Как настроить подключение к интернету на роутерах Микротик

Резервная копия конфигурации и устройства

Делаем правильный бэкап. Мы можем сделать 2 вида бэкапа. Первый – экспорт конфигурации, второй – полный слепок устройства. Разница между первым и втором – экспорт можно загрузить в любой девайс, второй – только на этот же самый роутер.

Сделаем выгрузку через консоль с помощью команды export file=BK-Export

В файлах появится выгрузка с типом script. Его можно открыть текстовым редактором.

Здесь же, по кнопке Backup можно создать полный слепок, обязательно задаем пароль.

Оба файла копируем на ПК или внешний диск и удаляем с устройства. Хранить бэкапы на устройстве – плохая идея! Да статья конечно получилась длинна но в ней мы затронули все аспекты по настройке mikrotik rb951g 2hnd, привели его характеристики, прошивку и все что нужно знать когда вы берете его в руки.

Удачных конфигураций.

Настройка WAN интерфейса MikroTik

Смена MAC адреса WAN порта

Если Ваш провайдер блокирует доступ к сети по MAC адресу, то необходимо сначала изменить MAC адрес WAN порта роутера MikroTik. В противном случае пропустите этот пункт.

Чтобы изменить MAC адрес порта MikroTik, открываем в программе Winbox меню New Terminal и вводим команду:

, где ether1 – имя WAN интерфейса, 00:01:02:03:04:05 – разрешенный MAC адрес.

Изменить MAC адрес MikroTik

Чтобы вернуть родной MAC адрес порта, нужно выполнить команду:

, где ether1 – имя интерфейса.

Вернуть родной MAC адрес MikroTik

Настройка Dynamic IP

Если интернет провайдер выдает Вам сетевые настройки автоматически, то необходимо настроить WAN порт роутера MikroTik на получение настроек по DHCP:

1. Открываем меню IP;
2. Выбираем DHCP Client;
3. В появившемся окне нажимаем кнопку Add (плюсик);
4. В новом окне в списке Interface выбираем WAN интерфейс ether1;
5. Нажимаем кнопку OK для сохранения настроек.

Настройка DHCP клиента MikroTik

Теперь мы получили IP адрес от провайдера, который отображается в столбце IP Adress.

Получение IP адреса по DHCP MikroTik

Проверим, что есть связь с интернетом:

1. Открываем меню New Terminal;
2. В терминале пишем команду ping 8.8.8.8 (пингуем сайт google) и жмем Enter на клавиатуре.

Как видим, идут пинги по 60ms, значит интернет подключен и работает. Остановить выполнение команды можно комбинацией клавиш на клавиатуре Ctrl+C.

ping MikroTik

На компьютерах, подключенных к роутеру MikroTik, интернет не будет работать, пока вы не настроите локальную сеть, Firewall и NAT.

Настройка Static IP

Если вы используете статические сетевые настройки, необходимо настроить WAN порт роутера MikroTik вручную.

Настроим статический IP адрес и маску подсети WAN порта MikroTik :

1. Открываем меню IP;
2. Выбираем Addresses;
3. В появившемся окне нажимаем кнопку Add (плюсик);
4. В новом окне в поле Address прописываем статический IP адрес / маску подсети;
5. В списке Interface выбираем WAN интерфейс ether1;
6. Для сохранения настроек нажимаем кнопку OK.

Настройка статического адреса MikroTik

Настроим адрес интернет шлюза MikroTik:

1. Открываем меню IP;
2. Выбираем Routes;
3. В появившемся окне нажимаем кнопку Add (плюсик);
4. В новом окне в поле Gateway прописываем IP адрес шлюза;
5. Нажимаем кнопку OK для сохранения настроек.

Настройка шлюза MikroTik

Добавим адреса DNS серверов MikroTik:

1. Открываем меню IP;
2. Выбираем DNS;
3. В появившемся окне нажимаем кнопку Settings;
4. В новом окне в поле Servers прописываем IP адрес предпочитаемого DNS сервера;
5. Нажимаем кнопку “вниз” (черный треугольник), чтобы добавить еще одно поле для ввода;
6. В новом поле прописываем IP адрес альтернативного DNS сервера;
7. Ставим галочку Allow Remote Requests;
8. Нажимаем кнопку OK для сохранения настроек.

