Настройка роутера MikroTik RB4011iGS, за 5 минут
Обновлено 09.03.2022
Добрый день! Уважаемые читатели и гости одного из крупнейших IT блогов рунета Pyatilistnik.org. В прошлый раз мы с вами разобрали, как быстро и правильно удалить Крипто ПРО с вашего компьютера или сервера. Сегодня я вас научу, как настроить роутера MikroTik RB4011iGS для организации локальной сети, WiFI и интернета для маленького и среднего офиса размером от 15 до 30 человек. Даже самый не подготовленный человек пройдя по данной инструкции сможет наладить рабочий процесс своего офиса, фирмы, тем самым сэкономив на вызове технического специалиста, так же все действия подойдут и для организации домашней точки доступа.
Настройка роутера микротик RB4011iGS
Перед тем, как мы рассмотрим алгоритм действия, я бы хотел вам показать, что из себя представляет роутер MikroTik RB4011iGS и почему я выбрал его для организации точки доступа в офисе на 15 человек.
Сразу отмечу, что хоть он и стоит 15 000, но он полностью себя оправдывает, двумя WiFI модулями, 4-ми антеннами бьющими метром на 30 спокойно, поддержка всех 802.11b/g/n, большим количеством памяти и хорошим процессором. Что еще нужно для стабильной работы офиса. 10 гигабитных портов помогут подключить, ip камеры, принтеры, и другие точки доступа, например как в моем случае, это было Wi-Fi точка доступа MikroTik RBcAPGi-5acD2nD cAP ac.
Подготовительный этап настройки микротика с нуля
Для выполнения нашей поставленной задачи, нам необходимо подготовить:
- Иметь ноутбук для настройки оборудования
- Наличие сетевого кабеля с разъемами RJ45
- Получить сетевые настройки от провайдера, выяснить ip-адрес, маску сети, шлюз по умолчанию и DNS сервера если это подключение VPN виды L2TP или PPoE, то выяснить логин и пароль ля доступа. В моем случае был статический IP-адрес, выданный провайдером Весколл.
- Последняя прошивка операционной системы routeros
Методы настройки роутеров Microtik
Существует несколько методов, позволяющих вам произвести настройку вашего оборудования микротик:
- Использование специализированной утилиты WinBox с графическим интерфейсом
- Настройка из командной строки
- Настройка через веб интерфейс оборудования
Я буду все манипуляции производить, самым простым методом, который для пользователя максимально дружелюбный, это через утилиту WinBox.
Скачивание утилиты WinBox и прошивки
WinBox - это специализированная утилита по настройке оборудования компании Mikrotik. Она умеет делать абсолютно любые настройки из графического интерфейса, в 95% случаев для первой, базовой настройки используют исключительно ее.
И чуть ниже загрузите новую прошивку RouterOS
Подключаем ваш ноутбук к любом из гигабитных портов MikroTik RB4011iGS, в моем примере, это 9-ый порт. Во второй порт я воткнул провод интернет провайдера. Запускаем утилиту WinBox. Она про сканирует все доступные с вашего ноутбука устройства микротик и если она их обнаружит, то покажет их в списке доступных. Так как мы подключены по проводу напрямую к роутеру Microstik, то мы видим на вкладке "Neighbors" наш MikroTik RB4011iGS, нам показывают его IP_адрес по умолчанию, это 192.168.88.1 и его mac адрес, хочу отметить, что что в поле Connect To можно вписывать как цель подключения, как IP-адрес, так и mac-адрес, утилите без разницы, а микротики понимают разные методы. Указываем в качестве цели MAC-адрес и нажимаем "Connect".
Мы с вами подключились к роутеру Microtik через WinBox, Утилита имеет с левой стороны столбы с настройками. Первым делом нам нужно установить новую прошивку н наш роутер MikroTik RB4011iGS. Нажимаем на вкладку "Files".
У вас откроется окно со списком файлов на вашей памяти оборудования, сюда мы и будем копировать прошивку.
Нажимаем кнопку "Upload" и указываем наш файл с новой стабильной версией RouteOS, на момент написания статьи, это версия 6.44.3.
Начнется передача файла на ваш роутер MikroTik RB4011iGS
Чтобы обновить наш роутер MikroTik RB4011iGS, нам необходимо открыть пункт "System - Reboot".
Подтверждаем перезагрузку оборудования микротик.
В итоге ваша утилита WinBox потеряет связь с оборудованием на момент его перезагрузки.
