Mikrotik rb2011uias in инструкция на русском

Содержание:

• Настройка Mikrotik
• Настройка внутренних адресов маршрутизатора. Настройка DHCP-сервера
• Настройка Wi-Fi
• Настройка безопасности маршрутизатора
• Настройка NAT
• Настройка подсети DMZ
• Настройка WAN
• Настройка SNTP-клиента

Маршрутизатор RB2011 – это достойное решение для небольшого офиса. Однако, в конфигурации по умолчанию присутствуют некоторые недостатки:

• В качестве WAN-порта используется интерфейс Ether1. Этот интерфейс гигабитный, как правило, выход в интернет осуществляется по каналу не выше 100 Мбит/сек и в таком случае использование гигабитного интерфейса не оправдано
• 100 Мбит порты заведены в соединение типа «мост» (bridge), что дает повышенную нагрузку на CPU маршрутизатора. Более логично использовать в этом случае встроенную микросхему коммутатора

Краткое описание настройки маршрутизатора RB2011, исходя из нашего опыта:

• В качестве основного выхода в интернет используем 100 Мбит интерфейс Ether10
• Интерфейс Ether9 нужно зарезервировать для дальнейшего использования, когда в этом возникнет необходимость
• Интерфейсы Ether6-Ether8 используются для подключения DMZ. Для этого настроим соответствующий Switch-процессор
• Гигабитные интерфейсы Ether1-Ether5 будем использовать для подключения локальной сети
• Wi-Fi будет использовать ключ WPA2-PSK и находиться в локальной сети

Приступаем к поэтапной настройке Mikrotik. Сначала необходимо зайти на сайт по адресу www.mikrotik.com и скачать последнюю прошивку для вашего маршрутизатора. Она пригодится в дальнейшем.

1. Подключаем компьютер в порт Ether 5. Есть возможность подсоединить и в любой другой, кроме Ether1, но лучшим вариантом будет именно Ether 5. Это упростит дальнейшую настройку.

Картинка с сайта: efsol.ru

Рисунок 1 – Веб-интерфейс Mikrotik

2. Скачиваем программу Winbox (ссылка отмечена красным прямоугольником).

После завершения загрузки программы необходимо закрыть браузер и запустить Winbox. В поле Address вводим 192.168.88.1, в поле User вводим admin. Поле Password оставляем пустым.

Картинка с сайта: efsol.ru

Рисунок 2 – Окно Winbox

3. Появляется окно приветствия с запросом о сохранении конфигурации по умолчанию.

Картинка с сайта: efsol.ru

Рисунок 3 – Окно Winbox

4. Выбираем Remove Configuration.

5. Завершаем работу с WinBox и подключаем компьютер в первый порт маршрутизатора.

6. Так как у маршрутизатора RB2011 после сброса конфигурации нет IP-адреса, необходимо воспользоваться mac-telnet. Для этого нужно снова запустить программу Winbox и справа от окна ввода адреса нажать на кнопку […]. Через некоторое время в окне появится mac-адрес маршрутизатора RB2011 и ip-адрес 0.0.0.0.

Картинка с сайта: efsol.ru

Рисунок 4 – Отображение MAC-адреса маршрутизатора

Щелкаем левой кнопкой мыши по MAC-адресу, чтобы он попал в поле «Connect to». И нажимаем на кнопку Connect.

7. После подключения к маршрутизатору берем ранее скачанный файл с прошивкой и перетаскиваем его в окно программы Winbox. В результате этого действия прошивка начнет загружаться на маршрутизатор.

Картинка с сайта: efsol.ru

Рисунок 5 – Загрузка файла с прошивкой

После окончания загрузки переходим в меню System и выбираем пункт Reboot.

Картинка с сайта: efsol.ru

Рисунок 6 – Выбор пункта Reboot в меню System

Подтверждаем перезагрузку устройства.

ВНИМАНИЕ. В момент обновления прошивки устройство может загружаться очень долго (до 3-5 минут). Ни в коем случае не выключайте питание!

