Иностранные производители заявили, что не планируют уходить из России

image

В данной статье дано исчерпывающее пошаговое описание всех этапов при сбросе роутеров и точек доступа Mikrotik в настройки по умолчанию (заводские).

Для владельцев оборудования Mikrotik, особенно для тех, кто впервые с ним сталкивается, рано или поздно наступает необходимость возврата настроек устройства в их первоначальное состояние. Другими словами – нужно сбросить роутер или точку доступа в настройки по умолчанию. При условии программно-аппаратной целостности роутера это вернет его к заводской конфигурации.

Зачем нужен сброс Микротик к заводским настройкам?

Современные сетевые устройства включают в себя очень внушительный арсенал технологических решений и состоят из сложнейшей программно-аппаратной архитектуры. Эта сложность обеспечена высокотребовательными задачами, возлагаемыми на них. И чем сложнее механизм, тем он более подвержен сбоям и поломкам. Самый простейший способ решить определенный ряд проблем и вернуть нормальную работу точки доступа или роутера Микротик – это сбросить все его настройки, с целью вернуть его в исходное состояние, в котором его выпустил производитель.

Итак, в каких же случаях может понадобиться возврат роутера к первоначальным настройкам?

  1. Если мы где-то в настройках зашли в тупик и ничего не остается кроме как сбросить текущую конфигурацию.
  2. Если мы что-то настраивали, тестировали, и проще не возвращать всё пошагово назад, а достаточно вернуть роутер к исходному состоянию просто сбросом;
  3. Если MikroTik не хочет прошиваться через веб-интерфейс или Winbox.
  4. Если нам просто что-то не нравится в устройстве: как оно работает, как оно реагирует на наши настройки и т. д.

Итак. Сбрасываем Mikrotik в дефолт.

Сброс Микротик с помощью удаленного доступа

Через веб-интерфейс или Winbox

В случаях, когда имеется беспрепятственная возможность зайти в Wibox или веб-интерфейс Микротик, то для сброса настроек достаточно нажать кнопку «Reset configuration». Ее можно найти:

  • В меню «Quck Set».
  • В меню «System».

Аппаратный сброс настроек MikroTik

Если нет возможности зайти в интерфейс Микротик удаленно, через веб-интерфейс или Winbox, то можно сбросить настройки роутера или точки доступа так называемым аппаратным способом. Для этого нам понадобится физический доступ к устройству, проще говоря, нам нужно будет брать его в руки.

Чего нам при этом ожидать, как должно при этом себя вести устройство, и как оно себя вести не должно, подробно будет описано ниже.

Сброс Mikrotik кнопкой Reset

Большинство микротиковских роутеров и точек доступа оснащены специальной микро-кнопкой. Она может находиться как внутри корпуса, так и снаружи.

Внешней кнопкой Reset оснащены свитчи и роутеры MikroTik семейств hAP (RB941, RB951, RB952, RB962), mAP, hEX (RB750r2, RB750Gr2, RB750Gr3, RB960) RB260, CRS106 и некоторые другие модели – в основном, для установки в помещениях. Для сброса настроек нам потребуется просто нажать кнопку пальцем.

Кнопка сброса на hAP ac (RB962):

Кнопка сброса на mAP:

В случае внутреннего расположения кнопки для доступа к ней на корпусе обычно есть отверстие. В настольных моделях оно может располагаться на лицевой панели роутера или на задней. Где расположена кнопка для сброса настроек на Mikrotik RB2011:

Где расположена кнопка для сброса настроек на RB951G:

В роутерах и точках доступа MikroTik, которые предназначены для установке на улице, отверстие для доступа к кнопке сброса обычно находится под крышкой, защищающей Lan-порт.

Сброс настроек на моделях семейства MikroTik SXT – расположение кнопки:

В моделях семейств Mikrotik Groove, Metal, wAP мы увидим примерно такое расположение кнопки сброса настроек:

Для того, чтобы нажать “спрятанную” кнопку и сбросить настройки к заводским, нам понадобится какой-нибудь тонкий инструмент:

  • Шариковую ручку использовать не рекомендуется, т. к., шарик ручки будет скользить по кнопке и вы ее просто-напросто «обрисуете» чернилами. 
  • Карандаш использовать тоже нельзя, т. к. его грифель является проводником, и его частички могут попасть на токоведущие части платы, что приведет к замыканию и нанесет вред устройству.
  • Лучше всего подойдет зубочистка или отвертка.

Сброс Mikrotik с помощью замыкания контактов на плате

Помимо кнопки Reset, в большинстве Микротиков имеется на печатной плате отверстие диаметром с пару миллиметров, вокруг которого находятся две оголенные (незащищенные лаком) печатные площадки. Они предназначены для более «глубокого» сброса настроек. Данный вид сброса предполагает отсутствие загрузки конфигурации по умолчанию, после которого устройство не будет иметь IP-адреса, профиль его конфигурации будет пуст, и роутер будет готов к настройкам «с нуля». Пригодится это в тех случаях, если по каким-то причинам не срабатывает сброс кнопкой.

