Настройка маршрутизатора MikroTik hEX PoE lite RB750Upr2
Содержание
- Содержание
- Введение
- Сброс к заводским настройкам
- Доступ к консоли
- Просмотр информации о маршрутизаторе
- Управление файлами
- Управление конфигурацией маршрутизатора
- Управление пакетами
- Использование netinstall
- Настройка начальных сведений о маршрутизаторе
- Настройка пользователей и паролей
- Просмотр состояния портов и интерфейсов
- Настройка интерфейсов VLAN
- Настройка портов PoE
- Настройка IP-адреса, шлюза и статических маршрутов
- Настройка сервера PPPoE
- Настройка SSH, отключение других сервисов
- Дополнительные материалы
Введение
Профессиональным сетевым администраторам эта заметка покажется совершенно бесполезной, т.к. в ней описываются совершенно базовые вещи. Моя профессия связана с Linux-серверами, а не компьютерными сетями, но для общего развития я иногда пытаюсь изучать смежные области. В этой заметке собраны команды, которые могут пригодиться мне самому.
Интерфейс командной строки маршрутизатора НЕ похож на таковой у маршрутизторов Cisco. На маршрутизаторе нет деления на режимы просмотра и настройки, почти любая команда может переводить интерфейс в подрежим, если в ней не указано достаточное количество аргументов для формирования завершённой команды. Для того, чтобы ввести команду, не являющуюся продолжением команды в текущем подрежиме, нужно предварить её символом косой черты. Для просмотра текущих настроек, относящихся к команде, предусмотрено ключевое слово print, которое добавляется в конец команды.
Сброс к заводским настройкам
Для сборса настроек маршрутизатора нужно:
- отключить от него питание,
- нажать кнопку сброса, помеченную текстом RES, канцелярской скрепкой,
- подать питание,
- подождать несколько секунд, пока не начнёт мигать светодиод, помеченный текстом USR.
Доступ к консоли
Нужно подключить маршрутизатор к компьютеру, с которого ведётся настройка, любым портом, кроме первого. Первый порт выделен для подключения ко внешней сети и для настройки маршрутизатора в целях безопасноти не используется.
В конфигурации по умолчанию на маршрутизаторе настроен DHCP-сервер, который раздаёт настройки для устройств, подключенных к портам, кроме первого.
Если на компьютере, который используется для настройки маршрутизатора, установлен Linux, то для настройки сетевого интерфейса с помощью DHCP-сервера маршрутизатора можно воспользоваться командой следующего вида:
# dhclient eth0
В приведённой выше команде eth0 - имя сетевого интерфейса, к которому подключен маршрутизатор. Если посмотреть его настройки с помощью команды ip addr show eth0, то можно увидеть, что компьютеру был выдан IP-адрес из сети 192.168.88.0/24:
# ip addr show eth0
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
link/ether 60:a4:4c:0a:6e:3d brd ff:ff:ff:ff:ff:ff
altname enp3s0
inet 192.168.88.245/24 brd 192.168.88.255 scope global dynamic eth0
valid_lft 596sec preferred_lft 596sec
inet6 fe80::62a4:4cff:fe0a:6e3d/64 scope link
valid_lft forever preferred_lft forever
Конкретно в моём случае компьютеру выдался IP-адрес 192.168.88.245, хоть для настройки маршрутизатора это и не имеет особого значения. IP-адрес самого маршрутизатора должен быть 192.168.88.1.
В конфигурации по умолчанию на маршрутизаторе настроен пользователь admin с пустым паролем. Для подключения к маршрутизатору воспользуемся клиентом SSH:
$ ssh admin@192.168.88.1
The authenticity of host '192.168.88.1 (192.168.88.1)' can't be established.
RSA key fingerprint is SHA256:SXGZzAIkH3t1x+yV6zR2/y0PoSMP8YrFvFg9h55Ley4.
This key is not known by any other names.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added '192.168.88.1' (RSA) to the list of known hosts.
