Переустановка SwitchOS на коммутаторах Mikrotik

Базовая настройка Wi-Fi роутера MikroTik вручную

Мои друзья прислали обзорный гайд по стартовой настройки оборудования Mikrotik (домашнего роутера). Большое им спасибо за этот качественный материал! Читаем!

Скачиваем Winbox

Для конфигурации и управления устройствами на базе RouterOS удобно пользоваться утилитой Winbox. Для скачивания идем на официальный сайт MikroTik в раздел download (http://www.mikrotik.com/download) и ближе к низу страницы в разделе useful tools and utilities выбираем winbox.

Сброс заводских настроек роутера

Т.к. мы настраиваем роутер вручную, заводские настройки не для нас.

Подключаемся патчкордом к роутеру, подаем на него питание, запускаем Winbox. Во вкладке Neighbors, спустя некоторое время, должен появиться наш роутер. Жмем на значение во вкладке MAC Address,  оно должно появиться во вкладке Login, поле password оставляем пустым. Жмем login.

При первом запуске роутера выскакивает приветственное окно с описанием заводской конфигурации. В нем же нам предлагают сбросить настройки, нажав [remove configuration].  Можем согласиться здесь. Роутер уйдет в перезагрузку.

Для самостоятельного сброса всех настроек необходимо пройти по вкладкам  [System] > [Reset Configutaion] и, отметив пункт no default configuration, также нажать [Reset Configuration]. Как и в случае выше, роутер уйдет в перезагрузку.

Получаем роутер без каких-либо настроек или другими словами blank configuration.

Обновление прошивки

После сброса настроек желательно также обновить прошивку. Для этого, как и в первом пункте, на сайте MikroTik идем в раздел download (http://www.mikrotik.com/download). Для большинства устройств(перечень выделен) подходят прошивки из раздела MIPSBE. А для базовой настройки подходят прошивки из вкладки Main package (Current). Скачиваем.

Скачанный файл необходимо загрузить на роутер, перетащив в окно, открывшееся после нажатия на вкладку [Files]. Далее роутер необходимо перезагрузить нажатием на [System] > [Reboot]. Прошивка обновится при перезагрузке, которая может длиться чуть дольше обычного.

(в моем случае скачана прошика SMIPS, т.к. я обновляю hap lite)

После прошивки обновим загрузчик. Идем в [System] > [Routerboard]. Здесь должны быть одинаковыми поля Current Firmware и Upgrade Firmware, если не совпадают, жмем upgrade.

Версию прошивки можно посмотреть в [System] > [Packages]

Приступаем к настройке. Объединяем порты в бридж

Остальные мы объединим(сделаем bridge-LAN) в единую сеть, добавив в нее и Wi-Fi интерфейс. Главным портом(Master port) в нашей сети, допустим, будет четвертый порт(переименуем в ether4-Mater). Для этого выберем остальным портам 4-ый в качестве Master port. Делаем то же самое для оставшихся портов, кроме первого. При добавлении произойдет переподключение. Напротив настроенного порта появится буква S(slave) Мастер портом может быть выбран любой свободный порт.

Выбрав мастер порт, мы получили свитч из всех портов, кроме первого (у hap lite четыре порта).

Добавим в него Wi-Fi интерфейс. Идем в раздел [Bridge], во вкладке [bridge] создаем(синий плюсик) bridge-LAN. Кроме названия оставляем всё без изменения.

Далее во вкладке [Ports] нажатием на тот же синий плюс добавляем wlan1 в наш bridge-LAN. Грубо говоря, бридж – логическое объединение нескольких интерфейсов в один. В нашем случае, свитча и беспроводного интерфейса.

Аналогично добавим в наш бридж ether4-Master. Снова произойдет отключение от роутера. Не пугаемся. В итоге увидим следующее.

Необходимые интерфейсы объединены в бридж. Устройства будут подключаться к единому логическому пространству, несмотря на разные физические среды подключения.