Для того, чтобы сбросить настройки замыканием контактов, чаще всего не нужно разбирать Микротик – на корпусе роутеров обычно имеется отверстие для доступа к месту сброса. К примеру, на моделях серий RB750, RB751, RB951 оно расположено между ножками:

Обычно этот способ сброса осуществляется отверткой с крестовидным жалом, но нередко бывают случаи, что отверстие текстолита платы меньше по диаметру контура этих самых оголенных печатных площадок и острие жала отвертки не позволяет замкнуть их. В таких случаях следует прибегнуть к применению другого металлического инструмента. Например, взять пинцет, или на худой конец смятый кусочек фольги либо скрученный петелькой отрезок паяльного припоя.

Примечательно, что при данном способе сброса, устройство издает не обычный одинарный либо двойной звуковой сигнал, а характерную переливную трель. Эта трель и «поет» нам о том, что полный аппаратный сброс прошел удачно.

Как сбросить Mikrotik: порядок действий

Раз уж нам понадобилось сбрасывать настройки, значит, на то есть причина. И одной из них может быть сомнение в корректной работе точки доступа или роутера Микротик. Поэтому во время процедуры сброса настроек следует обратить внимание на поведение устройства: 

  • загораются ли (или гаснут) нужные индикаторы, 
  • подается ли звуковой сигнал, 
  • отображается ли сетевая активность точки доступа или роутера, если они в это время подключены к сети или компьютеру и т. д.

Для сброса в заводские настройки необходимо следовать определенному порядку действий:

  1. Если мы сбрасываем подключенное к сети устройство – можно заранее запустить терминальное окно с ping 192.168.88.1 – для того, чтобы увидеть, как после сброса устройство запингуется.
  2. Роутер или точка доступа MikroTik должны быть выключены (обесточены).
  3. Нажимаем кнопку Reset и держим ее.
  4. Не отпуская кнопку, подаем питание на MikroTik (вставляем кабель PoE или шнур блока питания в зависимости от модели). Убеждаемся, что засветился индикатор питания и, возможно еще какие-то другие индикаторы.
  5. Ждем примерно 10-15 секунд до момента, когда один из индикаторов перестанет мигать и только после этого кнопку отпускаем. 
  6. Вслед за этим роутер издаст короткий звуковой сигнал, и это обозначает то, что прошла успешная процедура аппаратного самотестирования и теперь устройство приступает к следующему этапу загрузки.
  7. Через 15-20 секунд, если роутер или точка доступа в этот момент подключены к компьютеру через сетевой кабель, то в области уведомлений операционной системы мы увидим момент переподключения устройства.
  8. Спустя еще 20-25 секунд мы услышим снова звуковой сигнал, но уже двойной. Это говорит о том, что устройство прошло процедуру программного самотестирования. Операционная система RouterOS запустилась и загрузила заводскую настройку по умолчанию.
  9. Через еще 10-15 секунд, если предварительно запустить терминальное окно с командой «ping 192.168.88.1» – мы увидим, что устройство запинговалось. Т. е. теперь мы удостоверились, что работает сетевой интерфейс MikroTik и роутер пингуется.

Однако, нередко случается так, что при казалось бы простейшей процедуре сброса, поведение устройства при этом не такое, как мы этого ожидаем, или попросту говоря – Микротик ведет себя неадекватно. Возможно, в этом случае, оно просто неисправно и нужно обратиться в сервисный центр.

Видео сброса МикроТик к заводским настройкам

Из видео можно понять, как должны вести себя индикаторы, какой звук должен быть, сколько примерно времени занимает процедура сброса.

 Сбрасываем настройки кнопкой на примере MikroTik SXT:

  Сброс Микротика к заводской конфигурации с помощью отверстия на плате:

Таким образом, в роутерах, точках доступа, свитчах Mikrotik, с момента нажатия на кнопку сброса и до определения устройства в системе уходит не более минуты. После этого можно приступать к полноценной настройке.

Примечание.

По непонятным причинам, некоторые устройства Mikrotik не снабжены элементом звукового оповещения (спикером, бипером), и отслеживать порядок и правильность этапов сброса приходится по поведению органов индикации (светодиодов). Это в меньшей степени информативно, особенно если есть подозрение, что роутер неисправен.

Как подключиться к Микротик после сброса

Окончательно убедиться в том, что устройство готово к работе, можно запустив фирменную утилиту от Mikrotik WinBox и увидев во вкладке Neighbors нашу модель.

Если сброс производился кнопкой Reset, то в этой вкладке мы должны увидеть сетевой адрес по умолчанию 192.168.88.1.

При первом включении Микротик нам будет предложен некоторый профиль по умолчанию, отказаться от которого можно нажав на кнопку “Remove configuration”.

Если Микротик сбрасывался замыканием контактных площадок, то вместо сетевого адреса будут отображены четыре нуля 0.0.0.0 и профиля по умолчанию после подключения не предлагается.

