Mikrotik RB2011UiAS-2HnD-IN — мультипортовый маршрутизатор с поддержкой Wi-Fi, который позволяет организовать высокопроизводительную сеть любой сложности в помещениях.
Начальная настройка
При первом включении подсоедините в первый интернет-разъем кабель от провайдера, в любой другой — кабель от ПК или ноутбука.
В адресной строке браузера введите 192.168.88.1.
Логин по умолчанию — “admin”, без пароля.
Для быстрой настройки доступа к Интернету выберите справа наверху “Quick Set”.
В левом столбце:
- Wireless Protocol - 802.11.
- Network Name - это SSID или название Wi-Fi сети.
- Band - протокол работы Wi-Fi сети - выбираем 5GHZ-A/N/AC, если роутер однодиапазонный, то будет только 2GHZ, тогда выбираем 2GHZ-B/G/N.
- Country - Ukraine.
- Security - WPA2.
- Encryption AES.
- Wi-Fi Password - пишем и запоминаем пароль от Wi-Fi сети.
В правом столбце:
- Mode - router.
- Address acquisition - automatic.
- Firewall Router - включаем для сетевого фильтра.
- Discovery - включаем для дальнейшей настройки IPv6.
- MАС address - вписываем МАС-адрес, закрепленный за Вашим подключением (посмотреть можно в личном кабинете в разделе “Услуги”).
- Там, где Local Network - оставляем без изменений. Обязательно проверьте, чтобы стояла галочка DHCP Server и NAT.
В правом нижнем углу нажимаем “Apply Configuration”. На этом базовая настройка окончена, и должен появиться доступ к Интернету.
Детальная настройка
Справа наверху перейдите в раздел “WebFig” и загрузите Winbox в соответствующем разделе, если Вы пользуетесь OS Windows.
Запускаем загруженный файл и подключаемся к нашему роутеру, нажав кнопку “Connect”.
Далее переходим в “System-Packages” и нажимаем “Check for Upgrades” для проверки обновлений. Если будут доступны обновления, нажимаем кнопку “Download & Install”.
Далее переходим в “System-Users”, меняем пароль для admin и создаем нового пользователя, после чего устанавливаем для него пароль. В строке “Allowed Address” разрешено задать список адресов, с которых разрешено логиниться в систему.
Переходим в раздел “Bridge-Ports”. Убеждаемся, что все интерфейсы, кроме ether1, добавлены в бридж.
Изменяем МАС-адрес, если нужно. Для этого выбираем “New Terminal” и вводим следующую команду: interface ethernet set ether1 mac-address=xx:xx:xx:xx:xx:xx, где xx:xx:xx:xx:xx:xx - нужный адрес.
В разделе “IP - DHCP-Client” включаем получение настроек по DHCP на интерфейсе ether1.
В разделе “IP - DHCP-Server” включаем раздачу IP-устройствам в локальной сети.
Проверяем, что мы получили адрес на ether1 и на bridge выставлен правильный локальный IP.
В разделе “IP - Services” выключаем ненужные службы:
Убедимся, что для выхода в Интернет с локальных устройств корректно настроен NAT (должен быть включен по умолчанию). Раздел “IP - Firewall-NAT” - во вкладке “Action” должно быть выбрано masquerade.
Настроим Firewall. Раздел “IP - Firewall - Filter Rules”. Добавим правило (если нет по умолчанию) для разрешения трафика уже установленных соединений (“Action” при этом должен быть “accept”) и перетянем его наверх.
Немного изменим правило для разрешения пинга (если его нет - создадим). Во вкладке “General” выберем протокол №1 icmp и в “Advanced” ограничим размер пакета 100 байт.
Заблокируем весь другой входящий трафик следующим правилом. “Action” должен быть “drop”. Перетянем его в самый низ от всех Input правил.
Для настройки времени и серверов для синхронизации времени перейдем в “System - NTP Client”. Укажем два сервера для синхронизации времени, например, time.maxnet.ua и ua.pool.ntp.org.
В “System - Clock” выберем часовой пояс.
Настроим Wi-Fi сеть. В разделе “Wireless” создадим профиль для авторизации Wi-Fi клиентов. Выбираем тип аутентификации WPA2PSK, шифрование AES. В поле “WPA2 Pre-Shared Key” указываем пароль от Wi-Fi сети.
Далее настроим сеть 2 GHZ. В разделе “Wireless” выбираем “Wi-Fi interfaces” и выбираем первый в списке. Band выбираем only N или B/G/N (если есть, например, старые ноутбуки, которые могут не уметь работать на N стандарте). В “SSID” вписываем название сети, и в “Security Profile” выбираем недавно созданный профиль.
Аналогично делаем для второго интерфейса (5GHz). Band выбираем A/N/AC.
Перейдем в “IPv6 - Firewall”. И настроим общие правила:
- Оставляем стандартное правило на запрет Invalid соединений (когда роутер не может определиться с типом трафика).
- Оставляем стандартное правило для разрешения уже установленных соединений.
- Оставляем стандартное правило для разрешения пинга.
- Добавляем правило для разрешения DHCP - пакетов (udp, destination port 546, action accept).
- Добавляем блокирующее правило для остатка трафика.
- Повторяем пункты 2,3,5 только для Forward цепочки.
Для получения IPv6 перейдите в раздел IPv6 - DHCP-Client. В интерфейсе выберите ether1. Request address+prefix. В “Pool Name” укажите любое название для пула адресов.
Далее из выбранного пула нужно назначить адрес на Bridge и включить Advertisement, чтобы другие устройства в сети могли получать IPv6:
Еще комментарии
Алекс
13.01.2025
2
2
Ответить