Ручная настройка MikroTik роутера. Способы сброса Mikrotik к настройкам по-умолчанию

В зависимости от модели RouterBOARD , существует несколько способов сброса настроек. Сбросить пароль и настройки MikroTik RouterBOARD можно с помощью кнопки Reset или специального отверстия на плате устройства.

Сброс MikroTik кнопкой Reset

Большинство устройств RouterBOARD оснащены кнопкой Reset .

Чтобы сбросить конфигурацию MikroTik к заводским настройкам выполните следующее:

1. Отключите питание роутера;
2. Нажмите и держите кнопку Reset ;
3. Включите питание роутера;
4. Дождитесь, пока замигает индикатор ACT , и отпустите кнопку Reset .

Примечание: Если вы не отпустите кнопку Reset и дождетесь, когда индикатор ACT перестанет мигать, то устройство перейдет в режим Netinstall для переустановки операционной системы RouterOS.

Сброс MikroTik через специальное отверстие

Все современные платы RouterBOARD имеют специальное отверстие для сброса настроек. В некоторых моделях MikroTik потребуется открыть корпус, чтобы воспользоваться этим отверстием. На других устройствах есть отверстие на корпусе для доступа к сбросу на плате.

Чтобы сбросить конфигурацию MikroTik через специальное отверстие на плате выполните следующее:

1. Отключите питание роутера;
2. Замкните отверстие для сброса металлической отверткой;
3. Включите питание роутера;
4. Подождите, пока сбросится конфигурация, и уберите отвертку.

После сброса роутера, вы сможете зайти в его настройки со стандартным именем пользователя admin без пароля.

Сброс MikroTik джампером на старых моделях

На рисунке изображено расположение джампера для сброса настроек в старых моделях RouterBOARD, например RB133C.

Для сброса настроек в старых моделях MikroTik выполните следующее:

1. Отключите питание роутера;
2. Замкните джампер металлической перемычкой;
3. Включите питание роутера;
4. Подождите, пока сбросится конфигурация, и уберите перемычку.

После сброса роутера, вы сможете зайти в его настройки со стандартным именем пользователя admin без пароля.

Примечание: Не забудьте убрать перемычку после сброса настроек, иначе устройство будет каждый раз сбрасываться при перезагрузке.

Сброс RouterOS установленной на x86

Чтобы сбросить пароли и настройки операционной системы RouterOS, установленной на компьютере x86, необходимо загрузиться с установочного диска с RouterOS. Когда появится окно с выбором пакетов, нажать i и ответить n на вопрос Do you want to keep old configuration? Подтвердите сброс, нажав y .

Компания Microtik, известная выпуском качественного сетевого оборудования, предлагает сегодня роутеры сегмента «SOHO». В таких устройствах, на первый взгляд – все, как в «обычном» 4-портовом роутере с Wi-Fi. Однако, у Микротик роутер – построен на базе процессоров PowerPC или аналогичных по производительности решений RISC. Объем памяти может вчетверо превышать «стандартные» 32 Мб, и в качестве операционной системы, используется Router OS. Настроить сие чудо – можно из web-интерфейса.

Название всех моделей сетевых устройств «Микротик» – начинается словами «Roater Board». Будем рассматривать, как настроить «RB 951-2n», используя встроенный web-интерфейс.

«RB 951-2n» в пластиковом корпусе

Портом WAN, с которым соединяется сетевой шнур провайдера, по умолчанию считается «первый». Кстати, на первый порт устройство может получать питание через POE (от 9 до 24 Вольт). Если пользователю не знакомо такое понятие, проблема решается с помощью БП, идущего в комплекте (12 В, 0,5 А). С выполнением проводных соединений – вопросов не возникнет.

Настройка роутера

Вход в Web-интерфейс

Если роутер подключен, как показано на рисунке, то в последнюю очередь – надо включить его блок питания:

Подключение проводных соединений

Дальше, сетевая карта компьютера – настраивается на «авто» DNS и IP, компьютер – отправляется на перезагрузку. После выполнения этих действий, можно перейти к настройке. С одинаковым успехом, можно настраивать роутер на Linux, Windows, BSD (главное – использовать современный браузер).

IP-адрес графического интерфейса – в «Микротик» не совсем стандартный: 192.168.88.1. Открываем его в любом браузере (желательно, кроме Opera):

Выбор способа настройки

Параметры большинства настроек (соединение с Интернет, Wi-Fi, пароль к роутеру) – вынесены на одну вкладку, «Quick Set»:

Вкладка «Quick Set»

Она разбита на «блоки», например один блок – это «Wireless», за ним следует блок «Wireless Clients», и т. д.

Настройка соединения

Если провайдер использует протокол «DHCP» – роутер, можно сказать, уже настроен. При желании, можно заменить значение MAC-адреса (которое будет присвоено «порту 1»), что выполняется в блоке «WAN». Выполнив любые изменения, надо нажимать «Apply Configuration».