Задаем IP-адрес сети и MikroTik

Идем в [IP] > [Addresses].Нажатием на синий плюс добавляем диапазон адресов, допустим 192.168.4.1/24 и присваиваем его нашему bridge-LAN. Поле Network заполнится автоматически. Теперь наш роутер доступен по адресу 192.168.4.1, а любое устройство при подключении к нему может выбрать себе адрес из диапазона 192.168.4.1/24. Пока статически и не по wi-fi. Это позже.

Подключаем MikroTik к интернету. Варианты подключения. DHCP Client

Вариантов подключения к интернету множество. В качестве примера остановимся на двух наиболее распространенных:

• Динамическое получение настроек от провайдера
• Прописывание заранее полученных параметров
• MikroTik и 4g модем

Динамический вариант настраивается следующим образом. В первый порт(ether1-WAN) подключаем кабель провайдера. Далее идем в [IP] > [DHCP-client] и в качестве интерфейса указываем ether1-WAN.

Если всё окей, то можем увидеть полученный нами IP-адрес в [IP] > [Adresses]

Роутер к интернету подключен.

Подключаем MikroTIk к интернету. Static Routes

Теперь рассмотрим вариант, когда параметры для подключения выданы нам провайдером и необходимо прописать их самостоятельно. Допустим, параметры следующие:

• IP: 192.168.1.4
• Маска 255.255.255.0
• Шлюз: 192.168.1.1
• DNS: 192.168.1.1

Прописываем IP-адрес. Идем в [IP] > [Adresses]. Добавляем новый адрес 192.168.1.4. В качестве интерфейса – ether1-WAN

Далее идем в [IP] > [Routes]. Добавляем новую запись(грубо говоря, маршрут в интернет). В поле dst.address 0.0.0.0/0 в поле gateway 192.168.1.1(наш шлюз).

Теперь в идем во вкладку [IP] > [DNS].  В поле servers прописываем 192.168.1.1(наш dns). Не забываем поставить галочку Allow Remote Request(без нее выход в интернет будет возможен только по ip-адресам).

Проверяем интернет на роутере.

Роутер подключен к интернету. Заметим, что подключенные к нему устройства выходить в интернет пока не могут.

Подключаем MikroTIk к интернету. MikroTik, 4g, Yota

Для подключения MikroTik к интернету с помощью 4g модема, роутер должен иметь на борту usb micro-USB порт. Но во втором случаем также придется прибрести и OTG-кабель.

В нашем случаем мы пользуемся usb-модемом от компании Yota, но в целом установка других модемов принципиально не отличается. Имеет значение модель модема.

После подключения модема идем в Winbox, выбираем вкладку [Interfaces], где видим новый интерфейс lte1. Выбираем его и запускаем нажатием на синюю галочку.

Запустив интерфейс, идем в [IP] > [DHCP Client]. Нажатием на синий плюс добавляем нового клиента, в качестве интерфейса которого выбираем lte1.

Проверяем интернет на роутере. Готово.

• 
• 

• 
• 

(MikroTik hAP и 4g модем от Yota)

Настройка DHCP-сервера

Чтобы подключенные к роутеру устройства могли автоматически получать все необходимые сетевые параметры для выхода в интернет, настроим dhcp-сервер. Идем во вкладку [IP] > [DHCP Server], жмем [DHCP Setup].

Выбираем интерфейс, на котором будет работать DHCP сервер.

Жмем Next и выбираем пространство адресов dhcp-сервера

Снова Next. Теперь выбираем шлюз для подключаемых устройств – наш роутер.

Next. Выбираем диапазон адресов, которые будут выдаваться подключаемым устройствам.

Next. Выбираем dns-сервер для подключаемых устройств.

Next. Выбираем время, на которое будут выдаваться сетевые параметры клиентам роутера.

Финальное Next и наш dhcp-сервер готов.

