6 рекомендаций по безопасному управлению роутерами mikrotik с помощью winbox

Введение

Роутеры Mikrotik routerboard достаточно давно появились на рынке, но так до сих пор и не завоевали большую популярность. Хотя свою нишу заняли. Лично я считаю, что это отличный роутер для дома, по надежности у него нет конкурентов. Это действительно маршрутизатор, который можно один раз настроить и забыть. Лично мне еще ни разу не попадалось устройство, которое бы приходилось принудительно перезагружать, чтобы вывести его из комы, как это часто бывает с другими бюджетными железками.

Распространение среди домашних пользователей сдерживает в первую очередь сложность настройки. И хотя более ли менее продвинутому пользователю может показаться, что ничего тут сложного нет. Но на самом деле есть. И я часто сталкивался с просьбами настроить роутер дома для раздачи интернета по wifi, так как купившие по чьей-нибудь рекомендации пользователи сами не могли полностью настроить нужный функционал, хотя инструкций в интернете хватает.

Этот пробел я хочу восполнить и написать подробную пошаговую инструкцию по настройке микротика с нуля для чайников на примере самой подходящей для дома модели RB951G-2HnD. У меня давно подготовлена личная шпаргалка в виде текстового файла. По ней я буквально за 10 минут настраиваю роутер и отдаю пользователю. То есть реально ничего сложного нет, если знаешь, что делаешь. На основе этой шпаргалки я и напишу материал.

Возможно опытному пользователю нечего будет тут почерпнуть, а может быть я сам что-то делаю не совсем правильно или не оптимально. Прошу сделать подсказку или замечание в комментарии, если это действительно так. Я пишу статьи в том числе и для того, чтобы самому научиться чему-то новому. Как гласит одна восточная мудрость — чтобы получить новые знания, нужно поделиться теми, что есть у тебя с другими. Именно этим я и занимаюсь на страницах данного сайта.

Далее предлагаю краткий список того, что мы будем делать в статье, чтобы вы понимали, о чем пойдет речь.

Краткий список действий

Необходимое время: 2 часа.

Настройка роутера Mikrotik.

  1. Сброс настроек роутера.

    Я предлагаю начать настраивать микротик с нуля, без заводских настроек. Это позволяет лучше понять и разобраться в принципах работы устройства.

  2. Обновление прошивки.

    Рассказываю, как скачать и залить самую свежую прошивку на микротик.

  3. Объединение портов в бридж.

    Так как мы разбираем базовую настройку микротика, все порты вместе с wifi будут объединены в единый сетевой бридж, чтобы подключенные к ним устройства могли взаимодействовать друг с другом.

  4. Настройка ip адреса.

    В качестве примера покажу, как настроить статический ip адрес в роутере. Это не такая тривиальная и очевидная задача, как в некоторых домашних устройствах.

  5. Подключение интернета.

    Показываю, что нужно сделать, чтобы заработал интернет на самом роутере.

  6. Настройка dhcp сервера.

    Настраиваю dhcp сервер на микротике, чтобы он раздавал сетевые настройки для всех устройств локальной сети.

  7. Настройка NAT.

    Обязательная настройка для того, чтобы интернет заработал у подключенных к mikrotik устройств.

  8. Настройка Wifi.

    Показываю базовую настройку wifi в микротике. Только минимально необходимые настройки, чтобы можно было подключаться и выходить в интернет по wifi.

  9. Смена пароля администратора.

    Показываю, как задать или изменить пароль доступа к роутеру.

  10. Настройка времени.

    Необязательная настройка. С неправильным временем тоже все будет работать, но когда оно установлено правильно и синхронизируется, удобнее и практичнее.

Winbox для MacOS и Linux

Это может показаться удивительным, но нативного приложения Winbox под Mac или Linux просто не существует. Я не разбираюсь в портировании программного обеспечения в другие операционные системы, поэтому не могу судить, почему дело обстоит именно так. Возможно есть какие-то объективные причины того, почему разработчики Mikrotik не выпускают отдельную версию winbox под Linux или Mac.

Так что у вас не очень много вариантов работы с winbox, если ваша OS не Windows:

  1. Использовать для этого отдельную виртуальную машину с Windows.
  2. Использовать Wine.

Для маков существует проект на github — winbox-mac, который позволяет запускать утилиту winbox на macos. Под капотом там обычное виндовое приложение в комплекте с wine. Из-за этого весит эта штуковина более 300 Мб.