Видим, что WinBox нашел наш роутер MikroTik RB4011iGS и у него свежая версия прошивки 6.44.3. Производим к нему подключение.
Удаление заводской настройки MikroTik
Следующим шагом идет удаление заводских настроек на роутере микротик, для этого нам необходимо перейти "System - Reset Configuration"
Выставляем галки на пунктах:
- No Default Configuration - это чтобы роутер не устанавливал конфигурацию по умолчанию
- Do Not Backup - не делать резервную копию текущих настроек
После чего нажимаем "Reset Configuration"
Подтверждаем удаление заводских настроек.
Вы снова потеряете связь с оборудованием в WinBox.
После того, как оборудование будет загружено, вы увидите, что у микротик будет обнулен IP-адрес, вместо 192.168.88.1 станет 0.0.0.0 и подключиться к нему можно только по MAC-адресу.
Настройка интерфейсов на MikroTik RB4011iGS
Заново переподключившись, переходим на вкладку "Interfaces". Данный раздел будет отображать информацию по всем вашим интерфейсам.
Повторюсь, что на втором порту ether2 у меня подключен провод интернет провайдера.
Так как я не использую интерфейс sfp-sfpplus1, то я его отключу, главное правило безопасности, гласит, что работать должно только то, что используется, все остальное правильно отключать.
В итоге интерфейс стал прозрачным. Обратите внимание, что по умолчанию отключены интерфейсы wlan1 и wlan2, это интерфейсы WIFI, включим их через нажатие на галку.
Все теперь WIFI интерфейсы активированы.
Создание моста на MikroTik RB4011iGS
Следующим шагом, нам необходимо объединить все порты, кроме интернет провайдерского в мост. Сетевой мост представляет собой устройство , которое делит сеть на сегменты. Каждый сегмент представляет отдельный домен коллизий, поэтому количество коллизий в сети уменьшается. Каждый домен коллизий имеет свою собственную полосу пропускания, поэтому мост также повышает производительность сети. Мост работает на канальном уровне (уровень 2) модели OSI. Он проверяет входящий трафик и решает, следует ли его перенаправить или отфильтровать. Каждый входящий кадр Ethernet проверяется на наличие MAC-адреса назначения. Если мост определяет, что хост назначения находится в другом сегменте сети, он пересылает кадр в этот сегмент.
Открываем вкладку "Bridge" и нажимаем + для создания нового моста. В окне "New Interfaces" задаем ему имя в поле "Name" у меня, это будет br-1, нажимаем "Ok".
Видим, что в списке появился наш новый мост, теперь в него нужно добавить нужные нам интерфейсы.
Для добавления в наш сетевой мост на MikroTik RB4011iGS, вы переходите на вкладку "Ports' и нажимаете +, для добавления порта. Указываете нужный интерфейс, задаете в поле "Bridge" наш созданный сетевой мост и нажимаете "Apply" для применения.
В итоге у меня получилось вот так, не забываем добавлять WLAN порты WIFI. Учтите, что когда вы добавите в мост, порт по которому ваш ноутбук подключен к роутеру микротик, то вы будите отключены в WinBox. Вам потребуется заново установить подключение.
Настройка IP адреса MikroTik RB4011iGS
Продолжаем нашу настройку роутера микротик и настало время задать вашему роутеру статический IP-адрес. Вы заранее должны продумать, какая у вас будет адресация в локальной сети. Открываем раздел "IP - Address".
Тут настройка микротика как для чайников, вы нажимаете +, у вас откроется окно "New Address". В поле "Address" вы указываете ваш ip адрес и маску сети, в моем примере, это 192.168.100.1/24, поле "Network" заполнится автоматически, так же обязательно в поле "Interfaces" выберите наш сетевой мост bridge-br-1, созданный ранее. Нажимаем Apply.
Настройка IP-адреса провайдера
После настройки IP-адреса роутера MikroTik RB4011iGS, не закрывая данный раздел, нажмите еще раз +, и введите в поле:
- Address - IP-адрес полученный от провайдера вместе с маской
- Network - заполнится автоматически
- Interfaces - выберите тот интерфейс к которому подключен патчкорд от провайдерского оборудования
Вот так у меня выглядит мой список IP адресов на моем оборудовании MikroTik RB4011iGS
Настройка DNS на MikroTik RB4011iGS
IP адрес, это конечно хорошо, но в интернет мы выходим по DNS именам, поэтому нам необходимо настроить адрес DNS-сервера. Открываем раздел "IP - DNS"
В окне "DNS Setting" задаем DNS сервера выданные вашим провайдера, по мимо них я еще указал DNS адреса Google в виде 8.8.8.8 и 8.8.4.4. Обязательно поставьте галку "Allow Remote Requests", делается это для того, чтобы микротик отвечал на запросы DNS в локальной сети. Сохраняем настройки.