Теперь подключенное к роутеру устройство получит все необходимые сетевые параметры автоматически. Осталось настроить NAT, чтобы оно могло выходить в интернет.

Настройка NAT

NAT – Network Address translation – механизм трансляции сетевых адресов. Грубо говоря, NAT – то, с помощью чего много устройств со своими адресами могут выходить в интернет, маскируясь под одним адресом роутера. Тема большая. Ниже кратко, чтобы подключенные к нашему роутеру устройства могли выходить в интернет.

Идем в [IP] > [Firewall] > вкладка [NAT]. Добавляем новую запись. Где во вкладке General указываем всё как на фото. Идем во вкладку [Action]

Во вкладке [Action] в action указываем masquarade. Звучит:)

Соглашаемся с настройками, жмем [OK].

Настройка Wi-Fi точки доступа

Настройка Wi-Fi – большая тема. Беспроводной интерфейс имеет множетсво настроек и возможностей. Мы обойдемся минимум, который необходим для работы простого Wi-Fi-роутера.

Идем во вкладку [Wireless]. Далее [Security Profiles]. Тут новой записью мы создаем новый профиль безопасности, где в том числе создаем пароль будущей беспроводной сети. Остальные парамеры оставляем как на фото ниже.

Далее выбираем вкладку [Wireless]. Параметры, которые необходимо изменить, снова отмечены на фото. Отдельно стоить отметить параметры Frequency – частота одного из двендцати каналов диапазона 2.4 МГц, на которой будет работать наша точка доступа. Поищите информацию, как и зачем выбрать наименее занятый канал. Пока можете выбрать всё, как на фото. Ну, кроме нормального имени сети само собой.

Всё. Наконец-то наш wi-fi роутер готов к работе. Выбираем интерфейс wlan1 и запускаем его нажатием на синюю галочку. Беспроводная сеть работает. Подключаемся и проверяем доступ в интернет.

Пароль администратора

Для входа в панель управления роутером мы используем учетную запись admin без пароля. На данный момент, войти в ПУ может любой клиент нашей сети, подключившись к ней. Это нехорошо. Зададим пароль для учетки admin. Идем в [System] > [Users]. Двойным нажатием выбираем пользователя admin. В открывшемся окне жмем [password] и задаем пароль.

Друзья! Вступайте в нашу группу Вконтакте, чтобы не пропустить новые статьи! Хотите сказать спасибо? Ставьте Like, делайте репост! Это лучшая награда для меня от вас! Так я узнаю о том, что статьи подобного рода вам интересны и пишу чаще и с большим энтузиазмом!

Также, подписывайтесь на наш канал в YouTube! Видео выкладываются весьма регулярно и будет здорово увидеть что-то одним из первых!

Только у нас, в Санкт-Петербурге, проводятся официальные тренинги обучение Mikrotik по программам: MTCNA, МTCRE, MTCTCE, MTCWE,MTCINE, MTCUME, под руководством сертифицированного тренера. Успейте зарегистрироваться, пройти обучение и получить сертификат специалиста Микротик.

Подробнее о программах и тренингах на сайте нашего партнёра!

Имя латвийской компании MikroTik, производителя сетевого аппаратного оборудования и программного обеспечения, широкому кругу пользователей известно мало. И это странно.

Парадокс в том, что прибалтийский бренд, точнее его продукция – это классический образец качества, которое у нас принято называть «немецким», причем стоит эта технологическая роскошь удивительно недорого, даже по меркам отечественного рынка.

Ситуация объясняется просто: оборудование MikroTik — это, прежде всего, сегмент малых или «домашних» сетей, от которого ожидаешь простоты таких марок, как: TP-Link, Tenda, Zyxel. Тем более его цена соответствует классу.

По факту: диапазон и архитектура настроек роутера MikroTik столь сложны, детальны и профессионально «тонки», что отпугивают даже «матерых» IT-специалистов и администраторов. Функциональные возможности Микротик впору сравнивать с ресурсами телекоммуникационных систем вроде Cisco или Juniper.

