Mikrotik выпускает специализированные сетевые компьютеры, которые могут применяться как маршрутизаторы или точки доступа.

Что такое MikroTik RouterOS? RouterOS - это сетевая операционная система на базе Linux. RouterOS предназначена для установки на маршрутизаторы MikroTik RouterBoard. Версия Как установить MikroTik RouterOS (CHR) на VPS VDS (CHR) предназначена для работы в качестве виртуальной машины на VPS/VDS.

• На сайте MikroTik RB2011UiAS-2HnD-IN
• Настройка локальной сети MikroTik все время забываю прописывать IP на бридж:(

1. Скачиваем winbox и подключаемся к маршрутизатору.
2. Обновляем RouterOS маршрутизатора до последней версии 6.46.6. Необходимо зайти на сайт по адресу https://www.mikrotik.com/download и скачать последнюю прошивку для вашего маршрутизатора, и обновить через программу winbox.
   1. При помощи утилиты winbox, переходим в раздел Files и копируем туда наши сертификаты: mikrotikd30ver2.crt, mikrotikd30ver2.key, которые были созданы на ШАГ 7
   2. Далее импорт сертификатов: идём в раздел System – Certificates, выбираем поочередно сертификаты из списка mikrotikd30ver2.crt→mikrotikd30ver2.key и жмём кнопку Import Обращаю внимание на символы KT слева от названий сертификатов. Они обязательно должны быть у вас. Если сертификат и приватный ключ не соответствуют друг другу, то одного символа не будет.

Само соединение OpenVPN настраивается в меню PPP→Нажимаем кнопку «+» → в выпадающем списке выбираем OVPN Client.

На вкладке Dial Out указываем адрес сервера, логин/пароль, порт, клиентский сертификат и тип шифрования. В простейшем случае, достаточно указать ip vpn сервера, порт, на котором он принимает входящие соединения и сертификат. Все остальное можно не трогать. В поле User можно писать все, что угодно.

Сохраняете подключение. Теперь клиент на Микротике должен автоматически подключиться к openvpn серверу. Если этого не происходит, смотрите в чем проблема в логах на роутере или на сервере. На данном этапе все стандартно, должно заработать без проблем.

Запускаем в Winbox терминал и вводим команды interface ovpn-client жмем Enter, monitor жмем Enter, указываем номер интерфейса в моем случае 0.

И вижу чудесную ошибку: интерфейс ovpn в микротике не поднялся и в логах удаленного сервера ничего нет!! Чудесно!:)

Решение проблемы - это установка второго сервера OpenVPN для поддержки корявого Микротик:

Кратко для поднятия второго сервера OpenVPN достаточно поменять порт, сертификаты как выпускали так и выпускаем согласно руководству. Для совместимости с RouterOS MikroTik меняем или комментируем параметры в конфиге сервера OpenVPN:

proto tcp
;tls-auth ta.key 0
;key-direction 0
ncp-disable
cipher BF-CBC
auth SHA1
;compress lz4-v2
;push "compress lz4-v2"
;comp-lzo

Чтобы обеспечить автоматический запуск всех серверных конфигураций (тестировалось Debian, Ubuntu) OpenVPN откроем в /etc/default/openvpn и раскомментируем в нем строку:

AUTOSTART="all"

Затем перечитаем конфигурацию юнитов systemd:

systemctl daemon-reload

Добавьте правило nat для локальной сети, например так:

iptables-save -f iptables
 
nano iptables
...
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 10.8.0.0/24 -o eth0 -j SNAT --to-source xxx.xxx.xxx.141
-A POSTROUTING -s 10.9.0.0/24 -o eth0 -j SNAT --to-source xxx.xxx.xxx.142
COMMIT
...
 
iptables-restore iptables

Теперь можно перезапустить службу OpenVPN и убедиться, что поднялись два туннельных интерфейса:

systemctl restart openvpn

В конечном итоге я получил подключение на Микротик. Смотрим скриншот:))

Для настройки MikroTik существует 2 варианта, 2 пути:

1 путь: Втыкать (именно сидеть и втыкать с бубном) в это официальное руководство mikrotik_settings.pdf

2 путь: Обновить железку до последней стабильной версии (не забудьте обновить загрузчик, хотя это не критично System→RouterBOARD). Если ваш провайдер, а чаще всего так и есть, отдает интернет dhcp вставьте от него провод витой пары в порт (в моем случае ether1) и сделайте сброс конфигурации Микротика:

1. Откройте меню System - Reset Configuration.
2. НЕ ставьте галочку No Default Configuration — не устанавливать конфигурацию по умолчанию.
3. Поставьте галочку Do Not Backup — не создавать резервную копию настроек перед перезагрузкой.
4. Нажмите кнопку Reset Configuration.

После перезагрузки будет установлен настроечный скрипт и у меня все заработало из коробки. Единственно WiFi сеть доступна без пароля, но у думаю включить WPA2 и вписать пароль в вкладке Quick Set (подключался через winbox) не составит труда. На скриншоте пометил где установить пароль на wifi в MikroTik RB2011UiAS-2HnD-IN:

Подробно как сбрасывать любые модели Микротиков.

Для сброса MikroTik RB2011UAS-2HnD-IN — аппаратного маршрутизатора со встроенным модулем WiFi не обязательно разбирать устройство. На боковой панели вставить небольшую отвертку в технологическое отверстие и нажать кнопку Reset отверткой.