Базовая настройка Wi-Fi роутера MikroTik вручную

Мои друзья прислали обзорный гайд по стартовой настройки оборудования Mikrotik (домашнего роутера). Большое им спасибо за этот качественный материал! Читаем!

image
Ручная настройка Mikrotik

Скачиваем Winbox

Для конфигурации и управления устройствами на базе RouterOS удобно пользоваться утилитой Winbox. Для скачивания идем на официальный сайт MikroTik в раздел download (http://www.mikrotik.com/download) и ближе к низу страницы в разделе useful tools and utilities выбираем winbox.

Сброс заводских настроек роутера

Т.к. мы настраиваем роутер вручную, заводские настройки не для нас.

Подключаемся патчкордом к роутеру, подаем на него питание, запускаем Winbox. Во вкладке Neighbors, спустя некоторое время, должен появиться наш роутер. Жмем на значение во вкладке MAC Address,  оно должно появиться во вкладке Login, поле password оставляем пустым. Жмем login.

Winbox Mikrotik

При первом запуске роутера выскакивает приветственное окно с описанием заводской конфигурации. В нем же нам предлагают сбросить настройки, нажав [remove configuration].  Можем согласиться здесь. Роутер уйдет в перезагрузку.

Mikrotik сбросить настройки

Для самостоятельного сброса всех настроек необходимо пройти по вкладкам  [System] > [Reset Configutaion] и, отметив пункт no default configuration, также нажать [Reset Configuration]. Как и в случае выше, роутер уйдет в перезагрузку.

Mikrotik Reset

Получаем роутер без каких-либо настроек или другими словами blank configuration.

Обновление прошивки

После сброса настроек желательно также обновить прошивку. Для этого, как и в первом пункте, на сайте MikroTik идем в раздел download (http://www.mikrotik.com/download). Для большинства устройств(перечень выделен) подходят прошивки из раздела MIPSBE. А для базовой настройки подходят прошивки из вкладки Main package (Current). Скачиваем.

Mirkotik прошивка

Скачанный файл необходимо загрузить на роутер, перетащив в окно, открывшееся после нажатия на вкладку [Files]. Далее роутер необходимо перезагрузить нажатием на [System] > [Reboot]. Прошивка обновится при перезагрузке, которая может длиться чуть дольше обычного.

Mikrotik прошивки

(в моем случае скачана прошика SMIPS, т.к. я обновляю hap lite)

После прошивки обновим загрузчик. Идем в [System] > [Routerboard]. Здесь должны быть одинаковыми поля Current Firmware и Upgrade Firmware, если не совпадают, жмем upgrade.

Версию прошивки можно посмотреть в [System] > [Packages]

Обновляем прошивку
Версии прошивок Mikrotik

Приступаем к настройке. Объединяем порты в бридж

Переименуем порт

Остальные мы объединим(сделаем bridge-LAN) в единую сеть, добавив в нее и Wi-Fi интерфейс. Главным портом(Master port) в нашей сети, допустим, будет четвертый порт(переименуем в ether4-Mater). Для этого выберем остальным портам 4-ый в качестве Master port. Делаем то же самое для оставшихся портов, кроме первого. При добавлении произойдет переподключение. Напротив настроенного порта появится буква S(slave) Мастер портом может быть выбран любой свободный порт.

eth4-Master

Выбрав мастер порт, мы получили свитч из всех портов, кроме первого (у hap lite четыре порта).

Mikrotik Switch

Добавим в него Wi-Fi интерфейс. Идем в раздел [Bridge], во вкладке [bridge] создаем(синий плюсик) bridge-LAN. Кроме названия оставляем всё без изменения.

bridge-LAN

Далее во вкладке [Ports] нажатием на тот же синий плюс добавляем wlan1 в наш bridge-LAN. Грубо говоря, бридж – логическое объединение нескольких интерфейсов в один. В нашем случае, свитча и беспроводного интерфейса.

Mikrotik wlan1

Аналогично добавим в наш бридж ether4-Master. Снова произойдет отключение от роутера. Не пугаемся. В итоге увидим следующее.

eth4 in bridge

Необходимые интерфейсы объединены в бридж. Устройства будут подключаться к единому логическому пространству, несмотря на разные физические среды подключения.

Задаем IP-адрес сети и MikroTik

Идем в [IP] > [Addresses].Нажатием на синий плюс добавляем диапазон адресов, допустим 192.168.4.1/24 и присваиваем его нашему bridge-LAN. Поле Network заполнится автоматически. Теперь наш роутер доступен по адресу 192.168.4.1, а любое устройство при подключении к нему может выбрать себе адрес из диапазона 192.168.4.1/24. Пока статически и не по wi-fi. Это позже.

bridge-LAN

Подключаем MikroTik к интернету. Варианты подключения. DHCP Client

Вариантов подключения к интернету множество. В качестве примера остановимся на двух наиболее распространенных:

  • Динамическое получение настроек от провайдера
  • Прописывание заранее полученных параметров
  • MikroTik и 4g модем

Динамический вариант настраивается следующим образом. В первый порт(ether1-WAN) подключаем кабель провайдера. Далее идем в [IP] > [DHCP-client] и в качестве интерфейса указываем ether1-WAN.

mikrotik dhcp-client

Если всё окей, то можем увидеть полученный нами IP-адрес в [IP] > [Adresses]

dhc_adresses

Роутер к интернету подключен.

