четверг, 4 января 2018 г.

Mikrotik CLI


 Приведу некоторые примеры команд:

ПОЛЬЗОВАТЕЛИ
 
По умолчанию для входа используется логин admin без пароля.

Добавление пользователя:

use add name=имя password=пароль group=full
 
Отключаемся чтобы зайти под новым пользователем:

quit
 
Отключение пользователя:

user disable admin
 
Просмотр пользователей:

user print
 
ИНТЕРФЕЙСЫ
 
Просмотр интерфейсов:

interface print 
 
Активация интерфейса:

interface enable 0
 
Назначение интерфейсу IP адреса:

ip address add address 172.17.1.199/24 interface ether1

Просмотр IP адресов:

ip address print

Изменение MTU интерфейсов:

interface set 0,1,2 mtu=1500

Изменение mac адреса интерфеса:

/interface ethernet set ether1 mac-address=00:01:02:03:04:05

Сброс mac адреса интерфеса:

/interface ethernet reset-mac ether1

Установка шлюза по умолчанию:

ip route add gateway=172.16.1.131

Просмотр маршрутов:

ip route print

Устанавливаем первичный и вторичный адреса DNS серверов:

ip dns set primary-dns=8.8.8.8 secondary-dns=8.8.4.4 allow-remote-requests=yes

Просмотр DNS параметров:

ip dns print

БЕСПРОВОДНЫЕ ИНТЕРФЕЙСЫ

Просмотр беспроводных интерфейсов:

/interface wireless print

ВРЕМЯ

Установка часового пояса:

system clock set time-zone=+2

Установка ip адреса ntp сервера с которым будет сверяться время:

system ntp client set enabled=yes primary-ntp=172.16.1.131

Просмотр времени:

/system clock print

ФАЕРВОЛ

Настройка маскарадинга, чтобы чтобы внутренняя сеть не была видна с WAN порта:

ip firewall nat add chain=srcnat action=masquerade out-interface=интерфейс провайдера

Просмотр правил:

ip firewall filter print

Пример ограничения количества соединений с одного IP:

/ip firewall rule forward add protocol=tcp tcp -options=syn-only connection-limit=5 action=drop

Пример блокировки всех TCP пакетов идущих на порт 135:

/ip firewall rule forward add dst -port=135 protocol=tcp action=drop

Пример проброса портов:

/ip firewall dst-nat add action=nat protocol=tcp dst-address=10.0.0.217/32:80 to-dst-address=192.168.0.4

СИСТЕМА

Просмотр стандартных настроек:

/system default-configuration print

Сброс настроек:

/system reset-configuration

Просмотр истории:

/system history print

СЛУЖБЫ

Просмотр служб:

/ip service print

ПРОЧЕЕ

Переход на уровень выше:

/


Помощь:

?

Настройка маршрутизатора с помощью мастера настроек:

setup

Пинг:

ping 192.168.1.2 count 3 size 512

Ctrl+X — вход и выход из безопасного режима.

Настройка UPnP в MikroTik


UPnP (Universal Plug and Play) — универсальная автоматическая настройка сетевых устройств, автоматически открывает порты для p2p приложений, игр и т.д. Вообще, UPnP представляет собой аббревиатуру термина Universal Plug & Play. Иными словами, это некая виртуальная система, объединяющая подключения интеллектуальных устройств, находящихся в одной сети, между собой.

В Winbox настройки можно найти открыв «IP» — «UPnP«.
Для включения поставим галочку напротив Enabled.
Теперь нужно указать интерфейсы, нажмем «Interfaces» и «Add New«.
Добавим внешний (external) WAN порт, обычно это ether1-gateway.
Добавим внутренний (internal) порт или бридж, например bridge.
На этом настройка завершена.

Приведу пример как это будет выглядеть через консоль:



ip upnp set enabled=yes
ip upnp interfaces add interface=ether1-gateway type=external
ip upnp interfaces add interface=bridge type=internal

Настройка HotSpot в MikroTik



Опишу по пунктам действия которые необходимо выполнить для настройки HotSpot в Mikrotik.

1) Если на Mikrotik будет использоваться несколько сетей, например локальная и отдельно HotSpot, то первым делом создадим новый бридж в меню Bridge, например Bridge_hotspot, потом в Bridge — Ports выберем нужный порт и переведем его с bridge-local на новосозданный. Назначим IP адрес для Bridge_hotspot в меню IP — Addresses.

2) В IP — Pool добавим новый диапазон адресов которые будут раздаваться клиентам в HotSpot.
В IP — DHCP Server — DHCP создадим новый DHCP сервер у кажем его на Bridge_hotspot.
В IP — DHCP Server — Networks добавим новую сеть.

3) Откроем IP — Hotspot и создадим его указав интерфейсом Bridge_hotspot и выберем созданный в IP — Pool диапазон адресов.

IP — Hotspot — Server Profiles отредактируем стандартный профиль под свои нужды, там же можно ограничить скорость передачи данных параметром «Rate Limit (rx/tx)». В «Login By» можно поставить галочки только на «HTTP CHAP» и «Trial», тогда пользователи смогут без пароля подключатся к точке доступа на указанное в «Trial Uptime Limit» время, после чего их снова будет переводить на страницу MikroTik на которой нужно снова нажать вход и можно дальше пользоваться интернетом. Я же в поле Trial Uptime Limit поставил 1d 00:00:00 чтобы рекламная страница входа автоматически отображалась раз в день (без её просмотра и нажатия кнопки входа на ней — интернет не будет работать).

Чтобы изменить страницу входа в меню Files найдем файл /hotspot/login.html, скачаем его и отредактируем в текстовом или HTML редакторе под свои нужды, потом закачаем обратно используя FTP.
Приведу пример HTML кода с простой ссылкой входа:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
<html>
<head>
<title>HotSpot - Free Internet</title>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8" />
<meta http-equiv="pragma" content="no-cache" />
<meta http-equiv="expires" content="-1" />
<meta name="viewport" content="width=device-width; initial-scale=1.0; maximum-scale=1.0;"/>
<style type="text/css">
body {color: #727272; font-size: 14px; font-family: verdana;}
</style>
</head>
<body>
<a style="color: #FF8080"href="$(link-login-only)?dst=$(link-orig-esc)&username=T-$(mac-esc)">Получить бесплатный доступ к интернету</a>
</body>
</html>
В меню IP — Hotspot — Walled Garden, где src. address можно указать каким IP-адресам будет всегда разрешен доступ без посещения страницы входа.

Ограничение скорости на MikroTik через Queues



Хочу заметить что если включена функция FastTrack, то Simple Queues не будут работать.

Приведу пример команды добавления queue правила (где 192.168.88.0/24 подсеть для которой ограничивается скорость):


queue simple add name=queue1 target=192.168.88.0/24 max-limit=3M/3M
Если для для подсети ограничена скорость и кому-то нужно из этой сети убрать ограничение, то добавим новое правило в котором укажем max-limit=0/0 и разместим его в начале списка.

Через WEB и Winbox откроем слева меню Queues и в первой вкладке Simple Queues нажмем Add New и укажем:

Name: имя ограничения на свое усмотрение
Target: для кого будет действовать ограничение, например вся подсеть 192.168.88.0/24 или один конкретный адрес 192.168.88.144/24
Max Limit: тут укажем ограничение скорости закачки и отдачи
Жмем OK и простое правило готово.

Можно также указать время когда нужно ограничивать скорость, тогда правило будет автоматически включаться и выключаться.