ダミーのためにMikrotikをセットアップする練習

UPD：2018年8月1日



タスクがあります：RouterOSに基づいて、家庭や小規模オフィス向けのSOHOルーターの代替としてデバイスを構成することです。 これはHOWTOです。最小限の技術的な詳細、Next-Next-Next-Okがあり、すぐに使用できるデバイスを入手できるので、始めましょう。

準備する

説明されているものはすべてRouterBOARD RB 951G-2HnDでテストされていますが、RouterOS 6.25以降に基づいたデバイスの構成の指示として使用できます。 デバイスを構成するには、独自のwinboxユーティリティ（Windowsの場合）、またはmactelnet-client（Linuxの場合）が必要です。もちろん、RouterOSにはtelnet / http / sshがありますが、今のところそれらについては忘れてください。



PCを5番目のMikrotikポートに接続し（最初のポートを除く任意のポートを使用できます）、デバイスを裏返してバーコードステッカー上のMACアドレスの範囲を確認します。後者は5番目のポートを参照し、winbox接続ウィンドウに入力するか、mactelnetを引数として使用します ユーザーはadminであり、パスワードはありません。



提案が表示されます。基本設定を保存するか、デバイスをリセットします。 [ 構成の削除]を選択します。 デバイスが再起動します。

ユーザーを追加

まず、新しいユーザーを作成して管理者を削除すると、誰もがそれを忘れます。



[システム]➙[ユーザー]➙[+]に移動します。

名前： login ;

グループ：フル（フルアクセス）;

パスワード： password ;

パスワードの確認： パスワードをもう一度入力します。

[OK]をクリックして確認します。

ユーザーの表で、adminを選択して[]を押します。











新しいユーザーの下でデバイスを切断し、デバイスに移動します。

プロバイダーのセットアップ

プロバイダーはRouterBOARDの最初のポートに接続し、残りの4つとワイヤレスインターフェースはホームサブネット192.168.10.0/24、ホームサブネットのルーターのアドレス：192.168.10.1、ネットワーククライアントには192.168.10.1.100-192.168.10.200の範囲のアドレスが割り当てられます。



プロバイダーに接続するにはさまざまな方法があり、物理レベルでイーサネットがある場合（xDLSモデムからの場合でも）、ネットワークプロトコルはIPoE（静的またはDHCP）、PPPoE、L2TP、PPTP、またはそれらの組み合わせ（一般的に） PPTP、L2TPは、構成されたIPなしでは機能しません）、すべてに加えて、MACアドレスへのバインドが存在する場合があります。 最も一般的なケースを検討してみます。



ただし、最初に、便宜上、ether1インターフェイスの名前をeth1-wanに変更します。 [Interfaces]➙[Ether1]➙[Name：eth1-wan]➙[OK] 。









プロバイダーケーブルをデバイスの最初のポートに接続します。

Macアドレスのなりすまし

すべてのプロバイダーがMacバインディングを使用するとは言いませんが、特にIPをバインドしてフリーローダーから保護するためにIPoEが使用される場合、それらは非常に一般的です。



置換はコマンドモードでのみ実行できるため、 [新しいターミナル]をクリックして次のように入力します。

 /interface ethernet set eth1-wan mac-address=00:11:22:33:44:55
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ここで、00：11：22：33：44：55は、プロバイダーが予約したMACです。

DHCPを使用して設定を自動的に取得します。

最も単純なオプション： [IP]➙[DHCPクライアント]➙[+]➙[インターフェース：eth1-wan]➙[OK] 。

静的IP設定

これも簡単なオプションですが、プロバイダーで次のパラメーターを明確にする必要があります（値は例として示されています）。

IP（IPアドレス）：192.0.2.10;

マスク：255.255.255.0（または/ 24）;

ゲートウェイ：192.0.2.1;

DNS1：192.0.2.2;

DNS2：192.0.2.3。

インターフェイスにIPを追加します。 [IP]➙[アドレス]➙[+]➙[アドレス：192.0.2.10/255.255.255.0; インターフェイス：eth1-wan]➙[OK] ;

デフォルトルートを追加： [IP]➙[ルート]➙[+]➙[Dst.Address：0.0.0.0/0; ゲートウェイ：192.0.2.1; ゲートウェイの確認：ping; 距離：1]➙[OK] ;

DNSの追加： [IP]➙[DNS]➙[サーバー：192.0.2.2; 192.0.2.3]➙[OK] 。

PPPoEセットアップ

PPPoEは、IPの事前設定を必要としないトンネリングプロトコルです。 もちろん、プロバイダーは他のネットワークとピアリングしたり、速度制限なしでネットワークにアクセスしたりできますが、PPPoEインターフェイスの外側で動作し、別のルート（SOHOルーターのデュアルアクセスまたはロシアPPPoE）を追加する必要がありますが、このような構成は初心者向けのHOWTOの範囲外です。



