Mikrotik RB2011UiAS-2HnD-IN — мультипортовий маршрутизатор з підтримкою Wi-Fi, який дозволяє організувати високопродуктивну мережу будь-якої складності у приміщеннях.
Початкове налаштування
При першому включенні під’єднайте у перший інтернет-роз’єм кабель від провайдера, у будь-який інший — кабель від ПК або ноутбука.
В адресному рядку браузера введіть 192.168.88.1.
Логін за замовчуванням — “admin”, без паролю.
Для швидкого налаштування доступу до Інтернету оберіть справа вгорі “Quick Set”.
У лівому стовпці:
- Wireless Protocol - 802.11.
- Network Name - це SSID або назва Wi-Fi мережі.
- Band - протокол роботи Wi-Fi мережі - обираємо 5GHZ-A/N/AC, якщо роутер однодіапазонний, то буде лише 2GHZ, тоді обираємо 2GHZ-B/G/N.
- Country - Ukraine.
- Security - WPA2.
- Encryption AES.
- Wi-Fi Password - пишемо та запам’ятовуємо пароль від Wi-Fi мережі.
У правому стовпці:
- Mode - router.
- Address acquisition - automatic.
- Firewall Router - вмикаємо для мережевого фільтру.
- Discovery - вмикаємо для подальшого налаштування IPv6.
- MАС address - вписуємо МАС-адресу, закріплену за Вашим підключенням (подивитись можна в особистому кабінеті у розділі “Послуги”).
- Там, де Local Network - залишаємо без змін. Обов’язково перевірте, щоб стояла галка DHCP Server та NAT.
У правому нижньому куті натискаємо “Apply Configuration”. На цьому базове налаштування закінчено, та має з’явитися доступ до Інтернету.
Детальне налаштування
Справа вгорі перейдіть у розділ “WebFig” та завантажте Winbox у відповідному розділі, якщо Ви користуєтесь OS Windows.
Запускаємо завантажений файл та підключаємося до нашого роутера, натиснувши кнопку “Connect”.
Далі переходимо у “System-Packages” та натискаємо “Check for Upgrades” для перевірки оновлень. Якщо будуть доступні оновлення, натискаємо кнопку “Download & Install”.
Далі переходимо у “System-Users”, змінюємо пароль для admin та створюємо нового користувача, після чого встановлюємо для нього пароль. У рядку “Allowed Address” можна задати список адрес, з яких дозволено логінитись в систему.
Переходимо у розділ “Bridge-Ports”. Переконуємося, що усі інтерфейси, окрім ether1, додано у брідж.
Змінюємо МАС-адресу, якщо потрібно. Для цього обираємо “New Terminal” та вводимо наступну команду: interface ethernet set ether1 mac-address=xx:xx:xx:xx:xx:xx, де xx:xx:xx:xx:xx:xx - потрібна адреса.
У розділі “IP - DHCP-Client” вмикаємо отримання налаштувань по DHCP на інтерфейсі ether1.
У розділі “IP - DHCP-Server” вмикаємо роздачу IP-пристроям у локальній мережі.
Перевіряємо, що ми отримали адресу на ether1 та на bridge виставлено правильний локальний IP.
В розділі “IP - Services” вимикаємо непотрібні служби:
Переконаємося, що для виходу в Інтернет з локальних пристроїв коректно налаштований NAT (має бути включений за замовчуванням). Розділ “IP - Firewall-NAT” - у вкладці “Action” має бути обрано masquerade.
Налаштуємо Firewall. Розділ “IP - Firewall - Filter Rules”. Додамо правило (якщо немає за замовчуванням) для дозволу трафіку вже встановлених з’єднань (“Action” при цьому має бути “accept”) та перетягнемо його нагору.
Трохи змінимо правило для дозволу пінгу (якщо його немає - створимо). У вкладці “General” виберемо протокол №1 icmp та в “Advanced” обмежимо розмір пакету 100 байт.
Заблокуємо весь інший вхідний трафік наступним правилом. “Action” має бути “drop”. Перетягнемо його у самий низ від усіх Input правил.
Для налаштування часу та серверів для синхронізації часу перейдемо в “System - NTP Client”. Вкажемо два сервери для синхронізації часу, наприклад, time.maxnet.ua та ua.pool.ntp.org.
В “System - Clock” оберемо часовий пояс.
Налаштуємо Wi-Fi мережу. У розділі “Wireless” створимо профіль для авторизації Wi-Fi клієнтів. Обираємо тип аутентифікації WPA2PSK, шифрування AES. У полі “WPA2 Pre-Shared Key” вказуємо пароль від Wi-Fi мережі.
Далі налаштуємо мережу 2 GHZ. В розділі “Wireless” вибираємо “Wi-Fi Interfaces” та обираємо перший у списку. Band обираємо only N або B/G/N (якщо є, наприклад, старі ноутбуки, які можуть не вміти працювати на N стандарті). У “SSID” вписуємо назву мережі, та в “Security Profile” вибираємо нещодавно створений профіль.
Аналогічно робимо для другого інтерфейсу (5GHz). Band обираємо A/N/AC.
Перейдемо у “IPv6 - Firewall”. Та налаштуємо загальні правила:
- Залишаємо стандартне правило на заборону Invalid з’єднань (коли роутер не може визначитись з типом трафіку).
- Залишаємо стандартне правило для дозволу вже встановлених з’єднань.
- Залишаємо стандартне правило для дозволу пінгу.
- Додаємо правило для дозволу DHCP - пакетів (udp, destination port 546, action accept).
- Додаємо блокуюче правило для решти трафіку.
- Повторюємо пункти 2,3,5 тільки для Forward ланцюжка.
Для отримання IPv6 перейдіть у розділ “IPv6 - DHCP-Client”. В інтерфейсі оберіть ether1. Request address+prefix. В “Pool Name” вкажіть будь-яку назву для пулу адрес.
Далі з вибраного пулу треба призначити адресу на Bridge та включити Advertisement, щоб інші пристрої у мережі могли отримувати IPv6:
Еще комментарии
Алекс
13.01.2025
2
0
Відповісти