Подготовка к настройке
Перед настройкой нам нужно обновить прошивку и сбросить все предустановленные настройки.
Освоить MikroTik Вы можете с помощью онлайн-куса «Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.
Если вы не читали первую часть “Mikrotik: выбор домашнего маршрутизатора“, то вкратце повторю как сбросить настройки, по обновлению прошивки читаем первую часть (ближе к концу).
Подключаемся к маршрутизатору патчкордом в любой порт кроме первого и запускаем WinBox. Через некоторое время наш роутер появляется в списке доступных устройств.
На данном этапе НЕ ПОДКЛЮЧАЕМ КАБЕЛЬ ОТ ПРОВАЙДЕРА В НАШ РОУТЕР!
Клацаем мышкой на MAC-адрес что бы он появился в строке Connect To, в поле Login вводим admin, поле пароля оставляем пустым и нажимаем Connect.
Подключившись идём в меню System – Reset Configuration, выставляем галочки No Default Configuration, Do Not Backup и нажимаем Reset Configuration.
Через некоторое время наш маршрутизатор перезагрузится и снова появится в WinBox, на этот раз уже без IP-адреса. Теперь мы готовы приступить к настройкам.
Снова подключаемся к маршрутизатору и заходим в меню System – Users и добавляем нового пользователя с полными правами.
Выходим из WinBox и подключаемся уже новым пользователем
Снова заходим в System – Users и отключаем старого пользователя. Делается это дабы исключить подбор пароля к вашему роутеру, т.к. практически всем известно имя пользователя по умолчанию. В принципе root для этого тоже не слишком подходит, но для примера пойдёт, вы же придумайте свой логин.
На этом в принципе подготовительную часть можно считать завершённой и далее приступим непосредственно к настройкам.
Настройка портов и моста (bridge)
Сразу оговорюсь что в данном примере я подключение от провайдера буду настраивать на физический пятый порт. Сделано это в целях экономии розетки. У меня роутер установлен далеко от розетки и питание на него я подаю по PoE, PoE-in в моём маршрутизаторе (MikroTik hAP ac²) это первый физический порт (который подписан Internet) и если в него воткнуть шнурок от провайдера то придётся подавать питание через PoE-инжектор – раз розетка, плюс розетка на коммутатор (switch), а раз уж все равно кабель от маршрутизатора тянуть к свитчу, то глупо не задействовать PoE от свитча.
Для тех кто не в курсе – у MikroTik’а нет такого понятия как выделенный WAN-порт как на бытовых маршрутизаторах, тут любой порт может выполнять любую роль. Хоть четырёх провайдеров в него заводите, а пятый порт на свитч ))
В принципе все настройки я старался сделать через bridge, так что никому не помешает потом перетусовать все физичесие порты под свои нужды, на работоспособность это уже никак не повлияет.
Но ближе к делу.
В первую очередь идём в меню Interfaces и отключаем порт ether5, для этого выделяем его и нажимаем на красный крестик. После этого можно безбоязненно подключать к нему кабель от интернет-провайдера. Сделано это что бы исключить попытки вторжения на наше устройство пока оно не настроено. На дальнейшие настройки это никак не повлияет.
Далее идём в меню Bridge и добавляем два моста – bridge1-LAN и bridge2-WAN
WinBox – добавляем bridge-LAN WinBox – добавляем bridge-LAN Bridge – что получилось
Далее открываем там же вкладку Ports и добавляем там порты в наши мосты )) Порты ether1-ether4 и wlan1-wlan2 в бридж bridge1-LAN, порт ether5 соответственно в bridge2-WAN
Добавляем LAN порты в bridge1-LAN Добавляем WAN порты в bridge1-WAN Bridge – настроеные порты
Затем открываем меню Interfaces и на вкладке Interface List добавляем список ls-LAN-all нажав на кнопку Lists. Затем в данный список добавляем bridge1-LAN
Добавляем список интерфейсов Добавляем в список bridge1-LAN
На этом настройка портов и мостов закончена, перейдем к настройке локальной сети ))
Настройка локальной сети
Перейдём в меню IP – Addresses и добавим новый адрес (в моём случае это 192.168.253.1, в вашем случае это может быть другой) присвоив его интерфейсу bridge1-LAN. Это и будет адрес нашего маршрутизатора. Адрес нужно добавлять с сетевой маской, так как на скриншоте. В принципе маску можно писать и полной – 192.168.253.1/255.255.255.0
Далее нам нужно настроить DHCP-сервер, который будет назначать IP-адреса сетевым устройствам в нашей локальной сети. Для этого перейдём в меню IP – DHCP Server и воспользуемся там мастером настроек нажав кнопку DHCP Setup. В принципе для типовой конфигурации можно со всем согласиться как есть привязав сервер к интерфейсу bridge1-LAN, единственно я добавил гугловские адреса DNS-серверов. Здесь может быть несколько вариантов – взять DNS-сервера от провайдера, добавить свои, добавить гугловские, настроить DNS-сервер на нашем маршрутизаторе и раздавать его. Последнему варианту будет посвящена отдельная статья, а пока оставим так – пусть будет гугл.
Настройка DHCP-сервера 1 Настройка DHCP-сервера 2 Настройка DHCP-сервера 3 Настройка DHCP-сервера 4 Настройка DHCP-сервера 5 Настройка DHCP-сервера 6
И напоследок переименуем наш DHCP-сервер в dhcp1-LAN, пригодится в будущем.
Начнём с настройки DHCP-клиента, для этого перейдем в меню IP – DHCP Client. Откроем вкладку DHCP Client Options и добавим там новый параметр со следующими значениями:
Name: parameter_request_list Code: 55 Value: 0x010306212A79F9
Настройка DHCP-клиента – добавляем новый параметр
Затем на вкладке DHCP Client добавляем нового клиента привязав его к интерфейсу bridge2-WAN.
Add Default Route выбираем special_classless, что позволяет получить classless маршрут, так и маршрут по умолчанию в стиле MS.
На вкладке Advanced добавляем DHCP Options: clientid, hostname и наш parameter_request_list. По поводу последнего параметра – не знаю точно передаёт ли билайн до сих пор что нибудь, но на всякий случай пусть будет, отключить никогда не поздно. Default Route Distance ставим 10.
/ip dhcp-client
add add-default-route=special-classless default-route-distance=10 dhcp-options=\
clientid,hostname disabled=no interface=bridge2-WAN
Теперь настроим непосредственно L2TP подключение.
Перейдём в меню PPP и добавим L2TP Client. Назовём его l2tp-out1-beeline, Max MTU установим 1460, Max MRU 1500. Затем на вкладке Dial Out заполним поля Connect To: tp.internet.beeline.ru, User: ваш логин выданный провайдером, Password: соответственно ваш пароль, поставим галочку Add Default Route, Default Route Distance: 5, снимем галочки с mschap1 и pap
Настройка L2TP – General Настройка L2TP – Dial Out
Настройка firewall
Выбираем меню Interfaces и переходим на вкладку Interface List, добавляем новый список ls-WAN-all. Затем в этот список добавляем интерфейсы bridge2-WAN и l2tp-out1-beeline
Настройка firewall – добавляем новый список интерфейсов Настройка firewall – добавляем интерфейсы в список Настройка firewall – список интерфейсов
Меню IP – Firewall на вкладке Address Lists добавляем список под названием LocalNet с нашими адресами – 192.168.253.0/24
Добавляем привила firewall. Что бы не пихать сюда кучу картинок напишу все правила скриптом, кто не знает, то просто вводите данные команды в окне терминала (меню New Terminal). Данные правила самые базовые, но на первых порах их должно быть достаточно.