Для запуска winbox в linux придется сначала установить wine, а затем запустить виндовую утилиту через нее. Каких-то особых заморочек с этим нет. Все работает сразу без дополнительных настроек. Главное wine поставить. В Ubuntu:

# apt install wine-stable
# wine winbox.exe

В Centos надо подключить репозиторий epel:

# dnf install epel-release
# dnf config-manager --set-enabled PowerTools
# dnf install wine
# wine winbox.exe

Либо можете воспользоваться готовым проектом, где все собрано в одном месте — winbox-installer.

Важный нюанс. При запуске winbox в mac или linux у вас не будет работать Drag & Drop файлов. Это не ошибка, wine просто не поддерживает этот режим.

Подключение к виртуальному роутеру

Подключиться к виртуальному роутеру можно двумя путями: с помощью программы winbox и через Web-консоль.

Подключение через Winbox

Программу можно скачать с официального сайта Mikrotik.

Для подключения к виртуальному роутеру запустите программу и введите внешний IP-адрес маршрутизатора, указанный в Панели 1cloud:

Логин для подключения по умолчанию — admin. Пароль не требуется.

После успешного подключения в верхней панели отобразится IP-адрес сессии и станут доступны все инструменты winbox.

Подключение к Mikrotik RouterOS через Web-консоль

Перейдите в раздел виртуальный сервер на базе VMware, кликнете на название сервера, в открывшемся меню кликнете по кнопке Web консоль.

Откроется окно Web консоли. Введите Login — по умолчанию admin. Пароль оставьте пустым. Если терминал не отображает никакой информации — перезагрузите сервер сочетанием клавиш Ctrl+Alt+Del.

После успешного входа на сервер стоит убедиться в правильности подключения роутера к сети:

interface print — команда возвращает список подключенных интерфейсов

ip address print — команда возвращает IP-адреса, подключенных интерфейсов

В итоге мы создали ВМ с Mikrotik RouterOS, к которой можно подключить через Winbox или Web-консоль, а также создали и настроили маршрутизируемую сеть, к которой можно подключить ВМ из Панели 1cloud и сервера по VPN.

Одновременный доступ по двум внешним IP

Теперь нам нужно настроить маршрутизацию таким образом, чтобы работали одновременно два wan интерфейса с двумя разными ip адресами. У меня есть очень старая статья, где тоже используются 2 провайдера, но только для резервирования интернета. Одновременно работает только один провайдер, а на второй происходит переключение в случае проблем у первого.

Идем в раздел IP -> Routes и добавляем 2 дефолтных маршрута. Настраиваем их точно так же, как это делали, если бы был только один провайдер. Но при этом указываем для каждого маршрута свою метку маршрутизации (Routing Mark).

То же самое проделываем для второго интерфейса. Должно получиться вот так:

/ip route
add distance=1 gateway=109.68.184.1 routing-mark=wan1
add distance=1 gateway=77.31.15.1 routing-mark=wan2

Все, этого достаточно, чтобы к Mikrotik можно было подключиться извне по любому из предложенных IP адресов обоих WAN интерфейсов. По сути он стал доступен через обоих провайдеров одновременно

Важно понимать, что мы настроили только доступ к самому устройству через оба wan интерфейса, а не работу через обоих провайдеров клиентов локальной сети, если mikrotik выступает в качестве шлюза. Там нужно выполнить дальнейшие настройки, чтобы все корректно работало

Надо промаркировать пакеты и из локальной сети и направить их на тот или иной маршрут в зависимости от меток. В данной статье я это не рассматриваю. Возможно, сделаю отдельно.

Ограничение удаленных подключений

В текущей конфигурации Mikrotik удаленный доступ предоставлен всем желающим, что негативно сказывается на безопасности. В современном мире смена стандартного порта, на котором работает сервис (например, Winbox) является слабой защитой. Как обезопасить роутер от сканирования и проникновения мы рассмотрим в статье MikroTik настройка firewall.

Чтобы минимально обезопасить маршрутизатор, мы можем прописать IP-адреса, которым разрешено подключение. Для этого откроем:

IP => Services.

В открывшемся окне мы видим название сервисов (Name) и номер порта (Port) которое оно использует. Рекомендуем отключить все сервисы, которыми не собираетесь пользоваться.