Настройка FIREWALL на MikroTik RB4011iGS
Чтобы наш роутер прятал нашу локальную сеть от внешнего мира, нам необходимо создать правила. Открываем "IP - Firewall"
Переходим на вкладку NAT и нажимаем +. В окне "New NAT Rule" перейдите на вкладку "Action".
В действиях выберите пункт "Masquerade". Masquerade - замена адреса источника IP пакета на автоматически определенный адрес средствами маршрутизации.
На вкладке "General" в пункт "Src. Address" указываем вашу подсеть и маску сети.
В итоге правило NAT выглядит вот таким образом.
Настройка DHCP и пула адресов
Для того, чтобы пользователи, устройства могли работать в вашей локальной сети нам необходимо произвести настройку микротика, чтобы у него был пул IP-адресов, который он мог выдавать, принтерам, ноутбукам, телефонам. Для этого перейдите в раздел "IP - Pool"
Создаем новый пул, указываем его имя и саму адресацию, в моем примере, это 192.168.100.50-192.168.100.200, нажимаем OK.
Далее настроим наш DHCP сервер. Для этого переходим в "IP - DHCP Server".
Задаем настройки DHCP:
- Name - Имя DHCP сервера
- Interface - выбираем наш мост
- Lease Time - время аренды, настройте под себя, если в офисе не особо большая текучка устройств, то можете настроить день или два, если проходимость большая, то выставите минут 30 или 60
- Address Pool - Выбираем созданный ранее пул адресов
Сохраняем настройки DHCP сервера на вашем роутере MikroTik RB4011iGS
В списке появился мой новый DHCP сервер.
Далее переходим на вкладку "Network", нажимаем добавить новую. Пишем в:
- Address - адрес вашей сети и маску
- Gateway - указываем шлюз, который будет у клиентов, у нас это будет адрес MikroTik RB4011iGS 192.168.100.1
- Netmask - маска сети
- DNS Server - первым DNS сервером ставим наш роутер микротик 192.168.100.1, потом какие угодно, провайдерские, или гугловские. Сохраняем настройки.
Открываем командную строку Windows и с помощью команды ipconfig, мы посмотрим текущий ip-адрес на моем ноутбуке. Как видим это APIPA адрес 169.254.7.146 и 192.168.43.61.
Теперь давайте запросим новый ip-адрес у DHCP сервера, для это введите команду:
Сразу моя система Windows 8.1 нашла новую сеть 4, что означает, что я получил новый IP-адрес.
Снова выполняем команду ipconfig и мы видим, что я получил IP-адрес 192.168.100.200.
На вкладке "Leases" вы увидите список всех ваших арендованных адресов у DHCP сервера.
Через правый клик по IP-адресу вы можете выбрать "Detail Mode"
Будет выведено больше информации о клиентском подключении.
Так же вы можете заранее задать нужный IP-адрес, который будет присвоен определенному клиенты, так например можно поступить с принтерами, зная их MAC-адрес, вы легко к нему привяжите нужный IP.
Настройка маршрутизации на роутере MikroTik RB4011iGS
Теперь нам осталось настроить еще одну важную, это маршрутизация трафика, чтобы все ваши запросы к DNS отправлялись дальше к провайдеру и вы получили работающий интернет. Открываем раздел "IP - Routes".
У вас тут уже будет два созданных, автоматически правила. Добавим новое. В поле:
- Dst. Address - пишем 0.0.0.0 - это означает любой ip-адрес интернета
- Gateway - шлюз через который нужно идти на адрес 0.0.0.0, это тот который вам дал провайдер.
В поле "Check Gateway" выберем пункт ping и нажмем "Apply", этим мы проверим доступность нашего шлюза.
Видим, что у нас определился ether2 и состояние reachable, означающее, что все хорошо. Сохраняем наши настройки маршрутизации на роутере микротик.
Проверяем в командной строке с помощью команды ping, доступность ресурсов в интернете. Как видим ya.ru отвечает, это означает, что интернет на роутере MikroTik RB4011iGS у нас есть.
Настройка безопасности на MikroTik RB4011iGS
Настройка роутера микротик будет не полной, если мы не позаботимся, о безопасности нашего оборудования, нам необходимо снаружи запретить подключение. Для этого переходим в раздел "IP - FireWall"
Нажимаем "New Rule', в пункте "Chain" выбираем input
В "In. Interface" указываем наш интерфейс, куда воткнут провод провайдера. Далее в "Connection State" ставим галку "Invlid" и "New". После чего переходим на вкладку "Action"
В действиях выбираем дропанье пакетов "drop".
Вот так выглядит мое правило в списке.
Настройка WIFI на MikroTik RB4011iGS
Продолжаем нашу настройку роутера микротик, следующим важным шагом, будет настройка наших WIFI модулей, так как от этого зависит качество вашей скорости по без проводному подключению. Переходим в раздел "Wireless", видим наши два WIFI интерфейса, wlan1 и wlan2.
Для того, чтобы наш MikroTik RB4011iGS выступал в качестве точки доступа, нам необходимо на вкладке "Wireless"в пункте "Mode" выбрать режим "ap bridge".
Выбираем поддерживаемые стандарты, в поле "Band" выберите для MikroTik RB4011iGS 5GHz A/N/AC
Выбираем длину каналов "Channel Width" 20/40/80MHz XXXX, при такой настройке у меня давало спокойно 100 мбит интернета.
В режиме "Frequency" выберите auto.
Так как в каждой стране свои стандарты и разрешенные частоты, то очень важно выбрать правильную настройку на роутере микротик. Для России в поле "Country" выставите значение "russia3"
В "Wireless Protocol" ставим 802.11
Задаем нужное имя сети SSID, это то, как будет называться наш WIFI. Сохраняем настройки.
Теперь открываем вкладку "Security Profiles". Имя оставляем по умолчанию, в режиме "Mode" ставим "Dynamic keys", ставим галку WPA2 PSK и задаем пароль доступа к WIFI, сохраняем настройки.
Аналогично поступаем для второго модуля WIFI 2GHz, там настройки будут похожи:
- Mode - ap bridge
- Band - 2GHz-G/N
- Frequency - auto
- SSID - ABDG-2G
- Country - Russia3
Создание новой административной записи на MikroTik RB4011iGS
Так как по умолчанию для настройки роутера Mikrotik мы использовали стандартную учетную запись Admin без пароля, то это нужно теперь поправить, чтобы злоумышленники не могли попасть к настройкам нашего оборудования. Для этого перейдите в пункт "System - Users"
Создаем нового пользователя, придумываем ему логин, пароль и уровень прав FULL.
отключаем встроенную учетную запись admin,
Как видм под администратором уже не получается войти.
Автоматическое обновление роутера MikroTik
Так же в микротиках есть функция автоматического обновления, для этого откройте "System - Auto Upgrade"
Тут вы сможете найти новые прошивки пакетов и самой RouterOS
Резервное копирование настроек микротик
Настройка роутера mikrotik не будет полной, если после всех манипуляций вы не сделаете резервной копии настроек, чтобы легко можно было развернуть все с нуля или откатиться после изменений. Откройте меню "Files" и нажмите кнопку "Backup" задайте имя резервной копии, пароль при необходимости.
На этом базовую настройку роутера Mikrotik можно считать законченной. Мы с вами настроили работу роутера MikroTik RB4011iGS, подключили его к интернету, настроили WIFI, теперь небольшой офис может спокойно работать. С вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org.
Я чего не понимаю, зачем надо было делать сброс с удалением конфигурации по умолчанию, чтобы потом долго с картинками рассказывать как сделать настройки отдалённо напоминающие конфигурацию по умолчанию?
Особенно повергает в уныние файрволл, где настройки по умолчанию предлагают в разы более надёжное и защищённое решение, чем автор статьи одним единственным достаточно странным правилом.
Ну предложите свой вариант настройки фаэрвола, с радостью посмотрю.
Иван, не слушайте никого. Правильно написали статью — все настройки по шагам с картинками. Не все пользователи профессиональные админы, но инструкция с картинками новичкам-любителям как я очень полезна. Спасибо.
Добрый день! А можно ли подключить к этому роутеру 2 интернет провайдера?
Спасибо!
Добрый день. А можно ли на этом роутере подключить 2 интернет канала?
Спасибо!
Да может
Не очень этот микротик. Вернул через неделю использования. Во первых греется что печка. Руку не удержать. Во вторых, постоянно проблемы с радио модулем. Лан работал без проблем. Но вот вайфай с разной периодичностью отваливался. И это такое «качество» за такие деньги… У меня нетгир 7 лет работает без каких либо проблем. Ни разу не глюканул. Не перезагружал его уже года 3. И все ок.
А у вас какая модель если не секрет?
Грелся роутер и отваливалась вафля, дорогой Юзверь, потому что Вы не выставили мощность своих антен. Если коротко, то они слишком мощные для квартиры, как и домашним, 4011 не назовешь. Для дома есть более низкий модельный ряд. Подключив антены на максимум, если примитивно, вы получаете эффект зеркала от стен и сами себя глушите. Доверяйте настройку профессиональных устройств тем, кто на это учился, а не ругайтесь в комментариях на великолепное, сверхпроизводительное и широкоспекторное, в прикладном смысле, устройство. Ну а коли нужно нажать три кнопки и все работало — для этого и существует сегмент домороутеров вроде вашего.
@ 23423
Rb4011 — очень хороший маршрутизатор, но вам нужно его настроить, это не d-link или tplink, где 3х нажатие «следующий-следующий» и все. Я работаю с этой фирмой более 10 лет, и за этот период у меня было только две проблемы. Был заводской дефект.
Чтобы это работало хорошо, мы используем по крайней мере «правила брандмауэра по умолчанию» (wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter), и если вы используете такое устройство в квартире, то желательно уменьшить Wi-Fi. Ваша железка изначально тарабанит на максимуме. Tx Power, только задается не во ваттах, а в децибелах.
Если вы решили что чем мощнее тем лучше, то вы ошибаетесь, напротив, для уверенной и быстрой работы необходимо подобрать параметр конкретно для ваших условий, большая мощность не равно большое расстояние и уже темболее не равно большая скорость. По умолчанию он установлен на 27 дБм, полностью изменив его на 19 дБм.
Роутеры Mikrotik обначно оснащаются высококлассным Wi-Fi Во-первых, это не лучшим образом может отразиться на здоровье. Во-вторых, к вам запросто могут наведаться люди из Связьнадзора (домашние излучатели мощнее 100 мВт запрещены) .Если все же возникла необходимость выжать из Mikrotik максимум, укажите значение в 27 дБм. Учтите, что помимо описанных выше проблем может появиться и третье — перегрев роутера.
Удачи!
Спасибо большое.
Ув. Автор, вопрос, могу ли я по данному гайду настроить зверька 4011 для частного дома. Купил RB4011IGS+5HACQ2HND-IN + 2 точки cAP ac, ваш гайд подойдет для первичной настройки 4011, или можно какие то пункты пропустить?
Пара замечаний автору. Без обид, но прежде чем писать инструкции для других нужно вначале изучить вопрос. Например, про мост вы пишите, что он делит сеть на сегменты, когда как он делает ровно обратное. У микрота все интерфейсы по умолчанию в маршрутизируемом режиме работают, так вот, для того чтобы получить смамый обычный коммутатор, который имеетя во всех домашних роутерах, на микроте нужно создать мост. Я бы рекомендовал не писать о теории сетей (тем более с принципиальными ошибками) в данной статье ведь она, очевидно, для обычных пользователей. Достаточно было бы указать, что создание моста позволит получить на микроте порты LAN. Пользователю такой информации более чем достаточно и в заблуждение это не вводит.
Также хотелось бы прокомментировать Алексея, который пишет, что из-за неверно выставленной мощности антенн у комментатора 23423 грелся роутер. Это полный абсурд. У микрота есть «горячие» модели, которые будут греться даже если антенны вообще выключить. Похоже, что у 23423 обычный брак, а не неверная мощность антенн. Производитель, разрабатывая устройство учитывает допустимый уровень нагрева и сам нагрев не является отклонением от нормы в работе устройства.
Вопрос . Нужна информация как на этом роутере работает порт №10 POE OUT? Достаточно ли мощности чтоб последовательно повесить 2 — 3 точки доступа MikroTik RBcAPGi-5acD2nD и будет ли с последней выходить 1 гбит по lan ??
Здравствуйте! Подскажите как сделать три независимые сети: администраторскую, для бухгалтеров и остальных пользователей. В крайнем случае хотя бы две сети. Провода и коммутаторы уже физически раздельные
Все это делается с помощью VLAN, могу попробовать написать статью.