/ip firewall filter
add action=accept chain=input connection-state=established,related
add action=accept chain=forward connection-state=established,related
add action=drop chain=input in-interface-list=ls-WAN-all
add action=drop chain=forward connection-state=invalid
add action=drop chain=forward connection-nat-state=!dstnat connection-state=new in-interface-list=ls-WAN-all
В результате должно выглядеть так как на скрине ниже, за исключением правил для IPTV, их добавим чуть попозже ))
На этом этапе можно включить отключенный интерфейс ether5 и попробовать что нибудь попинговать из терминала на MikroTik’е
Как видим интернет на маршрутизаторе уже есть и работает, но если попытаться сделать тоже самое с компьютера из локальной сети то ничего не получится, для этого добавим правила NAT
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=ls-WAN-all src-address=192.168.253.0/24
После этого у нас появился интернет и в нашей локальной сети.
Если интернет работает, но некоторые сайты почему то не открываются (не по причине блокировки Роскомнадзором) то можно попробовать добавить правило в Mangle
/ip firewall mangle
add action=change-mss chain=forward new-mss=1360 protocol=tcp tcp-flags=syn tcp-mss=1453-65535
Настройка IPTV
IPTV от билайна можно настроить двумя способами. Если вам удобнее протянуть кабель от приставки непосредственно к вашему MikroTik’у, то проще всего добавить ещё один порт в bridge2-WAN, предварительно удалив его из brifge1-LAN и подключить приставку в этот порт, например так:
Всё, больше ничего делать не нужно. Именно поэтому я для WAN сделал отдельный мост, а не настраивал как внешний интерфейс непосредственно порт ether5.
Если же вам удобнее IPTV-приставку подключить в коммутатор (switch), то продолжим настройку.
С официального сайта MikroTik из раздела Software нужно будет скачать Extra packages для своей версии прошивки. В моём случае это файл all_packages-arm-6.45.1.zip, т.к. я для написания данного материала пользуюсь MikroTik hAP ac² (RBD52G-5HacD2HnD).
Из полученного архива нам нужен файл multicast-6.45.1-arm.npk (в вашем случае может быть другой, в зависимости от архитектуры процессора и версии прошивки).
Для установки данного пакета в наш MikroTik нужно в WinBox открыть меню Files и в открывшееся окно просто перетащить нужный нам файл. Вместо того что бы перетаскивать, можно воспользоваться кнопкой Upload или просто сделать Copy-Paste. У меня почему то не получилось сделать это из WinBox и я воспользовался доступом через web-интерфейс, который в принципе почти полностью повторяет функционал WinBox, за исключением естественно возможности подключения по MAC-адресам. Так же для загрузки можно воспользоваться доступом по FTP или SFTP.
WinBox – logon WinBox – WebFig WinBox – Files
Теперь просто перезагрузим роутер – меню Sytem – Reboot и после перезагрузки данный дополнительный пакет будет установлен в систему, убедиться в этом можно перейдя по меню System – Packages
После установки необходимого нам пакета multicast приступим непосредственно к настройкам.
В меню Bridge открываем bridge1-LAN и включаем там IGMP Snooping
Тоже из консоли:
/interface bridge
set bridge1-LAN igmp-snooping=yes
Routing – IGMP Proxy – нажимаем кнопочку Setup и устанавливаем параметры Query Interval: 30 секунд и Query Response Interval: 20 секунд, Quick Leave оставляем выключенным.
Из консоли:
/routing igmp-proxy
set query-interval=30s query-response-interval=20s quick-leave=no
Теперь в IGMP Proxy добавляем интерфейс bridge2-WAN с параметрами Alternative Subnets: 0.0.0.0/0, включаем Upstream и интерфейс bridge1-LAN – никаких параметров не меняем.
Из консоли:
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=bridge2-WAN upstream=yes
add interface=bridge1-LAN
Осталось добавить пару правил в firewall:
/ip firewall filter
add chain=input protocol=igmp action=accept
add chain=forward dst-address=232.0.0.0/5 protocol=udp action=accept
Нужно проследить что бы данные правила были выше первого дропа в цепочке, т.е. правило chain=input protocol=igmp action=accept должно быть выше первого дропа в цепочке input, а правило chain=forward dst-address=232.0.0.0/5 protocol=udp action=accept должно быть выше первого дропа в цепочке forward.
Порядок следования правил в WinBox можно поменять просто перетащив нужное правило на своё место – вверх или вниз. В нашем случае результат будет таким:
Не забывайте к каждому правилу добавлять комментарии, что бы потом не запутаться какое правило за что отвечает.
С настройками IPTV на MikroTik на этом закончим – телевизор показывает ))
Последние необходимые изменения
В принципе у нас уже всё работает, но необходимо внести ещё парочку мелких изменений в настройки нашего MikroTik.
Отключим все неиспользуемые нами сервисы. Для этого перейдём в меню IP – Services и отключим всё, что мы не используем, а для тех что используем ограничим доступ только из локальной сети:
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.253.0/24
set ssh address=192.168.253.0/24
set api disabled=yes
set winbox address=192.168.253.0/24
set api-ssl disabled=yes
И ограничим обнаружение нашего маршрутизатора только в локальной сети:
/ip neighbor discovery-settings
set discover-interface-list=ls-LAN-all
Ну и включим поддержку UPnP для устройств и программ поддерживающих данную технологию, например для торрентов, что бы он смог принимать входящие соединения. Если поддержка UPnP не нужна, то лучше данную опцию не включать, т.к. она может нести в себе определённую угрозу вашей сети.
/ip upnp
set allow-disable-external-interface=yes enabled=yes
/ip upnp interfaces
add interface=bridge1-LAN type=internal
add interface=bridge2-WAN type=external
На этом часть про базовые настройки маршрутизатора на основе RouterOS можно считать завершённой.
За бортом остались настройки Wi-Fi, настройки DNS и много чего ещё, но это уже тема последующих статей.
Все приведённые примеры использовались и работают на маршрутизаторе MikroTik hAP ac² (RBD52G-5HacD2HnD-TC) с версией RouterOS 6.45.1.
Отдельно хочу сказать огромное человеческое спасибо своему хорошему другу Владу Глазкову, без его подсказок и советов данной статьи просто не было бы.
С благодарностью приму конструктивную критику и замечания в комментариях.
Обновление от 20.07.2019: В настройках DHCP клиента в parameter_request_list добавил получение Classless Static Route Option, правда в моём регионе (Красноярск) билайн кажется “забил” на это (
Обновление от 17.10.2019: В настройках DHCP клиента удалён параметр parameter_request_list и Add Default Route изменён с yes (по умолчанию) на special-classless, что позволяет получать как classless маршруты так и маршрут по умолчанию в стиле MS.
Освоить MikroTik Вы можете с помощью онлайн-куса «Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.
Оцените данную запись
[Всего голосов: 20 — Общая оценка: 5]
Всем привет.
Так уж получилось, что мой Netgiar, который отработал более 4х лет, пал смертью храбрых, он меня всем устраивал, но я его покупал за 3500 руб, а сейчас он стоит 6800 руб-я в шоке от таких ценников, за немного более продвинутый машрутизатор хотят уже 8-12 тыс. руб. В общем, мы с жабой, краями разойтись не смогли…
Давно я слышал про сетевое оборудование от MikroTik, а учитывая что даже «мыльница» от D-link стоит дороже MicroTik + у последнего процессор мощнее, нормальная операционная система внутри и порты гигабитные, в общем думал я не долго, да и выбор был очевиден.
Короче, я стал счастливым обладателем MikroTik RouterBoard RB951G-2HnD… Это была присказка, а вот мякотка начинается дальше.
В ходе плясок с бубном выяснилось что, в «нерезиновой» Пчелайн, отнесся к сетевым стандартам «положительно», а именно, взял и «положил» на них, а MikroTik добросовестно их выполнил, тем самым «положив» на Beeline, а я, как пользователь, оказался по середине, естественно без этих ваших интернетов котиков, сисек и прочего сетевого непотребства, короче, преферанса нет, доступных женщин тоже, беда-печаль.
