MikroTik: Základní nastavení routeru

23.12.2016 napsal Hanz (update: 30.11.2018)
5

MikroTik: Základní nastavení routeru


mikrotik-zakladni-nastaveni

Modelová situace: Chceme MikroTik router nastavit pro místní LAN 192.168.25.0/24 s porty 2 - 4 v bridgi, port 1 poslouží jako WAN (10.0.0.139) a brána bude 10.0.0.138. Nastavíme NAT maškarádu, DHCP server s poolem 100-200 a základní firewall pravidla.


Jako první provedeme úplný reset routeru = System - Reset configuration - No default config - Reset

Interfaces
- okomentujeme si jednotlivá rozhraní kvůli přehlednosti
- nastavíme port 1 jak WAN
- nastavíme porty 2-4 jako bridge
-- Bridge - Add bridge1
-- Bridge - Add ports (2,3,4)

IP – adresses
- přidáme rozsah 192.168.25.1/24 na int bridge
-- Add - Address: 192.168.25.1/24, Network: 192.168.25.0, iface: bridge1
-- PS: Na tika se pak tedy dostaneme přes IP 192.168.25.1

- přidáme na WAN port síť 10.0.0.139/24 // network 10.0.0.0
-- Add - Address: 10.0.0.139/24, Network: 10.0.0.0, iface: ether1
-- PS: Pokud bude na WANu dynamická IP (DHCP client Add), tak WAN adresu nenastavujeme

IP - Routes (routa na bránu)
- nastavíme default routu na bránu
-- Add - Dst. address: 0.0.0.0/0, Gateway: 10.0.0.138
PS: Pokud bysme měli dynamickou IP na WANu (DHCP client Add), tak routu není třeba nastavovat

IP - DNS
- nastavíme DNS servery
-- Add - Servers: 10.0.0.138, 8.8.8.8
-- zaškrtneme Allow remote requests

IP - DHCP
- nastavíme DHCP server
-- DHCP setup - Iface: Bridge
-- DHCP Address Space: 192.168.25.0/24
-- Gateway + DHCP Relay: 192.168.25.254
-- Addresses to Give Out: 192.168.25.100-192.168.25.200
-- DNS servers: 10.0.0.138, 8.8.8.8, Lease Time: 1d 00:00:00

IP - Firewall
- nastavíme NAT maškarádu
-- NAT - Add - srcnat - Src. Address 192.168.25.0/24 -> action masquerade

- provedeme zakázání DNS requestu zvenku, SSH a HTTP
-- Add - Chain: Input, Proto: UDP, Dst.Port: 53, In.Iface: ether1, Action: Drop
-- Add - Chain: Input, Proto: TCP, Dst.Port: 22, In.Iface: ether1, Action: Drop
-- Add - Chain: Input, Proto: TCP, Dst.Port: 80, In.Iface: ether1, Action: Drop

- zakážeme všechny servisní porty, které nepotřebujeme
-- IP service ports - doporučuji ponechat jen ssh+winbox a změnit jejich porty

System
- nastavíme heslo k routeru
System - Password

Nastavení wifi
Wireless:
- Interfaces - wlan1 - povolit
- Mode ap_bridge
- SSID name
Security profiles - Add:
- Mode dynamic keys
- Authentication types - WPA2 PSK
- nastavit WPA2 Pre-Shared Key (heslo k wifi)

Důležité


Pravidelně kontrolujte aktualizace balíčků a routerboardu!!!
1.) System - Packages - Check for updates
2.) System - Routerboard - Upgrade

Doplnění


System - SNTP client - 192.113.144.201 + 147.228.57.10
System - Identity (nastavte vaše pojmenování routeru)

Vaše reakce na článek MikroTik: Základní nastavení routeru

Napsat komentář k článku

26.02.2017 napsal komentář Karlos [1]

Ahoj,
díky za článek, mám ale dotaz zda nevíte čím může být způsobeno toto chování na MikroTiku:
V PC otevřu dvě okna příkazové řádky a z obou dám ping -t na libovolnou veřejnou přes mikrotik)
vždy střídavě odpovídá ping pouze v jednom okně - po cca 5ti ping se rozběhne druhé a prví zastaví (Request timed out) stále dokola. Stejně i přímo ping na Tik. Ostatní vnitřní adresy v poho. Před instalací Mikrotiku jsem toto nepozoroval. Díky

27.02.2017 napsal komentář Hanz [2]

Ahoj, a jak to vypadá, když dáš tracert či pathping? A co ping na různé lokální adresy?