Настройка соединения

А под «PPPoE» – настройка выглядит сложнее. Выбрав вариант «PPPoE», увидим, что появились дополнительные поля (которые – надо заполнить):

Настройка «PPPoE»

Собственно, кроме имени и пароля абонента (и может быть, адреса MAC), здесь менять ничего нельзя. Значение IP-адреса – автоматически появится после подключения.

Теперь роутер mikrotik – настроен на соединение с Интернет. Для сохранения и автоматического применения всех настроек, осталось нажать «Apply Configuration».

Беспроводная сеть и ее включение

Исследуем возможности блока «Wireless»:

Настройка беспроводной сети

1. поле «SSID» – это имя сети (любое значение).
2. список «Frequency» – выбор радиоканала беспроводной сети. Отображается в виде частоты в МГц. Для некоторых стран, доступно 14 каналов.
3. список «Band» – как ни странно, не диапазон, а «режим» работы: по умолчанию, «B/G/N». Устанавливать режим «N-only» можно, если все устройства поддерживают «802.11 N».
4. список «Channel Width» – ширина канала (в МГц). Доступны даже значения меньше 20МГц, которые – выбирать не следует.
5. список «Country» – от выбора значения, будет зависеть список «Frequency».
6. «Use ACL» – используется, если нужно включить MAC-фильтр беспроводных абонентов.
7. «Security» – включение режима шифрования (можно установить WPA и WPA2, будут использоваться тот и другой в зависимости от абонента).
8. «Encryption» – выбор режима шифрования, «aes ccm» либо «tkip». Рекомендуется оставить используемое по умолчанию, «aes».
9. В поле ключа, нужно установить значение из восьми символов (только, если шифрование – было включено).

Нажав «Apply Settings», получим функционирующую беспроводную сеть с необходимыми нам параметрами. На этом, настройка роутера mikrotik на основной набор функций – выполнена.

Дополнительно

Включение протокола UPNP

Сегодня, большинство программ, работающих по сети, могут использовать UPnP-опцию. Чтобы ее задействовать на роутере, нужно выполнить несколько действий.

Во-первых, надо перейти к вкладке «IP»->«UPNP», где – установить все галочки:

Затем, надо обязательно нажать «Interfaces», чтобы указать внутренний интерфейс (internal):

Добавление внутреннего интерфейса

Надо нажать «ОК». Затем, добавляется еще один интерфейс – внешний (используемый для подключения Интернет):

Добавление внешнего интерфейса

После чего, можно нажать «Apply». В проводной и беспроводной сети – начнет функционировать протокол UPnP:

Вкладка «UPnP» после настройки протокола

Успешной настройки!

Руководство по быстрой настройке домашнего роутера Mikrotik:

Это инструкция, как пошагово настроить роутер MikroTik с нуля без использования заводской конфигурации.

Подключение роутера MikroTik

Для настройки Wi-Fi роутера MikroTik нам понадобятся:

• кабель провайдера интернета (Triolan, MaxNet, Воля, Airbites, Vega или любые другие);
• компьютер или ноутбук с Wi-Fi;
• роутер MikroTik (в нашем случае RB751U-2HnD) . Он будет раздавать Интернет по кабелю, а также по Wi-Fi на ноутбук, смартфон, телевизор с Wi-Fi или планшет.

• кабель провайдера интернета подключаем в первый порт роутера;
• компьютер подключаем к роутеру MikroTik сетевым кабелем в любой LAN порт от 2 до 5;
• ноутбук и другие беспроводные устройства подключим по Wi-Fi;
• блок питания включаем в разъем «Power» роутера MikroTik.

Настройка сетевой карты компьютера

Чтобы на компьютере можно было зайти в настройки роутера Mikrotik, настроим сетевую карту на получение автоматических настроек.

Открываем «Пуск» → «Панель управления» → «Центр управления сетями и общим доступом».

Перейдем в «Изменение параметров адаптера».

Нажимаем правой кнопкой мыши на «Подключение по локальной сети» и выбираем «Свойства»

Нажимаем на «Протокол Интернета версии 4 (TCP/IPv4)» и кнопку «Свойства».

Выбираем «Получить IP-адрес автоматически» и нажимаете кнопку «OK».

Если сетевая карта не получает автоматически IP адрес из подсети 192.168.88.x, попробуйте его указать вручную (например: 192.168.88.21) или .

Вход в настройки роутера MikroTik

Выполнить настройку роутера MikroTik можно разными способами:

• С помощью специальной программы Winbox для ОС Windows. Скачать на официальном сайте.
• С помощью браузера, перейдя по адресу 192.168.88.1 . В настройках браузера не должен быть указан proxy-сервер!
• Настройка через Telnet.

Мы будем настраивать роутер Mikrotik с помощью программы Winbox.

Подключаемся к роутеру MikroTik:

1. Запустите программу Winbox и перейдите на вкладку Neighbors ;
2. В списке отобразится ваш роутер. Нажмите левой кнопкой мыши на его MAC адрес;
3. Нажмите кнопку Connect .
   Login по умолчанию admin , пароль пустой.

