В этой статье я расскажу как быстро настроить RouterOS MikroTik для работы в "простом" варианте, который подойдет многим не большим офисам, домашней сети и т.д...
Итак, допустим имеем канал доступа к сети Internet, локальную сеть на 5-ть компьютеров, 1 из которых сервер, необходимо разрешить работу рядовым пользователям по стандартным протоколам (http, https, icq, jabber, ftp), для рабочего места системного администратора сделать полный доступ к сети, разрешить работу почтового, фтп и web сервера.
IP адреса локальной сети:
- Mikrotik - 192.168.0.1
- PC 5 - 192.168.0.2
- PC 4 - 192.168.0.10
- PC 1 - 192.168.0.20
- PC 2 - 192.168.0.21
- PC 3 - 192.168.0.22
Провайдер может предоставлять Вам как белый так и серый ip адрес, допустим, что в нашем конкретном случае это серый адрес, где то в локальной сети провайдера.
Шаг 1. Подключимся к маршрутизатору локально на консоль, и что бы обезопасить пользователя admin от взлома отключим его, а вместо него заведем нового.
заходим под новым пользователем и отключаем admin-а
Шаг 2. Настройка интерфейсов.
Тут есть несколько способов, первый воспользоваться мастером, второй задать вручную.
Сперва попробуем настроить интерфейсы при помощи мастера. Набираем команду setup.
Нажимаем "a", в появившемся меню нажимаем "a", набираем имя первого интерфейса, указываем IP адрес.
Это будет интерфейс провайдера. Так же указываем второй интерфейс для локальной сети и адрес для него.
Теперь указываем шлюз по умолчанию, выбираем клавишей "g" и вводим адрес.
Выходим из второго уровня меню (клавиша "x"), и из первого (клавиша "x"), настройки ip адресов сохранены, шлюз по умолчанию прописан.
Испробуем второй вариант настройки - ручной.
Смотрим список доступных интерфесов.
Активируем интерфейс 0, который будет подключен к провайдеру и зададим ему ip адрес.
Проделаем туже про процедуру с локальным интерфейсом.
Ну и наконец добавим шлюз по умолчанию.
Теперь дальнейшую настройку можно продолжить с помощью графической оболочки winbox, но коль мы начали с консоли, то пройдем весь путь до конца в консоле, а потом повторим сделанное, начиная с шага 3 в графическом интерфейсе.
Шаг 3. Настройка DNS.
Шаг 4. Настройка доступа к сети интернет.
Сперва включаем маскардинг.
Добавляем правила для служебных пакетов.
Дальше добавляем правила для машины PC4.
Разрешаем работу сервера до протоколу http, smtp, pop.
Таким же образом задаем правила для остальных машин, разрешая им http, https, ftp, icq, jabber.
Повторяем эти правила для каждой машины, если необходимо разрешить дополнительные порты, то шаблон написания, я думаю, понятен.
Ну и под конец запрещаем все остальное, что не разрешили выше.
Шаг 5. Входящие.
Теперь надо разрешить что бы входящие соединения по http, smtp и pop автоматически попадали бы на сервер.
Если мы говорим про абсолютный минимум и простоту, это на этом все. Какие действия были сделаны?
- Были включены два интерфейса ether1 и ether2.
- Назначены ip адреса для интерфейсов.
- Назначен шлюз по умолчанию.
- Заданы DNS сервера.
- Прописаны правила для машин с неограниченным доступом.
- Прописаны правила для машин с ограниченным доступом по портам.
- Прописаны правила преобразования сетевых адресов для доступа из вне к веб и почтовому серверам.
Запускаем, указываем адрес в локальной сети, который был назначен второму интерфейсу, имя и пароль пользователя, которого завели в самом начале.
Шаг 3. Настройка DNS.
В графическом интерфейсе все не на много сложнее чем в консоле. Выбираем в основном меню раздел IP, в нем подменю DNS.
Здесь можно завадать статически dns записи, а так же просматривать что сейчас есть в кэше. Нажимаем на кнопочку Settings и указываем адреса DNS серверов.
Шаг 4. Настройка доступа к сети интернет.
Включаем маскардинг. Основное меню IP, в подменю firewall, вкладка NAT.
Что бы добавить новую запись нажимаем на плюсик. А дальше все тоже самое, что и в консоле, на вкладке General chain=srcnat, Out interface=ether2 и ставим галочку, что означает "НЕ", вкладка Action выбираем masquerade.
Приводить кучу одинаковых скришотов на одну и туже тему я не вижу смысла, а понять что все теже самые параметры, которые набираются в консоле на 100% совпадают с названиями в графическом интерфейсе думаю не сложно. По это я приведу несколько картинок с добавлением правил в firewall. Выбираем в основном меню раздел ip, в нем подпункт firewall, в появившемся окне выбираем вкладку Filter Rules. Для добавления нового графила нажимаем на плюсик.
Разрешаем UDP.
Разрешаем исходящие соединения с адреса 192.168.0.2 к любым адресам по порту назначения 25, используюя протокол tcp.
Ну и под конец запрещаем все остальное, что не разрешили выше.
Получилось что то вроде этого.
Шаг 5. Входящие.
Выбираем в основном меню раздел ip, в нем подпункт firewall, в появившемся окне выбираем вкладку Nat. Для добавления нового графила нажимаем на плюсик.
Перенаправляем все соединения, приходящие на внешний адрес 192.168.1.116 по протоколу tcp, 25 порт на локальный адрес 192.168.0.2 на порт 25.
По такому же принципу строятся все остальные правила.
Из описанного выше видно, что любое действие можно сделать как минимум двумя вариантами, разговаривать с MikroTik-ом с помощью текстовых команд или упражняться с мышкой в графическом интерфейсе. И у то и у другого метода есть свои плюсы и минусы, консоль работает быстрее даже на очень слабом канале, графическая оболочка вообще перед началом работы скачивает модули интерфейса к себе, а потом в процессе работы порождает очень даже не маленький трафик, с консолью определенно сложнее работать, но поняв комманды и принцип работы становится не так важно какой интерфейс используется для настройки. В дальнейшем я расскажу как уменьшить количесво правил, используя списки адресов, как ограничивать скорость на upload или download, как разделить трафик между несколькими провайдерами или даже как заставить одну машину работать одновременно с несколькими провайдерами.
Продолжение следует.
Читать дальше...