В список dynamic входят динамические интерфейсы, такие как VPN-интерфейсы, PPPoE. None означает «ни одного», all — «все». В дефолтной конфигурации «домашних» роутеров в списке WAN будет ether1 , в LAN — от ether2 до ether5 , все Wireless-интерфейсы и bridge . если на роутер попадает ICMP Request размером 345 байт, затем два размером 543 и один 678 байт, то адрес источника заносится в список разрешенных на сутки. С помощью Wireless Access List можно настроить сложную логику работы клиентов по уровню сигнала, времени суток, ограничить скорость каждого клиента или загнать его в определенный VLAN без дополнительных телодвижений.

Базовая конфигурация MikroTik (CLI) ( Создание простейшей конфигурации для обеспечения работы небольшого офиса с парой десятков пользователей. )

Задача: создать простейшую конфигурацию маршрутизатора «MikroTik» для обеспечения работы типового небольшого офиса с парой десятков пользователей и двумя-тремя серверами.

Прежде всего, если устройство только что поступило на полное реконфигурирование, есть смысл предварительно зачистить его настройки, и уже после этого приступать к дальнейшим действиям:

Аналогичного эффекта сброса настроек до заводских можно достигнуть следующей последовательностью действий:

1. Выключаем питание.
2. Зажимаем кнопку «Reset».
3. Удерживая кнопку «Reset» включаем питание.
4. Отпускаем кнопку «Reset», пока ещё мигает индикатор загрузки.

При входе на устройство сразу после сброса «мастером настройки» будет предложено применить «конфигурацию по умолчанию», но нам это не нужно — отказываемся путём нажатия клавиши «r».

Ознакомиться с текущей конфигурацией проще всего посредством команды экспортирования всего набора команд для воссоздания таковой:

Устанавливаем пароль для текущего пользователя «admin»:

Заводим дополнительного пользователя и выдаём ему полномочия суперпользователя:

Выключаем все сервисы управления устройством, кроме SSH, «winbox» и COM-порта:

Активируем повышенный уровень шифрования сеансов SSH и запрещаем транзитные подключения:

Ради повышения уровня пассивной безопасности разрешаем обращения к «winbox» только из локальной сети — для настройки извне достаточно SSH:

Задаём набор NS-серверов, к которым следует отправлять DNS-запросы (в примере Google и Yandex):

Разрешаем обслуживание маршрутизатором рекурсивных DNS-запросов от пользователей:

Наверняка изначально может потребоваться явно указать желаемый часовой пояс (пример для Новосибирска):

Задаём внешний источник данных для автоматической синхронизации времени:

Сразу по применению новых параметров даты и времени система попытается синхронизировать его с указанными time-серверами.

Позволяем маршрутизатору делиться сведениями о точном времени, активируя NTP-Server:

С внедрением «hardware offload» в мостовых интерфейсах прослойка «switch-group» была исключена из схемы, что сильно упростило её с точки зрения первичного конфигурирования — теперь по умолчанию все сетевые интерфейсы (кроме WAN) введены в виртуальный «прозрачный мост».

Такая реализация упрощает запуск устройства в работу, но не обеспечивает хорошей сетевой производительности из-за узкого места — CPU, через который будет пропускаться вся паразитная широковещательная коммутация, которой в реальной сети с количеством узлов за пару десятков не избежать.

Планируем распределение сетевых интерфейсов по задачам.

В дальнейшей настройке будем исходить из потребности в следующих сущностях:

WAN1 — интерфейс для подключения к первому провайдеру;
WAN2 — интерфейс для подключения ко второму провайдеру;
LAN1 — виртуальный интерфейс для обслуживания локальной сети;
DMZ1 — виртуальный интерфейс для подключения DMZ-сети;
WLAN1 — интерфейс беспроводного контроллера.

Мнение эксперта

Черноволов Василий Петрович, эксперт по вопросам мобильной связи и интернета

Все сложные вопросы мы с вами решим вместе.

Задать вопрос эксперту

Коммутатор MikroTik CRS125-8G-2S IN — в качестве коммутатора к нему было подключено несколько беспроводных маршрутизаторов и в качестве сервера CAPsMAN менеджер управления беспроводными точками. Если вам нужна бесплатная консультация, пишите мне!