MMM MMM KKK TTTTTTTTTTT KKK
MMMM MMMM KKK TTTTTTTTTTT KKK
MMM MMMM MMM III KKK KKK RRRRRR OOOOOO TTT III KKK KKK
MMM MM MMM III KKKKK RRR RRR OOO OOO TTT III KKKKK
MMM MMM III KKK KKK RRRRRR OOO OOO TTT III KKK KKK
MMM MMM III KKK KKK RRR RRR OOOOOO TTT III KKK KKK
MikroTik RouterOS 6.48.1 (c) 1999-2020 http://www.mikrotik.com/
[?] Gives the list of available commands
command [?] Gives help on the command and list of arguments
[Tab] Completes the command/word. If the input is ambiguous,
a second [Tab] gives possible options
/ Move up to base level
.. Move up one level
/command Use command at the base level
-------------------------------------------------------------------------------
The following default configuration has been installed on your router:
Welcome to RouterOS!
1) Set a strong router password in the System > Users menu
2) Upgrade the software in the System > Packages menu
3) Enable firewall on untrusted networks
-----------------------------------------------------------------------------
RouterMode:
* WAN port is protected by firewall and enabled DHCP client
* Ethernet interfaces (except WAN port/s) are part of LAN bridge
LAN Configuration:
IP address 192.168.88.1/24 is set on bridge (LAN port)
DHCP Server: enabled;
DNS: enabled;
WAN (gateway) Configuration:
gateway: ether1 ;
ip4 firewall: enabled;
NAT: enabled;
DHCP Client: enabled;
-------------------------------------------------------------------------------
You can type "v" to see the exact commands that are used to add and remove
this default configuration, or you can view them later with
'/system default-configuration print' command.
To remove this default configuration type "r" or hit any other key to continue.
If you are connected using the above IP and you remove it, you will be disconnected.
Просмотр информации о маршрутизаторе
Для просмотра информации о маршрутизаторе предусмотрена команда:
[stupin@rb750] > /system resource print
uptime: 3m25s
version: 7.15 (stable)
build-time: 2024-05-29 12:44:08
free-memory: 27.2MiB
total-memory: 64.0MiB
cpu: MIPS 24Kc V7.4
cpu-count: 1
cpu-frequency: 650MHz
cpu-load: 4%
free-hdd-space: 5.3MiB
total-hdd-space: 16.0MiB
write-sect-since-reboot: 171
write-sect-total: 171
architecture-name: mipsbe
board-name: hEX PoE lite
platform: MikroTik
Управление файлами
Посмотреть файлы и каталоги, имеющиеся во флеш-памяти маршрутизатора, можно с помощью следующей команды
[stupin@rb750] > /file print
# NAME TYPE SIZE CREATION-TIME
0 flash disk 1970-01-01 00:00:08
1 flash/skins directory 1970-01-01 00:00:06
2 flash/auto-before-reset.backup backup 10.7KiB 1970-01-01 00:00:08
Создать новый файл можно следующим образом:
[stupin@rb750] > /file add name=test contents="Hello, world!"
Скопировать файл можно следующим образом:
[stupin@rb750] > /file add name=test2 copy-from=test
Удалить файл можно по имени или по номеру:
[stupin@rb750] > /file remove test
[stupin@rb750] > /file remove numbers=1
Кроме этого файлами можно управлять по протоколу SFTP - загружать, удалять, скачивать.
Управление конфигурацией маршрутизатора
Сохранить текущую конфигурацию во флеш-память без шифрования можно следующим образом:
[stupin@rb750] > /system backup save name=20240616 dont-encrypt=yes
Saving system configuration
Configuration backup saved
К имени файла резервной копии добавится расширение .backup.
Для восстановления конфигурации маршрутизатора из резервной копии можно воспользоваться такой командой:
[stupin@rb750] > /system backup load name=20240616.backup password=""
Restore and reboot? [y/N]:
y
Restoring system configuration
System configuration restored, rebooting now
Управление пакетами
Прошивка маршрутизатора состоит из пакетов: основного и дополнительных. Найти их можно на странице MikroTik Routers and Wireless - Software.
Пакет должен соответствовать архитектуре микропроцессора маршрутизатора. Узнать эту архитектуру можно из поля architecture-name, выдаваемого командой /system resource print.