Mikrotik ping внешка

Подключаем MikroTIk к интернету. Static Routes

Теперь рассмотрим вариант, когда параметры для подключения выданы нам провайдером и необходимо прописать их самостоятельно. Допустим, параметры следующие:

  • IP: 192.168.1.4
  • Маска 255.255.255.0
  • Шлюз: 192.168.1.1
  • DNS: 192.168.1.1

Прописываем IP-адрес. Идем в [IP] > [Adresses]. Добавляем новый адрес 192.168.1.4. В качестве интерфейса – ether1-WAN

Mikrotik статика

Далее идем в [IP] > [Routes]. Добавляем новую запись(грубо говоря, маршрут в интернет). В поле dst.address 0.0.0.0/0 в поле gateway 192.168.1.1(наш шлюз).

Теперь в идем во вкладку [IP] > [DNS].  В поле servers прописываем 192.168.1.1(наш dns). Не забываем поставить галочку Allow Remote Request(без нее выход в интернет будет возможен только по ip-адресам).

dns

Проверяем интернет на роутере.

Mikrotik Ping

Роутер подключен к интернету. Заметим, что подключенные к нему устройства выходить в интернет пока не могут.

Подключаем MikroTIk к интернету. MikroTik, 4g, Yota

Для подключения MikroTik к интернету с помощью 4g модема, роутер должен иметь на борту usb micro-USB порт. Но во втором случаем также придется прибрести и OTG-кабель.

В нашем случаем мы пользуемся usb-модемом от компании Yota, но в целом установка других модемов принципиально не отличается. Имеет значение модель модема.

После подключения модема идем в Winbox, выбираем вкладку [Interfaces], где видим новый интерфейс lte1. Выбираем его и запускаем нажатием на синюю галочку.

Mikrotik LTE

Запустив интерфейс, идем в [IP] > [DHCP Client]. Нажатием на синий плюс добавляем нового клиента, в качестве интерфейса которого выбираем lte1.

Mikrotik lte dhcp client

Проверяем интернет на роутере. Готово.

Mikrotik hap + yota

(MikroTik hAP и 4g модем от Yota)

Настройка DHCP-сервера

Чтобы подключенные к роутеру устройства могли автоматически получать все необходимые сетевые параметры для выхода в интернет, настроим dhcp-сервер. Идем во вкладку [IP] > [DHCP Server], жмем [DHCP Setup].

DHCP setup Mikrotik

Выбираем интерфейс, на котором будет работать DHCP сервер.

Mikrotik DHCP interface

Жмем Next и выбираем пространство адресов dhcp-сервера

DHCP adress space

Снова Next. Теперь выбираем шлюз для подключаемых устройств – наш роутер.

mikrotik gateway

Next. Выбираем диапазон адресов, которые будут выдаваться подключаемым устройствам.

Mikrotik pool

Next. Выбираем dns-сервер для подключаемых устройств.

dns for dhcp server

Next. Выбираем время, на которое будут выдаваться сетевые параметры клиентам роутера.

lease time

Финальное Next и наш dhcp-сервер готов.

Mikrotik dhcp server

Теперь подключенное к роутеру устройство получит все необходимые сетевые параметры автоматически. Осталось настроить NAT, чтобы оно могло выходить в интернет.

Настройка NAT

NAT – Network Address translation – механизм трансляции сетевых адресов. Грубо говоря, NAT – то, с помощью чего много устройств со своими адресами могут выходить в интернет, маскируясь под одним адресом роутера. Тема большая. Ниже кратко, чтобы подключенные к нашему роутеру устройства могли выходить в интернет.

Идем в [IP] > [Firewall] > вкладка [NAT]. Добавляем новую запись. Где во вкладке General указываем всё как на фото. Идем во вкладку [Action]

Mikrotik Nat

Во вкладке [Action] в action указываем masquarade. Звучит:)

Mikrotik NAT

Соглашаемся с настройками, жмем [OK].

Mikrotik NAT

Настройка Wi-Fi точки доступа

Настройка Wi-Fi – большая тема. Беспроводной интерфейс имеет множетсво настроек и возможностей. Мы обойдемся минимум, который необходим для работы простого Wi-Fi-роутера.

Идем во вкладку [Wireless]. Далее [Security Profiles]. Тут новой записью мы создаем новый профиль безопасности, где в том числе создаем пароль будущей беспроводной сети. Остальные парамеры оставляем как на фото ниже.

