Настройка Mikrotik для офисных либо домашних нужд. Часть 1.

Микротик – бюджетное сетевое оборудование с которым я познакомился лет 7 назад, тогда ещё железки были либо дорогие (хотя сравнительно дешевле брендового оборудования типа Cisco) и достать Mikrotik на тот момент было достаточно сложно, если не ошибаюсь продавала лишь 1 компания в Москве, но, можно было купить версию для ПК (как и сейчас). Возникла необходимость как минимум контролировать трафик филиалов, а так же поднимать VPN для удаленного решения срочных вопросов филиалов, ну и кроме того безусловно хотелось максимальную безопасность, так как до этого интернет раздавался и поднимался по средствам машины на Windows XP одного из сотрудников филиала, что, в принципе было не очень хорошим вариантом как по безопасности так и по надежности.

В итоге выбор пал на Mikrotik, который устанавливали на древние, но рабочие машины типа Pentium 166, которого вполне хватало для всех нужд. Машины мы предварительно настраивали – либо сам микротик поднимал соединение, либо модем подключенный к сетевухе компьютера (сетевух было 2 – одна на инет, вторая на офисный хаб). Из 10 филиалов, по моему не с первого раза заработало лишь у двух, но мы тут же поднастроили с местными приходящими админами под нашим телефонным контролем, остальные встали «с нуля» без каких либо проблем. Всегда старались делать так, чтобы модем был бриджем, а поднимал соответственно соединение микротик, когда это не представлялось быть возможным (к примеру в случае когда провайдер ни в какую не давал пароль от своего модема), тогда мы договаривались хотя бы на настройку редиректа порта для настройки Winbox’ом (такое было лишь в одном случае).

Со временем мы заменили издыхающие системники на железки от микротика, тогда они уже стали доступными для всех. Итак, перейдем к разбору настроек, для начала подключаем микротик к нашему системнику, так можно будет подключиться и по MAC адресу и по IP, если не хотите замарачиваться – подрубайтесь к порту ether1 (первый порт на микротике), ip по умолчанию 192.168.88.1, логин admin без пароля, то есть настроив сетевуху на адрес 192.168.88.2 мы легко попадем на адрес микротика с помощью утилиты Winbox. К сожалению или счастью я не буду показывать настройки с нуля, покажу уже настроенный Mikrotik Routerboard rb500, который у нас настроен на резервный ADSL канал. Итак, в левой панели входим в вкладку Interfaces

1

Тут у меня настроены 2 интерфейса (из 3):

2

adsl_rezerv – порт в который воткнут adsl модем в режиме бридж, если посмотреть ниже то можно увидеть pppoe-out1 (pppoe клиент для поднятия соединения)

ether2 – свободный порт

local_network – порт подключенный к локальной сети

Вроде все просто. Порты я заранее обозвал так как мне удобней.  Забегая вперед скажу что у нас стоит NetFlow Analyzer Essential Edition, данные об интерфейсах, в том числе и имя интерфейса передаются по snmp с помощью того же Mikrotik’a, дабы каждый раз не вспоминать на каком интерфейсе смотреть трафик. Безусловно есть и бесплатные утилиты, но мы выбрали Netflow Analyzer как наиболее простой в использовании и обладающим очень приятным интерфейсом, да, потратились, но ни грамму не жалею об этом.

Переходим в список IP адресов, для этого в том же Winbox’e нажимаем IP -> Addresses:

3

Тут мы видим список адресов, в моем случае один IP адрес внешний (дается провайдером, при подъеме PPPoE интерфейса) (первый замазанный зеленым), буква D впереди означает что интерфейс Динамический (т.к. предоставляется провайдером и заранее не прописан в микротике)

4

Далее идут 2 ip адреса в локальной сети, один мне необходим для IP телефонии (она у меня размещена в сети 172.168.2.1) , второй для общей локальной сети офиса (192.168.2.9), третий для adsl модема, но он не обязательный, так как соединение поднимается по pppoe, а соответственно честно сказать он тут и нафиг не нужен.

