Различия

Показаны различия между двумя версиями страницы.


Предыдущая версия
mikrotik [2025/07/06 12:39] (текущий) – внешнее изменение 127.0.0.1
Строка 1: Строка 1:
 +====== Сети на основе оборудования MikroTik: Настройка MikroTik ======
  
 +~~Title: Настройка MikroTik RB2011UiAS-2HnD-IN, Mikrotik RB750 ~~
 +{{htmlmetatags>
 +metatag-description=(Настройка модели MikroTik RB2011UiAS-2HnD-IN. Настройка клиента OpenVPN для MikroTik RB2011UiAS-2HnD-IN, Mikrotik RB750)
 +}}
 +
 +Mikrotik выпускает специализированные сетевые компьютеры, которые могут применяться как маршрутизаторы или точки доступа.
 +
 +**Что такое MikroTik RouterOS?** RouterOS - это сетевая операционная система на базе Linux. RouterOS предназначена для установки на маршрутизаторы MikroTik RouterBoard. Версия [[MikroTik Cloud Hosted Router]] (CHR) предназначена для работы в качестве виртуальной машины на VPS/VDS.
 +
 +  * На сайте MikroTik [[https://mikrotik.com/product/RB2011UiAS-2HnD-IN|RB2011UiAS-2HnD-IN]]
 +  * [[https://www.technotrade.com.ua/Articles/mikrotik_router_setup.php#local_network_setup|Настройка локальной сети MikroTik]] все время забываю прописывать IP на бридж:(
 +===== Пошаговая инструкция VPN клиент для MikroTik RB2011UiAS-2HnD-IN и Mikrotik RB750 =====
 +
 +
 +{{::mikrotik_rb2011uias-2hnd-in.jpg|}}
 +
 +  -  Скачиваем winbox и подключаемся к маршрутизатору.
 +  -  Обновляем RouterOS маршрутизатора до последней версии 6.46.6. Необходимо зайти на сайт по адресу [[https://www.mikrotik.com/download]] и скачать последнюю прошивку для вашего маршрутизатора, и обновить через программу winbox. {{ ::update_rb2011uias-2hnd-in.jpg?nolink&400 |}}
 +    - При помощи утилиты winbox, переходим в раздел Files и копируем туда наши сертификаты: mikrotikd30ver2.crt, mikrotikd30ver2.key, которые были созданы на [[openvpn#shag_7sozdanie_sertifikata_i_pary_kljuchej_dlja_klienta|ШАГ 7]] {{ ::mikrotik_openvpn_files.jpg?nolink&400 |}}
 +    - Далее импорт сертификатов: идём в раздел System – Certificates, выбираем поочередно сертификаты из списка mikrotikd30ver2.crt->mikrotikd30ver2.key и жмём кнопку Import{{ ::mikrotik_openvpn_01.jpg?nolink&400 |}} Обращаю внимание на символы KT слева от названий сертификатов. Они обязательно должны быть у вас. Если сертификат и приватный ключ не соответствуют друг другу, то одного символа не будет.{{ ::mikrotik_openvpn_02.jpg?nolink&400 |}}
 +
 +===== Параметры OpenVPN клиента для MikroTik =====
 +
 +Само соединение OpenVPN настраивается в меню PPP->Нажимаем кнопку «+» -> в выпадающем списке выбираем OVPN Client.
 +{{ ::mikrotik_openvpn_03.jpg?nolink&400 |}}
 +
 +На вкладке Dial Out указываем адрес сервера, логин/пароль, порт, клиентский сертификат и тип шифрования. В простейшем случае, достаточно указать ip vpn сервера, порт, на котором он принимает входящие соединения и сертификат. Все остальное можно не трогать. В поле User можно писать все, что угодно.
 +
 +{{ ::parametry_klienta_openvpn_mikrotik.jpg?nolink&400 |}}
 +
 +Сохраняете подключение. Теперь клиент на Микротике должен автоматически подключиться к openvpn серверу. Если этого не происходит, смотрите в чем проблема в логах на роутере или на сервере. На данном этапе все стандартно, должно заработать без проблем.
