хотите настроить? г - задержка загрузки k - загрузочный ключ s - последовательная консоль о - загрузочное устройство у - режим процессора f - попробовать частоту процессора c - сохранить частоту процессора r - сбросить конфигурацию г - обновление прошивки я - информация о плате p - протокол загрузки t - сделать тест памяти х - выйти из настройки на ваш выбор: p - протокол загрузки 
    а затем я выбрал протокол dhcp (2):
     Выберите, какой протокол загрузки использовать: 1 - загрузочный протокол * 2 - протокол dhcp на ваш выбор: 2 - протокол dhcp 
    Вернувшись в главное меню, выбираем x, то есть сохраняем настройки и перезагружаем наше ядро:
     РоутерBOOT-1.5 Что вы хотите настроить? г - задержка загрузки k - загрузочный ключ s - последовательная консоль о - загрузочное устройство у - режим процессора f - попробовать частоту процессора c - сохранить частоту процессора r - сбросить конфигурацию г - обновление прошивки я - информация о плате p - протокол загрузки t - сделать тест памяти х - выйти из настройки на ваш выбор: x - выйти из настройки запись настроек во флеш... ок RouterBOOT загрузчик 1.5 RouterBoard 532 Частота процессора: 264 МГц Объем памяти: 32 МБ Нажмите любую клавишу в течение 1 секунды, чтобы войти в настройки.запись настроек во флеш... ок пробую протокол dhcp... OK разрешенный mac-адрес 00:1B:FC:41:BE:43 Шлюз: 10.0.0.1 * передача начата ................................ передача в порядке, время = 1,8 с настройка образа эльфа... ок переход к коду ядра [...тут у нас много информации от ядра...] Инициализация запущена: BusyBox v1.4.2 (15 января 2008 г., 11:43:12 CET) двоичный код с несколькими вызовами Пожалуйста, нажмите Enter, чтобы активировать эту консоль. Универсальный драйвер PPP версии 2.4.2 
    После нажатия энтера у нас работает собственный линукс на микротике:
     Бизибокс v1.4.2 (2008-01-15 11:43:12 CET) Встроенный корпус (ясень) Введите «help», чтобы получить список встроенных команд. _______ ________ __ | |. -----. ----- .-----. | | |.----.| |_ | - || _ | -__ | || | | || _ || _ | |_______ || __ |_____ |__ |__ ||________ ||__ | |____ | |__ | W I R E L E S S F R E E D O M КАМИКАДЗЕ (7.09) -------------------------------------------------- * 10 унций водки Хорошо встряхнуть со льдом и процедить * 10 унций смеси Triple sec в 10 рюмках.* 10 унций сока лайма Салют! -------------------------------------------------- - корень @ OpenWrt: / # 
    4. Крепление
    Теперь вам просто нужно смонтировать память NAND и отправить себе файл паролей. Для верности проверяем, обнаружило ли ядро ​​память NAND:
     #кот/прок/мтд разработчик: размер стереть имя mtd0: 00400000 00020000 «Загрузка RouterBoard NAND» mtd1: 07c00000 00020000 «Главная NAND RouterBoard» 
    У меня при 128Мб NAND памяти все выглядит так же, как и выше - не знаю, как будет в случае других емкостей.Здесь, однако, следует сделать важное замечание — я не знаю, сколько правды, во всяком случае, «у меня были уши», что потеря данных может произойти при монтаже памяти NAND (даже при монтаже в только для чтения). Мне не удалось туда попасть, но это не значит, что этого не может случиться с вами!
    Теперь пришло время смонтировать NAND (только для чтения): # mount -t yaffs2 -o ro /dev/mtdblock1 /mnt Примечание. В случае с RB411 структура разделов, обнаруженная ядром, была следующей: Создание 3 разделов MTD на "NAND 64MiB 3,3V 8-bit":
    0x00000000-0x00040000: "booter"
    0x00040000-0x00400000: "kernel"
    0x00400000-0x04000000: "root" 900fs ... поэтому вместо /dev/mtdblock1 пришлось монтировать /dev/mtdblock2

    Файловая система уже должна быть смонтирована. В файле /mnt/nova/store/user.dat (в более новых версиях RouterOS путь к файлу: /mnt/rw/store/user.dat) нас интересуют данные - то есть зашифрованный пароль :)
    Раньше я отправлял очень простым способом - с микротика с помощью netcat отправляю на комп (у которого netcat работает в режиме приема).