Посмотреть список уже установленных на маршрутизаторе пакетов можно с помощью такой команды:
[stupin@rb750] > /system package print
Columns: NAME, VERSION, BUILD-TIME, SIZE
# NAME VERSION BUILD-TIME SIZE
0 routeros 7.15 2024-05-29 12:44:08 10.1MiB
Установить новый пакет в систему можно по SFTP, например, вот так:
$ sftp 192.168.88.1
stupin@192.168.88.1's password:
Connected to 192.168.88.1.
sftp> ls
flash
sftp> put lte-7.15-mipsbe.npk
Uploading lte-7.15-mipsbe.npk to /lte-7.15-mipsbe.npk
lte-7.15-mipsbe.npk 100% 1944KB 2.0MB/s 00:00
sftp> quit
Обратите внимание, что пакет нужно поместить в корневой каталог, а не в подкаталог flash.
Закачанные пакеты появятся в системе после перезагрузки маршрутизатора:
[stupin@rb750] > /system reboot
Reboot, yes? [y/N]:
y
system will reboot shortly
После перезагрузки можно увидеть, что в системе появились новые пакеты:
[stupin@rb750] > /system package print
Columns: NAME, VERSION, BUILD-TIME, SIZE
# NAME VERSION BUILD-TIME SIZE
0 routeros 7.15 2024-05-29 12:44:08 10.1MiB
1 lte 7.15 2024-05-29 12:44:08 1944.1KiB
Установленные в систему пакеты можно отключать с помощью следующей команды:
[stupin@rb750] > /system package disable lte
Если после отключения пакета посмотреть список установленных пакетов, то можно увидеть, что пакет не отключен, а его отключение только запланировано:
[stupin@rb750] > /system package print
Columns: NAME, VERSION, SCHEDULED, BUILD-TIME, SIZE
# NAME VERSION SCHEDULED BUILD-TIME SIZE
0 routeros 7.15 2024-05-29 12:44:08 10.1MiB
1 lte 7.15 scheduled for disable 2024-05-29 12:44:08 1944.1KiB
Отключение пакета произойдёт только после перезагрузки маршрутизатора. После перезагрузки отключенные пакеты будут обозначены буквой X:
[stupin@rb750] > /system package print
Flags: X - DISABLED
Columns: NAME, VERSION, BUILD-TIME, SIZE
# NAME VERSION BUILD-TIME SIZE
0 routeros 7.15 2024-05-29 12:44:08 10.1MiB
1 X lte 7.15 2024-05-29 12:44:08 1944.1KiB
Включить отключенный пакет можно с помощью такой команды:
[stupin@rb750] > /system package enable lte
Так же, как и в случае отключения, включение пакета тоже будет отложено до перезагрузки маршрутизатора:
[stupin@rb750] > /system package print
Flags: X - DISABLED
Columns: NAME, VERSION, SCHEDULED, BUILD-TIME, SIZE
# NAME VERSION SCHEDULED BUILD-TIME SIZE
0 routeros 7.15 2024-05-29 12:44:08 10.1MiB
1 X lte 7.15 scheduled for enable 2024-05-29 12:44:08 1944.1KiB
Использование netinstall
Стоит отметить, что на маршрутизаторе имеется всего 16 мегабайт флеш-памяти, из которых свободно было всего 3 мегабайта. На доставшемся мне маршрутизаторе изначально была установлена операционная система версии 6.48.1. Я хотел обновить операционную систему до новейшей доступной версии 7.15, как это сделал на имеющемся у меня маршрутизаторе модели RB951Ui-2HnD. Но тот маршрутизатор оснащён флеш-памятью объёмом 128 мегабайт, так что описанный там способ обновления сработал без проблем. В случае с этим маршрутизатором обновить прошивку, загрузив её на маршрутизатор по протоколу SFTP не получится - на нём просто нет достаточного объёма свободной флеш-памяти, т.к. базовый пакет с самой операционной системой имеет объём около 10 мегабайт.
Но выход есть, для подобных случаев предусмотрена утилита netinstall. Взять её можно на той же странице MikroTik Routers and Wireless - Software, где выложены пакеты. Я решил воспользоваться утилитой для командной строки Netinstall (CLI Linux), которую можно запускать из операционной системы Linux, т.к. настраивал маршрутизатор с ноутбука под управлением Debian GNU/Linux.