27.02.2017 napsal komentář Karlos [3]

Ahoj, jak jsem psal, na lokální adresy můžu pingat z více oken bez výpadků. Tedy vyjma lokální adresy routeru, to je stejné jako ven.
Co se týká trasování v pingpath, nevidím problém - statistika ale průšvih.

Zkusil jsem tedy i pathping na mikrotik:
------------------------------------------
C:\Users&gt;<code>pathping 192.168.1.1</code>

Tracing route to router [192.168.1.1]
over a maximum of 30 hops:
0 KarlosPC.hruska.mojedomena.cz [192.168.1.74]
1 router [192.168.1.1]

Computing statistics for 25 seconds...
Source to Here This Node/Link
Hop RTT Lost/Sent = Pct Lost/Sent = Pct Address
0 KarlosPC.hruska.mojedomena.cz [192.168.1.74]
70/ 100 = 70% |
1 0ms 70/ 100 = 70% 0/ 100 = 0% router [192.168.1.1]

Trace complete.
------------------------------------------
A takto to vypadá, když mi běží v jiném okně další ping:
------------------------------------------
C:\Users&gt;<code>pathping 192.168.1.1</code>

Tracing route to router [192.168.1.1]
over a maximum of 30 hops:
0 KarlosPC.hruska.mojedomena.cz [192.168.1.74]
1 router [192.168.1.1]

Computing statistics for 25 seconds...
Source to Here This Node/Link
Hop RTT Lost/Sent = Pct Lost/Sent = Pct Address
0 KarlosPC.hruska.mojedomena.cz [192.168.1.74]
88/ 100 = 88% |
1 0ms 88/ 100 = 88% 0/ 100 = 0% router [192.168.1.1]

Trace complete.
------------------------------------------
U jiných lokálních adres je ztráta nulová.

Díky.

28.02.2017 napsal komentář OL3G [4]

Také mě nic nenapadá, když u toho nejsem. Možné příčiny:
- vadný router
- vypnout všechny firewall pravidla
- nějaká ip kolize
- sledovat podrobně provoz pomocí wiresharku
- znovu nastavit router, případně zkusit default konfiguraci
- nějaká smyčka - fyzická kontrola portů a jejich nastavení
- další....

03.04.2017 napsal komentář Suppí [5]

Ahoj, tak jsem právě něco hodně podělal na mém novém routeru Mikrotik hAP-lite. Mačkám tlačítko reset a nejde to resetnout. Poradíte někdo jak udělat reset mikrotika? Díky

03.04.2017 napsal komentář Hanz [6]

Ahoj, musíš MikroTik vypnout a při bootu držet tlačítko reset po dobu 5 vteřin, pak LED lehce probliknou. 10 vteřin už je moc, to je zase jiná funkce.

07.06.2017 napsal komentář Blek [7]

Ahoj,
Potřeboval bych radu, u toho když si nastavím dle návodu tika, a dám si více než jeden rozsah IP pro lokal a více bridgů ztroskotám na IP&gt;firewall&gt;NAT&gt;ADD&gt; SRC.Address
Víc než jeden bridge a jeden rozsah pro lokální sít nedám.
Můžete mi poradit? Díky.

08.06.2017 napsal komentář OL3G [8]

Ahoj,

no a co zkusit pro další síť na mikrotiku třeba 10.10.10.0 na port 2 postupovat takto:

IP – Addresses – Add – Address 10.10.10.1/254 / Network 10.10.10.0 / Interface ether2
IP – Firewall – NAT – Add – Chain srcnat – Src. Address 10.10.10.0/24 – Action masquerade
IP – DHCP server – DHCP setup – Interface 2 a zbytek proklikat
IP - Routes - přidat routu

13.09.2017 napsal komentář Libor [9]

Dobrý den, mám problém s Mikrotikem v modu bridge, následně připojeným na switch, odkud je dále rozvedena celá naše domácí síť. Po pár hodinách nečinnosti ethernetových portů, přestane LAN port na Mikrotiku fungovat. Funguje jen wifi (internet je zapojen do 1. LAN portu). Když ráno zapnu PC, ukazuje mi, že síťový kabel byl odpojen a já musím fyzicky odpojit a znovu zapojit LAN kabel na Mikrotiku, aby LAN port začal opět fungovat. Děkuji moc za radu.

13.09.2017 napsal komentář Rusty [10]

Dobrý den, opravdu je velmi těžké něco poradit bez konkrétních informací a hlavně bez znalosti Vaší konfigurace routeru. Zkuste se jako první podívat do logu, v mikrotiku se loguje hodně věcí už v základu a pak napište. S takovým problémem jsem se zatím nesetkal - může jít o hw i sw poruchu.

