Тема: Вот роутер, что дальше?

[Dragon_Knight]

Данная тема является неким сводом логики и здравого смысла по первоначальной настройки роутера MikroTik, содержащие реальные советы и примеры, а не опасные рекомендации некоторые, якобы сертифицированных специалистов, чьи советы или бессмысленны или просто опасны, но это лирика...
Тема ведётся в формате тезисов и рассуждения в режиме редактирования и добавления новой информации

Перепрошивка через Netinstall: ПоказатьСкрыть

Неважно, новый, купленный на Авито, роутер клиента с неизвестной историей, личный роутер который работает год и хочется обновится, - в любой ситуации первое что нужно сделать это перепрошить железку. Во первых это хороший повод ознакомится с новыми возможностями OS и 'освежить' свой конфиг. Во вторых перепрошивка форматирует системный диск и если в нем есть серьёзная проблема, я считаю пусть железка умрёт на этапе настройки чем на проде.
Не бойтесь убить железку Netinstall'ом, это почти невозможно, а если у Вас получилось, то это явный аппаратный дефект и путь ей обратно в магазин.

Не подключайте WAN до настройки: ПоказатьСкрыть

Всегда, при сбросе и перепрошивки отключайте все WAN ( кабель провайдера, модем, ... ). В интернете бесчисленное множество ботов которые так и норовят что то взломать и завладеть, а учитывая что MikroTik по умолчанию имеет логику "разрешено всё", то Ваша новая железка может стать просто красивой коробочкой.
"но у меня подключение PPPoE/dhcp/серый ip и без настроек роутер не имеет выход в инет" - а в 'чистоте' сети Вашего провайдера Вы уверены?

С чего начать настройку: ПоказатьСкрыть

Первое, - создайте нового пользователя в разделе "System/Users" с правами full и после этого удалите учётную запись admin. Не используйте в качестве логина admin, root, user. После этого переключитесь к роутеру под новым пользователем. На данном этапе можно быть почти уверенным что во время настройки никто кроме вас у роутеру не подключится.

Второе, - Создайте списки LAN и WAN интерфейсов "interfaces/interface list/lists". При этом не стоит засовывать в них всё бездумно, например если есть мост который включает eth2-5, то достаточно в список добавить сам мост а не все интерфейсы.

Код: [Выделить]

/interface list add name=WANs
/interface list add name=LANs
/interface list member add interface=ISP-PPPOE list=WANs
/interface list member add interface=BRIDGE-LAN list=LANs
Третье, - добавьте ещё больше защиты. Для этого в разделе "IP/Neighbors/Neighbor discovery" выберите созданный выше LAN список интерфейсов. Роутер будет сообщать о своём присутствии только в Вашу локальную сеть а не в мир. Далее переведите MAC-Server тоже для работы только изнутри локальной сети, для этог в разделе "Tools/MAC Server" во всех кнопочках выберите созданный выше LAN список интерфейсов.

Код: [Выделить]

/ip neighbor discovery-settings set discover-interface-list=LANs
/tool mac-server set allowed-interface-list=LANs
/tool mac-server mac-winbox set allowed-interface-list=LANs

Третье, - на этапе когда уже понятны локальные подсети запретите доступ к службам роутера из вне. Делается это в разделе "IP/Services". Отключайте всё, что Вам не нужно, а в 99% случаев Вам нужно только "ssh, winbox, www" и всё остальное нужно отключить. Всё что осталось включено открывайте и в строке "Available From" прописывайте откуда можно подключаться. Сразу спешу ответит на вопрос: Нет, из интернета подключаться к роутеру нельзя ( технически можно но здравый смысл этого делать не позволит. Можно через VPN, но это уже совсем другая история (с) ).

Код: [Выделить]

/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.0.0/24
set www-ssl disabled=yes
set ssh address=192.168.0.0/24
set api disabled=yes
set winbox address=192.168.0.0/24
set api-ssl disabled=yes