Признаюсь честно: прежде чем узнать о существовании такой утилиты, я успел сломать маршрутизатор. Сначала я пытался удалить с него заведомо ненужные пакеты, чтобы освободить место на флеш-памяти. После удаления нескольких пакетов и перезагрузки маршрутизатор перестал принимать подключения по SSH, хотя отвечал на ICMP-запросы. Не знаю точно, какой из удалённых пакетов оказался критичным, но скорее всего это был пакет user manager. Я подумал, что "окирпичил" маршрутизатор. Однако, как оказалось, в нём остаётся загрузчик, который умеет грузить операционную систему маршрутизатора по сети, чем, в частности, пользуются разработчики OpenWRT для загрузки своей операционной системы на маршрутизаторах MikroTik.
В целом для сетевой загрузки маршрутизатора используются стандартные протоколы DHCP и TFTP, однако одних этих протоколов для восстановления работы маршрутизатора оказывается недостаточно - есть ещё какой-то закрытый протокол, по которому можно подать загрузчику команды отформатировать флеш-память, записать пакет во флеш-память и выполнить перезагрузку. Все тонкости этого процесса известны утилите netinstall, ей и воспользуемся.
Скачаем архив с утилитой netinstall-cli по указанной выше ссылке, например, с помощью утилиты wget:
$ wget https://download.mikrotik.com/routeros/7.15.1/netinstall-7.15.1.tar.gz
Внутри архива есть файл с лицензией и сама утилита:
$ tar tzvf netinstall-7.15.1.tar.gz
-rw-r--r-- agent/agent 123658 2024-06-07 17:48 LICENSE.txt
-rwxr-xr-x agent/agent 63034980 2024-06-07 18:53 netinstall-cli
Извлечём из архива утилиту, а архив удалим:
$ tar xzvf netinstall-7.15.1.tar.gz netinstall-cli
netinstall-cli
$ rm netinstall-7.15.1.tar.gz
Для начала нужно настроить на сетевом интерфейсе компьютера, на котором мы будем запускать эту утилиту, постоянный IP-адрес. Ноутбук, с которого я собираюсь запускать утилиту, оснащён только одним сетевым интерфейсом с именем eth0, который штатно получает настройки по протоколу DHCP. Нам же предстоит самим выдать настройки маршрутизатору, поэтому я отключаю штатную конфигурацию интерфейса, настраиваю на нём постоянный IP-адрес и включаю интерфейс снова:
# ifdown eth0
# ip addr add 192.168.88.100/24 dev eth0
# ip link set up dev eth0
Кстати, у меня в системе был настроен TFTP-сервер, который нужно было остановить. А также у меня был настроен фаервол, который фильтровал входящие подключения.
Теперь можно запустить утилиту netinstall для прошивки в маршрутизатор базового пакета с операционной системой:
# ./netinstall-cli -i eth0 routeros-7.15-mipsbe.npk
Version: 7.15.1(2024-06-07 13:53:25)
Using Interface: eth0
Wait for Link-UP on 'eth0'. OK
Using Client IP: 192.168.88.101
Using Server IP: 192.168.88.100
Starting PXE server
Waiting for RouterBOARD...
Далее нужно подсоединить сетевой интерфейс компьюетра, на котором запущена утилита netinstall-cli, с первым портом маршрутизатора. В операционной системе самого маршрутизатора он фигурирует под именем ether1, а на корпусе обозначен как Internet. Соединять рекомендуется кабелем напрямую, без промежуточных коммутаторов, т.к. они могут не пропускать часть трафика в соответствии с их нстройками.
Теперь нужно загрузить маршрутизатор в режиме сетевой загрузки. Для этого воспользуемся скрепкой: нужно нажать ей кнопку RES, отключить и снова подать питание. При удержании скрепки на кнопке RES маршрутизатор проходит через три этапа, каждый из которых длится 5 секунд:
- Режим сброса конфигурации к настройкам по умолчанию. Светодиод
USRпри этом мигает, - Режим централизованно управляемой точки доступа (Controlled Access Point system Manager или CAPsMAN). Светодиод
USRпри этом непрерывно горит, - Режим сетевой загрузки через утилиту netinstall. Светодиод
USRпри этом гаснет.
