Настройки приведены на примере сети видеонаблюдения нашей организации для MikroTik RB750Gr3.
Постановка задачи: необходимо настроить подключение локальной сети к интернету для работы спец. ПО и пользователей, а так же открыть порты для круглосуточной передачи изображения с видеокамер через внешний статический IP адрес.
Освоить MikroTik Вы можете с помощью онлайн-куса «Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.
Схема подключения маршрутизатора MikroTik ниже.
Доступ к маршрутизатору.
Доступ осуществим через ПО WinBox для Windows. Предварительно скачиваем WinBox с официального сайта.
В первый порт, подписанный как Internet, включаем провод внешней сети (от оптического конвертера), во второй порт подключаем ПК или ноут-бук, с которого будем работать, подключаем провод питания. Питание от адаптера 24В 800мА.
Подключаем ответную часть патч-корда в сетевую карту ПК. В настройках TCP/IP указываем адрес в одном диапазоне с роутером. Обычно у MikrоTik ip-адрес 192.168.88.1.
Запускаем WinBox, подключаемся к роутеру по ip-адресу.
Можно подключиться по MAC-адресу. Переписываем его с коробки в поле вместо ip-адреса и нажимаем – Connect.
На вкладке Neighbors можно увидеть все доступные в сети роутеры микротик.
Перед началом выполнения настроек, желательно обновиться до последней версии прошивки. В новых прошивках, как правило, устранены известные проблемы.
После соединения, в главном меню выбираем New Terminal и смотрим версию прошивки. В данном случае видим 6.42.7.
Переходим на страницу загрузок официального сайта. Находим нужный нам роутер по названию, в нашем случае RB750Gr3. Выбираем версию прошивки Current (текущая) либо Stable (стабильная). Изменения на сайте происходят довольно часто и расположение как на скриншоте ниже может быть другим. Скачиваем из строчки с надписью Main package. Файл прошивки называется в моем случае routeros-mmips-6.43.npk
Открываем место, куда мы сохранили прошивку и перетягиваем её в окно MikroTik.
Появится сообщение о загрузке файла.
Перезагружаем роутер: System >> Reboot.
Подтверждаем перезагрузку и ждем примерно 1-2 мин.
После перезагрузки снова подключаемся к роутеру, запускаем терминал и проверяем версию прошивки. Она изменилась на 6.43.
Удаляем конфигурацию, настроенную по умолчанию. 
Нужно помнить, что удаляя базовые настройки, удалятся параметры безопасности и их нужно будет настроить.
Настройка портов.
Переименуем порты, для удобства пользования. Это действие не обязательное и выполняется по желанию.
Открываем вкладку Interfaces. Изменяем название первого порта на WAN и нажимаем Apply. 
Остальные порты переименовываем таким же образом и называем по порядку LAN1… LAN4.
Те же действия можно выполнить через текстовые команды в терминале. Открываем в боковом меню New Terminal и вводим команды.
|
1 2 3 4 5 |
/interface ethernet set [ find default-name=ether1 ] name=WAN /interface ethernet set [ find default-name=ether2 ] name=LAN1 /interface ethernet set [ find default-name=ether3 ] name=LAN2 /interface ethernet set [ find default-name=ether4 ] name=LAN3 /interface ethernet set [ find default-name=ether5 ] name=LAN4 |
Создание моста.
Переходим на вкладку Bridge. Нажимаем синий крестик и добавляем новый интерфейс моста.
Name: LAN-BRIDGE
ARP: proxy-arp 
Через командную строку терминала:
|
1 |
/interface bridge add name=LAN-BRIDGE arp=proxy-arp fast-forward=no |
Добавление портов в мост.
В разделе портов добавляем все наши LAN-порты (кроме WAN) нажимая синий крестик. 
В каждом добавленном порте указываем:
Intrface: LAN1… LAN4;
Bridge: LAN-BRIDGE.
Это нужно для организации коммутатора. Изначально в роутере все порты сами по себе.
*можно назначить один порт мастером и привязать к нему остальные, затем в мост добавить только мастера, это было актуально для прошивок ниже 6.41.
Через командную строку терминала:
|
1 2 3 4 |
/interface bridge port add bridge=LAN-BRIDGE interface=LAN1 hw=yes /interface bridge port add bridge=LAN-BRIDGE interface=LAN2 hw=yes /interface bridge port add bridge=LAN-BRIDGE interface=LAN3 hw=yes /interface bridge port add bridge=LAN-BRIDGE interface=LAN4 hw=yes |
Подключение к интернету.