Сброс настроек роутера

Сбросим все настройки роутера MikroTik.

При первом входе у вас появится окно, как на картинке ниже. Нажмите кнопку Remove Configuration

Если у вас не появилось данное окно, сбросим настройки через меню:

1. Выбираем слева меню System - Reset Configuration ;
2. Поставьте галочку No Default Configuration ;
3. Нажмите кнопку Reset Configuration .
4. Нажмите кнопку Yes и дождитесь перезагрузки устройства.

Описание сетевых интерфейсов

Конфигурация сетевых интерфейсов MikroTik будет выглядеть следующим образом: первый порт ether1 будет подключен к провайдеру (WAN порт), остальные порты ether2-5 будут работать в режиме коммутатора для подключения компьютеров локальной сети.

Чтобы не путать сетевые интерфейсы, опишем их с помощью комментариев.

Входим в настройки MikroTik с помощью программы Winbox.

Записываем для первого порта ether1 комментарий "WAN":

1. Открываем меню Interfaces ;
2. Выбираем первый интерфейс ether1 ;
3. Нажимаем желтую кнопку Comment ;
4. WAN ";
5. Нажимаем кнопку OK .

Записываем для второго порта ether2 комментарий "LAN":

1. Выбираем интерфейс ether2 ;
2. Нажимаем желтую кнопку Comment ;
3. В появившемся окне вводим комментарий "LAN ";
4. Нажимаем кнопку OK .

Теперь в списке интерфейсов четко видно их назначение.

Настройка WAN интерфейса MikroTik

Смена MAC адреса WAN порта

Если Ваш провайдер блокирует доступ к сети по MAC адресу, то необходимо сначала изменить MAC адрес WAN порта роутера MikroTik. В противном случае пропустите этот пункт.

Чтобы изменить MAC адрес порта MikroTik, открываем в программе Winbox меню New Terminal и вводим команду:

/interface ethernet set ether1 mac-address=00:01:02:03:04:05

Где ether1 - имя WAN интерфейса, 00:01:02:03:04:05 - разрешенный MAC адрес.

Чтобы вернуть родной MAC адрес порта, нужно выполнить команду:

/interface ethernet reset-mac ether1

Где ether1 - имя интерфейса.

Настройка Dynamic IP

Если интернет провайдер выдает Вам сетевые настройки автоматически, то необходимо настроить WAN порт роутера MikroTik на получение настроек по DHCP:

1. Открываем меню IP ;
2. Выбираем DHCP Client ;
3. В новом окне в списке Interface : выбираем WAN интерфейс ether1 ;
4. Нажимаем кнопку OK для сохранения настроек.

Теперь мы получили IP адрес от провайдера, который отображается в столбце IP Adress .

1. Открываем меню New Terminal ;
2. В терминале пишем команду ping 8.8.8.8 Enter на клавиатуре.

Настройка Static IP

Если вы используете статические сетевые настройки, необходимо настроить WAN порт роутера MikroTik вручную.

Настроим статический IP адрес и маску подсети WAN порта MikroTik:

1. Открываем меню IP ;
2. Выбираем Addresses ;
3. В появившемся окне нажимаем кнопку Add (плюсик);
4. В новом окне в поле Address : прописываем статический IP адрес / маску подсети ;
5. В списке Interface: выбираем WAN интерфейс ether1 ;
6. OK .

Настроим адрес интернет шлюза MikroTik:

1. Открываем меню IP ;
2. Выбираем Routes ;
3. В появившемся окне нажимаем кнопку Add (плюсик);
4. В новом окне в поле Gateway : прописываем IP адрес шлюза ;
5. Нажимаем кнопку OK для сохранения настроек.

Добавим адреса DNS серверов MikroTik:

1. Открываем меню IP ;
2. Выбираем DNS ;
3. В появившемся окне нажимаем кнопку Settings ;
4. В новом окне в поле Servers : прописываем IP адрес предпочитаемого DNS сервера;
5. Нажимаем кнопку "вниз" (черный треугольник), чтобы добавить еще одно поле для ввода;
6. В новом поле прописываем IP адрес альтернативного DNS сервера;
7. Ставим галочку Allow Remote Requests ;
8. Нажимаем кнопку OK для сохранения настроек.

Проверим, что есть доступ к интернету:

1. Открываем меню New Terminal ;
2. В терминале пишем команду ping 8.8.8.8 (пингуем сайт google) и жмем Enter на клавиатуре.

Как видим, идут пинги по 60ms, значит интернет подключен и работает. Остановить выполнение команды можно комбинацией клавиш на клавиатуре Ctrl+C.

На компьютерах, подключенных к роутеру MikroTik, интернет не будет работать, пока вы не настроите локальную сеть, Firewall и NAT.

Настройка PPPoE

Если вы используете ADSL модем, к которому по сетевому кабелю подключен роутер MikroTik, сначала необходимо настроить ADSL модем в режим Bridge (мост).

Настроим клиентское PPPoE соединение на роутере MikroTik:

1. Слева выбираем меню PPP ;
2. Нажимаем кнопку Add (плюсик);
3. Выбираем PPPoE Client .

Настраиваем параметры PPPoE соединения MikroTik:

После создания PPPoE соединения напротив него должна появиться буква R , которая говорит о том, что соединение установлено.

Проверим, что есть связь с интернетом:

1. Открываем меню New Terminal ;
2. В терминале пишем команду ping 8.8.8.8 (пингуем сайт google) и жмем Enter на клавиатуре.

Как видим, идут пинги по 60ms, значит интернет подключен и работает. Остановить выполнение команды можно комбинацией клавиш на клавиатуре Ctrl+C.

На компьютерах, подключенных к роутеру MikroTik, интернет не будет работать, пока вы не настроите локальную сеть, Firewall и NAT.

Объединение Wi-Fi и проводных интерфейсов в локальную сеть

Чтобы компьютеры, подключенные к роутеру по кабелю и по Wi-Fi, друг друга «видели», необходимо объединить беспроводной и проводные интерфейсы MikroTik. Если у вас роутер без Wi-Fi, то объединяете только проводные интерфейсы.

Создаем объединение bridge-local (мост);

1. Открываем меню Bridge ;
2. Нажимаем кнопку Add (плюсик);
3. В поле Name прописываем имя объединения bridge-local ;
4. Нажимаем кнопку OK .

Добавляем в объединение проводные ethetnet порты 2-5:

1. Переходим на вкладку Ports ;
2. Нажимаем кнопку Add (плюсик);
3. В списке Interface выбираем ethernet порт ether2 ;
4. В списке Bridge выбираем имя объединения bridge-local ;
5. Нажимаем кнопку OK ;
6. Точно так же добавляем порты ether3, ether4, ether5.

Добавляем в объединение Wi-Fi интерфейс.

1. Переходим на вкладку Ports ;
2. Нажимаем кнопку Add (плюсик);
3. В списке Interface выбираем беспроводной интерфейс wlan1 ;
4. В списке Bridge выбираем имя объединения bridge-local ;
5. Нажимаем кнопку OK .

Назначение IP адреса локальной сети

Настроим IP адрес локальной сети MikroTik:

1. Открываем меню IP ;
2. Выбираем Addresses ;
3. Нажимаем кнопку Add (плюсик);
4. В поле Address вводим адрес и маску локальной сети, например 192.168.88.1/24;
5. В списке Interface выбираем bridge-local ;
6. Нажимаем кнопку OK .

Настройка DHCP сервера

Чтобы компьютеры, подключенные к роутеру, получали сетевые настройки автоматически, настроим DHCP сервер MikroTik:

Теперь сетевой кабель компьютера отключаем от роутера и еще раз подключаем к нему.

Настройка Wi-Fi точки доступа MikroTik

Сначала необходимо включить Wi-Fi модуль:

1. Открываем меню Wireless ;
2. Выбираем Wi-Fi интерфейс wlan1 ;
3. Нажимаем кнопку Enable (синяя галочка).

Создаем пароль для подключения к точке доступа MikroTik:

1. Открываем вкладку Security Profiles ;
2. Нажимаем кнопку Add (плюсик);
3. В новом окне в поле Name : указываем имя профиля безопасности;
4. Для лучшей безопасности оставляем только регистрацию по протоколу WPA2 PSK ;
5. В поле WPA2 Pre-Shared Key вводим пароль для доступа к Wi-Fi точке;
6. Для сохранения настроек нажимаем кнопку OK .

Настраиваем параметры Wi-Fi точки MikroTik:

1. Открываем вкладку Interfaces ;
2. Делаем двойной клик кнопкой мыши на Wi-Fi интерфейсе wlan1 , чтобы зайти в его настройки;
3. Переходим на вкладку Wireless ;
4. В списке Mode: выбираем режим работы ap bridge (точка доступа в режиме моста);
5. В списке Band : выбираем в каких стандартах будет работать Wi-Fi точка, мы выбрали B/G/N ;
6. В поле SSID : прописываем имя точки доступа;
7. В списке Security Profile выбираем имя профиля безопасности, в котором мы создавали пароль для доступа к Wi-Fi точке;
8. Нажимаем кнопку OK для сохранения настроек.

Теперь можно подключаться к роутеру по Wi-Fi.

На компьютерах, подключенных к роутеру MikroTik по Wi-Fi, интернет не будет работать, пока вы не настроите Firewall и NAT.

Настройка Firewall и NAT

Чтобы компьютеры получали доступ к интернету, необходимо настроить Firewall и NAT на роутере MikroTik.

Откройте меню New Terminal для ввода команд.

Настройка NAT выполняется следующими командами:

ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade

Где ether1 - это интерфейс, на который приходит интернет от провайдера. Для PPPoE соединений указывается название PPPoE интерфейса.

Настройки NAT достаточно, чтобы заработал интернет.

