Ipotizziamo di avere un router hAP ac lite (RB952Ui-5ac2nD) e due PC di cui uno in IP statico e uno in DHCP client come indicato nel seguente diagramma.

Potrebbe interessarti anche questa guida: Configurare un Router Cisco partendo da zero.

.Scarichiamo il software Winbox dal sito Mikrotik https://mt.lv/winbox64

Componenti necessari:

1. Un Router Mikrotik RB952Ui-5ac2nD
2. Due cavi LAN.
3. Una connessione internet funzionante.
4. Almeno un PC

Obbiettivo 1: Eseguire la connessione al Router e accedere al pannello di configurazione.

1. Collegare il vostro PC alla porta ethernet 2 del router.
2. Aprire il software Winbox appena scaricato e installato.
3. Cliccare nel tab Neighbors.
4. Attendere che appaia nell’elenco il proprio router.
5. Inserire nome username admin e password (vuota).
6. Cliccare sul MAC address del router e poi sul tasto Connect.

Dovresti trovarti in una schermata simile a questa:

Obbiettivo 2: Eseguire il reset alle impostazioni di fabbrica.

1. Clicca sul tab System, Reset Configuration.
2. Apparirà una schermata come quella visualizzata di seguito.
3. Inserire il flag sulla voce No Default Configuration.
4. Cliccare sul tab Reset Configuration.
5. Il Router si riavvierà e resetterà completamente senza caricare la configurazione di default.

Obbiettivo 3: Rinominare il Router e proteggerlo.

A seguito del reset, al primo accesso ci occupiamo di dare un nome al Router.

1. Cliccare sul tab System, Identity.
2. Digitare il nome che si vuole dare al router; (esempio: Router-ufficio)
3. Cliccare su OK.
4. Il Router verrà rinominato come potrete vedere nella barra del titolo.

Ora vediamo come proteggere con un minimo di sicurezza il nostro Router.

1. Cliccare sul Tab System, Users e sul tasto + .
2. Inserire nel campo name, un nome utente diverso da admin (es. Fabio28).
3. Selezionare dal menu a tendina del campo Group, full .
4. Nel campo password inserire una password complessa che abbia lettere minuscole, maiuscole, numeri e caratteri speciali (es. F@b1o.Parigi35)
5. Confermare la medesima password nel campo Confirm Password.
6. Cliccare su OK.
7. Sarebbe bene uscire da Winbox è provare ad accedere con le credenziali appena create.
8. Se le credenziali funzionano, proviamo ad eseguire modifiche sul router, in modo da essere sicuri che l’utente creato, abbia privilegi di scrittura. Se riusciamo ad inserire i punti 9 e 10 senza errori, l’utente funziona.
9. Cliccare nel tab IP, Services.
10. Cliccare su api e successivamente sulla X nella barra del titolo della medesima finestra. La voce api diventerà grigia e verrà disabilitata.
11. Ripeti il punto 10, anche sulle voci: api-ssl, ftp e telnet.
12. Ora cliccare due volte sulla voce ssh, apparirà una piccola finestra.
13. Nel campo Available From inserisci 192.168.120.0/24 e clicca su OK.
14. Ripeti il punto 13, anche sulle voci: winbox e www.
15. Cliccare sul tab System, Users e fare un clic sull’utente admin.
16. Una volta selezionato l’utente admin, clicca sul tasto – nella barra degli indirizzi per rimuovere il medesimo utente.

Dovresti trovarti delle finestre come quelle in figura 5.

Obbiettivo 4: Descrivere le interfacce.

1. Cliccare sul Tab Interface.
2. Cliccare su ether1 per selezionare l’interfaccia.
3. Cliccare sul simbolo giallo posto sopra l’elenco interfacce come indicato nella figura 6.
4. Digita il commento dell’interfaccia ether1. (es. Interfaccia_pubblica) e clicca su OK.
5. Esegui la stessa procedura con ether2. (es.——————LAN——————).
6. Dovrebbero ora apparire le interfacce commentate come in figura 7.

Obbiettivo 5: Creare un Bridge per definire le interfacce LAN

Prima di configurare un bridge, è importante tenere a mente quanto segue:

Nei Router Mikrotik, tutte le interfacce sono slegate a livello software. Ogni interfaccia può svuolgere un ruolo diverso.