Mikrotik профиль

Далее выбираем вкладку [Wireless]. Параметры, которые необходимо изменить, снова отмечены на фото. Отдельно стоить отметить параметры Frequency – частота одного из двендцати каналов диапазона 2.4 МГц, на которой будет работать наша точка доступа. Поищите информацию, как и зачем выбрать наименее занятый канал. Пока можете выбрать всё, как на фото. Ну, кроме нормального имени сети само собой.

Mikrotik настроить WIFi

Всё. Наконец-то наш wi-fi роутер готов к работе. Выбираем интерфейс wlan1 и запускаем его нажатием на синюю галочку. Беспроводная сеть работает. Подключаемся и проверяем доступ в интернет.

Пароль администратора

Для входа в панель управления роутером мы используем учетную запись admin без пароля. На данный момент, войти в ПУ может любой клиент нашей сети, подключившись к ней. Это нехорошо. Зададим пароль для учетки admin. Идем в [System] > [Users]. Двойным нажатием выбираем пользователя admin. В открывшемся окне жмем [password] и задаем пароль.

Mikrotik пароль администратора

Друзья! Вступайте в нашу группу Вконтакте, чтобы не пропустить новые статьи! Хотите сказать спасибо? Ставьте Like, делайте репост! Это лучшая награда для меня от вас! Так я узнаю о том, что статьи подобного рода вам интересны и пишу чаще и с большим энтузиазмом!

Также, подписывайтесь на наш канал в YouTube! Видео выкладываются весьма регулярно и будет здорово увидеть что-то одним из первых!

Корпоративные сети в†’Mikrotik

Высокая загрузка процессора Mikrotik. Что делать?

Отражаем атаки

Сетевое оборудование вендора Mikrotik является весьма любопытным и привлекательным продуктом в сегменте SOHO (Small office/home office). Соотношение цены, качества, функционала и стабильности обеспечивает все большее распространение небольших белых коробочек в офисах небольших компаний.

Полный курс по Сетевым Технологиям

В курсе тебя ждет концентрат ТОП 15 навыков, которые обязан знать ведущий инженер или senior Network Operation Engineer

Начни обучение бесплатно

Не стоит волноваться. У нас есть решение. Все настройки и «траблшутинг» будем осуществлять с помощью Winbox.

Настройка Firewall в Mikrotik

Первым делом давайте проверим службу, которая больше всего «отъедает» ресурсов процессор. Для этого, перейдем в раздел Tools в†’ Profile:

Как видно из скриншота, львиную долю ресурсов нашего процессора занимает служба DNS. Давайте посмотрим, что происходит на уровне обмена пакетами на основном интерфейс ether1. Для этого воспользуемся утилитой Tools в†’ Torch:

Мы видим большое количество пакетов с различных IP – адресов на 53 порт. Наш Mikrotik отвечает на каждый из таких запросов, тем самым, нерационально используя ресурсы процессора и повышая температуру.

Эту проблему надо решать. Судя по снятому дампу, пакеты приходят с частотой 10-20 секунд с одного IP – адреса. Добавим в наш Firewall два правила:

  1. Все IP – адреса, пакеты с которых приходят на 53 порт нашего Микротика будут помещаться в специальный лист с названием dns spoofing на 1 час.
  2. Каждый IP – адрес, с которого будет поступать запрос на 53 порт будет проверяться на предмет нахождения в списке dns spoofing . Если он там есть, мы будем считать, что это DNS – спуфинг с частотой реже чем раз в час и будем дропать данный пакет.

Переходим к настройке. В разделе IP в†’ Firewall в†’ Filter Rules создаем первое правило нажав на значок «+». Во кладке General указываем следующие параметры:

  • Chain = input – обрабатываем приходящие пакеты
  • Protocol = UDP – нас интересуют пакеты, у которых в качестве транспорта используется UDP
  • Dst. Port = 53 – портом назначения должен быть 53 порт, то есть DNS служба
  • In. Interface = ether1 – проверка подвергаются все пакеты, которые приходят на интерфейс ether1, который смотрит в публичную сеть.

Переходим во вкладку Action:

  • Action = add src to address list – в качестве действия, мы будем добавлять IP – адрес источника в специальный лист
  • Address List = dns spoofing – указываем имя листа, в который добавляем IP
  • Timeout = 01:00:00 – добавляем на 1 час

Нажимаем Apply и OK. Настроим второе правило, так же нажав на «+»:

Как видно, настройки во вкладке General в данной вкладке идентичны первому правилу. Нажимаем на вкладку Advanced:

  • Src. Address List= dns spoofing – указываем Микротику, производить проверку приходящего пакета на предмет нахождения в указанном листе

Переходим во вкладку Action:

  • Action = drop – если IP – адрес пакета есть в указанном списке, то дропаем этот пакет.

После того, как оба правила стали активны переходи во вкладку IP в†’ Firewall в†’ Address Lists:

Как видно, адреса стали добавляться в список на 1 час. Теперь давайте проверим загрузку процессора:

Теперь загрузка процессора в пределах нормы. Проблема решена.

Почему?