PPPoEを設定するには、ネットワークに接続するためのログインとパスワードを知る必要があります（通常は契約の締結時に発行されます）。



トンネルインターフェイスを追加します： [PPP]➙[+]➙[PPPoE Client] 。



[一般]タブで、インターフェイス名Name = tap1-wanおよびプロバイダーインターフェイスInterface = eth1-wanを指定します。



[Dial Out]タブで、接続用のログインとパスワード、スクリーンショットの残りのオプションを指定します。













重要：PPPoEを使用する場合は、eth1-wanの代わりにtap1-wanインターフェースを使用します。

L2TP / PPTPを構成する

そこで、私たちは最も豊富な落とし穴の接続方法を見つけました。 両方のプロトコルは同様の方法で構成されますが、予備のIP構成が必要です（DHCPを使用するか、静的に）。 mikrotikの問題は、サーバーアドレスをドメイン名で設定することにより、アドレス内でそれを1回認識し、アドレスが変更された場合（またはプロバイダーがRoundRobin DNSを使用し、サーバーが過負荷になった場合）のみこのアドレスを使用するため、インターネットなしで放置される可能性が高いことです。 プロバイダーには、たとえば、ローカルネットワークからのみアクセス可能なDNSサーバーや、PPTP / L2TPサーバーへの静的ルートを事前に登録する必要があるなど、面白いことがあります。幸運にも黄色の縞模様のプロバイダーのクライアントになれば、対応する命令を安全にダウンロードして学習できます。 DualAccess L2TP / PPTPのオプションも可能です。



ただし、IPアドレスはDHCPを使用して取得され、プロバイダーからログイン、パスワード、vpnサーバーを見つけたので、すべてが正常であると想定します。設定を続行できます。



PPTP / L2TPインターフェースを追加します： [PPP]➙[+]➙[PPTP Client or L2TP Client] 。

[全般]タブで、接続名Name = tun1-wanを指定します。

[ダイヤルアウト]タブで、PPTPまたはL2TPサーバー、ユーザー名、パスワードを指定します。







重要：L2TP / PPTPを使用する場合は、eth1-wanの代わりにtun1-wanインターフェースを使用します。

しかし、ヨータはどうですか？

しかし、簡単です。 USBモデムに出くわすと、 [Interfaces]➙[LTE]でイーサネットインターフェースとして定義される可能性が高く、DHCPを使用してそこからIPを取得するのに十分です。 ただし、最初のアクティベーションでは、モデムをPCに接続する必要があります。 すべてのモデムモデルをそのように理解していないか、失敗しましたが、彼は予備のアクティベーションなしでPCでの作業を拒否しました。

その他の3G / 4Gモデム

モデムがネットワークカードとして定義されていないが、Mikrotikが[System]➙[Resources]➙[USB]で表示する場合、usb1インターフェイスのPPP接続を作成する必要があります。状況によっては、最初にコマンドを使用してデバイスをATモードに切り替える必要があります（対応するものを探すフォーラム）。 いずれにせよ、非常に多くのオプションがありますが、そのうちの1つをここで説明します 。

ローカルネットワークのインターフェースの準備

現時点では、ether2-ether5およびwlan1インターフェースは互いに独立して動作するため、単一のデータ伝送媒体に結合する必要があります。



イーサネットインターフェイスはハードウェアレベルで組み合わせることができます。これにより、データ転送速度が向上し、CPUの負荷が軽減されます（ソフトウェアブリッジと比較して）。 Ether5はマスターポートとして使用されますが、いずれかを割り当てることができますが、別のプロバイダーが表示される場合、それを2番目のポートに接続する（そしてその上のマスターポートを切断する）ことは論理的です。



6.41未満のRoSの場合：

ether5の名前をeth5-lanに変更： [Interfaces]➙[ether5]➙[Name：eth5-lan]➙[OK] ;

ether2-ether4の名前を変更し、それらのマスターポートを設定します。 [Interfaces]➙[ether2-4]➙[Name：eth2-4-lan; マスターポート= eth5-lan]➙[OK] 。











興味深い点。 マスターポートを使用すると、1つのチップセットに属するインターフェイスを組み合わせることができます。チップセットの古いモデルでは、複数（スイッチ列）が存在する可能性があり、異なるチップセットからのインターフェイスはソフトウェアブリッジまたはパッチコードによって結合されます。