8. После обновления прошивки необходимо обновить загрузчик устройства. Для этого заходим в меню System/Routerboard.

Картинка с сайта: efsol.ru

Рисунок 7 – Окно настройки интерфейса Ether1

И если версии Firmware отличаются, нажимаем кнопку Upgrade, после чего перезагружаем маршрутизатор.

Этап 2. Настройка внутренних адресов маршрутизатора. Настройка DHCP-сервера

1. После загрузки маршрутизатора RB2011 заходим в Winbox по MAC-адресу и приступаем к настройке внутренних интерфейсов. Сначала нам необходимо объединить порты 1-5 в общий аппаратный коммутатор. Ведущим портом в нем назначается порт номер 1 и его необходимо переименовать на LAN1-Master. Остальные порты получат название LAN-Slave. Для этого мы:

• Открываем меню Interfaces
• Двойным нажатием по интерфейсу Ether1 открываем окно и изменяем название порта на LAN1-Master. После чего нажимаем кнопку OK
• Затем открываем интерфейс Ether2, переименовываем порт на LAN2-Slave и в поле Master Port выбираем LAN1-Master

Картинка с сайта: efsol.ru

Рисунок 8 – Окно настройки интерфейса Ether2

Таким образом, порт добавляется в группу коммутатора с главным портом LAN1-Master. Аналогичные действия нужно провести с интерфейсами Ether3, Ether4 и Ether5.

После завершения операций в окне должно появится:

Картинка с сайта: efsol.ru

Рисунок 9 – Окно со списком интерфейсов

Буква S напротив интерфейса обозначает что он находится в состоянии Slave.

2. Теперь аналогичным способом настраиваются интерфейсы для DMZ.

Ether6 станет DMZ6-Master, а для Ether7 и Ether8 DMZ-Slave, установлена в качестве Master-порта интерфейс DMZ6-Master.

Картинка с сайта: efsol.ru

Рисунок 10 – Окно со списком интерфейсов

3. Необходимо переименовать интерфейсы Ether10 в WAN1. Интерфейс Ether9 остается незатронутым. При необходимости его можно использовать как еще один порт DMZ, указав на нем соответствующий Master-порт, или в качестве второго WAN-интерфейса, если нам потребуется резервирование канала. Также его можно будет добавить в описываемый в следующем разделе Bridge, чтобы получить еще один LAN-порт. В итоге должно получиться следующее:

Картинка с сайта: efsol.ru

Рисунок 11 – Окно со списком интерфейсов

4. Теперь необходимо создать интерфейс Bridge, который объединит коммутатор из интерфейсов LAN и интерфейс Wi-Fi.

• Для этого открываем меню Bridge, нажимаем кнопку с красным знаком [+] и в открывшемся окне вводим название нового интерфейса Bridge-Local, после чего нажимаем ОК.
• Переходим на закладку Ports и последовательно добавляем порт LAN1-Master и порт Wlan1.

Картинка с сайта: efsol.ru

Рисунок 12 – Окно создания интерфейса Bridge

После проведения последней операции должно получиться следующее:

Картинка с сайта: efsol.ru

Рисунок 13 – Список интерфейсов Bridge

5. Теперь назначим LAN-адрес маршрутизатора. В качестве адреса используется 192.168.88.1 с подсетью 255.255.255.0, что можно обозначить как 192.168.88.1/24.

Для этого нужно открыть меню IP/Adresses, в открывшемся окне нажать кнопку с красным знаком [+] и заполнить поля, как показано на рисунке 14, после чего нажимаем кнопку ОК.

Картинка с сайта: efsol.ru

Рисунок 14 – Окно добавления нового LAN-адреса

6. Теперь настраиваем DNS-сервер. Для этого зайти в меню IP/DNS, в открывшемся окне заполнить адреса DNS-серверов и поставить галочку рядом с Allow Remote Reqests.

Картинка с сайта: efsol.ru

Рисунок 15 – Окно с настройками DNS*

*В качестве примера введены адреса публичных серверов Google, необходимо заменить их на адреса, полученные у провайдера.