Мы тщательно прорабатываем каждый фидбек и отвечаем по итогам анализа. Напишите, пожалуйста, как мы сможем улучшить эту статью.

Полезные IT – статьи от экспертов раз в неделю у вас в почте. Укажите свою дату рождения и мы не забудем поздравить вас.

Рекомендуем
  • Высокая загрузка процессора Mikrotik. Что делать?

    10000 4М

  • Мониторинг Asterisk с помощью Mikrotik

    2000 3М

  • Командная строка Mikrotik

  • Mikrotik: обновление через консоль

  • Mikrotik: Полезные советы по настройке

    2000 4М

Всем привет!!!

Я хотел бы поделиться своими настройками Firewall с защитой от сканирования портов и от подбора паролей, а так же настройкой QOS на примере моего mikrotik.

Схему для настройки и тестирования Mikrotik я сделал такой, а в будущем планирую купить себе настоящий Mikrotik и уже все, что сделано на виртуальном будет использоваться в реальном:

Нужно пояснить, что я хотел сделать в этой схеме. Мне нужно было настроить хотя бы один микротик так как буд-то он подключен к интернет провайдеру одним портом, а вторым подключен к моей локальной сети и именно на разных портах. Для этого в моей схеме есть два mikrotik роутера подключенных одним портом в мою локальную сеть, а другим соединены между собой, через внутреннею сеть(такая сеть в Synology VMM называется частной). Для Mikrotik-02 IP 192.168.68.123 внутренняя сеть, а IP 172.16.0.2 смотрит во внешнею сеть. Для Mikrotik-01 IP 172.16.0.1 внутренняя сеть, а IP 192.168.68.122 смотри во внешнею сеть. Таким образом мой ПК может быть одновременно и в локальной сети и во внешней. Это очень важно для дальнейших тестов.

Трафик от ПК во локальной сети приходит на Mikrotik-02 192.168.68.123 затем этот роутер натит траифк заменяя IP источника на свой внешний адрес и отправляет пакеты на Mikrotik-01. Mikrotik-01 получив пакет на адресс 172.16.0.1 от Mikrotik-02 172.16.0.2 натит трафик и заменяет IP источника на 192.168.68.122 и уже этот два раза подмененный трафик отправляет на реальный шлюз в интернете 192.168.68.1. Каждый из участников этой схемы видит один и тот же пакет, но с разными IP источника и это заставляет их думать, что это разный трафик. Это мне и нужно.

Так как настроек много и я особого смысла делать их руками не вижу, тем более что эти настройки практически универсальные, то это можно сказать такой начальный шаблон настроек. Нужно заменить в файле, перед импортом на свои значения ether1 — внешний, ether2 — внутренний (ether2 может быть и bridgeX)

Что бы не делать плагиата и не копировать я просто рекомендую вам пройти по ссылке на сайт, где я взял настройки фаервола и где подробно все описано. Но я доработал эти правила, немного их модифицировал. Так например я добавил:

  • Разрешить все внутри локальной сети на самый верх
  • запрещающие правила BAN_black_list и BAN-BruteForce на верх
  • убрал правило для udp 53

NAT в режиме masquerade у меня включен:

Теперь перейдем к настройке QOS.

Вся реализация управления пропускной способностью в RouterOS основана на иерархии — Hierarchical Token Bucket (HTB). HTB позволяет вам создавать иерархические структуры очередей и определять отношения между очередями. RouterOS поддерживает 3 виртуальных HTB (global-in, global-total, global-out) и еще один прямо перед каждым выходным интерфейсом.

Вы должны понимать, что вариантов настройки очень много, я выбрал такой основываясь на своим опыте работы сетевого инженера.

Таблица маркировки пакетов

На этой таблице остановлюсь по подробнее. Весь трафик который приходит на устройство попадает в эту таблицу. Логика работы такая: так как windows не маркирует трафик ни как и не выставляет в поле IP заголовков никаких маркеров приоритетов, то нашему микротику ничего не остается как маркировать трафик на основе портов в заголовках пакетов. Так же все правила состоят как минимум из двух частей. В начале мы смотрим на порт, например 80 и 443, и если у этого пакета статус соединения new то помещаем его и все последующие пакеты в Connection HTTP-connect. Затем маркируем все пакеты из HTTP-connect в Packet Mark Applications. Такие двойные правила сделаны для снижение нагрузки на процессор, что бы он мог быстрее и лучше обрабатывать большие объемы трафика.

It’s good practice to Mark the connection first then use the “connection mark” to perform a “packet mark” (if possible / TCP ACK) (low CPU usage)

Таких Packet Mark 4 штуки, можно больше но не более 8(хотя именно тут можно сделать и больше): Controll, RealTime, Applications и последний, который не отображается это no-mark (Best Effort). В этот попадает все что не определено. Это нам понадобится дальше, когда мы будем разбираться с очередями и приоритетами.

