Настройка Mikrotik RB951G (pppoe)

Обзор и настройка wifi-роутера MikroTik для новичков

Здравствуйте, друзья! Сегодня я хочу поделиться с вами впечатлениями от использования и краткой настройкой этого прекрасного аппарата. MikroTik — Латвийский производитель компьютерного сетевого оборудования, и, надо сказать, очень стабильного и качественного. Если сравнивать маршрутизаторы этой марки с другими производителями, такими как: D-Link, ZyXel, Asus, TP-Link, стоит сказать, что микротики обладают широчайшими возможностями по настройкам и надежностью в разы превосходящие указанные бренды. На борту установлена фирменная операционная система RouterOS (ROS), основанная

на Linux, которая способна удовлетворить сетевые потребности практически любого пользователя. Главным минусом можно назвать сложность настройки, точнее даже сказать, непривычность. Как правило, рядовому пользователю трудно всё настроить самостоятельно, а прибегать к помощи специалистов не всегда возможно. Тем не менее, как сказал один человек с известного технического форума — «Если MikroTik плохо работает, значит его надо правильно настроить». Именно этим мы сегодня и будем заниматься, а пока начнем с внешнего вида устройства.

Внешний вид

 

OLYMPUS DIGITAL CAMERA

Mikrotik RB951G-2HnD поставляется в обычной упаковке из твёрдого картона, здесь нет цветных картинок, обилия рекламы и прочего маркетинга, всё очень скромно. Вероятно, это связано с тем, что это уже более профессиональное оборудование, а целевые покупатели — люди знающие, что это такое и для чего.

OLYMPUS DIGITAL CAMERA

 

Комплект минимален — только сам маршрутизатор и блок питания. Качество пластика и сборки не вызывают никаких вопросов, всё очень достойно.

OLYMPUS DIGITAL CAMERA

 

Вид сзади: 4 нескользящие ножки, а так же отверстия для настенного монтажа. В силу конструкции, корпус устройства имеет отличную продуваемость, и вряд ли проблема перегрева компонентов будет для него актуальна.

Настройка

 

Используем способ «быстрой» настройки PPPoE соединения через раздел QuickSet, который отлично подойдёт новичкам, оставляя все сложности  за рамками этой статьи.

1. Первое, что нужно сделать, проверить настройки сетевой карты. Чтобы попасть в настройки маршрутизатора, необходимо настроить получение IP-адреса и сервера DNS в автоматическом режиме. Нажимаем сочетание клавиш win+R, либо «Пуск->Выполнить»

01

Далее прописываем команду ncpa.cpl, жмём Enter

02

Должна открыться папка «Сетевые подключения», настраиваем сетевую карту в соответствии с рисунком ниже.

03

2. Нужно помнить, что первый порт маршрутизатора будет использоваться для подключения к интернету, подключаем к нему кабель оператора. А для настройки соединяем сетевым кабелем компьютер с любым другим портом маршрутизатора, кроме первого.

3. Настраивать можно через web-интерфейс, но я предпочитаю делать это через фирменную программу winbox. Предлагаю скачать.

4. Запускаем winbox, жмем «обзор» и видим подключенный к компьютеру MikroTik. Здесь так же отображается его IP-адрес, идентификатор, версия прошивки и модель.

1

 

5. По умолчанию его IP-адрес 192.168.88.1, имя пользователя admin, пароля нет. Жмём «Connect». Галочка «Keep Password» означает сохранение пароля на вход. Используя кнопку «Save» можно добавить несколько устройств MikroTik в список с сохранением их логинов/паролей, если в вашей сети таковые имеются.

2

6. После входа в интерфейс устройства, видим сообщение о стандартной конфигурации, многие предпочитают сразу ее удалить и настроить все вручную, я предлагаю этого не делать, чтобы не создавать себе лишнюю головную боль с настройками. Стандартная конфигурация совсем не плоха, оставляем и жмем ОК.