これで、すべてのローカルイーサネットインターフェイスがeth5-lanという名前で結合されます。



ワイヤレスインターフェイスはイーサネットとは別に存在し、ソフトウェアブリッジに頼る必要がある組み合わせになります。



ブリッジインターフェイスを作成します。 [Bridge]➙[+]➙[Name：br1-lan]➙[OK] ;

インターフェースの追加： [ブリッジ]➙[ポート]➙[+]➙[インターフェース：eth5-lan; ブリッジ：br1-lan]➙[OK]

[ブリッジ]➙[ポート]➙[+]➙[インターフェース：wlan1; ブリッジ：br1-lan]➙[OK]



















RoS 6.41以降の場合：

RouterOSの現在のバージョンでは、マスターポートオプションはなくなりました。すべての設定はブリッジインターフェイス内で行われます。



br1-lanインターフェイスを作成します。

 /interface bridge add name=br1-lan
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ブリッジにインターフェースを追加します。

 /interface bridge port add bridge=br1-lan interface=eth2-lan hw=yes add bridge=br1-lan interface=eth3-lan hw=yes add bridge=br1-lan interface=eth4-lan hw=yes add bridge=br1-lan interface=eth5-lan hw=yes add bridge=br1-lan interface=wlan1
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

すべてはGUIを介して実行できます。そこにあるハードウェアオフロードはhwオプションです。



有線インターフェイスのhwオプションに注意を払っていますが、スイッチのロードを担当するようになりました（可能な場合）。 複数のブリッジインターフェイスがあり、hwオプションがどこでもオンになっている場合、デバイスはハードウェアを作成するブリッジを個別に選択するため、自分で最も重要でない場合はhwを無効にします。



現在、すべてのローカルイーサネットおよびwlanインターフェイスは、br1-lanという名前で結合されています。

ワイヤレスセキュリティ

退屈なこと（正確には、それを記述するのは退屈です）が、必要です。



セキュリティプロファイルを追加し、ワイヤレス接続のパスワードを指定します。 [ワイヤレス]➙[セキュリティプロファイル]➙[+]

名前-プロファイル名。

WPA / WPA2事前共有キー-WPA / WPA2のキー（wi-fiからのパスワード）;

[OK]の最後のスクリーンショットの残り。









ワイヤレスインターフェイスをアクティブにして設定します： [Wireless]➙[wlan1]➙[Enable] 。

[ワイヤレス]タブで：

モード：ap bridge;

帯域：2gHz-B / G / N ワイヤレスデバイスが数年前にリリースされた場合、2gHz-B / Gを選択する方が論理的です。 ;

頻度：自動。 SOHOデバイスでは、チャネルコンプライアンスと呼ばれるこのパラメーターをここで表示できます 。 何を選択すればよいかわからない場合は、自動のままにしてください。 ;

SSID：アクセスポイント名。

ワイヤレスプロトコル：802.11;

セキュリティプロファイル：wpa2-protect。 前のステップで作成されたプロファイル。;

ブリッジモード：有効。

デフォルト認証：はい;

デフォルトの転送：はい。

SSIDを非表示：いいえ。 アクセスポイントを非表示にすることができます。 しかし、これを万能薬とは考えないでください。 ;

次は[Nstreme]タブです。

すべてをオフにします。



完了したら、 [OK]を押して接続を試みます（IP電話は受信しませんが、接続は確立されるはずです）。

IP、dhcp-serverの構成

br1-lanインターフェイスにipを追加します： [IP]➙[アドレス]➙[+]➙[アドレス：192.168.10.1/24; インターフェイス：br1-lan]➙[OK]











dhcpのアドレスプールを作成します。 [IP]➙[プール]➙[+]➙[名前：dhcp-pc; アドレス：192.168.10.100-192.168.10.200]➙[OK]











br1-lanインターフェイスでリッスンするdhcp-requestsを有効にします。 [IP]➙[DHCPサーバー]➙[+]➙[名前：dhcp-pc; インターフェイス：br1-lan; リース時間：08:00:00; アドレスプール：dhcp-pc]➙[OK]







ここで、dhcpによって提供されるパラメーターを決定する必要があります。 [IP]➙[DHCPサーバー]➙[ネットワーク]➙[+]

アドレス：192.168.10.0/24;

ゲートウェイ：192.168.10.1;

ネットマスク：24;

DNSサーバー：192.168.10.1

[OK]の最後。







スクリーンショットはNTPサーバーとしてのルーターのアドレスを示していますが、Mikrotikは基本的な配信で正確な時間を提供することはできません。ネットワークから他のサーバーを指定するか、ntpパッケージを追加および構成できます（HOWTOの最後で説明します）。

