Мы принимаем к оплате:
«Подарочный сертификат» от нашего Учебного Центра – это лучший подарок для тех, кто Вам дорог! Оплате обучение и подарите Вашим родным и близким обучение по любому из курсов!!!
«Сертификат на повторное обучение» дает возможность повторно пройти обучение в нашем Учебном Центре со скидкой 1000 рублей!
А также:
Как войти в роутер mikrotik
192.168.88.1 – вход на роутер MikroTik (RouterOS)
Решил открыть раздел на этом сайте со статьями по роутерам MikroTik. И начать я решил с инструкции по входу в настройки роутера MikroTik. Рассмотрим подробно, как войти в RouterOS (на которой работают эти сетевые устройства) по адресу 192.168.88.1, и разберемся с возможными проблемами. Когда не открывается страница по адресу 192.168.88.1 и не заходит в настройки маршрутизатора.
Многие обходят роутеры MikroTik стороной. По той причине, что у них очень сложный web-интерфейс, и их очень сложно настроить. Операционная система RouterOS, на которой работают эти роутеры, немного сложная и сильно загружена разными настройками. С одной стороны это плохо, так как простому пользователю, который не сильно разбирается в этих фишках, будет сложно найти и настроить какую-то функцию. Но с другой стороны, есть возможность очень тонко настроить свой MikroTik. К тому же, эти роутеры очень надежные и производительные. И цена на них хорошая.
Это первая моя инструкция по MikroTik, и первое мое знакомство с самим брендом и системой RouterOS в том числе. И я хочу сказать, что там нет ничего сложно. Все основные настройки можно задать на главной странице (настройка Wi-Fi, подключение к интернету, смена пароля web-интерфейса). Все что нужно, это подключиться к роутеру MikroTik по Wi-Fi сети, или по сетевому кабелю, зайти на IP-адрес 192.168.88.1 через браузер, задать необходимые параметры и сохранить.
Как зайти на 192.168.88.1 в настройки роутера MikroTik?
Устройство, с которого мы будем открывать настройки, должно быть подключено к маршрутизатору. Можно подключится по Wi-Fi сети. По умолчанию сеть открыта, без пароля. Или с помощью сетевого кабеля. В комплекте с моим MikroTik hAP Lite TC сетевого кабеля в комплекте не было, и это очень плохо.
На компьютере, в свойствах подключения (через которое вы подключены к роутеру) нужно поставить автоматическое получение IP-адреса. По умолчанию, как правило, там стоит именно автоматическое получение всех адресов. Если web-интерфейс роутера не откроется, то нужно в первую очередь проверить именно эти параметры.
Чтобы открыть панель уравнения маршрутизатором MikroTik, нужно в браузере перейти по адресу http://192.168.88.1. Подойдет любой браузер: Опера, Хром, Internet Explorer и т. д.
Вот так выглядит сам web-интерфейс RouterOS:
Как можно увидеть выше на скриншоте, на главной странице можно задать практически все необходимые параметры. Да, соглашусь, что если необходимо например сделать проброс портов, или еще что-то, то придется покопаться в настройках. Их там очень много 🙂
Почему не заходит на 192.168.88.1?
Самая популярная проблема – когда не удается открыть настройки по IP-адресу 192.168.88.1. Страница не открывается, или появляется ошибка, что "Не удается получить доступ к сайту", "Отобразить страницу" и т. д.
В таком случае, попробуйте следующие решения:
- Убедитесь, что в свойствах протокола IPv4 вашего подключения установлено автоматическое получение всех адресов.
Подробнее об этом читайте здесь. - Проверьте, подключены ли вы к роутеру MikroTik. Доступа к интернету может не быть. Для входа на адрес 192.168.88.1 интернет не нужен.
- Сделайте сброс настроек роутера.
- По умолчанию, при входе в настройки RouterOS не нужно вводить пароль. Но его можно установить. И если появляется запрос пароля, который вы не знаете, или появляется ошибка "Неверный пароль", то так же нужно делать сброс настроек роутера.
- Больше информации по этой проблеме можно найти в статье: не заходит в настройки роутера. Не обращайте внимание, что статья написана на примере других IP адресов, а не 192.168.88.1.
- Попробуйте открыть панель управления с другого браузера, или устройства.
Надеюсь, вы смогли зайти в настройки своего маршрутизатора MikroTik. У меня не возникло вообще никаких проблема. Все даже проще, чем с другими маршрутизаторами более популярных компаний. Почему проще? Нет пароля по умолчанию на Wi-Fi сеть и на доступ к веб-интерфейсу. Зайти на RouterOS не сложно, а вот разобраться в ней... 🙂
Первоначальная конфигурация - RouterOS
Существует два типа маршрутизаторов:
- С конфигурацией по умолчанию
- Без конфигурации по умолчанию. Если конкретная конфигурация не найдена, IP-адрес 192.168.88.1/24 устанавливается на ether1, combo1 или sfp1.
Дополнительную информацию о текущей конфигурации по умолчанию можно найти в документе «Краткое руководство», прилагаемом к вашему устройству. В краткое руководство будет включена информация о том, какие порты следует использовать для подключения в первый раз и как подключать устройства.
В этом документе описывается, как настроить устройство с нуля, поэтому мы попросим вас удалить все настройки по умолчанию.
При первом подключении к маршрутизатору с именем пользователя по умолчанию admin и без пароля вам будет предложено сбросить или сохранить конфигурацию по умолчанию (даже если конфигурация по умолчанию - только IP-адрес). Поскольку в этой статье предполагается, что на маршрутизаторе нет конфигурации, вы должны удалить ее, нажав «r» на клавиатуре при появлении запроса или нажав кнопку «Удалить конфигурацию» в WinBox.
Если на маршрутизаторе нет конфигурации по умолчанию, у вас есть несколько вариантов, но здесь мы будем использовать один метод, который соответствует нашим потребностям.
Подключите порт ether1 маршрутизатора к кабелю WAN и подключите компьютер к ether2. Теперь откройте WinBox и найдите свой маршрутизатор в обнаружении соседей. См. Подробный пример в статье Winbox.
Если вы видите маршрутизатор в списке, щелкните MAC-адрес и щелкните Connect .
Самый простой способ убедиться, что у вас абсолютно чистый маршрутизатор, - запустить
./ конфигурация сброса системы no-defaults = да skip-backup = да
Или из WinBox (рис.1-1):
Поскольку MAC-соединение не очень стабильно, первое, что нам нужно сделать, это настроить маршрутизатор так, чтобы было доступно IP-соединение:
- добавить интерфейс моста и порты моста;
- добавить IP-адрес к интерфейсу LAN;
- настроить DHCP-сервер.
Установить мост и IP-адрес довольно просто:
/ интерфейсный мост добавить имя = локальный / interface bridge port add interface = ether2 bridge = local / IP-адрес добавить адрес = 192.168.88.1 / 24 интерфейс = локальный
Если вы предпочитаете WinBox / WeBfig в качестве инструментов настройки:
- Откройте окно Bridge , должна быть выбрана вкладка Bridge ;
- Нажмите кнопку + , откроется новое диалоговое окно, введите имя моста local и нажмите OK ;
- Выберите вкладку «Порты» и нажмите кнопку + , откроется новый диалог;
- выберите интерфейс ether2 и мост local из выпадающих списков и нажмите кнопку OK , чтобы применить настройки;
- Вы можете закрыть диалоговое окно моста.
- Открыть IP -> Адреса диалог;
- Нажмите кнопку + , откроется новый диалог;
- Введите IP-адрес 192.168.88.1/24 выберите интерфейс local из выпадающего списка и нажмите кнопку OK ;
Следующим шагом является настройка DHCP-сервера. Мы запустим команду setup для простой и быстрой настройки:
[admin @ MikroTik] / настройка ip dhcp-сервера [ввод] Выберите интерфейс для запуска DHCP-сервера Интерфейс сервера DHCP: локальный [ввод] Выберите сеть для DHCP-адресов Адресное пространство dhcp: 192.168.88.0 / 24 [ввод] Выберите шлюз для данной сети шлюз для сети DHCP: 192.168.88.1 [введите] Выберите пул IP-адресов, выданных DHCP-сервером адреса для выдачи: 192.168.88.2-192.168.88.254 [введите] Выберите DNS-серверы DNS-серверы: 192.168.88.1 [ввод] Выберите срок аренды срок аренды: 10m [ввод]
Обратите внимание, что большинство параметров конфигурации определяются автоматически, и вам просто нужно нажать клавишу ввода.
Тот же инструмент настройки также доступен в WinBox / WeBfig:
- Откройте окно Ip -> DHCP Server , должна быть выбрана вкладка DHCP ;
- Нажмите кнопку DHCP Setup , откроется новое диалоговое окно, введите интерфейс DHCP-сервера локальный и нажмите кнопку Next ;
- Следуйте указаниям мастера, чтобы завершить настройку.
Теперь подключенный компьютер должен иметь возможность получать динамический IP-адрес. Закройте Winbox и повторно подключитесь к маршрутизатору, используя IP-адрес (192.168.88.1)
Следующим шагом является получение доступа к маршрутизатору через Интернет. Существует несколько типов подключения к Интернету, но наиболее распространенными из них являются:
- динамический общедоступный IP-адрес;
- статический публичный IP-адрес;
- PPPoE соединение.
