Если это CHR, то войти в консоль устройства через консоль из панели виртуализации, если это аппаратное устройство, то IP Address по умолчанию 192.168.88.1, либо использовать протокол MAC Telnet ВНИМАНИЕ: В устройстве CHR IP address при первом запуске отсутсвует. Так как ни один сетевой интерфейс не смотрит в сетевой сегмент где есть DHCP server. Так лучше делать из соображений безоопасности. Вводим имя пользователя по умолчанию. admin Так как у пользователя по умолчанию пароль отсутствует жмём На сообщение о наличие лицензии отвечаем n и жмём Добавляем своего пользователя. user add name=ivanov password=TestP@ssw0Rd group=full Отключаем пользоваетеля по умолчанию user disable admin Задаём индификатор (имя) шлюза. Это однозначно имеет смысл, если под управлением находится два устройства и более. Задаваемый индификатор должен быть уникальным. system identity set name=gate Создаём bridge interface Примечание: Сетевых интерфейсов bridge может быть несколько. interface bridge add name=lan Добавляем сетевые интерфейсы в bridge interface bridge port add bridge=lan interface=ether2 interface bridge port add bridge=lan interface=ether3 interface bridge port add bridge=lan interface=ether4 Примечание: Создание и настройка bridge интерфейсов необходимо при наличии устройств с наличием некоторого количества физических сетевых портов, которые должны быть использованы для подключения сетевых устройств находящхся в одном сетевом сегменте. По сути bridge interface является switch port. Создаём interface list. Создаём столько, сколько необходимо. В дальнейшем этот параметр будет использоваться в правилах. interface list add name=wan interface list add name=lan interface list add name=dmz Привязываем сетевый интерфейсы к interface list Примечание: В любой interface list можно привязать любой сетевой интерфейс. Привязка происходит по принципу: один сетевой интерфейс может быть в одном interface list. Чаще всего это имеет смысл, когда необходимо объединение сетевых интефейсов в группы и применение правил к этим группам. например в случае с multi wan. interface list member add interface=ether1 list=wan interface list member add interface=bridge-lan list=lan Создаём address-list. Список IP Address, который будет использоваться в правилах межсетевого ээкранирования. Примечанияе: IP Address вымышленные. Вы должны указывать те адреса, которые вы будете реально использовать. ip firewall address-list add address=77.37.142.225 list=Access ip firewall address-list add address=55.77.115.250 list=Access Отключаем прокси для сервисов. Примечаие: Когда устройство работает в качестве прокси для сложных протоколов конечно хорошо, но, к сожаленю эта опция у Mikrotik работает плохо. Например SIP периодически перестаёт нормально работать. Аппараты теряют регистрацию и не могут зарегистрироваться повторно, пока у SIP аппарата не изменить IP Address ip firewall service-port disable ftp ip firewall service-port disable tftp ip firewall service-port disable irc ip firewall service-port disable h323 ip firewall service-port disable sip ip firewall service-port disable udplite ip firewall service-port disable dhcp ip firewall service-port disable sctp Отключаем тип доступа, который не будет использоваться. ip service disable api ip service disable api-ssl ip service disable ftp ip service disable telnet ip service disable api ip service disable www ip service disable www-ssl Создаём правила межсетевого экранирования. Самое первое правила разрешает IP адресам внесённых в address-list безусловный доступ к устройству. ip firewall filter add chain=input in-interface=ether1 src-address-list=Access action=accept Разрешаем доступ к устройству по протоколу ICMP для проверки доступности устройства. ip firewall filter add chain=input protocol=icmp action=accept Разрешаем доступ к устройству по протоколу GRE для возможности построения VPN туннелей, использующих GRE протокол ip firewall filter add chain=input protocol=gre in-interface=ether1 action=accept Разрешаем доступ к устройству по протоколам IPSec ah и IPSec esp для возможности построения VPN туннелей. ip firewall filter add chain=input protocol=ipsec-ah in-interface=ether1 action=accept ip firewall filter add chain=input protocol=ipsec-esp in-interface=ether1 action=accept Разрешаеи доступ по TCP порту 1723 и UDP портам 500, 1701, 4500 для возможности построения VPN туннелей ip firewall filter add chain=input protocol=tcp dst-port=1723 in-interface=ether1 action=accept ip firewall filter add chain=input protocol=udp dst-port=500,1701,4500 in-interface=ether1 action=accept Разрешаем входящие установленные и связанные соединения ip firewall filter add chain=input connection-state=established,related action=accept Блокируем входящие соединения не соответствующие стандарту. ip firewall filter add chain=input connection-state=invalid action=drop Создаём правила пересылки сетевых пакетов минуя дополнительную проверку для interface list LAN. Это правило позволяет уменьшить нагрузку на устройство. Любой сетевой пакет из interface list LAN будет переслан без последующей проверки. Если необходимо блокировать какой либо трафик из interface list LAN, то запрещающее праввило необходимо писать выше. ip firewall filter add chain=forward in-interface-list=lan action=fasttrack-connection Разрешаем пересылку установленных и связанных соединений ip firewall filter add chain=forward connection-state=established,related action=accept Блокируем пересылку соединений не соответствующий стандарту. ip firewall filter add chain=forward connection-state=invalid action=drop Блокируем весь входящий трафик приходящий на внешний interface list (случай с multi wan). ip firewall filter add chain=input in-interface-list=wan action=drop Создаём правила маскарадинга для адресной транслции ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade Примечание: При multi wan необходимо создать подобное правило для второго провайдера. Включаем PPtP, L2TP, SSTP сервер для возможности удалённого подключения. interface pptp-server server set enabled=yes interface l2tp-server server set authentication=mschap2, mschap1, chap, pap enabled=yes use-ipsec=yes ipsec-secret=asdasx Приечание: в данном случае включен L2TP сервер с возможностью использования PSK. Если на стороне клиента в PSK нет необходимости, то можно использовать "голый" L2TP interface sstp-server server set enabled=yes Назначаем IP Address на сетевом интерфейсе смотрящего в сторону интернет провайдера. Примечание: Адрес нужно назначать именно на этом этапе, когда заблокировали учётную запись по умолчанию, которая безз пароля и когда уже написаны оснавные правила межсетевого экранирования. IP Address 1.1.1.2/24 приведён в качестве примера. Адрес и маска сети должны быть назначены те, который преддоставляет интернет провайдер. Если интернет провайдер предоставляет IP Address используя DHCP, то на сетевом интерфейсе должен быть включени dhcp-client. Синтаксис команды: ip dhcp-client add interface=ether1 add-default-route=yes use-peer-dns=yes ip address add address=1.1.1.2/24 interface=ether1 Указываем шлюз по умолчанию ip route add dst-address=0.0.0.0/0 gateway=1.1.1.1 Создаём полььзовательские аккаунты для возможности удалённого подключения. Примечание: Всем пользователям без явного указания типа VPN будет возможно три типа VPN подключения - PPtP, L2TP, SSTP ppp secret add name=testadmin password=P@SsWoRD local-address=172.21.79.1 remote-address=172.21.79.2 service=any ppp secret add name=shop password=P@SsWoRD local-address=172.21.79.1 remote-address=172.21.79.3 service=any ppp secret add name=server password=P@SsWoRD local-address=172.21.79.1 remote-address=172.21.79.4 service=any