Overview
Point to Point over Ethernet (PPPoE) is simply a method of encapsulating PPP packets into Ethernet frames. PPPoE is an extension of the standard Point to Point Protocol (PPP) and it the successor of PPPoA. PPPoE standard is defined in RFC 2516. The PPPoE client and server work over any Layer2 Ethernet level interface on the router, for example, Wireless, Ethernet, EoIP, etc. Generally speaking, PPPoE is used to hand out IP addresses to clients based on authentication by username (and also if required, by workstation) as opposed to workstation only authentication where static IP addresses or DHCP are used. It is advised not to use static IP addresses or DHCP on the same interfaces as PPPoE for obvious security reasons.
Introduction
PPPoE provides the ability to connect a network of hosts over a simple bridging access device to a remote Access Concentrator.
Supported connections:
- MikroTik RouterOS PPPoE client to any PPPoE server;
- MikroTik RouterOS server (access concentrator) to multiple PPPoE clients (clients are available for almost all operating systems and most routers);
PPPoE Operation
PPPoE has two distinct stages(phases):
- Discovery phase;
- Session phase;
Discovery phase
There are four steps to the Discovery stage. When it completes, both peers know the PPPoE SESSION_ID and the peer’s Ethernet address, which together define the PPPoE session uniquely:
- PPPoE Active Discovery Initialization (PADI) — The PPPoE client sends out a PADI packet to the broadcast address. This packet can also populate the «service-name» field if a service name has been entered in the dial-up networking properties of the PPPoE client. If a service name has not been entered, this field is not populated
- PPPoE Active Discovery Offer (PADO) — The PPPoE server, or Access Concentrator, should respond to the PADI with a PADO if the Access Concentrator is able to service the «service-name» field that had been listed in the PADI packet. If no «service-name» field had been listed, the Access Concentrator will respond with a PADO packet that has the «service-name» field populated with the service names that the Access Concentrator can service. The PADO packet is sent to the unicast address of the PPPoE client
- PPPoE Active Discovery Request (PADR) — When a PADO packet is received, the PPPoE client responds with a PADR packet. This packet is sent to the unicast address of the Access Concentrator. The client may receive multiple PADO packets, but the client responds to the first valid PADO that the client received. If the initial PADI packet had a blank «service-name» field filed, the client populates the «service-name» field of the PADR packet with the first service name that had been returned in the PADO packet.
-
PPPoE Active Discovery Session Confirmation (PADS) — When the PADR is received, the Access Concentrator generates a unique session identification (ID) for the Point-to-Point Protocol (PPP) session and returns this ID to the PPPoE client in the PADS packet. This packet is sent to the unicast address of the client.
PPPoE session termination:
- PPPoE Active Discovery Terminate (PADT) — Can be sent anytime after a session is established to indicate that a PPPoE session terminated. It can be sent by either server or client.
Session phase
When the discovery stage is completed, both peers know PPPoE Session ID and other peer’s Ethernet (MAC) address which together defines the PPPoE session. PPP frames are encapsulated in PPPoE session frames, which have Ethernet frame type 0x8864.
When a server sends confirmation and a client receives it, PPP Session is started that consists of the following stages:
- LCP negotiation stage
- Authentication (CHAP/PAP) stage
- IPCP negotiation stage — where the client is assigned an IP address.
If any process fails, the LCP negotiation establishment phase is started again.
PPPoE server sends Echo-Request packets to the client to determine the state of the session, otherwise, the server will not be able to determine that session is terminated in cases when a client terminates session without sending Terminate-Request packet.
MTU
Typically, the largest Ethernet frame that can be transmitted without fragmentation is 1500 bytes. PPPoE adds another 6 bytes of overhead and the PPP field adds two more bytes, leaving 1492 bytes for IP datagram. Therefore max PPPoE MRU and MTU values must not be larger than 1492.