ドメインネームサーバーの構成

プロバイダーのDNSに満足できない場合は、リストに独自のDNSを追加できます（対応する接続​​で[ピアDNSを使用]オプションをオフにすることにより、プロバイダーDNSを完全に削除できます）。



DNSルックアップをオンにします。 [IP]➙[DNS]➙[リモートリクエストを許可：はい]➙[OK]









これでローカルネットワークが機能し、ネットワークインターフェイス（またはdhcpクライアント）を再起動してルーターからipを受信し、winbox / http / ssh / telnet / ftp / scp ip：192.168.10.1を介して接続するために使用できます



ローカルネットワーク上のデバイス間に接続がありました。リソースにpingを実行すると、そのアドレスは認識されますが、インターネットアクセスはまだ失われています。 最後の主要なポイントであるパケットフィルターの設定が来ました。

バッチフィルター

RouterOSはGNU / Linux OSの一種であり、netfilterはパケットフィルターとして使用されます。インターフェイスがカーネルモジュールまたはiptablesを使用して直接動作するとは言えませんが、開発者は後者にできるだけ近い構文を作成しようとしました。



各コマンドを個別に説明しないために、少し見てみましょう。 パケットフィルターは[IP]➙[ファイアウォール]で構成されます。タブ（iptables用語のテーブル） [フィルター] 、 [ナット] 、および[マングル]に注目します。 （ [+]ボタンを使用して他の場所にあるように）各テーブルに多数のルールを追加できます。ルールは上から下に交互に処理されるため、順序が重要です。 各ルールは、 一般、詳細、追加 、アクションの3つのタブに配置された条件で構成されます。[ アクション ]タブには、ルールの統計がありますが、興味はありません。 ルールには多くの条件を含めることができますが、主なことはそれらを矛盾させないことです。 パッケージのルールに従って、すべての条件に適合する場合、適切なアクションによって処理され、さらに先へ進むことはありません（ 実際、一部のアクションはパッケージをさらにスキップします 。 将来netfilterを扱う予定がある場合は、この事実を覚えておいてください ）。 初心者向けのオプションでは、[ 全般 ]タブから十分な条件を取得できます。







設定はどうなりますか？ ローカルネットワークのユーザーはインターネットにアクセスできます。 ローカルネットワークからのmikrotikへのアクセスは、使用するサービス（web、winbox、ssh、dns、ntp）、Webを介した外部ネットワークからのアクセスによって制限されますが、ポートアドレスは9999に変更されます。



必要なルールはすべて表形式で説明されています。間違えたり怠けたりするのが怖い場合は、 [新しい端末]を開き、セクションの最後にあるコンソールバージョンから行をコピーします。

[フィルター]タブ

条件										アクション
＃	チェーン	Src。 住所	Dst。 住所	プロトコル	Dst.Port	で。 ターフェイス	アウト。 インターフェース	接続マーク	接続状態
0	入力			icmp						受け入れる
1	入力	192.168.10.0/24		tcp	80.8291.22	br1-lan			新しい	受け入れる
2	入力			tcp	80	eth1-wan		allow_in	新しい	受け入れる
3	入力	192.168.10.0/24		UDP	53,123	br1-lan			新しい	受け入れる
4	入力								確立された、関連する	受け入れる
5	出力								[！]無効	受け入れる
6	進む	192.168.10.0/24				br1-lan	eth1-wan		新設	受け入れる
7	進む		192.168.10.0/24			eth1-wan	br1-lan		確立された、関連する	受け入れる
8	入力									拒絶する
9	出力									拒絶する
10	進む									拒絶する

[NAT]タブ

条件							アクション
＃	チェーン	Src。 住所	プロトコル	Dst.Port	で。 ターフェイス	アウト。 インターフェース
0	srcnat	192.168.10.0/24				eth1-wan	仮装
1	dstnat		tcp	9999	eth1-wan		リダイレクト ポートへ：80

タブ[マングル]

条件						アクション
＃	チェーン	プロトコル	Dst.Port	で。 ターフェイス	接続状態
0	事前ルーティング	tcp	9999	eth1-wan	新しい	接続をマーク 新しい接続マーク：allow_in

これでインターネットが利用できるようになりました。これで十分な場合は、HOWTOを閉じて使用します。詳しく知りたい場合は、追加してください。

付録1.デバイス名

デバイスに名前を付けます： [システム]➙[ID]➙[名前：MikRouter]➙[OK]