Об этой железке можно сказать вот что, если вам мало обычного роутера, и вы подумываете об установке полноценного шлюза под управлением Linux/FreeBSD (я проходил через этот вариант, работало отлично скорость совершенно не резало) или
прости господи
Windows, то я вам настоятельно рекомендую посмотреть в сторону этого девайса, скорость совершенно не режет и работает очень стабильно, электричества потребляет копейки, тих и место практически не занимает, ну а если вы хотите за 10 мин все настроить и не париться а также требуется глянцевый корпус и множество разноцветных маргалок, смотрите в направлении сетевого оборудования потребительского класса, там все уже сделано со стороны производителя, остается включить и добавить настройки куда подключаться, но что-то нетривиальное уже не сделать, например, у меня еще проброшен VPN канал на работу, так что из дома я могу по локалке ходить в офис, пользоваться сетевыми принтерами, подключить VoIP телефон к внутреннему серверу Asterisk и использовать другие сетевые сервисы необходимые мне в работе.
Update от 22.12.2015
В сети beeline изменились настройки теперь настраивать маршруты, добавлять параметры DHCP клиента и настраивать соединения L2TP не нужно, эти пункты в мануале можно смело пропускать. Если у вас уже настроен роутер, по данной статье, и сейчас интернет у ваc не работает, то прошу ознакомиться со статьей по способу устранения этой проблемы: Ремонтируем подключение интернет Beeline после изменения работы сети 22.12.2015 на роутере Mikrotik
Если вы настраиваете маршрутизатор впервые и в вашей сети, Beeline использует web авторизацию, то нужно использовать обновленный вариант статьи Настройка MikroTik RouterBoard RB951G-2HnD (MikroTik+Beeline WEB авторизация) он на 100% актуален для Москвы, ну а если у вас все еще используется L2TP, то читаем дальше.
Что мы имеем в наличии
MikroTik RouterBoard RB951G-2HnD-1шт
сетевой кабель от Beeline
Второй комп подключенный к маршрутизатору
У роутера есть 5 сетевых портов + Wi-Fi
Порт №1 будет у нас подключен к сети beeline
Порты с 2-4, а также WLAN1 будут обслуживать локальную сеть.
Все действия выполнялись на MikroTik RouterOS 6.24 версия прошивки 3.19.
После прочтения этой статьи вы поймете, что настроить данный маршрутизатор не сложнее чем приготовить блюдо из доступных ингредиентов, для начала, возьмем пару кило свежих трюфелей, ну и погнали…
Займемся настройкой
Для начала нам нужно зайти в маршрутизатор и выполнить сброс настроек, маршрутизатор не имеет настроек сети и по этому мы будем подключаться по MAC адресу в Winbox, который можно скачать с сайта производителя
первым делом идем в System-> Reset configiration
и выподняем сброс настроек роутера, устновив галку No Default Configuration
Ждем когда система перезагрузится и снова заходим через Winbox
Для начала нам нужно определиться, какие сетевые интерфейсы будут обслуживать локальную сеть.
Обычно ether1 подключают к сети провайдера, остальные интерфейсы обслуживают локальную сеть.
Чтобы не путаться, переименуем ether1 в ether1-ext, чтобы было понятно что это внешний интерфейс (external), который смотрит в сеть провайдера, идем в Interfaces и переименовываем интерфейс ether1
в ether1-ext
IP адреса в сети beeline раздаются по DHCP, поэтому нам необходимо настроить DHCP клиента, который эти настройки будет запрашивать, для этого нам нужно его создать и немного настроить, для этого переходим в IP->DHCP Client жмем на +
Нам необходимо указать какой интерфейс будет слушать наш клиент это ether1-ext (который подключен к сети Beeline) также укажем метрику для этого маршрута, по умолчанию там стоит 0, а мы установим значение 10.
Метрика говорит о том, какой приоритет у данного подключения, чем метрика ниже тем приоритет выше!
Нажимаем OK и откроем вкладку IP -> Routers
У вас прилетели какие-то маршруты, в вашем случае, они, скорее всего, будут другими, но сути это не меняет.
Update от 3.06.15
В мае месяце Beeline изменил IP адресацию в своей локальной сети, теперь используется подсеть 100.ххх.ххх.ххх, но это ничего не меняет, просто теперь необходимо добавлять маршруты через шлюз, который начинается на 100, а далее все как обычно.
Алгоритм настройки устройства остался старый и состоит из следующих шагов:
1) Избавиться от маршрута в локальную сеть билайна 0.0.0.0/0 -добавляем опцию DHCP клиенту
2) Прописываем маршрут к DNS серверам
3) Выясняем в какой подсети находятся VPN сервера
4) Прописываем маршрут в подсеть к VPN серверам
5) Настраиваем подключение к интернет
В списке у нас есть маршрут 0.0.0.0/0-который нам совершенно не подходит, да и маршрутов маловато, необходимо добавить опцию для DHCP-клиента, идем во вкладку DHCP Cleant Options и добавляем новую опцию со следующими значениями:
Переносим точно так как написано т.к. это важно!
DHCP Clent options
Name: parameter_request_list
Code: 55
Valie: 0x01F90321062A
Чтобы выглядело
Жмем ОК и нам остается добавить данную опцию в наш DHCP клиент
Открываем настройки DHCP клиента и в пункте DHCP options добавим параметр parameter_request_list как указано на скриншоте.
Вернемся к окну с маршрутами и видим что список маршрутов пополнился, а именно:
И нет маршрута 0.0.0.0/0, от которого нам требовалось избавиться.
Зайдем в настройки DHCP client и во вкладке Status посмотрим какие настройки к нам приехали от провайдера (свой IP я закрасил!)
Как видно, из скриншота, мы получили настройки DNS серверов, но не получили адрес шлюза, это создает небольшую проблему, которую мы сейчас решим
Проблема в том что система не знает куда ей отправлять пакеты, которые отправлены адресам 85.21.192.3 и 213.234.192.8, мы можем логично предположить что шлюз, в сети провайдера, знает куда отправлять эти пакеты, шлюзом в моей локалке является IP 10.142.0.1 (смотрите предыдущий скриншот в столбце Gateway), но в списке маршрутов нет подсетей 85.21.192.0, 213.234.192.0, чтобы это исправить нам необходимо добавить маршрут руками.
Для начала пропишем статический маршрут к 85.21.192.3
Где:
85.21.192.3- целевой IP адрес
10.142.0.1 — адрес шлюза
Все остальные значения оставляем по умолчанию.
Тогда запись читается так: Все пакеты отправляемые адресу 85.21.192.3 передавать шлюзу 10.142.0.1, который знает куда их отправлять дальше.
Те же действия мы приводим для IP 213.234.192.8
Как читается данная запись?!
В результате у нас появиться 2 новых статических маршрута, на скриншоте подчеркнуто красным:
Давайте проверим что маршруты добавлены правильно и мы можем постучаться до DNS серверов.
Открываем New Terminal
Выполним ping DNS серверов beeline
Команда
ping 85.21.192.3
Тоже самое делаем и со вторым DNS сервером.
Из скриншота видно что пакеты доходят нормально.
Осталось проверить доступность VPN серверов
Адрес VPN сервера Beeline tp.internet.beeline.ru
Попробуем его пинговать, через окно терминала маршрутизатора
ping tp.internet.beeline.ru
Мы видим что пинги не проходят т.к. нет маршрута, нам требуется и его прописать руками.
Для начала нам нужно выяснить, какой IP адрес выдается DNS сервером, т.к. балансировка нагрузки vpn серверов, у Beeline, осуществляется с помощью DNS.
Попробуем узнать какой IP адрес выдается при запросе tp.internet.beeline.ru
Выполним команду 2 раза
put [:resolve tp.internet.beeline.ru]
У меня DNS выдал адреса 85.21.0.250 и 85.21.0.252 в вашем случае они, скорее всего, будут другими!
Пропишем маршрут к этой подсети.
Переходим в IP->Routers, если это окно вы закрыли с прошлого раза, и прописываем маршрут, как и прошлый раз, только в Dst.Adreess указываем не IP адрес, а целую подсеть с маской 24 бита- 85.21.0.0/24
шлюз, как и в прошлый раз, 10.142.0.1 (смотрите кокой шлюз к вам приходит по DHCP!)