TCP stacks try to avoid fragmentation, so they use an MSS (Maximum Segment Size). By default, MSS is chosen as MTU of the outgoing interface minus the usual size of the TCP and IP headers (40 bytes), which results in 1460 bytes for an Ethernet interface. Unfortunately, there may be intermediate links with lower MTU which will cause fragmentation. In such a case TCP stack performs path MTU discovery. Routers that cannot forward the datagram without fragmentation are supposed to drop the packet and send ICMP-Fragmentation-Required to originating host. When a host receives such an ICMP packet, it tries to lower the MTU. This should work in the ideal world, however in the real world many routers do not generate fragmentation-required datagrams, also many firewalls drop all ICMP datagrams.
The workaround for this problem is to adjust MSS if it is too big.
PPPoE Client
Properties
| Property | Description |
|---|---|
| ac-name (string; Default: «») | Access Concentrator name, this may be left blank and the client will connect to any access concentrator on the broadcast domain |
| add-default-route (yes|no; Default: no) | Enable/Disable whether to add default route automatically |
| allow (mschap2|mschap1|chap|pap; Default: mschap2,mschap1,chap,pap) | allowed authentication methods, by default all methods are allowed |
| default-route-distance (byte [0..255]; Default:1) | sets distance value applied to auto created default route, if add-default-route is also selected |
| dial-on-demand (yes|no; Default: no) | connects to AC only when outbound traffic is generated. If selected, then route with gateway address from 10.112.112.0/24 network will be added while connection is not established. |
| interface (string; Default: ) | interface name on which client will run |
| keepalive-timeout (integer; Default:60) | Sets keepalive timeout in seconds. |
| max-mru (integer; Default: 1460) | Maximum Receive Unit |
| max-mtu (integer; Default: 1460) | Maximum Transmission Unit |
| mrru (integer: 512..65535|disabled; Default: disabled) | maximum packet size that can be received on the link. If a packet is bigger than tunnel MTU, it will be split into multiple packets, allowing full size IP or Ethernet packets to be sent over the tunnel. |
| name (string; Default: pppoe-out[i]) | name of the PPPoE interface, generated by RouterOS if not specified |
| password (string; Default: ) | password used to authenticate |
| profile (string; Default: default) | Specifies which PPP profile configuration will be used when establishing the tunnel. |
| service-name (string; Default: «») | specifies the service name set on the access concentrator, can be left blank to connect to any PPPoE server |
| use-peer-dns (yes|no; Default: no) | enable/disable getting DNS settings from the peer |
| user (string; Default: «») |
username used for authentication |
Status
Command /interface pppoe-client monitor will display current PPPoE status.
Available read only properties:
| Property | Description |
|---|---|
| ac-mac (MAC address) | MAC address of the access concentrator (AC) the client is connected to |
| ac-name (string) | name of the Access Concentrator |
| active-links (integer) | Number of bonded MLPPP connections, (‘1’ if not using MLPPP) |
| encoding (string) | encryption and encoding (if asymmetric, separated with ‘/’) being used in this connection |
| local-address (IP Address) | IP Address allocated to client |
| remote-address (IP Address) | Remote IP Address allocated to server (ie gateway address) |
| mru (integer) | effective MRU of the link |
| mtu (integer) | effective MTU of the link |
| service-name (string) | used service name |
| status (string) | current link status. Available values are:
|
| uptime (time) | connection time displayed in days, hours, minutes and seconds |
Scanner
PPPoE Scanner allows scanning all active PPPoE servers in the layer2 broadcast domain. Command to run scanner is as follows:
/interface pppoe-client scan [interface]
Available read only properties:
| Property | Description |
|---|---|
| service (string) | Service name configured on server |
| mac-address (MAC) | Mac address of detected server |
| ac-name (string) | name of the Access Concentrator |
For Windows, some connection instructions may use the form where the «phone number», such as «MikroTik_AC\mt1», is specified to indicate that «MikroTik_AC» is the access concentrator name and «mt1» is the service name.
Specifying MRRU means enabling MP (Multilink PPP) over a single link. This protocol is used to split big packets into smaller ones. Under Windows, it can be enabled in the Networking tab, Settings button, «Negotiate multi-link for single link connections». MRRU is hardcoded to 1614 on Windows. This setting is useful to overcome PathMTU discovery failures. The MP setting should be enabled on both peers.