    На компьютере необходимо сначала запустить netcat, прослушивающий порт 7878: /bin/netcat -l -p 7878 > пользователь.дата ... и отправляем себе файл от микротика: кот /mnt/nova/store/user.dat|nc 10.0.0.1 7878 Таким простым способом у нас есть интересующий нас файл на компьютере. Следующий перезапуск микротика должен быть стандартным - с того носителя, который мы настроили.
    Можем смело отсоединять кабели к микротику :)

    5. 283i4jfkai3389 - вот что происходит :)
    Время на десерт - пароли внутри файла зашифрованы - к счастью не так страшно - после моего анализа выяснилось что пароли были зашифрованы методом XOR.Для расшифровки паролей для каждой учетной записи пользователя должны использоваться разные ключи дешифрования.
    Итак, я написал программу, которая принимает в качестве параметра имя файла (в нашем случае: user.dat), и в результате показывает пароли. Я тестировал апплет на трех разных Микротикач и результаты в порядке - но я не могу гарантировать, что метод шифрования не изменится в будущем - и я не проверял, работает ли он на всех версиях RouterOS. Если это не работает для вас, пожалуйста, свяжитесь со мной.
    К сожалению, на данный момент я не знаю алгоритма расшифровки ключа - поэтому мой апплет основан на ключах, которые я собрал до сих пор - если у вас есть к счастью, ваши пароли будут правильно расшифрованы - иначе вместо пароля вы увидите кусты :(.
    Update 2008-12-08: наконец нашел время... и мне удалось отработать алгоритм :) Это работает так: к имени пользователя добавляется постоянная строка "283i4jfkai3389" и из суммы этого "конгломерата" вычисляется сумма md5.Подсчитанная сумма и есть ключ к расшифровке пароля :)
    просто - правда? :) - Я реализовал алгоритм из версии 0.3 моей программы.

    Исходники программы можно скачать отсюда: mtpass-latest.tar.bz2, а потом распаковать, скомпилировать и запустить.
    Запускаем программу:

     # ./mtpass user.dat mtpass v0.3 - инструмент для восстановления пароля MikroTik RouterOS, (c) 2008 г., автор manio Чтение файла user.dat длиной 166 байт № записи | Имя пользователя | Пароль | Отключить флаг | Комментарий пользователя -------------------------------------------------- --------------------------------------------------------- 1 | администратор | секретный пропуск | | системный пользователь по умолчанию 
    Что ж, у нас есть то, что мы искали :)
    Я надеюсь, что урок был полезен, и что ни у кого не было NAND :)
    С Уважением! И несколько ссылок на десерт...

    Восстановление паролей из резервных копий:

    Может случиться так, что вы забыли/потеряли пароль от микротика, но у вас где-то сохранен файл резервной копии. Файлы резервных копий создаются RouterOS и сохраняются в формате:
    . MikroTik-DDMMYYYY-HHMM.backup
    Начиная с версии 0.4, mtpass также может восстанавливать пароли из этих файлов. Вам просто нужно переопределить mtpass с параметром, называемым файлом резервной копии, например:
     # ./mtpass MikroTik-02082008-1346.backup 
    То же самое применимо, когда вы сделали резервную копию всей флэш-памяти, т.е.все устройство /dev/mtdblock (см. пункт 4 выше). Тогда это также должно дать для восстановления паролей.

    Ссылки:

    - Анализ безопасности маршрутизатора MikroTik: небезопасный сетевой протокол
    - Анализ безопасности маршрутизатора MikroTik: обнаружение скрытого модуля ядра в двоичном файле
    - Анализ безопасности маршрутизатора MikroTik: слабое хранилище/шифрование паролей
    - OpenWrt
    - RouterBOARD 500
    - RB500 Linux SDK
    - Установка Debian Sarge на Rouberboard 532

    © 2008 by manio

    .

    Как настроить Mikrotik mAP Lite в качестве клиента WiFi?

    Mikrotik mAP Lite — компактное устройство с программным обеспечением RouterOS. Благодаря этому можно сделать любую, даже очень сложную конфигурацию. Тем не менее, это руководство покажет вам, как настроить ваше устройство в качестве клиента WiFi простым и быстрым способом. Используя мастер настройки Quick Set , даже неопытный установщик без проблем справится.