 +
 +===== Проверка подключения OpenVPN клиента RouterOS MikroTik или как установить второй сервер OpenVPN =====
 +Запускаем в Winbox  терминал и вводим команды interface ovpn-client жмем Enter, monitor жмем Enter, указываем номер интерфейса в моем случае 0.
 +
 +И вижу чудесную ошибку: интерфейс ovpn в микротике не поднялся и в логах удаленного сервера ничего нет!! Чудесно!:)
 +
 +{{ ::mikrotik_openvpn_disconnected.jpg?nolink&400 |}}
 +
 +
 +Решение проблемы - это установка второго сервера OpenVPN для поддержки корявого Микротик:
 +
 +<note warning>RouterOS работает с OpenVPN только по протоколу TCP и не использует сжатие.</note>
 +
 +Кратко **для поднятия второго сервера OpenVPN достаточно поменять порт, сертификаты** как выпускали так и выпускаем согласно [[openvpn#shag_2ustanovka_openvpn_ubuntu|руководству]]. Для совместимости с RouterOS MikroTik меняем или комментируем параметры в конфиге сервера OpenVPN:<file>
 +proto tcp
 +;tls-auth ta.key 0
 +;key-direction 0
 +ncp-disable
 +cipher BF-CBC
 +auth SHA1
 +;compress lz4-v2
 +;push "compress lz4-v2"
 +;comp-lzo
 +</file>
 +Чтобы обеспечить автоматический запуск всех серверных конфигураций (тестировалось Debian, Ubuntu) OpenVPN откроем в /etc/default/openvpn и раскомментируем в нем строку:
 +<file bash>
 +AUTOSTART="all"
 +</file>
 +Затем перечитаем конфигурацию юнитов systemd:
 +<file bash>
 +systemctl daemon-reload
 +</file>
 +Добавьте правило nat для локальной сети, например так:
 +
 +<file bash>
 +iptables-save -f iptables
 +
 +nano iptables
 +...
 +:POSTROUTING ACCEPT [0:0]
 +-A POSTROUTING -s 10.8.0.0/24 -o eth0 -j SNAT --to-source xxx.xxx.xxx.141
 +-A POSTROUTING -s 10.9.0.0/24 -o eth0 -j SNAT --to-source xxx.xxx.xxx.142
 +COMMIT
 +...
 +
 +iptables-restore iptables
 +</file>
 +Теперь можно перезапустить службу OpenVPN и убедиться, что поднялись два туннельных интерфейса:
 +<file bash>
 +systemctl restart openvpn
 +</file>
 +
 +В конечном итоге я получил подключение на Микротик. Смотрим скриншот:))
 +{{ ::mikrotik_openvpn_connected.jpg?nolink&400 |}}
 +
 +====== Настройка MikroTik RB2011UiAS-2HnD-IN ======
 +Для настройки MikroTik существует 2 варианта, 2 пути:
 +
 +**1 путь:** Втыкать (именно сидеть и втыкать с [[buben_na_schaste|бубном]]) в это официальное руководство {{ ::mikrotik_settings.pdf |}}
 +
 +**2 путь:** Обновить железку до последней стабильной версии (не забудьте обновить загрузчик, хотя это не критично System->RouterBOARD). Если ваш провайдер, а чаще всего так и есть, отдает интернет dhcp вставьте от него провод [[vitaja_para|витой пары]] в порт (в моем случае ether1) и сделайте сброс конфигурации Микротика:
 +
 +  -   Откройте меню System - Reset Configuration.
 +  -   **НЕ ставьте** галочку No Default Configuration — не устанавливать конфигурацию по умолчанию.
 +  -   Поставьте галочку Do Not Backup — не создавать резервную копию настроек перед перезагрузкой.
 +  -   Нажмите кнопку Reset Configuration.