Для ввода второго и следующих DNS-серверов воспользуйтесь кнопкой «Стрелка вниз» рядом с полем ввода адреса сервера.

7. Переходим к настройке DHCP-сервера. Для этого нужно перейти в меню IP/DHCP Server и нажать кнопку DHCP Setup. В качестве интерфейса выбираем Bridge-Local.

Картинка с сайта: efsol.ru

Рисунок 16 – Окно с настройками DHCP

После чего нажать кнопку Next, пока в ячейке не появится «DNS Servers»

Картинка с сайта: efsol.ru

Рисунок 17 – Окно с серверами DNS

Нужно удалить нижний номер сервера нажатием на кнопку «стрелка вверх», рядом с полем, а в верхнем прописываем адрес маршрутизатора — 192.168.88.1.

Картинка с сайта: efsol.ru

Рисунок 18 – Окно с прописанным адресом маршрутизатора

Нажимаем кнопку Next до появления сообщения об успешной настройке DHCP.

Закрываем программу Winbox, вытаскиваем Ethernet кабель из ПК и вставляем его назад. Убеждаемся, что компьютер получил адрес от маршрутизатора.

После чего подключаемся к маршрутизатору по IP-адресу 192.168.88.1, который необходимо ввести в поле Connect to.

Этап 3. Настройка Wi-Fi

1. Заходим на вкладку Wireless. Дважды щелкаем кнопкой мыши по интерфейсу Wlan1.

Картинка с сайта: efsol.ru

Рисунок 19 – Окно с настройками Wlan1

Нажимаем на кнопку Advanced Mode и переходим на вкладку Wireless.

Заполняем значения, как приведено на рисунке. Измененные значения обозначены синим.

Картинка с сайта: efsol.ru

Рисунок 20 – Вкладка настроек Wireless

2. Переходим на вкладку Advanced. Вводим следующие значения:

Картинка с сайта: efsol.ru

Рисунок 21 – Вкладка настроек Advanced

3. Переходим на вкладку HT. Изменяем следующие параметры:

Картинка с сайта: efsol.ru

Рисунок 22 – Вкладка настроек HT

И применяем конфигурацию нажатием кнопки ОК.

4. Переходим на вкладку Security Profiles:

Картинка с сайта: efsol.ru

Рисунок 23 – Вкладка настроек Security Profiles

Дважды нажимаем на профиль default.

Выбираем mode=dynamic keys, ставим режим WPA2 PSK, aes-ccm и в поле WPA2 Pre-Shared Key вводим пароль на доступ к Wi-Fi.

Картинка с сайта: efsol.ru

Рисунок 24 – Настройка профиля безопасности

Нажимаем кнопку ОК.

5. Переходим на вкладку interfaces и нажимаем кнопку с синей галкой, чтобы включить беспроводной интерфейс.

Картинка с сайта: efsol.ru

Рисунок 25 – Завершение настройки Wi-Fi

Настройка Wi-Fi завершена.

Этап 4. Настройка безопасности маршрутизатора

1. Перед настройкой подключения к сети Интернет необходимо сначала настроить безопасность маршрутизатора, как минимум, отключив ненужные сервисы, и поменяв пароль администратора.

Картинка с сайта: efsol.ru

Рисунок 26 – Меню IP/Services

2. Последовательно выделяем сервисы FTP, Telnet и WWW. Нажатием на красный крест отключаем их.

Картинка с сайта: efsol.ru

Рисунок 27 – Деактивация сервисов

Этап 5. Настройка NAT

1. Перейти в меню IP/Firewall. В открывшемся окне перейти на закладку NAT и добавить новое правило. На закладке General выбрать Chain/srcnat и Out Interface=WAN1.

Картинка с сайта: efsol.ru

Рисунок 28 – Окно настройки NAT

2. На вкладке Action выбрать Masquerade.

Картинка с сайта: efsol.ru

Рисунок 29 – Окно настройки NAT. Вкладка Action

Сохраним правило, нажав кнопку OK.