    Приложение Mikrotika mAP Lite

    RBmAPL-2nD, т.е. рассматриваемый mAP Lite, представляет собой устройство с очень маленькими габаритами, ровно 48х49х11мм.Его можно установить практически в любом месте, даже в корпусе другого устройства. Дополнительным преимуществом является блок питания, ведь он может питаться напряжением 5В через порт microUSB, а также напряжением в диапазоне 10-60В с использованием Passive PoE или стандарта 802.3af/at. Благодаря этим функциям его можно использовать в нестандартных ситуациях, когда по независящим от нас причинам мы не можем установить проводное соединение.

    Пример использования mAP Lite в качестве беспроводного клиента:

    • Подключение регистратора к существующей сети WiFi
    • Подключение клавиатуры INT-TSI к сети WiFi
    • Подключение ПКП к сети
    • WiFi

    Чтобы собранные устройства были надежными, их необходимо соединить проводами.Беспроводное решение следует рассматривать в крайнем случае!

    Подготовка к настройке модуля map Lite в winbox

    По умолчанию устройство работает в режиме AP, т.е. является точкой доступа. Это означает, что после подключения к источнику питания mAP Lite транслирует сеть WiFi, к которой мы можем подключиться и настроить ее. Однако мы хотим, чтобы устройство работало в режиме AP Client, т.е. было клиентом WiFI. По этой причине мы должны выполнить проводную настройку, подключив устройство к компьютеру кабелем UTP.

    Нам нужно:

    • Компьютер с проводным сетевым адаптером
    • Соединительный кабель
    • Программное обеспечение WinBox (можно скачать здесь)

    WinBox — это специальное программное обеспечение для настройки и поиска устройств Mikrotik. На первый взгляд это выглядит как обширный инструмент, но мы будем использовать мастер настройки, который сократит весь процесс до нескольких шагов.

    Конфигурация модуля Mikrotik в программе winbox

    Подключить устройство к источнику питания и к компьютеру.Запускаем приложение WinBox, затем переходим во вкладку «Соседи», где приложение должно искать наше устройство. Если мы его не видим, нажмите кнопку «Обновить», чтобы обновить список устройств.

    Существует два способа подключения к устройству. Первый — использовать IP-адрес устройства по умолчанию (192.168.88.1), второй — подключиться с использованием MAC-адреса. При таком способе настройки лучшим решением будет подключение с использованием MAC-адреса, так как после настройки IP-адрес может измениться и мы будем отключены от устройства.

    В списке найденных устройств нажмите на MAC-адрес [1], который будет автоматически заполнен в месте «Подключиться к» [2].

    Затем введите данные для входа. На новом устройстве они такие:
    логин: admin
    пароль: пустой

    После подключения появится сообщение о том, что устройство настроено по умолчанию. Нажмите кнопку «Удалить конфигурацию» , чтобы удалить эту конфигурацию, поскольку мы будем использовать мастер быстрой настройки.

    При удалении конфигурации по умолчанию удаляется IP-адрес (192.168.88.1), поэтому мы использовали подключение по MAC-адресу.

    Теперь можно перейти к правильной настройке mAP Lite. Опции конфигурации доступны в правой части программы. Мы будем использовать мастер настройки Qucik Set [1]. После выбора этой опции появится окно конфигурации, где мы выбираем режим работы CPE [2]:

    Первым шагом будет подключение устройства к существующей сети WiFi.

    Выбираем страну, в которой используем устройство, затем в списке доступных беспроводных сетей выбираем ту, с которой хотим установить соединение. Введите пароль для доступа к сети и нажмите кнопку Connect. Микротик подключится к сети, и окно изменится, чтобы показать статус подключения и качество передачи.

    В правой части окна выберите режим работы Мост и способ получения IP-адреса Автоматический с интерфейса WLAN. Это позволит mAP Lite автоматически получать IP-адрес от существующего DHCP-сервера на стороне беспроводной сети (WLAN).

    Последним шагом является присвоение устройству имени, чтобы его было легче найти с помощью WinBox или другой сетевой утилиты. Наконец, вводим пароль доступа к mAP Lite, который следует сохранить в надежном месте.

    Все - нажимаем кнопку сохранения для сохранения конфигурации. Устройство перезагрузится и получит IP-адрес от DHCP-сервера.Теперь мы можем подключить его к целевому устройству, которое должно иметь доступ к Интернету.

