Skip to main content

Гайд по настройке роутера MikroTik в магазине

Этот гайд описывает последовательность действий для стандартной настройки роутера MikroTik в торговой точке, включая создание изолированных сетей, подключение к удаленным офисам и базовую настройку безопасности.

Шаг 1: Подготовка и доступ

Самый важный шаг — координация. Перед выездом на объект обязательно договоритесь о времени вашего визита с ответственными сотрудниками магазина. Уточните, кто предоставит вам доступ к сетевому шкафу или щитку, так как они почти всегда находятся в закрытых служебных помещениях.

Прибыв на место, изучите текущую сетевую конфигурацию:

  • Определите, какие устройства куда подключены.
  • Просмотрите настройки старого роутера, если он есть. Особое внимание уделите пробросу портов (Port Forwarding), IP-адресам камер и видеорегистратора (NVR). Эта информация понадобится для воссоздания нужных правил на MikroTik.

Шаг 2: Первичное подключение и настройка интерфейсов

Рекомендуется проводить настройку через утилиту WinBox, так как это более наглядно и интуитивно, чем командная строка.

1. Подключение по MAC-адресу

Это критически важно. Подключите патч-корд от вашего ноутбука к любому порту роутера (кроме первого, который обычно используется для WAN), запустите WinBox, перейдите на вкладку Neighbors, найдите ваш роутер в списке и подключитесь, кликнув по его MAC-адресу. Это гарантирует, что вас не "выкинет" из роутера при смене IP-адресов.

Подключение по MAC-адресу в WinBox

2. Объединение портов в Bridge

Заранее продумайте, какие порты будут использоваться для локальной сети (LAN), а какие — для сети видеонаблюдения (CAM). Часто для одной подсети требуется несколько портов. Для этого их нужно объединить в логический коммутатор (Bridge).

Внимание

Ни в коем случае не добавляйте интерфейсы, предназначенные для LAN и CAM, в один и тот же Bridge. Эти сети должны быть изолированы.

Настройка через WinBox:

  1. Перейдите в меню Bridge.
  2. Нажмите +, чтобы создать новый bridge. Назовите его, например, bridge-lan. При необходимости создайте второй, bridge-cam.
  3. Перейдите на вкладку Ports.
  4. Нажмите + и последовательно добавьте нужные физические интерфейсы (например, ether3, ether4, ether5) в созданный bridge-lan.

Настройка Bridge 1 Настройка Bridge 2 Настройка Bridge 3

Настройка через CLI:

Terminal
# Создаем bridge для локальной сети (LAN)
/interface bridge add name=bridge-lan
# Добавляем порты ether3 и ether4 в bridge-lan
/interface bridge port add bridge=bridge-lan interface=ether3
/interface bridge port add bridge=bridge-lan interface=ether4

# Создаем bridge для сети камер (CAM), если нужно объединить несколько портов
/interface bridge add name=bridge-cam
# Добавляем порты ether5 и ether6 в bridge-cam
/interface bridge port add bridge=bridge-cam interface=ether5
/interface bridge port add bridge=bridge-cam interface=ether6

Шаг 3: Настройка L2TP-туннелей

Предполагается, что на роутерах в центральном Офисе и в Облаке уже созданы L2TP-серверы и профили для этого магазина. Если нет — создайте их перед тем, как продолжить.

1. Создание L2TP-клиентов

Вам нужно создать два подключения: одно к офису, другое к облаку.

Настройка через WinBox:

  1. Перейдите в раздел PPP.
  2. На вкладке Interface нажмите + и выберите L2TP Client.
  3. Во вкладке General задайте имя соединению, например L2TP-Office.
  4. Перейдите во вкладку Dial Out.
    • Connect To: Укажите внешний IP-адрес офисного роутера.
    • User / Password: Введите логин и пароль от заранее созданного профиля.
  5. Нажмите Apply и OK.
  6. Повторите процедуру для создания второго туннеля L2TP-Cloud.

Настройка PPP 1 Настройка PPP 2 Настройка PPP 3

Настройка через CLI:

Terminal
# Туннель до Офиса
/interface l2tp-client add name="L2TP-Office" connect-to=[ВНЕШНИЙ_IP_ОФИСА] user="user_office" password="password_office" disabled=no

# Туннель до Облака
/interface l2tp-client add name="L2TP-Cloud" connect-to=[ВНЕШНИЙ_IP_ОБЛАКА] user="user_cloud" password="password_cloud" disabled=no

2. Настройка маршрутов

Сами по себе туннели не предоставляют доступ к удаленным сетям. Необходимо указать роутеру, какие сети доступны через какой туннель.

Важно

Маршруты нужно прописывать с обеих сторон! На удаленных роутерах (в офисе и облаке) также должны быть добавлены маршруты до сетей LAN и CAM этого магазина.

Настройка через WinBox:

  1. Перейдите в IP -> Routes.
  2. Нажмите +.
    • Dst. Address: Укажите адрес удаленной сети (например, 172.20.100.0/22 для офиса).
    • Gateway: Выберите из выпадающего списка соответствующий L2TP-интерфейс (например, L2TP-Office).
  3. Повторите для всех необходимых сетей.