Однако те, кто по долгу службы или по причине острой жизненной необходимости настраивал маршрутизаторы MikroTik, отзываются об этом процессе, как о вполне адекватном, требующем лишь уровня базовых знаний сетей и желания. Остальные граждане, в любом случае, будут звать поддержку.

Именно для желающих разобраться в секретах и парадоксах Микротик этот материал.

Только факты о функционале MikroTik

Основа производства предприятия MikroTik — разнообразные сетевые девайсы — «железо», часто называемое общим термином RouterBoard и собственное ПО, с ядром в виде операционной системы RouterOS на базе Linux. Цель программно-аппаратного продукта компании — малые и средние проводные и беспроводные сети.

Однако существует ряд масштабных, на уровне государства, проектов, где основой сетевой инфраструктуры стало оборудование MikroTik.

Главная «фишка» прибалтийского бренда — расширенный до предела функционал в теле обычного «домашнего» роутера.

• Поддержка большинства современных протоколов маршрутизации.
• Стабильная работа и совместимость с новой версией IP — IPv6.
• Гибкая настройка сервиса трафика относительно необходимых приоритетов и класса (QoS).
• Наличие собственного API(интерфейса программирования), который делает управление и настройку MikroTik эффективными, независимо от требований рабочей среды.
• Корректная работа MikroTik в сетях 4g, благодаря встроенным параллельно с WI-FI, gsm модулям. Эффективность решения доказана тестами и практикой.
• Возможность установки RouterOS на любой компьютер с целью превращения его в маршрутизатор с набором необходимых случаю функций.
• Графический интерфейс WinBox, который переводит в визуальную плоскость все программные процессы системы или устройства, позволяя управлять ими быстро и точно.

Это основные, наиболее востребованные функции, но далеко не все. При необходимости, на базе RouterOS можно развернуть сеть любого масштаба и архитектуры, не ограничиваясь рамками «домашней».

Преимущества и недостатки MikroTik (а как иначе?)

Достоинства любого маршрутизатора MikroTik очевидны для тех, кто желает получить в управление умную и нужную вещь.

• Роутер Микротик всегда продается в комплекте с полным пакетом информации по эксплуатации и данными для настройки.
• Обновление ПО и прошивки устройства происходят регулярно, сделать это легко, компания «трепетно» следит за этим.
• Высокий, явно выше среднего, уровень детализации настроек в сравнении с роутерами других брендов.
• Собственное программное обеспечение, с основой в виде операционной системы MikroTik RouterOS.
• Надежная работа оборудования и системы в целом, которая не требует вмешательства долгое время.
• Конечно же, цена! Устройства такого класса, относительно именитых производителей, стоят ощутимо дороже, уступая при этом, в качестве и функциональных возможностях.

Это явные достоинства, теперь для объективности, немного разной степени тяжести недостатков.

• Активное развитие программно-аппаратного обеспечения Микротик, не всегда вовремя подкреплено актуальной документацией и мануалами.
• Маршрутизация трафика объемом выше 10 Гбит/сек оптимальный потолок стабильности, дальше возможны проблемы.
• Относительно сложная настройка роутеров MikroTiк, даже при доступном мануале с подробнейшим описанием шагов, отпугивает рядовых пользователей.

В принципе это все. Добавим один момент. В связи с вялым маркетингом бренд действительно знаком лишь узкому кругу посвященных. Поэтому купить MikroTik — это либо самому нырять в детали настройки, либо – искать редкого специалиста и беречь его, как родного.

Но есть и плюс, на который, кстати, жалуются профильные компании. Установленная и грамотно настроенная проводная или сеть wifi MikroTik стабильно работает и не требует сервиса. Тем самым, лишая установщика законной и желанной платы за вызовы.

Популярные модели маршрутизаторов MikroTik

Чем особенным марка может заинтересовать покупателя сегодня? Вот несколько устройств из ассортимента питерского реселлера Микротик, компании Miniroute, их тех, что продаются с пометкой «топ продаж».