Пробудем пинговать tp.internet.beeline.ru и видим что пинги нормально проходят т.к. мы создали статический маршрут в эту подсеть.
Настройка VPN подключения к интернет по L2TP
Раз уж мы прописали маршруты к VPN серверам, то нам можно приступить к настройке подключения к интернет.
Переходим в раздел PPP и переходим во вкладку Profiles
Создадим профиль для нашего подключения, назвать его можно по своему усмотрению, я назвал beeline-L2TP, а в поле Remote Adress указываем IP адрес который будет НЕ доступен в локальной сети провайдера, я выбрал 192.168.255.254, нам также нужно разрешить менять размер MSS в строке Change TCP MSS устанавливаем в положение YES остальные параметры, в этой вкладке, не меняем
Переходим во вкладку Protocols тут все переставляем на NO:
Никаких других настроек профиля, мы не меняем! Жмем OK и наш профиль готов, переходим к настройке подключения L2TP.
Возвращаемся во вкладку Interface и нажимаем на + и выбираем L2TP Client
Придумываем имя для подключения у меня это l2tp-beeline
В полях Max MTU и Max MRU указываем 1420 это важно поле MRRU делаем неактивным, нажав на выпадающее меню (все что менялось помечено красным!)
Переходим во вкладку Dial Out (все что менялось помечено красным!)
В поле Connect To указываем адрес VPN сервера, а это tp.internet.beeline.ru
в поле User указываем ваш логин, который указан в договоре
в поле Password ваш пароль, для подключения к интернет
в поле Profile указываем профиль который мы создали ранее beeline-L2TP
Ставим галку Add Default route
А в поле Default Route Distance указываем 1
В пункте типы шифрования, уберем все галки и оставим только на chap
После этого жмем OK и подключение к интернет установлено, маршрутизатор сам подключится, нам остается только проверить работу, возвращаемся в окно New Terminal и пробуем выполнить пинг yandex
Если пинги проходят, то примите мои поздравления, соединение установлено и все сделано правильно, если не работает, то проверяйте параметры, где-то ошибка.
Если мы попробуем выйти в интернет с наших клиентских устройств, то у нас ничего не получится т.к. не настроена локальная сеть и не прописаны правила для фаерволла для перенаправления пакетов т.е. NAT- из локальной сети и обратно, давайте это исправим…
Настраиваем локальную сеть
Настроим работу локальной сети и доступа по Wi-Fi т.к. у меня нет «свинцовых трусов», а мощность передатчика составляет 1Вт ( что много для однокомнатной квартиры) я решил понизить мощность Wi-Fi передатчика, мы будем настраивать все что коснется внутренней сети в этом разделе.
Все интерфейсы, которые обслуживают локальную сеть, будут объединены в сетевой мост, нам необходимо создать мост, а потом добавить мнтерфейсы, перейдем в раздел Bridge, жмем на +
Добавляем новый мост, bridge1-lan чтобы было понятно за что он отвечает (Local Area Network)
Он появится в списке, теперь нам необходимо добавить в него интерфейсы, переходим во вкладку Ports
Добавляем интерфейсы начиная со ether2 т.к. первый у нас подключен к провайдеру
Сетевой порт добавлен, тоже делаем с остальными
Мы добавили все порты начиная от ether2 и заканчивая wlan1
Теперь нам необходимо добавить адрес для нашей внутренней сети, переходим в IP-> Addresses, жмем + и добавляем IP адрес, наша внутренняя сеть будет иметь адресацию 192.168.1.1 и маской подсети 24 бита что соттветсвует 255.255.255.0 ну и указываем интерфейс, к которому мы все это применим на это у нас bridge1-lan
Чтобы не настраивать руками адреса на клиентских машинах, мы настроим сервер DHCP, переходим в IP->DHCP server нас интересует кнопка DHCP setup и с помощью мастера настроим наш сервер
Указываем интерфейс, который будет использоваться нашим DHCP сервером, а это bridge1-lan
Адресное пространство 192.168.1.0/24
Адрес шлюза, а это наш маршрутизатор, который имеет адрес 192.168.1.1
Укажем размер пула IP адресов, котоые будут выдаваться клиентским устройствам, т.е. мы можем подключить к нашей сети 253 устройства.
IP адреса DNS серверов, которые будут виданы клиентам нашей локальной сети, т.к. сам роутер не умеет разрешать DNS запросы (да это и не его задача), то запросы будут перенаправляться серверам провайдера, можете указать там что вам угодно, например сервера гугла 8.8.8.8
Указываем время аренды адреса, по умолчанию это 3 дня
После выполнения всех действий, мы получаем окно с уведомлением об успешной настройке. Теперь мы можем перезапустить сетевой интерфейс на клиентской машине (или просто выдернуть кабель подключения локальной сети) и мы получим IP адрес от нашего маршрутизатора (
адреса выдаются начиная с последнего-такая особенность!
), но в интернет мы, пока, выйти не можем т.к. не настроена маршрутизация между нашей локальной сетью и сетью провайдера.
Переходим в IP->Firewall далее во вкладку NAT и создаем новое правило.
Мы разрешим выход в интернет в поле Chain выбираем srcnat в поле Src.Address указываем нашу внутреннюю подсеть 192.168.1.0/24, а в качестве выходного интерфейса, указываем наше VPN подключение к l2tp-beeline и переходим во вкладку Actions
Тут нам необходимо указать какие действия мы применим для пакетов, которые попадают под действия данного правила, а это у нас masquerade жмем OK и правило сохранено.
Создадим разрешающее правило для того чтобы мы могли не только выйти в интернет, но в сеть провайдера, создаем второе правило, только выходной интерфейс у нас будет ether1-ext
Действия, для данного правила, те же
У нас появилось 2 правила маршрутизации пакетов из нашей внутренней сети в сеть провайдера и в подключение L2TP
Проверяем доступность интернет, с клиентского устройства, попинговав yandex, если пакеты бегают, то ваша сеть работает нормально, примите мои поздравления, вам осталось настроить Wi-fi ну и некторые мелочи.
Навастриваем доступ в сеть по Wi-Fi
Для начала, нам необходимо перейти в меню Wireless оттуда в Security Profiles
Создаем профиль безопасности для нашего беспроводного подключения, там уже есть готовый профиль, но мы его использовать не будем, а создадим свой, жмем + придумываем для него имя, я его назвал my Wi-Fi ну и типы аутентификации, желательно оставить только WPA2 PSK т.к. WPA менее безопасный, но это уже решите сами, так что оставляем как есть ну и укажим ключи WPA и WPA2 минимум 8 символов.
Вернемся во вкладку Interfaces беспроводной интерфейс, в данный момент, не активен (выключен), заходим и настраиваем его
Указываем режим работы ap_dridge, частоты для работы, если есть старое оборудование которое не поддерживает стандарт N, я на всякий случай включил B,G,N если какие-то определенные диапазоны, то их всегда можно выставить, но это уже вам в качестве домашнего задания.
SSID -имя сети которое мы будем видеть и по нему подключаться, у меня оно называется Howitmake, можно назвать так как вам нравится больше.
В строке профиля безопасности вбираем профиль который мы создали my Wi-Fi и открываем расширенный режим, чтобы нам можно было управлять мощностью передатчика нажимаем кнопку Advanced Mode все что менялось выделено красным:
нам необходимо найти вкладку TX Power и вот тут возможны варианты, я задал мощность для всех диапазонов, выбрав all rates fixed по умолчанию там стоит 17 dBm я уменьшил до 15, если требуется максимальная дальнобойность, то можно задать 30 dBm, для справки, при установке 20dBm интернет ловится во дворе с помощью телефона, а при 15 всего 1-2 палки сила сигнала, ну а 30 я не ставил, нет необходимости! В общем мощность передатчика настраивается довольно гибко, но это уже вам в качестве факультатива…
Повышаем уровень безопасности устройства
В системе у нас имеется пользователь admin, который обладает большими правами на оборудовании, но не имеет пароля может заходить со всех интерфесов, чтобы это исправить переходим в System -> Users и видим там нашего пользователя admin самое правильное это создать учетную запись с другим именем и паролем, а эту выключить, но можно и ее настроить
Заходим в настройки учетной записи, разрешим вход только из внутренней сети 192.168.1.0/24, ну и придумаем для него пароль, да подлиннее, все что нужно сделать выделено красным.