Protect router - команды для защиты роутера:

ip firewall filter add action=accept chain=input disabled=no protocol=icmp
ip firewall filter add action=accept chain=input connection-state=established disabled=no in-interface=ether1
ip firewall filter add action=accept chain=input connection-state=related disabled=no in-interface=ether1
ip firewall filter add action=drop chain=input disabled=no in-interface=ether1

Protect LAN - защита внутренней сети:

ip firewall filter add action=jump chain=forward disabled=no in-interface=ether1 jump-target=customer
ip firewall filter add action=accept chain=customer connection-state=established disabled=no
ip firewall filter add action=accept chain=customer connection-state=related disabled=no
ip firewall filter add action=drop chain=customer disabled=no

Назначаем типы интерфейсов для защиты внутренней сети (external - внешний, internal - внутренний LAN):

ip upnp interfaces add disabled=no interface=ether1 type=external
ip upnp interfaces add disabled=no interface=ether2 type=internal
ip upnp interfaces add disabled=no interface=ether3 type=internal
ip upnp interfaces add disabled=no interface=ether4 type=internal
ip upnp interfaces add disabled=no interface=ether5 type=internal
ip upnp interfaces add disabled=no interface=bridge-local type=internal

Изменение пароля доступа к роутеру MikroTik

Чтобы изменить пароль доступа к роутеру MikroTik, выполните следующие действия:

1. Открываем меню System ;
2. Выбираем Users ;
3. Делаем двойной клик кнопкой мыши на пользователе admin ;
4. Нажимаем кнопку Password... ;
5. В поле New Password вводим новый пароль;
6. В поле Confirm Password подтверждаем новый пароль;
7. В окне Change Password нажимаем кнопку OK ;
8. В окне User нажимаем кнопку OK .

Чтобы сбросить MikroTik к заводским настройкам выполните следующее:

1. Отключите питание роутера;
2. Нажмите и держите кнопку Reset ;
3. Включите питание роутера;
4. Дождитесь пока замигает индикатор ACT и отпустите кнопку Reset .

После этого роутер перезагрузится, и вы сможете зайти в его настройки со стандартным именем пользователя admin без пароля.

Если вы войдете в настройки с помощью программы Winbox, то появится следующее окно:

C помощью кнопки OK можно выполнить быструю настройку роутера по умолчанию.

Кнопка Remove Configuration позволяет сбросить все настройки для последующей ручной настройки роутера.

Не можете попасть в настройки своего роутера Mikrotik и у Вас версия RouterOS 6.29-6.42?
Тогда, вероятнее всего, Ваше оборудование подверглось взлому!
Я бы разделил разновидность нанесённого вреда хакерами в данном случае на три категории:

1. Лёгкий вред: после проведенной атаки был изменён Identity, закрыты порты 8192, 80, 443, зато открыт порт 22, пароль администратора оставлены без изменений;
2. Средний вред: все перечисленные выше порты открыты, но пароль администратора изменён;
3. Тяжёлый вред: пароль администратора изменён, закрыты порты ssh, www, www-ssl Winbox. Доступ только через serial-port и MAC-Winbox.

Я столкнулся со всеми тремя проблемами. Взломаны были как обычные маршрутизаторы на платформе MIPS так и серьезные на PowerPC (ppc).

Легкий взлом

Последствия такой атаки быстро устраняются. Для этого подключаемся к оборудованию по ssh, и введя команду /ip service print, видим, что сервисы, просто-напросто, отключены (Disable).

Следующей командой выключаем сервис winbox.

/ip service enable winbox Остальные подключаются по аналогии или с помощью winbox’а. Убедитесь, что выполнение предыдущей команды прошло успешно. /ip service print

После этого можно подключаться к оборудованию через Winbox, поменять все пароли, выполнить резервное копирование конфигурации и обновить RouterOS.

Средний

Последствия среднего взлома без сторонней программы устранить нельзя. Если интерфейс webfig остается доступным, а пароль злоумышленник изменил, то для восстановления доступа понадобится загрузить программу RouterScan . Официальный сайт: http://stascorp.com/load/1-1-0-56
Скачиваем на компьютер, распаковываем и запускаем. Откроется окно программы. Найдите строку Enter IP Ranges to scan. Справа от этой фразы кликаем по кнопке [E]. Затем в открывшемся диалоговом окне стираем всё и вводим IP-адрес своего роутера. После этого нажимаем кнопку Start Scan.

После сканирования прога выведет связку «Login-Password»

После чего необходимо, как и в первом случае, подключаться к оборудованию, изменить пароли доступа к маршрутизатору, сохранить на компьютер резервную копию конфигурации и установить update.

Тяжелый

А вот тут придется попотеть!
Если первые два типа решаются легко, то для устранения третьей категории взлома понадобится прибегнуть к эксплуатации уязвимости.

Уязвимость, которая эксплуатируется для восстановления паролей описал в статье на своей страничке специалист по кибербезопасности Alireza Mosajja, с ником n0p. https://n0p.me/winbox-bug-dissection/. Он же является автором скрипта для чтения паролей с роутера бездеструктивным методом.

Итак, в RouterOS начиная с версии 6.29 и заканчивая 6.42 с помощью скрипта написанного на Python’е и размещенного в общем доступе на Github, возможно увидеть текущий пароль админа при условии, если порт для подключения с помощью Winbox открыт.

для RouterOS bugfix 6.40.8 и current 6.42.5 и данный метод не подходит

Для запуска понадобится Python с pwntools. Я воспользовался уже установленной версией Ubuntu 16.04 LTS, где скрипт заработал, что называется, «из коробки» — сразу, не потребовав до установить pwntools. Для более ранних дистрибутивов без pwntools воспользуйтесь инструкцией, приведенной в официальной документации к pwntools.
В примере скачиваем в домашнюю директорию пользователя:
owner@mikrotik:~$cd /home/owner/ owner@mikrotik:~$ wget -r https://github.com/BigNerd95/WinboxExploit/archive/master.zip после завершения скачивания у Вас появится вложенные папки github.com/BigNerd65/WinboxExploit/archive/master.zip . Далее распаковываем скаченный архив.
owner@mikrotik:~$ unzip /home/owner/github.com/BigNerd95/WinboxExploit/archive/master.zip
на выходе получится директория WinboxExploit, в которой содержится, интересующий нас скрипт WinboxExploit.py. Запускается всего с одним параметром — IP-адресом, либо MAC-адрес роутера. И если все пройдет успешно, вы увидите историю паролей, применявшихся на роутере, где последний текущий. Важно! Перед применением обязательно удостоверьтесь, что указываемый в параметре скрипта адрес принадлежит вашему собственному роутеру!

После того как вы вернули доступ к управлению роутером задайте новые пароли, выполните резервное копирование конфигурации, скачайте с сайта производителя обновленную прошивку.

Очень надеюсь, что данная статья поможет вам сохранить часы жизни и нервные клетки.

В распоряжении имеется роутер RB751U, который в свою очередь подключен к провайдеру Interzet. В нашу задачу входит, стандартным образом настроить подключение к сети провайдера, локальную и беспроводную сети, правила firewall для безопасной работы в интернет, ну и освоить другие полезные фишки которые пригодятся нам в будущей работе.

Для лучшего понимания процесса настройки, кроме традиционных скриншотов интерфейса RouterOS через Winbox параллельно буду выкладывать CLI-команды, как если бы настройка производилась в терминале или по SSH.

Затем переходим на вкладку Advanced и выставляем значения как на рисунке.

На вкладке HT изменяем следующие параметры.

Нажимаем ОК. Затем переходим на вкладку Security Profiles и выбираем профиль default.

Выставляем режим и тип шифрования, задаем пароль. Нажимаем ОК.

Затем переходим на вкладку Interfaces и включаем интерфейс wlan1.

Для выполнения тех же операций через терминал, набираем следующие команды:

/interface wireless set wlan1 bridge-mode=enabled name=wlan1 disabled=no mode=ap-bridge band=2ghz-b/g/n channel-width=20/40mhz-ht-above ssid=Mikrotik wireless-protocol=802.11 frequency-mode=regulatory-domain country=russia wmm-support=enable distance=indoors periodic-calibration=enabled hw-protection-mode=rts-cts adaptive-noise-immunity=ap-and-client-mode ht-rxchains=0,1 ht-txchains=0,1 ht-guard-interval=long /interface wireless security-profiles set default mode=dynamic-keys authentication-types=wpa2-psk wpa2-pre-shared-key=12345678

На этом настройка wi-fi завершена.

5) Настройка безопасности доступа к маршрутизатору

Отключаем не нужные сервисы управления для доступа к устройству. Для этого переходим в меню IP\Services и последовательно отключаем их нажатием на крестик.

Так же зададим, фильтр подключений с определенного ip-адреса или сети задав его в поле «Available From».

В терминале порядок действий аналогичный: Выводим список сервисов, отключаем не нужные, разрешаем доступ к определенному сервису из сети 192.168.3.0/24

/ip service print /ip service disable 0,1,2,4,5,7 /ip service set www port=80 address=192.168.3.0/24 /ip service set ssh port=22 address=192.168.3.0/24

Отключаем поиск других устройств (соседей) по протоколам MNDP и CDP на внешних интерфейсах. На внутренних интерфейсах желательно так же отключить, но если нужен доступ к роутеру по mac-адресу, то оставляем локальный интерфейс. Для этого переходим в меню IP\Neighbors\Discovery Interfaces и отключаем все кроме внутренних интерфейсов LAN (ether2) или Bridge, нажатием на кнопку Disable.

/ip neighbor discovery print /ip neighbor discovery set 0,1,2,3,4,5 discover=no

Затем идем в меню Tools/MAC Server и на закладках Telnet Interfaces и WinBox Interfaces так же оставляем только внутренние интерфейсы и отключаем интерфейс «*all». Bridge оставляем, т.к. опять же перестает работать доступ по Winbox.

/tool mac-server disable 0,1,2,3,4,5,6 /tool mac-server mac-winbox disable 0,1,2,3,4,5

Поменяем имя и пароль учетной записи администратора в меню System\Users. В поле Group — зададим права доступа. Возможные варианты: full — полный административный доступ, read — просмотр информации о настройках и событиях и выполнение команд, не затрагивающих конфигурацию роутера, write — изменение настроек и политик за исключением настроек пользователей системы.

/user set supermicro password=12345678 group=full

6) Настройка фильтрации трафика, выхода в интернет

По умолчанию стандартный скрипт настраивает firewall таким образом, чтобы пропускать из локальной сети наружу любой трафик (mascarading), а снаружи только тот, который запрашивается локальными хостами (dnat), а также ping.

В самом начале создадим правило разрешающее прохождения трафика на маршрутизатор (цепочка: input) установленных (established) и связанных подключений (related).

/ip firewall filter add chain=input connection-state=established,related comment="accept established & related"

Add chain=input action=drop connection-state=invalid

Разрешим icmp, если необходимо:

/ip firewall filter add chain=input protocol=icmp comment="ping"

Следующим правилом разрешим подключаться к роутеру из нашей локальной сети или определенного узла в сети по Winbox, кроме подключений идущих из интернета, т.е. ether1:

/ip firewall filter add chain=input dst-port=8291 protocol=tcp action=accept src-address=192.168.3.0/24 in-interface=!ether1 comment="accept winbox from LAN: ether2 (not WAN: ether1)"

Затем, запрещаем любые другие входящие соединения из интернета на роутер.

/ip firewall filter add chain=input action=drop in-interface=ether1 comment="drop all from WAN"

/ip firewall filter add chain=forward connection-state=established,related comment="established forward & related"

Запретим инвалидный трафик, теперь уже для forward.

/ip firewall filter add chain=forward action=drop connection-state=invalid comment="drop forward"

Затем, если у нас имеются dnat правила проброса портов из интернет (вкладка NAT), то необходимо задать разрешение здесь. Например, что бы разрешить узлу 192.168.3.10 принимать подключения из интернета на 80-порт, добавим следующее правило:

/ip firewall filter add chain=forward dst-port=80 protocol=tcp action=accept dst-address=192.168.3.10 in-interface=ether1 comment="accept dnat for 192.168.3.10:80"

Что бы разрешить маскарадинг (SNAT), позволяющий выходить компьютерам локальной сети в интернет (SNAT) добавим следующее правило:

/ip firewall filter add chain=forward protocol=tcp action=accept src-address=192.168.3.0/24 out-interface=ether1 comment="accept snat"

И в конце добавим правило, запрещающее любые другие подключения.

/ip firewall filter add chain=forward action=drop comment="drop all forward"

В итоге, на выходе получим такую картинку:

Для настройки выхода в интернет / маскарадинга, воспользуемся вкладкой NAT. Например, что бы предоставить доступ в интернет двум компьютерам в сети с адресами: 192.168.3.10, 192.168.3.11, наберем следующую команду:

/ip firewall address-list add address=192.168.3.10/31 disabled=no list=lan-access

/ip firewall nat add action=masquerade chain=srcnat out-interface=ether1 list=lan-access

Здесь мы сначала добавляем узлы 192.168.3.10 и 192.168.3.11 в некий список «lan-access» предполагающий разрешение доступа, затем создаем само правило разрешающее этим двум ПК выход в интернет.

Если необходимо выполнить проброс портов из интернета на внутренний сервер/сервис в локальной сети (dnat) добавим следующее правило:

/ip firewall nat add chain=dst-nat in-interface=ether1 protocol=tcp dst-port=80 action=dnat to-addresses=192.168.3.10 to-ports=80 comment="web" disabled=no

Если необходимо жестко задать IP-адрес с которого можно подключаться, то укажем его в поле Dst.Address. Не забываем, так же, что проброс портов не будет работать пока мы не разрешим это в правилах фильтрации, на вкладке Filter Rules.

7) Подключение и настройка usb-модема Yota 4G

Беспроводное подключение через модем Yota у нас будет в качестве резервного канала на случай выхода из строя основного провайдера.

Вставляем модем в usb-порт роутера. В списке интерфейсов должен появится новый интерфейс lte1.

Теперь переходим в меню ip\dhcp-client и выберем в списке интерфейс lte1.

В поле Add Default Router если оставить yes , будет создан маршрут по умолчанию, который в свою очередь отключит маршрут по основному провайдеру, если он есть. Что бы этого не произошло, и маршрут Yota был прописан в качестве дополнительного мы в поле Default Route Distance можем выставить значение 2 и тогда маршрут примет вид отключенного и будет таковым до тех пор пока, не упадет основной маршрут у которого Distance — 1. Но такой маршрут в последствии нельзя будет редактировать (например, задать комментарий), поэтому пока в поле Add Default Router поставим no и создадим маршрут сами.

На вкладке Status, убедимся так же, что роутер получил все необходимые настройки от DHCP-сервера модема.