    .

    Базовые настройки роутера - blog.hnatyszyn.pl

    Сначала назовем сетевые интерфейсы и включим интерфейс WiFi. Переходим на вкладку Интерфейсы . Дважды щелкните ether1 и измените имя, например, на WAN . Щелкните правой кнопкой мыши wlan1 и выберите Включить (Ctrl + E). Мы также можем назвать этот интерфейс в честь нашего собственного.

    Теперь создадим мост на остальных интерфейсах, кроме ether1.Для создания ЛВС. Нажмите +. Назовем этот мост LAN. Переходим на вкладку порт и +добавляем интерфейсы в бридж. Интерфейс от ether2 к ether4 и wlan1, бридж LAN.

    Нам все еще нужно изменить имя хоста, чтобы распознать устройство в сети. Выберите Система -> Личность. Вводим ваше имя.

    Сменить пароль на MikroTik. Система -> Пароль. Введите старый пароль (по умолчанию отсутствует) и новый дважды ниже и подтвердите.

    Нам нужно назначить адрес в локальной сети.На вкладке IP выберите адреса . Добавляем новый вверх ногами. В поле address введите адрес с короткой маской, например, 192.168.66.1/24 и сетевой адрес. В данном случае 192.168.66.0 . Интерфейс, на котором он должен работать, конечно же, LAN .

    Настроим DHCP-сервер. Мы начнем с создания пула адресов. IP -> Пул. С другой стороны, мы добавляем новый пул. Мы можем назвать пул и указать диапазон доступных адресов. В моем случае это 192.168.66.2-192.168.66.220.

    Теперь переходим к настройкам DHCP-сервера. Выберите DHCP-сервер на вкладке IP. С другой стороны, мы добавляем новый сервер. Мы даем имя, интерфейс, на котором должен работать сетевой мост, и пул адресов, который мы только что создали.

    Чтобы роутер соответствовал своим требованиям, нам необходимо обеспечить интернет-соединение. Заходим в настройки брандмауэра - IP -> Брандмауэр . Вверху перейдите на вкладку NAT .С другой стороны, мы добавляем новое правило. Во вкладке General введите в поле Src. Адрес сокращенный сетевой адрес с маской, например 192.168.66.0/24 . В Ушел. Интерфейс , выбираем порт с WAN — в моем случае это ether1-WAN .

    Мы должны установить, какое действие будет происходить. Перейдите на вкладку Action и выберите Masquerade в поле Action .

    Нам нужно только задать маршрут.Вводим IP -> Маршруты . Добавляем новый с преимуществом. Введите адрес шлюза в поле Gateway . В моем случае 192.168.0.1 .

    Наконец, нам нужно установить адрес на порту WAN. Самый простой способ — включить DHCP-клиент на этом порту. Открываем IP -> DHCP Client . С другой стороны, мы добавляем новую запись. Выставляем интерфейс на порт 1.

    Теперь маршрутизатор настроен.

    .

    Взлом пароля роутера - [THC-HYDRA HACKING GUIDE]

    Как взломать пароль роутера? А точнее, как восстановить пароль роутера! Оказывается, это не так уж и сложно (фильм в конце записи). Вы когда-нибудь забывали пароль от роутера и не хотите восстанавливать заводские настройки устройства, опасаясь проблемы с его настройкой? Или, может быть, вы задаетесь вопросом, как взломать пароль Wi-Fi?

    Решений несколько, но я опишу только один способ получить пароль роутера .Обратите внимание, что попытка получить доступ к не нашему устройству - является преступлением , поэтому мое описание в форме "КАК ВОССТАНОВИТЬ" а не "КАК ВЗЛОМАТЬ" .

    Пароль маршрутизатора по умолчанию!

    Первым шагом является проверка пароля по умолчанию для маршрутизатора. Почему? Потому что пароль по умолчанию может сэкономить нам много драгоценного времени. Что такое «пароль по умолчанию»? Это пароль, данный «из новостей» производителем устройства, с помощью которого мы получим доступ к конфигурации роутера.Если его не меняли то.. мы счастливы 🙂

    Где взять такой пароль?