Динамический общедоступный IP-адрес
Конфигурация динамического адреса является самой простой.Вам просто нужно настроить DHCP-клиент на общедоступном интерфейсе. DHCP-клиент получит информацию от интернет-провайдера (ISP) и настроит для вас IP-адрес, DNS, NTP-серверы и маршрут по умолчанию.
/ ip dhcp-client add disabled = no interface = ether1
После добавления клиента вы должны увидеть назначенный адрес и статус должен быть привязан
[admin @ MikroTik] / ip dhcp-client> печать Флаги: X - отключено, I - недопустимо # ИНТЕРФЕЙС ИСПОЛЬЗОВАТЬ АДРЕС СОСТОЯНИЯ ДОБАВЛЕНИЯ МАРШРУТА ПО УМОЛЧАНИЮ 0 ether1 да да привязано 1.2.3.100 / 24
Статический общедоступный IP-адрес
В случае настройки статического адреса ваш провайдер предоставляет вам параметры, например:
- IP: 1.2.3.100/24
- Шлюз: 1.2.3.1
- DNS: 8.8.8.8
Эти это три основных параметра, которые необходимы для работы интернет-соединения.
Чтобы установить это в RouterOS, мы вручную добавим IP-адрес, добавим маршрут по умолчанию с предоставленным шлюзом и настроим DNS-сервер
/ IP-адрес добавить адрес = 1.2.3.100 / 24 интерфейс = ether1 / ip route добавить шлюз = 1.2.3.1 / ip dns установить серверы = 8.8.8.8
Соединение PPPoE
СоединениеPPPoE также дает вам динамический IP-адрес и может динамически настраивать DNS и шлюз по умолчанию. Обычно поставщик услуг (ISP) предоставляет вам имя пользователя и пароль для подключения
./ интерфейс pppoe-client добавить disabled = no interface = ether1 user = me password = 123 \ add-default-route = yes use-peer-dns = yes
Действия Winbox / Webfig:
- Открыть окно PPP , должна быть выбрана вкладка Интерфейсы ;
- Нажмите кнопку + и выберите PPPoE Client из раскрывающегося списка, откроется новое диалоговое окно;
- Выберите интерфейс ether1 из раскрывающегося списка и нажмите кнопку OK , чтобы применить настройки.
.Руководство
: первый запуск - MikroTik Wiki
Применимо к RouterOS: Все
Обзор
После установки программного обеспечения RouterOS или первого включения маршрутизатора существуют различные способы подключения к нему:
- Доступ к интерфейсу командной строки (CLI) через Telnet, SSH, последовательный кабель или даже клавиатуру и отслеживание наличия в вашем маршрутизаторе карты VGA.
- Доступ к графическому веб-интерфейсу (WebFig)
- Использование утилиты настройки WinBox (приложение для Windows, совместимое с Wine)
Каждый маршрутизатор предварительно настроен на заводе с IP-адресом 192.168.88.1 / 24 на порту ether1. Имя пользователя по умолчанию - admin без пароля. После первого входа в систему создайте нового пользователя с паролем в «полной» группе, повторно войдите в систему и удалите пользователя с правами администратора по умолчанию. Мы настоятельно рекомендуем вам следовать общим правилам, изложенным в статье Защита маршрутизатора, чтобы защитить устройство от любого несанкционированного доступа.
Дополнительная конфигурация может быть установлена в зависимости от модели RouterBOARD. В большинстве моделей ether1 настроен как порт WAN, и любая связь с маршрутизатором через этот порт невозможна, поскольку он защищен брандмауэром для защиты от любого внешнего доступа.Список моделей RouterBOARD и их конфигурации по умолчанию можно найти в этой статье.
Winbox
Winbox - это утилита настройки, которая может подключаться к маршрутизатору по протоколу MAC или IP. Последнюю версию winbox можно скачать на нашей странице загрузки.
Подключение к устройству
1) Запускаем утилиту Winbox
2) Перейдите к «Соседи»
3) Посмотрите, найдет ли Winbox ваш маршрутизатор и его MAC-адрес
Информация: обнаружение соседей Winbox обнаружит все маршрутизаторы в широковещательной сети
4) Если вы видите свой маршрутизатор в списке, подключитесь к нему, щелкнув IP / MAC-адрес и нажав кнопку Connect
Winbox попытается загрузить плагины с маршрутизатора, если он впервые подключается к маршрутизатору с текущей версией.
Обратите внимание, что загрузка всех плагинов может занять до одной минуты, если winbox подключен по протоколу MAC.
5) После того, как winbox успешно загрузит плагины и пройдет аутентификацию, отобразится главное окно:
Если winbox не может найти роутеры, убедитесь, что:
- ) Ваш компьютер с Windows напрямую подключен к маршрутизатору с помощью кабеля Ethernet, или они находятся в том же широковещательном домене
- ) Поскольку MAC-соединение работает на уровне 2, к маршрутизатору можно подключиться даже без правильной настройки IP-адреса, но это может потребоваться, поскольку большинство драйверов не включает IP-стек, если нет конфигурации IPv4.
Из-за использования широковещательной передачи MAC-соединение недостаточно стабильно для постоянного использования, поэтому неразумно использовать его в реальной производственной / живой сети !. MAC-соединение следует использовать только для начальной настройки.
Следуйте инструкциям по Winbox для получения дополнительной информации.
QuickSet и WebFig
Если у вас есть маршрутизатор с конфигурацией по умолчанию, IP-адрес маршрутизатора можно использовать для подключения к веб-интерфейсу. Первым появится экран QuickSet, где вы можете установить пароль и основные настройки для защиты вашего устройства.Для дополнительных настроек нажмите кнопку WebFig, чтобы открыть расширенный режим, который имеет почти те же функции конфигурации, что и Winbox.
Дополнительные сведения о настройке веб-интерфейса см. В следующих статьях:
CLI
Интерфейс командной строки (CLI) позволяет конфигурировать настройки маршрутизатора с помощью текстовых команд. Поскольку имеется много доступных команд, они разбиты на группы, организованные в виде иерархических уровней меню.Следуйте руководству по консоли, чтобы узнать о синтаксисе и командах интерфейса командной строки.
Есть несколько способов получить доступ к CLI:
- Меню терминала Winbox
- Telnet
- SSH
- последовательный кабель и т. Д.
Последовательный кабель
Если ваше устройство имеет последовательный порт, вы можете использовать консольный кабель (или нуль-модемный кабель)
Подключите один конец последовательного кабеля к консольному порту (также известному как последовательный порт или асинхронный последовательный порт DB9 RS232C) RouterBOARD, а другой конец - к вашему ПК (который, как мы надеемся, работает под управлением Windows или Linux).Вы также можете использовать адаптер USB-Serial. Запустите программу терминала (HyperTerminal или Putty в Windows) со следующими параметрами для всех моделей RouterBOARD, кроме 230:
115200бит / с, 8 бит данных, 1 стоповый бит, без контроля четности, управление потоком = нет по умолчанию.Параметры
RouterBOARD 230:
9600 бит / с, 8 бит данных, 1 стоповый бит, без контроля четности, аппаратное управление потоком (RTS / CTS) по умолчанию.
Если параметры установлены правильно, вы должны увидеть приглашение для входа в систему.Теперь вы можете получить доступ к роутеру, введя имя пользователя и пароль:
MikroTik 4.15 MikroTik Логин: МММ МММ KKK TTTTTTTTTTT KKK ММММ ММММ KKK TTTTTTTTTTT KKK МММ ММММ МММ III ККК ККК РРРРРР ОООООО ТТТ III ККК ККК МММ ММ МММ III ККККК РРР РРР ООО ТТТ III ККККК МММ МММ III ККК ККК РРРРРР ООО ООО ТТТ III ККК ККК МММ МММ III KKK KKK RRR RRR ОООООО ТТТ III KKK KKK MikroTik RouterOS 4.15 (c) 1999-2010 http://www.mikrotik.com/ [админ @ MikroTik]>
Подробное описание входа в CLI находится в разделе процесса входа в систему.
Монитор и клавиатура
Если в вашем устройстве есть видеокарта (например, обычный ПК), просто подключите монитор к разъему для видеокарты компьютера (примечание: в продуктах RouterBOARD этого нет, поэтому используйте метод 1 или 2) и посмотрите, что произойдет на экране. Вы должны увидеть такое сообщение:
MikroTik v3.16 Авторизоваться:
Введите admin в качестве имени для входа и нажмите , введите дважды (потому что еще нет пароля), вы увидите этот экран:
МММ МММ KKK TTTTTTTTTTT KKK ММММ ММММ KKK TTTTTTTTTTT KKK МММ ММММ МММ III ККК ККК РРРРРР ОООООО ТТТ III ККК ККК МММ ММ МММ III ККККК РРР РРР ООО ТТТ III ККККК МММ МММ III ККК ККК РРРРРР ООО ООО ТТТ III ККК ККК МММ МММ III KKK KKK RRR RRR ОООООО ТТТ III KKK KKK MikroTik RouterOS 3.16 (c) 2008 г. http://www.mikrotik.com/ Терминал ANSI обнаружен в режиме однострочного ввода [admin @ router]>
Теперь можно приступить к настройке маршрутизатора, введя команду setup .
