Mikrotik – Podstawowa konfiguracja routera w domu lub małej firmie cz. 2

Słowem wstępu

W poprzedniej części artykułu doszliśmy do punktu nr 2 z naszych założeń. Zatem czas dodać konfigurację naszego MT od strony LAN. Serdecznie zapraszam na dalszą część artykułu. Mam nadzieję, że jesteście głodni wiedzy.

 

 

Konfiguracja adresu IP po stronie LAN

Mamy już dostęp do internetu na naszym routerze, możemy zaktualizować software, „pingnąć” serwer i uzyskać odpowiedź od dowolnego serwera w zasięgu sieci który to umożliwia.
W praktyce taka konfiguracja nie zda się na zbyt wiele ponieważ nadal nie mamy internetu na komputerze podłączonym do MT.
 
Na potrzeby tego artykułu przyjąłem, że nasza sieć będzie miała adresację 172.16.0.0/24 (maska 255.255.255.0) co w praktyce oznacza, że do dyspozycji mamy adresy od 172.16.0.1 do 172.16.0.254 czyli łącznie 254 szt. Zapewne nasuwa Wam się pytanie czemu nie zaadresowałem sieci standardowo tak jak wszyscy? (mam tutaj na myśli 192.168.0.0/24 i 192.168.1.0/24) Zrobiłem tak ponieważ najczęściej spotykana adresacja sieci to właśnie te wymienione wcześniej, jeśli będziemy mieli u siebie sieć 192.168.0.0/24 i pojedziemy na działkę, gdzie jeśli mamy odrobinę szczęścia posiadamy vdsl i orange funbox z adresem 192.168.0.1 (czyli sieć 192.168.0.0/24) i będziemy chcieli zapiąć VPN do naszego MT pojawia się dodatkowy problem do rozwiązania ponieważ sieci na siebie nachodzą (o vpn, problemach i rozwiązaniach będzie osobny artykuł). Zatem ze względu na wrodzone lenistwo staram się unikać niepotrzebnych komplikacji 😉
 
Bierzmy się do pracy! Utwórzmy naszego bridza i dodajmy do niego porty które miały działać jak switch (określaliśmy to w części 1 artykułu, port 1 – WAN, 2-5 LAN)
 
Bridge > ADD (niebieski plus) > OK / w polu name możemy wpisać dowolną nazwę która będzie identyfikowała nasz wirtualny interfejs lecz wtedy musimy dostosować poniższe polecenia do nowej nazwy. Zamiast zmiany nazw interfejsów polecam dodawanie komentarzy.
Bridge > Ports (zakładka) > ADD > Interface wybieramy ether2 > bridge wybieramy utworzony przed chwilą bridge > OK
Powyższą operację powtarzamy dla kolejnych portów (ether3, ether4 i ether5). Podczas dodawania portu do bridge może nam rozłączyć sesje winboxa, jest to normalne zachowanie.
/interface bridge add
/interface bridge port add interface=ether2 bridge=bridge1
/interface bridge port add interface=ether3 bridge=bridge1
/interface bridge port add interface=ether4 bridge=bridge1
/interface bridge port add interface=ether5 bridge=bridge1 

Adresujemy nasz router, zgodnie z tym co wcześniej pisałem nadamy mu adres 172.16.0.1

IP > Addresses > ADD > w polu address wpisujemy 172.16.0.1/24 lub 172.16.0.1/255.255.255.0 interface wybieramy bridge1, zatwierdzamy OK.

/ip address add address=172.16.0.1 netmask=255.255.255.0 interface=bridge1  

Powyższymi czynnościami zaadresowaliśmy router od strony LAN. Jeśli w tym momencie nadamy sobie na karcie sieciowej naszego komputera który jest podłączony do MT adres 172.168.0.2 i wydali polecenie ping 172.16.0.1 uzyskalibyśmy odpowiedź.

 

Konfiguracja serwera DHCP

Aby cały proces usprawnić i nie musieć adresować ręcznie wszystkich urządzeń w sieci uruchomimy własny serwer DHCP.
Z pojęciem DHCP i dynamicznego przydzielania adresów IP mieliśmy styczność w pierwszej części artykułu podczas konfiguracji IP od strony WAN (tylko jeśli nasz ISP przydzielał je dynamicznie). Jest to dokładnie ten sam serwer który będzie przydzielał adresy IP urządzeniom w naszej sieci LAN.
W MT konfiguracja serwera DHCP jest banalnie prosta ze względu na wbudowany kreator (zawsze korci mnie żeby to porównać do windowsowego instalatora, next, next, „accept eula”, done 😉 ) który jescze dodatkowo podpowiada nam wartości na podstawie wcześniejszej konfiguracji.
 
IP > DHCP Server > DHCP Config > DHCP Server Interface wybieramy bridge1 > Next > DHCP Address Space zostawiamy takie jakie nam podpowiada 172.16.0.0/24 > Next > Gateway również zostawiamy 172.16.0.1 > Next > Addresses to Give Out wpisujemy 172.16.0.100-172.16.0.254 > Next > DNS Servers zostawiamy takie jaki podpowiada (czyli wpisane przez nas wcześniej) > Next > Lease Time 01:00:00 > Next
 
I w tym momencie skonfigurowaliśmy serwer DHCP. W praktyce trzeba nacisnąć kilka razy next i sprawę mamy załatwioną.
Chciałbym pokrótce wyjaśnić powyższe ustawienia:

DHCP Server Interface – interface na którym serwer DHCP będzie rozdawał adresy, jeśli wybierzemy naszego bridge1 do którego dodaliśmy porty ether2, ether3, ether4, ether5 w praktyce niezależnie do którego portu podłączymy urządzenie dostanie ono adres IP od serwera DHCP.

Addresses to Give Out – tutaj wskazujemy zakres adresów z którego serwer będzie korzystał, w naszym wypadku serwer będzie rozdawała adresy od 172.16.0.100 do 172.16.0.254. Specjalnie chciałem rozdawać adresy dynamicznie dopiero od 100 wzwyż ponieważ mam w nawyku niektóre urządzenia adresować statycznie / ręcznie (np. drukarki, raspberry, nas, rejestratory, kamery IP itp.). Zatem zawsze przyjmuje, że od 172.16.0.2 do 172.16.0.99 mam pole do popisu dla adresów statycznych a powyżej rządzi się serwer DHCP.
 
Lease Time – czas po którym dzierżawa adresu IP wygaśnie i urządzenie ponownie zapyta się serwera DHCP o przydzielenie adresu IP. Według mnie domyślna wartość jest zbyt niska, zawsze podnoszę ją do 1h. Nie widzę potrzeby żeby urządzenia w mojej sieci pytały się co 10 minut o adres IP. (co oczywiście nie znaczy, że krótszy czas dzierżawy nie ma zastosowania w innych wypadkach)
/ip pool add ranges=172.16.0.100-172.16.0.254
/ip dhcp-server network add address=172.16.0.0/24 dns-server=8.8.8.8,8.8.4.4,1.1.1.1 gateway=172.16.0.1
/ip dhcp-server add address-pool=pool0 interface=bridge1 disabled=no lease-time=1h 

Teraz chciałbym żebyśmy sprawdzili czy nasz serwer DHCP działa poprawnie a przy okazji chciałbym pokazać Wam w jaki sposób najłatwiej zrobić statyczną dzierżawę IP (czyli za każdym razem jak dane urządzenie się zapyta o adres IP dostanie ten sam).

Na karcie sieciowej komputera podłączonego do MT musimy mieć ustawione „Uzyskuj adres IP automatycznie” w przypadku windowsa. Nie będę opisywał w jaki sposób to zrobić, można spokojnie znaleźć poradniki w internecie (słowo kluczowe: windows 10 dhcp). Zatem po podłączeniu do portu ether2,3,4 lub 5 naszego routera urządzenia uzyskującego adres IP zajrzyjmy do logów.

Wybieramy przycisk Log z menu winboxa i sprawdzamy czy w logach występuje zdarzeniu przydzielenie adresu IP.

Widzimy tutaj, że nasz serwer DHCP przydzielił urządzenie które ma MAC adres E8:6A:64:44:8F:60 adres IP 172.16.0.254.

Czemu akurat ten adres a nie 172.168.0.100? Mikrotik przydziela adresy od końca. Niestety nie mam pojęcia dlaczego i nikt kogo znam nie potrafi mi tego racjonalnie wyjaśnić. Czyżby błąd programisty który jest ficzerem? 😉

Zdecydowanie wygodniejszą formą sprawdzania aktualnie przydzielonych adresów IP jest zakładka Leases w IP > DHCP Server. W tym oknie będziemy mieli listę wszystkich aktualnie przydzielonych adresów IP wraz z użytecznymi informacjami:

  • Mac adres urządzenia
  • Nazwa urządzenia (Active Host Name)
  • Czas do końca dzierżawy (Expires After)
  • Informację czy adres jest aktualnie przyznany (Status) – użyteczne w przypadku statycznych wpisów.
Jeśli chcemy aby urządzenie podłączające się do naszej sieci za każdym razem otrzymywało ten sam adres IP możemy zarezerwować dzierżawę. Klikamy prawym przyciskiem myszy na dany wpis w Leases i wybieramy Make Static. Po utworzeniu statycznego wpisu litera D w pierwszej kolumnie powinna zniknąć (D = dynamic, mówiłem o tym w pierwszej części artykułu).
Dobrą praktyką jest dodawania komentarzy do statycznych wpisów.

Konfiguracja NAT / maskarady

Mimo tego, że dostaliśmy adres IP na interfejs naszego komputera nadal nie mamy na nim dostępu do internet. Jest to spowodowane brakiem reguły mechanizmu NAT tzw. maskarady.
Nie będę się tutaj wywodził nad tym jak to działa od strony technicznej ponieważ opisów w internecie jest sporo. Uważam również, że jest to mechanizm skomplikowany i na tym etapie nie musicie znać każdego detalu jego działania aby z powodzeniem wdrożyć go u siebie. (wspominałem już o wrodzonym lenistwie?)
 
Do dzieła!
IP > Firewall > NAT > ADD (już chyba nie muszę wspominać o niebieskim plusie? 😉 )
Out Interface – wybieramy ether1 (nasz interfejs WAN)
Zakładka Action, pole Action masquarade, zatwierdzamy OK.
/ip firewall nat add action=masquerade out-interface=ether1 chain=srcnat 

Po tym zabiegu powinniśmy mieć na naszym komputerze dostęp do internetu.

 

 

Konfiguracja sieci WiFi

Nasze urządzenie posiada dwie karty WiFi 2Ghz i 5Ghz.
Tematyka sieci WiFi, częstotliwości, szerokości kanałów, zabezpieczeń, standardów itp. jest bardzo szeroka. Dzisiaj skoncentruje się na prostej podstawowej konfiguracji i zabezpieczeniu sieci bezprzewodowej. Pamiętajcie, że warunki są różne i zmienne, to co sprawdza się u mnie nie musi sprawdzać się u Was. Osobiście uważam, że WiFi to temat czasochłonny i „śliski”. Poniższa konfiguracja nie ma na celu bić rekordów prędkości na speedteście lecz zapewnić stabilną sieć wifi w poszanowaniu z innymi (stąd moja niechęć do rozkręcania mocy nadawania)
 
Wchodzimy w menu Wireless, klikamy dwukrotnie na interfejs wlan1 i ustawiamy parametry zgodnie z poniższym screenem. Naciskamy przycisk Advanced żeby wejść w parametry zaawansowane.
W polu SSID wpisujemy nazwę sieci wifi (tą która się wyświetla np. przy łączeniu).

W zakładce Tx Power ograniczamy moc nadawania do 10dBm. Tak jak mówiłem, to co dobre u mnie nie musi być dobre u Was. Jeśli okaże się, ze zasięg jest zbyt słaby zalecam stopniowo podnosić tą wartość. Nie jestem zwolennikiem rozkręcania urządzeń radiowych na maksymalną moc transmisji. Raczej preferuje zmniejszanie mocy nadawania i dokładanie kolejnych nadajników (mówie o CAPsMAN, będzie art, spokojnie)

Tą samą czynność powtarzamy dla drugiego interfejsu wlan2 – czyli karty 5G.

Następnie wchodzimy w zakładkę Security Profiles (nadal w menu Wireless) , klikamy dwukrotnie na default i konfigurujemy zgodnie ze screenem (hasło zmieniamy na swoje rzecz jasna)

Następnie włączamy interfejsy WiFi.

/interface enable wlan1
/interface enable wlan2 

Procedura za pierwszym razem może wydawać się nieco skomplikowana i niezbyt user friendly ale zaufajcie mi, przywykniecie i za 3 razem zrobicie to z zamknietymi oczami.

Poniżej gif z całej konfiguracji.

Nasz sieć o nazwie NazwaSieci powinna być już widoczna. Ostatnie co nam pozostało to dodać interfejsy wlan1 i wlan2 do bridge1.

Zatem działajmy:

Bridge > Ports > ADD > Interface wybieramy wlan1.

Całą procedurę powtarzamy dla wlan2 na końcu wybierając zamiast wlan1 wlan2. Po tym zabiegu bez problemu połączony się z siecią WiFi i będziemy mieli dostęp do internetu.

/interface bridge port add interface=wlan1 bridge=bridge1
/interface bridge port add interface=wlan2 bridge=bridge1 

Nie pozostaje mi nic innego jak pogratulować konfiguracji swojego mikrotika.

Zapraszam na kolejny artykuł który ukaże się w przeciągu kilku dni traktujący o zabezpieczeniu swojego routera (konfiguracja firewalla, usługi, przekierowanie portów).

Zachęcam do zapisania się do newslettera 🙂

3 thoughts on

Mikrotik – Podstawowa konfiguracja routera w domu lub małej firmie cz. 2

  • kajot

    Super, czekam na VPN L2TP

  • Tomek

    Bardzo dziękuję Ci za oba posty. Właśnie stawiałem pierwszy raz sieć na Mikrotiku i gydby nie Twoje świtne artykuły to dawno bym się poddał.

    • Damian

      Dziekuje bardzo, ciesze sie, ze mogłem Ci pomoc 🙂

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Podoba Ci się blog?
Zapisz się do newslettera.

Wpisz swój adres żeby nie ominąć nowego artykułu.
Z przyjemnością Cię o nim poinformuje.
Nie przejmuj się, nigdy nie wyśle Ci żadnego spamu.