MikroTik: Základní nastavení routeru

Autor Hanz
Publikováno 23.12.2016 (update: 30.03.2020)
Kategorie Článek
Modelová situace: Chceme MikroTik router nastavit pro místní LAN 192.168.25.0/24 s porty 2 - 4 v bridgi, port 1 poslouží jako WAN (10.0.0.139) a brána bude 10.0.0.138. Nastavíme NAT maškarádu, DHCP server s poolem 100-200 a základní firewall pravidla.


Jako první provedeme úplný reset routeru = System - Reset configuration - No default config - Reset

Interfaces
- okomentujeme si jednotlivá rozhraní kvůli přehlednosti
- nastavíme port 1 jak WAN
- nastavíme porty 2-4 jako bridge
-- Bridge - Add bridge1
-- Bridge - Add ports (2,3,4)

IP – adresses
- přidáme rozsah 192.168.25.1/24 na int bridge
-- Add - Address: 192.168.25.1/24, Network: 192.168.25.0, iface: bridge1
-- PS: Na tika se pak tedy dostaneme přes IP 192.168.25.1

- přidáme na WAN port síť 10.0.0.139/24 // network 10.0.0.0
-- Add - Address: 10.0.0.139/24, Network: 10.0.0.0, iface: ether1
-- PS: Pokud bude na WANu dynamická IP (DHCP client Add), tak WAN adresu nenastavujeme

IP - Routes (routa na bránu)
- nastavíme default routu na bránu
-- Add - Dst. address: 0.0.0.0/0, Gateway: 10.0.0.138
PS: Pokud bysme měli dynamickou IP na WANu (DHCP client Add), tak routu není třeba nastavovat

IP - DNS
- nastavíme DNS servery
-- Add - Servers: 10.0.0.138, 8.8.8.8
-- zaškrtneme Allow remote requests

IP - DHCP
- nastavíme DHCP server
-- DHCP setup - Iface: Bridge
-- DHCP Address Space: 192.168.25.0/24
-- Gateway + DHCP Relay: 192.168.25.254
-- Addresses to Give Out: 192.168.25.100-192.168.25.200
-- DNS servers: 10.0.0.138, 8.8.8.8, Lease Time: 1d 00:00:00

IP - Firewall
- nastavíme NAT maškarádu
-- NAT - Add - srcnat - Src. Address 192.168.25.0/24 -> action masquerade

- provedeme zakázání DNS requestu zvenku, SSH a HTTP
-- Add - Chain: Input, Proto: UDP, Dst.Port: 53, In.Iface: ether1, Action: Drop
-- Add - Chain: Input, Proto: TCP, Dst.Port: 22, In.Iface: ether1, Action: Drop
-- Add - Chain: Input, Proto: TCP, Dst.Port: 80, In.Iface: ether1, Action: Drop

- zakážeme všechny servisní porty, které nepotřebujeme
-- IP service ports - doporučuji ponechat jen ssh+winbox a změnit jejich porty

System
- nastavíme heslo k routeru
System - Password

Nastavení wifi
Wireless:
- Interfaces - wlan1 - povolit
- Mode ap_bridge
- SSID name
Security profiles - Add:
- Mode dynamic keys
- Authentication types - WPA2 PSK
- nastavit WPA2 Pre-Shared Key (heslo k wifi)

Důležité


Pravidelně kontrolujte aktualizace balíčků a routerboardu!!!
1.) System - Packages - Check for updates
2.) System - Routerboard - Upgrade

Doplnění


System - SNTP client - 192.113.144.201 + 147.228.57.10
System - Identity (nastavte vaše pojmenování routeru)

mikrotik-zakladni-nastaveni


106

The English language is translated by machine - the translator can modify eg cited codes = it is better to use codes from the Czech original.

MikroTik: Basic router settings

Model situation: We want to set up MikroTik router for local LAN 192.168.25.0/24 with ports 2-4 in bridge, port 1 serves as WAN ( 10.0.0.139) and the gateway will be 10.0.0.138. We set up NAT masquerade, DHCP server with 100-200 pool and basic firewall rules.