Двойным нажатием на строчку сервиса Winbox, откроем его настройки и приведем к следующему виду:

Где:

  • Name: Winbox – название сервиса;
  • Port: 8291 – номер порта, который использует сервис. При желании можем указать свой;
  • Available From: 192.168.13.0/24 – разрешаем подключение из локальной сети;
  • 1.1.1.1 – вместо этого указываем IP-адрес с которого будем подключаться к оборудованию.

А также рекомендуем изучить статьи:

  • MikroTik NTP Server;
  • MikroTik сброс на заводские настройки;
  • L2TP настройка MikroTik.

На этом настройка удаленного доступа Mikrotik закончена. Надеюсь, данная статья была вам полезна. Если возникли вопросы пишите в комментарии.

Как быстро закрыть доступ к сайту

Начнем с самого простого. У нас есть роутер Mikrotik, утилита winbox и желание конкретному пользователю установить запрет на посещение определенного сайта. В моем примере это будет запрет на доступ к сайту одноклассники — ok.ru. Подключаемся к роутеру и идем в раздел IP -> Firewall, открываем вкладку Address List:

Нажимаем на + и создаем список для блокировки сайта:

Мы заполнили 2 поля:

  1. Name — имя списка. Может быть любым.
  2. Address — адрес сайта. Параметр может принимать значения как ip адреса, так и доменного имени.

После добавления списка с адресом в виде доменного имени, происходит автоматический резолв имени в ip адрес. После этого создаются динамические записи в списке уже из конкретных IP адресов. Эти IP адреса берутся из записей типа A в DNS.

У сайта может быть несколько разных доменных имен. Они могут резолвиться в разные IP адреса, так что имеет смысл добавить в список все домены, которые вам известны.

Я добавил на всякий случай адрес odnoklassniki.ru, но по факту в этом нет смысла, так как он резолвится в те же самые ip адреса, что и ok.ru. Новых динамических записей не добавилось.

Теперь настраиваем правило блокировки с использованием созданного ранее списка. Для этого идем на вкладку Filter Rules и добавляем новое правило.

  • Chain — forward. Цепочка для транзитных пакетов, которые идут через роутер. В том числе все, что проходит из локальной сети.
  • Src. Address — 192.168.13.16. IP ардес, для которого будет работать блокировка. Если хотите заблокировать сайт для всех, можно просто не заполнять это поле. Вместо ip адреса можно указать разом всю подсеть — 192.168.13.0/24.
  • Protocol — tcp. Если не указывать протокол, то тоже будет работать блокировка, но чем более конкретно указано правило, тем лучше в общем случае.

Переходим на вкладку Advanced и указываем там список odnoklassniki, который создали ранее.

Далее открываем вкладку Action.

Тут все просто — отбрасываем указанные пакеты, отправляя в ответ ошибку icmp — icmp-network-unreachable. На время отладки можете поставить галочку log, чтобы в логе видеть все сработанные правила с блокировкой социальной сети.

Для того, чтобы правило блокировки работало, его необходимо разместить в списке выше правила, разрешающего трафик из локальной сети в интернет. У меня примерно так получилось.

На этом основная настройка закончена. В данный момент правило по фильтрации сайта уже работает. Мы с помощью стандартных средств mikrotik смогли заблокировать ok.ru. Это нетрудно проверить на клиенте. При попытке открыть адрес сайта популярной соц. сети он получит следующее сообщение в браузере.

В данном случае мы в ручном режиме сделали блокировку сайта конкретному пользователю. Если у вас таких сайтов и пользователей много, процесс надо по-возможности автоматизировать.

Настройка WAN интерфейса MikroTik

Смена MAC адреса WAN порта

Если Ваш провайдер блокирует доступ к сети по MAC адресу, то необходимо сначала изменить MAC адрес WAN порта роутера MikroTik. В противном случае пропустите этот пункт.

Чтобы изменить MAC адрес порта MikroTik, открываем в программе Winbox меню New Terminal и вводим команду:

, где ether1 — имя WAN интерфейса, 00:01:02:03:04:05 — разрешенный MAC адрес.

Изменить MAC адрес MikroTik

Чтобы вернуть родной MAC адрес порта, нужно выполнить команду:

, где ether1 — имя интерфейса.

Вернуть родной MAC адрес MikroTik

Настройка Dynamic IP

Если интернет провайдер выдает Вам сетевые настройки автоматически, то необходимо настроить WAN порт роутера MikroTik на получение настроек по DHCP:

  1. Открываем меню IP;
  2. Выбираем DHCP Client;
  3. В появившемся окне нажимаем кнопку Add (плюсик);
  4. В новом окне в списке Interface выбираем WAN интерфейс ether1;
  5. Нажимаем кнопку OK для сохранения настроек.

