Global Зone

Новости:

  • У нас есть игровые сервера Minecraft и Terraria, присоединяйтесь.

Вот роутер, что дальше?

Dragon_Knight · 3942

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Dragon_Knight

  • Администратор
  • Рыцарь форума
  • *****
    • Сообщений: 199
    • Карма: 22
    • Пол: Мужской
  • Сунетесь к лучшим - умрёте всей кучей!
: 29 Июня 2022, 00:35:54
Цитировать
Данная тема является неким сводом логики и здравого смысла по первоначальной настройки роутера MikroTik, содержащие реальные советы и примеры, а не опасные рекомендации некоторые, якобы сертифицированных специалистов, чьи советы или бессмысленны или просто опасны, но это лирика...
Тема ведётся в формате тезисов и рассуждения в режиме редактирования и добавления новой информации

Перепрошивка через Netinstall: ПоказатьСкрыть

Неважно, новый, купленный на Авито, роутер клиента с неизвестной историей, личный роутер который работает год и хочется обновится, - в любой ситуации первое что нужно сделать это перепрошить железку. Во первых это хороший повод ознакомится с новыми возможностями OS и 'освежить' свой конфиг. Во вторых перепрошивка форматирует системный диск и если в нем есть серьёзная проблема, я считаю пусть железка умрёт на этапе настройки чем на проде.
Не бойтесь убить железку Netinstall'ом, это почти невозможно, а если у Вас получилось, то это явный аппаратный дефект и путь ей обратно в магазин.



Не подключайте WAN до настройки: ПоказатьСкрыть

Всегда, при сбросе и перепрошивки отключайте все WAN ( кабель провайдера, модем, ... ). В интернете бесчисленное множество ботов которые так и норовят что то взломать и завладеть, а учитывая что MikroTik по умолчанию имеет логику "разрешено всё", то Ваша новая железка может стать просто красивой коробочкой.
"но у меня подключение PPPoE/dhcp/серый ip и без настроек роутер не имеет выход в инет" - а в 'чистоте' сети Вашего провайдера Вы уверены?



С чего начать настройку: ПоказатьСкрыть

Первое, - создайте нового пользователя в разделе "System/Users" с правами full и после этого удалите учётную запись admin. Не используйте в качестве логина admin, root, user. После этого переключитесь к роутеру под новым пользователем. На данном этапе можно быть почти уверенным что во время настройки никто кроме вас у роутеру не подключится.

Второе, - Создайте списки LAN и WAN интерфейсов "interfaces/interface list/lists". При этом не стоит засовывать в них всё бездумно, например если есть мост который включает eth2-5, то достаточно в список добавить сам мост а не все интерфейсы.
/interface list add name=WANs
/interface list add name=LANs
/interface list member add interface=ISP-PPPOE list=WANs
/interface list member add interface=BRIDGE-LAN list=LANs

Третье, - добавьте ещё больше защиты. Для этого в разделе "IP/Neighbors/Neighbor discovery" выберите созданный выше LAN список интерфейсов. Роутер будет сообщать о своём присутствии только в Вашу локальную сеть а не в мир. Далее переведите MAC-Server тоже для работы только изнутри локальной сети, для этог в разделе "Tools/MAC Server" во всех кнопочках выберите созданный выше LAN список интерфейсов.
/ip neighbor discovery-settings set discover-interface-list=LANs
/tool mac-server set allowed-interface-list=LANs
/tool mac-server mac-winbox set allowed-interface-list=LANs

Третье, - на этапе когда уже понятны локальные подсети запретите доступ к службам роутера из вне. Делается это в разделе "IP/Services". Отключайте всё, что Вам не нужно, а в 99% случаев Вам нужно только "ssh, winbox, www" и всё остальное нужно отключить. Всё что осталось включено открывайте и в строке "Available From" прописывайте откуда можно подключаться. Сразу спешу ответит на вопрос: Нет, из интернета подключаться к роутеру нельзя ( технически можно но здравый смысл этого делать не позволит. Можно через VPN, но это уже совсем другая история (с) ).
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.0.0/24
set www-ssl disabled=yes
set ssh address=192.168.0.0/24
set api disabled=yes
set winbox address=192.168.0.0/24
set api-ssl disabled=yes

НЕ НАЖИМАТЬ! Там дракон!: ПоказатьСкрыть
                              _        _
                          _.-'/   _.:'`/
                        ,'`   ( ,:;.-'`(
                      .'      .:'`      \
                     /       //    _.-'; )
                   _/      _//_.-;:-'``/
            //|    \      \  .-'`      \                                 ,
           || /_,-,_|      | `""--..__  \                  .-'```'-.     )\
      _.--'_  '-;_/_)_     |(``""'---.;"/-,.-.  _         /  .---.  \  .'  \
     /6    ^`     ':_/     | "-._    .-'../__ )' ',.-. _ |  /     \  ;/_  _/
     `-----`--'.    \_)    ;|`"-.;-./        `""--;.__) ',-.      (| |  ||
               {\   |_/\   \\    _.'                  `"-;_ )'-,_(`/ ;_.'/
              {=|   |)  \.-"\\  /                          `'-.;_:'  /_.'
              {=|    \_.'    )) '        /                          /
              {=|     ,                 |      ,                _.-'
               {=;     `""--.            \    '.       __,.---'`
                {=\          `\           '._   '._.-"`
          _,.--"`;{\ '-.._    /        __,..-'-._ '.
         (((/==)/ _`;.--'"` .'--""""```  .--"```    )
          ```  ' (((/====```            ((((/======'
                  ```                    ```