DNSで設定します ： [IP]➙[DNS]➙[静的]➙[+]➙[名前：mikrouter; アドレス：192.168.10.1]➙[OK]

これで、デバイスはmikrouterドメイン名を使用してアクセスできますが、ローカルサブネットからのみアクセスできます。

付録2.時間設定

クロックを設定します： [システム]➙[クロック]➙[時間]➙[タイムゾーン名： タイムゾーン ; 時間： 現在の時間 ; 日付： 現在の日付 ]➙[OK]

付録3.アップデート

デバイスを更新し、パッケージを追加します。



Mikrotik Webサイトにアクセスし、ルーターの更新（追加パッケージ）を含むアーカイブをダウンロードします。 解凍して次のものを残します（6.30.2-執筆時点での現在のバージョン、アップデートは頻繁に公開されます）：

 advanced-tools-6.30.2-mipsbe.npk dhcp-6.30.2-mipsbe.npk multicast-6.30.2-mipsbe.npk ntp-6.30.2-mipsbe.npk ppp-6.30.2-mipsbe.npk routing-6.30.2-mipsbe.npk security-6.30.2-mipsbe.npk system-6.30.2-mipsbe.npk user-manager-6.30.2-mipsbe.npk wireless-6.30.2-mipsbe.npk
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

Winboxで、 [ファイル]を開き、ドラッグアンドドロップを使用して、指定された選択済みパッケージをドラッグアンドドロップします（または、Webインターフェース、またはscpを使用してsshからダウンロードできます）。



更新するには、デバイスを再起動するだけです： [システム]➙[再起動]➙[はい]



将来、アップデート用のパッケージをダウンロードする必要はありません。 [システム]➙[パッケージ]➙[アップデートの確認]➙[チャンネル：現在]➙[ダウンロードとインストール]

追加4. ntpの構成

以前の追加では、クロックを設定してNTPパッケージを追加しましたが、ここで構成する必要があります。



ntp-clientをオンにして、正確な時間のサーバーアドレス（お気に入りを設定できます）を設定します。 [System]➙[NTP Client]➙[Enabled：yes; プライマリ：48.8.40.31; セカンダリ：91.206.16.4]➙[OK]

ntpリクエストのリスニングを有効にする： [システム]➙[NTPサーバー]➙[有効：はい]➙[OK]

付録5.不要なサービスを無効にする

winbox / http / sshのままにします。残りは必要に応じて含めることができます。 [IP]➙[サービス]スクリーンショットのように選択して[x]をクリックします。

付録6.発見を無効にし、mactelnet経由のアクセスを制限する

WinboxにはPCと同じ物理ネットワーク上にあるデバイスを検出する手段がありますが、これは便利ですが、どうして隣人が私たちが持っているデバイスの種類を知る必要があるのですか？



無効化： [IP]➙[ネイバー] Dis [検出インターフェイス] 。 br1-lan（ローカルエリアネットワーク）の検出を残すことができます。選択したものを削除できます。 新しいインターフェイスの場合、検出はデフォルトで有効になっています。忘れないでください。





MACアドレス（winboxおよびmactelnet）でアクセスを制限するようになりました： [ツール]➙[MACサーバー]➙[Telnetインターフェイス]

すべて無効（ [x] ）にし 、 br1-lanを追加します。

[Winboxインターフェイス]に移動して繰り返します。

付録7. UPnPを有効にする

多くのp2pアプリケーションおよびオンラインゲームでは、通常の操作のためにUPnP（動的ポートオープニングサービス）が必要です。



有効： [IP]➙[UPnP]➙[有効：はい]

インターフェースの追加： [インターフェース]➙[+]

外部：eth1-wan;

内部：br1-lan。

補遺8.オーバークロック

ネットワーク上のデバイスの数が増えすぎてルーターが対処しなくなった場合は、プロセッサーを少しオーバークロックできます。 [システム]➙[ルーターボード]➙[設定]➙[CPU周波数：750 MHz]



RB 951Gの場合、これはCPUの最大周波数です。

付録9.バックアップ設定

バックアップ設定が不要になることはありません：[ファイル]➙[バックアップ]

名前：ファイル名（拡張子なし）;

パスワード：パスワード（指定しない場合、ユーザーからのパスワードが使用されます）;

暗号化しない：バックアップを暗号化する必要がない場合。





復元するには、ファイルを別のデバイスにコピーするだけです（同じシリーズで、同じバージョンのRouterOSが望ましい）。

[ファイル]➙[復元]に移動し、ファイルを選択します。





PS RoSとMikrotikに関する記事の興味深いアイデアがある場合は、個人で書いてください。