PPPoE Server
There are two types of interface (tunnel) items in PPPoE server configuration — static users and dynamic connections. An interface is created for each tunnel established to the given server. Static interfaces are added administratively if there is a need to reference the particular interface name (in firewall rules or elsewhere) created for the particular user. Dynamic interfaces are added to this list automatically whenever a user is connected and its username does not match any existing static entry (or in case the entry is active already, as there can not be two separate tunnel interfaces referenced by the same name — set one-session-per-host value if this is a problem). Dynamic interfaces appear when a user connects and disappear once the user disconnects, so it is impossible to reference the tunnel created for that use in router configuration (for example, in firewall), so if you need a persistent rule for that user, create a static entry for him/her. Otherwise, it is safe to use a dynamic configuration.
In both cases PPP users must be configured properly — static entries do not replace PPP configuration.
Access concentrator
/interface pppoe-server server
Properties
| Property | Description |
|---|---|
| authentication ( mschap2 | mschap1 | chap | pap; Default: «mschap2, mschap1, chap, pap») | Authentication algorithm |
| default-profile (string; Default: «default») | |
| interface (string; Default: «») | Interface that the clients are connected to |
| keepalive-timeout (time; Default: «10») | Defines the time period (in seconds) after which the router is starting to send keepalive packets every second. If there is no traffic and no keepalive responses arrive for that period of time (i.e. 2 * keepalive-timeout), the non responding client is proclaimed disconnected. |
| max-mru (integer; Default: «1480») | Maximum Receive Unit. The optimal value is the MTU of the interface the tunnel is working over reduced by 20 (so, for 1500-byte Ethernet link, set the MTU to 1480 to avoid fragmentation of packets) |
| max-mtu (integer; Default: «1480») | Maximum Transmission Unit. The optimal value is the MTU of the interface the tunnel is working over reduced by 20 (so, for 1500-byte Ethernet link, set the MTU to 1480 to avoid fragmentation of packets) |
| max-sessions (integer; Default: «0») | Maximum number of clients that the AC can serve. ‘0’ = no limitations. |
| mrru (integer: 512..65535 | disabled; Default: «disabled») | Maximum packet size that can be received on the link. If a packet is bigger than tunnel MTU, it will be split into multiple packets, allowing full size IP or Ethernet packets to be sent over the tunnel. |
| one-session-per-host (yes | no; Default: «no») | Allow only one session per host (determined by MAC address). If a host tries to establish a new session, the old one will be closed. |
| service-name (string; Default: «») | The PPPoE service name. Server will accept clients which sends PADI message with service-names that matches this setting or if service-name field in PADI message is not set. |
The PPPoE server (access concentrator) supports multiple servers for each interface — with differing service names. The access concentrator name and PPPoE service name are used by clients to identify the access concentrator to register with. The access concentrator name is the same as the identity of the router displayed before the command prompt. The identity may be set within the /system identity submenu.
Do not assign an IP address to the interface you will be receiving the PPPoE requests on.
Specifying MRRU means enabling MP (Multilink PPP) over a single link. This protocol is used to split big packets into smaller ones. Their MRRU is hardcoded to 1614. This setting is useful to overcome PathMTU discovery failures. The MP setting should be enabled on both peers.
The default keepalive-timeout value of 10s is OK in most cases. If you set it to 0, the router will not disconnect clients until they explicitly log out or the router is restarted. To resolve this problem, the one-session-per-host property can be used.