MikroTik rb951g 2hnd — WI-FI (беспроводной) роутер, который обладает максимально возможной производительностью, обоснованной 600 МГц процессора Atheros и 128 МБ «оперативы».

По сути, Routerboard 951g 2hnd — это полноценный компьютер, заключенный в малогабаритный корпус. Если вам нужен совершенный роутер для домашней или небольшой (до 40 человек) офисной сети, то это он.

• Разграничение скорости по MAC и IP.
• Одновременное подключение нескольких провайдеров.
• Создание WI-FI точек, с возможностью разделения на рабочие и гостевые.

MikroTik 951g 2hnd — идеальное решение для организации HotSpot в нужном месте. И это лишь малая часть возможностей устройства.

MikroTik rb951ui 2hnd очень похож на вышеописанную модель WI-FI роутера Микротик 951-й серии, но разница в деталях все же присутствует. Например:

• Роутер имеет 5 портов 10/100 Мбит/с, против 5×10/100/1000 Мбит/с. у rb951g 2hnd.
• Или 5-й порт устройства может использоваться как PoE терминал.

MikroTik Routerboard rb951ui 2hnd часто применяют в роли репитера, девайса, который ретранслирует сигнал основного роутера. В данном качестве, устройство работает как превосходный усилитель сигнала на этаже или между этажами.

Программная начинка, как и у большинства маршрутизаторов MikroTik 750/951 серий собственная «ось» RouterOS 4 уровня, превращающая скромную пластиковую коробочку в серьезный мультифункциональный комбайн по смешной цене.

ROUTERBOARD 2011IL-RM — бюджетный вариант проводного маршрутизатора MikroTik сегмента SOHO с возможностью размещения в телекоммуникационную стойку. Таким образом, устройство в любой момент может быть интегрировано в более масштабный и сложный проект.

В отличие от роутеров серии MikroTik 951, линейка RB2011, это все же больше офисное оборудование, функционал которого подчинен задачам средних сетей с повышенной пропускной способностью.

В остальном, это обновленный процессор Atheros 600 МГц MIPS-BE и операционная система RouterOS 4 уровня, допускающая бесконечные возможности расширения функционала без потери стабильности.

Серия CCR

Указанная линейка роутеров — относительная новинка на рынке. На модели из этого ряда стоит обратить внимание организациям с числом сотрудников до 200 человек.

Профессиональное оборудование с универсальными возможностями в плане монтажа и конфигурации, оснащенное встроенными источниками питания и программно построенное вокруг RouterOS 6 уровня — это просто находка для небольших копаний, деятельность которых зависит от скорости и стабильности цифровых сетей.

В качестве заключения. С точки зрения профессионала, бренду MikroTik не хватает активного маркетингового продвижения. Создания вокруг марки, инфраструктуры с обучающими программами и доступной поддержкой производителя.

В остальном, MikroTik — это стабильность, функциональность и профессионализм. По разумной цене.

Видео по настройке роутера MikroTik RB951

1. Лёгкий вред: после проведенной атаки был изменён Identity, закрыты порты 8192, 80, 443, зато открыт порт 22, пароль администратора оставлены без изменений;
2. Средний вред: все перечисленные выше порты открыты, но пароль администратора изменён;
3. Тяжёлый вред: пароль администратора изменён, закрыты порты ssh, www, www-ssl Winbox. Доступ только через serial-port и MAC-Winbox.

Я столкнулся со всеми тремя проблемами. Взломаны были как обычные маршрутизаторы на платформе MIPS так и серьезные на PowerPC (ppc).

Легкий взлом

Последствия такой атаки быстро устраняются. Для этого подключаемся к оборудованию по ssh, и введя команду /ip service print, видим, что сервисы, просто-напросто, отключены (Disable).

Следующей командой выключаем сервис winbox.

/ip service enable winbox

Остальные подключаются по аналогии или с помощью winbox’а. Убедитесь, что выполнение предыдущей команды прошло успешно.

/ip service print

После этого можно подключаться к оборудованию через Winbox, поменять все пароли, выполнить резервное копирование конфигурации и обновить RouterOS.

Средний

Последствия среднего взлома без сторонней программы устранить нельзя. Если интерфейс webfig остается доступным, а пароль злоумышленник изменил, то для восстановления доступа понадобится загрузить программу RouterScan. Официальный сайт: http://stascorp.com/load/1-1-0-56 Скачиваем на компьютер, распаковываем и запускаем. Откроется окно программы. Найдите строку Enter IP Ranges to scan. Справа от этой фразы кликаем по кнопке [E]. Затем в открывшемся диалоговом окне стираем всё и вводим IP-адрес своего роутера. После этого нажимаем кнопку Start Scan.

После сканирования прога выведет связку «Login-Password»

После чего необходимо, как и в первом случае, подключаться к оборудованию, изменить пароли доступа к маршрутизатору, сохранить на компьютер резервную копию конфигурации и установить update.

Тяжелый

Уязвимость, которая эксплуатируется для восстановления паролей описал в статье на своей страничке специалист по кибербезопасности Alireza Mosajja, с ником n0p. https://n0p.me/winbox-bug-dissection/. Он же является автором скрипта для чтения паролей с роутера бездеструктивным методом.

Итак, в RouterOS начиная с версии 6.29 и заканчивая 6.42 с помощью скрипта написанного на Python’е и размещенного в общем доступе на Github, возможно увидеть текущий пароль админа при условии, если порт для подключения с помощью Winbox открыт.

для RouterOS bugfix 6.40.8 и current 6.42.5 и данный метод не подходит

Для запуска понадобится Python с pwntools. Я воспользовался уже установленной версией Ubuntu 16.04 LTS, где скрипт заработал, что называется, «из коробки» — сразу, не потребовав до установить pwntools. Для более ранних дистрибутивов без pwntools воспользуйтесь инструкцией, приведенной в официальной документации к pwntools. В примере скачиваем в домашнюю директорию пользователя:

owner@mikrotik:~$cd /home/owner/ owner@mikrotik:~$ wget -r https://github.com/BigNerd95/WinboxExploit/archive/master.zip

после завершения скачивания у Вас появится вложенные папки github.com/BigNerd65/WinboxExploit/archive/master.zip . Далее распаковываем скаченный архив.

owner@mikrotik:~$ unzip /home/owner/github.com/BigNerd95/WinboxExploit/archive/master.zip

на выходе получится директория WinboxExploit, в которой содержится, интересующий нас скрипт WinboxExploit.py. Запускается всего с одним параметром — IP-адресом, либо MAC-адрес роутера. И если все пройдет успешно, вы увидите историю паролей, применявшихся на роутере, где последний текущий. Важно! Перед применением обязательно удостоверьтесь, что указываемый в параметре скрипта адрес принадлежит вашему собственному роутеру!

После того как вы вернули доступ к управлению роутером задайте новые пароли, выполните резервное копирование конфигурации, скачайте с сайта производителя обновленную прошивку.

Очень надеюсь, что данная статья поможет вам сохранить часы жизни и нервные клетки.

Используемые источники:

• https://litl-admin.ru/zhelezo/mikrotik-configure-manual.html
• http://mikrotik.spb.ru/index.php
• https://marketlines.ru/%d1%81%d0%b1%d1%80%d0%be%d1%81-%d0%bf%d0%b0%d1%80%d0%be%d0%bb%d1%8f-%d0%bd%d0%b0-mikrotik-%d1%81-%d1%81%d0%be%d1%85%d1%80%d0%b0%d0%bd%d0%b5%d0%bd%d0%b8%d0%b5%d0%bc-%d0%ba%d0%be%d0%bd%d1%84%d0%b8%d0%b3/