Blog of Khlebalin Dmitriy

(Дорогу осилит идущий…)

Первичная настройка Mikrotik.

Последние пару месяцев я активно погрузился в изучение и настройку Mikrotik. Это уже дает свои плоды, появилось понимание и ответы на непонятные ранее вопросы. Безусловно пока еще далеко до совершенства, но я в пути…

В прошлый раз были рассмотрены некоторые команды Mikrotik.

Сегодня о первичной его настройке.

Но перед этим приведу ссылки на полезные материалы, которыми я постоянно пользуюсь при изучении темы:

https://wiki.mikrotik.com/wiki/Main_Page

http://mikrotik.vetriks.ru/wiki/%D0%97%D0%B0%D0%B3%D0%BB%D0%B0%D0%B2%D0%BD%D0%B0%D1%8F_%D1%81%D1%82%D1%80%D0%B0%D0%BD%D0%B8%D1%86%D0%B0

уроки от Романа Козлова:

https://www.youtube.com/channel/UCZZb8JRfsI7NFv2YGbK6hog/videos

Ну а теперь собственно к первичной настройке.

Я набросал в GNS3 вот такую схему (вероятно со временем буду ее дополнять, но пока она такая):

Здесь у меня два офиса с пограничными Mikrotik и один Mikrotik с которого позже буду пробрасывать порты, чтоб не разворачивать сервак.  Подсеть management необходима для удобства управления Mikrotik в GNS3 (на нее можно не обращать внимание).

Сегодня потребуется только вот эта часть схемы:

На management интерфейсе прописал адрес для подключения, далее подключаемся Winbox и настраиваем.

Сразу пропишем дескрипшины интерфейсов, чтоб было понятно, что куда:

Создадим бридж для интерфейсов локальной сети и добавим их в него:

Зададим нужные нам адреса на нужные интерфейсы (один уже был задан ранее из командной строки):

Настроим DHCP сервер для внутренней сети (для наглядности я один адрес задал статическим, другой зарезервирую на DHCP сервере):

С помощью мастера создаем пул:

Внутри у нас подсеть:

Видим, что комп получил адрес 10.0.0.253, а мне необходимо чтоб был 10.0.0.3, жмем Make Static и меняем адрес (через 7 минут он получит уже 10.0.0.3):

Адреса раздаются.

Нужно подумать над списками доступа к Mikrotik. Я создал лист Allow и добавил в него внутреннюю сетку и интерфейс management:

Добавим в Tools-MAC Server разрешенные интерфейсы:

Посмотрим текущие маршруты:

Настроим Firewall (по умолчанию все разрешено), сделаем несколько разрешающих правил, все остальное запретим. Фаерволу я в последствии уделю отдельное внимание. Сейчас только первичный набор правил.

Это правило для подключения с моего компа (его можно не делать если это не GNS3):

Разрешим подключения из локальной сети по портам 8291,22,443,80:

Разрешим ICMP (ping) в том числе и снаружи это больше для наглядности.

Все остальное запрещаем, кроме тех интерфейсов, которые находятся в листе allow:

В итоге первоначально получилось несколько правил.

Осталось отмаскировать наши внутренние адреса (чтоб в пакеты от внутренних компов подставлялся наш внешний адрес):

Теперь, при попытке запинговать из внутренней подсети,  внешний адрес другого роутера, находящегося за нашим, мы сможем это благополучно это сделать (пингуем 1.1.1.2/24):

Сразу посмотрим на log противоположного роутера, там видно, что NAT, настроенный на основном роутере работает:

На этом первичная настройка роутера закончена.

Можно еще сменить пароль пользователя (я не буду):

Настроить SNMP для мониторинга (я здесь тоже не буду этого делать).

Второй пограничный Mikrotik в филиале настроим аналогичным образом.

Надо бы настроить NAT, но это тема последующих повествований.

Продолжение следует….

Всем хорошей работы!!!

 

02.07.2019 Posted by | Network and Wi-fi: cisco, mikrotik, huawei, tp-link, d-link, zyxel и другое... | Комментарии к записи Первичная настройка Mikrotik. отключены