Теперь создаем PPPoE соединение, для интернет соединения, для этого, заходим слева в меню в вкладку PPP, в открывшемся окне в вкладке Interfaces нажимаем красный плюс и PPPoE Client:

5

В следующем окне задаем интерфейс на котором у нас находится модем, так как мы все заранее обозвали – то название интерфейса в нашем случае adsl_reserv, так же можно задать MTU и имя соединения, я эти параметры не трогаю:

6

В вкладке Dial Out прописываем логин и пароль предоставленный провайдером, так же должны быть галки Add Default Route (для того чтобы весь интернет трафик шел через этот интерфейс) и Use Peer DNS, если нет иных DNS серверов или Вы не используете к примеру бесплатные гугловские, у меня доверия к гугловским серверам меньше чем к провайдерским, поэтому, эту галку я ставлю.

7

На этом все, нажимаем кнопку OK и в случае если данные для аутентификации заданы верно, кабель подключен к рабочему ADSL модему либо просто к Ethernet интерфейсу провайдера, то соединение должно быть тут же установлено, сразу пойдут цифры аптайма, в моем случае это 12 дней :)

8

Далее, настраиваем так чтобы IP микротика принимал входящие DNS запросы, для этого заходим в левой панели в IP и выбираем DNS:

9

Далее в открывшемся окне заходим в настройки путем нажатия на кнопку Settings, где ставим галку Allow Remote Requests, в Primary и Secondary DNS у нас уже должны быть значения полученные после поднятия провайдером PPPoE соединения, если по каким то причинам их нет, можем воспользоваться гугловским 8.8.8.8 написав например его в Primary DNS:

10

Далее не отходя от темы настроим запрет на входящие DNS запросы из интернета, если этого не сделать Вас могут использовать как DNS сервер, чего собственно не хотелось бы, перейдем в пункт IP -> Firewall:

11

Создаем правило в вкладке Filter Rules, путем нажатия кнопки плюс :

12

В правиле указываем – chain: input (входящие соединения), Protocol: 17 (udp) т.к. dns запросы у нас приходят по udp. Dst Port 53 (порт назначения с внешнего айпи адреса), в in. interface указываем на каком интерфейса нам слушать это соединение, в данном случае раз интернет соединение поднимается интерфейсом pppoe-out1, то его и указываем. В вкладке Action, указываем drop, чтобы соединение рвалось при входящих запросах к DNS из вне:

13

Остальные вкладки я не трогал. Нажимаем кнопку OK. Подобным же способом блокируем и остальные порты, если это необходимо. Далее перейдем в том же пункте в вкладку NAT:

14

 

Тут к примеру у меня прописаны не только прямой доступ через NAT при использовании микротика, как шлюз со стороны локальной сети, но и кучу редиректов, остановимся пока на прямом доступе. Бывает так что по какой-либо причине пользователю не нужен доступ через Proxy, а необходим прямой доступ, к примеру когда какая-либо программа просто не умеет использовать Proxy. Итак, нажмем кнопку плюс и создадим новое правило. В chain укажем srcnat:

15

В вкладке Advanced в пунке  Src. Address List указываем вручную название листа где мы будем писать ip адреса тем кто может использовать прямой инет, у меня этот лист называется просто unlim, если Вы не планируете вести такой лист, а просто хотите дать всем прямой инет при использовании микротика в качестве шлюза пропускаем этот пункт, не указывая ничего в Src Address List. :

16

В вкладке Action указываем masquerade:

17

Нажимаем кнопку OK

Если Вы указывали лист Src. Address List в вкладке Advanced и собираетесь использовать списки, кому разрешен условно прямой инет, то переходим в вкладку Address Lists

18

И создаем новую запись нажимая на кнопку плюс, где указываем имя листа (мы его указывали в Src. Address List) и адрес к которому принадлежит запись – в нашем примере 192.168.2.1 :

19

Нажимаем кнопку ОК, если необходимо добавить ещё записей – алгоритм то же.

Теперь наш роутер готов к полноценной работе.

В следующей части расскажу —  настройка DHCP сервера (в моем офисе он уже есть, поэтому в документации я его не рассматривал), про настройку NAT для переадресации портов в практических целях, настройка Taffic Flow для последующего анализа трафика, NTP клиента, сервера (с упрощенным внедрением в офисе)

comments powered by HyperComments