16.09.2017 napsal komentář Libor [11]

Děkuji za odpověď, momentálně jsem mimo ČR, do logu se tedy nedostanu. Každopádně jsme vyzkoušeli vyměnit router za jiný - také MikroTik a problém přetrvává. Napadá mě už pouze vadný switch. Kabely mám změřené, to můžu vyloučit.

03.03.2018 napsal komentář Aneta [12]

Ahoj mám router hAPlite microtik a chtěla bych změnit heslo ale nějak mi to nejde..:-D

04.03.2018 napsal komentář Rusty [13]

Ahoj,

stáhnout winbox, připojit se a v části System - Password nastavit nové heslo.

10.07.2018 napsal komentář Lenka [14]

Ahoj, mohl by mi prosím někdo poradit v čem je problém u vypadávání wi-fi:

23:25:37 ...................@wlan1:connected, signal strenght -59
23:27:06 ..................@wlan1:disconnected, received deauth: unspecified(1)

a to se někdy stává opakovaně.

06.12.2018 napsal komentář Hafajs [15]

Zdravim všechny. Potrebuji radu s nastavenim FW. Eth1 mam pripojeny do LAN, která je jakoby Internet. Na Eth2 a 3 mam dve samostatne oddelene LAN. Kazda ma svůj rozsah IP, vzajemne se nevidi, ale obe vidi tu LAN, co představuje Internet. V okolnich pocitacich sice zadne zdroje nejsou, ale po zadani \\IP se da dostat ke sdilenym prostredkum v "Internetu". Jake pravidlo by toto poresilo?
Diky fest

06.12.2018 napsal komentář OL3G [16]

Ahoj, to podle mě nevyřešíš (jednoduše) na tom mikrotiku, ale na routeru nad ním, kde bys např. nastavil ve firewallu nějaké dropy na portu, kam je připojen ten mikrotik pod ním (jako níže).

Kdybys řešil blokaci přístupů mezi eth2 a eth3, tak to bys přidal jen v mikrotiku pravidlo:
Chain: forward
In. Interface: eth2
Out. Interface: eth3
Action: drop

a to samé obráceně
Chain: forward
In. Interface: eth3
Out. Interface: eth2
Action: drop

Na ten router nad mikrotikem přístup nemáš?

06.12.2018 napsal komentář Hafajs [17]

Mam, ale asi jsem to spatne popsal.
Mam LAN 10.0.0.x pripojenou do Internetu. V této LAN mam Mikrotik pripojeny Eth1.
Z MK na Eth2 mi leze LAN2 (192.168.10.x) a z Eth3 LAN3 (192.168.20.x). LAN2 a LAN3 na sebe nevidi, to je OK. Ale z LAN2 i z LAN3 když zadam \\10.0.0.5, tak mi nabidne sdilene prostredny na PC s touto IP. LAN je pro LAN2 a LAN3 jen "Internetem". Nechci ji mit viditelnou pro tyto "podsite".

06.12.2018 napsal komentář OL3G [18]

Ahoj,

mám pro Tebe ověřené řešení, teď jsem to zkoušel:

/ip firewall address-list
add address=10.0.0.0/24 list=blokovat

/ip firewall filter
add action=drop chain=forward dst-address-list=blokovat

Pokud by Ti to náhodou zařízlo celou cestu "až do internetu" přes ten blokovaný rozsah (u mě se to nestalo), tak si udělej ještě další address-list "povoleno", tam přidej IP routeru nad tím třeba 10.0.0.1 atd a ve firewallu přidej před tu blokaci (drop) ještě accept pravidlo:

/ip firewall filter
add action=accept chain=forward dst-address-list=povoleno

Poslední komentář
07.12.2018 napsal komentář Hafajs [19]

Diky, vyzkousim. Pokousel jsem se pravidlem "dropni všechno z Eth2 na Eth1, co není brana" ale tim se zaříznul i Internet. Zatím to mam tak, ze mam pro LAN2 i 3 dve pravidla, která rikaji "dropni všechno od 10.0.0.1-10.0.0.137 (138 je brana) a druhé pravidlo dropne 10.0.0.139-10.0.0.254. Funguje to, ale elegantni mi to neprijde.

Tento web používá k poskytování služeb, personalizaci reklam a analýze návštěvnosti soubory cookie. Používáním tohoto webu s tím souhlasíte. Další informace