Quick Example
PPPoE Client
To configure MikroTik RouterOS to be a PPPoE client, just add a PPPoE-client with the following parameters as in the example:
[admin@MikroTik] > interface pppoe-client add interface=ether2 password=StrongPass service-name=pppoeservice name=PPPoE-Out disabled=no user=MT-User
[admin@MikroTik] > interface pppoe-client print
Flags: X - disabled, I - invalid, R - running
0 R name="PPPoE-Out" max-mtu=auto max-mru=auto mrru=disabled interface=ether2 user="MT-User"
password="StrongPass" profile=default keepalive-timeout=10 service-name="pppoeservice" ac-name=""
add-default-route=no dial-on-demand=no use-peer-dns=no allow=pap,chap,mschap1,mschap2
PPPoE Server
To configure MikroTik RouterOS to be an Access Concentrator (PPPoE Server):
- add an IP address pool for the clients from 10.0.0.2-10.0.0.5;
- add PPP profile;
- add PPP secret (username/password);
- add the PPPoE server itself;
[admin@MikroTik] > /ip pool add name=pppoe-pool ranges=10.0.0.2-10.0.0.5 [admin@MikroTik] > /ppp profile add local-address=10.0.0.1 name=for-pppoe remote-address=pppoe-pool [admin@MikroTik] > /ppp secret add name=MT-User password=StrongPass profile=for-pppoe service=pppoe [admin@MikroTik] > /interface pppoe-server server add default-profile=for-pppoe disabled=no interface=ether3 service-name=pppoeservice
Содержание
- Настройка РРРоЕ
- 1. Вход в настройки
- 2. Схема подключения
- 3. Настройка PPPoE на интерфейсе WAN
- 4. Назначение шлюза LAN
- 5. Назначение IP-адреса DNS
- 6. Настройка NAT
- Настройка Firewall
- Настройка подключения для iPhone. Почему телефон отключается от Wi-Fi-сети?
Если вам тяжело, значит вы держите топ. Если у вас микротик — вы не ищете легких путей. Зато ищите качество и стабильную работу на втором и третьем уровне модели OSI. Многие, несмотря на приличный прайс, покупают роутеры этого вендора себе домой, поэтому есть необходимость рассказать про базовые mikrotik настройки на операционной системе RouterOS
Настройка РРРоЕ
Многие «домашние» интернет-провайдеры используют РРРоЕ в качестве основного протокола для передачи данных конечным пользователям (с авторизацией и выдачей IP на RADIUS-сервере, как у Ростелекома). Во всех роутерах Mikrotik клиент РРРоЕ, естественно, присутствует. Сейчас мы будем поднимать его для WAN-соединения на примере RouterOS v6.хх. Для этого вам потребуется логин и пароль для подключения, которые вам выдает провайдер
1. Вход в настройки
Все, кто сталкивался с настройкой Mikrotik по работе знают, что в настройки можно зайти либо через утилиту Winbox, либо по-стандарту через веб-интерфейс (192.168.88.1). Еще есть вариант настройки через Telnet, но это мы оставим матёрым системным администраторам. Давайте будем делать это через Winbox. После запуска программы мы видим строчки connect to, где указан мак-адрес микротика, логин и пароль. Сразу определимся, что по умолчанию логин — admin, пароль — пустой. Переходим во вкладку Neighbors, выбираем там верхнюю строчку (скорее всего будет единственная) и нажимаем Connect
2. Схема подключения
Что у нас с интерфейсами: ether1 будет подключен к провайдеру (WAN порт), Предположим, что к порту ether2 будет подсоединён свитч для подключения компьютеров локальной сети. Итого схема такая:
Т.е. для полноценной работы нам потребуются следующие шаги:
- Настройка клиента PPPoE. Интерфейс ether1 (WAN)
- Назначение шлюза LAN. Интерфейс ether2 для коммутатора (LAN с IP-блоком 192.168.10.0/24)
- Конфигурация DNS IP
- Конфигурация NAT. Компьютеры должны получать серый IP для выхода в интернет
3. Настройка PPPoE на интерфейсе WAN
Для настройки клиента необходимо зайти в пункт меню PPP и нажать кнопку Add (добавить) и в списке выбираем PPPoE Client
В главном окне указываем имя соединения (здесь лучше написать ether1) и выбираем одноименный порт ether1. В раскрывающимся меню «Interface» во вкладке Dial Out пишем логин и пароль от провайдера. Ставим галочки на пунктах «Dial On Demand» и «Use Peer DNS». В блоке Allow снимаем галочки с чекбоксов везде, кроме pap
4. Назначение шлюза LAN
Теперь соединим наш микротик с коммутатором, который будет раздавать интернет по локальный сети нашим компьютерам. Заходим в IP -> Addresses . Нажимаем добавить (add). Вводим айпишник нашего LAN-шлюза (192.168.10.1/24). В меню интерфейс выбираем ether2 и применяем ОК
5. Назначение IP-адреса DNS
Обычно провайдер уже предоставляет DNS-адреса, но мы модем прописать их и вручную на Mikrotik. Будем использовать стандартные гугловские — 8.8.8.8 или 8.8.4.4. Это можно сделать в меню IP -> DNS. Ставим отметку на чекбоксе «Allow Remote Request»
6. Настройка NAT
Последнее действие включение NAT, чтобы наши ПК смогли получить серые IP для выхода в интернет. Заходим в IP -> NAT. В открывшемся окне New NAT Rue из пункта Chain выбираем srcnat и в поле Src. Adderess вбиваем IP LAN (192.168.10.0/24), применяем и сохраняем.