Как настроить CAPsMAN и беспроводные маршрутизаторы MikroTik на несколько беспроводных сетей в разные VLAN — NetAir Wiki

> /ip firewall address-list
> add address=192.168.1.0/24 list=LIST_INET_USERS_IP
> add address=172.16.1.0/24 list=LIST_INET_USERS_IP
> add address=10.10.1.0/24 list=LIST_DMZ_IP
> add address=123.45.67.88/29 list=LIST_WAN_IP Так как внутри MikroTik живёт Linux , управление сетевым трафиком и модификация пакетов реализовано через подсистему ядра netfilter , только вместо обвязки iptables здесь оперируют сущностью firewall. Сегодня мы поговорим о том, как обезопасить себя от уже известных уязвимостей в RouterOS и защититься от тех, которые выявят в будущем.

Соединение Mikrotik и HP switch. VLAN-ы по агрегатированному соединению.

По ходу дел появилась задача: соединить два узла на разных этажах одного здания.

Идея №1 — трафик пустить по VLAN. Какая-никакая защита от вульгарного подключения.

Идея №2 — если все пустить через VLAN, то для надежности и повышения эффективности разумно обьединить физические линки в одно агрегатированное соединение.

Немного помучался, но цели своей достиг и решил задокументировать успех.

Порядок в голове — первое условие успеха, поэтому начну с назначения портов.

Со стороны Mikrotik-а надо создать новый bonding-интерфейс и приписать к нему назначенные для uplink порты:

Со стороны HP коммутатора несколько «чудесатее». Вместо использования link aggregation, которое применяется при соединении между коммутаторами, uplink-порты коммутатора надо перевести в режим «trunk»:

3-й шаг — назначение ip-адреса (адресов) для доступа к web-консоли коммутатора:

Мнение эксперта

Черноволов Василий Петрович, эксперт по вопросам мобильной связи и интернета

Все сложные вопросы мы с вами решим вместе.

Задать вопрос эксперту

Знать соседей в своей сети отличная идея, но вот светить моделью роутера и версией софта в окружающее пространство вряд ли хорошо с точки зрения безопасности. Если вам нужна бесплатная консультация, пишите мне!

Использование VLAN между двумя марутизаторами MikroTik | Stupid House

Чтобы трафик из VLAN интерфейсов с номерами 20, 30, 40, 50 выдавался в соответствующие LAN порты без тегирования, нужно создать бридж интерфейсы и объединить в них соответствующие вланы и сетевые порты. Изменим IP-адрес маршрутизатора и удалим из bridge-local интерфейс wlan1 Теперь настроим маршрутизатор под управление менеджером CAPsMAN — укажем интерфейс, явный IP-адрес менеджера CAPsMAN и бридж, в который у нас будут добавляться наши беспроводные интерфейсы. interface ethernet set ether1 master-port ether24 set ether2 master-port ether24 set ether3 master-port ether24 set ether4 master-port ether24 set ether5 master-port ether24 set ether6 master-port ether24 set ether7 master-port ether24 set ether8 master-port ether24 set ether9 master-port ether24 set ether10 master-port ether24.

TIP’S n TRICKS

Share this:

Like this:

Related

/interface ethernet
set ether1 master-port=ether24
set ether2 master-port=ether24
set ether3 master-port=ether24
set ether4 master-port=ether24
set ether5 master-port=ether24
set ether6 master-port=ether24
set ether7 master-port=ether24
set ether8 master-port=ether24
set ether9 master-port=ether24
set ether10 master-port=ether24

Мнение эксперта

Черноволов Василий Петрович, эксперт по вопросам мобильной связи и интернета

Все сложные вопросы мы с вами решим вместе.

Задать вопрос эксперту

Чтобы преобразовать его в Whitelist, нужно поставить указанные флажки и изменить тип работы интерфейса Wireless с помощью команды interface wireless set 0 default-authentication no. Если вам нужна бесплатная консультация, пишите мне!

Mikrotik with Cisco VLAN made easy | Syed Jahanzaib Personal Blog to Share Knowledge!