Этап 6. Настройка подсети DMZ

Теперь нам необходимо задать адреса в сети DMZ. Для этого необходимо войти в меню IP/Addresses и задать адреса, которые будут использоваться в этой сети. Для примера, используем сеть 10.10.10.0/24 и адрес маршрутизатора 10.10.10.1/24.

Картинка с сайта: efsol.ru

Рисунок 30 – Настройка подсети DMZ

Этап 7. Настройка WAN

1. Для примера, провайдер нам выделил адрес 172.30.10.2 маску 255.255.255.252 и шлюз по умолчанию 172.30.10.1. Маска 255.255.255.252 имеет длину /30.
Заходим в меню IP/Addresses и добавляем адрес маршрутизатора.

Картинка с сайта: efsol.ru

Рисунок 31 – Настройка WAN

2. Затем переходим в меню IP/Routes и добавляем шлюз по умолчанию. (Шлюз по умолчанию задается маршрутом 0.0.0.0/0). Для этого добавляем маршрут:

Картинка с сайта: efsol.ru

Рисунок 32 – Настройка маршрута

Сохраняем его, нажав кнопку ОК. После чего, у Вас должен заработать интернет.

Этап 8. Настройка SNTP-клиента

Маршрутизаторы Mikrotik не имеют встроенного аппаратно-независимого таймера. Однако, нам необходимо, чтобы в журнале событий отображалось действительное время. Для этого необходимо настроить часовой пояс и SNTP-клиента.

1. Открываем меню System/Clock и выставляем свой часовой пояс (в примере Europe/Moscow):

Картинка с сайта: efsol.ru

Рисунок 33 – Настройка часового пояса

2. Затем нужно перейти в меню System/SNTP Client. Если у вас в сети нет NTP-сервера, воспользуйтесь открытым сервером NTP в Интернет. Например, ru.pool.ntp.org. Нам необходимо узнать IP-адреса серверов.

• В командной строке своего компьютера набираем команду: nslookup ru.pool.ntp.org
• Узнаем адреса серверов:
  : ru.pool.ntp.org
  Addresses:95.104.193.195 91.206.16.3 188.128.19.66 95.140.150.140
• Выбираем любые два из них и вводим в окно настройки NTP-Клиента

Картинка с сайта: efsol.ru

Рисунок 34 – Настройка SNTP

Нажимаем кнопку ОК, чтобы сохранить настройки.

На этом базовая настройка маршрутизатора успешно завершена.

В начало статьи

Safety Warnings

Before you work on any equipment, be aware of the hazards involved with electrical circuitry, and be familiar with standard practices for preventing accidents.
Ultimate disposal of this product should be handled according to all national laws and regulations.
The Installation of the equipment must comply with local and national electrical codes.
This unit is intended to be installed in the rackmount. Please read the mounting instructions carefully before beginning installation. Failure to use the correct hardware or to follow the correct procedures could result in a hazardous situation to people and damage to the system.
This product is intended to be installed indoors. Keep this product away from water, fire, humidity or hot environments.
Use only the power supply and accessories approved by the manufacturer, and which can be found in the original packaging of this product.
Read the installation instructions before connecting the system to the power source.
We cannot guarantee that no accidents or damage will occur due to the improper use of the device. Please use this product with care and operate at your own risk!
In the case of device failure, please disconnect it from power. The fastest way to do so is by unplugging the power plug from the power outlet.
It is the customer’s responsibility to follow local country regulations, including operation within legal frequency channels, output power, cabling requirements, and Dynamic Frequency Selection (DFS) requirements. All Mikrotik devices must be professionally installed.

First use

1. Choose your powering solution, please see the Powering section for possibilities.
2. Connect your Internet cable to port 1 (labeled «Internet»), and local network computers to other ports.
3. Connect your direct input power jack if not using POE, to start up the device.
4. If using POE please see section POE Adapter on how to connect.
5. The device will boot up and after the short beep, the network will be available for connecting.
6. Set your computer IP configuration to automatic (DHCP).
7. Once connected to the network, open http://192.168.88.1 in your web browser to start configuration, since there is no password by default, you will be logged in automatically (or, for some models, check user and wireless passwords on the sticker).
8. We recommend clicking the «Check for updates» button and updating your RouterOS software to the latest version to ensure the best performance and stability.
9. Set up your password on the screen that loads.