На третьем этапе, когда светодиод USR гаснет, нужно убрать скрепку и отпустить кнопку RES.
Далее утилита netinstall-cli получит DHCP-запрос от маршрутизатора и приступит к прошивке нового базового пакета в маршрутизтор:
client: E4:8D:8C:D6:C2:12
Detected client architecture: mips
Sending and starting Netinstall boot image ...
Installed branding package detected
Discovered RouterBOARD... E4:8D:8C:D6:C2:12
Formatting...
Sending package routeros-7.15-mipsbe.npk ...
Ready for reboot...
Sent reboot command
Утитита автоматически отправит маршрутизатор в перезагрузку, после которой маршрутизатор загрузится в обычном режиме.
Осталось вернуть штатные настройки на сетевом интерфейсе eth0:
# ip addr del 192.168.88.100/24 dev eth0
# ip link set down dev eth0
# ifup eth0
Настройка начальных сведений о маршрутизаторе
Посмотреть текущее имя маршрутизатора можно следующим образом:
[stupin@MikroTik] > /system identity print
name: MikroTik
Поменять это имя можно с помощью такой команды:
[stupin@MikroTik] > /system identity set name=rb750
Это же имя будет выдаваться по SNMP в качестве значения OID'а .1.3.6.1.2.1.1.5.0 - .sysName.0.
Настройка пользователей и паролей
Просмотр существующих пользователей:
[admin@MikroTik] > /user print
Columns: NAME, GROUP
# NAME GROUP
;;; system default user
0 admin full
Добавление нового пользователя:
[admin@MikroTik] > /user add name=stupin password=p4$$w0rd group=full
В качестве группы можно указать одну из существующих: read - чтение, write - запись или full - полные права. В приведённом выше примере мы создаём администратора с полными правами доступа.
Удаление существующего пользователя (очень рекомендуется удалить пользователя по умолчанию admin):
[admin@MikroTik] > /user remove admin
Поменять пароль текущего пользователя можно с помощью команды:
[admin@MikroTik] > /password
Поменять пароль любого пользователя можно, указав его номер и новый пароль в команде следующего вида:
[admin@MikroTik] > /user set 0 password="!={Ba3N!40TуX+GvKBzjTLIUcx/,"
Просмотр состояния портов и интерфейсов
Посмотреть полный список портов и логических интерфейсов можно с помощью такой команды:
[stupin@rb750] > /interface print
Flags: R - RUNNING; S - SLAVE
Columns: NAME, TYPE, ACTUAL-MTU, L2MTU, MAX-L2MTU, MAC-ADDRESS
# NAME TYPE ACTUAL-MTU L2MTU MAX-L2MTU MAC-ADDRESS
0 ether1 ether 1500 1598 2028 E4:8D:8C:D6:C2:12
1 S ether2 ether 1500 1598 2028 E4:8D:8C:D6:C2:13
2 S ether3 ether 1500 1598 2028 E4:8D:8C:D6:C2:14
3 S ether4 ether 1500 1598 2028 E4:8D:8C:D6:C2:15
4 RS ether5 ether 1500 1598 2028 E4:8D:8C:D6:C2:16
;;; defconf
5 R bridge bridge 1500 1598 E4:8D:8C:D6:C2:13
6 R lo loopback 65536 00:00:00:00:00:00
Активные порты помечены буквой R. Порты, входящие в состав логического интерфейса, помечены буквой S.
В колонке TYPE выводится тип порта или интерфейса. Порты с типом ether мы посмотрели предыдущей командой. Ниже можно найти команды для просмотра портов типа vlan и bridge.