First we will perform a full router reset = System - Reset configuration - No default config - Reset

Interfaces
- comment on individual interfaces for clarity
- set port 1 as WAN
- set ports 2-4 as bridge
- Bridge - Add bridge1
- Bridge - Add ports (2,3,4)

IP-addresses
- we add the range 192.168.25.1/24 to the int bridge
- Add - Address: 192.168.25.1, Network: 192.168.25.0, iface: bridge1
- PS: Then we get to tic via IP 192.168.25.1

- add 10.0.0.139/24 // network 10.0.0.0 to the WAN port
- Add - Address: 10.0.0.139, Network: 10.0.0.0, iface: ether1
- PS: If there is a dynamic IP (DHCP client Add) on the WAN, we do not set the WAN address

IP - Routes
- set the default routing to the gateway
- Add - Dst. address: 0.0.0.0/0, Gateway: 10.0.0.138
PS: If we have a dynamic IP on WAN (DHCP client Add), the router does not need to be configured

IP-DNS
- set DNS servers
- Add-Servers: 10.0.0.138, 8.8.8.8
- check Allow remote requests

IP-DHCP
- set the DHCP server
- DHCP setup - Iface: Bridge
- DHCP Address Space: 192.168.25.0/24
- Gateway + DHCP Relay: 192.168.25.254
- Addresses to Give Out: 192.168.25.100-192.168.25.200
- DNS servers: 10.0.0.138, 8.8.8.8, Lease Time: 1d 00:00:00

IP-Firewall
- set NAT masquerade
- NAT - Add - srcnat - Src. Address 192.168.25.0/24 -> action masquerade

- disable DNS request from outside, SSH and HTTP
- Add-Chain: Input, Hence: UDP, Dst.Port: 53, In.Iface: ether1, Action: Drop
- Add-Chain: Input, Hence: TCP, Dst.Port: 22, In.Iface: ether1, Action: Drop
- Add-Chain: Input, Hence: TCP, Dst.Port: 80, In.Iface: ether1, Action: Drop

- disable all service ports that we do not need
- IP service ports - I recommend leaving only ssh + winbox and changing their ports

System
- set the router password
System-Password

Wifi settings
Wireless:
- Interfaces - wlan1 - enable
- Mode ap_bridge
- SSID name
Security Profiles - Add:
- Mode dynamic keys
- Authentication types - WPA2 PSK
- set WPA2 Pre-Shared Key

Important


Check your package and routerboard for updates regularly !!!
1.) System - Packages - Check for updates
2.) System - Routerboard - Upgrade

Additions


System - SNTP client - 192.113.144.21 + 147.228.57.10
System - Identity (set your router name)

mikrotik-zakladni-nastaveni
Před 5 lety napsal komentář Karlos [1]
Ahoj,
díky za článek, mám ale dotaz zda nevíte čím může být způsobeno toto chování na MikroTiku:
V PC otevřu dvě okna příkazové řádky a z obou dám ping -t na libovolnou veřejnou přes mikrotik)
vždy střídavě odpovídá ping pouze v jednom okně - po cca 5ti ping se rozběhne druhé a prví zastaví (Request timed out) stále dokola. Stejně i přímo ping na Tik. Ostatní vnitřní adresy v poho. Před instalací Mikrotiku jsem toto nepozoroval. Díky
Před 5 lety napsal komentář Hanz [2]
Ahoj, a jak to vypadá, když dáš tracert či pathping? A co ping na různé lokální adresy?
Před 5 lety napsal komentář Karlos [3]
Ahoj, jak jsem psal, na lokální adresy můžu pingat z více oken bez výpadků. Tedy vyjma lokální adresy routeru, to je stejné jako ven.
Co se týká trasování v pingpath, nevidím problém - statistika ale průšvih.

Zkusil jsem tedy i pathping na mikrotik:
------------------------------------------
C:\Users&gt;<code>pathping 192.168.1.1</code>

Tracing route to router [192.168.1.1]
over a maximum of 30 hops:
0 KarlosPC.hruska.mojedomena.cz [192.168.1.74]
1 router [192.168.1.1]

Computing statistics for 25 seconds...
Source to Here This Node/Link
Hop RTT Lost/Sent = Pct Lost/Sent = Pct Address
0 KarlosPC.hruska.mojedomena.cz [192.168.1.74]
70/ 100 = 70% |
1 0ms 70/ 100 = 70% 0/ 100 = 0% router [192.168.1.1]