Nell nostro caso, le interfacce ethernet 2 ed ethernet 3, hanno il medesimo ruolo. In previsione che questa rete si possa espendare, daremo anche alle interfacce ethernet 4, ethernet 5 e le interfacce Wi-Fi lo stesso ruolo.

Creando un bridge e inserendo le porte citate all’interno di esso, le interfacce diventeranno interfacce slave, dipendenti dal bridge e assumeranno tutte le impostazioni legate al bridge.

Nelle recenti versioni di RouterOS (since v6.41), è stata introdotto Hardware Offloading  Questo permette in parecchi Router Mikrotik, di sfruttare l’hardware del chip Switch integrato per fare Switching senza far passare i pacchetti per la CPU del Router. Questo favorisce un throughput elevato e un minor carico della CPU.

Ora creiamo un Bridge e lo configuriamo.

1. Cliccare sul tab Bridge e sul tasto + in alto a sinistra.
2. Inseriamo il nome nel campo name (es. bridge_LAN) e clicchiamo su OK.
3. Cliccare sul tab Port e sul tasto +
4. Apparirà una schermata come in figura 8.
5. Nella voce interface, selezioniare dal menu a tendina l’interfaccia ether2 e cliccare su OK.
6. Eseguire il punto 5 anche sulle interfacce ether3, ether4, ether5, wlan1 e wlan2.

Per comodità, nel punto 5, anzichè usare il tasto OK a fine passaggio, può esser utilizzato il tasto Apply, questo applica la modifica ma non chiude la finestra. Questo permette dopo aver applicato la configurazione, di cliccare sul tasto Copy, in quest maniera viene aperta una nuova finestra clone di quella appena configurata, in cui basta semplicemente inserire l’interfaccia ether3 e cliccare ancora su Apply per inserire anche essa agevolmente riducendo e semplificando i passaggi. Questo si puo sfruttare per tutte le interfacce da aggiungere.

Dopo aver inserito tutte le interfacce nel bridge, dovreste avere una schermata come in figura 9.

Obbiettivo 6: Assegnare gli indirizzi IP alle interfacce

1. Cliccare sul tab IP, Addresses e sul tasto + .
2. Assegnare nel campo Address, l’indirizzo IP pubblico indicato dal nostro Provider 1.2.3.4/32 , nel campo interface selezioniamo interface ether1 e cliccare su OK, il campo network si compilerà automaticamente.
3. Ripetiamo il punto 1, però ora occupiamo di assegnare l’indirizzo alla LAN utilizzando quello del diagramma in figura 1.
4. Assegnare nel campo Address, l’indirizzo IP LAN 192.168.120.1/24 , nel campo interface selezioniamo dal menu l’interfaccia bridge_LAN e cliccare su OK.

Ci troveremo una schermata simile a quella in figura 10.

Volendo potremo commentare i due indirizzamenti, usando lo stesso metodo indicato nel paragrafo 4 – punto 3.

Obbiettivo 7: Impostare il DHCP-SERVER

1. Il primo passo è generare un POOL IP. Cliccare nel tab IP, Pool e sul tasto + .
2. Inserire nel campo name, il nome del pool (es. pool_dhcp).
3. Inserire nel campo Addresses, il range di indirizzi come dal diagramma in figura 1, 192.168.120.100-192.168.120.150 e cliccare su OK.
4. Cliccare nel tab IP, DHCP Server e sul tasto + .
5. Inserire nel campo name, il nome del server dhcp (es. dhcp-server).
6. Selezionare dal menu a tendina del campo interface, bridge_LAN .
7. Impostare il campo Lease Time a 12:00:00 , in modo che gli indirizzi si rinnovino con tempo più lungo rispetto alle impostazioni di default.
8. Nel campo Address Pool, selezioniamo il pool pool_dhcp precedentemente creato.
9. Infine cliccare sul tasto OK.
10. Ora cliccare sul tab IP, DHCP Server, Network, infine sul tasto + .
11. Inserire nel campo Address, la Network mask della nostra LAN 192.168.120.0/24 .
12. Inserire nel campo Gateway, l’indirizzo del Router 192.168.120.1 .
13. Inserire nel campo Nemask, la maschera 24
14. Inserire nel campo DNS, l’indirizzo 1.1.1.1
15. Inserire nel campo Domain, ad esempio il dominio WORKGROUP utilizzato da Windows.
16. Infine cliccare su OK.

