Mikrotik – Podstawowa konfiguracja routera w domu lub małej firmie cz. 1

Wprowadzenie

Ze względu na swoje możliwości coraz większą popularność na rynku zdobywają urządzenia łotewskiego producenta kryjącego się pod marką Mikrotik.
Część użytkowników je kocha, część szczerze nienawidzi.
Moim celem jest przedstawienie Ci możliwości i rozwiązań które możesz wdrożyć na urządzeniach ze stajni Mikrotika w sposób jasny i szczegółowy w taki sposób żebyś z nauki czerpał satysfakcję.
Jeśli jesteś zaawansowanym użytkownikiem to raczej nie będzie artykuł dla Ciebie.
Mam nadzieję, że po przeczytaniu tego artykułu będziesz należał do miłośników Mikrotika potocznie zwanego Mietkiem.
 

Założenia

Uważam, że zawsze przed przystąpieniem do wdrożenia (nawet tak małego jak domowy router) warto poświęcić chwilę i spisać sobie co chcemy osiągnąć.
Powyższa nauka wywodzi się z własnych błędów 😉 Uwierzcie mi, po prostu warto to zrobić.
Zatem nasze dzisiejsze założenia to:
 
  1. Konfiguracja adresu IP po stronie WAN
  2. Aktualizacja oprogramowania routera
  3. Konfiguracja adresu IP po stronie LAN
  4. Konfiguracja serwera DHCP
  5. Konfiguracja NAT / maskarady
  6. Konfiguracja sieci WiFi
 

Pierwsze połączenie z urządzeniem

Wszystkie czynności będę wykonywał na urządzeniu Mikrotik HAP AC2 który według mnie jest idealnym wyborem do domu lub małego biura.
Posiada karty sieciowe pracujące na częstotliwości 2Ghz i 5Ghz, 5 gigabitowych portów LAN oraz port USB do którego możemy podłączyć na przykład modem LTE. To wszystko zamknięte jest w ładnej nowoczesnej gumowanej obudowie o niewielkich wymiarach.

Do konfiguracji urządzenia można używać interfejsu www (odradzam) oraz programu winbox (polecam) który można pobrać z oficjalnej strony producenta.

Winbox nie wymaga instalacji. Trzeba go tylko uruchomić.

Po podłączeniu routera do prądu, kabla sieciowego pomiędzy komputerem z którego będziemy konfigurować urządzenie a routerem (zalecam port nr 2 w routerze do podłaczenia PC ze względu na to, że zwyczajowo w port 1 wpinamy internet od naszego dostawcy.) uruchamiamy winboxa. Naszym oczom ukazał się interfejs za pomocą którego zalogujemy się do routera.

Klikamy zakładkę Neighbors zaznaczoną na poniższym screenie.

Jeśli podłączyliśmy komputer do routera a router do prądu w zakładce pokaż się nasze urządzenie. Będzie to wyglądało podobnie do poniższego screena.

Winboxem możemy się podłaczyć do naszego routera na dwa sposoby:

  1. Za pomocą adresu IP (klikając na adres IP w kolumnie IP Address)
  2. Za pomocą mac-telnet (klikając na adres w kolumnie MAC Address)
Przy konfiguracji polecam używać opcji nr 2 ze względu iż domyślnie routery MT posiadają adres IP 192.168.88.1 zatem jeśli chcialibyśmy nawiązać z nim połączenie nasz komputer musiałby mieć adres IP z teg samej podsieci (czyli w tym wypadku 192.168.88.X). Przy połączeniu za pomocą mac-telnet komputer może mieć adres z innej podsieci.
 
Zatem połączmy się z naszym urządzeniem. Klikamy na adres w kolumnie MAC Address, wpisujemy domyślny login i hasło (w przypadku MT jest to admin bez hasła) i klikamy przycisk Connect.

 

Jeśli wszystkie czynności wykonaliśmy poprawnie i winbox podłączy się do MT zobaczymy ekran taki jak na poniższym screenie:

Naciskamy przycisk Remove Configuration i czekamy aż MT się zrestartuje bez początkowej konfiguracji. W praktyce oznacza to, że MT nie będzie miał adresu IP (192.168.88.1), serwera DHCP oraz paru innych rzeczy. Chcemy wszystko zrobić krok po kroku według swoich założeń. Znacznie wygodniej jest skonfigurować wszystko od zera niż wprowadzać zmiany do istniejącej konfiguracji.