Настройка DNS MikroTik

Проверим, что есть доступ к интернету:

1. Открываем меню New Terminal;
2. В терминале пишем команду ping 8.8.8.8 (пингуем сайт google) и жмем Enter на клавиатуре.

Как видим, идут пинги по 60ms, значит интернет подключен и работает. Остановить выполнение команды можно комбинацией клавиш на клавиатуре Ctrl+C.

ping MikroTik

На компьютерах, подключенных к роутеру MikroTik, интернет не будет работать, пока вы не настроите локальную сеть, Firewall и NAT.

Настройка PPPoE

Если вы используете ADSL модем, к которому по сетевому кабелю подключен роутер MikroTik, сначала необходимо настроить ADSL модем в режим Bridge (мост).

Настроим клиентское PPPoE соединение на роутере MikroTik:

1. Слева выбираем меню PPP;
2. Нажимаем кнопку Add (плюсик);
3. Выбираем PPPoE Client.

Настройка PPPoE MikroTik

Настраиваем параметры PPPoE соединения MikroTik:

1. В поле Name указываем имя соединения;
2. В списке Interfaces выбираем первый WAN порт ether1, который подключен к провайдеру;
   Выбор интерфейса PPPoE MikroTik
3. Переходим на вкладку Dial Out;
4. В поле User указываем имя пользователя;
5. В поле Password вводим пароль;
6. Ставим галочку Use Peer DNS;
7. Нажимаем кнопку OK.

Настройка пользователя и пароля PPPoE MikroTik

После создания PPPoE соединения напротив него должна появиться буква R, которая говорит о том, что соединение установлено.

PPPoE соединение на MikroTik установлено

Проверим, что есть связь с интернетом:

1. Открываем меню New Terminal;
2. В терминале пишем команду ping 8.8.8.8 (пингуем сайт google) и жмем Enter на клавиатуре.

Как видим, идут пинги по 60ms, значит интернет подключен и работает. Остановить выполнение команды можно комбинацией клавиш на клавиатуре Ctrl+C.

ping MikroTik

На компьютерах, подключенных к роутеру MikroTik, интернет не будет работать, пока вы не настроите локальную сеть, Firewall и NAT.

Проброс портов на роутере

Проброс портов на роутере Mikrotik начинается с этого:

• Нужно открыть браузер и вбить в поле адреса локальный адрес роутера. По умолчанию это Mikrotik (адрес 192.168.0.1). Имя пользователя «admin», пароль «admin».
• После ввода данных откроется интерфейс роутера.
• Нужно взглянуть на левую верхнюю часть меню и найти там параметр «Переадресация» («Retrack» или «Forwarding»). Если на роутере установлен какой-то альтернативный язык, нужно скачать прошивку с официального сайта и установить её.
• Нужно кликнуть по пункту и зайти в Виртуальные серверы (Virtual Servers).
• Такая процедура позволит получать удалённый доступ к любому компьютеру в LAN, причём, устройство, которое находится в LAN необязательно должно быть включено.
• На следующей странице нужно найти кнопку «Добавить» (Add New) и нажать её.
• Далее нужно внести информацию в поля, чтобы можно было получить доступ к другому устройству.
• Порт сервиса (Service Port) можно написать произвольный, к примеру, 77. Этот порт нужно указать при входе на конкретное устройство из Интернета в отдельной программе или в адресном поле браузера через символ «:», после хост-адреса.
• Внутренний порт (Internal Port) нужно указывать точно. Его можно уточнить в инструкции к устройству ( по стандарту это 80).
• IP адрес (IP Address) – это интегрированный LAN-адрес машины. Он находится в свойствах самого устройства, либо уточняется в ходе теста сети.
• Нажмите кнопку Сохранить (Save) и получите один готовый проброшенный порт, который можно Удалять (Delete) или Изменять (Modify) по желанию.
• Перезагружать устройство не нужно.
• Снова нажмите кнопку Добавить (Add New) и пробросьте следующий порт.
  Будет показан пример проброса порта с номером «8000», который предназначается для удаленного доступа приложений.
• После нажатия клавиши «Сохранить» открываются два доступных порта для удаленного доступа.

