MikroTik: Základní nastavení routeru

mikrotik network router serial-mikrotik MikroTik: Základní nastavení routeru

Modelová situace: Chceme MikroTik router nastavit pro místní LAN 192.168.25.0/24 s porty 2 - 4 v bridgi, port 1 poslouží jako WAN (10.0.0.139) a brána bude 10.0.0.138. Nastavíme NAT maškarádu, DHCP server s poolem 100-200 a základní firewall pravidla.

Jako první provedeme úplný reset routeru = System - Reset configuration - No default config - Reset

Interfaces
- okomentujeme si jednotlivá rozhraní kvůli přehlednosti
- nastavíme port 1 jak WAN
- nastavíme porty 2-4 jako bridge
-- Bridge - Add bridge1
-- Bridge - Add ports (2,3,4)

IP – adresses
- přidáme rozsah 192.168.25.1/24 na int bridge
-- Add - Address: 192.168.25.1/24, Network: 192.168.25.0, iface: bridge1
-- PS: Na tika se pak tedy dostaneme přes IP 192.168.25.1

- přidáme na WAN port síť 10.0.0.139/24 // network 10.0.0.0
-- Add - Address: 10.0.0.139/24, Network: 10.0.0.0, iface: ether1
-- PS: Pokud bude na WANu dynamická IP (DHCP client Add), tak WAN adresu nenastavujeme

IP - Routes (routa na bránu)
- nastavíme default routu na bránu
-- Add - Dst. address: 0.0.0.0/0, Gateway: 10.0.0.138
PS: Pokud bysme měli dynamickou IP na WANu (DHCP client Add), tak routu není třeba nastavovat

IP - DNS
- nastavíme DNS servery
-- Add - Servers: 10.0.0.138, 8.8.8.8
-- zaškrtneme Allow remote requests

IP - DHCP
- nastavíme DHCP server
-- DHCP setup - Iface: Bridge
-- DHCP Address Space: 192.168.25.0/24
-- Gateway + DHCP Relay: 192.168.25.254
-- Addresses to Give Out: 192.168.25.100-192.168.25.200
-- DNS servers: 10.0.0.138, 8.8.8.8, Lease Time: 1d 00:00:00

IP - Firewall
- nastavíme NAT maškarádu
-- NAT - Add - srcnat - Src. Address 192.168.25.0/24 -> action masquerade

- provedeme zakázání DNS requestu zvenku, SSH a HTTP
-- Add - Chain: Input, Proto: UDP, Dst.Port: 53, In.Iface: ether1, Action: Drop
-- Add - Chain: Input, Proto: TCP, Dst.Port: 22, In.Iface: ether1, Action: Drop
-- Add - Chain: Input, Proto: TCP, Dst.Port: 80, In.Iface: ether1, Action: Drop

- provedeme povolení ping a winbox zvenku

-- Add - Chain: Input, Proto: icmp, In.Iface: ether1, Action: Accept #ping

-- Add - Chain: Input, Proto: TCP, Dst.Port: 8291, In.Iface: ether1, Action: Accept #winbox

- zakázání všeho ostatního zvenku (poslední pravidlo)

-- Add - Chain: Input, Con. State: negace ! + check na established+related, In.Iface: ether1, Action: Drop

- zakážeme všechny servisní porty, které nepotřebujeme
-- IP service ports - doporučuji ponechat jen ssh+winbox a změnit jejich porty

System
- nastavíme heslo k routeru
System - Password

Nastavení wifi
Wireless:
- Interfaces - wlan1 - povolit
- Mode ap_bridge
- SSID name
Security profiles - Add:
- Mode dynamic keys
- Authentication types - WPA2 PSK
- nastavit WPA2 Pre-Shared Key (heslo k wifi)

Důležité

Pravidelně kontrolujte aktualizace balíčků a routerboardu!!!
1.) System - Packages - Check for updates
2.) System - Routerboard - Upgrade
3.) Je dobré změnit port na Winbox v IP Service a také nepoužívat účet Admin

Doplnění

System - SNTP client - 192.113.144.201 + 147.228.57.10
System - Identity (nastavte vaše pojmenování routeru)

mikrotik-zakladni-nastaveni

Show english version

Publikováno dne 23.12.2016 (update 04.05.2023) do rubriky IT články

Související obsah

Komentáře

Vaše reakce na MikroTik: Základní nastavení routeru

Hl. město ČR?