Настройка DHCP клиента MikroTik

Теперь мы получили IP адрес от провайдера, который отображается в столбце IP Adress.

Получение IP адреса по DHCP MikroTik

Проверим, что есть связь с интернетом:

  1. Открываем меню New Terminal;
  2. В терминале пишем команду ping 8.8.8.8 (пингуем сайт google) и жмем Enter на клавиатуре.

Как видим, идут пинги по 60ms, значит интернет подключен и работает. Остановить выполнение команды можно комбинацией клавиш на клавиатуре Ctrl+C.

ping MikroTik

На компьютерах, подключенных к роутеру MikroTik, интернет не будет работать, пока вы не настроите локальную сеть, Firewall и NAT.

Настройка Static IP

Если вы используете статические сетевые настройки, необходимо настроить WAN порт роутера MikroTik вручную.

Настроим статический IP адрес и маску подсети WAN порта MikroTik :

  1. Открываем меню IP;
  2. Выбираем Addresses;
  3. В появившемся окне нажимаем кнопку Add (плюсик);
  4. В новом окне в поле Address прописываем статический IP адрес / маску подсети;
  5. В списке Interface выбираем WAN интерфейс ether1;
  6. Для сохранения настроек нажимаем кнопку OK.

Настройка статического адреса MikroTik

Настроим адрес интернет шлюза MikroTik:

  1. Открываем меню IP;
  2. Выбираем Routes;
  3. В появившемся окне нажимаем кнопку Add (плюсик);
  4. В новом окне в поле Gateway прописываем IP адрес шлюза;
  5. Нажимаем кнопку OK для сохранения настроек.

Настройка шлюза MikroTik

Добавим адреса DNS серверов MikroTik:

  1. Открываем меню IP;
  2. Выбираем DNS;
  3. В появившемся окне нажимаем кнопку Settings;
  4. В новом окне в поле Servers прописываем IP адрес предпочитаемого DNS сервера;
  5. Нажимаем кнопку «вниз» (черный треугольник), чтобы добавить еще одно поле для ввода;
  6. В новом поле прописываем IP адрес альтернативного DNS сервера;
  7. Ставим галочку Allow Remote Requests;
  8. Нажимаем кнопку OK для сохранения настроек.

Настройка DNS MikroTik

Проверим, что есть доступ к интернету:

  1. Открываем меню New Terminal;
  2. В терминале пишем команду ping 8.8.8.8 (пингуем сайт google) и жмем Enter на клавиатуре.

Как видим, идут пинги по 60ms, значит интернет подключен и работает. Остановить выполнение команды можно комбинацией клавиш на клавиатуре Ctrl+C.

ping MikroTik

На компьютерах, подключенных к роутеру MikroTik, интернет не будет работать, пока вы не настроите локальную сеть, Firewall и NAT.

Настройка PPPoE

Если вы используете ADSL модем, к которому по сетевому кабелю подключен роутер MikroTik, сначала необходимо настроить ADSL модем в режим Bridge (мост).

Настроим клиентское PPPoE соединение на роутере MikroTik:

  1. Слева выбираем меню PPP;
  2. Нажимаем кнопку Add (плюсик);
  3. Выбираем PPPoE Client.

Настройка PPPoE MikroTik

Настраиваем параметры PPPoE соединения MikroTik:

  1. В поле Name указываем имя соединения;
  2. В списке Interfaces выбираем первый WAN порт ether1, который подключен к провайдеру;
    Выбор интерфейса PPPoE MikroTik
  3. Переходим на вкладку Dial Out;
  4. В поле User указываем имя пользователя;
  5. В поле Password вводим пароль;
  6. Ставим галочку Use Peer DNS;
  7. Нажимаем кнопку OK.

Настройка пользователя и пароля PPPoE MikroTik

После создания PPPoE соединения напротив него должна появиться буква R, которая говорит о том, что соединение установлено.

PPPoE соединение на MikroTik установлено

Проверим, что есть связь с интернетом:

  1. Открываем меню New Terminal;
  2. В терминале пишем команду ping 8.8.8.8 (пингуем сайт google) и жмем Enter на клавиатуре.