3

7. Переходим в раздел QuickSet. Выбираем режим работы Home AP (домашняя точка доступа). Далее я опишу все основные пункты обязательные для заполнения:

Внимание! Сперва настраиваем все параметры и только в конце жмём Apply! 

Network Name — название беспроводной сети wifi. По умолчанию называется MikroTik, можете придумать и задать любое название, используя латиницу и/или цифры.

Frequency — частота (канал), на котором вещает ваш wifi. Выберите наиболее свободный канал, либо поставьте значение auto.

Band — режим вещания беспроводного модуля, выберите стандарт b/g/n по своему усмотрению.

Country — выбор страны. Выбираем Russia. В зависимости от страны, есть ограничения на мощность работы wifi-передатчика. По умолчанию мощность передатчика выкручена на максимум — 1 Ватт. (микроволновка!). Установив значение Russia, маршрутизатор автоматически убавит силу излучения до 0.1 Ватт, что безопасно для здоровья и соответствует закону.

WiFi Password — ключ безопасности для вашей сети. Должно быть минимум 8 символов.

Addres Acquistion — тип подключения, в моем случае интернет-провайдер даёт PPPoE.

PPPoE User — имя пользователя, для подключения к сети, выдается интернет-провайдером.

PPPoE Password — пароль для подключения к сети, выдается интернет-провайдером.

MAC Address — сетевой идентификатор устройства, не трогаем.

Firewall Router — поставьте галочку.

IP Address — 192.168.1.1 (вместо нестандартного 192.168.88.1)

Netmask — сетевая маска, ставим 255.255.255.0 (/24)

DHCP Server — ставим галочку обязательно, чтобы маршрутизатор мог автоматически выдавать локальные ip (и, соответственно, интернет) всем подключенным к роутеру девайсам.

DHCP Server Range — пишем 192.168.1.10-192.168.1.254 диапазон локальных ip адресов, которые  может выдавать DHCP сервер.

NAT — обязательно ставим галочку.

UPnP — обязательно ставим галочку.

Password — задаем пароль для входа в маршрутизатор. (изначально его не было)

Confirm Password — подтверждение пароля.

Должно получиться примерно так:

4

Жмём Apply для вступления настроек в силу. Так как были изменены сетевые параметры DHCP, вас выбросит из настроек с надписью Router Disconnect. Либо включаем/выключаем сетевую карту, либо просто перезагружаем компьютер.

Если в строке PPPoE Status написано Authentification failed, значит ошиблись при вводе логина/пароля для подключения, проверять внимательно. Если все сделали верно будет написано Connected.

На этом первоначальная настройка завершена, интернет должен заработать сразу!

Дополнительно

 

Настройка Удаленного Доступа. (По желанию)

В меню winbox’а заходим в раздел IP->Services. Там выключаем все, кроме winbox и www (в них заходим двойным кликом). Поле Available From заполняем как 0.0.0.0/0. У www желательно сменить 80 порт на нестандартный, в целях безопасности, например 70. Порт winbox оставим без изменений 8291. Должно получиться так:

mikrotik remote access

 

Далее идем в IP-> Firewall и добавляем новое правило. Заполняем как на рисунке ниже. На вкладке Action выбираем Accept. Жмем Apply. Новое правило появится в конце списка, хватаем его мышкой и перетаскиваем в начало списка перед запрещающими правилами.

firewall rule

 

Теперь, находясь вне дома, вы сможете набрать в адресной строке браузера ваш внешний ip, порт и зайти в веб-интерфейс. (12.345.678.987:70 в качестве примера). Для доступа по winbox аналогично 12.345.678.987:8291.