Dovreste trovarvi i menu configurati come in Figura 11.

N.B. che i router Mikrotik, assegnano gli indirizzi, partendo dall’ultimo indirizzo del pool disponibile.

Puoi verificare gli indirizzi assegnati dal router mikrotik nel Tab IP, DHCP Server, Leases.

Obbiettivo 8: Impostare i Server DNS

I Router Mikrotik, hanno la possibilità di svolgere la funzione di server DNS e DNS relay.

Infatti oltre a gestire direttamente le cache DNS e passarle ad un server DNS pubblico, possono appunto gestire delle query statiche raggiungibili dall’interno della rete locale.

Esempio, è possibile raggiungere il router stesso dalla lan chiamandolo con il DNS router.lan .

Vediamo come configurare la parte DNS.

1. Cliccare nel tab IP, DNS.
2. Nel campo Servers, indicare due server DNS pubblici es. 1.1.1.1 e 208.67.222.220 .
3. Inserire il flag su Allow Remote Requests
4. Infine cliccare su Apply.
5. Cliccare sul tasto Static e sul tasto + .
6. Inserire nel campo Regexp, router.lan
7. Inserire nel campo Address, 192.168.120.1 e clicca su OK.

In questo il router potrà raggiungere DNS pubblici.

I passaggi dei punti 5,6,7, servono appunto per poter gestire chiamate interne dalla lan verso roter.lan e reinderizzarle all’IP del router stesso.

Perchè questo possa avvenire, i PC devono utilizzare come server DNS predefinito, l’ip del router stesso. Quindi per beneficiare di questa funzione, nel paragrafo 7 – punto 14, andrebbe inserito l’IP 192.168.120.1 .

Obbiettivo 9: Impostare il Gateway del Router

Nel paragrafo 6 – punto 2, abbiamo assegnato all’interfaccia ether1 l’ip pubblico statico rilasciato dal Provider.

Esso ci ha rilasciato anche il gateway statico da impostare nel nostro Router, che in questo caso è 10.246.159.50. Ora vediamo come impostarlo nel nostro router Mikrotik.

1. Cliccare sul tab IP, Route e sul tasto + .
2. Impostare nel campo gateway, 10.246.159.50 e cliccare su OK  .

Il nostro router avendo ora, indirizzo IP pubblico, gateway e DNS impostati dovrebbe essere in grado di uscire attraverso internet.

Non rimane che collegare il modem o la cpe del nostro gestore alla porta ethernet 1 del nostro mikotik per accertarsi che tutto funzioni. Prima sarebbe fondamentale proteggere il router, in modo da evitare che qualcuno attraverso internet possa raggiungere il nostro mikrotik e far danni.

Obbiettivo 11: Verificare che il router navighi in Internet

Per verificare che il router navighi in Internet, ci sono svariati modi.

Ora vediamo come eseguire la verifica più pratica e veloce.

1. Cliccare sul tab New terminal .
2. Digitare il comando ping 1.1.1.1
3. Se il server risponde, vedrete nel campo time la latenza in mS, diversamente apparirà timeout o no route to host.
4. Se 1.1.1.1 risponde, premete ctrl + C per interrompere i ping.
5. Ora digitate il comando ping google.it
6. Se anche questo server risponde, il router raggiunge internet e risolve i nomi DNS, quindi possiamo passare all’obbiettivo 12.

Se tutto funziona ti troverai una schermata simile a quella in figura 14.

Obbiettivo 12: Configurare il firewall e il NAT

Come avrete notato, anche se il vostro router naviga, il vostro PC non naviga. Questo perchè manca il NAT. Nei prossimi passi vedremo come configurarlo, e aggiungiamo un firewall minimo che permetterà di scartare i pacchetti invalidi.

12.1 Impostiamo il Firewall

1. Cliccare su IP, Firewall, Filter rules e sul tasto + .
2. Selezionare la chain di input .
3. Nel campo Connection State, inserisci il flag su estabilished, related, untracked .
4. Clicca sul tab Action nella barra del titolo.
5. Nel campo Action, seleziona la voce accept e clicca su OK.
6. Ripeti il punto 1 e il punto 2.
7. Nel campo Connection State, inserisci il flag su invalid .
8. Clicca sul tab Action nella barra del titolo.
9. Nel campo Action, seleziona la voce drop e clicca su OK.