Посмотреть состояние портов Ethernet можно с помощью следующей команды:
[stupin@rb750] > /interface ethernet print
Flags: R - RUNNING; S - SLAVE
Columns: NAME, MTU, MAC-ADDRESS, ARP, SWITCH
# NAME MTU MAC-ADDRESS ARP SWITCH
0 R ether1 1500 E4:8D:8C:D6:C2:12 enabled switch1
1 R ether2 1500 E4:8D:8C:D6:C2:13 enabled switch1
2 S ether3 1500 E4:8D:8C:D6:C2:14 enabled switch1
3 S ether4 1500 E4:8D:8C:D6:C2:15 enabled switch1
4 RS ether5 1500 E4:8D:8C:D6:C2:16 enabled switch1
Настройка интерфейсов VLAN
Настройка интерфейсов VLAN
Для просмотра списка VLAN-интерфейсов маршрутизатора можно воспользоваться такой командой:
[stupin@rb750] > /interface vlan print
Flags: R - RUNNING
Columns: NAME, MTU, ARP, VLAN-ID, INTERFACE
# NAME MTU ARP VLAN-ID INTERFACE
0 R domru-vlan-mock 1500 enabled 4 ether2
В выводе приведённой выше команды не понятно, должна ли использоваться метка VLAN на порту маршрутизатора или эта VLAN соответствует пакетам без метки. Для того, чтобы увидеть это, можно указать в команде, какие поля нужно отобразить в таблице. Например, вот так:
[stupin@rb750] > /interface vlan print proplist=use-service-tag,vlan-id,name,interface
Flags: R - RUNNING
Columns: USE-SERVICE-TAG, VLAN-ID, NAME, INTERFACE
# USE-SERVICE-TAG VLAN-ID NAME INTERFACE
0 R yes 4 domru-vlan-mock ether2
Приведённые выше VLAN на портах были настроены с помощью следующих команд:
[stupin@rb750] > /interface vlan add name=domru-vlan-mock interface=ether2 vlan-id=4 use-service-tag=yes
Для удаления интерфейса можно воспользоваться командой следующего вида:
[stupin@rb951] > /interface vlan remove domru-vlan-mock
Настройка портов PoE
Маршрутизатор оснащён пятью Ethernet-портами, первый из которых может использоваться в качестве источника питания, а остальные четыре способны питать другие устройства.
Для того, чтобы посмотреть настройки и состояние питающих портов, можно воспользоваться следующей командой:
[stupin@rb750] > /interface ethernet poe print
Columns: NAME, POE-OUT, POE-PRIORITY, POWER-CYCLE-PING-ENABLED, POWER-CYCLE-INTERVAL
# NAME POE-OUT POE-PRIORITY PO POWER-CYCLE-INTERVAL
0 ether2 auto-on 10 no none
1 ether3 auto-on 10 no none
2 ether4 auto-on 10 no none
3 ether5 auto-on 10 no none
Каждый из портов может находиться в одном из трёх режимов:
auto-on- автоматически определять наличие нагрузки по сопротивлению, подавать питание при её наличии, отключать питание при пропадании связи,forced-on- всегда подавать питание независимо от наличия связи или сопротивления на порту,off- отключить подачу питания.
Поменять режим работы порта можно с помощью команды следующего вида:
[stupin@rb750] > /interface ethernet poe set 3 poe-out=off
Посмотреть напряжение, силу тока и мощность на каждом из питающих портов можно следующим образом:
[stupin@rb750] > /interface ethernet poe monitor ether2,ether3,ether4,ether5
name: ether2 ether3 ether4 ether5
poe-out: auto-on auto-on auto-on auto-on
poe-out-status: powered-on waiting-for-load waiting-for-load short-circuit
poe-out-voltage: 23.4V
poe-out-current: 86mA
poe-out-power: 2W
-- [Q quit|D dump|C-z pause]
Кроме этого можно настроить на каждом из портов сторожа, который будет отключать питание на порту при отсутствии ответов от какого-то адреса. Например,
[stupin@rb750] > /interface ethernet poe set 0 power-cycle-ping-enabled=yes power-cycle-ping-address=192.168.89.2 power-cycle-ping-timeout=60s
При недоступности IP-адреса 192.168.89.2, принадлежащего интерфейсу PPPoE запитываемого устройства, в течение 60 секунд выключить питание на 5 секунд. Время отсутствия связи перед отключением питания стоит выбирать таким образом, чтобы после отключения питания запитываемое устройство успело загрузиться, установить подключение и получить проверяемый IP-адрес. Проверять можно как доступность адресов IPv4, так и адресов IPv6 и адресов MAC. В случае MAC-адресов доступность проверяется уже не по протоколам ICMP или ICMPv6, а по протоколу MAC-Telnet, поддерживаемому устройствами MikroTik.