Powering

The device accepts powering from either the power jack or from the LAN1 Ethernet port:

• Direct-input power jack (5.5 mm outside and 2 mm inside diameter, female, pin positive plug) accepts 8-30 V DC (overvoltage protection starts at 30 V).
• Eth1 port accepts 8-30 V DC input (at the board; higher voltage needed to compensate for power loss on long cables) from non-standard (passive) Power over Ethernet injectors. The board does not work with IEEE802.3af compliant 48 V power injectors.

Maximum power consumption 6 W, with attachments 18 W.

Connecting to a POE Adapter

1. Connect the Ethernet cable from the device to the POE port of the POE adapter.
2. Connect an Ethernet cable from your LAN to the LAN port of the POE adapter, please mind arrows for data and power flow.
3. Connect the power cord to the adapter, and then plug the power cord into a power outlet.

Power output

The PoE on Ether10 outputs approximately 2 V below input voltage and supports up to 0.58 A (So provided 24 V PSU will provide 22 V at 0.58 A output to the Ether5 PoE port).

Configuration

Once logged in, we recommend clicking the «Check for updates» button in the QuickSet menu, as updating your RouterOS software to the latest version ensures the best performance and stability. For wireless models, please make sure you have selected the country where the device will be used, to conform with local regulations.
RouterOS includes many configuration options in addition to what is described in this document. We suggest starting here to get yourself accustomed to the possibilities: https://mt.lv/help. In case IP connection is not available, the Winbox tool (https://mt.lv/winbox) can be used to connect to the MAC address of the device from the LAN side (all access is blocked from the Internet port by default).
For recovery purposes, it is possible to boot the device for reinstallation, see section Buttons and Jumpers.

Mounting

The device is designed to be used indoors and placed on a flat surface with all needed cables connecting to the front of the unit.
Alternatively, the unit can be mounted on the wall, the kit can be obtained separately, please visit our product page for detailed info: https://mikrotik.com/product/RBWMK
Grounding screw is located on the backside of the device case, please connect it accordingly to efficient ground.
When mounting on the wall, please ensure that cable feed is pointing downwards.
The IPX rating scale of this device is IPX0. We recommend using Cat6 shielded cables.

Extension Slots and Ports

• Five 10/100/1000 (Gigabit) Ethernet ports (Auto MDI/X)
• Five 10/100 (Fast) Ethernet ports (Auto MDI/X)
• Ether10 supports 500 mA output power, ~2 V below the input voltage. Power out support auto-detect to protect non-PoE devices.
• 1G SFP port.
• MicroUSB slot type AB.
• Serial port.
• LCD for configuration.

Please visit wiki pages for MikroTik SFP module compatibility table: https://wiki.mikrotik.com/wiki/MikroTik_SFP_module_compatibility_table

Buttons and Jumpers

The RouterBOOT reset button has the following functions. Press the button and apply the power, then:

• Release the button when green LED starts flashing, to reset RouterOS configuration to defaults.
• Release the button when the LED turns solid green to clear all configuration and bridge all interfaces.
• Release the button after LED is no longer lit (~20 seconds) to cause a device to look for Netinstall servers (required for reinstalling RouterOS over the network).

Regardless of the above option used, the system will load the backup RouterBOOT loader if the button is pressed before power is applied to the device. Useful for RouterBOOT debugging and recovery.

Specifications

For more information about this product, specification and pictures please visit our web page: https://mikrotik.com/product/RB2011UiAS-IN

Operating System Support

The device supports RouterOS software version 6. The specific factory-installed version number is indicated in the RouterOS menu /system resource. Other operating systems have not been tested.

Federal Communication Commission Interference Statement

This equipment has been tested and found to comply with the limits for a Class A digital device, pursuant to Part 15 of the FCC Rules. These limits are designed to provide reasonable protection against harmful interference in a commercial installation.

This equipment generates, uses, and can radiate radio frequency energy and, if not installed and used in accordance with the instruction manual, may cause harmful interference to radio communications. Operation of this equipment in a residential area is likely to cause harmful interference in which case the user will be required to correct the interference at his own expense.

FCC Caution: Any changes or modifications not expressly approved by the party responsible for compliance could void the user’s authority to operate this equipment.
This device complies with Part 15 of the FCC Rules. Operation is subject to the following two conditions: (1) This device may not cause harmful interference, and (2) this device must accept any interference received, including interference that may cause undesired operation.
Note: This unit was tested with shielded cables on the peripheral devices. Shielded cables must be used with the unit to ensure compliance.

Innovation, Science and Economic Development Canada

This device complies with Industry Canada’s license-exempt RSS standard(s). Operation is subject to the following two conditions: (1) this device may not cause interference, and (2) this device must accept any interference, including interference that may cause undesired operation of the device.
Le présent appareil est conforme aux CNR d’Industrie Canada applicables aux appareils radio exempts de licence. L’exploitation est autorisée aux deux conditions suivantes: (1) l’appareil ne doit pas produire de brouillage, et (2) l’utilisateur de l’appareil doit accepter tout brouillage radioélectrique subi, même si le brouillage est susceptible d’en compromettre le fonctionnement.

This Class A digital apparatus complies with Canadian ICES-003.

Cet appareil numérique de la classe [A] est conforme à la norme NMB-003 du Canada.

CAN ICES-003 (A) / NMB-003 (A)

UKCA marking

Eurasian Conformity Mark

Информация о дате изготовления устройства указана в конце серийного номера на его наклейке через дробь. Первая цифра означает номер года (последняя цифра года), две последующие означают номер недели.

Изготовитель: Mikrotikls SIA, Aizkraukles iela 23, Riga, LV-1006, Латвия, support@mikrotik.com. Сделано в Китае, Латвии или Литве. Cм. на упаковке.

Для получения подробных сведений о гарантийном обслуживании обратитесь к продавцу. Информация об импортерах продукции MikroTik в Российскую Федерацию: https://mikrotik.com/buy/europe/russia

Продукты MikroTik, которые поставляются в Евразийский таможенный союз, оцениваются с учетом соответствующих требований и помечены знаком EAC, как показано ниже:

Norma Oficial Mexicana

EFICIENCIA ENERGETICA CUMPLE CON LA NOM-029-ENER-2017.

La operacion de este equipo esta sujeta a las siguientes dos condiciones:

• Es posible que este equipo o dispositivo no cause interferencia perjudicial y.
• Este equipo debe aceptar cualquier interferencia, incluyendo la que pueda causar su operacion no deseada.

Fabricante: Mikrotikls SIA, Brivibas gatve 214i, Riga, LV-1039, Latvia.

País De Origen: Letonia; Lituania; China (Republica Popular); Estados Unidos De America; Mexico.

Por favor contacte a su distribuidor local para preguntas regionales específicas. La lista de importadores se puede encontrar en nuestra página de inicio – https://mikrotik.com/buy/latinamerica/mexico.

CE Declaration of Conformity

Manufacturer: Mikrotikls SIA, Brivibas gatve 214i Riga, Latvia, LV1039.

The full text of the EU Declaration of Conformity is available at the following internet address: https://mikrotik.com/products 

Картинка с сайта: wiki.dieg.info

1. Скачиваем winbox и подключаемся к маршрутизатору.

2. Обновляем RouterOS маршрутизатора до последней версии 6.46.6. Необходимо зайти на сайт по адресу https://www.mikrotik.com/download и скачать последнюю прошивку для вашего маршрутизатора, и обновить через программу winbox.