PPPoE.
В нашем случае подключение PPPoE. Переходим на вкладку PPP. Нажимаем на синем крестике маленький треугольник и в выпадающем меню выбираем PPPoE Client в самом низу.
В создавшемся новом интерфейсе указываем на вкладке General имя и внешний порт WAN. 
На вкладке Dial Out указываем логин и пароль из договора с провайдером. Все галочки как на картинке ниже. Apply. OK.
Через командную строку терминала:
|
1 |
/interface pppoe-client add name=ByFly interface=WAN user=123456789012345@beltel.by password=11111 use-peer-dns=yes add-default-route=yes disabled=no |
Правило для работы интернета.
Правило NAT выполняет замену IP-адресов локальной сети на IP-адрес внешней сети и обратно.
Переходим на вкладку IP. Выбираем Firewall.
В разделе NAT нажимаем синий крестик и добавляем новое правило как на картинке ниже.
На вкладке General выбираем:
Chain: srcnat;
Out. Interface: Byfly – наш ранее созданный внешний интерфейс PPPoE.
На вкладке Action в первом поле выбираем из выпадающего меню masquerade. Нажимаем Apply. OK.
Через командную строку терминала:
|
1 |
/ip firewall nat add chain=srcnat out-interface=WAN action=masquerade |
DNS.
Переходим в IP >> DNS.
Здесь нужно либо прописать DNS, либо как у меня они уже сами определились.
Обязательно ставим галочку Allow Remote Requests.
OK.
Через командную строку терминала (если DNS статический):
|
1 |
/ip dns set servers=8.8.8.8 allow-remote-requests=yes |
Локальная сеть.
Переходим в IP >> Addresses.
Пишем адрес для локальной сети. Выбираем ранее созданный интерфейс LAN-BRIDGE. Жмем Apply. OK. 
Маска указывается через слэш (например /24), Network может появится автоматически.
Через командную строку терминала:
|
1 |
/ip address add interface=LAN-BRIDGE address=192.168.0.1/24 |
DHCP.
Настраиваем по необходимости. При DHCP сервере, подключаемые пользователи получают IP адреса от маршрутизатора автоматически.
Создаем так называемый пул – диапазон IP адресов, которые будет раздавать наш DHCP сервер. Переходив на вкладку IP >> Pool. Жмем на синий крестик. В открывшейся форме заполняем имя и адреса, какие мы хотим чтоб раздавались. Apply. OK.
Через командную строку терминала:
|
1 |
/ip pool add name=POOL-DHCP ranges=192.168.0.10-192.168.0.99 |
Создаем DHCP Server. IP >> DHCP Server.
Вводим имя, выбираем наш созданный сетевой мост LAN-BRIDGE.
Выбираем созданный на предыдущем шаге пул IP адресов POOL-DHCP.
Apply. OK. 
Через командную строку терминала:
|
1 |
/ip dhcp-server add name=DHCP-SERVER interface=LAN-BRIDGE address-pool=POOL-DHCP disabled=no |
Создадим DHCP сеть. Вводим как на картинке ниже адрес сети, шлюз, маску и DNS server. Apply. OK. 
Через командную строку терминала:
|
1 |
/ip dhcp-server network add address=192.168.0.0/24 dns-server=192.168.0.1 gateway=192.168.0.1 netmask=24 |
Привязка нужна для того, чтоб при подключении к сети одному и тому же пользователю всегда присваивался один и тот же IP-адрес.
Переходим в IP->DHCP Server->Leases-> нажимаем +
Указываем (выбираем) IP, MAC (устройства, которое хотим привязать) и наш созданный DHCP сервер. OK.
Можно привязать розданный IP-адрес. Правой кнопкой мыши на клиента DHCP -> Make Static. Теперь этому клиенту всегда будет раздаваться один и тот же IP-адрес.
Через командную строку терминала:
|
1 |
/ip dhcp-server lease add address=192.168.0.79 mac-address=A1:B2:C3:D4:E5:F6 server=DHCP-SERVER |
Открытие портов. (Проброс портов)
Переходим в IP >> Firewall >> NAT.
Добавляем новое правило на синий крестик.