    Сброс маршрутизатора - способ 2

    Другой метод, но немного проблематичный, это восстановление настроек по умолчанию маршрутизатора . Ищем кнопку на устройстве, затем нажимаем (обычно чем-то тонким) на несколько секунд эту кнопку. Готовый! Единственное, что вам сейчас нужно сделать, это войти с паролем роутера по умолчанию (предыдущий пункт) в роутер и сменить пароль на новый.Это делает хакер ? Не знаю…

    Внимание! Такой сброс приводит к потере настроек роутера , если мы не можем настроить роутер, пожалуйста, повремените! Может получиться так, что мы потеряем доступ к интернету из-за отсутствия должной настройки.

    Итак, как взломать пароль роутера?

    Метод, который мы будем использовать, широко известен как грубая сила ( грубая сила ). Точнее, это его разновидность, т.е. атака по словарю . Цитируя Википедию это:

    Атака по словарю - техника, используемая для принудительного подбора криптографических ключей и паролей к системам, по своей работе аналогична методу полного перебора. Основное отличие используемых подходов заключается в способе подбора паролей, подлежащих последовательной проверке. В то время как при чистой атаке полным перебором все допустимые комбинации клавиш проверяются последовательно, чтобы найти правильный шаблон, атаки по словарю основаны только на проверке небольшого подмножества возможных значений, которое, как известно, непропорционально часто используется при выборе пароли - на примере списка слов, встречающихся в данном языке, или исторической базы популярных терминов.

    Весь процесс автоматизирован и состоит из нескольких шагов [АЛГОРИТМ СЛОВ]: это правильный пароль "

  • Попытка войти с данным паролем
  • Если правильный, запишите его и закончите, если нет, повторите предыдущие шаги со следующими словами из словаря
  • Блок-схема простейшая атака по словарю

    Что нам понадобится для атаки полным перебором?

    • Бесплатно THC-Hydra
    • Бесплатная операционная система Linux (ДОПОЛНИТЕЛЬНО)
    • Бесплатная виртуальная машина (или установлена ​​система Linux) (ДОПОЛНИТЕЛЬНО) !

      Используя этот метод, мы также получим пароль WiFi (или мы его изменим).

      Начинаем хакерскую атаку №1!

      Качаем приложения THC-Hydra для Windows (для Windows, но требует cygwin) или Linux, используется для тестирования и проникновения в вашу безопасность под тестами безопасности. К сожалению, на официальном сайте проекта Hydra есть только нескомпилированные исходники (требуется cygwin), поэтому ниже я привожу скомпилированную версию THC-Hydra для Windows.

      1. Распакуйте скачанный архив THC-Hydra Windows.zip , используя, например, WinRar или 7-Zip.
      2. Вводим в вашей операционной системе Пуск -> Все программы -> Стандартные -> Командная строка
      3. Когда запускаем черную консоль, вписываем ее путь в кавычках к файлу Hydra.exe из распакованной папки, например: " C:\Users\HakerEduPl\Desktop\THC-Hydra_Windows\hydra.exe"
      4. Если мы получим длинное приглашение, начинающееся с:
          Hydra v6.0 [http://www.thc.org] (c) 2011 by van Hauser / [email protected] THC-Hydra_Windows / гидра [[[-l ВХОД | -L ФАЙЛ] [-p ПРОХОД | -P ФАЙЛ] ] | [-C FILE]] [-en ns] [-4/6] (...)  
      5. Значит наша гидра работает исправно. Время попробовать восстановить пароль к роутеру методом словаря !
      6. Последнее, что нам нужно найти, это словарь, представляющий собой текстовый файл, содержащий возможные пароли, расположенные один под другим (каждый на новой строке). В Интернете и на таких сайтах, как chomikuj.pl можно найти огромные словари размером до нескольких гигабайт. Например, я ввел фразу «names.txt» в поисковик Google. Сохранив файл name.txt на диск, мы готовы выполнить атаку по словарю для восстановления пароля к роутеру.
      7. В черной консоли Командной строки введите: cd "C:\Users\HakerEduPl\Desktop\THC-Hydra_Windows\" облегчит нам выполнение команды (нам не придется вводить весь path, cd эквивалентно входу в системную папку Windows (смена каталога)).
      8. Вставить файл словаря names.txt
      9. в папку с Hydra.exe (обычным способом Windows). параметры программы Hydra:
        • Hydra.exe - имя запускаемой программы
        • -l admin - потенциальный логин на роутер который будет проверяться (обычно это admin, смотрите инструкцию!)
        • -П имена.txt - набор потенциальных записей в словаре
        • -en ns - в особых случаях (например, без пароля (пробелов)) использует логин в качестве пароля, чтобы не прерывать процесс проверки
        • -t 10 - количество потоков в системе (иногда может ускорить процесс многопоточности)
        • -f - параметр какой-то FINISH, говорит немедленно прекратить попытки, если найдем правильный логин и пароль
        • - V - т.е. "подробный режим", выводит при каждой попытке входа информацию (можно попробовать понять еще -v или -vV ).
        • 192.168.0.1 - IP адрес где находится роутер
        • http-get/ - способ передачи данных для входа -get/index.html (вам просто нужно знать, какой скрипт проверяет данные для входа) или с /index.asp . Это можно проверить с помощью плагина для Mozilla Tamper Data .