Альтернативный способ — запустить роутер в тестовом режиме (зажать кнопку выключения и функциональную клавишу). Пока роутер перезагружается, нужно открыть в адресной сроке браузера адрес 192.168.0.1. Когда страница загрузится, данных не будет. Нужно периодически обновлять страницу, пока соединение не будет установлено. На странице будут 2 кнопки «Return to standart settings» и «Swap port». Первая кнопка — сброс к настройкам, вторая — смена портов. Нажатие по второй кнопке автоматически создаст максимальное кол-во свободных портов, за которыми можно закрепить устройства. Сделать это можно при помощи добавления нового соединения.

Настройка Mikrotik WiFi Repeater

В стандартном пакете прошивки мы можем настроить повторитель. Его настройка достаточно проста. На вкладке wireless выбираем Setup Repeater.

• Интерфейс, на котором слушать эфир;
• Имя точки доступа (регистр имеет значение);
• Пароль;
• MAC адрес – опционально.

Жмем Start и смотрим что происходит.

• Включился wlan1;
• Создался виртуальный интерфейс;
• Профиль безопасности;
• Новый бридж.

Это все конечно замечательно. Но, а что, если мне нужно повторять сеть не с тем же названием, что обычно не удобно, а другую. Допустим ловим MikrotikLab, а раздаем MikrotikLab-Rep01. Если у нас несколько репитеров, то сразу можно понять, кто куда подключен. Отключаем режим для ленивых, вычищаем созданные конфиги и изменим Mode на wlan 1 в Pseudobridge, указав Security Profile и включив Connect List.

Включаем и создаем виртуальную AP. Пароль от сети можно не менять.

Создаем bridge, обязательно отключим на нем STP и добавим оба интерфейса в него.

Теперь мы можем подключаться к SSID MikrotikLab-Rep01. Теперь вы знаете как просто настроить клиента и репитер (мост) на роутерах Микротик.

Зачем пробрасывать порты?

Обычно порты пробрасывают для доступа к внутренним ресурсам локальной сети из интернета, например:

• организации пиринговых (одноранговых) сетей
• доступа к IP-камере из интернета
• корректной работы торрента
• работы WEB и FTP-серверов
• доступ из любой точки мира к серверу умного дома

Таким образом, все получатели данных из внешней сети видят в сети только роутер и обращаются к его IP-адресу. Компьютеры, планшеты и другие устройства в локальной сети остаются невидимыми.

На этой схеме есть одно отличие: роутер принимает только те пакеты данных, которые приходят по соединению, инициированному компьютером из внутренней сети. Если компьютер или сервер из внешней сети пытается установить соединение первым, роутер его сбрасывает. А для указанных выше пунктов (игровой сервер, пиринговые сети и т. п.) такое соединение должно быть разрешено. Вот для этого и применяется проброс портов. Фактически, это команда роутеру зарезервировать один порт и все данные извне, которые на него поступают, передавать на определенный компьютер. Т. е. сделать исключение из маскарадинга, прописав новое правило.

Настройка роутера микротик hap lite с разделением сетей

Итак, на данный момент мы имеем стандартную конфигурацию без разделения сети. Для того чтобы разграничить нашу локальную сеть, создадим сегмент(часть) сети для детей. Для этого выберем в меню winbox→ Bridge(1)→Bridge(2)→plus(3)→General(4)→ и в поле name(5) добавим имя bridge-child. Сохраним изменения — OK.

Подготовим интерфейсы (порты), для включения в bridge-child. В нашей конфигурации, для ребенка будет настроен четвёртый порт ether4 и дополнительная детская сеть wifi. Это означает что, подключившись в четвертый порт кабелем и\или к детской сети по WiFi вы будите иметь детский доступ к сети Интернет через эти интерфейсы.

Настроем security Profile для детской сети WiFi. WinBox→Wireless(1)→Security Profiles(2)→plus(3)→General(4)→в поле Name(5) введем child→в поля WPA(6) и WPA2(6) введем будущий пароль на Wifi детской сети. Сохраним настройки- OK.

Добавим новую сеть wifi. WinBox→Wireless(1)→Interfaces(2)→plus(3)→Virtual AP(4)→Wireless(5)→введем имя детской сети WiFi в поле SSID(6)→ выберем security profile(7) для нашей сети. Сохраним настройки — ОК.

Настроим интерфейс ether4. Winbox→Interfaces(1)→Interface(2)→кликнем два раза левой кнопкой по ehter4(3) и войдем в настройки интерфейса→выберем none в поле Master Port(4). Применим настройки – OK.

Далее включим наши интерфейсы в подготовленный bridge-child. Winbox→Bridge(1)→Ports(2)→plus(3)→добавим интерфейс ether4 (4)→ в Bridge(5) bridge-child. Также сделаем и для интерфейса wlan2(6)(7). Сохраним все изменения — ОК.

Назначим интерфейсу bridge-child внутренний address. WinBox→IP(1)→address(2)→plus(3)→заполним поля(4),(5),(6) в соответствии со скриншотом.

Теперь необходимо назначить DHCP сервер на детский сегмент сети, для автоматической настройки IP параметров клиентов сети. Для этого необходимо Winbox→IP(1)→DHCP server(2)→DHCP(3)→DHCP Setup(4)→ в поле dhcp Server Interface(5) выбрать интерфейс bridge-child.

После этого необходимо нажать кнопку Next и следовать по мастеру настройки DHCP сервера ничего не меняя. Как только вы достигните до окна Select lease time:

Здесь нужно изменить стандартное время аренды на 3d 00:10:00 и закончить настройку DHCP сервера.

Если вы все сделали правильно, к этому моменту вы должны иметь два сегмента сети:

Детская сеть LAN-4; wifi. Адресация — 192.168.99.0/24 Взрослая сеть LAN-2, LAN-3; wifi. Адресация — 192.168.88.0/24

Сейчас эти две сети не имеют никаких ограничений и полностью равноправны. Что бы приступить к настройке ограничительных функций к детской сети, необходимо завершить предварительные настройки роутера, а именно:

• Установить пароль и SSID (имя сети) на взрослую сеть wifi
• Установить пароль на пользователя Admin
• Обновить роутер до последней версии.

Если вы затрудняетесь сделать это самостоятельно, вы можете найти пошаговую инструкцию настройки этих параметров в этой статье.

Проброс портов на роутере Mikrotik

Для проброса и перенаправления портов на роутере Mikrotik нужно:

Запустить браузер и в поле адреса указать IP-адрес маршрутизатора (по стандарту это 192.168.1.1);
Нажать клавишу «Enter»;
В окне авторизации написать имя пользователя и пароль (по стандарту — имя пользователя и пароль admin);
Слева данного окна находится «Forwarding->Virtual Servers» и нажмите клавишу «Add New»;
В графе «Service port» требуется указать порт, который нужно открыть, а в поле IP Address ввести IP-адрес вашего устройства;
Поле «Protocol» предназначается для выбора одного из типов — TCP, UDP или ALL;
В поле «Status» нужно выставить значение «Enabled»;
Нажать клавишу «Save», чтобы сохранить установленные параметры.
Если на вашем ПК нужно соединение для веб-сервера, требуется открыть порт с номером 80, контрольный порт маршрутизатора изменится на «8080» и для соединения с маршрутизатором нужно будет ввести адрес http://192.168.1.1:8080.

Сброс роутера MikroTik к заводским настройкам

Чтобы сбросить MikroTik к заводским настройкам выполните следующее:

1. Отключите питание роутера;
2. Нажмите и держите кнопку Reset;
3. Включите питание роутера;
4. Дождитесь пока замигает индикатор ACT и отпустите кнопку Reset.

После этого роутер перезагрузится, и вы сможете зайти в его настройки со стандартным именем пользователя admin без пароля.

Если вы войдете в настройки с помощью программы Winbox, то появится следующее окно:

C помощью кнопки OK можно выполнить быструю настройку роутера по умолчанию.

Кнопка Remove Configuration позволяет сбросить все настройки для последующей ручной настройки роутера.

Перенаправление портов Mikrotik

Все настройки по прокидыванию портов делаются в разделе IP -> Firewall -> Nat. Ниже опишу все параметры и на примере пробросим RDP 3389 на сервер или компьютер.

Стрелочками показано в какой раздел заходить, нажимаем + и создадим новое правило NAT. Итак:

• Chain – здесь выбираем что будем заменять в ip пакете (то есть адрес отправителя или получателя). Для нашего примера с RDP выбираем dstnat.
• Src. Address – можем указать тут конкретный ip с которого нужно осуществлять проброс порта (то есть если здесь указать 2.45.34.77, то при работающем правиле проброс будет работать только при подключении с этого адреса). Нам этого не надо поэтому оставляем пустым.
• Dst. Address – здесь указываем белый ip нашего роутера к которому будет подключаться по RDP а он в свою очередь будет натить на сервер. (Здесь имеет смыслю указывать ip если у вас несколько белых адресов на интерфейсе.) В нашем случае оставляем пустым.
• Protocol – выбираем какой протокол будем пробрасывать (RDP работает по TCP протоколу и порту 3389). Очевидно, выбираем
• Src. Port – Порт с которого будет подключения. Оставляем пустым, для нашего примера он не нужен.
• Dst. Port – вот здесь указываем 3389 как писалось выше.
• Any. Port – бываю случае порты src и dst одинаковые его можно вписать сюда, или когда нужно пробросить все TCP. (оставляем пустым)
• In. Interface – входящий интерфейс микротика, указываем тот на котором висит белый ip. У меня этот.

Out. Interface – исходящий интерфейс, тут можно указать тот который смотрит в вашу локальную сеть а можно и ничего не указывать, тогда mikrotik сам выберет его по адресу подсети.
In. Interface list – тут указывается интерфейс лист. То есть, если у вас 2 и более каналов в интернет, их можно все объединить в interface list и указать тут. Тогда не надо будет для каждого провайдера делать правило проброса RDP.
Out. Interface List – тоже самое что и 10 пункт только исходящий.

Остальные пункты с 12 по 16 вам сейчас не нужны, они используются для более сложных схем, таких как маркировка трафика и отправка его в конкретную таблицу маршрутизации и тд.

Теперь переходим на вкладку Action на которой мы скажем роутеру что делать с полученным пакетом и куда его отправлять.

Здесь настраиваем так:

• Action – действие которое mikrotik должен произвести, выбираем dst-nat, так как нам надо запрос приходящий на белый ip с портом 3389 перенаправить на адрес из серой сети.
• Галочка Log будет писать все nat трансляции в лог файл – этого делать не стоит.
• Log Prefix – будет добавлять в лог в начало строки произвольные символы которые тут напишете.
• To Addresses – люда вписываем ip сервера (серый) на который нужно настроить перенаправление портов на mikrotik.
• To Ports – ну и TCP порт на который пересылать.

Вот так просто настраивается проброс портов на mikrotik, дальше приведу еще несколько примеров для различных сервисов.

Форматирование USB накопителя

MikroTik поддерживает свою файловую систему, поэтому USB флешку сначала необходимо отформатировать, чтобы роутер мог с ней работать.

Внимание! При форматировании все данные будут удалены с USB накопителя, поэтому предварительно сохраните необходимые файлы на компьютер.

Подключите USB flash к роутеру и выполните форматирование:

1. Откройте меню System – Stores;
2. Перейдите на вкладку Disks;
3. Выберите в списке ваш накопитель, обычно usb1;
4. Нажмите кнопку Format Drive;

В появившемся окне нажмите Yes.

После этого в столбце Status появится надпись formatting…, т.е. роутер выполняет форматирование и нужно дождаться его завершения. При большой емкости накопителя, процесс форматирования может занять не одну минуту, поэтому будьте терпеливы.

После успешного форматирования в столбце Status будет написано ready и слева указан общий объем флешки Total Space и свободное место на ней Free Space.

Откройте меню Files. В списке появилась наша флешка с именем usb1. Теперь можно перетягивать на нее файлы.

Настройка переключения интернет каналов между двумя провайдерами

Для настройки переключения интернет каналов между двумя провайдерами будем использовать маршруты (Routes) и встроенную утилиту Netwatch.

У нас будет два маршрута, через которые может идти интернет трафик. Весь трафик будет идти по умолчанию через 1-го провайдера.

Если вдруг пропадет связь с 1-ым провайдером, то мы активируем 2-ой маршрут, и весь трафик пойдет через 2-го провайдера.

Как только восстановится связь через 1-го провайдера, мы деактивируем 2-ой маршрут, и весь трафик пойдет через 1-го провайдера.

Утилита Netwatch поможет пинговать ip-адрес в интернете и выполнять скрипты, если ip-адрес перестал пинговаться или снова начал. Она будет выполнять активацию и деактивацию маршрута.

Сначала удалим маршрут через первого провайдера, который создался автоматически, поскольку мы не можем редактировать его свойства.

1. Откройте меню IP – Routes;
2. Кликните левой кнопкой мыши по маршруту первого провайдера со шлюзом 10.10.10.1 unrechable;
3. Нажмите кнопку удалить (красный минус).

Теперь изменим параметры маршрута второго провайдера:

1. Сделайте двойной щелчок левой кнопкой мыши по маршруту второго провайдера;
2. В поле Gateway должен быть указан шлюз второго провайдера 20.20.20.1;
3. В поле Distance ставим приоритет 2;
4. Нажмите кнопку Comment;
    
5. В поле напишите комментарий ISP2. Комментарий необходим для того, чтобы наши скрипты могли идентифицировать маршрут и активировать или деактивировать его.
6. Нажмите кнопку OK и в следующем окне еще раз OK.
    
7. Выберите маршрут второго провайдера, кликнув по нему левой кнопкой мыши, и деактивируйте, нажав кнопку с красным крестиком. После этого маршрут станет серого цвета.

Дальше нужно добавить маршрут первого провайдера заново, но прежде определим, какой IP-адрес шлюза выдает первый провайдер.

1. Откройте меню IP – DHCP Client;
2. Сделайте двойной щелчок левой кнопкой мыши на интерфейсе ether1;
3. Перейдите на вкладку Status;
4. Выпишите IP-адрес шлюза из поля Gateway. Он будет нужен при создании маршрута через первого провайдера.

Теперь добавляем маршрут через первого провайдера:

1. Откройте меню IP – Routes;
2. Нажмите кнопку добавить (синий плюсик);
3. В поле Gateway укажите шлюз первого провайдера 10.10.10.1;
4. В поле Distance ставим приоритет 3;

5. Нажмите Comment;

    

6. В поле напишите комментарий ISP1.
7. Нажмите кнопку OK и еще раз OK в следующем окне.

3-й маршрут понадобится для того, чтобы сервер Google по умолчанию пинговался только через 1-го провайдера.

1. Нажмите кнопку добавить (синий плюсик);
2. В поле Dst. Address укажите IP-адрес сервера Google 8.8.4.4;
3. В поле Gateway укажите шлюз первого провайдера 10.10.10.1;
4. В поле Distance ставим приоритет 1;
5. Нажмите Comment;
    
6. Напишите комментарий .
7. Нажмите кнопку OK и еще раз OK.

Также добавим в Firewall правило, которое запретит пинговать ip-адрес 8.8.4.4 через 2-го провайдера. Иначе утилита Netwatch подумает, что связь с 1-ым провайдером восстановилась, и будет постоянно переключать маршруты по кругу.

1. Откройте меню IP – Firewall и перейдите на вкладку Filter Rules;
2. Нажмите кнопку добавить (синий плюсик);
3. В списке Chain выберите Output;
4. В поле Dst. Address введите адрес сервера 8.8.4.4;
5. В списке Out. Interface выберите ether2;
6. Перейдите на вкладку Action;
    
7. В списке Action выберите Drop;
8. Нажмите кнопку OK.

Netwatch будет проверять связь с интернетом путем пингования сервера Google с IP-адресом 8.8.4.4. Как только сервер перестанет пинговаться, выполнится скрипт, который активирует 2-й маршрут и трафик пойдет через 2-го провайдера. Как только связь через 1-го провайдера восстановится, то выполнится другой скрипт, который деактивирует 2-й маршрут и трафик пойдет через 1-го провайдера.

1. Откройте меню Tools – Netwatch;
2. Нажмите кнопку добавить (синий плюсик);
3. В поле Host укажите сервер Google 8.8.4.4, который утилита будет пинговать;
4. В поле Interval укажите интервал времени 00:00:05, через который будет пинговаться сервер. Для отладки работы скриптов поставим небольшой интервал 5 секунд. После отладки переключения между двумя провайдерами увеличим интервал до 30 секунд.
5. Перейдите на вкладку Down;
    
6. На вкладке Down вставляем скрипт /ip route enable Этот скрипт будет активировать маршрут через второго провайдера, если перестанет пинговаться сервер Google;
7. Перейдите на вкладку Up;
    
8. На вкладке Up вставляем скрипт /ip route disable Этот скрипт будет деактивировать маршрут через второго провайдера, если восстановится связь через первого провайдера;
9. Нажмите кнопку OK.

MikroTik firewall. Общее описание

Основное назначение брандмауэра является то, что на основании правил разрешать или запрещать передачу данных из одной сети в другую.

Что не умеет брандмауэр MikroTik:

• Блокировать сайты по категориям;
• Сканирование на вирусы в режиме реального времени;
• Создание отчетов;
• Биллинг;

Настройка безопасности маршрутизатора MikroTik может быть реализована двумя способами:

• Нормально открытый. Данный способ организации защиты предполагает, что все будет разрешено, что не запрещено;
• Нормально закрытый. При этом виде настройки firewall все запрещено, что не разрешено.

Для данной статьи мы рассмотрим пример нормально закрытого брандмауэра. Так как, на мой взгляд, нормально открытый имеет ряд недостатков:

• Большие затраты для решения, что запрещать;
• Из-за большого количества условий может значительно снизиться производительность роутера.

В случае неправильной настройки бранмауэра и потери доступа к устройству, данная функция поможет восстановить подключение, отменив внесенные изменения. Подробнее узнать о безопасном режиме можно в материале: MikroTik Safe Mode.

Место брандмауэра на Packet Flow:

Firewall на MikroTik. Порядок расположения правил

Работу брандмауэра MikroTik условно можно разделить на две части: условие (если…) и действие (то…). Могут содержать несколько условий, при этом, чтобы правило сработало должны быть выполнены все условия.

Правила должны состоять в цепочке (chain):

• одной из трех предопределенных: Input, Output, Forward;
• пользовательской (action=jump).

А также подразделяются на терминирующие и нетерминирующие:

• терминирующие: accept, drop, fasttrack, reject, tarpit;
• нетерминирующие: add dst to address list, add source to address list, jump, log, return, passthrough.

Терминирующие правила содержат окончательное действие – принять, отклонить.

Нетерминирующие – просто производят какой-то процесс – занести в лог, добавить в address list.

При настройке firewall MikroTik важно соблюдать последовательность правил, так как обрабатываются они по порядку и сразу с нужной цепочки. Обработка заканчивается после первого совпадения с терминирующим правилом

Если совпадения нет, то пакет отправляется на следующий этап обработки по схеме прохождения трафика

Обработка заканчивается после первого совпадения с терминирующим правилом. Если совпадения нет, то пакет отправляется на следующий этап обработки по схеме прохождения трафика.