На роутере есть службы, которые торчат во внешний мир, если вы ими не будете пользоваться, то их надо отключить- в целях бехопасности (то что не используется, должно быть выключено!)
Вырубаем все, оставим только возможность входа по Winbox и то только из нашей локальной сети.
В процессе настройки я умудрился собрать все грабли что были доступны, теперь все работает нормально, пришлось убить целые выходные, правда с перерывом, но все равно, времени ушло прилично…
Основной проблемой является то что интернет работает, но некоторые сайты все равно не открываются через Microtik, данная проблема связана с размером MTU и MRU, ставьте 1420 и все будет работать как часы.
На этом я пожалуй закончу свой рассказ, спасибо что дочитали до конца.
Ну и как всегда, если нашли ошибку пишите в личку или на почту, возникли вопросы, прошу в комментарии…
Ну и результат того что мне удалось из него выжать.
К роутеру можно прикрутить DNS имя, о том как это сделать можно прочитать в статье Использование DDNS в MikroTik
Все что касается оборудования Mikrotik можно посмотреть в на этой странице
- IT
- Cancel
Настроим интернет
1. Сетевой кабель подключаем к компьютеру, интернет не подключаем
2. В командной строке выполняем nslookup tp.internet.beeline.ru (получим несколько адресов, запоминаем локальные)
3. Подключаем устройство, запускаем winbox (можно скачать с http://mikrotik.ru/download)
4. Скидываем настройки в терминале командной system reset-configuration
5. Заходим через winbox и выбираем Remove configuration
6. Создадим нового клиента Dhcp
Ip -> dhcp-client -> создаем нового клиента: interface ether1, выставляем галочки на Use Peer DNS, Use Peer NTP и Add Default Route, жмем ОК. Теперь мы получили локальный IP
Теперь мы получили локальный IP адрес
7. На вкладке Status у DHCP-Client смотрим адреса DNS, и прописываем их в ip-dns(если не прописались автоматически) и ставим галку Allow Remote Request
8. На вкладке Interface создаем новый интерфейс L2tp. На вкладке General выставляем MTU и MRU 1420, на Dial Out в ServerAddress указываем ip полученный на 2 шаге, в user и password указываем данные полученные от провайдера, Profile выставляем default, ставим галочку add default Route. Жмем ОК, Status должен стать connected
9. В терминале проверяем пинг (ping www.ru), должен быть интернет
Теперь настроим локальную сеть
1. Объединим 2-5 порты. Для этого Interface выбираем ether2 и ему в MasterPort ether2, связь должна оборваться. Переподключаем кабель порта ether2, заходим в winbox
2. Выбираем для ether3-5 в MasterPort ether2
3. Назначаем ip адрес локальной сети.
Ip->address создаем новое, указываем address 192.168.88.1/24, Interface ether2, жмем Ок
4. Настроим Dhcp сервер для локальной сети.
Ip->Dhcp-server->Dhcp-setup Dhcp-server interface = ether2, остальные настройки должны прописаться автоматически
5. Переподключем кабель порта ether2
6. Настраиваем firewall.
Ip->Firewall->NAT на вкладке General Chain = srcnat, Out.Interface = l2tp-out, на вкладке action Action = masquerade, жмем Ок
аналогично делаем для ether1, чтобы не блокировались локальные адреса провайдера
Теперь интернет есть и в локальной сети
Изменение пароля доступа
Чтобы изменить пароль доступа к роутеру MikroTik, выполните следующие действия:
1. Открываем меню System->Users;
2. Делаем двойной клик кнопкой мыши на пользователе admin;
4. Нажимаем кнопку Password…;
5. В поле New Password вводим новый пароль, в поле Confirm Password подтверждаем новый пароль, в окне Change Password нажимаем кнопку OK, В окне User нажимаем кнопку OK.
Пароль доступа сменен.
Настройка Wi-Fi точки доступа
1. На вкладке Wireless->Interface активируем wlan. Для этого выделяем его и нажимаем Enable(синяя галочка)
2. Открываем вкладку Security Profiles. Добавляем новый профиль Add(красный крестик). В поле Name указываем имя профиля безопасности. Для обеспечения безопасности используем регистрацию по протоколу WPA2 PSK. В поле WPA2 Pre-Shared Key указываем пароль для доступа к точке Wi-Fi. Для сохранения настроек нажимаем Ok.
3. Настраиваем параметры Wi-Fi точки. Открываем Interfaces->Interface, делаем двойной клик на интерфейсе wlan, чтобы зайти в его настройки. Переходим на вкладку Wireless. В списке Mode выбираем режим работы ap bridge(точка доступа в режиме моста). В списке Band выбираем в каких стандартах будет работать Wi-Fi точка(выберем b/g/n). В поле SSID указываем имя точки доступа. В списке SecurityProfile выбираем имя профиля безопасности(созданный на предыдущих шагах). Для сохранения настроек жмем Ok.
4. На вкладке Ip->addresses. Создаем address list аналогично как это делали для ether2.
5. Создаем Dhcp Server для интерфейса wlan аналогично как создавали для интерфейса ether2
6. Добавляем правило в Ip->Firewall->Nat для wlan аналогично как и для интерфейса l2tp-out
Материал из MikroTik Wiki
В статьей рассматривается настройка MikroTik RouterOS для работы с интернет-провайдером Билайн.
- Предполагается, что вы сделали «базовую настройку портов» из этой инструкции.
- 2. IP адреса в сети Beeline раздаются по DHCP, поэтому нам необходимо настроить DHCP клиента, который эти настройки будет запрашивать, для этого нам нужно его создать и немного настроить, для этого переходим в IP->DHCP Client жмем на +.
Необходимо указать какой интерфейс будет слушать наш клиент это ether5-WAN1 (в случае с MikroTik RB2011UiAS-2HnD-IN ставите 10й), также укажем метрику для этого маршрута, по умолчанию там стоит 0, а мы установим значение 10.
3. Пропишем маршруты до DNS серверов. Это требуется потому, что система не знает куда ей отправлять пакеты, которые отправлены адресам 85.21.192.3 и 213.234.192.8. Мы можем логично предположить, что шлюз, в сети провайдера, знает куда отправлять эти пакеты. Шлюзом в моей сети является IP 100.103.0.1 (Для каждого конкретного подключения этот адрес надо выяснять отдельно). Если посмотреть таблицу маршрутизации, то выяснится, что в списке маршрутов нет подсетей 85.21.192.0, 213.234.192.0, чтобы это исправить нам необходимо добавить маршрут руками.
4. Настроим L2TP подключение. Указываем IP адрес который будет НЕ доступен в локальной сети провайдера, я выбрал 192.168.255.254, нам также нужно разрешить менять размер MSS в строке Change TCP MSS устанавливаем в положение YES остальные параметры, в этой вкладке, не меняем.
5. Помимо стандартного правила маскарадинга надо добавить еще одно правило для l2tp-beeline.
Аналогичные настройки через консоль
/ip dhcp-client
add default-route-distance=10 dhcp-options=hostname,clientid disabled=no interface=ether10-WAN1
/ip route
add distance=1 dst-address=85.21.192.3/32 gateway=100.103.0.1
add distance=1 dst-address=213.234.192.8/32 gateway=100.103.0.1
/ppp profile
add change-tcp-mss=yes name=beeline-L2TP remote-address=192.168.255.254 use-compression=no use-encryption=no use-mpls=no
/interface l2tp-client
add add-default-route=yes allow=chap connect-to=tp.internet.beeline.ru default-route-distance=1 disabled=no max-mru=1420 max-mtu=1420 name=l2tp-beeline password=parol profile=beeline-L2TP user=ID_Usera
/ip firewall nat
add action=masquerade chain=srcnat out-interface=l2tp-beeline
Полезные материалы по MikroTik
На чтение 17 мин Просмотров 74к. Опубликовано
Обновлено
Здравствуйте, уважаемые читатели!