Trace complete.
------------------------------------------
A takto to vypadá, když mi běží v jiném okně další ping:
------------------------------------------
C:\Users&gt;<code>pathping 192.168.1.1</code>

Tracing route to router [192.168.1.1]
over a maximum of 30 hops:
0 KarlosPC.hruska.mojedomena.cz [192.168.1.74]
1 router [192.168.1.1]

Computing statistics for 25 seconds...
Source to Here This Node/Link
Hop RTT Lost/Sent = Pct Lost/Sent = Pct Address
0 KarlosPC.hruska.mojedomena.cz [192.168.1.74]
88/ 100 = 88% |
1 0ms 88/ 100 = 88% 0/ 100 = 0% router [192.168.1.1]

Trace complete.
------------------------------------------
U jiných lokálních adres je ztráta nulová.

Díky.
Před 5 lety napsal komentář OL3G [4]
Také mě nic nenapadá, když u toho nejsem. Možné příčiny:
- vadný router
- vypnout všechny firewall pravidla
- nějaká ip kolize
- sledovat podrobně provoz pomocí wiresharku
- znovu nastavit router, případně zkusit default konfiguraci
- nějaká smyčka - fyzická kontrola portů a jejich nastavení
- další....
Před 5 lety napsal komentář Suppí [5]
Ahoj, tak jsem právě něco hodně podělal na mém novém routeru Mikrotik hAP-lite. Mačkám tlačítko reset a nejde to resetnout. Poradíte někdo jak udělat reset mikrotika? Díky
Před 5 lety napsal komentář Hanz [6]
Ahoj, musíš MikroTik vypnout a při bootu držet tlačítko reset po dobu 5 vteřin, pak LED lehce probliknou. 10 vteřin už je moc, to je zase jiná funkce.
Před 5 lety napsal komentář Blek [7]
Ahoj,
Potřeboval bych radu, u toho když si nastavím dle návodu tika, a dám si více než jeden rozsah IP pro lokal a více bridgů ztroskotám na IP&gt;firewall&gt;NAT&gt;ADD&gt; SRC.Address
Víc než jeden bridge a jeden rozsah pro lokální sít nedám.
Můžete mi poradit? Díky.
Před 5 lety napsal komentář OL3G [8]
Ahoj,

no a co zkusit pro další síť na mikrotiku třeba 10.10.10.0 na port 2 postupovat takto:

IP – Addresses – Add – Address 10.10.10.1/254 / Network 10.10.10.0 / Interface ether2
IP – Firewall – NAT – Add – Chain srcnat – Src. Address 10.10.10.0/24 – Action masquerade
IP – DHCP server – DHCP setup – Interface 2 a zbytek proklikat
IP - Routes - přidat routu
Před 4 lety napsal komentář Libor [9]
Dobrý den, mám problém s Mikrotikem v modu bridge, následně připojeným na switch, odkud je dále rozvedena celá naše domácí síť. Po pár hodinách nečinnosti ethernetových portů, přestane LAN port na Mikrotiku fungovat. Funguje jen wifi (internet je zapojen do 1. LAN portu). Když ráno zapnu PC, ukazuje mi, že síťový kabel byl odpojen a já musím fyzicky odpojit a znovu zapojit LAN kabel na Mikrotiku, aby LAN port začal opět fungovat. Děkuji moc za radu.
Před 4 lety napsal komentář Rusty [10]
Dobrý den, opravdu je velmi těžké něco poradit bez konkrétních informací a hlavně bez znalosti Vaší konfigurace routeru. Zkuste se jako první podívat do logu, v mikrotiku se loguje hodně věcí už v základu a pak napište. S takovým problémem jsem se zatím nesetkal - může jít o hw i sw poruchu.
Před 4 lety napsal komentář Libor [11]
Děkuji za odpověď, momentálně jsem mimo ČR, do logu se tedy nedostanu. Každopádně jsme vyzkoušeli vyměnit router za jiný - také MikroTik a problém přetrvává. Napadá mě už pouze vadný switch. Kabely mám změřené, to můžu vyloučit.
Před 4 lety napsal komentář Aneta [12]
Ahoj mám router hAPlite microtik a chtěla bych změnit heslo ale nějak mi to nejde..:-D
Před 4 lety napsal komentář Rusty [13]
Ahoj,

stáhnout winbox, připojit se a v části System - Password nastavit nové heslo.
Před 4 lety napsal komentář Lenka [14]
Ahoj, mohl by mi prosím někdo poradit v čem je problém u vypadávání wi-fi:

23:25:37 ...................@wlan1:connected, signal strenght -59
23:27:06 ..................@wlan1:disconnected, received deauth: unspecified(1)

a to se někdy stává opakovaně.
Před 3 lety napsal komentář Hafajs [15]
Zdravim všechny. Potrebuji radu s nastavenim FW. Eth1 mam pripojeny do LAN, která je jakoby Internet. Na Eth2 a 3 mam dve samostatne oddelene LAN. Kazda ma svůj rozsah IP, vzajemne se nevidi, ale obe vidi tu LAN, co představuje Internet. V okolnich pocitacich sice zadne zdroje nejsou, ale po zadani \\IP se da dostat ke sdilenym prostredkum v "Internetu". Jake pravidlo by toto poresilo?
Diky fest
Před 3 lety napsal komentář OL3G [16]
Ahoj, to podle mě nevyřešíš (jednoduše) na tom mikrotiku, ale na routeru nad ním, kde bys např. nastavil ve firewallu nějaké dropy na portu, kam je připojen ten mikrotik pod ním (jako níže).

Kdybys řešil blokaci přístupů mezi eth2 a eth3, tak to bys přidal jen v mikrotiku pravidlo:
Chain: forward
In. Interface: eth2
Out. Interface: eth3
Action: drop

a to samé obráceně
Chain: forward
In. Interface: eth3
Out. Interface: eth2
Action: drop

Na ten router nad mikrotikem přístup nemáš?
Před 3 lety napsal komentář Hafajs [17]
Mam, ale asi jsem to spatne popsal.
Mam LAN 10.0.0.x pripojenou do Internetu. V této LAN mam Mikrotik pripojeny Eth1.
Z MK na Eth2 mi leze LAN2 (192.168.10.x) a z Eth3 LAN3 (192.168.20.x). LAN2 a LAN3 na sebe nevidi, to je OK. Ale z LAN2 i z LAN3 když zadam \\10.0.0.5, tak mi nabidne sdilene prostredny na PC s touto IP. LAN je pro LAN2 a LAN3 jen "Internetem". Nechci ji mit viditelnou pro tyto "podsite".
Před 3 lety napsal komentář OL3G [18]
Ahoj,

mám pro Tebe ověřené řešení, teď jsem to zkoušel:

/ip firewall address-list
add address=10.0.0.0/24 list=blokovat

/ip firewall filter
add action=drop chain=forward dst-address-list=blokovat

Pokud by Ti to náhodou zařízlo celou cestu "až do internetu" přes ten blokovaný rozsah (u mě se to nestalo), tak si udělej ještě další address-list "povoleno", tam přidej IP routeru nad tím třeba 10.0.0.1 atd a ve firewallu přidej před tu blokaci (drop) ještě accept pravidlo:

/ip firewall filter
add action=accept chain=forward dst-address-list=povoleno
Před 3 lety napsal komentář Hafajs [19]
Diky, vyzkousim. Pokousel jsem se pravidlem "dropni všechno z Eth2 na Eth1, co není brana" ale tim se zaříznul i Internet. Zatím to mam tak, ze mam pro LAN2 i 3 dve pravidla, která rikaji "dropni všechno od 10.0.0.1-10.0.0.137 (138 je brana) a druhé pravidlo dropne 10.0.0.139-10.0.0.254. Funguje to, ale elegantni mi to neprijde.
Před 2 lety napsal komentář Václav [20]
Nemá být v tomto modelu nat nastaven na Address: 10.0.0.139/24, Network: 10.0.0.0, iface: ether1 jako vstu do internetu?
Poslední komentář
Před 2 lety napsal komentář Pavel [21]
Lze nějakým pravidlem blokovat připojení do MT z WAN pomocí WINBOXu ?
Ne po IP, ale přes MAC.
I když dám na první řádek FW
add action=drop chain=input in-interface=ether1
tak se to tam dobouchá ....

děkuji
Tento web používá soubory cookie. Dalším procházením tohoto webu vyjadřujete souhlas s jejich používáním.. Více informací zde.