 +
 +После перезагрузки будет установлен настроечный скрипт и у меня все заработало из коробки. Единственно WiFi сеть доступна без пароля, но у думаю включить WPA2 и вписать пароль в вкладке Quick Set (подключался через winbox) не составит труда. На скриншоте пометил где установить пароль на wifi в MikroTik RB2011UiAS-2HnD-IN:
 +
 +{{ :mikrotik_rb2011uias-2hnd-in_bystraja_nastrojka_wiki.dieg.info.jpg?600 |}}
 +
 +====== Сброс настроек MikroTik RB2011UAS-2HnD-IN ======
 +Подробно как [[https://www.technotrade.com.ua/Articles/mikrotik_reset.php|сбрасывать любые модели Микротиков]].
 +
 +Для сброса MikroTik RB2011UAS-2HnD-IN — аппаратного маршрутизатора со встроенным модулем WiFi не обязательно разбирать устройство. На боковой панели вставить небольшую отвертку в технологическое отверстие и нажать кнопку Reset 
 + отверткой.
 +
 +Если вы не отпустите кнопку Reset и дождетесь, когда индикатор ACT перестанет мигать, то устройство перейдет в режим Netinstall для переустановки операционной системы RouterOS.
 +
 +====== Как настроить удаленный доступ ssh, winbox к Mikrotik ======
 +  - В меню Mikrotik IP -> Services для сервиса winbox нужно установить Available From = 0.0.0.0/0
 +  - Разрешаем все входящие подключения для [[openvpn|OpenVPN]] или внешнего интерфейса
 +
 +====== Как использовать команду tracert (traceroute) Mikrotik ======
 +Запуск команды  [[traceroute|traceroute]]  Mikrotik RouterOS мягко скажем не как у всех, она изолированно не запускается, а только как ключ. Чтобы сократить ввод вы можете сначала перейти в контекст /tool и нажать Enter.
 +
 +<file bash>
 +[admin@MikroTik] > /tool traceroute dieg.info
 +</file>
 +{{ ::traceroute_mikrotik.jpg?nolink |}}
 +
 +Если вы попробуете запустить её на прямую, то получите ошибку: bad command name traceroute (line 1 column 1).
 +
 +====== Как сохранить (бекапить), перенести и восстановить настройки Mikrotik RouterOS ======
 +
 +Функция резервного копирования RouterOS позволяет сохранить текущую конфигурацию устройства, которую затем можно повторно применить на том же или другом устройстве (с тем же названием / номером модели). Это очень полезно, поскольку позволяет без труда восстанавливать конфигурации устройства или повторно применять ту же конфигурацию на устройстве резервного копирования. Файл резервной копии системы также содержит MAC-адреса устройства, которые также восстанавливаются при загрузке файла резервной копии.
 +
 +
 +[[https://github.com/BigNerd95/RouterOS-Backup-Tools|Утилита routeros-backup-tool]] для упаковки/распаковки и шифрования/дешифрования бэкапов RouterOS.
 +
 +Начиная с RouterOS v6.44, можно хранить резервную копию вашего устройства на облачном сервере MikroTik. Служба резервного копирования позволяет загружать зашифрованный файл резервной копии, загружать его и применять файл резервной копии к вашему устройству до тех пор, пока ваше устройство может подключиться к облачному серверу MikroTik. Детально о [[https://wiki.mikrotik.com/wiki/Manual:IP/Cloud#Backup|службе резервного копирования IP/Cloud]].
 +
 +**Как сохранить конфигурацию MikroTik?** На устройствах Mikrotik backup конфигурации можно сделать несколькими способами: бинарный файл (backup) и экспорт (export). 