Предпосылкой к этой статье послужила просьба одной знакомой помочь наладить дома интернет и как говорится «чтобы работало хорошо». Ранее в квартире стоял роутер TP-Link не самой дорогой и производительный, что-то вроде модели TL-WR841N. Провайдером выступает Beeline, который дополнительно предоставлял приставку для телевидения. И вот тут возникали различные проблемы на стыке типа авторизации, подключения ТВ приставки и стабильности самого роутера(которая оставляла желать…)
Я решил исправить ситуацию с помощью, вполне производительного для дома, роутера MikroTik hAP ac2 (RBD52G-5HacD2HnD-TC)
Скажу заранее, все исправно работает больше года и не смеет давать даже намека на какие-то проблемы (чтд). Так что берите на вооружение 😉
У компании Beeline достаточно долго использовался тип подключения PPP/L2TP и он возможно все еще используется. И сейчас можно говорить о двух способах авторизации:
- Устаревший: L2TP VPN (как напрямую с ПК так и через роутер)
- Текущий: IPoE(Internet Protocol over Ethernet) и Web авторизация — Для получения доступа в Интернет нужна однократная авторизация на веб-странице.
Правда я не являюсь счастливым обладателем интернета от компании Beeline и сужу только по тому что видел и вычитал на просторах интернета.
Во всяком случае тип подключения PPP/L2TP VPN является устаревшим и на его место приходит IPoE.
Я правда не совсем понимаю сакрального перехода на этот тип авторизации, когда у других провайдеров прекрасно работает обычная привязка в личном кабинете по MAC адресу. Ну да ладно, это особенности провайдера, видимо им там виднее.
Я рекомендую позвонить в Beeline (или написать), если вы не уверены в том, какой тип авторизации используется на текущий момент.
Также в других регионах, что-то может отличаться. В статье я привожу пример для Москвы.
Если я что-то упустил по типам авторизации билайна, то поправьте меня в комментариях.
Начнем с краткого обзора самого роутера т.к. про него в моем блоге еще ничего не было сказано.
Содержание
- Краткий обзор hAP ac2
- Спецификация
- Беспроводная связь
- Периферия
- Настройка hAP ac2
- Настройка интерфейсов
- Безопасность
- Настройка Wireless
- Настройка сети
- Настройка межсетевого экрана (Firewall) и DNS
- Подключение к провайдеру
- Рюшечки (время, идентификация, авто-обновление)
- Заключение
Краткий обзор hAP ac2
Внешний вид вполне неплох. Вместо типовых белых коробок компания MikroTik предлагает приятный дизайн. Более того в интернете Вы найдете достаточно большое количество обзоров на этот роутер в том числе и с разбором компонентной базы. Правда я остановлюсь на одном пункте чуть ниже.
Пробежимся по характеристикам роутера.
Спецификация
Код продукта (Product code) | RBD52G-5HacD2HnD-TC |
Архитектура (Architecture) | ARM 32bit |
Процессор (CPU) | IPQ-4018 |
Кол-во ядер процессора (CPU core count) | 4 |
Базовая частота процессора (CPU nominal frequency) | 716 MHz |
Лицензия ОС (RouterOS license) | 4 |
Операционная система (Operating System) | RouterOS v6, v7 |
Размер оперативной памяти (Size of RAM) | 128 MB (есть версии с 256 MB) |
Размер хранилища (Storage size) «в том числе для ОС» | 16 MB |
Тип хранилища (Storage type) | FLASH |
Сетевые порты шт. (10/100/1000 Ethernet ports) | 5 |
Наработка на отказ (MTBF) | Approximately 100’000 hours at 25C |
Протестирован при температуре (Tested ambient temperature) | -40°C to 50°C |
Аппаратное ускорение IPsec (IPsec hardware acceleration) | Yes |
Габариты (Dimensions) | 34 x 119 x 98mm |
Вместе с искомым роутером вы получите:
- Блок питания на 24V 0.8A (19.2 Вт)
- Ножка подставка
- Шурупы и дюбеля для крепления на стену
- Инструкция по монтажу
- Инструкция по быстрой настройке
Беспроводная связь
Wireless 2.4 GHz Max data rate | 300 Mbit/s |
Wireless 2.4 GHz number of chains | 2 |
Wireless 2.4 GHz standards | 802.11b/g/n |
Antenna gain dBi for 2.4 GHz | 2.5 |
Wireless 2.4 GHz chip model | IPQ-4018 |
Wireless 2.4 GHz generation | Wi-Fi 4 |
Wireless 5 GHz Max data rate | 867 Mbit/s |
Wireless 5 GHz number of chains | 2 |
Wireless 5 GHz standards | 802.11a/n/ac |
Antenna gain dBi for 5 GHz | 2.5 |
Wireless 5 GHz chip model | IPQ-4018 |
Wireless 5 GHz generation | Wi-Fi 5 |
AC speed | AC1200 |
Периферия
Кол-во USB портов (Number of USB ports) | 1 |
Функция отключения питания от USB (USB Power Reset) | Yes |
Тип USB порта (USB slot type) | USB type A |
Максимальный ток отдаваемый USB портом (Max USB current (A)) | 1 |
Производитель предоставляет удобную блок диаграмму устройства
Сердцем выступает 4 ядерный CPU от компании Qualcomm IPQ4018 на ядрах ARM A7
Он же имеет встроенный Switch чип Atheros AR8327, который подключен к физике QCA8075 по шине в 2 Gbit/s (странно, что на диаграмме GB/s)
Тут хотелось бы остановиться подробнее, т.к. в некоторых обзорах ошибочно полагают, что в роутере используется не Switch чип AR8327, а чип QCA8075, что не корректно от слова совсем и вводит в заблуждение. По факту, чип QCA8075 реализует физический уровень взаимодействия с Ethernet портами (QCA8075-spec: Ethernet transceiver is a 5-port, 10/100/1000 Mbps tri-speed Ethernet PHY), а AR8327 это именно что Switch, реализующий MAC уровень (он же отображается в RouterOS) и это правильно! (IPQ4018-spec: Supports external gigabit Ethernet PHYs via PSGMII or SGMII)
Запомните, QCA8075 не заменяет AR8327, они работают совместно!
Если кому необходимо, то можете изучить спецификации на чип QCA8075 и CPU IPQ4018
Помимо 4х вычислительных ядер, в CPU IPQ4018 реализовано еще два отдельных ядра для Wi-Fi 2.4GHz и Wi-Fi 5GHz, это позволяет разгрузить основные ядра процессора. (Dual Wi-Fi subsystem with Qualcomm® VIVE™ technology)
А вот функции типа Beamforming в RouterOS не реализовано, хоть они и поддерживаются в CPU. Вернее идет этап реализации wifiwave2 на базе «новой» RouterOS 7, куда входит и WPA3 и MU-MIMO и Beamforming. (06.12.2021 версия 7.1 вышла в ветку Stable)
Вот только MikroTik придется постараться, чтобы уместить ОС с новым драйвером и новым Linux ядром в их любимые 16 MB, которые стоят почти везде.
Роутер практически не содержит никакой дополнительной периферии, как например те же RB750Gr3(hEX) и RB760iGS(hEX S). Нам доступен только порт USB2.0 Type A, который может отдавать подключенным к нему потребителям ток не более 1А.
Судя по сторонним тестам, роутер потребляет не более 5-6Вт при максимальной нагрузке, что приятно.
Но думаю хватит про железо, перейдем непосредственно к настройке роутера.
Настройка hAP ac2
Настройки выполнены на прошивке: 6.48.5 (Long-term)
Основной особенностью тут будет подключение TV приставки т.к. она должна быть подключена как бы напрямую в сеть провайдера. Это значит нам придется делать WAN Bridge который будет пропускать трафик TV приставки и через него же роутер будет смотреть в интернет. Также мы включим аппаратную разгрузку для WAN Bridge, чтобы трафик от приставки не мешал роутеру и роутер не мешал приставке.
Подключим Ethernet кабеля в следующем порядке.
Красный Eth1 — Кабель провайдера;
Синий Eth2 — Кабель к TV приставке;
Зеленый Eth3 — Локальный (ПК/Ноутбук)
На ПК для сетевого интерфейса устанавливаем статический IP 192.168.88.5 и маску сети 255.255.255.0
Это нужно т.к. у роутера отсутствует IP адрес после сброса всех настроек.
Открываем утилиту WinBox (Подробнее: Тут и Тут)
Как обычно сбрасываем все заводские настройки, они нам не понадобятся!
Консольно:
/system reset-configuration no-defaults=yes skip-backup=yes
После этой процедуры, у роутера не будет IP адреса, поэтому подключаемся по MAC адресу.
Все настройки будут сброшены, начнем настройку:
Настройка интерфейсов
Переходим к сетевым интерфейсам в раздел Interfaces и пока просто переименовываем их, чтобы было удобнее.
ether1 => WAN-Eth1-beeline
ether2 => WAN-Eth2-TV
ether3 => LAN-Eth3
ether4 => LAN-Eth4
ether5 => LAN-Eth5
wlan1 => LAN-wifi24ghz
wlan2 => LAN-wifi5ghz
Начало имени WAN и LAN даст удобную сортировку по имени в таблице со списком интерфейсов. Немного эстетики не повредит 🙂
Консольно:
/interface ethernet
set [find default-name=ether1] name=WAN-Eth1-beeline
set [find default-name=ether2] name=WAN-Eth2-TV
set [find default-name=ether3] name=LAN-Eth3
set [find default-name=ether4] name=LAN-Eth4
set [find default-name=ether5] name=LAN-Eth5
/interface wireless
set [find default-name=wlan1] name=LAN-wifi24ghz
set [find default-name=wlan2] name=LAN-wifi5ghz
Далее создадим два сетевых моста WAN-Bridge и LAN-Bridge, добавим в них необходимые интерфейсы.
Добавляем порты WAN-Eth1-beeline и WAN-Eth2-TV в WAN-Bridge.
Тоже самое проделываем с портами LAN (LAN-Eth3, LAN-Eth4, LAN-Eth5, LAN-wifi24ghz, LAN-wifi5ghz), но добавляем их соответственно в LAN-Bridge.
Для портов WAN включим Hardware offload. Для портов LAN включать не будем. Это делаем специально для TV приставки, чтобы обработка потока для неё происходила на уровне Switch чипа.
Соответственно нет необходимости включать Fast Forward для моста WAN-Bridge т.к. мы включили для входящих в него портов аппаратную разгрузку (Hardware offload)
Консольно:
/interface bridge
add name="WAN-Bridge" comment="WAN" mtu=1500 fast-forward=no protocol-mode=none
add name="LAN-Bridge" comment="LAN" mtu=1500 fast-forward=yes igmp-snooping=yes protocol-mode=none
/interface bridge port
add bridge=WAN-Bridge interface=WAN-Eth1-beeline
add bridge=WAN-Bridge interface=WAN-Eth2-TV
add bridge=LAN-Bridge hw=no interface=LAN-Eth3
add bridge=LAN-Bridge hw=no interface=LAN-Eth4
add bridge=LAN-Bridge hw=no interface=LAN-Eth5
add bridge=LAN-Bridge interface=LAN-wifi24ghz
add bridge=LAN-Bridge interface=LAN-wifi5ghz
Подготовим списки интерфейсов. Для чего они нужны подробнее тут: MikroTik RouterOS — Списки интерфейсов «Interface List»
Создаем списки интерфейсов:
WAN
LAN
Привязываем интерфейсы к спискам
Консольно:
/interface list
add name=WAN
add name=LAN
/interface list member
add interface=LAN-Bridge list=LAN
add interface=WAN-Bridge list=WAN
Безопасность
Надо бы улучшить безопасность нашего роутера перед тем, как продолжить его настройку. Многие спустя рукава относятся к такого рода вещам, а потом в интернете мы видим статьи о ботнетах на роутерах MikroTik. Если кому интересно, то почитайте про ботнет Mēris. Я думаю Вы не захотите, чтобы Ваш роутер выступал в роли «солдата» в армии очередного ботнета.
Тут мы сменим пользователя по умолчанию, отключим лишние сервисы и порты по умолчанию, а также направим Neighbors с MAC Server на путь истинный.
Удаляем или отключаем админа и добавляем своего пользователя (тоже с правами админа)
Консольно:
/user
add name="hello_neo" password="1234567890" group=full
set admin disabled=yes
Настраиваем Neighbors и MAC Server
Консольно:
/ip neighbor discovery-settings
set discover-interface-list=!WAN
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
Отключаем лишние сервисы, оставляем только нужные и позволяем подключаться к ним только из локальной сети.
Если у Вас присутствует режим «paranoid», то можете еще и номер порта изменить.
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set winbox address=192.168.88.0/24 disabled=no
set api-ssl disabled=yes
Осталось только отключить сервис порты.
У меня включен только pptp т.к. без него не работает VPN в роутере.
Консольно:
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set pptp disabled=yes
set h323 disabled=yes
set sip disabled=yes
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes
На этом с безопасностью пока можно закончить.
Конечно это еще не все и нужна более тонкая настройка Firewall для пущей безопасности, но об этом ниже по тексту.
Настройка Wireless
Далее настроим Wi-Fi. Про это я ранее уже писал, с тех пор особо ничего не изменилось, поэтому расписывать, что есть что, не буду. Просто оставлю ссылку на статью, рекомендую к ознакомлению:
Создание домашней сети на базе устройств MikroTik: Часть 2 — Настройка hAP ac
Консольно:
/interface wireless security-profiles
add authentication-types=wpa2-psk disable-pmkid=yes eap-methods="" group-key-update=1h mode=dynamic-keys name=gost supplicant-identity=GOST wpa2-pre-shared-key=1234567890
/interface wireless
set LAN-wifi24ghz adaptive-noise-immunity=ap-and-client-mode antenna-gain=0 band=2ghz-onlyn basic-rates-b="" channel-width=20/40mhz-XX country=russia3 disabled=no disconnect-timeout=15s distance=indoors frequency=2437 hw-protection-mode=rts-cts hw-retries=10 installation=indoor mode=ap-bridge on-fail-retry-time=1s security-profile=gost ssid=GOST station-roaming=enabled supported-rates-b="" wireless-protocol=802.11 wmm-support=enabled wps-mode=disabled
/interface wireless
set LAN-wifi5ghz adaptive-noise-immunity=ap-and-client-mode antenna-gain=0 band=5ghz-onlyac channel-width=20/40/80mhz-XXXX country=russia3 disabled=no disconnect-timeout=15s distance=indoors frequency=auto hw-protection-mode=rts-cts hw-retries=10 installation=indoor mode=ap-bridge on-fail-retry-time=1s security-profile=gost ssid=GOST5G station-roaming=enabled wireless-protocol=802.11 wmm-support=enabled wps-mode=disabled
/interface wireless nstreme
set LAN-wifi5ghz enable-polling=no
set LAN-wifi24ghz enable-polling=no
При настройке Wireless интерфейсов через WinBox не забудьте их включить т.к. по умолчанию они выключены.
При настройке через консоль они включаются через параметр disabled=no
Настройка сети
Теперь настроим локальную сеть. Установим IP адрес роутера, укажем пул IP адресов для локальных клиентов и настроим DHCP сервер для них. Все это также ранее фигурировало в статьях.
Консольно:
/ip address
add address=192.168.88.1/24 comment=LAN interface=LAN-Bridge network=192.168.88.0
/ip pool
add name=LAN-pool ranges=192.168.88.2-192.168.88.254
/ip dhcp-server
add address-pool=LAN-pool bootp-lease-time=lease-time bootp-support=dynamic disabled=no interface=LAN-Bridge lease-time=3d name=LAN-dhcp
/ip dhcp-server network
add address=192.168.88.0/24 dns-server=192.168.88.1 gateway=192.168.88.1 netmask=24
Настройка межсетевого экрана (Firewall) и DNS
Тут настроим роутер на обработку DNS запросов и перейдем к настройке Firewall Filter, Firewall NAT и Firewall Raw
/ip dns
set allow-remote-requests=yes
Firewall я буду применять тот, который я выработал для себя и он себя отлично показывает все то время, что у меня стоят роутеры компании MikroTik.
Если Вы хотите знать больше, то вот статьи по тому как и что я настраивал:
Создание домашней сети на базе устройств MikroTik: Часть 6 — Firewall защита доступа
Создание домашней сети на базе устройств MikroTik: Часть 7 — Firewall правильное перенаправление портов в сети с двумя шлюзами
MikroTik : RouterOS : Стучимся к себе домой. Firewall Filter PortKnocking
Получилось много скриншотов Firewall Filter (28 шт.)
/ip firewall filter
add action=fasttrack-connection chain=forward connection-state=established,related
add action=accept chain=forward comment="ALLOW - Established and Related connections" connection-state=established,related
add action=accept chain=input connection-state=established,related
add action=drop chain=forward comment="DROP - Invalid connections" connection-state=invalid
add action=drop chain=input connection-state=invalid
add action=jump chain=input comment="DDoS - SYN flood protection" connection-state=new in-interface-list=WAN jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=return chain=SYN-Protect limit=200,5:packet tcp-flags=""
add action=add-src-to-address-list address-list=ddos-blacklist address-list-timeout=1w3d chain=SYN-Protect log-prefix="DDoS: SYN-Protect" tcp-flags=""
add action=jump chain=input comment="DDoS - Main protection" connection-state=new in-interface-list=WAN jump-target=DDoS-Protect
add action=return chain=DDoS-Protect dst-limit=15,15,src-address/10s
add action=add-src-to-address-list address-list=ddos-blacklist address-list-timeout=1w3d chain=DDoS-Protect log-prefix="DDoS: MAIN-Protect"
add action=drop chain=input comment="DROP - Block all other input/forward connections on the WAN" in-interface-list=WAN
add action=drop chain=forward in-interface-list=WAN
Остального сильно меньше 🙂
/ip firewall raw
add action=drop chain=prerouting comment="DDoS - Drop blacklist IP" in-interface-list=WAN src-address-list=ddos-blacklist
И остается только NAT для корректной работы интернета.
Если у Вас есть статический IP от провайдера, то вы можете использовать src-nat вместо masquerade, при этом нужно будет изменить правило!
/ip firewall nat
add action=masquerade chain=srcnat comment="Masquerade" ipsec-policy=out,none out-interface-list=WAN
Бонус: Если статический IP от провайдера. Для примера возьмем IP 1.2.3.4
/ip firewall nat
add action=src-nat chain=srcnat comment="SRC-NAT - Internet out" ipsec-policy=out,none out-interface-list=WAN src-address=192.168.88.0/24 to-addresses=1.2.3.4
Осталось настроить подключение к провайдеру
Подключение к провайдеру
Т.к. мы используем IPoE от Билайна, IP адрес получаем по DHCP.
DHCP client вешаем соответственно на WAN-Bridge.
Тут есть один момент. Самое долгое, на что я потратил много времени, это общение со специалистами билайна т.к. DHCP-Client никак не хотел получать IP.
Также в инструкциях Билайна написано про страницу авторизации после получения IP. У меня её не было т.е. никакие логины пароли вводить не понадобилось. После получения IP адреса все заработало.
/ip dhcp-client
add disabled=no interface=WAN-Bridge use-peer-ntp=no
Рюшечки (время, идентификация, авто-обновление)
Дополнительно можно настроить синхронизацию времени через NTP, изменить идентификатор роутера и настроить автоматическое обновление.
Конечно это все совершенно не обязательно, все и так уже будет работать.
Время и синхронизация
Тут соответственно ставите свою временную зону.
Консольно:
/system clock
set time-zone-autodetect=no time-zone-name=Europe/Moscow
/ip cloud
set update-time=no
/system ntp client
set enabled=yes primary-ntp=88.147.254.235 secondary-ntp=88.147.254.228
Идентификация (Hostname)
/system identity
set name=GOST-AC2
Автоматическое обновление.
А вот тут конечно вариантов несколько. Есть встроенная функция авто-обновления, но меня она не устраивает. Я для этого использую скрипты и планировщик. Т.к. это продвинутые функции, тут будет только код.
Немного про сам код. Используются два скрипта. Первый проводит начальную инициализацию переменных, а второй уже выполняет обновление и задействует отправку уведомлений на почту о появлении нового обновления и начале самого процесса обновления.
initparam
Помимо инициализации переменных скрипт обновляет загрузчик сразу после включения если это требуется.
# Initialization of primary parameters
:delay 10s
# Yandex SMTP
:global SMTPIP
:do {
:set $SMTPIP [:resolve "smtp.yandex.ru"]
} on-error={
:set $SMTPIP 213.180.204.38
}
# Sending Email
:global LOGIN "your_source_email@yandex.ru"
:global PASS "your_source_email_password"
:global TOMAIL "target_email@gmail.com"
# System Information
:global NAME [/system identity get name]
# Check the version of the bootloader
:local NOWBOOT [/system routerboard get current-firmware]
:local NEWBOOT [/system routerboard get upgrade-firmware]
:if ($NOWBOOT!=$NEWBOOT) do={
:log warning "initparam: Start Update bootloader..."
/system routerboard upgrade
:delay 3s
/system reboot
:delay 1s
}
autoupdate
Я обновляю исключительно на long-term ветку.
# Automatic firmware update script
#
# Choosing where to get updates
/system package update set channel=long-term
/system package update check-for-updates
# Initialization
:global SMTPIP
:global LOGIN
:global PASS
:global TOMAIL
:global NAME
# Check the compliance of firmware versions
:local CURRVER [/system package update get installed-version]
:local NEWVER [/system package update get latest-version]
:if ($CURRVER!=$NEWVER) do={
:log warning "autoupdate: Start Update process..."
:do {
/tool e-mail send from="<$LOGIN>" to=$TOMAIL server=$SMTPIP port=587 user=$LOGIN password=$PASS start-tls=yes subject=("The " . $NAME . " router started updating on new firmware " . $NEWVER) body=("Router started updating on new firmware " . $NEWVER . "\nTime and Date stamp: " . [/system clock get time] . " - " . [/system clock get date])
} on-error={
:log error "autoupdate: Failed to send email - (Start Update process...)"
}
:log warning "autoupdate: Current Firmware = $"CURRVER""
:log warning "autoupdate: New Firmware = $"NEWVER""
/file remove [find type="package"]
# Download and Install the new version
/system package update install
:log warning "autoupdate: Download New Firmware Complete. Run install."
:delay 1s
}
Эти скрипты я запускаю через планировщик(Scheduler) так:
initparam — 1 раз при старте.
autoupdate — каждый день в 4 утра.
Заключение
Вот собственно и вся настройка. Приставка без проблем работает через роутер, а роутер не напрягаясь обслуживает домашние сетевые устройства.
Надеюсь данная статья поможет начинающим и опытным настройщикам.
Единственной проблемой с которой я столкнулся в процессе это выяснение типа авторизации у Билайна. Но благо техподдержка помогла разобраться и перевела абонента на IPoE, пусть и не без вопросов.
Если у Вас есть какая-то информация по поводу настроек, их оптимизации, смело пишите об этом в комментариях.
Ах да и по поводу типов авторизации было бы приятно почитать знающих людей 🙂
Благодарю за ваше время!
Всего хорошего на просторах Интернета 😉
Если Вам не безразлична судьба блога или Вы просто хотите отблагодарить Автора за его труд, смело переходите на страницу Поддержки, там описана вся информация, по тому, как это сделать. Заранее благодарен вам за данную инициативу!