Karlos

26.02.2017 [1]

Ahoj,
díky za článek, mám ale dotaz zda nevíte čím může být způsobeno toto chování na MikroTiku:
V PC otevřu dvě okna příkazové řádky a z obou dám ping -t na libovolnou veřejnou přes mikrotik)
vždy střídavě odpovídá ping pouze v jednom okně - po cca 5ti ping se rozběhne druhé a prví zastaví (Request timed out) stále dokola. Stejně i přímo ping na Tik. Ostatní vnitřní adresy v poho. Před instalací Mikrotiku jsem toto nepozoroval. Díky

Hanz

27.02.2017 [2]

Ahoj, a jak to vypadá, když dáš tracert či pathping? A co ping na různé lokální adresy?

Karlos

27.02.2017 [3]

Ahoj, jak jsem psal, na lokální adresy můžu pingat z více oken bez výpadků. Tedy vyjma lokální adresy routeru, to je stejné jako ven.
Co se týká trasování v pingpath, nevidím problém - statistika ale průšvih.

Zkusil jsem tedy i pathping na mikrotik:
------------------------------------------
C:\Users><code>pathping 192.168.1.1</code>

Tracing route to router [192.168.1.1]
over a maximum of 30 hops:
0 KarlosPC.hruska.mojedomena.cz [192.168.1.74]
1 router [192.168.1.1]

Computing statistics for 25 seconds...
Source to Here This Node/Link
Hop RTT Lost/Sent = Pct Lost/Sent = Pct Address
0 KarlosPC.hruska.mojedomena.cz [192.168.1.74]
70/ 100 = 70% |
1 0ms 70/ 100 = 70% 0/ 100 = 0% router [192.168.1.1]

Trace complete.
------------------------------------------
A takto to vypadá, když mi běží v jiném okně další ping:
------------------------------------------
C:\Users><code>pathping 192.168.1.1</code>

Tracing route to router [192.168.1.1]
over a maximum of 30 hops:
0 KarlosPC.hruska.mojedomena.cz [192.168.1.74]
1 router [192.168.1.1]

Computing statistics for 25 seconds...
Source to Here This Node/Link
Hop RTT Lost/Sent = Pct Lost/Sent = Pct Address
0 KarlosPC.hruska.mojedomena.cz [192.168.1.74]
88/ 100 = 88% |
1 0ms 88/ 100 = 88% 0/ 100 = 0% router [192.168.1.1]

Trace complete.
------------------------------------------
U jiných lokálních adres je ztráta nulová.

Díky.

OL3G

28.02.2017 [4]

Také mě nic nenapadá, když u toho nejsem. Možné příčiny:
- vadný router
- vypnout všechny firewall pravidla
- nějaká ip kolize
- sledovat podrobně provoz pomocí wiresharku
- znovu nastavit router, případně zkusit default konfiguraci
- nějaká smyčka - fyzická kontrola portů a jejich nastavení
- další....

Suppí

03.04.2017 [5]

Ahoj, tak jsem právě něco hodně podělal na mém novém routeru Mikrotik hAP-lite. Mačkám tlačítko reset a nejde to resetnout. Poradíte někdo jak udělat reset mikrotika? Díky

Hanz

03.04.2017 [6]

Ahoj, musíš MikroTik vypnout a při bootu držet tlačítko reset po dobu 5 vteřin, pak LED lehce probliknou. 10 vteřin už je moc, to je zase jiná funkce.

Blek

07.06.2017 [7]

Ahoj,
Potřeboval bych radu, u toho když si nastavím dle návodu tika, a dám si více než jeden rozsah IP pro lokal a více bridgů ztroskotám na IP>firewall>NAT>ADD> SRC.Address
Víc než jeden bridge a jeden rozsah pro lokální sít nedám.
Můžete mi poradit? Díky.

OL3G

08.06.2017 [8]

Ahoj,

no a co zkusit pro další síť na mikrotiku třeba 10.10.10.0 na port 2 postupovat takto:

IP – Addresses – Add – Address 10.10.10.1/254 / Network 10.10.10.0 / Interface ether2
IP – Firewall – NAT – Add – Chain srcnat – Src. Address 10.10.10.0/24 – Action masquerade
IP – DHCP server – DHCP setup – Interface 2 a zbytek proklikat
IP - Routes - přidat routu

Libor

13.09.2017 [9]

Dobrý den, mám problém s Mikrotikem v modu bridge, následně připojeným na switch, odkud je dále rozvedena celá naše domácí síť. Po pár hodinách nečinnosti ethernetových portů, přestane LAN port na Mikrotiku fungovat. Funguje jen wifi (internet je zapojen do 1. LAN portu). Když ráno zapnu PC, ukazuje mi, že síťový kabel byl odpojen a já musím fyzicky odpojit a znovu zapojit LAN kabel na Mikrotiku, aby LAN port začal opět fungovat. Děkuji moc za radu.

Rusty

13.09.2017 [10]

Dobrý den, opravdu je velmi těžké něco poradit bez konkrétních informací a hlavně bez znalosti Vaší konfigurace routeru. Zkuste se jako první podívat do logu, v mikrotiku se loguje hodně věcí už v základu a pak napište. S takovým problémem jsem se zatím nesetkal - může jít o hw i sw poruchu.

Libor

16.09.2017 [11]

Děkuji za odpověď, momentálně jsem mimo ČR, do logu se tedy nedostanu. Každopádně jsme vyzkoušeli vyměnit router za jiný - také MikroTik a problém přetrvává. Napadá mě už pouze vadný switch. Kabely mám změřené, to můžu vyloučit.

Aneta

03.03.2018 [12]

Ahoj mám router hAPlite microtik a chtěla bych změnit heslo ale nějak mi to nejde..:-D

Rusty

04.03.2018 [13]

Ahoj,

stáhnout winbox, připojit se a v části System - Password nastavit nové heslo.

Lenka

10.07.2018 [14]

Ahoj, mohl by mi prosím někdo poradit v čem je problém u vypadávání wi-fi:

23:25:37 ...................@wlan1:connected, signal strenght -59
23:27:06 ..................@wlan1:disconnected, received deauth: unspecified(1)

a to se někdy stává opakovaně.

Hafajs

06.12.2018 [15]

Zdravim všechny. Potrebuji radu s nastavenim FW. Eth1 mam pripojeny do LAN, která je jakoby Internet. Na Eth2 a 3 mam dve samostatne oddelene LAN. Kazda ma svůj rozsah IP, vzajemne se nevidi, ale obe vidi tu LAN, co představuje Internet. V okolnich pocitacich sice zadne zdroje nejsou, ale po zadani \\IP se da dostat ke sdilenym prostredkum v "Internetu". Jake pravidlo by toto poresilo?
Diky fest

OL3G

06.12.2018 [16]

Ahoj, to podle mě nevyřešíš (jednoduše) na tom mikrotiku, ale na routeru nad ním, kde bys např. nastavil ve firewallu nějaké dropy na portu, kam je připojen ten mikrotik pod ním (jako níže).

Kdybys řešil blokaci přístupů mezi eth2 a eth3, tak to bys přidal jen v mikrotiku pravidlo:
Chain: forward
In. Interface: eth2
Out. Interface: eth3
Action: drop

a to samé obráceně
Chain: forward
In. Interface: eth3
Out. Interface: eth2
Action: drop

Na ten router nad mikrotikem přístup nemáš?

Hafajs

06.12.2018 [17]

Mam, ale asi jsem to spatne popsal.
Mam LAN 10.0.0.x pripojenou do Internetu. V této LAN mam Mikrotik pripojeny Eth1.
Z MK na Eth2 mi leze LAN2 (192.168.10.x) a z Eth3 LAN3 (192.168.20.x). LAN2 a LAN3 na sebe nevidi, to je OK. Ale z LAN2 i z LAN3 když zadam \\10.0.0.5, tak mi nabidne sdilene prostredny na PC s touto IP. LAN je pro LAN2 a LAN3 jen "Internetem". Nechci ji mit viditelnou pro tyto "podsite".

OL3G

06.12.2018 [18]

Ahoj,

mám pro Tebe ověřené řešení, teď jsem to zkoušel:

/ip firewall address-list
add address=10.0.0.0/24 list=blokovat

/ip firewall filter
add action=drop chain=forward dst-address-list=blokovat

Pokud by Ti to náhodou zařízlo celou cestu "až do internetu" přes ten blokovaný rozsah (u mě se to nestalo), tak si udělej ještě další address-list "povoleno", tam přidej IP routeru nad tím třeba 10.0.0.1 atd a ve firewallu přidej před tu blokaci (drop) ještě accept pravidlo:

/ip firewall filter
add action=accept chain=forward dst-address-list=povoleno

Hafajs

07.12.2018 [19]

Diky, vyzkousim. Pokousel jsem se pravidlem "dropni všechno z Eth2 na Eth1, co není brana" ale tim se zaříznul i Internet. Zatím to mam tak, ze mam pro LAN2 i 3 dve pravidla, která rikaji "dropni všechno od 10.0.0.1-10.0.0.137 (138 je brana) a druhé pravidlo dropne 10.0.0.139-10.0.0.254. Funguje to, ale elegantni mi to neprijde.

Václav

06.02.2020 [20]

Nemá být v tomto modelu nat nastaven na Address: 10.0.0.139/24, Network: 10.0.0.0, iface: ether1 jako vstu do internetu?

Pavel

14.02.2020 [21]

Poslední komentář

Lze nějakým pravidlem blokovat připojení do MT z WAN pomocí WINBOXu ?
Ne po IP, ale přes MAC.
I když dám na první řádek FW
add action=drop chain=input in-interface=ether1
tak se to tam dobouchá ....

děkuji