Настройка через CLI:

Terminal
# Маршрут до сетей офиса через L2TP-Office
/ip route add dst-address=172.20.100.0/22 gateway=L2TP-Office
/ip route add dst-address=172.20.104.0/24 gateway=L2TP-Office

# Маршрут до сетей облака через L2TP-Cloud
/ip route add dst-address=10.250.1.0/24 gateway=L2TP-Cloud

Шаг 4: Назначение IP-адресов

Назначьте IP-адреса на интерфейсы в строгом соответствии с вашим IP-планом.

Настройка через WinBox:

  1. Перейдите в IP -> Addresses.
  2. Нажмите +.
    • Address: Введите IP-адрес с маской (например, 172.20.50.1/24 для LAN).
    • Network: Адрес сети подставится автоматически.
    • Interface: Выберите интерфейс, которому назначается адрес (bridge-lan или ether2 для LAN, bridge-cam или ether3 для CAM).
  3. Повторите для всех сетей.

Настройка через CLI:

Terminal
# Адрес для локальной сети (LAN) на bridge-lan
/ip address add address= <IP_LAN_сети> interface= <интерфейс_назначенный_под_LAN> network=172.20.50.0

# Адрес для сети камер (CAM) на ether3
/ip address add address= <IP_CAM_сети> interface= <интерфейс_назначенный_под_CAM> network=172.20.51.0

Шаг 5: Настройка Firewall

Это ключевой этап для обеспечения безопасности. Сначала создадим списки адресов (Address Lists), чтобы правила были более гибкими, а затем настроим сами правила фильтрации.

1. Создание Address Lists

Terminal
/ip firewall address-list
add list=OfficeLAN address=172.20.104.0/24
add list=OfficeLAN address=172.20.100.0/22
add list=L2TP address=10.250.1.0/24 comment="Cloud"
add list=L2TP address=10.251.1.0/24
add list=LAN address= <IP_LAN_сети> comment="IP LAN сети этого магазина"
add list=CAM address= <IP_CAM_сети> comment="IP CAM сети этого магазина"

2. Настройка правил Filter Rules

Terminal
/ip firewall filter
# Разрешаем установленные и связанные соединения
add action=accept chain=input comment="Allow Established/Related" connection-state=established,related
add action=accept chain=forward comment="Allow Established/Related" connection-state=established,related

# Разрешаем L2TP/IPsec снаружи (для построения туннелей)
add action=accept chain=input comment="Allow L2TP/IPsec from WAN" dst-port=1701,500,4500 protocol=udp

# Разрешаем управление роутером из доверенных сетей (Офис)
add action=accept chain=input comment="Allow Mgmt from Trusted LAN/Tunnels" dst-port=8291,22 protocol=tcp src-address-list=OfficeLAN

# Разрешаем пинг (ICMP) на роутер
add action=accept chain=input comment="Allow ICMP (ping)" protocol=icmp

# Правила для трафика МЕЖДУ сетями (forward)
add action=accept chain=forward comment="From CAM to Office" dst-address-list=OfficeLAN src-address-list=CAM
add action=accept chain=forward comment="From LAN to Office" dst-address-list=OfficeLAN src-address-list=LAN
add action=accept chain=forward comment="From LAN to Cloud" dst-address-list=L2TP src-address-list=LAN
add action=accept chain=forward comment="Allow Office to LAN" dst-address-list=LAN src-address-list=OfficeLAN
add action=accept chain=forward comment="Allow Cloud to LAN" dst-address-list=LAN src-address-list=L2TP

# Разрешаем выход в интернет для локальной сети
add action=accept chain=forward comment="Allow LAN traffic to WAN" out-interface=ether1 src-address-list=LAN

# ЗАПРЕЩАЮЩИЕ ПРАВИЛА (всегда в конце)
add action=drop chain=forward comment="!!! Drop ALL other forwarding"

Шаг 6: Настройка DHCP-серверов

Вместо одного стандартного DHCP-сервера нужно создать два отдельных: для LAN и для CAM.

  1. Удалите стандартную конфигурацию, если она есть.
  2. Создайте серверы с помощью мастера DHCP Setup в меню IP -> DHCP Server или через CLI.

Настройка через CLI:

Terminal
# --- Настройка для LAN ---
# Создаем пул адресов
/ip pool add name=dhcp_pool_lan ranges= <IP_Диапозон_LAN_сети>
# Создаем сам сервер
/ip dhcp-server add name=dhcp_lan interface=bridge-lan address-pool=dhcp_pool_lan disabled=no
# Задаем сетевые параметры (шлюз, DNS)
/ip dhcp-server network add address= <IP_LAN_сети> gateway= <IP_вашего_mikrotik_в_этой_сети> dns-server=8.8.8.8,1.1.1.1

# --- Настройка для CAM ---
# Создаем пул адресов
/ip pool add name=dhcp_pool_cam ranges= <IP_Диапозон_LAN_сети>
# Создаем сам сервер
/ip dhcp-server add name=dhcp_cam interface=ether3 address-pool=dhcp_pool_cam disabled=no
# Задаем сетевые параметры (шлюз, DNS)
/ip dhcp-server network add address= <IP_CAM_сети> gateway= <IP_вашего_mikrotik_в_этой_сети>

На этом базовая настройка завершена. Проверьте доступность ресурсов в офисе и облаке, а также работу интернета для локальной сети.