Настройка IP-адреса, шлюза и статических маршрутов
Настройка сервера PPPoE
Добавим именованный диапазаон IP-адресов для выдачи клиентам PPPoE. Я настраиваю PPPoE-сервер для проверки настроек PPPoE-клиента на другом маршрутизаторе MikroTik, поэтому в диапазоне я указываю только один IP-адрес:
[stupin@rb750] > /ip pool add name=domru-mock-pppoe ranges=188.234.148.179
Посмотреть список именованных диапазонов IP-адресов можно с помощью следующей команды:
[stupin@rb750] > /ip pool print
Columns: NAME, RANGES
# NAME RANGES
0 default-dhcp 192.168.88.10-192.168.88.254
1 domru-mock-pppoe 188.234.148.179
Для удаления именованных диапазонов IP-адресов предусмотрена команда, которой нужно указать номер строки из таблицы, выведенной предыдущей командой:
[stupin@rb750] > /ip pool remove numbers=1
Настроим именованный профиль PPP, указав локальный IP-адрес и имя диапазона IP-адресов, которые будет раздаваться клиентам:
[stupin@rb750] > /ppp profile add name=domru-mock-pppoe local-address=37.113.87.254 remote-address=domru-mock-pppoe
Для просмотра настроенных именованных профилей предусмотрена следующая команда:
[stupin@rb750] > /ppp profile print
Flags: * - default
0 * name="default" bridge-learning=default use-ipv6=yes use-mpls=default
use-compression=default use-encryption=default only-one=default change-tcp-mss=yes
use-upnp=default address-list="" on-up="" on-down=""
1 name="domru-mock-pppoe" local-address=37.113.87.254 remote-address=domru-mock-pppoe
bridge-learning=default use-ipv6=yes use-mpls=default use-compression=default
use-encryption=default only-one=default change-tcp-mss=default use-upnp=default
address-list="" on-up="" on-down=""
2 * name="default-encryption" bridge-learning=default use-ipv6=yes use-mpls=default
use-compression=default use-encryption=yes only-one=default change-tcp-mss=yes
use-upnp=default address-list="" on-up="" on-down=""
Для удаления профилей предусмотрена команда, которой нужно указать номер строки из таблицы, выведенной предыдущей командой:
[stupin@rb750] > /ppp profile remove numbers=1
Добавим пользователя PPP, который будет использовать настроенный выше именованный профиль:
[stupin@rb750] > /ppp secret add name=v12345678 password=p4$$w0rd profile=domru-mock-pppoe service=pppoe
Посмотреть список настроенных пользователей PPP можно с помощью следующей команды:
[stupin@rb750] > /ppp secret print
Columns: NAME, SERVICE, PASSWORD, PROFILE
# NAME SERVICE PASSWORD PROFILE
0 v12345678 pppoe p4$$w0rd domru-mock-pppoe
Удалить настроенного пользователя PPP можно с помощью указанной ниже команды, указав номер строки из вывода предыдущей команды:
[stupin@rb750] > /ppp secret remove numbers=0
Наконец, после всех предыдущих действий, можно создать сервер PPPoE:
[stupin@rb750] > /interface pppoe-server server add service-name=domru-mock-pppoe disabled=no interface=domru-vlan-mock default-profile=domru-mock-pppoe
Посмотреть список настроенных серверов PPPoE можно с помощью следующей команды:
[stupin@rb750] > /interface pppoe-server server print
Flags: X - disabled, I - invalid
0 service-name="domru-mock-pppoe" interface=domru-vlan-mock max-mtu=auto max-mru=auto
mrru=disabled authentication=pap,chap,mschap1,mschap2 keepalive-timeout=10
one-session-per-host=no max-sessions=unlimited pado-delay=0
default-profile=domru-mock-pppoe
Для удаления настроенных серверов PPPoE можно воспользоваться приведённой ниже командой, указав номер строки с удаляемым сервером, выведенной указанной выше командой:
[stupin@rb750] > /interface pppoe-server server remove numbers=0
Посмотреть интерфейсы PPPoE, созданные сервером для работы с входящими подключениями, можно с помощью следующей команды:
[stupin@rb750] > /interface pppoe-server print
Flags: D - DYNAMIC; R - RUNNING
Columns: NAME, USER, SERVICE, REMOTE-ADDRESS, UPTIME
# NAME USER SERVICE REMOTE-ADDRESS UPTIME
0 DR <pppoe-v12345678> v12345678 domru-mock-pppoe CC:2D:E0:CB:84:C1 4m7s
Настройка SSH, отключение других сервисов
Для просмотра включенных в настоящее время сервисов можно воспользоваться такой командой:
[admin@MikroTik] > /ip service print
Flags: X - disabled, I - invalid
# NAME PORT ADDRESS CERTIFICATE
0 XI telnet 23
1 XI ftp 21
2 XI www 80
3 ssh 22
4 XI www-ssl 443 none
5 XI api 8728
6 XI winbox 8291
7 XI api-ssl 8729 none
Отключенные сервисы обозначены буквой X.