   

   Картинка с сайта: wiki.dieg.info

   1. При помощи утилиты winbox, переходим в раздел Files и копируем туда наши сертификаты: mikrotikd30ver2.crt, mikrotikd30ver2.key, которые были созданы на ШАГ 7

      

      Картинка с сайта: wiki.dieg.info

   2. Далее импорт сертификатов: идём в раздел System – Certificates, выбираем поочередно сертификаты из списка mikrotikd30ver2.crt→mikrotikd30ver2.key и жмём кнопку Import

      

      Картинка с сайта: wiki.dieg.info

      Обращаю внимание на символы KT слева от названий сертификатов. Они обязательно должны быть у вас. Если сертификат и приватный ключ не соответствуют друг другу, то одного символа не будет.

      

      Картинка с сайта: wiki.dieg.info

Само соединение OpenVPN настраивается в меню PPP→Нажимаем кнопку «+» → в выпадающем списке выбираем OVPN Client.

Картинка с сайта: wiki.dieg.info

На вкладке Dial Out указываем адрес сервера, логин/пароль, порт, клиентский сертификат и тип шифрования. В простейшем случае, достаточно указать ip vpn сервера, порт, на котором он принимает входящие соединения и сертификат. Все остальное можно не трогать. В поле User можно писать все, что угодно.

Картинка с сайта: wiki.dieg.info

Сохраняете подключение. Теперь клиент на Микротике должен автоматически подключиться к openvpn серверу. Если этого не происходит, смотрите в чем проблема в логах на роутере или на сервере. На данном этапе все стандартно, должно заработать без проблем.

Запускаем в Winbox терминал и вводим команды interface ovpn-client жмем Enter, monitor жмем Enter, указываем номер интерфейса в моем случае 0.

И вижу чудесную ошибку: интерфейс ovpn в микротике не поднялся и в логах удаленного сервера ничего нет!! Чудесно!:)

Картинка с сайта: wiki.dieg.info

Решение проблемы — это установка второго сервера OpenVPN для поддержки корявого Микротик:

RouterOS работает с OpenVPN только по протоколу TCP и не использует сжатие.

Кратко для поднятия второго сервера OpenVPN достаточно поменять порт, сертификаты как выпускали так и выпускаем согласно руководству. Для совместимости с RouterOS MikroTik меняем или комментируем параметры в конфиге сервера OpenVPN:

proto tcp
;tls-auth ta.key 0
;key-direction 0
ncp-disable
cipher BF-CBC
auth SHA1
;compress lz4-v2
;push "compress lz4-v2"
;comp-lzo

Чтобы обеспечить автоматический запуск всех серверных конфигураций (тестировалось Debian, Ubuntu) OpenVPN откроем в /etc/default/openvpn и раскомментируем в нем строку:

AUTOSTART="all"

Затем перечитаем конфигурацию юнитов systemd:

systemctl daemon-reload

Добавьте правило nat для локальной сети, например так:

iptables-save -f iptables
 
nano iptables
...
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 10.8.0.0/24 -o eth0 -j SNAT --to-source xxx.xxx.xxx.141
-A POSTROUTING -s 10.9.0.0/24 -o eth0 -j SNAT --to-source xxx.xxx.xxx.142
COMMIT
...
 
iptables-restore iptables

Теперь можно перезапустить службу OpenVPN и убедиться, что поднялись два туннельных интерфейса:

systemctl restart openvpn

В конечном итоге я получил подключение на Микротик. Смотрим скриншот:))

Картинка с сайта: wiki.dieg.info

Для настройки MikroTik существует 2 варианта, 2 пути:

1 путь: Втыкать (именно сидеть и втыкать с бубном) в это официальное руководство mikrotik_settings.pdf

2 путь: Обновить железку до последней стабильной версии (не забудьте обновить загрузчик, хотя это не критично System→RouterBOARD). Если ваш провайдер, а чаще всего так и есть, отдает интернет dhcp вставьте от него провод витой пары в порт (в моем случае ether1) и сделайте сброс конфигурации Микротика:

1. Откройте меню System — Reset Configuration.

2. НЕ ставьте галочку No Default Configuration — не устанавливать конфигурацию по умолчанию.

3. Поставьте галочку Do Not Backup — не создавать резервную копию настроек перед перезагрузкой.