Как видим, идут пинги по 60ms, значит интернет подключен и работает. Остановить выполнение команды можно комбинацией клавиш на клавиатуре Ctrl+C.

ping MikroTik

На компьютерах, подключенных к роутеру MikroTik, интернет не будет работать, пока вы не настроите локальную сеть, Firewall и NAT.

Немного общей информации

MikroTik это – маршрутизаторы, коммутаторы, точки доступа и много другое оборудование которое выпускает Латвийская фирма. Больше всего она получила свою известность именно за недорогие и функциональные сетевые устройства.

Действительно, когда я первый раз начал его настраивать, первое что я сказал: «Ого и это все можно сделать на железки за 1500 рублей». Масштаб возможностей роутеров действительно поражает это и мультикаст, MPLS, огромное количество технологий VPN. Да он один может справится с работой небальной компании и филиалов, подключённых по pptp например.

Конечно есть и один минус, для неопытных пользователей настроить микротик с первого раза будет сложно. Для этого я и пишу данную статью.

Обновления

Лучше всего использовать новейшее стабильное, официально поддерживаемое программное обеспечение. К сожалению, на просторах сети можно столкнуться с софтом, который выполняет не совсем те функции, которые ожидаешь. Ссылка на официальный дистрибутив:на февраль 2019 года MikroTik разместила версию 3.18 Winbox

Также это утверждение верно и для RouterOS. MikroTik добавил встроенный модуль обновления в Winbox, поэтому регулярные проверки новых версий приложение не отнимут много времени.

Откройте Winbox, затем нажмите Инструменты и проверьте наличие обновлений:

Делайте это на регулярной основе, примерно раз в месяц, на случай, если была выпущена новая версия, которая исправляет дыры в безопасности или добавляет новые функциональные возможности.

Управляемые хосты

Мы можем хранить профили подключения устройств в Winbox, чтобы упростить их повторное подключение. К сожалению, это может привести к плохой практике управления учетными данными. Ввод IP-адреса или имени хоста, логина и пароля, а затем нажатие кнопки «Добавить / установить» сохраняет наши учетные данные:

Добавление управляемого хоста

Любой, кто подойдет к компьютеру с открытым Winbox, может дважды щелкнуть на запись в табличной части и получить полный контроль над маршрутизатором. Мы можем установить мастер-пароль, который потребует пароль, прежде чем показать список доступных роутеров. Нажмите Set Master Password и повторите пароль дважды:

Установка мастер-пароля Winbox

Благодаря вышеописанным действиям Winbox сначала запрашивает мастер-пароль, прежде чем дать нам доступ к учетным данным вашего оборудования.

Использование мастер-пароля в Winbox

Конечно, если компьютер с Winbox остается без присмотра после того, как мастер-пароль введен, данная защита не принесет нам никакой пользы, поэтому блокировка компьютера обязательна.

Для резервного копирования десятком или даже сотен профилей управляемого сетевого оборудования многие администраторы MikroTik сохраняют файл на диск. А затем этот файл может долго гулять между коллегами.

Экспорт списка учетных данных жно выполнить, нажав Инструменты (Tools), затем Экспорт (Export):

Экспорт управляемых сетевых устройств из Winbox

Содержимое файла находится в незашифрованном виде. Экспорт файла и его открытие в более сложном текстовом редакторе, таком как Notepad ++, показывает наши IP-адреса или имена хостов, имена пользователей и пароли:

Учетные данные в Winbox хранятся открытым текстом

Сняв флажок «Сохранить пароль» (Keep Password), мы можем запретить Winbox сохранять пароль, но данный способ не очень удобен для повседневного использования.
Использование инструмента – Экспорт без паролей (Export Without Passwords) не выгружает пароли для управляемый устройств, поэтому это более безопасный вариант. Конечно, он по-прежнему будет экспортировать имена пользователей, что может позволить злоумышленнику начать атаку с помощью подбора пароля, но паролей он видеть не будет.

Выводы

Необходимо следовать следующим рекомендациям при хранении учетных данных в Winbox:

  1. На компьютерах с учетными данными, хранящимися в Winbox, блокируйте экран при отходе.
  2. Установите мастер-пароль, который необходимо ввести перед доступом к записям управляемого хоста.
  3. Не включайте пароли при экспорте списка управляемых хостов.
  4. Не делитесь файлом экспорта .WBX с другими.
  5. Если у вас должны быть пароли в экспортированном файле .WBX, зашифруйте его надежным ключом.
  6. Для путешествующих ноутбуков и планшетов с учетными данными, хранящимися в Winbox, шифруйте весь диск на случай кражи.