Отключим все сервисы, кроме SSH:
[admin@MikroTik] > /ip service disable api,api-ssl,ftp,telnet,winbox,www,www-ssl
Так же в системе имеются и другие сервисы, которые в конфигурации по умолчанию уже выключены. Это сервисы кэширующего прокси-сервера, SOCKS-прокси сервера, сервера UPnP и сервиса DynDNS. Посмотрим их состояние:
[admin@MikroTik] > /ip proxy print
enabled: no
src-address: ::
port: 8080
anonymous: no
parent-proxy: ::
parent-proxy-port: 0
cache-administrator: webmaster
max-cache-size: unlimited
max-cache-object-size: 2048KiB
cache-on-disk: no
max-client-connections: 600
max-server-connections: 600
max-fresh-time: 3d
serialize-connections: no
always-from-cache: no
cache-hit-dscp: 4
cache-path: web-proxy
[admin@MikroTik] > /ip socks print
enabled: no
port: 1080
connection-idle-timeout: 2m
max-connections: 200
version: 4
auth-method: none
[admin@MikroTik] > /ip upnp print
enabled: no
allow-disable-external-interface: no
show-dummy-rule: yes
[admin@MikroTik] > /ip cloud print
ddns-enabled: no
ddns-update-interval: none
update-time: yes
Для их отключения, если они включены, можно воспользоваться следующими командами:
[admin@MikroTik] > /ip proxy set enabled=no
[admin@MikroTik] > /ip socks set enabled=no
[admin@MikroTik] > /ip upnp set enabled=no
[admin@MikroTik] > /ip cloud set ddns-enabled=no update-time=no
Дополнительные материалы
- MikroTik hEX PoE lite - страница на официальном сайте производителя
- Расшифровка маркировки оборудования Mikrotik
- Как расшифровать маркировку MikroTik
- Командная строка в Mikrotik
- Вывод только нужного значения в консоли Mikrotik (использование put, get, find)
- Чат в консоли Mikrotik
- RouterOS / Getting started / First Time Configuration
- Ошибки MikroTik: на что обратить внимание?
- Mikrotik - bridge или Master-slave? И почему
- FAQ по PoE (Power over Ethernet) в роутерах Mikrotik
- Система удаленного управления электропитанием 220 вольт на базе Mikrotik RB750UP - обратите внимание, что автор неправильно выбрал реле, использовать автомобильное реле для управления напряжением 220 Вольт нельзя
- Настройка фильтрации трафика на MikroTik. Часть 1
- Настройка фильтрации трафика на MikroTik. Часть 2
- Настройка фильтрации трафика на MikroTik. Часть 3
- Настройка фильтрации трафика на MikroTik. Часть 4
- Настройка NAT: Часть 1
- Настройка NAT: Часть 2
- Настройка NAT: Часть 3
- Настройка NAT: Часть 4
- Настройка NAT: Hairpin
- Настройка файлового сервера (с помощью SMB) на Mikrotik