MikroTik: Basic router settings

mikrotik network router serial-mikrotik MikroTik: Basic router settings

Model situation: We want to set up MikroTik router for local LAN 192.168.25.0/24 with ports 2-4 in bridge, port 1 serves as WAN ( 10.0.0.139) and the gateway will be 10.0.0.138. We set up NAT masquerade, DHCP server with 100-200 pool and basic firewall rules.

First we will perform a full router reset = System - Reset configuration - No default config - Reset

Interfaces
- comment on individual interfaces for clarity
- set port 1 as WAN
- set ports 2-4 as bridge
- Bridge - Add bridge1
- Bridge - Add ports (2,3,4)

IP-addresses
- we add the range 192.168.25.1/24 to the int bridge
- Add - Address: 192.168.25.1, Network: 192.168.25.0, iface: bridge1
- PS: Then we get to tic via IP 192.168.25.1

- add 10.0.0.139/24 // network 10.0.0.0 to the WAN port
- Add - Address: 10.0.0.139, Network: 10.0.0.0, iface: ether1
- PS: If there is a dynamic IP (DHCP client Add) on the WAN, we do not set the WAN address

IP - Routes
- set the default routing to the gateway
- Add - Dst. address: 0.0.0.0/0, Gateway: 10.0.0.138
PS: If we have a dynamic IP on WAN (DHCP client Add), the router does not need to be configured

IP-DNS
- set DNS servers
- Add-Servers: 10.0.0.138, 8.8.8.8
- check Allow remote requests

IP-DHCP
- set the DHCP server
- DHCP setup - Iface: Bridge
- DHCP Address Space: 192.168.25.0/24
- Gateway + DHCP Relay: 192.168.25.254
- Addresses to Give Out: 192.168.25.100-192.168.25.200
- DNS servers: 10.0.0.138, 8.8.8.8, Lease Time: 1d 00:00:00

IP-Firewall
- set NAT masquerade
- NAT - Add - srcnat - Src. Address 192.168.25.0/24 -> action masquerade

- disable DNS request from outside, SSH and HTTP
- Add-Chain: Input, Hence: UDP, Dst.Port: 53, In.Iface: ether1, Action: Drop
- Add-Chain: Input, Hence: TCP, Dst.Port: 22, In.Iface: ether1, Action: Drop
- Add-Chain: Input, Hence: TCP, Dst.Port: 80, In.Iface: ether1, Action: Drop

- disable all service ports that we do not need
- IP service ports - I recommend leaving only ssh + winbox and changing their ports

System
- set the router password
System-Password

Wifi settings
Wireless:
- Interfaces - wlan1 - enable
- Mode ap_bridge
- SSID name
Security Profiles - Add:
- Mode dynamic keys
- Authentication types - WPA2 PSK
- set WPA2 Pre-Shared Key

Important

Check your package and routerboard for updates regularly !!!
1.) System - Packages - Check for updates
2.) System - Routerboard - Upgrade

Additions

System - SNTP client - 192.113.144.21 + 147.228.57.10
System - Identity (set your router name)

mikrotik-zakladni-nastaveni

Přidat komentář

Publikováno dne 23.12.2016 (update 04.05.2023) do rubriky IT články

Komentáře

Vaše reakce na MikroTik: Základní nastavení routeru

Reaguji na poslední komentář

Hl. město SR?

Karlos

#1817

26.02.2017 [1]

Ahoj,
díky za článek, mám ale dotaz zda nevíte čím může být způsobeno toto chování na MikroTiku:
V PC otevřu dvě okna příkazové řádky a z obou dám ping -t na libovolnou veřejnou přes mikrotik)
vždy střídavě odpovídá ping pouze v jednom okně - po cca 5ti ping se rozběhne druhé a prví zastaví (Request timed out) stále dokola. Stejně i přímo ping na Tik. Ostatní vnitřní adresy v poho. Před instalací Mikrotiku jsem toto nepozoroval. Díky

Hanz

#1818

27.02.2017 [2]

Ahoj, a jak to vypadá, když dáš tracert či pathping? A co ping na různé lokální adresy?

Karlos

#1819

27.02.2017 [3]

Ahoj, jak jsem psal, na lokální adresy můžu pingat z více oken bez výpadků. Tedy vyjma lokální adresy routeru, to je stejné jako ven.
Co se týká trasování v pingpath, nevidím problém - statistika ale průšvih.

Zkusil jsem tedy i pathping na mikrotik:
------------------------------------------
C:\Users><code>pathping 192.168.1.1</code>

Tracing route to router [192.168.1.1]
over a maximum of 30 hops:
0 KarlosPC.hruska.mojedomena.cz [192.168.1.74]
1 router [192.168.1.1]

Computing statistics for 25 seconds...
Source to Here This Node/Link
Hop RTT Lost/Sent = Pct Lost/Sent = Pct Address
0 KarlosPC.hruska.mojedomena.cz [192.168.1.74]
70/ 100 = 70% |
1 0ms 70/ 100 = 70% 0/ 100 = 0% router [192.168.1.1]

Trace complete.
------------------------------------------
A takto to vypadá, když mi běží v jiném okně další ping:
------------------------------------------
C:\Users><code>pathping 192.168.1.1</code>

Tracing route to router [192.168.1.1]
over a maximum of 30 hops:
0 KarlosPC.hruska.mojedomena.cz [192.168.1.74]
1 router [192.168.1.1]

Computing statistics for 25 seconds...
Source to Here This Node/Link
Hop RTT Lost/Sent = Pct Lost/Sent = Pct Address
0 KarlosPC.hruska.mojedomena.cz [192.168.1.74]
88/ 100 = 88% |
1 0ms 88/ 100 = 88% 0/ 100 = 0% router [192.168.1.1]

Trace complete.
------------------------------------------
U jiných lokálních adres je ztráta nulová.

Díky.

OL3G

#1820

28.02.2017 [4]

Také mě nic nenapadá, když u toho nejsem. Možné příčiny:
- vadný router
- vypnout všechny firewall pravidla
- nějaká ip kolize
- sledovat podrobně provoz pomocí wiresharku
- znovu nastavit router, případně zkusit default konfiguraci
- nějaká smyčka - fyzická kontrola portů a jejich nastavení
- další....

Suppí

#1821

03.04.2017 [5]

Ahoj, tak jsem právě něco hodně podělal na mém novém routeru Mikrotik hAP-lite. Mačkám tlačítko reset a nejde to resetnout. Poradíte někdo jak udělat reset mikrotika? Díky

Hanz

#1822

03.04.2017 [6]

Ahoj, musíš MikroTik vypnout a při bootu držet tlačítko reset po dobu 5 vteřin, pak LED lehce probliknou. 10 vteřin už je moc, to je zase jiná funkce.

Blek

#1823

07.06.2017 [7]

Ahoj,
Potřeboval bych radu, u toho když si nastavím dle návodu tika, a dám si více než jeden rozsah IP pro lokal a více bridgů ztroskotám na IP>firewall>NAT>ADD> SRC.Address
Víc než jeden bridge a jeden rozsah pro lokální sít nedám.
Můžete mi poradit? Díky.

OL3G

#1824

08.06.2017 [8]

Ahoj,

no a co zkusit pro další síť na mikrotiku třeba 10.10.10.0 na port 2 postupovat takto:

IP – Addresses – Add – Address 10.10.10.1/254 / Network 10.10.10.0 / Interface ether2
IP – Firewall – NAT – Add – Chain srcnat – Src. Address 10.10.10.0/24 – Action masquerade
IP – DHCP server – DHCP setup – Interface 2 a zbytek proklikat
IP - Routes - přidat routu

Libor

#1825

13.09.2017 [9]

Dobrý den, mám problém s Mikrotikem v modu bridge, následně připojeným na switch, odkud je dále rozvedena celá naše domácí síť. Po pár hodinách nečinnosti ethernetových portů, přestane LAN port na Mikrotiku fungovat. Funguje jen wifi (internet je zapojen do 1. LAN portu). Když ráno zapnu PC, ukazuje mi, že síťový kabel byl odpojen a já musím fyzicky odpojit a znovu zapojit LAN kabel na Mikrotiku, aby LAN port začal opět fungovat. Děkuji moc za radu.

Rusty

#1826

13.09.2017 [10]

Dobrý den, opravdu je velmi těžké něco poradit bez konkrétních informací a hlavně bez znalosti Vaší konfigurace routeru. Zkuste se jako první podívat do logu, v mikrotiku se loguje hodně věcí už v základu a pak napište. S takovým problémem jsem se zatím nesetkal - může jít o hw i sw poruchu.

Libor

#1827

16.09.2017 [11]

Děkuji za odpověď, momentálně jsem mimo ČR, do logu se tedy nedostanu. Každopádně jsme vyzkoušeli vyměnit router za jiný - také MikroTik a problém přetrvává. Napadá mě už pouze vadný switch. Kabely mám změřené, to můžu vyloučit.

Aneta

#1828

03.03.2018 [12]

Ahoj mám router hAPlite microtik a chtěla bych změnit heslo ale nějak mi to nejde..:-D

Rusty

#1829

04.03.2018 [13]

Ahoj,

stáhnout winbox, připojit se a v části System - Password nastavit nové heslo.

Lenka

#1830

10.07.2018 [14]

Ahoj, mohl by mi prosím někdo poradit v čem je problém u vypadávání wi-fi:

23:25:37 ...................@wlan1:connected, signal strenght -59
23:27:06 ..................@wlan1:disconnected, received deauth: unspecified(1)

a to se někdy stává opakovaně.

Hafajs

#1831

06.12.2018 [15]

Zdravim všechny. Potrebuji radu s nastavenim FW. Eth1 mam pripojeny do LAN, která je jakoby Internet. Na Eth2 a 3 mam dve samostatne oddelene LAN. Kazda ma svůj rozsah IP, vzajemne se nevidi, ale obe vidi tu LAN, co představuje Internet. V okolnich pocitacich sice zadne zdroje nejsou, ale po zadani \\IP se da dostat ke sdilenym prostredkum v "Internetu". Jake pravidlo by toto poresilo?
Diky fest

OL3G

#1832

06.12.2018 [16]

Ahoj, to podle mě nevyřešíš (jednoduše) na tom mikrotiku, ale na routeru nad ním, kde bys např. nastavil ve firewallu nějaké dropy na portu, kam je připojen ten mikrotik pod ním (jako níže).

Kdybys řešil blokaci přístupů mezi eth2 a eth3, tak to bys přidal jen v mikrotiku pravidlo:
Chain: forward
In. Interface: eth2
Out. Interface: eth3
Action: drop

a to samé obráceně
Chain: forward
In. Interface: eth3
Out. Interface: eth2
Action: drop

Na ten router nad mikrotikem přístup nemáš?

Hafajs

#1833

06.12.2018 [17]

Mam, ale asi jsem to spatne popsal.
Mam LAN 10.0.0.x pripojenou do Internetu. V této LAN mam Mikrotik pripojeny Eth1.
Z MK na Eth2 mi leze LAN2 (192.168.10.x) a z Eth3 LAN3 (192.168.20.x). LAN2 a LAN3 na sebe nevidi, to je OK. Ale z LAN2 i z LAN3 když zadam \\10.0.0.5, tak mi nabidne sdilene prostredny na PC s touto IP. LAN je pro LAN2 a LAN3 jen "Internetem". Nechci ji mit viditelnou pro tyto "podsite".

OL3G

#1834

06.12.2018 [18]

Ahoj,

mám pro Tebe ověřené řešení, teď jsem to zkoušel:

/ip firewall address-list
add address=10.0.0.0/24 list=blokovat

/ip firewall filter
add action=drop chain=forward dst-address-list=blokovat

Pokud by Ti to náhodou zařízlo celou cestu "až do internetu" přes ten blokovaný rozsah (u mě se to nestalo), tak si udělej ještě další address-list "povoleno", tam přidej IP routeru nad tím třeba 10.0.0.1 atd a ve firewallu přidej před tu blokaci (drop) ještě accept pravidlo:

/ip firewall filter
add action=accept chain=forward dst-address-list=povoleno

Hafajs

#1835

07.12.2018 [19]

Diky, vyzkousim. Pokousel jsem se pravidlem "dropni všechno z Eth2 na Eth1, co není brana" ale tim se zaříznul i Internet. Zatím to mam tak, ze mam pro LAN2 i 3 dve pravidla, která rikaji "dropni všechno od 10.0.0.1-10.0.0.137 (138 je brana) a druhé pravidlo dropne 10.0.0.139-10.0.0.254. Funguje to, ale elegantni mi to neprijde.

Václav

#1836

06.02.2020 [20]

Nemá být v tomto modelu nat nastaven na Address: 10.0.0.139/24, Network: 10.0.0.0, iface: ether1 jako vstu do internetu?

Pavel

#1837

14.02.2020 [21]

Poslední komentář

Lze nějakým pravidlem blokovat připojení do MT z WAN pomocí WINBOXu ?
Ne po IP, ale přes MAC.
I když dám na první řádek FW
add action=drop chain=input in-interface=ether1
tak se to tam dobouchá ....

děkuji

Související obsah

MikroTik: Basic router settings

Important

Additions

Komentáře

Související obsah

mikrotik

Chcete více obsahu?

network

Chcete více obsahu?

router

Chcete více obsahu?

serial-mikrotik

Chcete více obsahu?

Reference

Aplikace

Co umíme?

Co umíme?

Máte ještě čas? Podívejte se na další rubriky