Настройка Firewall
Чтобы избежать проблем с DDoS и низкой скорости внутри LAN необходимо: во-первых, обновить прошивку до актуальной (https://mikrotik.com/download), во-вторых, закрыть снаружи 53 порт для блокировки трафика на входящем интерфейсе (по UDP из WAN). Сделать это можно в настройках IP -> Firewall -> Filter Rules. Добавляем в него
/ip firewall filter add chain=input action=drop protocol=udp in-interface=ISP1 dst-port=53
Настройка подключения для iPhone. Почему телефон отключается от Wi-Fi-сети?
Некоторые владельцы Apple iPhone жалуются на периодические дисконнекты по беспроводному соединению, при этом пользователи смартфонов на Android от такой проблемы избавлены. Можете не отключать режим энергосбережения на своих айфонах — проблема была не в этом. Недавно было найдено решение, хотя, это скорее костыль — увеличить параметр lease time (время «аренды» IP-адреса) в настройках DHCP server. Установите параметр на 1d (24 часа) и забудете проблемы с отключением.
Делается это так же через Winbox. Чтобы попасть в основные настройки сервера выберите IP->DHCP Server. Для дополнительных параметров два раз кликните по вашему DHCP-серверу. В этом окне и будет параметр lease time
Как вам статья?
В данной статье разберем настройку PPPoE на MikroTik, этот протокол предоставляет обширное управление пользователями, сетями и учета. В настоящее время используется в основном провайдерами для контроля клиентских соединений по xDSL и кабельных модемов, а также в обычных Ethernet сетях. Является расширением стандартного PPP протокола. Разница между ними — это метод транспорта, PPPoE использует Ethernet вместо последовательного модемного подключения.
Проще говоря, PPPoE используется для выдачи IP адресов клиентам, основанных на аутентификации по логину и паролю вместо рабочих станций, у которых проверка подлинности осуществляется по статическому адресу или DHCP. Не рекомендуется использовать статический IP адрес или DHCP на одних и тех же интерфейсах PPPoE из очевидных соображений безопасности. Клиент и сервер работают на втором уровне Ethernet.
На Mikrotik поддерживается следующее:
- PPPoE сервер и клиент;
- Multilink PPP (MLPPP) — предоставляет методы для распространения трафика через несколько физических каналов, имея одно логическое соединение. Этот вариант позволяет расширить пропускную способность и обеспечивает балансировку нагрузки;
- MLPPP по одному линку (возможна передача полноразмерных фреймов);
- BCP (Bridge Control Protocol) — позволяет отправлять необработанные Ethernet фреймы через PPP линки;
- Шифрование MPPE 128bit RSA;
- Аутентификация pap, chap, mschap v1/v2;
- Аутентификация по RADIUS.
Если вы хотите углубить свои знания по работе с роутерами MikroTik, то наша команда рекомендует пройти курсы которые сделаны на основе MikroTik Certified Network Associate и расширены автором на основе опыта . Подробно читайте ниже.
Содержание
- Схема сети
- Настройка сервера PPPoE на Микротик
- Создание профиля
- Создание пользователей
- Включение сервера
- Настройка клиента PPoE на Микротик
- 89 вопросов по настройке MikroTik
Схема сети
Используем лабораторный стенд с Mikrotik CHR версии 6.46.2 на борту. Мы находимся наверху в главном роутере NetworkCore, который имеет доступ в интернет соответствующим правилом NAT для всех сетей. Вводные данные:
- Office-SPB клиент;
- Office-Moscow клиент;
- NetworkCore выполняет роль провайдера, он будет заниматься ролью сервера;
- Office-Moscow ether1 подключен в ether2 провайдера;
- Office-SPB ether1 подключен в ether3 провайдера;
- Адресация в PPPoE сети 172.16.25.0/24.
Настройка сервера PPPoE на Микротик
Нам необходимо создать адресное пространство (IP пул). Подключимся к NetworkCore и перейдем в IP – Pool.
Создадим новый. Задаем понятное название и диапазон адресов.
Сохраняем и переходим к следующему пункту.
Создание профиля
Переходим к созданию профиля. Открываем PPP – Profiles.
- Задаем понятное имя профиля;
- Local Address – 172.16.25.1;
- Remote Address – ранее созданный пул;
- DNS – в качестве примера 8.8.8.8;
- Change TCP MSS – yes;
- Use UPnP – no.
Переходим в Protocols.
- Use MPLS – no;
- Use Compression – no;
- Use Encryption – yes.
Открываем Limits.
- Only One – no.
Сохраняем и идем далее.
Создание пользователей
Т.к. PPPoE требует аутентификацию по логину и паролю, нам необходимо создать два пользователя, по одному для каждого офиса. Последовательно открываем PPP – Secrets.
- Name – учетная запись, регистр имеет значение;
- Password – пароль;
- Service – можно выбрать any, но я предпочитаю указывать конкретные сервисы;
- Profile – раннее созданный профиль.
По аналогии создаем пользователя для офиса SPB.
Включение сервера
Для ограничения широковещательного трафика я не стал создавать bridge и добавлять в него порты, связанные с офисами. Так же я создал одну сеть, что не рекомендуется для production сети. Сервер настраивается в PPP – PPPoE Servers. Создадим первый, подключенный к московскому офису.
Задаем параметры:
- Service Name — указываем уникальное имя сервиса;
- Interface – ether2 для офиса в Москве;
- Default profile – раннее созданный профиль;
- One Session Peer Host – ставим галочку;
- Authentication – оставляем только MSCHAPv1 и MSCHAPv2.
Есть возможность указать задержку ответа в параметре PAD0 Delay. Данный параметр будет полезен для сценариев с несколькими серверами. Его мы не изменяем.
Сохраняем и создаем еще один, но только указываем другое имя сервиса и порт ether3 в параметре interface.
Настройка клиента PPoE на Микротик
Необходимо настроить таким образом, чтобы был доступ в интернет. На московском роутере я покажу как это сделать. Для начала проверим что на нем нет никаких IP адресов и маршрутов.
Далее переходим в PPP – Interface и добавляем новый.
В создании интерфейса на вкладке General зададим:
- Name – понятное название интерфейса;
- Interface – тот интерфейс, который подключен к провайдеру, в нашем случае ether1.
Предлагаю воспользоваться утилитой PPPoE Scan – она позволяет без подключения и аутентификации просканировать эфир на наличие каких-либо серверов. Особенно полезная штука для поиска неисправностей доступности крупнейшего провайдера нашей страны. После нажатия кнопки Start утилита начинает сканирование. На скриншоте ниже, виден наш сервер с заданным именем сервиса и AC Name – он берется из Identity в меню System. При желании можно сменить.
Закрываем утилиту и переходим во вкладку Dial Out.
- Service – for-MSC (можно не указывать);
- AC Name – NetworkCore (можно не указывать);
- User – MSC – обязательный параметр;
- Password – обязательный параметр;
- Use Peer DNS – ставим галочку;
- Allow – снимаем галочки с chap и pap.
Add Default Route нужен для автоматического добавления маршрута 0.0.0.0/0 в нашу таблицу маршрутизации. Данная запись обеспечит выход в интернет. Обращаю внимание, что она устанавливается на клиентской стороне. Сохраняем и проверяем на вкладке Status.
Мы видим внизу статус – connected, что символизирует об успешном подключении. Исходя из скриншота выше можно сказать, что, последний раз соединение поднялось 05.02.2020 в 19:51, время жизни 44 секунды, получили адрес 172.16.25.20, Service Name — for-MSC, AC Name — NetworkCore. Попробуем проверить доступность интернета.
На самом деле, если бы мы не указали Service и AC Name, наше соединение все равно бы установилось и работало без проблем. Данные параметры стоит указывать если вы хотите подключиться к определенному Service и AC Name среди множества из доступных. И, соответственно, если он будет не доступен, ваш клиент будет подключаться именно к тем Service и AC Name, которые вы указали пока ему это не удастся. Будьте осторожны, пользуясь данными опциями.
Отправив ping запрос по доменному имени, мы убедились, что имя преобразуется – это означает что DNS сервер добавился без проблем и получаем ответы на запросы — работает интернет-соединение. Не ленимся и перепроверим в соответствующих консолях.
Проделаем аналогичные действия на Mikrotik в Питере и посмотрим, что происходит на главном роутере NetworkCore.
Как мы видим, на интерфейсах ether2 и ether3 появились дополнительные соединения. Далее мы можем из этих интерфейсов сделать статические адрес листы и в зависимости от ситуации, разрешать или запрещать определенный трафик. В данном примере я продемонстрировал как с помощью PPPoE на роутере Mikrotik разрешить доступ в интернет, вы же можете предоставлять с его помощью доступ к иным службам или сетям. Спасибо за внимание.
89 вопросов по настройке MikroTik
Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдете для себя полезную информацию в курсе «Настройка оборудования MikroTik». 162 видеоурока, большая лабораторная работа и 89 вопросов, на каждый из которых вы будете знать ответ. Подробности и доступ к началу курса бесплатно тут.
На чтение 5 мин. Просмотров 4.5k.
В связи с частыми вопросами по настройке на Микротике подключения к провайдеру по PPPoE решил создать небольшой FAQ по минимальным настройкам.
Далее я предполагаю, что вы уже обновили версию Ruoter OS на Микротике до последней стабильной.
Обратите внимание, что в тексте будет использовать подсеть 192.168.77.0/24, тогда как обычно дома используют 192.168.1.1/24. Вы можете по мере выполнения шагов менять сеть на свою, но проще будет настраивать так, как картинках. По мере набора опыта по настройке Микротика вы сами сможете все это поменять. Также я предполагаю, что все устройства в вашей сети будут получать IP адрес автоматически от Микротика. Если есть устройства с IP, назначенными вручную, то нужно, чтобы пул адресов DHCP на Микротике с ними не пересекался. Будет намного проще, чтобы адреса все устройства сети получали автоматически.
Договоримся о подключениях: в 1 порт Ethernet включаем кабель провайдера, порты 2-5 + WLAN1 — все в нашу локальную сеть.
Вначале настройки обязательно подключаемся к Микротику через WinBox по MAC адресу. Затем можно будет подключаться и по IP. Весь конфиг я буду описывать в виде скринов с WinBox, терминальные команды использовать не буду. Для начинающих так будет намного проще.
1. Удаление текущей конфигурации Микротика.
Выбираем System-Reset Configuration.
Нажимаем кнопку Reset Configuration. Микротик автоматически перезагрузится.
Подключаемcя к нему снова. Микротик скажет нам, что он применил стандартную конфигурацию, нажмите кнопку Remove Configuration. Никакая конфигурация нам не нужна.
2. Создаем бридж и включаем в него все порты, кроме Ether1.
Выбираем Bridge. Нажимаем на синий плюс. Затем ОК.
Переходим на вкладку Ports.
Нажимаем на синий плюс. В появившемcя окне в поле Interface выбираем ether2, в поле Bridge выбираем bridge1. Нажимаем ОК. Проделываем эту операцию для всех портов, кроме Ether1.
3. Назначаем Микротику IP адрес.
Выбираем IP-Addresses. Нажимаем на синий плюс.
В открывшемся окне в поле Address вбиваем 192.168.77.1/24. Поле Network заполнится автоматически.
В поле Interface выбираем bridge1.
Нажимаем ОК. Микротик должен начать пинговатся по адресу 192.168.77.1, а также он теперь по IP доступен из WinBox.
4. Навастриваем DNS сервер.
Выбираем IP-DNS. Я не использую DNS провайдера, хотя Микротик может получать эти данные автоматически
от подключения PPPoE. В поля Servers вбиваем желаемые DNS. У меня DNS от Yandex.
Самые известные — это Google 8.8.8.8, 8.8.4.4. Не забываем поставить галочку
Allow Remote Requests.
5. Навастриваем DHCP сервер.
Выбираем IP-DHCP Server. Микротик позволяет очень тонко настроить параметры вашего DHCP и иметь их несколько, но мы воспользуемся мастером настройки. Нажмите кнопку DHCP Setup.
Выбираем интерфейс bridge1. Нажимаем Next.
Вводим подсеть. В нашем случае 192.168.77.0/24.
Нажимаем Next.
Далее — это шлюз, который будет отдаваться вашим клиентам — это IP вашего Микротика.
В моем случае 192.168.77.1. Нажимаем Next. И еще раз Next (DHCP Relay нам не требуется).
Далее настраиваем диапазон адресов, которые будет выдавать Микротик клиентам.
Диапазон вводим вручную. В моем случае 192.168.77.2-192.168.77.254.
Нажимаем Next.
Теперь Микротик спрашивает нас о DNS сервере. Здесь вводим IP адрес Микротика. У меня это 192.168.77.1.
Нажимаем Next. Время аренды оставляем то, какое стоит по-умолчанию и нажимаем Next.
Микротик сообщает нам, что DHCP сервер успешно создан.
Если вы все сделали правильно, то стока с новым DHCP сервером в списке будет черная, а если будут ошибки, то она будет красная.
6.Настройка PPPoE.
Выбираем Interface. В окне нажимаем на синий плюс и выбираем PPPoE Client.
На вкладке General в поле Interface выбираем Ether1. 
На вкладке Dial Out в поле User вбиваем логин, который выдал провайдер, в поле Password — пароль.
Нажимаем OK.
Особое внимание удаляем галочкам: Dial on Diamond — стоять не должна, Use Peer DNS — стоять не должна (мы настроили свой DNS сервер), Add Default Route — обязательно должна стоять.
Щелкаем по соединению в списке интерфейсов дважды мышкой.
Снова открывается окно настроек, выбираем вкладку Status.
За время, пока мы щелкали, если все данные были введены правильно, то Микротик должен
был уже подключиться к провайдеру. На вкладке Status вы можете видеть свой IP адрес, выданный провайдером (Local Address).
7. Контрольный выстрел.
Проверим наличие интернета. Выберите New Terminal. В окрывшемся окне терминала
наберите «ping 8.8.8.8». И если интернет есть, вы получите ответ от сервера.
8. Последний шаг.
Нам осталось поднять NAT.
Для этого выбираем IP-Firewall. Вкладка NAT.
Нажимаем на синий плюс.
На вкладке General в поле Chain выбираем srcnat.
В поле Src. Address вбиваем 192.168.77.0/24.
Переходим на вкладку Action.
В поле Action выбираем masquerade.
Нажимаем ОК.
Все! Интернет будет доступен на клиентах. Возможно потребуется переподключить клиента к сети,
в самых тяжелых случаях перезагрузка клиента.
Проверям интернет на клиенте.
Настройка PPPoE соединения на MikroTik для Ростелеком и других региональных операторов
Для домашнего использования воспользуйтесь статьей
Для самостоятельной настройки определите порт подключения провайдера, в основном это ether1
Жмем на + и добавляем PPPoE Client
IP > Firewall > NAT
При использовании PPPoE, маршруты можно указывать только относительно интерфейса, так как часто шлюз меняется. Обойти это можно путем создания профиля со своим шлюзом.
Так же создание своего шлюза пригодится в использовании DualWAN, даже на нескольких PPPoE операторах