4. Нажмите кнопку Reset Configuration.

После перезагрузки будет установлен настроечный скрипт и у меня все заработало из коробки. Единственно WiFi сеть доступна без пароля, но у думаю включить WPA2 и вписать пароль в вкладке Quick Set (подключался через winbox) не составит труда. На скриншоте пометил где установить пароль на wifi в MikroTik RB2011UiAS-2HnD-IN:

Картинка с сайта: wiki.dieg.info

Как использовать команду tracert (traceroute) Mikrotik

Запуск команды traceroute Mikrotik RouterOS мягко скажем не как у всех, она изолированно не запускается, а только как ключ. Чтобы сократить ввод вы можете сначала перейти в контекст /tool и нажать Enter.

[admin@MikroTik] > /tool traceroute dieg.info

Картинка с сайта: wiki.dieg.info

Если вы попробуете запустить её на прямую, то получите ошибку: bad command name traceroute (line 1 column 1).

Функция резервного копирования RouterOS позволяет сохранить текущую конфигурацию устройства, которую затем можно повторно применить на том же или другом устройстве (с тем же названием / номером модели). Это очень полезно, поскольку позволяет без труда восстанавливать конфигурации устройства или повторно применять ту же конфигурацию на устройстве резервного копирования. Файл резервной копии системы также содержит MAC-адреса устройства, которые также восстанавливаются при загрузке файла резервной копии.

Утилита routeros-backup-tool для упаковки/распаковки и шифрования/дешифрования бэкапов RouterOS.

Начиная с RouterOS v6.44, можно хранить резервную копию вашего устройства на облачном сервере MikroTik. Служба резервного копирования позволяет загружать зашифрованный файл резервной копии, загружать его и применять файл резервной копии к вашему устройству до тех пор, пока ваше устройство может подключиться к облачному серверу MikroTik. Детально о службе резервного копирования IP/Cloud.

Как сохранить конфигурацию MikroTik? На устройствах Mikrotik backup конфигурации можно сделать несколькими способами: бинарный файл (backup) и экспорт (export).

Картинка с сайта: wiki.dieg.info

Частичный перенос настроек Mikrotik, рассмотрим пример когда нам нужно перенести на другой Микротик настройки NAT:

> ip firewall nat export file=nat-export

Как восстановить конфигурацию MikroTik?

Как сохранить бэкап на персональный компьютер? Если вы настраиваете при помощи утилиты Winbox, вы можете использовать технологию Drag&Drop, поэтому, чтобы сохранить файл резервной копии у себя на ПК, достаточно кликнуть по нему мышкой и, удерживая, перенести в любое место рабочего стола или папки.

Часто провайдеры интернета для блокирования сайтов используют блокировку при помощи DNS серверов. Или DNS сервера провайдера могу тормозить. Чтобы решить эти технические проблемы, нужно указать свободные и безопасные DNS сервера из этого списка бесплатных публичных DNS серверов. Обычно выбирают DNS от Google (8.8.8.8 и 8.8.4.4) ибо не знают других

Картинка с сайта: wiki.dieg.info

Эта задача делится на 2 этапа – настройка DNS-серверов для самого микротика (при автоматическом назначении адреса провайдером, DNS-сервера назначаются автоматически и эту часть можно опустить).

И для настройки DNS-серверов, которые будут назначаться нашим компьютерам в локальной сети, заходим при помощи winbox, в меню IP → DHCP Server, подменю Networks, и выбираем нашу локальную сеть и указываем в поле Servers наш первый адрес DNS-сервера, затем нажимаем на стрелочку вниз правее от этого поля и вписываем адрес 2-го DNS-сервера, затем нажимаем «ОК».

Далее читаем как обновить ip адрес компьютера в Windows. Все! Поздравляю!

Не путайте эту задачу с настройкой DNS для самого Микротика, где DNS сервера назначаются автоматически провайдером, при получении IP. Для решения нашей задачи -эту настройку трогать не нужно.

Читайте также: Настраиваем клиента Wireguard на Mikrotik