Dovresti trovarti una schermata come quella in figura 15.

12.2 Impostiamo il NAT in modo che il tuo PC possa navigare.

1. Cliccare su IP, Firewall, NAT e sul tasto + .
2. Nel campo chain, selezionare srcnat.
3. Nel campo src-address inserire, 192.168.120.0/24 .
4. Nel campo out-interface selezionare ether1 .
5. Clicca sul tab Action nella barra del titolo.
6. Nel campo Action, seleziona la voce masquerade e clicca su OK.

Ora il tuo PC dovrebbe navigare. Puoi provare sia in dhcp client che in maniera statica come indicato nel diagramma in figura 1.

Dovresti trovarti una schermata come quella in figura 16.

Obbiettivo 13: Configuriamo la parte Wireless modalità Access Point.

Come avreste notato, il vostro router ha un interfaccia wireless 2,4Ghz e una 5Ghz che sono attualmente disabilitate. Vediamo come configurarle e attivarle.

1. Cliccare sul tab Wireless e cliccare due volte sull’interfaccia wlan1.
2. Cliccare sul tab Wireless della finestra.
3. Cliccare sul tab Advanced Mode, sul lato destro della finestra.
4. Nel campo Mode, seleziona ap bridge .
5. Nel campo Band, seleziona 2Ghz-B/G/N .
6. Nel campo Channel Width, seleziona 20/40Mhz Ce .
7. Nel campo Frequency, imposta una frequenza standard (2412, 2437 o 2462).
8. Nel campo SSID, digita il nome che vuoi dare alla tua rete (es. GREENET)
9. Nel campo Wireless Protocol, seleziona 802.11 .
10. Nel campo WPS mode, seleziona disabled .
11. Nel campo Frequency Mode, seleziona regolautory-domain.
12. Nel campo Country, seleziona Italy .
13. Nel campo Installation, seleziona indoor.
14. Accertati nella parte bassa della finestra sia flaggato il Multicast Buffering.
15. Cliccare su Apply e successivamente su Enable.
16. Cliccare sul tab Security Profile della finestra Wireless Tables.
17. Cliccare due volte sulla voce default.
18. Nel campo Mode, selezionare dynamic key .
19. Nel campo Authentication Types, inserisci il flag su WPA2 PSK .
20. Nel campo Unicast Ciphers e Group Ciphers, inserisci il flag su aes ccm.
21. Nel campo WPA2 Pre-Shared key, digita la password del tuo Wi-Fi (es. green2805).
22. Infine clicca su OK.
23. Ora configuriamo allo stesso modo l’interfaccia wlan2.
24. Cliccare sul tab Wireless e cliccare due volte sull’interfaccia wlan2.
25. Ripeti i punti: 2,4,8,9,10,11,12,13,14
26. Nel campo Band, seleziona 5Ghz-A/N/AC .
27. Nel campo Channel Width, seleziona 20/40/80Mhz Ceee
28. Nel campo Frequency, imposta una frequenza standard (es.5260) se vuoi approfondire vedi questa pagina

Ora dovresti riuscire a collegarti anche alle interfacce wi-fi con la medesima password. Dovreste avere le due interfacce configurate come in figura 17.

Se vuoi utilizzare password differenti per il Wi-Fi 2,4Ghz e 5Ghz, puoi creare un nuovo Profilo dal menu Security Profile e richiamarlo nella configurazione dell’interfaccia Wireless.

 

 

Obbiettivo 14: Salvare la configurazione e il backup

In RouterOS, si può salvare la configurazione in due modalità differenti: script o backup. Cosa cambia?

Il backup si utilizza per ricaricarlo sul medesimo Router, esso esporta anche gli utenti del router stesso oltre che la configurazione, e si porta dietro perfino i MAC address del router. Quindi va utilizzato esclusivamente sullo stesso router, o al massimo se il nostro router si rompesse, si porebbe caricare su un router dello stesso identico modello. (Questo, solo se il router da cui è stato salvato il backup è diventato inutilizzabile). Se no ci ritroveremo MAC address duplicati nella rete, creando dei conflitti.

Lo script.rsc si può leggere, editare e caricare su qualsiasi router, esso esporta la configurazione stessa senza utenti e password di accesso, può venir editata in file testo, dal blocco note di Windows o da Wordpad. Importa anche gli utenti vpn.

Come si esporta un backup?

Digitare sul terminale il seguente comando: system backup save name=backup_base

Come si esporta uno script editabile.rsc?

Digitare sul terminale il seguente comando: export file=script_base

Entrambi i Files, si potranno trovare nel tab Files di Winbox.

 

Obbiettivo 15: Testare il funzionamento dei due percorsi.

1. Collega un PC sulla porta ether3.
2. Imposta un indirizzo statico, nella scheda di rete del pc. Se preferisci puoi impostarlo in Dhcp-client.
3. Accertati che il PC vada su internet.
4. Vai sul sito: https://www.mio-ip.it/
5. Accertati che l’indirizzo IP pubblico corrisponda a quello della linea FTTH.
6. Collega un PC sulla porta ether4.
7. Ripeti gli stessi passi già eseguiti con la precedente connessione, e accertati che la connessione sulla ether4 usi la connessione ADSL

Sei alle prime armi con RouterOS e non trovi sufficienti guide in Italiano, consulta la sezione Guide Mikrotik inoltre, ti consiglio questo utilissimo libro in Italiano di Vittore Zen, “Teoria, Laboratori ed esercizi per Mikrotik RouterOS“.

 

Scopri hAP ax lite, il nuovo router Mikrotik con potente processore ARM.

Puoi inviare il tuo contributo Paypal oppure commenta e condividi questo contenuto.

 

• Facebook
• Telegram
• LinkedIn

Hai riscontrato errori in questa guida?? segnalacelo tramite la scheda CONTATTI

Sei già abbastanza esperto con RouterOS e vuoi configurare la tua Routerboard da terminale??

Ti allego qui di seguito lo script:

---

script_base.rsc

/interface bridge
add name=bridge_LAN
/interface ethernet
set [ find default-name=ether1 ] comment=Interfaccia_pubblica
set [ find default-name=ether2 ] comment=-----------------------------LAN-----------------------------
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce country=italy disabled=no installation=indoor mode=ap-bridge ssid=GREENET wireless-protocol=802.11 \
    wps-mode=disabled
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=20/40/80mhz-Ceee country=italy disabled=no frequency=5260 installation=indoor mode=ap-bridge ssid=GREENET \
    wireless-protocol=802.11 wps-mode=disabled
/interface lte apn
set [ find default=yes ] ip-type=ipv4-ipv6
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys supplicant-identity=MikroTik wpa2-pre-shared-key=green2805
/ip pool
add name=pool-dhcp ranges=192.168.120.100-192.168.120.150
/ip dhcp-server
add address-pool=pool-dhcp disabled=no interface=bridge_LAN lease-time=12h name=dhcp-server
/interface bridge port
add bridge=bridge_LAN interface=ether2
add bridge=bridge_LAN interface=ether3
add bridge=bridge_LAN interface=ether4
add bridge=bridge_LAN interface=ether5
add bridge=bridge_LAN interface=wlan1
add bridge=bridge_LAN interface=wlan2
/ip settings
set max-neighbor-entries=2048
/interface ovpn-server server
set auth=sha1,md5
/ip address
add address=1.2.3.4 interface=ether1 network=10.246.159.50
add address=192.168.120.1/24 interface=bridge_LAN network=192.168.120.0
/ip dhcp-server network
add address=192.168.120.0/24 dns-server=192.168.120.1 domain=WORKGROUP gateway=192.168.120.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=1.1.1.1,208.67.222.220
/ip dns static
add address=192.168.120.1 regexp=router.lan
/ip firewall filter
add action=accept chain=input connection-state=established,related,untracked
add action=drop chain=input connection-state=invalid
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1 src-address=192.168.120.0/24
/ip route
add distance=1 gateway=10.246.159.50
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.120.0/24
set ssh address=192.168.120.0/24
set api disabled=yes
set winbox address=192.168.120.0/24
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Rome
/system identity
set name=Router-ufficio