Схема прохождения трафика MikroTik

Схема прохождения пакетов нужна для понимания того, как движется трафик внутри маршрутизатора, через какие логические блоки он проходит. Написание сложных конфигураций возможно только при понимании данной схемы.

Схема прохождения пакетов данных MikroTik

Где:

  • INPUT INTERFACE – входная точка. С нее пакеты начинают маршрут. Интерфейс может быть физическим или виртуальным;
  • OUTPUT INTERFACE – выходная точка, где пакеты заканчивают маршрут. Интерфейс может быть физическим или виртуальным;
  • Local Process IN – финальная точка пути пакетов, адресованных маршрутизатору;
  • Local Process OUT – начальная точка пакетов, что сгенерировал маршрутизатор;
  • Routing Decision – решение о маршрутизации.

Трафик должен принадлежать определенной цепочке, которые бывают:

  • Input – трафик, направленный к маршрутизатору;
  • Output – трафик, исходящий из маршрутизатора;
  • Forward – трафик, проходящий через маршрутизатор;
  • Prerouting – трафик уже вошел в порт, но еще не принято решение о маршрутизации;
  • Postrouting – последний этап перед достижением выходного порта.

Описание содержимого цепочек:

  • HOTSPOT-IN и HOTSPOT-OUT относятся к возможностям Hotspot.
  • RAW PREROUTING и RAW OUTPUT – это частный случай файрвола, который служит для снижения нагрузки на ЦП во время DOS-атак.
  • CONNECTION TRACKING – отслеживание соединений.
  • MANGLE PREROUTING, MANGLE INPUT, MANGLE FORWARD, MANGLE OUTPUT и MANGLE POSTROUTING служат для маркировки трафика.
  • DST-NAT и SRC-NAT – служат для настройки NAT.
  • FILTER INPUT, FILTER FORWARD и FILTER OUTPUT – брандмауэр.
  • HTB GLOBAL (QUEUE TREE) и SIMPLE QUEUS служат для манипуляций с трафиком: назначения приоритета, ограничений скоростей и др.
  • BRIDGE DECISION – решение об обработке в мостовом соединении.
  • TTL – это TTL.
  • ACCOUNTING – возможности RADIUS-сервера.
  • ROUTING ADJUSTMENT – донастройка маршрутизации.

Пакеты, направленные маршрутизатору (chain: input):

Пакеты проходящий через роутер (chain: forward):

Трафик исходящий от MikroTik (chain: output):

Блокировка рекламы средствами mikrotik

С помощью изученного средства по ограничению доступа к сайтам достаточно просто блокировать любую рекламу. Для примера рассмотрим вариант по блокировке рекламы в Skype. Так как я знаю адреса серверов, куда скайп лезет за рекламой, я могу его заблокировать в mikrotik. У меня есть список:

rad.msn.com
apps.skype.com
vortex-win.data.microsoft.com
settings-win.data.microsoft.com

Это адреса, откуда загружается реклама. Списки эти могут меняться время от времени, нужно периодически проверять и обновлять. Самому подготовить список рекламных адресов для конкретного сервиса можно, к примеру, с помощью настройки собственного dns сервера и включения логирования запросов.

Дальше как обычно создаем regexp выражение для списка адресов:

^.+(rad.msn.com|apps.skype.com|vortex-win.data.microsoft.com|settings-win.data.microsoft.com).*$

Либо делаете список с dns именами, как я показал в самом начале, если не хотите использовать Layer7 для этого. Добавляем новое правило блокировки в firewall, подключаем к нему список, созданный ранее и наслаждаемся работой скайпа без рекламы.

Включаем функцию MikroTik Cloud

Настроить MikroTik DDNS, используя фирменную утилиту Winbox, довольно просто. Для этого откроем пункт меню:

IP => Cloud.

Появится окно “Cloud”, где активируем функцию DDNS Enabled:

После того, как мы применим данную настройку, увидим следующее:

  • Public Address – текущий IP-адрес назначений провайдером;
  • DNS Name – уникальное ДНС-имя присвоенное устройству, которое хранится на MikroTik Cloud.