Этот метод работает с любым устройством, имеющим разъем для видеокарты и клавиатуры
[ Вверх | К содержанию ]
Как настроить домашний роутер
Интерфейс командной строки
Winbox - фантастическая программа. Это чрезвычайно мощный инструмент, позволяющий быстро редактировать или контролировать маршрутизаторы RouterOS. Однако это также довольно плохой инструмент для совместного использования конфигурации через Интернет. Вы можете делать снимки экрана, но они представляют собой большие файлы и могут отображаться неправильно. В зависимости от того, где они размещены, они могут не оставаться здесь очень долго, пока файловый хост отключит их. Самое главное, что в большинстве диалогов Winbox просто недостаточно места для отображения всей необходимой информации в одной небольшой области.Например, правила брандмауэра в Winbox состоят из множества вкладок. Чтобы адекватно отобразить все свойства правила - например, при его устранении - вам нужно будет предоставить по одному снимку экрана для каждой вкладки. Вывод CLI, с другой стороны, показывает всю эту информацию в одной строке. Текст также универсален - все может отображать текст. Вы также можете копировать и вставлять текст, что означает, что гораздо проще применить правило брандмауэра, которое кто-то дал вам как команду CLI, чем щелкать все вкладки в Winbox и соответствующим образом настраивать все поля.
Интерфейс командной строки может сначала показаться сложным, но на самом деле он организован очень хорошо. Есть всего 9 различных команд, которые действительно важны для основных задач настройки.
Структура
Интерфейс командной строки RouterOS отражает графический интерфейс пользователя (или, скорее, графический интерфейс пользователя отражает интерфейс командной строки). Конфигурация разделена на несколько уровней меню. Например, IP-службы настраиваются в «/ ip» с подразделами для конкретных связанных задач: ARP настроен в «/ ip arp», брандмауэр настроен в «/ ip firewall» и так далее.
Перед всеми командами можно указывать абсолютную или относительную ссылку на контекст, в котором команда должна выполняться. Если контекст не указан, используется текущий контекст. Ниже три примера:
[admin @ Example-Router] / IP-адрес> печать
Эта команда «print» будет выполнена в контексте «/ ip address» и, следовательно, распечатает все настроенные IP-адреса.
[admin @ Example-Router] / ip-адрес> / ip arp print
Эта команда «print» предваряется абсолютным контекстом «/ ip arp» и будет выполняться в этом контексте и, следовательно, распечатает все записи ARP, о которых знает маршрутизатор.
[admin @ Example-Router] / IP-адрес> .. arp print
Эта команда «print» предваряется относительным контекстом «.. arp». Текущий контекст - это «/ ip-адрес», «..» переходит на один уровень выше «/ ip», а «arp» переходит в «/ ip arp». Поэтому команда распечатает все записи ARP, о которых знает маршрутизатор.
Клавиша
Команды выделены синтаксисом: слова команд - розовым, элементы - голубым, а имена параметров - зеленым. Когда подсветка синтаксиса прекращается, ОС не может проанализировать команду, и команда не будет выполняться должным образом.
Команды можно сокращать, если они недвусмысленны. Например, «/ ip address add address = 1.1.1.2 / 24 interface = WAN» может - в крайнем случае - быть сокращено как «/ ip ad a a = 1.1.1 / 24 i = WAN».
Параметры передаются в виде пар ключ / значение, разделенных знаком «=». В приведенном выше примере параметр адреса установлен на 1.1.1.2/24, а параметр интерфейса установлен на интерфейс с именем «WAN».
Существует два различных типа конфигурации: одна просто существует и имеет параметры, установленные для нее (например, внутренний DNS-сервер может быть включен или выключен), другие - это элементы, добавленные в раздел как экземпляры в списке элементов в тот же контекст (например, интерфейсы VLAN, которые могут быть созданы свободно, или IP-адреса, назначенные интерфейсам).
Для отображения команд можно разбить одну очень длинную строку на несколько строк. Это обозначается обратной косой чертой в конце строки - следующая строка продолжает эту строку. Вот пример:
[admin @ Example-Router]> / добавление IP-адреса \ интерфейс = снаружи \ адрес = 1.1.1.2 / 30
Это используется в этом руководстве для переноса длинных команд конфигурации.
Основные команды
Те же самые основные команды используются для настройки всех аспектов ОС.Существуют команды для просмотра конфигурации, добавления конфигурации, удаления конфигурации и редактирования существующей конфигурации.
печать
Команда «print» печатает элементы конфигурации в текущем контексте. У него есть несколько квалификаторов, которые можно использовать для изменения того, какая информация выводится и как она форматируется. Самый важный квалификатор - «деталь печати». «print detail» '«показывает все свойства элемента, гарантирует, что все будет напечатано (« print »по умолчанию показывает все, аккуратно организованное в строки и столбцы таблицы, но может обрезать строки, чтобы все они поместились на экране), и выводит все в виде аккуратных пар ключ / значение.Это особенно ценно при обмене информацией на форумах с просьбой о помощи.
[admin @ Example-Router]> / ip arp print Флаги: X - отключен, I - недопустим, H - DHCP, D - динамический. # АДРЕС MAC-АДРЕСНЫЙ ИНТЕРФЕЙС 0 D 1.1.1.2 00: 0B: BF: 93: 68: 1B снаружи [admin @ Example-Router]> [admin @ Example-Router]> / ip arp print detail Флаги: X - отключен, I - недопустим, H - DHCP, D - динамический. 0 D адрес = 1.1.1.2 MAC-адрес = 00: 0B: BF: 93: 68: 1B интерфейс = внешний [admin @ Example-Router]>
Команда печати в первом столбце возвращает номер позиции.В последующих командах номер элемента можно использовать для ссылки на этот элемент.
экспорт
Команда «экспорт» распечатывает примененную конфигурацию в формате, который можно скопировать и вставить для дублирования той же конфигурации на другом маршрутизаторе. Команда «экспорт» вернет конфигурацию текущего раздела и всех дочерних разделов. Например, контекст «/ ip firewall» имеет дочерние контексты для NAT и фильтров. "/ ip firewall export" также вернет конфигурации этих дочерних разделов.
удалить
Команда «remove» удаляет элемент из списка элементов конфигурации. Он относится к номеру элемента или результату команды «найти».
[admin @ Example-Router]> / печать IP-адреса Флаги: X - отключено, I - недопустимо, D - динамическое # АДРЕСНАЯ СЕТЬ ТРАНСЛЯЦИОННЫЙ ИНТЕРФЕЙС 0 10.1.0.1/24 10.1.0.0 10.1.0.255 внутри 1 1.1.1.2/29 1.1.1.0 1.1.1.7 снаружи 2 10.2.0.1/24 10.2.0.0 10.2.0.255 дмз [admin @ Example-Router]> / ip address remove 2 [admin @ Example-Router]> / печать IP-адреса Флаги: X - отключено, I - недопустимо, D - динамическое # АДРЕСНАЯ СЕТЬ ТРАНСЛЯЦИОННЫЙ ИНТЕРФЕЙС 0 10.1.0.1/24 10.1.0.0 10.1.0.255 внутри 1 1.1.1.2/29 1.1.1.0 1.1.1.7 снаружи [admin @ Example-Router]>
добавить
Команда «добавить» добавляет элемент в список элементов конфигурации. Он запросит все параметры, которые требуются, но не указаны.
[admin @ Example-Router]> / печать IP-адреса Флаги: X - отключено, I - недопустимо, D - динамическое # АДРЕСНАЯ СЕТЬ ТРАНСЛЯЦИОННЫЙ ИНТЕРФЕЙС 0 10.1.0.1/24 10.1.0.0 10.1.0.255 внутри 1 1.1.1.2/29 1.1.1.0 1.1.1.7 снаружи [admin @ Example-Router]> / ip address add address = 10.2.0.1 / 24 interface = dmz [admin @ Example-Router]> / печать IP-адреса Флаги: X - отключено, I - недопустимо, D - динамическое # АДРЕСНАЯ СЕТЬ ТРАНСЛЯЦИОННЫЙ ИНТЕРФЕЙС 0 10.1.0.1 / 24 10.1.0.0 10.1.0.255 внутри 1 1.1.1.2/29 1.1.1.0 1.1.1.7 снаружи 2 10.2.0.1/24 10.2.0.0 10.2.0.255 дмз [admin @ Example-Router]>
комплект
Команда "set" редактирует параметры существующего элемента.
[admin @ Example-Router]> / печать IP-адреса Флаги: X - отключено, I - недопустимо, D - динамическое # АДРЕСНАЯ СЕТЬ ТРАНСЛЯЦИОННЫЙ ИНТЕРФЕЙС 0 10.1.0.1/24 10.1.0.0 10.1.0.255 внутри 1 1.1.1.2/29 1.1.1.0 1.1.1.7 снаружи 2 10.2.0.1/24 10.2.0.0 10.2.0.255 дмз [admin @ Example-Router]> / ip address set 2 interface = inside [admin @ Example-Router]> / печать IP-адреса Флаги: X - отключено, I - недопустимо, D - динамическое # АДРЕСНАЯ СЕТЬ ТРАНСЛЯЦИОННЫЙ ИНТЕРФЕЙС 0 10.1.0.1/24 10.1.0.0 10.1.0.255 внутри 1 1.1.1.2/29 1.1.1.0 1.1.1.7 снаружи 2 10.2.0.1 / 24 10.2.0.0 10.2.0.255 внутри [admin @ Example-Router]> / ip address set 2 interface = dmz [admin @ Example-Router]> / печать IP-адреса Флаги: X - отключено, I - недопустимо, D - динамическое # АДРЕСНАЯ СЕТЬ ТРАНСЛЯЦИОННЫЙ ИНТЕРФЕЙС 0 10.1.0.1/24 10.1.0.0 10.1.0.255 внутри 1 1.1.1.2/29 1.1.1.0 1.1.1.7 снаружи 2 10.2.0.1/24 10.2.0.0 10.2.0.255 дмз [admin @ Example-Router]>
отключить
Команда «disable» отключает элемент конфигурации, делая его неработоспособным, но оставляет его в конфигурации.
[admin @ Example-Router]> / печать IP-адреса Флаги: X - отключено, I - недопустимо, D - динамическое # АДРЕСНАЯ СЕТЬ ТРАНСЛЯЦИОННЫЙ ИНТЕРФЕЙС 0 10.1.0.1/24 10.1.0.0 10.1.0.255 внутри 1 1.1.1.2/29 1.1.1.0 1.1.1.7 снаружи 2 10.2.0.1/24 10.2.0.0 10.2.0.255 дмз [admin @ Example-Router]> / отключение IP-адреса 2 [admin @ Example-Router]> / печать IP-адреса Флаги: X - отключено, I - недопустимо, D - динамическое # АДРЕСНАЯ СЕТЬ ТРАНСЛЯЦИОННЫЙ ИНТЕРФЕЙС 0 10.1.0.1 / 24 10.1.0.0 10.1.0.255 внутри 1 1.1.1.2/29 1.1.1.0 1.1.1.7 снаружи 2 Х 10.2.0.1/24 10.2.0.0 10.2.0.255 дмз [admin @ Example-Router]>
включить
Команда "enable" включает ранее отключенный элемент.
[admin @ Example-Router]> / печать IP-адреса Флаги: X - отключено, I - недопустимо, D - динамическое # АДРЕСНАЯ СЕТЬ ТРАНСЛЯЦИОННЫЙ ИНТЕРФЕЙС 0 10.1.0.1/24 10.1.0.0 10.1.0.255 внутри 1 1.1.1.2/29 1.1.1.0 1.1.1.7 снаружи 2 Х 10.2.0.1/24 10.2.0.0 10.2.0.255 дмз [admin @ Example-Router]> / ip address enable 2 [admin @ Example-Router]> / печать IP-адреса Флаги: X - отключено, I - недопустимо, D - динамическое # АДРЕСНАЯ СЕТЬ ТРАНСЛЯЦИОННЫЙ ИНТЕРФЕЙС 0 10.1.0.1/24 10.1.0.0 10.1.0.255 внутри 1 1.1.1.2/29 1.1.1.0 1.1.1.7 снаружи 2 10.2.0.1 / 24 10.2.0.0 10.2.0.255 дмз [admin @ Example-Router]>
найти
Команда «find» возвращает набор элементов, с которыми затем могут действовать другие команды. Когда «find» выполняется без каких-либо параметров, он возвращает все элементы. Когда "find" выполняется с параметрами, возвращаются только те элементы, которые соответствуют параметрам. Наиболее распространенным сопоставлением является «=», чтобы точно соответствовать значению параметра, также можно сопоставить регулярные выражения с помощью оператора «~».
Ниже показаны все существующие IP-адреса:
[admin @ Example-Router]> / печать IP-адреса Флаги: X - отключено, I - недопустимо, D - динамическое # АДРЕСНАЯ СЕТЬ ТРАНСЛЯЦИОННЫЙ ИНТЕРФЕЙС 0 10.1.0.1 / 24 10.1.0.0 10.1.0.255 внутри 1 1.1.1.2/29 1.1.1.0 1.1.1.7 снаружи 2 Х 10.2.0.1/24 10.2.0.0 10.2.0.255 дмз [admin @ Example-Router]> / включение IP-адреса [/ поиск IP-адреса] [admin @ Example-Router]> / печать IP-адреса Флаги: X - отключено, I - недопустимо, D - динамическое # АДРЕСНАЯ СЕТЬ ТРАНСЛЯЦИОННЫЙ ИНТЕРФЕЙС 0 10.1.0.1/24 10.1.0.0 10.1.0.255 внутри 1 1.1.1.2/29 1.1.1.0 1.1.1.7 снаружи 2 10.2.0.1/24 10.2.0.0 10.2.0.255 дмз [admin @ Example-Router]>
. Ниже отключаются все IP-адреса, которые находятся на интерфейсе "dmz":
[admin @ Example-Router]> / печать IP-адреса Флаги: X - отключено, I - недопустимо, D - динамическое # АДРЕСНАЯ СЕТЬ ТРАНСЛЯЦИОННЫЙ ИНТЕРФЕЙС 0 10.1.0.1/24 10.1.0.0 10.1.0.255 внутри 1 1.1.1.2/29 1.1.1.0 1.1.1.7 снаружи 2 10.2.0,1 / 24 10.2.0.0 10.2.0.255 дмз [admin @ Example-Router]> / ip address disable [/ ip address find interface = dmz] [admin @ Example-Router]> / печать IP-адреса Флаги: X - отключено, I - недопустимо, D - динамическое # АДРЕСНАЯ СЕТЬ ТРАНСЛЯЦИОННЫЙ ИНТЕРФЕЙС 0 10.1.0.1/24 10.1.0.0 10.1.0.255 внутри 1 1.1.1.2/29 1.1.1.0 1.1.1.7 снаружи 2 Х 10.2.0.1/24 10.2.0.0 10.2.0.255 дмз [admin @ Example-Router]>
Приведенный ниже код включает все IP-адреса на интерфейсах, начинающиеся с буквы «d»:
[admin @ Example-Router]> / печать IP-адреса Флаги: X - отключено, I - недопустимо, D - динамическое # АДРЕСНАЯ СЕТЬ ТРАНСЛЯЦИОННЫЙ ИНТЕРФЕЙС 0 10.1.0.1/24 10.1.0.0 10.1.0.255 внутри 1 1.1.1.2/29 1.1.1.0 1.1.1.7 снаружи 2 Х 10.2.0.1/24 10.d "] [admin @ Example-Router]> / печать IP-адреса Флаги: X - отключено, I - недопустимо, D - динамическое # АДРЕСНАЯ СЕТЬ ТРАНСЛЯЦИОННЫЙ ИНТЕРФЕЙС 0 10.1.0.1/24 10.1.0.0 10.1.0.255 внутри 1 1.1.1.2/29 1.1.1.0 1.1.1.7 снаружи 2 10.2.0.1/24 10.2.0.0 10.2.0.255 дмз [admin @ Example-Router]>
ход
Команда «move» перемещает элементы в упорядоченных списках, где порядок важен для потока выполнения.Порядок особенно важен для правил в средствах фильтрации IP-брандмауэра, Mangle и NAT. Элементы можно перемещать, ссылаясь на идентификатор перемещаемого элемента и идентификатор элемента, в который должно быть перемещено правило. Следующее ниже перемещает правило номер 3 на место правила номер 0, а все остальные правила сдвигаются вниз. Показанные правила брандмауэра бессмысленны и предназначены только для демонстрации команды "move":
[admin @ Example-Router]> / ip firewall mangle print where action = "mark-routing" Флаги: X - отключено, I - недопустимо, D - динамическое 0 цепочка = действие перед маршрутизацией = mark-routing new-routing-mark = "mark-a" 1 цепочка = действие перед маршрутизацией = mark-routing new-routing-mark = "mark-b" 2 цепочка = действие перед маршрутизацией = mark-routing new-routing-mark = "mark-c" 3 цепочка = действие перед маршрутизацией = mark-routing new-routing-mark = "mark-d" [admin @ Example-Router]> / ip firewall mangle move 3 0 [admin @ Example-Router]> [admin @ Example-Router]> / ip firewall mangle print where action = "mark-routing" Флаги: X - отключено, I - недопустимо, D - динамическое 0 цепочка = действие перед маршрутизацией = mark-routing new-routing-mark = "mark-d" 1 цепочка = действие перед маршрутизацией = mark-routing new-routing-mark = "mark-a" 2 цепочка = действие перед маршрутизацией = mark-routing new-routing-mark = "mark-b" 3 цепочка = действие перед маршрутизацией = mark-routing new-routing-mark = "mark-c" [admin @ Example-Router]>
Контекст
Контексты также можно задать для набора команд, заключив набор в фигурные скобки с сохранением нажатий клавиш.Ниже приведены все IP-адреса:
[admin @ Example-Router]> / печать IP-адреса Флаги: X - отключено, I - недопустимо, D - динамическое # АДРЕСНАЯ СЕТЬ ТРАНСЛЯЦИОННЫЙ ИНТЕРФЕЙС 0 10.1.0.1/24 10.1.0.0 10.1.0.255 внутри 1 1.1.1.2/29 1.1.1.0 1.1.1.7 снаружи 2 Х 10.2.0.1/24 10.2.0.0 10.2.0.255 дмз [admin @ Example-Router]> / IP-адрес {включить [найти]}; [admin @ Example-Router]> / печать IP-адреса Флаги: X - отключено, I - недопустимо, D - динамическое # АДРЕСНАЯ СЕТЬ ТРАНСЛЯЦИОННЫЙ ИНТЕРФЕЙС 0 10.1.0.1 / 24 10.1.0.0 10.1.0.255 внутри 1 1.1.1.2/29 1.1.1.0 1.1.1.7 снаружи 2 10.2.0.1/24 10.2.0.0 10.2.0.255 дмз [admin @ Example-Router]> Пример сети
В этом руководстве для объяснения конфигурации используется пример сети. Маршрутизатор имеет общедоступный IP-адрес 1.1.1.2/30 со шлюзом по умолчанию 1.1.1.1, а порт «ether1» (позже переименованный в «внешний») используется для подключения к Интернет-провайдеру. Порт ether2 (позже переименованный в dmz) - это сеть, которая является настоящей DMZ, эта сеть использует IP-адрес 10.2.0.1 / 24. Порты ether3 - ether5 переключаются вместе, и все они доступны для использования в сети LAN, позже переименованной во «inside». В этой сети используется 10.1.0.1/24.
В других маршрутизаторах SoHo безусловная переадресация портов на компьютер LAN называется DMZ. В более продвинутых сетях DMZ относится к третьей сети, отличной от WAN и LAN, где хосты запускают службы, доступные для Интернета в целом. Выполнение этого в другой сети дополнительно защищает сеть LAN: узлы в DMZ открыты для Интернета и могут быть подключены.В случае нарушения это не дает подключенного доступа к сети LAN, поскольку брандмауэр не позволяет узлам DMZ устанавливать новые соединения с LAN.
Интерфейсы (порты) маршрутизатора
Физические интерфейсы
Различные модели маршрутизаторов имеют разные наборы физических интерфейсов. RB1000 имеют всего 4 порта 1000Base-TX. RB1100 имеют 10 портов 1000Base-TX (2 группы по 5 портов с каналом 1 Гбит / с к ЦП на группу, каждая группа имеет микросхему коммутатора для пропускной способности уровня 2 со скоростью передачи данных) и 3 порта 100Base-TX.RB750G имеет 5 портов 1000Base-TX с микросхемой коммутатора для обеспечения пропускной способности уровня 2 на скорости проводной сети. routerboard.com имеет все технические характеристики и спецификации.
Микросхема переключателя
Некоторые маршрутизаторы имеют встроенную микросхему коммутатора, которую можно активировать на физических интерфейсах, чтобы обеспечить пропускную способность на скорости передачи данных между этими интерфейсами. Эти интерфейсы по сути будут действовать как переключатель. По умолчанию это включено в моделях SoHo. Хотя возможна более продвинутая конфигурация, в большинстве небольших сетей просто необходимо активировать или деактивировать эту функцию.В интерфейсах микросхем коммутатора имеются либо главные, либо подчиненные порты. Главный порт - это место, где происходит вся конфигурация маршрутизатора (например, IP-адрес), а подчиненные порты относятся к главному порту. Ниже приведены настройки интерфейсов ether3, ether4 и ether5 в качестве подчиненных для интерфейса ether2:
/ интерфейс Ethernet установить [find name = ether3] master-port = ether2 установить [find name = ether4] master-port = ether2 установить [find name = ether5] master-port = ether2
Микросхема коммутатора подходит для небольших сетей, но не может выполнять расширенные конфигурации VLAN.
Мост против маршрутизации
Мостовое соединение (это то, что делают коммутаторы) - это то, что коммутаторы делают намного лучше, чем маршрутизаторы. Это просто личное мнение, но всякий раз, когда я ловлю себя на мысли, что мне следует соединить проводные интерфейсы, я почти всегда в конечном итоге использую коммутатор. Одним из контрпримеров являются беспроводные интерфейсы, которые обычно соединяются в проводные сети.
Именованные интерфейсы
Вся конфигурация интерфейсов в RouterOS выполняется по имени интерфейса.Имена могут быть заданы произвольно.
Это хорошая практика, чтобы имена были информативными. Хорошее название интерфейса, используемого для подключения к Интернету, - «внешний» или «WAN», хорошее название для интерфейса, используемого для подключения к внутренним клиентам или вашей домашней сети, - «внутри» или «LAN». При использовании микросхемы коммутатора имена подчиненных интерфейсов не важны во всех конфигурациях, кроме довольно сложных, поскольку любая конфигурация маршрутизатора будет ограничена главным портом. По-прежнему имеет смысл называть интерфейсы в честь того, к чему они подключаются.
Пример сети
В нашем примере сети мы хотим, чтобы ether1 назывался «external», ether2 назывался «dmz», а ether3 - ether5 переключался с именем интерфейса «inside».
/ интерфейс Ethernet установить [find name = ether1] name = outside установить [найти имя = эфир2] имя = dmz установить [find name = ether3] name = внутри установить [find name = ether4] name = inside-slave master-port = внутри установить [find name = ether5] name = inside-slave2 master-port = внутри
IP-адресов
Каждый интерфейс может нести на себе один или несколько IP-адресов.Обычно для каждого интерфейса определяется только один IP-адрес. Хотя при просмотре IP-адресов отображаются параметры для сети и широковещательный адрес сети, их обычно не следует определять вручную, и они будут добавлены автоматически, если они не указаны. При добавлении IP-адреса маска подсети дается в нотации CIDR.
[admin @ Example-Router] / IP-адрес> печать Флаги: X - отключено, I - недопустимо, D - динамическое # АДРЕСНАЯ СЕТЬ ТРАНСЛЯЦИОННЫЙ ИНТЕРФЕЙС 0 10.1.0.1/24 10.1.0.0 10.1.0.255 внутри [admin @ Example-Router] / IP-адрес> добавить адрес = 1.1.1.2 / 29 интерфейс = внешний [admin @ Example-Router] / IP-адрес> печать Флаги: X - отключено, I - недопустимо, D - динамическое # АДРЕСНАЯ СЕТЬ ТРАНСЛЯЦИОННЫЙ ИНТЕРФЕЙС 0 10.1.0.1/24 10.1.0.0 10.1.0.255 внутри 1 1.1.1.2/29 1.1.1.0 1.1.1.7 снаружи [admin @ Example-Router] / IP-адрес>
DHCP-клиент
Во многих небольших средах маршрутизатор получает динамический IP-адрес через DHCP на своем WAN-интерфейсе от Интернет-провайдера.DHCP-клиент также может использоваться для заполнения таблицы маршрутизации маршрутом по умолчанию через ISP и подключения DNS-серверов для использования маршрутизатором и сетями, находящимися за ним. Клиенту DHCP необходимо предоставить интерфейс для работы, а также указать, следует ли прослушивать параметры DHCP для DNS и маршрут по умолчанию.
/ ip dhcp-клиент добавить интерфейс = за пределами add-default-route = yes use-peer-dns = yes
Клиент PPPoE
Другой распространенный метод получения общедоступного IP-адреса маршрутизаторами SoHo - через PPPoE, который используется в соединениях DSL.Большинство модемов DSL можно установить в режим моста, при котором модем выполняет преобразование между сетью DSL и обычным Ethernet, затем маршрутизатор становится клиентом PPPoE и напрямую общается с сетью поставщика услуг Интернета через модем. PPPoE назначает IP-адрес интерфейсу, на котором работает клиент PPPoE, а также может использоваться для получения информации о маршруте по умолчанию, а также о DNS-серверах. Очень важно отметить, что клиент PPPoE создает новый логический интерфейс (в приведенном ниже примере он называется «pppoe-WAN»), который теперь становится интерфейсом для обращения к трафику WAN.«Внешний» интерфейс будет использоваться только для инкапсулированного трафика PPPoE, поскольку маршрутизатор заинтересован в IP-трафике, который будет покидать маршрутизатор через интерфейс клиента PPPoE.
/ интерфейс pppoe-client добавить имя = pppoe-WAN interface = за пределами add-default-route = yes use-peer-dns = yes
Пример сети
В нашем примере сети мы хотим, чтобы «внешний» интерфейс имел статический IP-адрес 1.1.1.2/29, интерфейс «dmz» имел статический IP-адрес 10.2.0.1/24, а «внутренний» интерфейс - иметь статический IP-адрес 10.1.0.1 / 24.
/айпи адрес добавить адрес = 1.1.1.2 / 29 интерфейс = снаружи добавить адрес = 10.2.0.1 / 24 interface = dmz добавить адрес = 10.1.0.1 / 24 интерфейс = внутри
IP-маршрутов
Как и на других платформах маршрутизации, динамически подключаемые маршруты создаются для всех сетей, к которым маршрутизатор имеет IP-адреса - в конце концов, если маршрутизатор имеет IP-адрес в сети 10.1.0.1/24 на «внутреннем» интерфейсе, он может достичь хостов в этой сети через этот интерфейс. Статические маршруты можно добавить, указав адрес назначения и шлюз.Обычно требуется хотя бы один статический маршрут: маршрут по умолчанию для маршрутизатора, указывающий на сеть провайдера. RouterOS, конечно, также может запускать протоколы динамической маршрутизации, такие как RIP, OSPF и BGP, но это выходит за рамки данной статьи.
[admin @ Example-Router]> / ip route print Флаги: X - отключен, A - активен, D - динамический, C - подключить, S - статический, r - рип, b - bgp, o - ospf, m - mme, B - черная дыра, U - недоступен, P - запретить # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 АЦП 10.1.0.0 / 24 10.1.0.1 внутри 0 1 ADC 1.1.1.0/29 1.1.1.2 вне 0 [admin @ Example-Router]>
Хотя RouterOS позволяет настраивать IP-адрес в сети smae на двух разных маршрутизируемых интерфейсах, это было бы очень плохо. Маршрутизатор теперь будет думать, что он может связаться с хостами в этой сети через любой интерфейс, что маловероятно.
Добавление маршрута по умолчанию
Можно добавить новые статические маршруты, как показано ниже.В примере показано добавление маршрута по умолчанию (маршрут для пункта назначения 0.0.0.0/0) через шлюз ISP 1.1.1.1:
[admin @ Example-Router]> / ip route add dst-address = 0.0.0.0 / 0 gateway = 1.1.1.1 [admin @ Example-Router]> / ip route print Флаги: X - отключен, A - активен, D - динамический, C - подключить, S - статический, r - рип, b - bgp, o - ospf, m - mme, B - черная дыра, U - недоступен, P - запретить # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 А С 0.0.0.0/0 1.1.1.1 1 1 АЦП 10.1.0.0/24 10.1.0.1 внутри 0 2 ADC 1.1.1.0/29 1.1.1.2 вне 0 [admin @ Example-Router]>
Интересно отметить, что технически для трафика в Интернет теперь задействованы два маршрута: маршрутизатор просматривает пакет и обнаруживает, что маршрут по умолчанию совпадает, и что он должен отправлять трафик через 1.1.1.1. Затем ему нужно выяснить, как отправить трафик на 1.1.1.1, снова взглянуть на свою таблицу маршрутизации и обнаружить, что он может добраться до 1.1.1.1 через «внешний» интерфейс через напрямую подключенный маршрут для этой сети.
Также обратите внимание, что нет необходимости и не рекомендуется добавлять статический маршрут по умолчанию, если ваш маршрутизатор получает свой WAN IP-адрес через DHCP или PPPoE. Статические маршруты по умолчанию следует использовать только в том случае, если общедоступный IP-адрес на интерфейсе WAN также является статическим.
Пример сети
В нашем примере сети мы хотим, чтобы маршрутизатор использовал 1.1.1.1 в качестве шлюза по умолчанию:
/ ip маршрут добавить dst-адрес = 0.0.0.0 / 0 шлюз = 1.1.1.1
DHCP-сервер
Службы DHCP-серверасостоят из трех компонентов: пула IP-адресов, который определяет диапазон IP-адресов, для которых клиенты могут получить аренду, сеть DHCP-сервера, которая определяет параметры, которые передаются клиентам (например, IP-адрес шлюза и DNS-серверы), и Сам экземпляр DHCP-сервера, который связывает пул с интерфейсом.
IP-пулов
Пулы IP-адресовопределяют диапазон IP-адресов, доступных пользователям для получения в аренду DHCP.Любой IP-адрес в подсети, не входящей в диапазон пула, доступен для статического использования.
IP-пулы просто состоят из имени, по которому на них можно ссылаться, а также диапазона IP-адресов. ОС позволит вам установить диапазон, который находится за пределами подсети сети, в которой пользователи будут фактически находиться, что приведет к тому, что IP-адреса не смогут достичь своего шлюза по умолчанию. Будьте осторожны при настройке диапазонов, чтобы убедиться, что выбранный диапазон действительно покрывается IP-сетью, настроенной на интерфейсе.
Чтобы добавить пул:
[admin @ Example-Router] / IP pool> экспорт / IP пул добавить имя = DHCP-пул-внутри диапазонов = 10.1.0.10-10.1.0.100 [admin @ Example-Router] / пул IP>
Для редактирования пула:
[admin @ Example-Router] / ip pool> print # ДИАПАЗОН ИМЕНИ 0 DHCP-пул-внутри 10.1.0.10-10.1.0.100 [admin @ Example-Router] / ip pool> set [find name = "DHCP-Pool-inside"] диапазоны = 10.1.0.100-10.1.0.200 [admin @ Example-Router] / ip pool> print # ДИАПАЗОН ИМЕНИ 0 DHCP-пул внутри 10.1.0.100-10.1.0.200 [admin @ Example-Router] / пул IP>
Сети DHCP-серверов
Сети серверов DHCPопределяют параметры (параметры DHCP) для передачи клиентам DHCP. Минимальный набор параметров включает шлюз по умолчанию и серверы имен. Шлюз по умолчанию - это обычно IP-адрес маршрутизатора на сетевом интерфейсе, как и серверы имен, как правило, - по крайней мере, если маршрутизатор настроен как преобразователь кэширования DNS. Это рассматривается в другом разделе этого документа.
Чтобы добавить сеть DHCP-сервера:
[admin @ Example-Router] / ip dhcp-server network> экспорт / ip сеть dhcp-сервера добавить адрес = 10.1.0.0 / 24 комментарий = внутри dns-server = 10.1.0.1 шлюз = 10.1.0.1 [admin @ Example-Router] / ip dhcp-server network>
Обратите внимание, что несколько DNS-серверов указаны в виде списка, разделенного запятыми, без пробелов.
Для редактирования сети DHCP-сервера:
[admin @ Example-Router] / ip dhcp-server network> print # ADDRESS GATEWAY DNS-SERVER WINS-SERVER DOMAIN 0 ;;; внутри 10.1.0.0 / 24 10.1.0.1 10.1.0.1 [admin @ Example-Router] / ip dhcp-server network> set [find comment = "inside"] dns-server = 8.8.8.8 [admin @ Example-Router] / ip dhcp-server network> print # ADDRESS GATEWAY DNS-SERVER WINS-SERVER DOMAIN 0 ;;; внутри 10.1.0.0/24 10.1.0.1 8.8.8.8 [admin @ Example-Router] / ip dhcp-server network>
DHCP-серверы
экземпляров DHCP-сервера заставляют процесс DHCP-сервера в маршрутизаторе прослушивать клиентские запросы на указанных интерфейсах.Каждый интерфейс, предлагающий клиентам DHCP, должен иметь выделенный экземпляр DHCP-сервера. Экземпляр устанавливает основные параметры, например, является ли сервер полномочным и время аренды клиента, и связывает пулы IP-адресов с интерфейсами.
Чтобы добавить экземпляр DHCP-сервера:
[admin @ Example-Router] / ip dhcp-server> экспорт / ip dhcp-сервер добавить пул адресов = DHCP-пул-внутри авторитетного = да bootp-support = static \ отключен = нет интерфейса = внутри время аренды = 3 часа имя = внутри DHCP [admin @ Example-Router] / ip dhcp-server>
Чтобы изменить экземпляр DHCP-сервера:
[admin @ Example-Router] / ip dhcp-server> печать Флаги: X - отключено, I - недопустимо № ИМЯ ИНТЕРФЕЙС РЕЛЕ АДРЕС-БАССЕЙН ВРЕМЯ ДОБАВЛЕНИЯ-ARP 0 DHCP-... внутри DHCP-Pool-Ins ... 3ч [admin @ Example-Router] / ip dhcp-server> установить [find interface = inside] lease-time = 1h [admin @ Example-Router] / ip dhcp-server> печать Флаги: X - отключено, I - недопустимо № ИМЯ ИНТЕРФЕЙС РЕЛЕ АДРЕС-БАССЕЙН ВРЕМЯ ДОБАВЛЕНИЯ-ARP 0 DHCP -... внутри DHCP-Pool-Ins ... 1ч [admin @ Example-Router] / ip dhcp-server>
Условия аренды
Приведенное ниже обычно не очень важно для домашних сетей, но может оказаться полезным для маршрутизаторов, которые обслуживают постоянно меняющихся клиентов.
Клиент возобновляет аренду DHCP по истечении половины временного интервала аренды. Как правило, лучше создавать более крупные сети, чтобы устаревшие аренды для клиентов, которые больше не подключены, не поглощали все доступные IP-адреса в netowrk и не устанавливали длительные сроки аренды.
В качестве примера, если к сети подключено 1200 пользователей и время аренды DHCP составляет всего 10 минут, каждый пользователь будет отправлять запросы на продление аренды на DHCP-сервер на маршрутизаторе каждые 5 минут. В среднем сервер DHCP будет видеть (1200 пользователей / 300 секунд) = 4 запроса DHCP в секунду.Если время аренды установлено на 2 часа, DHCP-сервер будет видеть только (1200 пользователей / 3600 секунд) = один DHCP-запрос каждые 3 секунды, что оставляет больше ресурсов маршрутизатора, доступных для маршрутизации пакетов, пользователей с ограничением скорости или других действий маршрутизатора. настроил делать. Пространство частных IP-адресов свободно, лучше оптимизировать для использования маршрутизатора, чем для сохранения IP-адреса.
Волшебник
Выше объяснялось, как DHCP-серверы работают внутри. В качестве альтернативы вы можете просто позволить маршрутизатору создать все элементы конфигурации для вас, запустив «/ ip dhcp-server setup» и ответив на интерактивные запросы, многие из которых будут иметь предварительно заполненные значения, которые вы можете принять.
Пример сети
В нашем примере сети мы хотим, чтобы маршрутизатор действовал как DHCP-сервер для «внутренней» сети на 10.1.0.0/24. Пул аренды DHCP должен быть 10.1.0.200-10.1.0.254. Маршрутизатор будет действовать как шлюз по умолчанию для клиентов DHCP, а также будет действовать как сервер DNS.
/ IP пул добавить имя = DHCP-пул-внутри диапазонов = 10.1.0.200-10.1.0.254 / ip сеть dhcp-сервера добавить адрес = 10.1.0.0 / 24 комментарий = внутри dns-server = 10.1.0.1 шлюз = 10.1.0.1 / ip dhcp-сервер добавить пул адресов = DHCP-пул-внутри авторитетного = да bootp-support = static \ отключен = нет интерфейса = внутри время аренды = 3 часа имя = внутри DHCP
Межсетевой экран IP
Межсетевой экран IP отвечает за фильтрацию пакетов (прием или отбрасывание), а также за изменение их свойств.Существуют три средства: фильтр, исключение и NAT. Здесь обсуждаются только фильтр и NAT.
Фильтры
Фильтры используются для отбрасывания или приема пакетов, проходящих через маршрутизатор или идущих к маршрутизатору. Все пакеты, которые видит маршрутизатор, проходят серию цепочек. Действие по умолчанию, то есть действие, которое предпринимается, если пакет не соответствует ни одному из правил в цепочке, - это принять пакет. Это называется межсетевым экраном с разрешением по умолчанию. Межсетевые экраны с разрешением по умолчанию связаны с концепцией внесения в черный список, которая относится к практике явного определения всех плохих вещей и принятия всего остального как неявно хорошего.Внесение в черный список, как правило, не очень хороший или безопасный подход, так как очень легко забыть определить известную плохую вещь. Кроме того, постоянно появляются новые плохие вещи. Более безопасный подход - это занесение в белый список брандмауэра «запретить по умолчанию»: сначала разрешается все, что считается хорошим, а потом все остальное запрещается. Поскольку фильтры брандмауэра RouterOS являются «разрешенными по умолчанию», нам придется явно удалить все, что мы явно не разрешали ранее.
Цепи
Катушка и фильтровальная установка имеют 5 встроенных цепочек:
- предварительная маршрутизация
- вход
- вперед
- выход
- постмаршрутизация
Также можно определять пользовательские цепочки и переходить в них.Этот подход очень полезен, когда одни и те же действия должны применяться к пакетам, указанным в разных правилах. Однако кастомные цепочки выходят за рамки этой статьи.
Все пакеты, отправляемые на маршрутизатор, всегда проходят цепочку «предварительной маршрутизации». В конце «предварительной маршрутизации» маршрутизатор определяет, предназначен ли пакет самому маршрутизатору (например, пакет, который является частью соединения Winbox, идущего от хоста управления к маршрутизатору), или должен ли этот пакет быть отправлен другим интерфейс.Пакеты к самому маршрутизатору будут проходить по «входной» цепочке. Пакеты, которые проходят через маршрутизатор, проходят цепочку «вперед». Пакеты к самому маршрутизатору никогда не будут входить в цепочку «вперед», а пакеты, проходящие через маршрутизатор, никогда не будут входить в цепочку «вход». Пакеты, которые генерируются самим маршрутизатором (например, пакет, который является частью соединения Winbox, идущего от маршрутизатора к станции управления), будут проходить по цепочке «output». Оба пакета, проходящие через маршрутизатор, а также пакеты от маршрутизатора, затем проходят цепочку «постмаршрутизации».
Несмотря на то, что это несколько сложно, реально для простых маршрутизаторов SoHo важны только две цепочки: сам маршрутизатор защищен во входной цепочке, а узлы в сетях за маршрутизатором защищены в цепочке «вперед».
Чтобы узнать обо всех деталях цепочек и о том, как пакеты проходят через брандмауэр, обратитесь к единственной лучшей странице вики: странице потока пакетов. Поначалу это пугает, но становится легче понять, чем больше времени вы проводите с RouterOS, и он отвечает на большинство вопросов о том, где и когда что-то делать.
Состояние
Как и другие передовые платформы межсетевых экранов, RouterOS может сохранять состояние соединений, отслеживая их. Это означает, что он знает, к какому соединению принадлежит пакет, и может принимать решения о пакете на основе того, как были обработаны другие пакеты в соединении. Это очень полезно, поскольку позволяет использовать подход брандмауэра, при котором принимаются только решения о том, какие соединения могут быть установлены в первую очередь. Все пакеты в соединениях, которым было разрешено установить, затем просто разрешаются, а все остальные пакеты отбрасываются.
Существует три состояния соединения: «установленный» означает, что пакет является частью уже установленного соединения, «связанный» означает, что пакет является частью соединения, которое связано с уже установленным соединением. Каноническим примером здесь является FTP, который имеет и канал данных, и канал управления: сначала устанавливается канал управления, который затем согласовывает детали канала данных, по которому фактически будут передаваться файлы. Изучив канал управления, маршрутизатор может узнать о динамически согласованном канале данных.А «недействительный» означает, что пакет является частью соединения, о котором маршрутизатор ничего не знает.
Пример сети
В нашем примере сети мы хотим, чтобы маршрутизатор разрешал устройствам во «внутренней» сети устанавливать соединения с Интернетом за «внешним» интерфейсом, а также с веб-сервером в DMZ. Веб-серверу разрешено устанавливать соединения с Интернетом за «внешним» интерфейсом, но он не может устанавливать соединения с «внутренней» сетью.Интернет может устанавливать соединения HTTP и HTTPS с веб-сервером в DMZ, но не может устанавливать никаких других соединений с локальными устройствами.
Самим маршрутизатором можно управлять только из «внутренней» сети - устройства в Интернете или в демилитаризованной зоне вообще не могут устанавливать управляющие соединения с маршрутизатором.
Все эти политики реализуются через состояние соединения. Правила прекрасно читаются на английском языке:
/ ip фильтр межсетевого экрана добавить цепочку = состояние входного соединения = установлено действие = принять добавить цепочку = состояние входного соединения = связанное действие = принять добавить цепочку = состояние входного соединения = недопустимое действие = сбросить добавить цепочку = ввод в интерфейсе = внутри действие = принять добавить цепочку = действие ввода = сбросить
Сначала разрешаются все пакеты в установленных и связанных соединениях.Затем все недопустимые пакеты отбрасываются. Затем пакеты, входящие через «внутренний» интерфейс, разрешаются - это позволяет хостам «внутренней» сети устанавливать соединения с маршрутизатором. Наконец, все пакеты, не соответствующие этим правилам, отбрасываются.
/ ip фильтр межсетевого экрана добавить цепочку = состояние прямого соединения = установлено действие = принять добавить цепочку = состояние прямого соединения = связанное действие = принять добавить цепочку = состояние прямого соединения = недопустимое действие = сбросить добавить цепочку = вперед в интерфейсе = внутри действие = принять добавить цепочку = вперед in-interface = dmz out-interface = external action = accept.Интерфейс командной строки
- RouterOS
Консоль используется для доступа к функциям настройки и управления MikroTik Router с помощью текстовых терминалов, либо удаленно с помощью последовательного порта, telnet, SSH, экрана консоли в WinBox, либо напрямую с помощью монитора и клавиатуры. Консоль также используется для написания скриптов. В этом руководстве описаны общие принципы работы консоли. Пожалуйста, обратитесь к Руководству по написанию сценариев, чтобы узнать о некоторых расширенных консольных командах и о том, как писать сценарии.
Параметры входа в консоль включают или отключают различные функции консоли, такие как цвет, обнаружение терминала и многие другие.
Дополнительные параметры входа могут быть добавлены к имени входа после знака «+».
имя_пользователя :: = имя_пользователя [параметры '+'] параметры :: = параметр [параметры] параметр :: = [число] 'a' .. 'z' число :: = '0' .. '9' [число]
Если параметр отсутствует, используется значение по умолчанию. Если номер не указан, используется неявное значение параметра.
Пример: admin + c80w - отключит цвета консоли и установит ширину терминала на 80.
| Param | По умолчанию | Неявно | Описание |
|---|---|---|---|
| "w" | auto | auto | Установить ширину терминала |
| "h" | auto | auto | Установить высоту терминала |
| "c" | вкл. | выкл. | отключить / включить цвета консоли |
| "t" | вкл. | выкл. | Сделать автоматическое определение возможностей терминала |
| "e" | вкл. | выкл. | Включает "тупой" режим терминала |
После проверки имени пользователя и пароля в процессе входа в систему будет отображаться баннер MikroTik и краткая справка.
МММ МММ KKK TTTTTTTTTTT KKK ММММ ММММ KKK TTTTTTTTTTT KKK МММ ММММ МММ III ККК ККК РРРРРР ОООООО ТТТ III ККК ККК МММ ММ МММ III ККККК РРР РРР ООО ТТТ III ККККК МММ МММ III ККК ККК РРРРРР ООО ООО ТТТ III ККК ККК МММ МММ III KKK KKK RRR RRR ОООООО ТТТ III KKK KKK MikroTik RouterOS 6.22 (c) 1999-2014 https: // www.mikrotik.com/ [?] Выдает список доступных команд command [?] Выдает справку по команде и список аргументов [Tab] Завершает команду / слово. Если ввод неоднозначен, вторая [Tab] дает возможные варианты / Перейти на базовый уровень .. Перейти на один уровень вверх / command Использовать команду на базовом уровне
После баннера может быть напечатана другая важная информация, такая как системная заметка , , установленная другим администратором, несколько последних критических сообщений журнала, напоминание об обновлении демонстрационной версии и описание конфигурации по умолчанию.
Например, выводится запрос на демонстрационную лицензию и последние критические сообщения
ОБНОВЛЕНИЕ ДЛЯ ПОЛНОЙ ПОДДЕРЖКИ ---------------------------- Преимущества ПОЛНОЙ ПОДДЕРЖКИ: - получить техническую поддержку - годовая поддержка функций - онлайн-обновления на один год (избегайте повторной установки и перенастройки роутера) Для обновления зарегистрируйте лицензионный «идентификатор ПО». на нашем сервере учетных записей www.mikrotik.com Текущая установка "ID программного обеспечения": ABCD-456 Пожалуйста, нажмите «Enter», чтобы продолжить! dec / 10/2007 10:40:06 система, ошибка, критический сбой входа в систему для пользователя root из 10.0.0.1 через телнет декабрь / 10/2007 10:40:07 система, ошибка, критический сбой входа в систему для пользователя root из 10.0.0.1 через telnet декабрь / 10/2007 10:40:09 система, ошибка, критический сбой входа в систему для пользовательского теста с 10.0.0.1 через telnet
В конце успешной последовательности входа в систему процесс входа в систему печатает баннер, показывает командную строку и передает управление пользователю.
Командная строка по умолчанию, состоит из имени пользователя, идентификатора системы и текущего пути к команде />
Например, измените текущий путь с корневого на интерфейс, а затем вернитесь к корневому каталогу
[admin @ MikroTik]> интерфейс [ввод] [админ @ MikroTik] / интерфейс> / [ввод] [админ @ MikroTik]>
Используйте стрелку вверх для вызова предыдущих команд из истории команд, TAB клавиша для автоматического завершения слов в набираемой вами команде, ENTER клавиша для выполнения команды, Control-C для прерывания текущей выполняющейся команды и возврата к приглашению и ? для отображения встроенной справки.
Самый простой способ выйти из консоли - нажать Control-D в командной строке, когда командная строка пуста (вы можете отменить текущую команду и получить пустую строку с помощью Control-C , поэтому Control- C , за которым следует Control-D , в большинстве случаев выйдет из системы).
Можно писать команды, состоящие из нескольких строк. Когда введенная строка не является полной командой и ожидается дополнительный ввод, консоль показывает приглашение продолжения, в котором перечислены все открытые круглые скобки, фигурные скобки, скобки и кавычки, а также обратная косая черта в конце, если предыдущая строка закончилась обратной косой чертой -white-space.
[admin @ MikroTik]> { {... :ставить (\ {(\ ... 1 + 2)} 3 Когда вы редактируете такую многострочную запись, подсказка показывает номер текущей строки и общее количество строк вместо обычного имени пользователя и имени системы.
строка 2 из 3>: put (\
Иногда команды запрашивают дополнительный ввод от пользователя. Например, команда « / пароль » запрашивает старый и новый пароли. В таких случаях подсказка показывает имя запрошенного значения, затем следует двоеточие и пробел.
[admin @ MikroTik]> / пароль Прежний пароль: ****** Новый пароль: ********** повторно введите новый пароль: **********
Консоль позволяет настраивать параметры маршрутизатора с помощью текстовых команд. Поскольку имеется много доступных команд, они разбиты на группы, организованные в виде иерархических уровней меню. Название уровня меню отражает информацию о конфигурации, доступную в соответствующем разделе.
Например, вы можете выполнить команду / ip route print :
[admin @ MikroTik]> / ip route print Флаги: D - динамические; X - отключен, I - неактивен, A - активен; C - подключить, S - статический, r - рип, b - bgp, o - ospf, d - dhcp, v - vpn # DST-ADDRESS GATEWAY DISTANCE 0 XS 4.4.4.4 10.155.101.1 Д о 0.0.0.0/0 10.155.101.1 110 1 AS 0.0.0.0/0 10.155.101.1 1 D б 1.0.4.0/24 10.155.101.1 20 D б 1.0.4.0/24 10.155.101.1 20 DAb 1.0.4.0/24 10.155.101.1 20 [админ @ MikroTik]>
Вместо того, чтобы вводить путь «/ ip route» перед каждой командой, путь можно вводить только один раз, чтобы перейти в эту конкретную ветвь иерархии меню. Таким образом, приведенный выше пример также может быть выполнен так:
[admin @ MikroTik]> / ip route [admin @ MikroTik] / ip / route> печать Флаги: D - динамические; X - отключен, I - неактивен, A - активен; C - подключить, S - статический, r - рип, b - bgp, o - ospf, d - dhcp, v - vpn # DST-ADDRESS GATEWAY DISTANCE 0 XS 4.4.4.4 10.155.101.1 Д о 0.0.0.0/0 10.155.101.1 110 1 AS 0.0.0.0/0 10.155.101.1 1 D б 1.0.4.0/24 10.155.101.1 20 D б 1.0.4.0/24 10.155.101.1 20 DAb 1.0.4.0/24 10.155.101.1 20 [админ @ MikroTik]>
Каждое слово в пути можно разделить пробелом (как в примере выше) или "/"
[админ @ MikroTik]> / ip / route / [admin @ MikroTik] / ip / route> печать Флаги: D - динамические; X - отключен, I - неактивен, A - активен; C - подключить, S - статический, r - рип, b - bgp, o - ospf, d - dhcp, v - vpn # DST-ADDRESS GATEWAY DISTANCE 0 XS 4.4.4.4 10.155.101.1 Д о 0.0.0.0/0 10.155.101.1 110 1 AS 0.0.0.0/0 10.155.101.1 1 D б 1.0.4.0/24 10.155.101.1 20 D б 1.0.4.0/24 10.155.101.1 20 DAb 1.0.4.0/24 10.155.101.1 20 [админ @ MikroTik]>
Обратите внимание, что приглашение изменяется, чтобы отразить, где вы находитесь в иерархии меню в данный момент. Чтобы снова перейти на верхний уровень, введите "/"
[admin @ MikroTik]> IP-маршрут [admin @ MikroTik] / ip / route> / [админ @ MikroTik]>
Чтобы перейти на один командный уровень вверх, введите ".. «
[admin @ MikroTik] / ip / route> .. [admin @ MikroTik] / ip>
Вы также можете использовать / и .. для выполнения команд из других уровней меню без изменения текущего уровня:
[админ @ MikroTik] / IP / маршрут> / пинг 10.0.0.1 10.0.0.1 тайм-аут ping 2 пакета передано, 0 пакетов получено, 100% потеря пакетов [admin @ MikroTik] / ip / firewall / nat> .. печать служебного порта Флаги: X - отключено, I - недопустимо # ИМЯ ПОРТОВ 0 ftp 21 1 тфтп 69 2 irc 6667 3 ч423 4 глотка 5 п.п. [admin @ MikroTik] / ip / firewall / nat>
Многие уровни команд работают с массивами элементов: интерфейсы, маршруты, пользователи и т. Д.Такие массивы отображаются в списках, выглядящих одинаково. Все элементы в списке имеют номер элемента, за которым следуют флаги и значения параметров.
Чтобы изменить свойства элемента, вы должны использовать команду set и указать имя или номер элемента.
Имена элементов
В некоторых списках есть элементы с определенными именами, присвоенными каждому из них. Примерами являются уровни интерфейса или пользователя. Здесь вы можете использовать имена элементов вместо номеров элементов.
Вам не нужно использовать команду печати перед доступом к элементам по их именам, которые, в отличие от номеров, не назначаются внутренней консолью, а являются свойствами элементов.Таким образом, они бы не изменились сами по себе. Однако возможны всевозможные непонятные ситуации, когда несколько пользователей меняют конфигурацию маршрутизатора одновременно. Как правило, имена элементов более «стабильны», чем числа, а также более информативны, поэтому при написании скриптов консоли вам следует предпочесть их числам.
Номера позиций
Номера позиций назначаются командой печати и не являются постоянными - возможно, что две последовательные команды печати будут упорядочивать позиции по-разному.Но результаты последних команд печати запоминаются, и, таким образом, после назначения номера элементов можно использовать даже после операций добавления, удаления и перемещения (начиная с версии 3 операция перемещения не меняет нумерацию элементов). Номера позиций назначаются для каждого сеанса, они останутся такими же, пока вы не выйдете из консоли или пока не будет выполнена следующая команда печати. Кроме того, номера назначаются отдельно для каждого списка элементов, поэтому ip address print не изменит нумерацию списка интерфейсов.
Вы можете указать несколько элементов в качестве целей для некоторых команд.Практически везде, где можно написать номер предмета, также можно написать список номеров.
[admin @ MikroTik]> печать интерфейса Флаги: X - отключен, D - динамический, R - работает # ИМЯ ТИП MTU 0 R эфир1 эфир 1500 1 R эфир 2 эфир 1500 2 R эфир 3 эфир 1500 3 R эфир4 эфир 1500 [admin @ MikroTik]> интерфейс установлен 0,1,2 mtu = 1460 [admin @ MikroTik]> печать интерфейса Флаги: X - отключен, D - динамический, R - работает № NAM.