Po dłuższej chwili łaczymy się do MT za pomocą mac-telnet, w zakładce Neighbors będzie widziany z adresem IP 0.0.0.0 (co jest normalnie ponieważ nie ma nadanego adresu IP w konfiguracji)

Bezwzględnie musimy ustawić hasło dla użytkownika admin (domyślnie admin jest bez hasła). Zatem otwieramy System > Users i klikamy dwukrotnie na użytkownika admin. Następnie klikamy przycisk Password i dwukrotnie wpisujemy nowe hasło zatwierdzając Apply.

Zmianę hasła możemy również wykonać wpisując poniższe polecenie w oknie konsoli (New Terminal) oczywiście zamieniając nasze_hasło na hasło docelowe. Uzyskany efekt będzie dokładnie taki sam jak wyklikany z winboxa. Osobiście wolę korzystać z winboxa niż z konsoli.

/user set admin password=nasze_hasło 

Konfiguracja adresu IP po stronie WAN

Konfiguracja zależy od tego w jaki sposób Twój ISP przydziela adres IP. Możesz dostawać go automatycznie za pomocą mechanizmu DHCP lub statycznie. W artykule opiszę jak skonfigurować router dla obu przypadków. Jeśli Twój ISP wymaga statycznej konfiguracji przygotuj sobie:
  1. adres IP
  2. maskę podsieci
  3. bramę
Na potrzeby tego artykułu założyłem, że porty 2-5 w routerze będą w bridge (będą działały jak switch) a do protu 1 będzie wpięty WAN (internet od ISP).
 

Statyczny adres IP

Jeśli Twój ISP przydziela Ci adres dynamicznie możesz pominąć ten kawałek i przejść do następnego punktu.
W IP > Addresses za pomocą ADD (niebieski plus) dodajemy adres IP który otrzymaliśmy od naszego ISP. Wpisujemy go w formacie X.X.X.X/24 (gdzie /24 to nasza maska podsieci) lub X.X.X.X/255.255.255.0 (IP/MASK) obie formy są poprawne.
Z listy rozwijanej Interface wybieramy ether1 – czyli pierwszy port urządzenia (ten do którego mamy podłączony WAN). Zatwierdzamy OK.
Lub za pomocą konsoli oczywiście zamieniając adres i maskę na nasze wartości.
/ip address add address=192.168.150.222/255.255.255.0 interface=ether1 

Mamy nadany adres IP na interfejsie lecz aby nasze połączenie działało poprawnie musimy dodać jeszcze bramę sieciową (default gateway) po to aby nasz router wiedział gdzie kierować zapytania o inne adresy IP (bardzo upraszczając).

Przystępujemy do dzieła!

IP > routes, klikamy ADD (niebieski plus, dokładnie taki sam jak wcześniej) i w polu Gateway wpisujemy adres naszej bramy który dostaliśmy od ISP. Zatwierdzamy przyciskiem OK.

/ip route add gateway=192.168.150.1 
Mamy adres IP, mamy bramę no to powinniśmy mieć internet. Sprawdźmy zatem czy nasze połączenie działa jak należy. Najprostszą znaną mi metodą jest wykorzystanie protokołu ICMP za pomocą narzędzie PING. Aby to zrobić otwieramy nowe okno konsoli za pomocą przycisku New Terminal, w oknie terminala wpisujemy ping google.pl w efekcie tego polecenia wysyłamy z routera zapytanie korzystając z protokołu ICMP do serwera google.pl który powinien nam odpowiedzieć. Jako informację zwrotną powinniśmy otrzymać czas odpowiedzi (im mniejszy tym lepiej) wyrażony w ms. Co się wydarzyło? Czemu nie otrzymaliśmy odpowiedzi od serwera google?

Spróbujmy zamiast nazwy domenowej google.pl puścić pinga do serwera DNS udostępnianego przez google.

Wpiszmy w konsoli ping 8.8.8.8 (te cztery ósemki to adres IP serwera DNS google).

Sukces! Serwer 8.8.8.8 odpowiedział nam. W kolumnie TIME mamy czasu odpowiedzi na poszczególne zapytania wyrażone w ms (milisekundach). Oznacza to w praktyce, że zapytaliśmy serwer 8.8.8.8 a on nam odpowiedział po upływie 39 ms, następnie 37 ms, 42 ms i tak dalej. Im krótsza droga do serwera tym krótszy czas odpowiedzi.

Czemu zatem udało nam się otrzymać odpowiedź od serwera 8.8.8.8 a nie udało nam się otrzymać odpowiedzi od serwera google.pl?