          Начинаем атаку №2 (то же самое в операционной системе Linux)

          1. Качаем систему Linux какую порекомендую? На мой взгляд, лучшим решением в данном случае является система Pentoo или Kali Linux. Во-первых: он имеет thc-hydre , скомпилированный и установленный. Во-вторых, это самый маленький размер систем Hacking . Другой вариант: BackTrack или BackBox .
          2. Качаем программу для работы с виртуальными машинами VirtualBox . Это не относится к людям, у которых уже установлен Linux. Как запустить систему Pentoo с виртуальной машиной? Дело простое, скачанный образ .iso запускается с VirtualBox.Как? Я не буду объяснять это, потому что дело простое.
            Для более темных рекомендую следующие ссылки:
            -VirtualBox Tutorial - Создание конфигурации и использование виртуальных машин
            -VirtualBox презентация YouTube PL
          3. Запускаем систему в VirtualBox, она спросит нас, какую раскладку клавиатуры мы предпочитаем, польский эх ? (№ 28 ).
          4. Через некоторое время мы в консоли линукса, работать в ней не хотим, поэтому запускаем графическое окружение похожее на винду набрав startx
          5. Через некоторое время мы увидим рабочий стол, на внизу мы нажимаем Эмулятор терминала (это похоже на консоль) и теперь мы можем работать так же, как в Windows (cd - это смена папки), в системах этого типа установлена ​​гидра, поэтому просто введите:
              гидра -l admin -П им.txt -en ns -t 10 -f -V 192.168.0.1 http-get/ 

          Помните, что нам нужен словарь и т. д. (можно указать полный путь к словарю).

          В общем, стоит поиграть с этим типом системы, потому что в меню установлено множество инструментов для взлома тестирования безопасности собственных сайтов. В качестве любопытства скажу, что thc-hydra позволяет не только восстановить пароль к роутеру, но и почту , страницы в, базы данных или практически любой другой интернет-сервис, вот цитата авторов :

          В настоящее время этот инструмент поддерживает: Asterisk, AFP, Cisco AAA, аутентификацию Cisco, включение Cisco, CVS, Firebird, FTP, HTTP-FORM-GET, HTTP-FORM-POST, HTTP-GET, HTTP-HEAD, HTTP- ПРОКСИ, HTTPS-FORM-GET, HTTPS-FORM-POST, HTTPS-GET, HTTPS-HEAD, HTTP-Proxy, ICQ, IMAP, IRC, LDAP, MS-SQL, MYSQL, NCP, NNTP, Oracle Listener, Oracle SID, Oracle, PC-Anywhere, PCNFS, POP3, POSTGRES, RDP, Rexec, Rlogin, Rsh, SAP/R3, SIP, SMB, SMTP, SMTP Enum, SNMP, SOCKS5, SSH (v1 и v2), Subversion, Teamspeak (TS2) , Telnet, VMware-Auth, VNC и XMPP.

          Теперь вы знаете как взломать пароль Wi-Fi и роутера. Как бы вы взламывали пароли для своей беспроводной сети WiFi? Просто добраться до маршрутизатора, а затем изменить пароль доступа к WiFi. И здесь нам все равно, будет ли безопасность WPA, WEP или WPA2.

          Взлом пароля роутера - видео

          Видео о взломе пароля на вайфай роутер можно бесплатно посмотреть на нашей видео платформе:

          Как восстановить пароль на вайфай роутере?

          Приветствую! 😉

          .

          Смотрите также

    Только новые статьи

    Введите свой e-mail

    Видео-курс

    Blender для новичков

    Ваше имя:Ваш E-Mail: