Базовая настройка операционной системы RouterOS (Mikrotik)

Важно

После установки виртуальной ОС RouterOS рекомендуется произвести её базовую настройку. При этом будут сконфигурированы сетевые интерфейсы, настройки безопасности и другие вещи влияющие на корректную и бесперебойную работу ОС.

Примечание

Базовая настройка выполняется с помощью текстовых команд запускаемых в интерфейсе CLI (Command Line Interface)

  1. Разрешённая пара адресов

    Теперь осталось прописать разрешённую пару адресов для LAN интерфейса со стороны облака SIM-Cloud.
    Это нужно для того, чтобы разрешить сетевой трафик из локальной сети через OPNsense.
    Подробно этот процесс описан в нашей статье.
  2. Создание нового системного пользователя

Для дополнительной безопасности рекомендуется заходить в Mikrotik под уникальным пользователем.

  • для этого создадим нового пользователя, укажем для него пароль и добавим в группу дающую административные права

Важно

Не используйте имена user, guest, admin и другие стандартные. Не используйте пароли 12345, qwerty и тому подобные, а также совпадающие с логином. Пароль должен быть не меньше 8 символов, содержать буквы верхнего и нижнего регистров, цифры и, в идеале, символы.

user add name=<user> password=<pass> group=full

где
    <user> - имя нового пользователя
    <pass> - пароль для нового пользователя
  • для проверки, выведем список системных пользователей, убедимся что в нём есть только что созданный и выйдем из системы

    user print
    quit
    
  • зайдем в систему под новым пользователем и отключим пользователя по-умолчанию “admin”

    user disable admin
    
  1. Изменение имени идентификатора устройства

В случае, если администрируемых устройств несколько, для облегчения идентификации изменяем имя отображаемое в ОС со стандартного “MikroTik” - на свое, уникальное.

  • изменим имя устройства

    system identity set name=<new name>
    
    где
        <new name> - новый идентификатор устройства
    
  • посмотрим текущее имя устройства

    system identity print
    
  1. Настройка сервисов удаленного доступа к устройству

ОС RouterOS позволяет использовать множество встроенных сервисов для доступа к нему в режиме администрирования, настроим их.

  • Отключаем сервисы которые не планируется использовать для администрирования устройства

    ip service disable telnet,ftp,api,api-ssl,www-ssl
    
  • Для остальных сервисов - включим их и ограничим доступ к устройству указав IP адрес с которого будет разрешен вход (или список адресов через запятую)

    ip service enable ssh,www,winbox
    ip service set ssh address=IP1
    ip service set www address=IP1,IP2
    ip service set winbox address=IP1,IP2
    ip service print
    
    где
        IP1, IP2 - IP адреса
    
  • Проверим, что настройка ограничения доступа выполнена корректно

    ip service print
    
  1. Настройка сетевых интерфейсов

Произведём настройку сетевых интерфейсов.

  • Получаем список сетевых интерфейсов и их MAC-адреса

    interface ethernet print
    
  • На основании полученной информации (соответствие имени интерфейса и его MAC адреса), определяем какой из интерфейсов ether1 и ether2 является внешним, а какой внутренним . После чего, для удобства в дальнейшей работе, переименовываем их соотвественно в WAN и LAN

    interface ethernet set ether1 name=WAN
    interface ethernet set ether2 name=LAN
    interface print
    
  • назначаем интерфейсам IP адреса

    ip address add address=<ip wan> interface=WAN
    ip address add address=<ip lan> interface=LAN
    ip address print
    
    где
        <ip wan>, <ip lan> - IP адреса выделенные для роутера. Указываются как "IPaddress/netmask",
        например 172.16.0.15/20 для WAN, 10.10.10.1/24 для LAN.
    
  • назначаем для роутера шлюз по умолчанию

    ip route add gateway=<ip gw>
    ip route print
    
    где
        <ip gw> - IP адрес внешнего шлюза для WAN сети. В проектах инфраструктуры SIM-Cloud это обычно "172.16.0.1"
    
  1. Настройка сервисов DNS и NTP

Далее, устанавливаем значение используемого DNS сервера, часового пояса и включаем автоматическую синхронизацию времени.

ip dns set servers=8.8.8.8
ip dns print

system clock set time-zone-name=Europe/Berlin
system clock print

system ntp client set enabled=yes server-dns-names=pool.ntp.org
system ntp client print
  1. Базовая настройка NAT для исходящего сетевого трафика

Проведем базовую настройку NAT, для того, чтобы хосты находящиеся за роутером (с адресами из LAN сети) получили возможность выходить через роутер в интернет.

ip firewall nat add chain=srcnat out-interface=WAN action=masquerade
  1. Базовая настройка проброса портов (port forwarding)

Очень часто необходимо организовать доступ к удаленному серверу, который находится за роутером.

В таких случаях выполняется проброс сервисного порта (к примеру, RDP-TCP/3389 или SSH-TCP/22). Если за роутером находится несколько серверов или сервисов с одинаковым портом, можно выполнить смену умолчательного порта на кастомный.

Выполним базовый проброс порта на RDP порт TCP/3389:

ip firewall nat add chain=dstnat action=dst-nat to-addresses=<Server_Local_IP> to-ports=3389 protocol=tcp dst-address=<Router_WAN_IP> dst-port=3389 log=yes log-prefix=""

где

<Server_Local_IP> - Локальный IP-адрес сервера, на который пробрасывается порт TCP/3389
<Router_WAN_IP> - IP-адрес WAN интерфейса роутера (не путать с Плавающим IP).

Пример:

ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.100.9 to-ports=3389 protocol=tcp dst-address=172.16.0.9 dst-port=3389 log=yes log-prefix=""

В данном случае при подключении на порт TCP/3389 IP-адреса 172.16.0.9 (на который назначается Floating IP) соединение будет переадресовываться на
локальный порт Windows сервера 192.168.100.9 на тот же сервисный порт.
  1. Резервное копирование и восстановление конфигурации
  • сделать резервное копирование конфигурации

    system backup save dont-encrypt=yes name=<backup-name>
    
  • восстановить конфигурацию из резервной копии

    system backup load name=<backup-name>.backup
    
  1. Полезные настройки для роутеров Mikritik
  • Правило, позволяющее скрыть роутер при проверке маршрута на основе изменения ttl:

    /ip firewall mangle add action=change-ttl chain=prerouting new-ttl=increment:1 passthrough=yes