Odpowiedz jest prosta. Pod każdą domeną kryje się adres IP. Za translacje domeny na adres IP odpowiadają serwery DNS których my nie skonfigurowaliśmy. Zatem wysyłając zapytanie do serwera google.pl nasz router nie ma pojęcia jaki adres IP kryje się pod nazwą google.pl natomiast wysyłająć pinga do 8.8.8.8 (czyli zamiast domeny podając bezpośrednio adres IP) wie gdzie ma kierować zapytanie i otrzymujemy odpowiedz.

Naprawmy swój błąd i skonfigurujmy serwery DNS na naszym mietku.

IP > DNS i w polu Servers wpisujemy adresy serwerów DNS. Możemy wykorzystaćserwery DNS naszego ISP lub skorzystać z ogólnodostępnych np od google lub opendns. Ja z przyzwyczajenia zawsze korzystam z serwerów google które mają adresy 8.8.8.8 i 8.8.4.4. Pole Servers rozszerzamy na dwa wpisy korzystając ze strzałki w dół.

Sprawdzamy czy ustawienie serwerów DNS pomogło i czy jesteśmy w stanie uzyskać odpowiedź od serwera google.pl za pomocą poznanego nam wcześniej polecenia ping.

/ip dns set servers=8.8.8.8,8.8.4.4 

Dynamiczny adres IP

Tutaj sytuacja jest znacznie prostsza. Na porcie nr 1 (tym gdzie mamy wpięty kabel od ISP) musimy uruchomić klienta DHCP który pobierze adres IP z serwera DHCP od ISP.

 IP > DHCP Client ADD (niebieski plus), w Interface wybieramy ether1 (ponieważ wskazujemy na którym interfejsie klient DHCP ma pobrać adres), zatwierdzamy OK.
/ip dhcp-client add interface=ether1 disabled=no 

W tej sekcji warto też omówić najważniejsze ustawienia klienta DHCP.

Use Peer DNS – jeśli zaznaczymy router pobierze automatycznie serwery DNS i ustawi je jako domyślne

Use Peer NTP – jeśli zaznaczymy router pobierze serwer NTP (serwer synchronizacji czasu) automatycznie

Add Default Route – bardzo ważne ustawienie w naszym wypadku, jeśli ustawimy na yes MT doda domyślną bramę otrzymaną z serwera DHCP. W większości podstawowych wypadków zaznaczamy yes. Sprawa może się zmienić np. jeśli mamy więcej niż jedno łącze ale o tym w późniejszych artykułach. W naszym wypadku jeśli wybierzemy no nie będziemy mieli internetu.

Sprawdzmy zatem czy klient DHCP którego przed chwilą uruchomiliśmy otrzymał z serwera DHCP adres IP, bramę oraz serwery DNS.

Wchodzimy w IP > Addresses

/ip address print detail 

Na obu screenach widzimy, że dostaliśmy adres IP (w tym przypadku 192.168.150.102). Litera D po lewej stronie przed adresem oznacza, że adres jest dynamiczny, otrzymany z serwera DHCP a nie statyczny wpisany ręcznie. (D = dynamic), ta sama zasada dotyczy innych dynamicznych wpisów np bramy.

Sprawdzimy jeszcze czy otrzymaliśmy domyślną bramę oraz serwery DNS.

IP > Routes

/ip route print detail 

 

IP > DNS

/ip dns print 

Na powyższych screenach widzimy, że od serwera DHCP otrzymaliśmy 3 adresy serwerów DNS

  • 8.8.8.8
  • 8.8.4.4
  • 1.1.1.1

Mamy adres IP, mamy bramę i serwery DNS no to powinniśmy mieć internet. Sprawdźmy zatem czy nasze połączenie działa jak należy. Najprostszą znaną mi metodą jest wykorzystanie protokołu ICMP za pomocą narzędzie PING.

Aby to zrobić otwieramy nowe okno konsoli za pomocą przycisku New Terminal, w oknie terminala wpisujemy ping google.pl w efekcie tego polecenia wysyłamy z routera zapytanie korzystając z protokołu ICMP do serwera google.pl który powinien nam odpowiedzieć. Jako informację zwrotną powinniśmy otrzymać czas odpowiedzi (im mniejszy tym lepiej) wyrażony w ms.

ping google.pl 

EDIT 20.03.2020

Dziękuję za zwrócenie uwagi czytelnikom i użytkownikom grupy na FB. Absolutnie nie należy wystawiać na świat niezabezpieczonego urządzenia. Od momentu konfiguracji WAN nasz router jest dostępny ze świata (w większości przypadków). Należy go dodatkowo zabezpieczyć i używać trudnych do złamania haseł. Zapraszam do zapoznania się z moim artykułem dotyczącym zabezpieczenie routera.