Если вы спросите зачем так заморачиваться и делать всякие усложнение, то вот вам ответ:

MikroTik Routers and Wireless — Products: hEX S

Этот скриншот наглядно показывает зависимость количества прохождения трафика по разным фильтрам и пропускную способность устройства в режиме маршрутизатора. В режиме коммутатора явно какой-то бред, но видимо коммутатора в этом устройстве нет совсем, есть его эмуляция.

Кстати, если вы определите весь трафик, ну или большую часть, то все что не попадет можно считать торрент трафиком, который можно урезать потом в очередях. Это ответ на вечный вопрос, как ограничить торрент трафик.

Я промаркировал трафик для приложений:

  • WEB
  • SIP и RTP
  • Steam и Steam Remote Pley
  • DNS
  • Plex Steam
  • Synology DSM приложения
  • World of Tanks

Этот список можно добавлять и редактировать по вашему усмотрению.

Трафик промаркировали, теперь идем в очереди настраивать приоритеты

Очереди работают только на передачу! По приему мы принимаем и обрабатываем весь трафик.

Так это выглядит у меня и будет у вас, если вы импортируете файл с моими настройками.

Что я тут сделал? Для каждого интерфейса я создал основную очередь. Этой очереди можно задать общее ограничение, например мой провайдер дает мне 100Мбитс канал, вот я на этом порту и ограничил скорость в 100М общей очереди. На других портах можно не ограничивать, так общее ограничение будет равно скорости порта. Затем к этой основной очереди порта привязал еще 4 очереди с разными приоритетами и с разными политиками распределения трафика:

  • Приоритет 1 — Controll — политика PFIFO
  • Приоритет 3 — RealTime — политика PFIFO
  • Приоритет 4 — Application — политика RED
  • Приоритет 8 — no-mark — политика RED.

У каждой очереди, кроме приоритета 8, я указал гарантированную полосу Limit AT и не гарантированную максимальную Max Limit:

Немного поясню. Существует 8 приоритетов, где 1 наивысший, а 8 наинизший. Чем выше приоритет тем быстрее он обработается. Так же очень важен тип очереди. Допустим PFIFO означает, что кто первый пришел, тот первый и ушел. Это полезно что бы не задерживался трафик, который зависит от задержек, например голос, видео или онлайн игры. RED это рандомное распределение трафик, что бы если его много все потоки трафика могли получить свою скорость. Применяется для не критичного трафика, например серфинг в интернете WEB или закачка файлов. Трафика с высоким приоритетом не должно быть много иначе он забьет весь канал и например сайты у вас не смогут открываться.

Если вы заметили, то еще существует глобальная очередь. Она нужна для трафика, который назначен для самого микротика. Такая структура прохождения трафика внутри устройства, а как вы помните маркируем мы трафик в таблице Prerouting а не Postrouting. Как вариант можно добавить маркировку для этого трафика в postrouting, но я посчитал, что лучше навешать на глобальную политику.

MikroTik настройка Firewall: Базовая защита и примеры настройки безопасности от сканирования портов и DDoS-атак (smartadm.ru)

Что бы импортировать шаблон нужно сначала загрузить его на микротик. Для этого копируем шаблон в буфер обмена и открываем Files через WinBox, затем нажимаем кнопку вставить и файл закачивается на устройство.

Скачать файл настроек: shablon-nachalnoj-konfiguraczii-v5

Затем открываем Terminal и вводим такую команду импорта

import file-name=Template.txt

Должно получиться так:

Настройки импортированы и можно проверять и изменять под свои нужды.

Вот так работает QOS в очередях. Смотрю ролик в 4К и загружаю браузером файл

Ролик в 4К не тормозит, а браузер качает чуть меньше, так как трафик для видео более приоритетный.

Максимальное скорость, которую я смог достичь при таких настройках получилось гдето 600Мбитс. Все уперлось в процессор на самом Synology. Напомню процессор Synology на котором я тестировал Intel Celeron J4025. Это двух ядерный процессор, который загружен еще остальными задачами.

В видео ролике я буду тестировать защиту от подбора паролей, от сканирования портов и покажу как развернуть трафик с ПК в сторону этой схемы, что бы имитировать реальную загрузку.

На этом статья закончена, желаю всем удачи и пользуйтесь Synology )))

The CHR has 4 license levels:

  • free
  • p1 perpetual-1 ($45)
  • p10 perpetual-10 ($95)
  • p-unlimited perpetual-unlimited ($250)

The 60-day free trial license is available for all paid license levels. To get the free trial license, you have to have an account on MikroTik.com as all license management is done there.

Perpetual is a lifetime license (buy once, use forever). It is possible to transfer a perpetual license to another CHR instance. A running CHR instance will indicate the time when it has to access the account server to renew its license. If the CHR instance will not be able to renew the license it will behave as if the trial period has run out and will not allow an upgrade of RouterOS to a newer version.

After licensing a running trial system, you must manually run the /system license renew function from the CHR to make it active. Otherwise, the system will not know you have licensed it in your account. If you do not do this before the system deadline time, the trial will end and you will have to do a complete fresh CHR installation, request a new trial, and then license it with the license you had obtained.