 +  * Вариант 1. Бинарный файл (backup) этот способ создает только полную копию настроек RouterOS, сохраняя данные учетных записей и сертификаты. Бинарный файл (backup) используется ТОЛЬКО на том же оборудовании, на котором создавался! Нельзя редактировать файл. Создадим резервную копию конфигурации в консоли<file bash>
 +> /system backup save name=name_of_file
 +</file>
 +  * Вариант 2. Экспорт конфигурации (export) создает бэкап нужного раздела или всей конфигурации RouterOS, сохраняя ее в формате *.rsc, при этом информация о паролях и сертификатах пользователя не сохраниться. Особенность создания резервной копии настроек способом export — файл конфигурации можно открыть текстовым редактором и внести изменения. **Преимущество возможен импорт настроек на любом оборудовании компании Mikrotik**. Команда для экспорта полной конфигурации с детальным описанием настроек, verbose — параметр, означающий экспорт с полным описанием переменных (по умолчанию export конфигурации делается с кратким описанием параметров):<file bash>
 +> export file=name_of_file verbose
 +</file>
 +{{ ::backup_polnoj_konfiguracii_mikrotik.jpg?nolink |}}
 + Частичный перенос настроек Mikrotik, рассмотрим пример когда нам нужно перенести на другой Микротик настройки [[NAT|NAT]]:<file bash>
 +> ip firewall nat export file=nat-export
 +</file>
 +
 +**Как восстановить конфигурацию MikroTik?**
 +  * Вариант 1. Для восстановить настройки Mikrotik из бинарной резервной копии (*.backup) в консоли, выполните команду:<file>
 +> system backup load name=flash/name_of_file.backup
 +</file>
 +  * Вариант 2. Для восстановления резервной копии из текстового формата (.rsc) используйте команду import. Необязательный ключ verbose включает режим отладки. В режиме отладки импорт будет происходить пошагово, если конфигурация будет с ошибкой или несовместимыми параметрами, то мы поймем, на каком этапе возникает проблема и сможем отредактировать файл и попытаться импортировать снова.<file bash>
 +> import file-name=nat-export.rsc verbose=yes
 +</file>
 +**Как сохранить бэкап на персональный компьютер?** Если вы настраиваете при помощи утилиты Winbox, вы можете использовать технологию Drag&Drop, поэтому, чтобы сохранить файл резервной копии у себя на ПК, достаточно кликнуть по нему мышкой и, удерживая, перенести в любое место рабочего стола или папки.
 +====== Настройка MikroTik: как указать свои DNS-сервера ======
 +Часто провайдеры интернета для блокирования сайтов используют блокировку при помощи DNS серверов. Или DNS сервера провайдера могу тормозить. Чтобы решить эти технические проблемы, нужно указать свободные и безопасные DNS сервера из этого списка [[spisok_besplatnyx_publichnyx_dns_serverov|бесплатных публичных DNS серверов]]. Обычно выбирают DNS от Google (8.8.8.8 и 8.8.4.4) ибо не знают других :-)
 +
 +{{ ::mikrotik_dns_google_nastroit.jpg?nolink&600 |}}
 +
 +Эта задача делится на 2 этапа – настройка DNS-серверов для самого микротика (при автоматическом назначении адреса провайдером, DNS-сервера назначаются автоматически и эту часть можно опустить).
 +
 +И для настройки DNS-серверов, которые будут назначаться нашим компьютерам в локальной сети, заходим при помощи winbox, в меню IP -> DHCP Server, подменю Networks, и выбираем нашу локальную сеть и указываем в поле Servers наш первый адрес DNS-сервера, затем нажимаем на стрелочку вниз правее от этого поля и вписываем адрес 2-го DNS-сервера, затем нажимаем «ОК». 
 +
 +
 +Далее читаем [[windows#kak_obnovit_ip_adres_kompjutera_v_windows|как обновить ip адрес компьютера в Windows]]. Все! Поздравляю!
 +
 +**Не путайте эту задачу с настройкой DNS для самого Микротика**, где DNS сервера назначаются автоматически провайдером, при получении IP. Для решения нашей задачи -эту настройку трогать не нужно.
 +
 +Читайте также: [[wireguard|Настраиваем клиента Wireguard на Mikrotik]]

📌 Удобный подбор VPS по параметрам доступен на DIEGfinder.com - официальном инструменте проекта DIEG. Это часть единой экосистемы, созданной для того, чтобы помочь быстро найти подходящий VPS/VDS сервер для любых задач хостинга.

📌 Для тестирования скриптов, установщиков VPN и Python-ботов рекомендуем использовать надежные VPS на короткий срок. Подробнее о быстрой аренде VPS для экспериментов - читайте здесь.

💥 Подпишись в Телеграм 💥 и задай вопрос по сайтам и хостингам бесплатно!