Защита от DNS флуда на 53 порт (Желательно)

Интернет — среда не всегда дружелюбная. Засветив свой внешний IP на каком-либо ресурсе, можно напороться на автоматический ddos на 53 порт. Факт того, что маршрутизатор принимает эти пакеты не страшен, плохо то, что он пытается на них отвечать. Это приводит к высокой нагрузке на ЦП (до 80%), а количество входящих соединений может превышать несколько тысяч. Сам же пользователь об этом порой даже не догадывается. Чтобы защититься, создадим правило. Идем в IP->Firewall->Add. И заполняем как показано ниже. На вкладке Action выбираем drop.

dns flood drop

Жмем Apply. В конце списка появится запрещающее правило. Спим спокойно 🙂

Спасибо за внимание! Конечно, данная статья не написана профессионально с описанием всех возможностей устройства (коих немало!), её цель — показать новичкам наиболее простой и быстрый способ настройки. До встречи!

Комментарии к посту «Настройка Mikrotik RB951G (pppoe)»

  • Юрий сказал(а):

    При настройке МикроТик не могу войти в окно Терминала, т.е. окно открывается, но команду ввести не могу. Что делаю не так?

  • Sel_Oin сказал(а):

    Спасибо вам огромное за доступное, а главное КРАТКОЕ изложение.

    Ответить Показать ответы (1)
  • Дмитрий сказал(а):

    Спасибо большое. Воевал с ним два дня перечитал кучу статей, пересмотрел много видео, а помогла только Ваша статья!

    Ответить Показать ответы (1)
  • slovo80@gmail.com сказал(а):

    ddwrt или openwrt для домашних перепрошейте и будет вам счастье а микротик для серьезных нагрузок.

  • Денис сказал(а):

    «Кстати, средствами самого тп-линка можно защититься от syn-flood и ddos, но похоже он не сразу успевает ореагировать.»
    Реагирует он сразу. Только не так, как хотелось бы. Обычные домашние роутеры защищают от атаки блокировкой атакуемого устройства, а не атакующего. Превышение лимита syn-флуда или udp-флуда — всегда блокируется ip назначения. Уже проверено и, как оказалось, не я один с этим столкнулся.
    Спасибо за советы! Попробую спросить провайдера, но думаю такой услуги он не предоставляет.
    И хотелось бы самому этими процессами управлять. Надо только подходящий роутер найти.

    Ответить Показать ответы (1)
  • Денис сказал(а):

    У меня пока нет микротика. У меня обычный домашний роутер тп-линк. Столкнувшись с этой проблемой я стал выбирать роутер с такими функциями. Поэтому и спрашиваю подойдет ли мне этот микротик в такой ситуации? Он может фильтровать запросы не уходя в офлайн?

    Ответить Показать ответы (1)
    • Почему бы вам не обратиться к вашему провайдеру с просьбой помочь? Им заблокировать чем-то ip адрес — раз плюнуть.
      И не надо роутер менять будет. Кстати, средствами самого тп-линка можно защититься от syn-flood и ddos, но похоже он не сразу успевает ореагировать. Так же посоветовал бы вам запретить пинг ван порта.

  • Денис сказал(а):

    Возможна ли блокировка входящих подключений с определенной подсети? Меня досит один нехороший человек. Программный фаервол, судя по журналу, блокирует, но все равно на время атаки из сети вылетаю. Может ли этот микротик фильтровать dos-атаки (около 30000 udp-запросов в секунду с одного ip) и ddos-атаки (syn-флуд на определенный порт с множества различных ip) и чтобы при этом у меня сеть не падала?

    Ответить Показать ответы (1)
    • Как уже отмечалось, проблема не в том, что микротик получает входящие запросы, а в том, что пытается на них отвечать. В интернете множество документации есть по микротиками, ищущий да найдет ) Вам нужно добавить правило, в котором указываете ip негодяя, указываете что это протокол udp, а на вкладке действий выбираете drop. В итоге все пакеты с этого ip будут отбрасываться, по идее это решит проблему.

  • Роман сказал(а):

    Благодарю за статью. Буду пробывать.

    Ответить Показать ответы (1)
  • tim сказал(а):

    а как настроить если провайдер дает интернет по vpn статическими айпи адресом

    Ответить Показать ответы (1)
  • Добавить комментарий