License Speed limit Price
Free 1Mbit FREE
P1 1Gbit $45
P10 10Gbit $95
P-Unlimited Unlimited $250
Cloud Hosted Router (CHR) — RouterOS — MikroTik Documentation

В следующей статье я расскажу как обойти это ограничение.

Статьи, которыми я пользовался:

Ограничение скорости (qos) в Микротик с помощью queues (serveradmin.ru)

MikroTik настройка Firewall: Базовая защита и примеры настройки безопасности от сканирования портов и DDoS-атак (smartadm.ru)

Mikrotik Traffic control with HTB

Что делать когда winbox не может подключиться к роутеру Mikrotik?

«Could not connect to 192.168.88.1:80 — no response!»

image

Вот что тогда делать, данный роутер Mikrotik RB951Ui-2Hnd не оборудован консольным портом, чтобы сбросить все настройки.

MAC адрес данного роутера (eth0) → E4:8D:8C:B6:6B:94

На заметку: все дальнейшие действия происходят на моей рабочей системе Ubuntu 12.04.5 Desktop amd64

Во многих статьях интернета все больше сводится к тому, что в процессе ранее когда подключали данный Mikrotik не корректно произвели обновление или просто напросто прервали сам процесс, но у меня исключительная ситуация — я не подключал ни куда данный роутер, а купил таким.

Как я уже знаю, что устройства Mikrotik поддерживают такие протоколы управления, как:

  • HTTP/HTTPS — 80,443
  • SSH — 22
  • Telnet — 23
  • Winbox — 8291
  • API — 8728

Для того, чтобы поправить текущую ситуацию придется задействовать один из ниже указанных способов.

Первый способ: попробовать сделать reset всем настройкам

  • Выключаем штекер питания
  • Распрямляем скрепку и нажимаем ею в углубленную кнопку с надписью RES

image

  • и держим скрепку в нажатом состоянии на кнопку.
  • Подключаем штекер питания
  • Ждем когда надпись на индикаторе ACT начнет мигать
  • Отпускаем скрепку которое все это время была нажата на углубленную кнопку RES

и через некоторое время (обычно минуту или две) уже можно будет попробовать подключиться к устройству Mikrotik через утилиту winbox — В одном случае у меня данный способ привел к положительному результату, я получил доступ к устройству.

Второй способ: воспользоваться специальной утилитой от компании Mikrotik именуется она, как netinstall, с помощью данной утилиты происходит восстановление прошивки которую предварительно придется скачать.

Подключаю сетевой провод в первый порт на устройстве Mikrotik

aollo@system:~$ wget http://download2.mikrotik.com/routeros/6.33.3/netinstall-6.33.3.zip

aollo@system:~$ unzip netinstall-6.33.3.zip

Archive: netinstall-6.33.3.zip

inflating: LICENSE.txt

inflating: netinstall.exe

Скачиваю прошивку:

image

aollo@system:~$ wget http://download2.mikrotik.com/routeros/6.33.3/routeros-mipsbe-6.33.3.npk

Запускаю утилиту netinstall через wine, на появившееся окно с надписью «Bind bootp failed: (10013)» не обращаем внимание, т. е. Нажимать OK не следует иначе закроется сама утилита netinstall.

Через Browse указываем каталог местоположения прошивки, в моем случае это /home/aollo, а после нажимаем кнопку Net booting и активируем (Установка галочки Boot Server Enabled и указанием IP адреса текущей системы), что текущая система будет выступать PXE сервером с адресом Вашей системы где запущена утилита netinstall

image

После чего проделываю действия над Mikrotik чтобы он перешел в режим загрузки по сети, данные действия аналогичны первому способу, но вот в чем загвоздка, сообщение которое появляется при загрузке netinstall говорит, что не может сделать текущую систему сервером PXE с которого грузить прошивку.

Раз так, то попробую задействовать резервный ноутбук: HP ProBook 4540s с операционной системой Windows 7 Профессиональная SP1.

Подключаю к ноутбуку (выставляю статику 192.168.88.100) сетевой кабель, а другим разъемом в второй порт на роутере Mikrotik.

Проделываю все операции по переводу роутера Mikrotik в режим загрузки по сети, но так ни на одном из портов ничего не удается сделать. Может я пока чего-то не понимаю.

Итого проработать все шаги по закачки прошивки на Mikrotik не получилось, получилось только сделать аппаратный Reset и только после этого я уже смог через утилиту управления Winbox подключиться к устройству и произвести первоначальные шаги по конфигурированию. Надеюсь, что в дальнейшем я добью тот момент как использовать утилиту или же лучше бы он мне никогда не понадобился. На этом я прощаюсь, до новых практических заметок на моем блоге, с уважением, автор блога — ekzorchik.

Оцените статью
Рейтинг автора
4,8
Материал подготовил
Егор Новиков
Наш эксперт
Написано статей
127
А как считаете Вы?
Напишите в комментариях, что вы думаете – согласны
ли со статьей или есть что добавить?
Добавить комментарий