Переходим в меню IP\Routers. Создаем новый маршрут, в поле Gateway укажем адрес — 10.0.0.1. Distance — 2 и комментарий — gw2.

Нажимаем ОК. Получим примерно следующую картинку.

Здесь у меня первый маршрут (gw1), как раз таки приоритетный и рабочий, просто отключен и поэтому в статусе unreachable, а «ётовский» как раз активный.

Затем добавим два правила на firewall’е. Одно правило для маскарадинга (snat), другое запрещающее любой не разрешенный входящий трафик на интерфейсе lte1.

/ip firewall nat add action=masquerade chain=srcnat out-interface=lte1

/ip firewall filter add chain=input action=drop in-interface=lte1 comment="drop input yota"

7) Настройка SNTP-клиента.

Для отображения корректного времени на устройстве, необходимо настроить SNTP-клиент который в свою очередь будет получать точное время от внешних ntp-серверов. Для этого переходим в меню System\SMTP Client отмечаем галку Enable и вводим ip-адреса первичного и вторичного серверов времени. Нажимаем ОК для сохранения настроек. Для получения самих адресов воспользуемся командой nslookup, например на адрес ru.pool.ntp.org.

А вот для того что бы выставить корректный часовой пояс без ввода команд не обойтись. Для этого в терминале набираем:

/system clock set time-zone-name=Europe/Moscow

Кроме вышеперечисленной команды, добавим сами серверы времени:

/system ntp client set enabled=yes primary-ntp=188.134.70.129 secondary-ntp=46.8.40.31

Посмотреть время на устройстве:

/system clock print

8) Настройка IPTV

Для того что бы настроить IPTV на роутере микротик необходимо предварительно добавить модуль multicast. Для этого переходим на сайт производителя. Выбираем серию устройств для которой будет скачивать пакет. В данном случае это mipsbe… RB700 series . Выбираем All package и скачиваем файл all_packages-mipsbe-x.xx.zip к себе на компьютер. Убедимся, что версия пакета соответствует текущей версии RouterOS, иначе придется обновить и систему тоже. (см. ниже).

Открываем архив all_packages-mipsbe-x.xx.zip и извлекаем от туда фаил multicast-x.xx-mipsbe.npk. В Winbox переходим в меню Files и перетаскиваем мышкой наш файл в окно Files List. Дожидаемся окончания процесса загрузки. Перезагружаем роутер.

Проверяем что пакет multicast установлен в System\Packages.

Что в свою очередь активирует новое дополнительное меню IGMP Proxy в разделе Routing. Открываем Settings и ставим галочку Quick Leave, что по идее должно увеличить скорость переключения каналов, нажимаем Apply для сохранения настроек.

/routing igmp-proxy set query-interval=1s query-response-interval=1s quick-leave=yes

Затем нажимаем «+» и создаем два IGMP Proxy интерфейса, один для внешней сети, который будет принимать поток многоадресной рассылки от провайдера, один для внутренней сети за микротиком, куда трафик будет дальше поступать к устройствам локальной сети.

Создаем первый IGMP proxy интерфейс, который смотрит в сеть провайдера, в нашем случае это ether1 (WAN), в поле Alternative Subnets укажем сеть вещания IPTV (если известна), если нет то поставим 0.0.0.0/0. Отметим галочку напротив Upsteam.

/routing igmp-proxy interface add alternative-subnets=0.0.0.0/0 comment="" disabled=no interface=ether1 threshold=1 upstream=yes

Теперь добавим второй IGMP proxy интерфейс, к которому подключены устройства внутренней сети, компьютер или IPTV-приставка. Задаем внутренний локальный интерфейс, нажимаем ОК.

/routing igmp-proxy interface add comment="" disabled=no interface=bridge1 threshold=1 upstream=no

Следующим шагом, необходимо создать правило на файрволе, разрешающее входящий IGMP-трафик, иначе ничего работать не будет. Для этого, в меню IP – Firewall, на вкладке Filter Rules, добавляем запись: Chain – input; Protocol — igmp; Action – accept. Помещаем созданное правило в начало списка, перед запрещающими.

/ip firewall filter add chain=input action=accept protocol=igmp

Если, мы все правильно настроили, то на вкладке IGMP Proxy\MFC должны появиться динамические правила, а так же пакеты, идущие через них.

Для работы IPTV через wi-fi, нужно в свойствах беспроводного интерфейса wlan1 на вкладке Wireless выставить значение параметра Multicast Helper в Full.

/interface wireless set wlan1 multicast-helper=full

9) Обновление MikroTik RouterOS

Для выполнения процедуры обновления RouterOS скачиваем прошивку с официального сайта. Выбираем, для какой серии устройств будем скачивать пакет обновления. Нас интересует mipsbe… RB700 series . Выбираем Upgrade package. Скачиваем npk-фаил.

Затем, переходим в меню Files и перетаскиваем мышкой наш фаил в окно Files List. Дожидаемся окончания процесса загрузки, после чего, файл должен отобразится в окне Files List.

Затем, перегружаем роутер. После перезагрузки версия RouterOS будет обновлена.