Aktualizacja oprogramowania routera

Skoro mamy już dostęp do internetu na naszym routerze (aktualnie tylko na nim a nie na komputerze za routerem, do tego dojdziemy 😉 ) zróbmy aktualizację oprogramowania routera (RouterOS) do najnowszej stabilnej wersji.
System > Packages > Check For Updates (przycisk)
Channel: wybieramy stable (używając dużego skrótu myślowego, nie chcemy być beta testerami więc wybieramy soft z gałęzi stabilnej, chociaż niektórzy twierdzą, że w przypadku mikrotika zawsze jesteśmy beta testerami 😉 )
Download&Install (przycisk)
Po tej operacji MT pobierze z serwera najnowsze oprogramowanie a następnie zresetuje się w celu instalacji.
Na poniższym screenie widać, że nasza wersja oprogramowania to 6.44.4 a najnowsza dostępna w gałęzi stable to 6.46.4
/system package update install 

Po ponownym podłączeniu nasz MT przywita nas już najnowszą stabilną wersją softu.

Wersja softu wyświetlana jest również w nagłówku okna winbox wraz z adresem MT, oraz nazwą urządzenia i architekturą zastosowanego procesora (w tym wypadku HAP AC2, arm)

To nie koniec aktualizacji. Prawidłowa aktualizacja wymaga abyśmy podnieśli jeszcze firmware.

SYSTEM > Routerboard > Upgrade (przycisk) > YES

Wykonujemy restart MT

SYSTEM > Reboot > YES

/system routerboard upgrade
/system reboot 

Po tych dwóch restartach mamy urządzenie zaktualizowane do najnowszego softu stable. Możemy teraz przejść do konfiguracji naszej sieci LAN którą opisuje w części nr 2 artykułu.

11 thoughts on

Mikrotik – Podstawowa konfiguracja routera w domu lub małej firmie cz. 1

  • Arek

    Czegoś takiego mi brakowało. Większość poradników w sieci jest adresowana do zaawansowanych użytkowników sprzętu MT, a tutaj wiedza przekazana zwięźle i przystępnie. Czekam na kolejne wpisy, a zwłaszcza na passthrough, VLAN, reguły firewall, tunelowanie z naciskiem na OVPN i QOS 🙂

    • Damian

      Dzięki! Niebawem kolejne artykuły. Z pewnością będzie to passtrough 🙂

  • Krysia

    Bardzo fajny poradni z niecierpliwością czekam na kolejne 😊 Pozdrawiam Panie Damianiw

    • Damian

      Dziękuję, jest mi bardzo miło.

  • ptica

    Witam.
    Czy możliwe jest podłączenie internetu z hotspota smartfona na tym urządzeniu.
    dzięki.

  • Urakabaramel

    Świetne artykuły, szkoda że coś ucichły, napisane czytelnie i wspomagane screenami, czekam na kolejne, bo te to są przeczytałem i przerobiłem wszystkie.

  • Łukasz

    Świetne artykuły Damianie, czekamy na więcej !

    • Damian

      Wielkie dzieki za Feedback. Pisze teraz o capsmanie, jak tylko czas pozwoli wrzuce cos nowego niebawem.

  • Andrzej

    Super poradnik, wszystko podane bardzo przystępnej formie. Bardzo fajne te gify, dzięki temu widać gdzie co jest zlokalizowane w ustawieniach. Bardzo dziękuję i proszę o więcej.

  • piotr

    super poradnik, przekonal mnie w sumie do zakupu hap ac2 a zastanawialem sie nad edgerouter x bo jedno czy drugie ma mi sluzyc jako router, a jako ap chce uzyc swojego aktualnego archer c7, jedyne czego mi zabraklo w moim przypadku to jak zmienic adres mac dla portu wan, bo nie chce pisac do sojego isp o przypisanie nowego mac

    czekam na kolejne poradniki pozdrawiam

    • Damian

      Z tego co wiem maca (zbieżność przypadkowa 🙂 ) zmienisz tylko z konsoli:
      /interface ethernet set ether1 mac-address=xxx

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Podoba Ci się blog?
Zapisz się do newslettera.

Wpisz swój adres żeby nie ominąć nowego artykułu.
Z przyjemnością Cię o nim poinformuje.
Nie przejmuj się, nigdy nie wyśle Ci żadnego spamu.