Если вы не отпустите кнопку Reset и дождетесь, когда индикатор ACT перестанет мигать, то устройство перейдет в режим Netinstall для переустановки операционной системы RouterOS.

1. В меню Mikrotik IP → Services для сервиса winbox нужно установить Available From = 0.0.0.0/0
2. Разрешаем все входящие подключения для OpenVPN или внешнего интерфейса

Запуск команды traceroute Mikrotik RouterOS мягко скажем не как у всех, она изолированно не запускается, а только как ключ. Чтобы сократить ввод вы можете сначала перейти в контекст /tool и нажать Enter.

[admin@MikroTik] > /tool traceroute dieg.info

Если вы попробуете запустить её на прямую, то получите ошибку: bad command name traceroute (line 1 column 1).

Функция резервного копирования RouterOS позволяет сохранить текущую конфигурацию устройства, которую затем можно повторно применить на том же или другом устройстве (с тем же названием / номером модели). Это очень полезно, поскольку позволяет без труда восстанавливать конфигурации устройства или повторно применять ту же конфигурацию на устройстве резервного копирования. Файл резервной копии системы также содержит MAC-адреса устройства, которые также восстанавливаются при загрузке файла резервной копии.

Утилита routeros-backup-tool для упаковки/распаковки и шифрования/дешифрования бэкапов RouterOS.

Начиная с RouterOS v6.44, можно хранить резервную копию вашего устройства на облачном сервере MikroTik. Служба резервного копирования позволяет загружать зашифрованный файл резервной копии, загружать его и применять файл резервной копии к вашему устройству до тех пор, пока ваше устройство может подключиться к облачному серверу MikroTik. Детально о службе резервного копирования IP/Cloud.

Как сохранить конфигурацию MikroTik? На устройствах Mikrotik backup конфигурации можно сделать несколькими способами: бинарный файл (backup) и экспорт (export).

• Вариант 1. Бинарный файл (backup) этот способ создает только полную копию настроек RouterOS, сохраняя данные учетных записей и сертификаты. Бинарный файл (backup) используется ТОЛЬКО на том же оборудовании, на котором создавался! Нельзя редактировать файл. Создадим резервную копию конфигурации в консоли

  > /system backup save name=name_of_file

• Вариант 2. Экспорт конфигурации (export) создает бэкап нужного раздела или всей конфигурации RouterOS, сохраняя ее в формате *.rsc, при этом информация о паролях и сертификатах пользователя не сохраниться. Особенность создания резервной копии настроек способом export — файл конфигурации можно открыть текстовым редактором и внести изменения. Преимущество возможен импорт настроек на любом оборудовании компании Mikrotik. Команда для экспорта полной конфигурации с детальным описанием настроек, verbose — параметр, означающий экспорт с полным описанием переменных (по умолчанию export конфигурации делается с кратким описанием параметров):

  > export file=name_of_file verbose

Частичный перенос настроек Mikrotik, рассмотрим пример когда нам нужно перенести на другой Микротик настройки NAT:

> ip firewall nat export file=nat-export

Как восстановить конфигурацию MikroTik?

• Вариант 1. Для восстановить настройки Mikrotik из бинарной резервной копии (*.backup) в консоли, выполните команду:

  > system backup load name=flash/name_of_file.backup

• Вариант 2. Для восстановления резервной копии из текстового формата (.rsc) используйте команду import. Необязательный ключ verbose включает режим отладки. В режиме отладки импорт будет происходить пошагово, если конфигурация будет с ошибкой или несовместимыми параметрами, то мы поймем, на каком этапе возникает проблема и сможем отредактировать файл и попытаться импортировать снова.

  > import file-name=nat-export.rsc verbose=yes

Как сохранить бэкап на персональный компьютер? Если вы настраиваете при помощи утилиты Winbox, вы можете использовать технологию Drag&Drop, поэтому, чтобы сохранить файл резервной копии у себя на ПК, достаточно кликнуть по нему мышкой и, удерживая, перенести в любое место рабочего стола или папки.

Часто провайдеры интернета для блокирования сайтов используют блокировку при помощи DNS серверов. Или DNS сервера провайдера могу тормозить. Чтобы решить эти технические проблемы, нужно указать свободные и безопасные DNS сервера из этого списка бесплатных публичных DNS серверов. Обычно выбирают DNS от Google (8.8.8.8 и 8.8.4.4) ибо не знают других

Эта задача делится на 2 этапа – настройка DNS-серверов для самого микротика (при автоматическом назначении адреса провайдером, DNS-сервера назначаются автоматически и эту часть можно опустить).

И для настройки DNS-серверов, которые будут назначаться нашим компьютерам в локальной сети, заходим при помощи winbox, в меню IP → DHCP Server, подменю Networks, и выбираем нашу локальную сеть и указываем в поле Servers наш первый адрес DNS-сервера, затем нажимаем на стрелочку вниз правее от этого поля и вписываем адрес 2-го DNS-сервера, затем нажимаем «ОК».

Далее читаем как обновить ip адрес компьютера в Windows. Все! Поздравляю!

Не путайте эту задачу с настройкой DNS для самого Микротика, где DNS сервера назначаются автоматически провайдером, при получении IP. Для решения нашей задачи -эту настройку трогать не нужно.