На вкладке General отмечаем:
Chain: dstnat
Protocol: tcp
Dst.Port 81 (порт можно выбрать любой свободный)
На вкладке Action выбираем:
Action: dst-nat
To Addresses: 192.168.0.105 (адрес локальной камеры)
To Ports: 80 (локальный порт, у всех камер одинаковый) 
Нажимаем Apply или OK.
Через командную строку терминала:
|
1 |
/ip firewall nat add action=dst-nat chain=dstnat dst-port=81 protocol=tcp to-addresses=192.168.0.105 to-ports=80 comment="PORT 81" |
Проверяем, открылся ли порт и заработала камера.
У нас статический внешний IP адрес. Я захожу на него с указанием порта через браузер IE и вижу работающую камеру.
Открытый порт можно проверить на сервисе в интернете.
Если нужны еще камеры, создаем новые правила с другими внешними портами для других внутренних IP.
Правил достаточно много, по этому вводить их нужно через командную строку терминала. Правила взяты из настройки по умолчанию.
|
1 2 3 4 5 6 7 |
/ip firewall filter add action=accept chain=input connection-state=established,related comment="accept established,related" /ip firewall filter add action=drop chain=input connection-state=invalid comment="drop invalid" /ip firewall filter add action=accept chain=input protocol=icmp comment="accept ICMP" /ip firewall filter add action=drop chain=input in-interface=!LAN-BRIDGE comment="drop all not coming from LAN" /ip firewall filter add action=accept chain=forward connection-state=established,related,untracked comment="accept established,related, untracked" /ip firewall filter add action=drop chain=forward connection-state=invalid comment="drop invalid" /ip firewall filter add action=drop chain=forward connection-nat-state=!dstnat connection-state=new in-interface=WAN comment="drop all from WAN not DSTNATed" |
Установка пароля администратора.
В боковом меню выбираем System >> Users.
В открывшемся окне отмечаем admin или другого нужного пользователя.
Изменяем пароль нажав на кнопку Password.
Введя пароль, нажимаем Apply.
Учетную запись admin лучше заблокировать и не использовать в целях безопасности.
Создание учетной записи через командную строку терминала:
|
1 |
/user add name=Batman password=Qetuoadgjl!@#12345 group=full |
Удаление стандартной учетной записи admin через командную строку терминала:
|
1 |
/user remove admin |
Так же в целях безопасности нужно отключить неиспользуемые сервисные интерфейсы IP>>Services. У данного роутера оставлено подключение только через WinBox.
Через командную строку терминала:
|
1 2 3 4 5 6 |
/ip service set telnet disabled=yes /ip service set ftp disabled=yes /ip service set www disabled=yes /ip service set ssh disabled=yes /ip service set api disabled=yes /ip service set api-ssl disabled=yes |
Когда все настройки выполнены и роутер работает как требуется делаем резервную копию конфигурации.
Резервная копия конфигурации.
В главном меню выбираем Files. Нажимаем Backup.
В открывшемся окне:
— в поле Name пишем имя для резервной копии;
— при желании устанавливаем пароль;
— отмечаем галочкой Don’t Encrypt.
Нажимаем Backup. 
Среди файлов появится наша новая резервная копия. Можно перетащить её мышкой в папку ПК для сохранности.
Через командную строку терминала:
|
1 |
/system backup save name=config1 |
При восстановлении конфигурации из резервной копии выбираем нужный файл и нажимаем Restore. Перед этим рекомендуется выполнить сброс конфигурации.
В процессе настроек ситуация может выйти из под контроля, и к роутеру пропадет доступ. Если WinBox, ping или сканер сети не находят подключенного роутер, то ничего не остается, как выполнить сброс настроек до заводской конфигурации. Для этого:
1.Отключаем питание роутера.
2.Нажимаем внутреннюю кнопку RES (reset) сброс, как на фото и подаем питание.
3.Продолжаем удерживать кнопку еще 10-15 сек.
-USR загорится зеленым и начнет мигать, затем перестанет;
-прозвучит одинарный сигнал;
-затем двойной звуковой сигнал.
На этом всё. Роутер сброшен до заводской конфигурации. Подключаемся к нему через WinBox по MAC адресу, либо по IP 192.168.88.1
Освоить MikroTik Вы можете с помощью онлайн-куса «Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.
Спасибо большое за подробные инструкции!!! Начинаю работу с микротиками, и такие статьи — на вес золота. Удачи Вам!
Посмотрите еще вот эту страницу http://www.pc360.ru/2020/12/02/mikrotik-базовая-настройка/ в ней более детально и актуально