Теперь служба Cloud DDNS проверяет каждые 60 секунд изменение исходящего IP-адреса и сопоставляет его с DNS-именем MikroTik. Благодаря этому мы можем осуществить удаленное подключение к маршрутизатору или получить доступ к внутренним ресурсам сети, используя DNS Name устройства.

Обновить доменное имя роутера вручную, можно нажатием кнопки “Force Update”:

Отключение службы DDNS на MikroTik, производится снятием “галочки”:

После чего устройство отправит команду серверу MikroTik Cloud на удаление присвоенного ДНС-имени.

Прошивка из Stick в Hilink

Ранее я говорил, , чем одна лучше другой и т.д. Но для настройки автопереключения каналов в сценарии, когда второй провайдер работает через «свисток» у нас встаёт одна проблема. В Stick прошивке, мы всегда получаем динамический серый адрес из сети провайдера (за исключением случаев с юридическими лицами, там ситуация может быть получше). И для того, чтобы скрипт переключения каналов отработал корректно, нужно иметь статические адреса на внешних интерфейсах

Причём не важно, отдаёт вам его провайдер белый или серый, главное, чтобы он не менялся. Вот именно эту проблему и решает смена прошивки

Если вы хотите углубить свои знания по работе с роутерами MikroTik, то наша команда рекомендует пройти курсы которые сделаны на основе MikroTik Certified Network Associate и расширены автором на основе опыта . Подробно читайте .

Разлочка под всех операторов

  1. Первым делом разлочиваем модем. Вставляем его в ПК, устанавливаем коннект менеджер, вместе с ним и установятся драйвера;
  2. Узнаем IMEI модема. Он обычно находится под крышкой, рядом с отсеком SIM-карты;
  3. Качаем HUAWEI Unlock code калькулятор;
  4. Вводим в поле IMEI и жмем Calc. Сохраняем коды: v201, Flash, и на всякий случай v2;
  5. Вставляем симку от другого оператора, вставляем модем в ПК. В коннект менеджере выскочит окошко, с требованием ввести код разблокировки, пишем туда v201 код и жмём ок (если не получилось, то v2 code);

Все, после этого свисток поддерживает всех операторов.

Прошиваем модем

Извлекаем его из ПК;
Удаляем все коннект менеджеры, причём не важно, от какого оператора;
Устанавливаем последовательно 3 драйвера:

  1. HUAWEI_DataCard_Driver_5.05.01.00_Setup;
  2. FC_Serial_Driver_Setup;
  3. HUAWEI_HiLink_Switch_Driver_Setup;
  • Вставляем свисток в комп, не мешаем ОС установить дрова на устройства;
  • Далее может предложить установить коннект менеджер – игнорируем и не допускаем этого. Если ОС после установки дров попросит ребут – не отказываем, если предложения не поступило – не перезагружаемся;
  • В диспетчере устройств, смотрим, чтобы не было жёлтых восклицательных знаков. Закрываем все программы, которые могут потенциально использовать модем, а также все антивирусы (желательно остановить его работу). Отключаем ПК от вашей сетки или wifi;
  • Качаем прошивку E3272S_Update_22.491.03.00.00_ADB_TLN_02 и запускаем файл на исполнение;
  • В поле запроса ввода кода, пишем Flash code и жмем ОК. Дожидаемся установки и определения новых устройств в ОС, должно быть так;

Качаем sw_mode_E327x_new и с помощью sw_debug_mode.cmd переключаем модем в режим двух портов. Запускать от имени администратора. Если все норм, то увидим такую картину:

Качаем Update_WEBUI_17.100.08.00.03_V7R1_Mod1.2 и запускам на исполнение. Дожидаемся окончания прошивки, и когда ОС установить драйвера.

У меня сразу открылась веб-морда свистка. Если у вас такого не произошло, то просто отключите / подключите его в ПК или сетевой RNDIS интерфейс в центре управления сетями и общим доступом.

Я предлагаю сразу изменить IP адресацию. Заходим во вкладку настройки. Пишем 192.168.254.1 и диапазон раздаваемых адресов сразу изменится. Применяем. У вас выскочит предупреждение что устройство перезагрузится – соглашаемся.

Обращаю ваше внимание на диапазон IP-адресов DHCP, мы в принципе можем выключить их раздачу, но если по какой-либо причине вам это нужно, то лучше эти параметры не менять

Проверим что адресация изменилась.

Для справки, во вкладке Виртуальный сервер, вы можете настроить проброс портов. Но это больше для тех, у кого статический белый адрес.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector