Настройка микротика для чайников: MikroTik настройка интернета: c нуля для чайников

Краткий обзор MikroTik RB951G-2HnD — Сентябрь 2016

Достоинства: Такое ощущение, что может ВСЕ

Высокая мощность передатчика Wi-Fi

Стабильность

Недостатки: Очень сложен для человека, имеющего опыт работы с сетями на уровне установки обычных роутеров при помощи Wizard или Quick Setup.

Кого-то испугает Английский язык интерфейса и лог-журнала

Комментарий: Купил модем 4G Мегафон М150-1. Старый Zyxel Keenetic с ним жил, но нестабильно, дней 10 боролся вместе с саппортом, перешивал, перенастраивал — не помогло. Купил TP Link 3420. Он настроился сразу же, но перезагружался после запуска теста на Speedtest.net, саппорт не помог, хотя и отвечал быстро.

Надоело, поехал на край город, купил микротик, вставил модем (перед этим перевел его в режим 4G Modem only) — он определился, прописал APN билайновский (модем разлочен и симка билайн) — он подключился. И тут начались танцы. У меня было линуксово-сетевое прошлое в студенчестве. Но настроить раздачу Интернета через поднятый интерфейс модема я не смог.

Погуглил, на всякий случай перешил последней прошивкой. Оказалось все просто. Нужно зайти в настройки IP-Firewall-NAT и поднять маскарадинг через интерфейс модема. ВСЕ. Работает стабильно, аптаймы большие, скорость не режет (TP Link перед повисанием резал).

Настроил далее NTP Client, чтобы время было правильное (да, по умолчанию ничего не настроено в этом роутере), Watchdog Timer (пингует периодически гугловский сервер 8.8.8.8 и перегружает роутер, если пинги не проходят — не придется ходить перезагружать руками, если все таки заглючит), сделал тонкую настройку WiFi под мои условия, снизил мощность передатчика с 1 ватта на 0.1 (децибелы с 27 до 17).

Очень доволен. Уверен, что забуду теперь про настройку и нестабильность 3G-4G роутера до того момента, когда захочу что-то новенькое накрутить для домашней сети. Ну и еще нужно будет мой резервный билайновский модем ZTE MF823 настроить. Судя по инфе в сети все настраивается. Кстати, а не подключить ли мне два модема через хаб, чтобы было два канала — основной и резервный. Уверен, что Mikrotik с этим справится!

Евгений П.

2 июля 2014,
Белгород

 \  Опыт использования: менее месяца

Мнение: как роутеры Mikrotik могли решить все проблемы с Wi-Fi раз и навсегда

01.03.21

Это не рекламная статья, а результат изысканий автора и личный опыт на тему вечной проблемы сетевых устройств

Сбои в работе цифровых устройств происходят регулярно. Иногда вследствие нетипичных условий работы, иногда из-за упущений при разработке. С проблемами Wi-Fi сталкивались все и формулировка «перезагрузить сеть/роутер/вай-фай» стала обыденной. Как же роутеры Mikrotik, со сложным  на первый взгляд интерфейсом настроек, могут решить проблемы рядового пользователя с Wi-Fi?

В близкой ретроспективе

Рынок сетевых устройств весьма обширный. В Украине он начал активно расти 5-7 лет назад, когда проникновение интернета в нашей стране достигло 71%. Этому способствовали, в том числе, смартфоны, которые открыли доступ к интернету там, где не было кабельных провайдеров.

Пользовательских устройств в домашних сетях становится все больше. Потребность в увеличении пропускной способности оказывается всё острее. Вместе с тем важным фактором стала возможность оптимально перераспределять сигнал сетевым оборудованием. Чтобы минимизировать последствия от наложения радио-частот внутри и извне (от соседей, например) домашней сети.

Вот уже несколько лет мы сталкивались с весьма банальным и вместе с тем загадочным явлением. В описании очередного Wi-Fi-роутера говорилось о «сотне подключаемых устройств, стабильном сигнале, бесперебойной работе» и т.д. Пока тестируешь девайс неделю-две всё действительно хорошо. Видео в высоком разрешении из локальной сети, видео-стримы, социальные сети и игровой трафик, все они исправно приходят на девайсы и поток данных достигает заявленной пропускной способности. Количество одновременно подключённых устройств также примерно соответствует ценовому диапазону. Бюджетный роутер «переваривает» десяток устройств, средний – под два десятка, дорогой – столько устройств найти сложно. Каналы данных заполняются в соответствии с заявленными цифрами. В среднем, при не интенсивном трафике нормально работают с интернетом и десять, и пятнадцать устройств. В общем, характеристик обычно в избытке для среднестатистической квартиры или дома.

Однако когда пользователи останавливаются на выборе и покупают маршрутизатор домой всё становится не так радужно. Через пару недель-месяц наблюдается спонтанное пропадание интернет-сигнала, которое лечится исключительно перезагрузкой. Как пример, десяток устройств друзей «ломится» постить фото в инстаграмм и сеть ложиться.  Особенно обидно, когда играешь в сетевые игры и от «упавшего» интернета сливается катка.

Первые разы грешишь на провайдера. Обновляешь прошивку, если таковая возможность есть. Но чаще всего просто перезагружаешь маршрутизатор, дожидаясь зелёной индикации соединения со свичем провайдера и работаешь дальше… До следующего такого «отпадания» интернета. Сервисные центры, могут лишь предложить перепрошивку маршрутизатора. Это, разумеется, не помогает и через месяц-полтора всё повторяется.

Лабораторных исследований и глубоких изысканий наш Тестлаб не проводил. По логам, неполадок и недоработок ни разу не находилось, а препарирование кода удовлетворения не даст. Даже потратив на исследование годы, вряд ли найденный глюк исправят и решат на глобальном уровне.

Отметим, что история таких мелких багов и необходимости периодически перезагружать роутер, закончилась довольно неожиданно. Идея этой статьи потому и родилась, что ещё год-полтора назад, решением всех проблем с зависаниями роутеров была покупка устройства от Mikrotik.

Так совпало, что в середине 2020 года все чаще в интерфейсах начала появляться возможность планировать регулярную перезагрузку устройства. Это было и до того очевидным решением, но поскольку вендоры добавлять такой пункт не спешили, не глючащие Mikrotik-и были манной небесной.  Бренд, известный в узких кругах специалистов, не имел таких проблем в принципе.

Пример появившегося меню перезагрузки в роутерах

Немного истории

В 1996 году на рынок вышел латвийский производитель сетевого оборудования. Компания Mikrotik разрабатывает и продаёт проводное и беспроводное сетевое оборудование, в частности маршрутизаторы, сетевые коммутаторы (свитчи), точки доступа, а также программное обеспечение — операционные системы и вспомогательное ПО. Одним из продуктов MikroTik является RouterOS — сетевая операционная система на базе Linux. В частности роутеры Mikrotik считаются лучшими с точки зрения сетевого инженера. Они позволяют строить очень сложные сетевые решения и вместе с тем не требовать взамен больших сумм за устройства.

Если представить самый навороченный домашний маршрутизатор с «сотней функций и настроек», то в описании Mikrotik-а стоит написать «бесконечность +1». Потому что это количество зависит только от прямоты рук и умения работать с кодом. Мы же поговорим об их устройстве для малых помещений и простых конфигураций с одним роутером и десятком пользовательских устройств. Хотя у наших коллег успешно работают сети с несколькими камерами наблюдения, сетевыми хранилищами (NAS) и бесшовным роумингом из нескольких точек.

Вероятно, у вас уже сложился образ утилитарной черной коробочки, которую можно настроить, используя командную строку и шаманский бубен. Отчасти вы будете правы, если говорить о моделях 8-10 летней давности. Однако за последние годы в портфеле Mikrotik появились и весьма симпатичные устройства. Более того, в RouterOS есть режим быстрой настройки, который интуитивен и понятен. Так что без всяких специальных знаний можно настроить такой девайс и у себя дома.

Закономерно спрашивая «А зачем собственно брать что-то, что не на слуху у большинства?», отвечаем: «Сейчас, в 2021 году, острой необходимости нет. Но  ещё год назад перезагрузки по расписанию не было и роутеры за 100, 200, 300 и больше долларов, регулярно вынуждали, чтобы их ребутнули из интерфейса или кнопкой на корпусе». Это если резюмировать.

Mikrotik hAP ac²

Коротко расскажем о том, что такое Mikrotik и RouterOS на примере модели за $60. Сейчас его можно найти даже за $45-50. Данный обзор мы подготовили для пользователей с базовыми знаниями. Предполагается, что они знают, как создать единую домашнюю сеть с несколькими точками доступа и выбрать для каждой свободный беспроводной канал, как минимум.

Дизайн Mikrotik hAP ac² можно назвать утилитарным и простым, если бы это было важно для маршрутизатора, который вы увидите единожды — в день покупки и момент помещения его на шкаф, или в какой ни будь закуток. Установить, к слову, его можно по-разному – на ребро, плашмя или повесив на стенку.

Mikrotik hAP ac² имеет поддержку двух диапазонов: 2,4 и 5 ГГц. Модель принадлежит к классу AC1200 и обеспечивает до 300 Мбит/с в 802.11n и до 867 Мбит/с в 802.11ac. Поддерживая 802.11ac (нынче Wi-Fi 5) реализована также поддержка более специфических стандартов, которые мы укажем в таблице спецификаций.

У роутера есть пять гигабитных Ethernet-портов, любой из которых может быть WAN-ом. Здесь четыре внутренние антенны и корпус, который помещается на ладони. Думаете, у него  есть проблемы с покрытием или силой сигнала? Трёхкомнатная квартира, в которой он успешно  работает с несколькими ПК и мобильными устройствами, намекает что нет.

Кроме описанного, есть разъем входа питания, кнопка сброса и подключения по WPS, порт USB 2.0 и два светодиодных индикатора на фронтальной панели. Кнопку «Mode», рядом с USB, можно запрограммировать и назначить выполнение любого скрипта. Ну и ещё на корпусе предусмотрено несколько относительно небольших решеток вентиляции.

В роутере установлен чип Qualcomm IPQ4018, который имеет четыре ядра ARM Cortex A7, работающих на штатной частоте 716 МГц. Объем оперативной памяти составляет 128 МБ. Для прошивки используется флеш на 16 МБ. Чипсет также содержит два радиоблока с конфигурацией 2×2 и сетевой коммутатор на базе чипа QCA8075 и контроллер USB.

Настройка RouterOS для чайников

Настройке и работе с Mikrotik посвящено бесконечное множество ресурсов в интернете, не говоря уже о специализированных курсах профессионального уровня с сертификацией. Не будучи подготовленным пользователем, и зайдя в интерфейс RouterOS, вы скорее всего почувствуете себя неуютно. Но для получения стандартной функциональности – здесь всё есть.

Mikrotik предоставляет несколько вариантов настройки оборудования. В их число входят доступ к интерфейсу командной строки (CLI) через telnet и ssh, веб-интерфейс и фирменная графическая утилита Winbox для ОС Windows.

Заводские настройки запускают его в режиме беспроводного роутера с подключением к интернету в режиме IPoE с автоматическим получением адреса. Ни профиль администратора, ни беспроводные сети не защищены паролем. Так что для начала нужно поменять эти настройки. Собственно далее можно воспользоваться Quick Set, где представлены готовые шаблоны для наиболее часто используемых сценариев. В том числе активации защиты для беспроводных точек доступа.

Гибкость операционной системы такова, что в ней можно следить за каждый байтом информации и заставить роутер реагировать на него. Но всё это производится не нажатием галочек в лаконичных веб-интерфейсах, а требует более сложных и осознанных действий. В качестве простого примера, можно программно отключать питание порта USB, чтобы перезагрузить используемый сотовый модем.

Пользователь может настроить одновременную работу каналов в режимах балансировки и/или резервирования, устанавливать свои правила для выхода в сеть определённым клиентам, открывать доступ к заданным серверам через нужные каналы, настраивать маршрутизацию по различным правилам и так далее. Беспроводные точки доступа поддерживают создание нескольких SSID на каждом физическом интерфейсе, различные профили защиты, правила доступа, работу в качестве меш-сети. Есть встроенные функции сканирования эфира и определения нагрузки на каналы. Инструменты содержат набор сервисов и утилит для мониторинга сети. RouterOS построена по модульному принципу и предусматривает расширение своих функций установкой дополнительных пакетов.

Перспективы

В начале этого года на рынке уже можно найти бюджетные модели устройств с поддержкой Wi-Fi 6 (802.11ax). Это значит, что технология уже перешла от статуса технологического свежака в привычный стандарт.

Вместе с тем, в Mikrotik разумеется, понимают, что специалистов не так много и что зарабатывать придётся и в массовом сегменте. Поэтому в магазинах можно найти модели с поддержкой новых стандартов связи и за те же приемлемые стоимости, даже меньше чем $100.

RouterOS не стоит на месте и её ревизии всегда становятся доступны моделям прошлых годов. Даже откровенно старых. Да, RouterOS это особенный мир, который кардинально отличается от массового домашнего сегмента. Но если интересно получить необычные функции и возможности – всегда можно обратиться к гуглу за инструкциями и пошаговыми руководствами к действию.

Оценка:

+ стабильность работы

+ функциональные возможности

+ цена

+ компактные габариты

-сложный интерфейс настроек для среднестатического пользователя

Читайте также

Мультиван и маршрутизация на Mikrotik RouterOS

Введение

Взяться за статью, помимо тщеславия, побудила удручающая частота возникновения вопросов по этой теме в профильных группах русскоязычного телеграмм-сообщества. Статья ориентирована на начинающих администраторов Mikrotik RouterOS (далее ROS). В ней рассматривается только мультиван, с акцентом на маршрутизацию. Бонусом присутствуют минимально достаточные настройки для обеспечения безопасной и удобной работы. Те, кто ищет раскрытия тем очередей, балансировки нагрузки, вланов, бриджей, многоступенчатого глубокого анализа состояния канала и тому подобного — могут не тратить времени и сил на прочтение.

Исходные данные

В качестве подопытного, выбран пятипортовый маршрутизатор Mikrotik с ROS версии 6.45.3. Он будет маршрутизировать трафик между двумя локальными сетями (LAN1 и LAN2) и тремя провайдерами (ISP1, ISP2, ISP3). Канал к ISP1 имеет статический “серый” адрес, ISP2 — “белый”, получаемый по DHCP, ISP3 — “белый” с PPPoE авторизацией. Схема подключения представлена на рисунке:

Задача настроить роутер “МТК” на основе схемы так, чтобы:

1. Обеспечить автоматическое переключение на резервного провайдера. Основной провайдер — ISP2, первый резерв — ISP1, второй резерв — ISP3.
2. Организовать выход сети LAN1 в Интернет только через ISP1.
3. Предусмотреть возможность маршрутизировать трафик с локальных сетей в Интернет через выбранного провайдера на основе address-list.
4. Предусмотреть возможность публикации сервисов из локальной сети в Интернет (DSTNAT)
5. Настроить фильтр файерволла для обеспечения минимально достаточной безопасности со стороны Интернет.
6. Роутер мог выпускать собственный трафик через любого из трех провайдеров в зависимости от выбранного адреса источника.
7. Обеспечить маршрутизацию ответных пакетов в канал, с которого они пришли (включая LAN).

Замечание. Настраивать роутер будем “с чистого листа”, дабы гарантировать отсутствие сюрпризов в меняющихся от версии к версии стартовых конфигурациях “из коробки”. В качестве инструмента настройки выбран Winbox, где будут наглядно отображаться изменения. Сами настройки будут задаваться командами в терминале Winbox. Физическое подключение для настройки осуществляется прямым соединением с интерфейсом Ether5.

Немного рассуждений о том, что такое мультиван, проблема ли это или хитрые умники вокруг плетут сети заговоров

Пытливый и внимательный админ, самостоятельно настраивая такую или подобную схему, вдруг неожиданно осознает, что оно и так нормально работает. Да-да, без этих ваших пользовательских таблиц маршрутизации и прочих route rules, коими пестрят большинство статей на эту тему. Проверим?

Адресацию на интерфейсах и шлюзы по умолчанию настроить можем? Да:

На ISP1 прописали адрес и шлюз с distance=2 и check-gateway=ping.
На ISP2 настройка dhcp клиента по умолчанию — соответственно distance будет равен единице.
На ISP3 в настройках pppoe клиента при add-default-route=yes ставим default-route-distance=3.

NAT на выход прописать не забываем:

/ip firewall nat add action=masquerade chain=srcnat out-interface-list=WAN

По итогу, у пользователей локалок котики весело грузятся через основного провайдера ISP2 и есть резервирование канала при помощи механизма check gateway См. примечание 1

Пункт 1 задачи реализован. Где же мультиван со своими метками? Нет…

Дальше. Нужно выпустить конкретных клиентов из LAN через ISP1:

/ip firewall mangle add action=route chain=prerouting dst-address-list=!BOGONS
passthrough=yes route-dst=100.66.66.1 src-address-list=Via_ISP1
/ip firewall mangle add action=route chain=prerouting dst-address-list=!BOGONS
passthrough=no route-dst=100.66.66.1 src-address=192.168.88.0/24

Пункты 2 и 3 задачи реализованы. Метки, марки, route rules, где вы?!

Нужно дать доступ к любимому OpenVPN серверу с адресом 172.17.17.17 для клиентов из Интернет? Пожалуйста:

/ip cloud set ddns-enabled=yes

Клиентам в качестве пира даем результат вывода: “:put [ip cloud get dns-name]”

Прописываем проброс порта из инета:

/ip firewall nat add action=dst-nat chain=dstnat dst-port=1194
in-interface-list=WAN protocol=udp to-addresses=172.17.17.17

Пункт 4 готов.

Настраиваем фаервол и прочую безопасность для пункта 5, параллельно радуемся тому, что у пользователей уже все работает и тянемся к емкости с любимым напитком…
А! Туннели же еще забыли.

l2tp-клиент, настроенный по нагугленной статье, до любимого голландского VDS поднялся? Да.
l2tp-сервер с IPsec поднялся и клиенты по ДНС-имени из IP Cloud(см выше.) цепляются? Да.
Откинувшись на спинку стула, прихлебывая напиток, лениво рассматриваем пункты 6 и 7 задачи. Думаем — а оно нам надо? Все ж и так работает (с)… Так вот если оно таки не надо, то на этом все. Мультиван реализован.

Что такое мультиван? Это подключение нескольких каналов Интернет к одному роутеру.

Дальше статью можно не читать, поскольку что там кроме выпендрежа сомнительной применимости может быть?

С теми, кто остался, кто заинтересован пунктами 6 и 7 задачи, а также ощущает зуд перфекционизма, погружаемся глубже.

Важнейшей задачей реализации мультиван является корректная маршрутизация трафика. А именно: независимо от того, в какой (или в какие)См. примечание 3 канал(ы) провайдера смотрит маршрут по умолчанию на нашем роутере, он должен возвращать ответ именно в тот канал, с которого пакет пришел. Задача понятна. Проблема-то где? Ведь в простой локальной сети задача та же, но никто дополнительными настройками не заморачивается и беды не ощущает. Отличие в том, что любой маршрутизируемый узел в Интернет доступен через каждый из наших каналов, а не через строго конкретный, как в простой локалке. А “беда” заключается в том, что если к нам пришел запрос на IP адрес ISP3, то в нашем случае ответ уйдет через канал ISP2, поскольку туда направлен шлюз по умолчанию. Уйдет и будет отброшен провайдером, как некорректный. С проблемой определились. Как ее решать?

Решение разделим на три этапа:

1. Предварительная настройка. На этом этапе будут заданы базовые настройки маршрутизатора: локальная сеть, фаервол, address lists, hairpin NAT и пр.
2. Мультиван. На этом этапе будут промаркированы и рассортированы по таблицам маршрутизации нужные соединения.
3. Подключение к ISP. На этом этапе будут настроены интерфейсы, обеспечивающие подключение к Интернет, задействована маршрутизация и механизм резервирования каналов Интернет.

1. Предварительная настройка

1.1. Очищаем конфигурацию роутера командой:

/system reset-configuration skip-backup=yes no-defaults=yes

соглашаемся с “Dangerous! Reset anyway? [y/N]:” и, после перезагрузки, подключаемся Winbox-ом по MAC. На данном этапе конфигурация и база пользователей очищены.

1.2. Создаем нового пользователя:

/user add group=full name=knight password=ultrasecret comment=”Not horse”

логинимся под ним и удаляем дефолтного:

/user remove admin

Замечание. Именно удаление а не отключение дефолтного пользователя автор считает более безопасным и рекомендует к применению.

1.3. Создаем базовые interface lists для удобства оперирования в файерволле, настройках discovery и прочих MAC серверах:

/interface list add name=WAN comment="For Internet"
/interface list add name=LAN comment="For Local Area"

Подписываем комментариями интерфейсы

/interface ethernet set ether1 comment="to ISP1"
/interface ethernet set ether2 comment="to ISP2"
/interface ethernet set ether3 comment="to ISP3"
/interface ethernet set ether4 comment="to LAN1"
/interface ethernet set ether5 comment="to LAN2"

и заполняем interface lists:

/interface list member add interface=ether1 list=WAN comment=ISP1
/interface list member add interface=ether2 list=WAN comment=ISP2 
/interface list member add interface=ether3 list=WAN comment="to ISP3"
/interface list member add interface=ether4 list=LAN  comment="LAN1"
/interface list member add interface=ether5 list=LAN  comment="LAN2"

Замечание. Писать понятные комментарии стоит потраченного на это времени плюс сильно облегчает траблшутинг и понимание конфигурации.

Автор считает необходимым, в целях безопасности, добавить в interface list “WAN” интерфейс ether3, не смотря на то, что по нему не будет ходить протокол ip.

Не забываем, что после того, как на ether3 будет поднят интерфейс PPP, его тоже нужно будет добавить в interface list “WAN”

1.4. Скрываем роутер от обнаружения соседства и управления из сетей провайдеров по МАС:

/ip neighbor discovery-settings set discover-interface-list=!WAN
/tool mac-server set allowed-interface-list=LAN
/tool mac-server mac-winbox set allowed-interface-list=LAN

1.5. Создаем минимально достаточный набор правил фильтра файрволла для защиты роутера:

/ip firewall filter add action=accept chain=input comment="Related Established Untracked Allow" 
connection-state=established,related,untracked

(правило обеспечивает разрешение для установившихся и родственных соединений, которые инициированы как из подключенных сетей, так и самим роутером)

/ip firewall filter add action=accept chain=input comment="ICMP from ALL" protocol=icmp

(пинг и не только пинг. Разрешен весь icmp на вход. Весьма полезно для нахождения проблем с MTU)

/ip firewall filter add action=drop chain=input comment="All other WAN Drop" in-interface-list=WAN

(закрывающее цепочку input правило запрещает все остальное, что прилетает из Интернет)

/ip firewall filter add action=accept chain=forward 
comment="Established, Related, Untracked allow" 
connection-state=established,related,untracked

(правило разрешает установившиеся и родственные соединения, которые проходят сквозь роутер)

/ip firewall filter add action=drop chain=forward comment="Invalid drop" connection-state=invalid

(правило сбрасывает соединения, с connection-state=invalid, проходящие сквозь роутер. Оно настоятельно рекомендовано Mikrotik, но в некоторых редких ситуациях может вызывать блокировку полезного трафика)

/ip firewall filter add action=drop chain=forward comment="Drop all from WAN not DSTNATed"  
connection-nat-state=!dstnat connection-state=new in-interface-list=WAN

(правило запрещает проходить сквозь роутер пакетам, которые идут из Интернет и не прошли процедуру dstnat. Это убережет локальные сети от злоумышленников, которые, находясь в одном широковещательном домене с нашими внешними сетями, пропишут в качестве шлюза наши внешние IP и, таким образом, попытаются “исследовать” наши локальные сети. )

Замечание. Примем за условие, что сети LAN1 и LAN2 являются доверенными и трафик между ними и с них не фильтруется.

1.6. Создаем список с перечнем не маршрутизируемых сетей:

/ip firewall address-list
add address=0.0.0.0/8 comment=""This" Network" list=BOGONS
add address=10.0.0.0/8 comment="Private-Use Networks" list=BOGONS
add address=100.64.0.0/10 comment="Shared Address Space. RFC 6598" list=BOGONS
add address=127.0.0.0/8 comment=Loopback list=BOGONS
add address=169.254.0.0/16 comment="Link Local" list=BOGONS
add address=172.16.0.0/12 comment="Private-Use Networks" list=BOGONS
add address=192.0.0.0/24 comment="IETF Protocol Assignments" list=BOGONS
add address=192.0.2.0/24 comment=TEST-NET-1 list=BOGONS
add address=192.168.0.0/16 comment="Private-Use Networks" list=BOGONS
add address=198.18.0.0/15 comment="Network Interconnect Device Benchmark Testing"
 list=BOGONS
add address=198.51.100.0/24 comment=TEST-NET-2 list=BOGONS
add address=203.0.113.0/24 comment=TEST-NET-3 list=BOGONS
add address=224.0.0.0/4 comment=Multicast list=BOGONS
add address=192.88.99.0/24 comment="6to4 Relay Anycast" list=BOGONS
add address=240.0.0.0/4 comment="Reserved for Future Use" list=BOGONS
add address=255.255.255.255 comment="Limited Broadcast" list=BOGONS

(Это список адресов и сетей, которые не маршрутизируются в Интернет и, соответственно, мы тоже будем этому следовать. )

Замечание. Список может изменяться, поэтому советую периодически проверять актуальность.

1.7. Настраиваем DNS для самого роутера:

/ip dns set servers=1.1.1.1,8.8.8.8

Замечание. В текущей версии ROS динамические серверы имеют приоритет перед статически заданными. Запрос на разрешение имени отсылается первому серверу по порядку следования в списке. На следующий сервер переход осуществляется при недоступности текущего. Таймаут большой — более 5 сек. Возврат обратно, при возобновлении работы “упавшего сервера”, автоматически не происходит. С учетом этого алгоритма и наличия мультивана, автор рекомендует не использовать серверы, выдаваемые провайдерами.

1.8. Настраиваем локальную сеть.
1.8.1. Конфигурируем статические IP адреса на интерфейсах локальных сетей:

/ip address add interface=ether4 address=192.168.88.254/24 comment="LAN1 IP"
/ip address add interface=ether5 address=172.16.1.0/23 comment="LAN2 IP"

1.8.2. Задаем правила маршрутов к нашим локальным сетям через главную таблицу маршрутизации:

/ip route rule add dst-address=192.168.88.0/24 table=main comment=”to LAN1”
/ip route rule add dst-address=172.16.0.0/23 table=main comment="to LAN2"

Замечание. Это один из простых и быстрых способов получить доступ к адресам локальных сетей с соурсами внешних IP адресов интерфейсов роутера, через которые не идет маршрут по умолчанию.

1.8.3. Включаем Hairpin NAT для LAN1 и LAN2:

/ip firewall nat add action=src-nat chain=srcnat comment="Hairpin to LAN1" 
out-interface=ether4 src-address=192.168.88.0/24 to-addresses=192.168.88.254
/ip firewall nat add action=src-nat chain=srcnat comment="Hairpin to LAN2" 
out-interface=ether5 src-address=172.16.0.0/23 to-addresses=172.16.1.0

Замечание. Это позволяет получать доступ через внешний IP на свои ресурсы (dstnat), находясь внутри сети.

2. Собственно, реализация того самого корректного мультиван

Для решения задачи “отвечать туда откуда спросили” будем использовать два инструмента ROS: connection mark и routing mark. Connection mark позволяет пометить нужное соединение и в дальнейшем работать с этой меткой, как условием для применения routing mark. А уже с routing mark возможно работать в ip route и route rules. С инструментами разобрались, теперь кужно решить какие соединения метить — раз, где именно метить — два.

С первым все просто — мы должны пометить все соединения, которые приходят на роутер из Интернет по соответствующему каналу. В нашем случае это будут три метки (по количеству каналов): “conn_isp1”, “conn_isp2” и “conn_isp3”.

Нюанс со вторым заключается в том, что входящие соединения будут двух видов: транзитные и те, которые предназначены самому роутеру. Механизм connection mark работает в таблице mangle. Рассмотрим движение пакета на упрощенной диаграмме, любезно собранной специалистами ресурса mikrotik-trainings.com (не реклама):

Следуя по стрелкам, мы видим, что пакет, приходящий в “input interface”, проходит по цепочке “Prerouting” и только потом разделяется на транзитный и локальный в блоке “Routing Decision”. Поэтому, для убиения двух зайцев, задействуем Connection Mark в таблице Mangle Prerouting цепочки Prerouting.

Замечание. В ROS метки “Routing mark” указаны в разделе Ip/Routes/Rules как “Table”, а в остальных разделах, как “Routing Mark”. Сие может внести некую путаницу в понимание, но, по сути, это одно и то же, и является аналогом rt_tables в iproute2 на linux.

2.1. Метим входящие соединения от каждого из провайдеров:

/ip firewall mangle add action=mark-connection chain=prerouting 
comment="Connmark in from ISP1" connection-mark=no-mark in-interface=ether1  new-connection-mark=conn_isp1 passthrough=no

/ip firewall mangle add action=mark-connection chain=prerouting 
comment="Connmark in from ISP2" connection-mark=no-mark in-interface=ether2  new-connection-mark=conn_isp2 passthrough=no

/ip firewall mangle add action=mark-connection chain=prerouting 
comment="Connmark in from ISP3" connection-mark=no-mark in-interface=pppoe-isp3  new-connection-mark=conn_isp3 passthrough=no

Замечание. Для того, чтобы не метить уже помеченные соединения я использую условие connection-mark=no-mark вместо connection-state=new потому, что считаю это более корректным, как и отказ от drop invalid соединений в фильтре input.

passthrough=no — потому, что в этом способе реализации перемаркировка исключена и для ускорения можно прервать перебор правил после первого же совпадения.

Следует иметь ввиду, что мы пока никак не вмешиваемся в маршрутизацию. Сейчас идут только этапы подготовки. Следующим этапом реализации будет обработка транзитного трафика, который возвращается по установившемуся соединению от адресата в локальной сети. Т.е. тех пакетов, которые (см диаграмму) прошли через роутер по пути:

“Input Interface”=>”Prerouting”=>”Routing Decision”=>”Forward”=>”Post Routing”=>”Output Interface” и попали к своему адресату в локальной сети.

Важно! В ROS нет логического деления на внешний и внутренний интерфейсы. Если проследить путь движения ответного пакета по приведенной диаграмме, то он пройдет по тому же логическому пути, что и запрос:

“Input Interface”=>”Prerouting”=>”Routing Decision”=>”Forward”=>”Post Routing”=>”Output Interface” просто для запроса “Input Interface” был интерфейс ISP, а для ответа — LAN

2.2. Направляем ответный транзитный трафик по соответствующим таблицам маршрутизации:

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Routemark transit out via ISP1" connection-mark=conn_isp1 
dst-address-type=!local in-interface-list=!WAN new-routing-mark=to_isp1 passthrough=no

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Routemark transit out via ISP2" connection-mark=conn_isp2 
dst-address-type=!local in-interface-list=!WAN new-routing-mark=to_isp2 passthrough=no

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Routemark transit out via ISP3" connection-mark=conn_isp3 
dst-address-type=!local in-interface-list=!WAN new-routing-mark=to_isp3 passthrough=no

Замечание. in-interface-list=!WAN — мы работаем только с трафиком из локальной сети и dst-address-type=!local не имеющим адрес назначения адреса интерфейсов самого роутера.

То же самое для локальных пакетов, которые пришли на роутер по пути:

“Input Interface”=>”Prerouting”=>”Routing Decision”=>”Input”=>”Local Process”

Важно! Ответ пойдет по следующему пути:

”Local Process”=>”Routing Decision”=>”Output”=>”Post Routing”=>”Output Interface”

2.3. Направляем ответный локальный трафик по соответствующим таблицам маршрутизации:

/ip firewall mangle add action=mark-routing chain=output 
comment="Routemark local out via ISP1" connection-mark=conn_isp1 dst-address-type=!local 
new-routing-mark=to_isp1 passthrough=no

/ip firewall mangle add action=mark-routing chain=output 
comment="Routemark local out via ISP2" connection-mark=conn_isp2 dst-address-type=!local 
new-routing-mark=to_isp2 passthrough=no

/ip firewall mangle add action=mark-routing chain=output 
comment="Routemark local out via ISP3" connection-mark=conn_isp3 dst-address-type=!local 
new-routing-mark=to_isp3 passthrough=no

На этом этапе задачу подготовки к отправке ответа в тот канал Интернет, с которого пришел запрос можно считать решенной. Все помечено, промаркировано и готово маршрутизироваться.
Отличным “побочным” эффектом такой настройки является возможность работы проброса портов DSNAT с обоих (ISP2, ISP3) провайдеров одновременно. Не на всех, так как на ISP1 у нас не маршрутизируемый адрес. Этот эффект важен, например, для почтового сервера с двумя MХ, которые смотрят в разные каналы Интернет.

Для устранения нюансов работы локальных сетей с внешними IP роутера используем решения из пп. 1.8.2 и 3.1.2.6.

Кроме того, можно задействовать инструмент с маркировками и для решения пункта 3 задачи. Реализуем так:

2.4. Направляем трафик от локальных клиентов из списков маршрутизации в соответствующие таблицы:

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Address List via ISP1" dst-address-list=!BOGONS new-routing-mark=to_isp1 
passthrough=no src-address-list=Via_ISP1

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Address List via ISP2" dst-address-list=!BOGONS new-routing-mark=to_isp2 
passthrough=no src-address-list=Via_ISP2

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Address List via ISP3" dst-address-list=!BOGONS new-routing-mark=to_isp3 
passthrough=no src-address-list=Via_ISP3

По итогу, это выглядит приблизительно так:

3. Настраиваем подключение к ISP и задействуем маршрутизацию по маркам

3.1. Настраиваем подключение к ISP1:
3.1.1. Конфигурируем статический IP адрес:

/ip address add interface=ether1 address=100.66.66.2/30 comment="ISP1 IP"

3.1.2. Настраиваем статическую маршрутизацию:
3.1.2.1. Добавляем “аварийный” маршрут по умолчанию:

/ip route add comment="Emergency route" distance=254 type=blackhole

Замечание. Этот маршрут позволяет трафику от локальных процессов проходить этап Route Decision независимо от состояния каналов любого из провайдеров. Нюанс исходящего локального трафика заключается в том, что чтобы пакет хоть куда-то двинулся, в основной таблице маршрутизации должен присутствовать активный маршрут до шлюза по умолчанию. Если его нет, то пакет просто будет уничтожен.

В качестве расширения инструмента check gateway для более глубокого анализа состояния канала предлагаю использовать метод рекурсивных маршрутов. Суть метода заключается в том, что мы указываем маршрутизатору искать путь к своему шлюзу не напрямую, а через промежуточный шлюз. В качестве таких “проверочных” шлюзов будут выбраны 4.2.2.1, 4.2.2.2 и 4.2.2.3 соответственно для ISP1, ISP2 и ISP3.

3.1.2.2. Маршрут до “проверочного” адреса:

/ip route add check-gateway=ping comment="For recursion via ISP1"  
distance=1 dst-address=4.2.2.1 gateway=100.66.66.1 scope=10

Замечание. Значение scope понижаем до дефолтного в ROS target scope, чтобы использовать в дальнейшем 4.2.2.1 в качестве рекурсивного шлюза. Подчеркиваю: scope маршрута до “проверочного” адреса должно быть меньше или равно target scope того маршрута, который будет ссылаться на проверочный.

3.1.2.3. Рекурсивный маршрут по умолчанию для трафика без routing mark:

/ip route add comment="Unmarked via ISP1" distance=2 gateway=4.2.2.1

Замечание. Значение distance=2 используется потому, что ISP1 по условиям задачи заявлен как первый резервный.

3.1.2.4. Рекурсивный маршрут по умолчанию для трафика c routing mark “to_isp1”:

/ip route add comment="Marked via ISP1 Main" distance=1 gateway=4.2.2.1 
routing-mark=to_isp1

Замечание. Собственно, здесь мы наконец-то начинаем пользоваться плодами той подготовительной работы, что была проведена в пункте 2.

По этому маршруту весь трафик, который имеет mark route “to_isp1”, будет направлен на шлюз первого провайдера не зависимо от того, какой в данный момент активен шлюз по умолчанию для таблицы main.

3.1.2.5. Первый резервный рекурсивный маршрут по умолчанию для маркированного трафика провайдеров ISP2 и ISP3:

/ip route add comment="Marked via ISP2 Backup1" distance=2 gateway=4.2.2.1 
routing-mark=to_isp2
/ip route add comment="Marked via ISP3 Backup1" distance=2 gateway=4.2.2.1 
routing-mark=to_isp3

Замечание. Эти маршруты нужны, в том числе, для резервирования трафика с локальных сетей, которые состоят членами address list “to_isp*”’

3.1.2.6. Прописываем маршрут для локального трафика роутера в интернет через ISP1:

/ip route rule add comment="From ISP1 IP to Inet" src-address=100.66.66.2 table=to_isp1

Замечание. В сочетании с правилами из пункта 1.8.2, обеспечивается выход в нужный канал с заданным соурсом. Это является критичным для построения туннелей, в которых задается IP-адрес локальной стороны(EoIP, IP-IP, GRE). Поскольку правила в ip route rules выполняются сверху вниз, до первого совпадения условий, то данное правило должно быть после правил из пункта 1.8.2.

3.1.3. Прописываем правило NAT для исходящего трафика:

/ip firewall nat add action=src-nat chain=srcnat comment="NAT via ISP1"  
ipsec-policy=out,none out-interface=ether1 to-addresses=100.66.66.2

Замечание. NATим все выходящее, кроме того, что попадает в политики IPsec. Я стараюсь не использовать action=masquerade без крайней необходимости. Оно работает медленнее и более ресурсоемко, чем src-nat, поскольку для каждого нового соединения вычисляет адрес для NAT.

3.1.4. Отправляем клиентов из списка, которым запрещен выход через остальных провайдеров сразу на шлюз провайдера ISP1.

/ip firewall mangle add action=route chain=prerouting comment="Address List via ISP1 only" 
dst-address-list=!BOGONS passthrough=no route-dst=100.66.66.1 
src-address-list=Via_only_ISP1 place-before=0

Замечание. action=route имеет более высокий приоритет и применяется раньше остальных правил маршрутизации.

place-before=0 — помещает наше правило первым в списке.

3.2. Настраиваем подключение к ISP2.

Поскольку провайдер ISP2 настройки нам выдает по DHCP, разумно необходимые изменения делать скриптом, который стартует при срабатывании DHCP клиента:

/ip dhcp-client
add add-default-route=no disabled=no interface=ether2 script=":if ($bound=1) do={r
    n    /ip route add check-gateway=ping comment="For recursion via ISP2" distance=1 
           dst-address=4.2.2.2/32 gateway=$"gateway-address" scope=10r
    n    /ip route add comment="Unmarked via ISP2" distance=1 gateway=4.2.2.2;r
    n    /ip route add comment="Marked via ISP2 Main" distance=1 gateway=4.2.2.2 
           routing-mark=to_isp2;r
    n    /ip route add comment="Marked via ISP1 Backup1" distance=2 gateway=4.2.2.2 
           routing-mark=to_isp1;r
    n    /ip route add comment="Marked via ISP3 Backup2" distance=3 gateway=4.2.2.2 
           routing-mark=to_isp3;r
    n    /ip firewall nat add action=src-nat chain=srcnat ipsec-policy=out,none 
           out-interface=$"interface" to-addresses=$"lease-address" comment="NAT via ISP2" 
           place-before=1;r
    n    if ([/ip route rule find comment="From ISP2 IP to Inet"] ="") do={r
    n        /ip route rule add comment="From ISP2 IP to Inet" 
               src-address=$"lease-address" table=to_isp2 r
    n    } else={r
    n       /ip route rule set [find comment="From ISP2 IP to Inet"] disabled=no 
              src-address=$"lease-address"r
    n    }      r
    n} else={r
    n   /ip firewall nat remove  [find comment="NAT via ISP2"];r
    n   /ip route remove [find comment="For recursion via ISP2"];r
    n   /ip route remove [find comment="Unmarked via ISP2"];r
    n   /ip route remove [find comment="Marked via ISP2 Main"];r
    n   /ip route remove [find comment="Marked via ISP1 Backup1"];r
    n   /ip route remove [find comment="Marked via ISP3 Backup2"];r
    n   /ip route rule set [find comment="From ISP2 IP to Inet"] disabled=yesr
    n}r
    n" use-peer-dns=no use-peer-ntp=no

Сам скрипт в окне Winbox:

Замечание. Первая часть скрипта срабатывает при успешном получении аренды, вторая — после освобождения аренды.См. примечание 2

3.3. Настраиваем подключение к провайдеру ISP3.

Поскольку провайдер настройки нам выдает динамические, то разумно необходимые изменения делать скриптами, которые стартуют после поднятия и после падения интерфейса ppp.

3.3.1. Сначала конфигурируем профиль:

/ppp profile
add comment="for PPPoE to ISP3" interface-list=WAN name=isp3_client 
on-down="/ip firewall nat remove  [find comment="NAT via ISP3"];r
    n/ip route remove [find comment="For recursion via ISP3"];r
    n/ip route remove [find comment="Unmarked via ISP3"];r
    n/ip route remove [find comment="Marked via ISP3 Main"];r
    n/ip route remove [find comment="Marked via ISP1 Backup2"];r
    n/ip route remove [find comment="Marked via ISP2 Backup2"];r
    n/ip route rule set [find comment="From ISP3 IP to Inet"] disabled=yes;" 
on-up="/ip route add check-gateway=ping comment="For recursion via ISP3" distance=1 
    dst-address=4.2.2.3/32 gateway=$"remote-address" scope=10r
    n/ip route add comment="Unmarked via ISP3" distance=3 gateway=4.2.2.3;r
    n/ip route add comment="Marked via ISP3 Main" distance=1 gateway=4.2.2.3 
    routing-mark=to_isp3;r
    n/ip route add comment="Marked via ISP1 Backup2" distance=3 gateway=4.2.2.3 
    routing-mark=to_isp1;r
    n/ip route add comment="Marked via ISP2 Backup2" distance=3 gateway=4.2.2.3 
    routing-mark=to_isp2;r
    n/ip firewall mangle set [find comment="Connmark in from ISP3"] 
    in-interface=$"interface";r
    n/ip firewall nat add action=src-nat chain=srcnat ipsec-policy=out,none 
    out-interface=$"interface" to-addresses=$"local-address" comment="NAT via ISP3" 
    place-before=1;r
    nif ([/ip route rule find comment="From ISP3 IP to Inet"] ="") do={r
    n   /ip route rule add comment="From ISP3 IP to Inet" src-address=$"local-address" 
    table=to_isp3 r
    n} else={r
    n   /ip route rule set [find comment="From ISP3 IP to Inet"] disabled=no 
    src-address=$"local-address"r
    n};r
    n"

Сам скрипт в окне Winbox:

Замечание. Строка
/ip firewall mangle set [find comment=«Connmark in from ISP3»] in-interface=$«interface»;
позволяет корректно обрабатывать переименование интерфейса, поскольку работает с его кодом а не отображаемым именем.

3.3.2. Теперь, используя профиль, создаем подключение ppp:

/interface pppoe-client add allow=mschap2 comment="to ISP3" disabled=no 
interface=ether3 name=pppoe-isp3 password=isp3_pass profile=isp3_client user=isp3_client

В качестве последнего штриха настроим часы:

/system ntp client set enabled=yes server-dns-names=0.pool.ntp.org,1.pool.ntp.org,2.pool.ntp.org

Для тех, кто дочитал до конца

Предложенный способ реализации мультиван — есть личное предпочтение автора и не является единственно возможным. Инструментарий ROS обширен и гибок, что с одной стороны вызывает сложности для начинающих, с другой — причина популярности. Изучайте, пробуйте, открывайте для себя новые инструменты и решения. Например, в качестве применения полученных знаний, можно в данной реализации мультиван заменить инструмент Сheck-gateway с рекурсивными маршрутами на Netwatch.

Примечания

1. Check-gateway — механизм, который позволяет деактивировать маршрут после двух подряд не успешных проверок шлюза на доступность. Проверка осуществляется раз в 10 секунд, плюс таймаут ответа. Итого, фактический тайминг переключения лежит в диапазоне 20-30 секунд. Если такой тайминг переключения не достаточен — есть вариант воспользоваться инструментом Netwatch, где таймер проверки можно задавать вручную.Механизм Check-gateway не срабатывает при периодических потерях пакетов в канале.

   Важно! Деактивация основного маршрута влечет за собой деактивацию всех остальных маршрутов, которые на него ссылаются. Поэтому для них указывать check-gateway=ping нет необходимости.

2. Бывает, что в механизме работы DHСP происходит сбой, который выглядит, как клиент подвисший в состоянии renew. В таком случае вторая часть скрипта не отработает, но корректно ходить трафику не помешает, поскольку состояние отслеживает соответствующий рекурсивный маршрут.
3. ECMP (Equal Cost Multi-Path) — в ROS есть возможность задать маршрут с несколькими шлюзами и одинаковой distance. В таком случае соединения будут распределяться по каналам, используя алгоритм round robin, пропорционально количеству указанных шлюзов.

За толчок к написанию статьи, помощь при формировании ее структуры и расстановке акцентов — личная благодарность Евгению @jscar

Источник: habr.com

Первоначальная настройка микротика из командной строки

09:40 pm — Первоначальная настройка микротика из командной строки

Здесь я напишу лишь несколько команд, т.к. мануалов в сети полным полно. Я же сделаю как бы памятку самому себе.

1. Инсталлируем RouterOS. Тут все очень просто, все что требуется это выбрать необходимый вам функционал. Еще установщик спросит сохранять или нет данные предыдущих конфигураций.
2. Настройка IP конфигурации. Есть два способа:с помощью мастер и вручную.

Сначала настроим вручную.
Командой interface print получаем список сетевых интерфейсов, чтобы убедиться что они определились в системе.
[admin@MikroTik] > interface print
Flags: D — dynamic, X — disabled, R — running, S — slave
# NAME TYPE MTU
0 R ether1 ether 1500

Активируем интерфейс
[admin@MikroTik] > interface enable 0

Затем непосредственно вводим параметры IP конфигурации для каждого интерфейса. У нас имя интерфейса ether1
Вводим IP адрес, маску подсети и указываем имя интерфейса
Адрес сети и broadcast рассчитывается автоматически.

[admin@MikroTik] > ip address add address=192.168.0.1/24 interface=ether1
[admin@MikroTik] > ip address print
Flags: X — disabled, I — invalid, D — dynamic
# ADDRESS NETWORK BROADCAST INTERFACE
0 192.168.0.1/24 192.168.0.0 192.168.0.255 ether1

Добавим шлюз по умолчанию
[admin@MikroTik] > ip route add gateway=192.168.1.1
Тут нужно предположить что у нас два интерфейса на котором настроен адрес из подсети 192.168.1.1

Еще можно сразу настроить DNS
[admin@MikroTik] > ip dns set primary-dns=192.168.1.1 secondary-dns=192.168.1.5
allow-remote-requests=yes

Вообще это памятка по командам, которые нужны в самом начале настройки. Примеры настройки в разных топологиях распишу позже.
Еще хочу остановиться на том, что желательно сменить учетную запись admin на какую-то свою. Тем более это нужно сделать если у вас поднят SSH наружу.

Создадим нового пользователя
[admin@MikroTik] > use add name=sibirskiy password=G@1qwerty group=full

Для RoS 6.41 и выше:
больше нет опции master-port, теперь все настройки производятся внутри bridge интерфейса
Создаем интерфейс br1-lan:
/interface bridge
add name=br1-lan

Добавляем интерфейсы в bridge:
/interface bridge port
add bridge=br1-lan interface=eth3-lan hw=yes
add bridge=br1-lan interface=eth4-lan hw=yes
add bridge=br1-lan interface=eth5-lan hw=yes
add bridge=br1-lan interface=eth5-lan hw=yes
add bridge=br1-lan interface=wlan1

ip dns set servers=8.8.8.8
http://sibirskiy.blogspot.ru/2011/12/blog-post.html
Практика настройки Mikrotik для чайников

Блог — Как стать провайдером, часть 3

Для изоляции трафика друг от друга очень часто используют вланы. Это простой и удобный способ разделения трафика между клиентами или базовыми станциями на магистральных каналах. Но часто с настройкой вланов на микротике возникают трудности, ведь схема работы несколько отличается от той, которая используется в управляемых коммутаторах.

В операционной системе Mikrotik RouterOS влан это такой же интерфейс, как и все. Создать его можно не только на физическом сетевом порту, но и на бридже, и даже туннеле EoIP. Для примера разберем 2 типовых схемы работы на примерах.

Допустим имеется 5 вланов с номерами — 10 для управления, 20 для второго порта, 30 для третьего порта, 40 для четвертого и 50 для пятого. Нужно настроить микротик так, что бы во влане с номером 10 производилось управление оборудованием, а трафик из вланов 20, 30, 40 и 50 выдавался без тегов в соответствующие сетевые порты.

Заходим на микротик через винбокс — доступны 5 сетевых портов.

В разделе Interface заходим на вкладку VLAN и добавляем 5 вланов на следующих портах:

Ether1 — vlan_10

Ether2 — vlan_20

Ether3 — vlan_30

Ether4 — vlan_40

Ether5 — vlan_50

Список интерфейсов пополнился вланами, иерархически показано что все они расположены на интерфейсе ether1. В меню IP->Address добавляем адрес для управления 10.10.10.10/24 на интерфейс vlan_10.

В меню IP->Route добавляем маршрут на все адреса 0.0.0.0/0 и указываем шлюз 10.10.10.1. Теперь попасть на него можно будет из любого места сети.

В меню Bridge создаем 5 бриджей, каждый называем в соответствии с используемым портом, например bridge_50 — бридж для 50 влана.

На вкладке Ports в каждый бридж добавляем соответствующий влан и сетевой порт:

Bridge_20 — ether2 и vlan_20

Bridge_30 — ether3 и vlan_30

Bridge_40 — ether4 и vlan_40

Bridge_50 — ether5 и vlan_50

Теперь трафик каждого влана выдается в соответствующий порт устройства. А через влан управления можно получить доступ на оборудование.

Теперь усложним задачу — требуется в каждый порт, кроме снятия вланов, передавать влан с номером 10 для управления. Для этого создаем на каждом бридже по влану с номером 10:

Bridge_20 — vlan2_10

Bridge_30 — vlan3_10

Bridge_40 — vlan4_10

Bridge_50 — vlan5_10

Создаем в меню Bridge еще один бридж с именем bridge1_10.

И на вкладке Ports в бридж bridge1_10 добавляем следующие порты:

Vlan_10.

Vlan2_10.

Vlan3_10.

Vlan4_10.

Vlan5_10.

Теперь влан с номером 10 будет доступен на всех портах устройства.

Для управления микротиком следует перенести IP-адрес с интерфейса vlan_10 на bridge1_10, ведь когда интерфейс добавлен в бридж, то на нем не будут работать установленные адреса, их нужно перенести на бридж.

И в заключение — Mikrotik поддерживает Q-in-Q, влан во влане. Можно делать 10 и более вложенных вланов, только размер MTU уменьшается с каждым разом на 4 байта, поэтому на практике используется не более 2-4 вложений.

Настроить vlan на Mikrotik не так и сложно, если после прочтения инструкции возникнут вопросы — задавайте их в комментариях.

Данный информационный материал был создан, подготовлен и размещен специалистами ООО «ЛАНМАРТ» и является собственностью администрации проекта www.lanmart.ru. Любое использование и размещение данного материала на других ресурсах допускается только при наличии прямой ссылки на первоисточник.

Справочный центр

Go Wireless NZ

MikroTik RouterOS очень мощный и гибкий и широко используется во всех типах сред, от простой домашней пользовательской сети до крупных корпоративных сетей. Это руководство предназначено, чтобы помочь вам понять MikroTik RouterOS и показать вам, как настроить маршрутизатор MikroTik от начала до конца с некоторыми из наиболее часто используемых настроек. Большая часть конфигурации и теории в этом руководстве взята из книги RouterOS на примере Стивена Р.W Discher — отличный инструмент для обучения и помощник для всех, кто начинает заниматься миром MikroTik. Книгу можно приобрести здесь: https://www.gowifi.co.nz/trainingbooks/lmt-b2.html

Чтобы получить максимальную отдачу от учебника, необходимы базовые знания в области сетевых технологий.

Удалите всю конфигурацию:

Загрузите WinBox с https://mikrotik.com/download и сохраните его на рабочем столе. Откройте WinBox, дважды щелкнув его (установка не требуется), и подключитесь к маршрутизатору, щелкнув MAC-адрес на вкладке «Сосед».Просто убедитесь, что вы не подключены к порту 1 на маршрутизаторе, поскольку позже он станет интернет-портом.

Примечание: при нажатии на MAC-адрес устройства он автоматически появляется в поле «Подключиться к:». Это рекомендуемый способ подключения к устройству MikroTik для начальной настройки. Учетные данные для входа по умолчанию — admin (должны быть в нижнем регистре) и без пароля, поэтому оставьте поле пароля пустым и нажмите кнопку Connect.

Чтобы перезагрузить маршрутизатор и удалить все параметры конфигурации, перейдите в раздел «Система», «Сбросить конфигурацию», затем отметьте «Нет конфигурации по умолчанию»:

Маршрутизатор перезагрузится, и вы будете отключены.Когда маршрутизатор перезагрузится, откройте WinBox и повторно подключитесь к маршрутизатору, как указано выше.

Дайте маршрутизатору имя:

Перейдите в System, Identity и замените идентификатор по умолчанию выбранным вами именем и нажмите OK, я выбрал DemoTest.

Создание моста:
Перейдите к мосту и щелкните значок плюса, чтобы создать новый мост, затем щелкните OK. Это позволяет нам подключать порты Ethernet и интерфейс / ы Wi-Fi к нашей локальной сети или LAN. В этом примере мы не будем добавлять порт Ethernet 1, поскольку он станет портом Интернет позже.Иногда это называют глобальной сетью или глобальной сетью.

После создания моста нам нужно добавить к нему порты Ethernet и интерфейс (ы) Wi-Fi. Здесь следует отметить, что при добавлении интерфейса, через который вы подключены к маршрутизатору, вы будете отключены. Например, если ваш Ethernet-кабель подключен к порту номер 2 или ether2, как только вы добавите ether2 к мосту, вы потеряете соединение с маршрутизатором. Повторно подключитесь, щелкнув MAC-адрес и нажав кнопку «Подключить» в WinBox, как указано выше.

Пока окно моста все еще открыто, щелкните вкладку «Порты» и по очереди добавьте ether2, ether3, ether4, ether5 и любые имеющиеся у вас интерфейсы wlan. У моего маршрутизатора есть два интерфейса wlan или интерфейсы беспроводной локальной сети. Один для 2,4 ГГц и один для 5 ГГц, однако у вас может быть только один интерфейс wlan, поэтому просто добавьте его к мосту.

У вас должно получиться что-то вроде этого:

Создайте пароль для входа:

Создайте пароль для входа, перейдя в System, Password.Оставьте поле «Старый пароль» пустым, так как в настоящее время у устройства нет пароля. Введите безопасный пароль в поле «Новый пароль», введите тот же пароль в поле «Подтверждение пароля» и нажмите «Изменить».

*** Обратите внимание, что каждый раз, когда вы входите в маршрутизатор, вам потребуется этот пароль ***

Следует отметить, что безопасный пароль должен состоять не менее чем из восьми символов, содержать прописные и строчные буквы и содержать хотя бы одно число и один символ.

IP-адрес и настройки DNS:

Дайте устройству IP-адрес, направьте его на общедоступный DNS-сервер и разрешите ему обслуживать DNS-запросы из локальной сети:

Затем мы дадим маршрутизатору IP-адрес адрес.Перейдите в IP, Адреса, щелкните значок плюса и введите новый IP-адрес и CIDR, представляющий маску подсети точно так же, как это 192.168.100.1/24.

Обязательно используйте косую черту, как показано, не нужно ничего вводить в поле «Сеть», просто нажмите «ОК».

Также используйте раскрывающийся список «Интерфейс» и выберите «мост1». Это гарантирует, что устройство будет доступно по его новому IP-адресу через все интерфейсы, перечисленные ранее созданным вами мостом1.

С этого момента каждый раз, когда вы подключаетесь к маршрутизатору с помощью WinBox, щелкните IP-адрес вместо MAC-адреса и используйте admin в качестве имени пользователя и пароля, который вы создали выше.И имя пользователя, и пароль чувствительны к регистру.

Чтобы указать маршрутизатору на общедоступный DNS-сервер, выберите IP, DNS, щелкните стрелку вниз справа от поля «Серверы» и введите 8.8.8.8 отметьте «Разрешить удаленные запросы», чтобы компьютеры в локальной сети могли отправлять DNS-запросы, и нажмите «ОК».

Добавление DHCP-сервера:

Затем мы создадим DHCP-сервер, чтобы маршрутизатор раздавал и управлял IP-адресами для всех ваших сетевых устройств, таких как компьютеры, планшеты, смартфоны, точки доступа, IP камеры, телевизоры и принтеры и другие сетевые устройства..

Перейдите к IP, DHCP-серверу, нажмите кнопку DHCP Setup, выберите bridge1 из раскрывающегося списка и нажмите Next.

Оставьте значения по умолчанию для адресного пространства DHCP, шлюза для сети DHCP и адресов для выдачи и введите 192.168.100.1 в поле DNS-серверы, измените время аренды на 60 минут и нажмите Далее. Когда настройка нового DHCP-сервера будет завершена, вы увидите это сообщение. Нажмите OK, чтобы завершить настройку DHCP-сервера.

Проверьте Ethernet-соединение на вашем компьютере:

Затем убедитесь, что для Ethernet-соединения вашего компьютера установлено значение «Получать IP-адрес автоматически», а для него — «Получить DNS-сервер автоматически».

Настроить WiFi:

Перейдите в раздел «Беспроводная связь», выделите wlan1 и wlan2 (если они есть) и нажмите, чтобы включить интерфейс / ы, если они не включены.

Дважды щелкните wlan1, перейдите на вкладку беспроводной связи, измените режим на мост ap, измените диапазон на 2 ГГц-B / G / N, введите свой SSID (я использовал DemoTest) здесь, в разделе Frequency Mode выберите нормативный домен, измените страну на Новую Зеландию и нажмите ОК.

Если у вас есть wlan2, дважды щелкните его, перейдите на вкладку беспроводной связи и введите следующее: Mode ap bridge, Band 5 GHz-A / N / AC, SSID, что вам нравится (я снова использовал DemoTest, поэтому оба радио используют те же настройки Wi-Fi), Регуляторный домен частотного режима и Страна Новой Зеландии, затем нажмите OK.

Затем мы создаем профиль безопасности беспроводной сети и применяем его к радиостанциям 2,4 и 5 ГГц.

Не закрывая окно Wireless Tables, перейдите в раздел «Профили безопасности» и щелкните значок «плюс», чтобы добавить профиль безопасности. В разделе Тип имени, независимо от вашего SSID, я снова использовал DemoTest, чтобы позже я мог четко идентифицировать новый профиль безопасности, чтобы я мог применить его к SSID, созданному ранее. Убедитесь, что WPA2-PSK отмечен флажком для типов аутентификации. Затем введите свой пароль WiFi в разделе «Общий ключ WPA2» и нажмите «ОК».

Как указано выше, лучше всего использовать для паролей не менее восьми символов со смесью прописных и строчных букв, цифр и символов.

Примените новый профиль безопасности к обоим радиостанциям:

Перейдите в интерфейсы, дважды щелкните wlan1, нажмите кнопку расширенного режима справа, затем измените профиль безопасности со значения по умолчанию на то, что вы назвали для нового профиля безопасности, затем нажмите OK. Опять же, для этого урока я использовал DemoTest.

Сделайте то же самое с wlan2, если он у вас есть, помните, что некоторые маршрутизаторы MikroTik имеют только один радиомодуль.

Теперь у вас должен быть доступен Wi-Fi, но у нас есть еще несколько шагов, чтобы сделать его пригодным для использования.

Настройте глобальную сеть или интерфейс WAN:

Как упоминалось ранее, мы будем использовать порт Ethernet номер 1 или ether1 в качестве порта, который соединяет нас с Интернетом. В зависимости от договоренности с вашим интернет-провайдером или интернет-провайдером вам может потребоваться ввести статический IP-адрес, однако большинство домашних подключений являются динамическими. На этой основе мы создадим DHCP-клиента, чтобы глобальная сеть или интерфейс WAN могли автоматически получать IP-адрес от вашего интернет-провайдера, как в случае большинства подключений к Интернету.

Перейдите к IP, DHCP-клиент, щелкните значок плюса, чтобы добавить DHCP-клиента, измените интерфейс на ether1, убедитесь, что установлен флажок Use Peer DNS, и нажмите OK.

Настройка межсетевого экрана:

Межсетевые экраны могут быть очень сложными. В рамках этого руководства и в общих чертах необходимо учитывать несколько моментов, касающихся правил брандмауэра и того, как маршрутизатор смотрит на сетевой трафик. В частности, типы подключений, откуда они и куда направляются. Маршрутизатор просматривает пакеты источника или Src и пакеты назначения или пакеты Dst.

Маршрутизатор рассматривает следующие четыре типа подключения:

Новое — новое подключение к маршрутизатору, которое соответствует критериям правил, как ожидаемый источник.

Установлено — соединение N ew обновлено до E установлено после соответствия критериям правил.

Связанный — когда установленное соединение E имеет связанный поток, маршрутизатор будет следить за обоими типами.

Недействительный — пакеты повреждены или неверный источник и / или место назначения.

В этом руководстве мы будем использовать два типа цепочек: входную цепочку для защиты маршрутизатора и прямую цепочку для защиты устройств LAN. Другими словами, с какой стороны маршрутизатора идет трафик (LAN или WAN) и как пакеты отправляются на устройства в LAN и от них.

В качестве последней меры безопасности маршрутизатор решит, принимать (все в порядке) или отбрасывать (не обрабатывать) новые, установленные, связанные и недействительные соединения во входной и прямой цепочках.

Чтобы убедиться, что мы можем видеть все детали каждого правила, перейдите к IP, Firewall и щелкните раскрывающееся меню справа от Packets, выделите Show Columns и убедитесь, что нажата кнопка Connection State. Это представление понадобится вам позже, чтобы проверить правила брандмауэра.

Сначала мы скажем маршрутизатору отбросить все недопустимые пакеты в цепочке пересылки.

В открытом окне брандмауэра щелкните вкладку «Правила брандмауэра», затем нажмите на знак «плюс», чтобы добавить новое правило.

Правило 0 — На вкладке «Общие» убедитесь, что прямая цепочка присутствует в поле «Цепочка», затем щелкните стрелку «Состояние подключения» внизу, чтобы отменить скрытие состояний подключения.Отметьте Invalid и перейдите на вкладку Action. На вкладке «Действие» выберите drop из раскрывающегося меню «Действие» и нажмите «ОК».

Правило 1 — Повторите описанный выше процесс, чтобы отбросить недопустимые пакеты во входной цепочке

Затем мы создадим список адресов для использования в правилах брандмауэра. Это упрощает создание некоторых правил брандмауэра.

Перейдите в IP, брандмауэр, щелкните вкладку списков адресов, щелкните значок плюса и введите LAN в качестве имени списка адресов и 192.168.1.100.0 / 24 в качестве адреса и нажмите OK.

Правило 2 — При открытом окне брандмауэра щелкните значок «плюс» на вкладке «Общие» и убедитесь, что входная цепочка находится в поле «Цепочка». Затем перейдите на вкладку Advanced и выберите список адресов, который вы создали выше, из списка адресов Src, я использовал LAN в качестве имени моего списка адресов. Затем перейдите на вкладку «Действие», выберите «Принять» в раскрывающемся меню и нажмите «ОК».

*** Это правило позволяет администрировать маршрутизатор из любой точки вашей локальной сети, однако это может быть дополнительно ограничено одним или несколькими устройствами.Эти дополнительные ограничения выходят за рамки данного руководства. ***

Для настройки правил с 3 по 8 действуйте, как указано выше

Правило 3 — Принять установленные соединения во входной цепочке

Правило 4 — Отключить соединения во входной цепочке

Правило 5 — Принятие новых подключений в прямой цепочке с использованием списка адресов LAN

Правило 6 — Принятие связанных подключений в прямой цепочке

Правило 7 — Принятие установленных подключений в прямой цепочке

Правило 8 — сбросить новые подключения в прямой цепочке от ether1

Внимательно изучите следующий снимок экрана, чтобы увидеть порядок, состояния подключения и место использования вашего списка адресов локальной сети.

Брандмауэр просматривает правила сверху вниз, пока не найдет совпадение. Как только совпадение будет найдено, поиск не будет продолжен, поэтому размещение правил в списке очень важно. С помощью RouterOS Mikrotik вы можете перетаскивать правила в правильном порядке, если они не входят в указанную выше последовательность.

Вышеупомянутые правила теперь будут обрабатываться в следующем порядке:

0 — Отбросить недопустимые соединения в прямой цепочке.

1 — Отбросить недопустимые соединения во входной цепочке.

2 — Принимать соединения от LAN во входной цепочке.

3 — Принять установленные соединения во входной цепочке.

4 — Отбросьте все остальное во входной цепочке, поскольку мы разрешили все, что хотим разрешить.

5 — Принимать соединения из LAN в прямой цепочке.

6 — Принять связанные соединения в прямой цепочке.

7 — Принять установленные соединения в прямой цепочке.

8 — Отбросьте новые соединения в прямой цепочке от ether1, поскольку мы разрешили все, что хотим разрешить.

NAT или преобразование сетевых адресов:

В этом руководстве мы рассматриваем два типа IP-адресов. Первый тип — это частные IP-адреса, которые мы использовали для нашей частной локальной сети или LAN. Мы использовали адреса из этой подсети 192.168.100.0/24. Это сеть, которую мы защищаем от Интернета с помощью наших правил брандмауэра.

Второй тип IP-адресов, который нас интересует, — это общедоступные IP-адреса. Общедоступные IP-адреса используются на устройствах с выходом в Интернет, чтобы они могли подключаться к другим устройствам или службам с выходом в Интернет.По сути, мы постоянно используем две сети: нашу частную локальную сеть, которая отправляет трафик в общедоступный Интернет или глобальную сеть.

Частные IP-адреса не предназначены для использования в общедоступном Интернете. Следовательно, нам необходимо преобразовать наши частные IP-адреса в общедоступные IP-адреса, чтобы компьютеры в нашей локальной сети могли взаимодействовать с компьютерами в Интернете, который является нашей общедоступной сетью или глобальной сетью. Для этого нашему маршрутизатору необходимо удалить частные IP-адреса из пакетов, направляемых в Интернет из нашей локальной сети, и заменить их общедоступным IP-адресом, назначенным нашему порту WAN.Это называется NAT или преобразованием сетевых адресов.

Перейдите в IP, Брандмауэр, щелкните вкладку NAT и щелкните значок плюса (+). Убедитесь, что srcnat выбран в разделе Chain, а ether1 выбран в Out Interface. Теперь перейдите на вкладку «Действие», убедитесь, что выбран маскарад, и нажмите «ОК».

Это правило маскирует вашу исходную сеть или частную локальную сеть (с использованием вашего списка адресов локальной сети) за ether1, который будет подключен к общедоступному Интернету.

Теперь вы можете использовать свой маршрутизатор MikroTik, подключив ether1 к порту LAN на существующем широкополосном модеме.

В оставшейся части этого руководства рассматриваются два варианта замены оптоволоконного широкополосного маршрутизатора на маршрутизатор MikroTik. Возможно, вам потребуется связаться с вашим поставщиком услуг для получения подробной информации о подключении. Следует отметить, что если у вас есть аналоговый телефон, подключенный к широкополосному модему для услуг VOIP через вашего интернет-провайдера, эти детали конфигурации выходят за рамки этого руководства и не включены. В качестве объяснения некоторые широкополосные модемы преобразуют цифровые данные Voice Over IP или VOIP в аналоговые звуковые волны через встроенный ATA или аналоговый телефонный адаптер, чтобы можно было использовать старый аналоговый телефон, подключив его непосредственно к модему.Опять же, эти детали конфигурации выходят за рамки этого руководства и не включены.

Настройка маршрутизатора для широкополосной связи по оптоволокну в Новой Зеландии:

У новозеландских интернет-провайдеров разные требования к подключению маршрутизатора, предоставленного заказчиком, к своей службе. Большинство требует добавления VLAN 10 к порту WAN, и оттуда их требования, похоже, различаются. Некоторым требуется только настроить порт WAN и / или VLAN 10 для автоматического получения IP-адреса через DHCP, а некоторым требуется дополнительная настройка клиента PPPoE для аутентификации.

Вариант 1 — только DHCP:

В этом примере мы будем использовать только вариант DHCP, однако, если вашему интернет-провайдеру также требуется клиент PPPoE, я предоставлю команду, которую вы можете скопировать и вставить в окно терминала внутри маршрутизатор в варианте 2.

Сначала перейдите в раздел «Интерфейсы» и щелкните значок «плюс», чтобы добавить новый интерфейс. В поле Имя введите VLAN10 и введите 10 в поле VLAN ID. В разделе «Интерфейс» убедитесь, что выбран ether1, и нажмите «ОК».

Затем перейдите в IP, DHCP-клиент и щелкните значок плюса.Выберите VLAN10 из раскрывающегося списка «Интерфейс», установите флажок «Использовать одноранговый DNS» и нажмите «ОК».

Затем перейдите к IP, Firewall, щелкните вкладку NAT и щелкните значок плюса. Убедитесь, что srcnat выбран в поле Chain, а VLAN10 выбран в поле Out Interface, затем нажмите OK.

Если вашему провайдеру требуется только DHCP для интерфейса VLAN10, подключите кабель Ethernet WAN от оптоволоконного преобразователя к ether1, и теперь вы должны быть подключены к Интернету.Откройте веб-браузер и перейдите на www.gowifi.co.nz, и наша домашняя страница должна загрузиться.

*** Обратите внимание, что перед использованием Интернета необходимо обновить RouterOS и прошивку маршрутизатора. См. Ниже инструкции и варианты обновления ***

Вариант 2 — DHCP и клиент PPPoE:

Если вашему интернет-провайдеру требуется VLAN10 и клиент PPPoE, вы можете скопировать и вставить следующие команды в окно терминала. Итак, « вместо » добавления VLAN10, настройки DHCP-клиента для VLAN10 и создания правила NAT, как показано в , вариант 1 , перейдите в «Новый терминал» и « вставьте обе команды вместе » в терминал. окно и нажмите ввод.Прежде чем копировать обе команды в окно терминала, вам необходимо изменить пароль и имя пользователя в команде на те, которые предоставлены вашим интернет-провайдером.

/ interface vlan
add interface = ether1 name = ether1.10 vlan-id = 10

/ interface pppoe-client
add add-default-route = yes disabled = no interface = ether1.10 name = pppoe-out1 password = Passw0rd [email protected]

После того, как вы отредактировали имя пользователя и пароль, необходимые для вашего интернет-провайдера, вставьте обе команды вместе в окно нового терминала.Здесь вы можете увидеть обе команды, вставленные в окно терминала, и интерфейс VLAN10 и клиент PPPoE создаются автоматически.

Поскольку используется клиент PPPoE, маршрутизатору необходимо настроить размер пакетов данных, проходящих через него. Чтобы выполнить эту настройку, мы запустим другую команду, и она сделает всю работу за нас. Закройте все окна, откройте новое окно терминала и вставьте в него следующую команду, затем нажмите ввод.

/ ip firewall mangle

add out-interface = pppoe-out protocol = tcp tcp-flags = syn action = change-mss new-mss = 1452 chain = forward tcp-mss = 1453-65535

Последней настройкой является создание правила NAT srcnat для вновь созданного клиента PPPoE с действием маскарада в списке адресов LAN Src.

Создайте новое правило NAT, перейдя в IP, Брандмауэр и щелкнув знак плюса (+), чтобы добавить новое правило.

Убедитесь, что srcnat находится в поле Chain, а pppoe-out1 выбран в раскрывающемся меню Out Interface.

Перейдите на вкладку Advanced и выберите список LAN, который вы создали ранее, в раскрывающемся меню Src Address List.

Наконец, перейдите на вкладку «Действие», выберите маскарад в раскрывающемся списке «Действие» и нажмите «ОК».

Если вашему провайдеру требуется интерфейс VLAN10 и клиент PPPoE, вы должны быть подключены к Интернету.Откройте веб-браузер и перейдите на www.gowifi.co.nz, и ваша страница должна загрузиться.

Обновление программного обеспечения и прошивки:

Теперь, когда вы подключены к Интернету, мы позаботимся о том, чтобы вы были защищены последней версией RouterOS MikroTik, а плата маршрутизатора обновлена ​​до последней версии прошивки.

*** Вы действительно не должны использовать Интернет, пока не будут завершены следующие обновления ***

Теперь, когда вы подключены к Интернету, мы позаботимся о том, чтобы вы были защищены последней версией RouterOS и плата маршрутизатора MikroTik обновлены до последней прошивки.

Чтобы выполнить автоматическое обновление RouterOS, перейдите в раздел «Система», «Список пакетов» и нажмите «Проверить наличие обновлений». Если доступна новая версия, она будет указана в поле «Последняя версия» и в нижней части окна. В поле «Последняя версия» будет указан более высокий номер версии, чем для установленной версии.

Нажмите кнопку «Загрузить и установить», и вы увидите прогресс в нижней части окна.

Как только новая версия будет загружена, маршрутизатор перезагрузится для ее установки.

Снова подключитесь к маршрутизатору, перейдите в раздел «Система», «Маршрутизаторная плата» и нажмите кнопку «Обновить». Если доступна новая версия, она будет указана в поле «Обновить микропрограммное обеспечение» и будет иметь более высокий номер версии, чем текущий номер версии микропрограммы. Если доступна новая версия, нажмите Да, чтобы обновить прошивку.

Никакая новая прошивка не будет установлена, пока маршрутизатор не будет перезагружен, поэтому перейдите в раздел «Система», «Перезагрузить» и нажмите «Да», чтобы перезагрузить маршрутизатор.

Чтобы убедиться, что обновление RouterOS прошло успешно, перейдите в раздел «Система», «Список пакетов» и нажмите «Проверить наличие обновлений». Вы должны увидеть тот же номер версии в полях «Установленная версия» и «Последняя версия», а также в нижней части окна «Система уже обновлена». окно.

Чтобы убедиться, что обновление прошивки прошло успешно, перейдите в раздел «Система», «Маршрутизатор», и вы должны увидеть тот же номер версии в полях «Текущая прошивка» и «Обновить прошивку».

Эти механизмы обновления следует использовать регулярно, чтобы гарантировать, что ваш маршрутизатор работает на оптимальном уровне.

Теперь вы настроили свой маршрутизатор MikroTik с некоторыми наиболее часто используемыми настройками, и вы обновили как RouterOS, так и прошивку маршрутизатора.

*** Следует отметить, что при автоматическом обновлении, как показано выше, будет выбрана последняя версия программного обеспечения без вмешательства.Некоторые люди предпочитают ручной процесс загрузки основного пакета, совместимого с платформой ЦП, прямо с https://mikrotik.com/download.

Это руководство основано на модели hAP AC lite, которая использует платформу mipsbe, как можно увидеть в верхней части окна WinBox.

*** Обратите внимание, что при выполнении обновления вручную рекомендуется выбрать долгосрочную версию, которая соответствует платформе вашего процессора, поскольку она была опробована и протестирована ***

Если вы решили выполнить обновление вручную, загрузите обновление для своей платформы ЦП с https: // mikrotik.com / download и просто перетащите файл обновления в окно списка файлов, убедившись, что вы не вставляете файл в одну из папок.

Когда файл обновления завершит загрузку в систему маршрутизатора, перезагрузитесь, и маршрутизатор обновится во время перезапуска.

Молодцы, желаю удачи!

Практическое руководство: MikroTik Hairpin NAT с динамическим IP-адресом WAN для чайников

9 января 2019: Эта запись устарела.Пожалуйста, обратитесь к этому замечательному видеоуроку от Stevocee, который объясняет, как использовать (бесплатную встроенную) функцию DDNS для настройки Hairpin NAT с динамическим IP-адресом WAN и переадресацией портов:

Примерно полгода назад я купил Mikrotik RouterBoard RB962UiGS-5HacT2HnT hAP AC (Уф! Какой полный рот!) . Это отличный роутер, или, лучше сказать, роутер, в котором есть больше функций, о которых я когда-либо мечтал… может быть, даже слишком много!

Тем не менее, из коробки я не смог посетить мой локальный NAS / веб-сервер, используя WAN IP из моей локальной сети.После быстрого поиска в Google DuckDuckGo я обнаружил, что для этого требуется так называемый «шпилька NAT». По сути, он перенаправляет весь трафик, отправляемый на ваш WAN IP из вашей локальной сети, обратно на (определенный IP-адрес в) вашу локальную сеть. Графически это выглядит так:

Видите стрелку, которая при небольшом воображении выглядит как шпилька для волос? Отсюда и название … в любом случае, продолжим!

Однако проблема с большинством конфигураций Hairpin NAT, которые вы найдете в Интернете, заключается в том, что для них требуется статический IP-адрес WAN, которого у меня нет.Кроме того, в большинстве руководств используется терминал, тогда как я предпочитаю графический интерфейс Winbox. Поэтому я понял, как настроить Hairpin NAT в сочетании с динамическим IP-адресом WAN, используя сам Winbox, и, поскольку «совместное использование — это важно», вот как это сделать:

1. Подключитесь к вашему Mikrotik с помощью Winbox
2. Выберите IP -> Брандмауэр в меню
   
3. Убедитесь, что правило «defconf: masquerade» по умолчанию находится наверху, которое выглядит следующим образом:
   
   
4. Добавьте новое правило следующим образом, назовите его «Hairpin NAT», которое выглядит следующим образом (замените 192.168.88.0 / 24 с диапазоном IP-адресов вашей локальной сети):
   
   
5. Добавьте еще одно правило. Это правило будет содержать IP и порт, который вы пытаетесь перенаправить. Например, допустим, я хочу подключиться к своему локальному NAS, работающему на IP 192.168.88.50 и порту 1337, используя свой IP-адрес в глобальной сети, мое правило будет выглядеть так:
   
   Не забудьте восклицательный знак перед адрес назначения!
   Совет: вы можете добавить больше портов в то же правило.Просто разделите диапазоны тире, например: 1330-1337, и несколько портов с запятыми, например: 80,443,1330-1337
6. Готово! Теперь у вас должна быть возможность получить доступ к вашему NAS / веб-серверу, используя IP-адрес WAN из вашей локальной сети. Не стесняйтесь добавлять правила по своему усмотрению, но помните, что порядок важен. Итак, сначала правило «defconf: masquerade», затем правило «Шпилька NAT», а затем все остальные правила 🙂
   

Минимальный установщик для MikroTik | Minim Help Center

Что вам понадобится

• Компьютер с портом Ethernet для подключения к маршрутизатору, на котором вы хотите установить Minim.Обратите внимание, что на многих ноутбуках больше нет портов Ethernet, поэтому вам может понадобиться адаптер для периферийных устройств.
• Два кабеля Ethernet
• Подключение к Интернету через маршрутизатор другой , кроме MikroTik, который будет прошит. Подойдет любое дополнительное подключение к локальной сети вашего офиса через Wi-Fi или Ethernet.

Подготовка: конфигурация оборудования

Для начала ваш MikroTik должен быть настроен с IP-адресом 192.168.88.1 . Иногда маршрутизаторы MikroTik (обычно маршрутизаторы более высокого уровня) не настраиваются таким образом из коробки.

Чтобы проверить конфигурацию IP-адреса, сначала убедитесь, что ваш MikroTik подключен к источнику питания. Затем подключите один конец кабеля Ethernet к любому из портов LAN MikroTik. Другой конец кабеля подключите к компьютеру. Откройте веб-браузер и введите 192.168.88.1 в адресную строку; нажмите Ввод.

Если загружается страница быстрой настройки RouterOS, значит, маршрутизатор настроен и готов к установке Minim.

• Примечание. Если на этом этапе у вас есть более 1 MikroTik в локальной сети, убедитесь, что вы подключены к правильному устройству MikroTik, подтвердив, что MAC-адрес на странице Quick Set идентичен MAC-адресу, напечатанному. на роутере.

Если ваш маршрутизатор не настроен, используйте WinBox для настройки маршрутизатора для адреса 192.168.88.1

Подключите MikroTik к вашему компьютеру

Чтобы начать минимальную установку, вам необходимо подключить устройство MikroTik к вашему компьютер через кабель Ethernet или подключившись к беспроводной сети MikroTik. Обратите внимание, что в процессе установки WAN-порт будет настроен.

1. Подключите кабель Ethernet к компьютеру, а другой конец подключите к любому из портов LAN вашего маршрутизатора MikroTik.По умолчанию порты 2 и выше являются портами LAN, а порт 1 — портом WAN.
2. Подключите кабель Ethernet к желаемому порту WAN маршрутизатора на одном конце и шлюзу в Интернет (например, кабельному модему) на другом. Обратите внимание, что последним портом WAN будет порт Ethernet, который вы выберете во время установки: либо порт 1, либо последний порт Ethernet на маршрутизаторе.

Установка с помощью установщика Minim

Шаг 1. Выбор конфигурации установки

Minim поддерживает несколько конфигураций MikroTik, включая «Клиент DCHP», «PPPoE» и «Статический IP-адрес».«Выбранная вами конфигурация зависит от установки клиента.
( Текущая версия 2.0.4 )

DHCP-клиент
Маршрутизатор MikroTik получит IP-адрес на стороне WAN от DHCP-сервера перед ним.

PPPoE
Существующий сервер PPPoE находится перед MikroTik для обеспечения связи PPPoE.

Статический IP-адрес
Маршрутизатор MikroTik будет иметь статический IP-адрес на стороне WAN.

Шаг 2: Выберите желаемый порт WAN

У вас есть два варианта конфигурации WAN. Минимальный установщик может настроить порт WAN MikroTik как первый порт Ethernet или как последний порт Ethernet. Обратите внимание, что клиент DHCP и все подключения к Интернету будут работать через любой выбранный вами порт WAN.

Порт Ethernet 1
Эта конфигурация соответствует типичной настройке маршрутизатора MikroTik. Кабель Ethernet, соединяющий маршрутизатор MikroTik с Интернетом, должен быть подключен к порту 1.

Последний порт Ethernet (PoE)
Выбор последнего порта Ethernet в качестве порта WAN приводит к использованию порта Ethernet с самым большим номером. На более дорогих маршрутизаторах Mikrotik это также порт PoE. Эта конфигурация позволяет маршрутизатору питать другое устройство PoE, например радиомодуль CPE, через порт WAN.

Шаг 3. Задайте переменные установки

Для некоторых конфигураций установки (в частности, конфигурации PPPoE и статического IP-адреса) перед прошивкой потребуется ввести некоторые данные.

Для тех, кто имеет опыт написания сценариев RouterOS
Введите эти значения точно так, как вы хотите, чтобы они отображались на маршрутизаторе — не заключайте значение в кавычки, так как минимальный установщик гарантирует правильное форматирование RouterOS перед Роутер MikroTik. Например:
— MikroTik будет отображаться как строка на маршрутизаторе «Mikrotik» (правильно)
— «MikroTik» будет отображаться как строка на маршрутизаторе «\» Mikrotik \ »(неверно)

Шаг 4: Установить минимум

После завершения процесса настройки, описанного выше, нажмите «Прошить и сохранить», чтобы начать процесс прошивки.Через несколько минут минимальный установщик обнаружит, что маршрутизатор настроен, и вернется в оперативный режим.

На этом этапе вы можете активировать маршрутизатор клиента на Портале минимального ухода. Minim Cloud подготовит маршрутизатор, и он подключится к сети в течение двух минут.

Чтобы маршрутизатор отображался на портале Care Portal как «подключенный к сети», порт WAN, выбранный на шаге 2, должен быть подключен к Интернету.

Шаг 5: Наслаждайтесь MikroTik на минимуме!

Важное примечание: подсеть маршрутизатора не должна совпадать с подсетью MikroTik по умолчанию 192.168.88.0 / 24 — если подсеть вашего шлюза перекрывается с подсетью MikroTik по умолчанию, необходимо изменить настройки на шлюзе, чтобы продолжить работу с минимальным установщиком. Если вашим шлюзом является маршрутизатор MikroTik, вы можете изменить эти настройки в WebFig или WinBox на вкладке IP> DHCP-сервер> Сети .

Как настроить маршрутизатор Mikrotik LTE Kit для США

Это руководство проведет вас через настройку маршрутизатора Mikrotik LTE Kit для США с использованием SIM-карты Telnyx.

Предварительные требования для установки комплекта Mikrotik wAP LTE

1. 1Активная SIM-карта Telnyx
2. 2Маршрутизатор комплекта Mikrotik LTE
3. 3A компьютер
4. 4Последняя прошивка для ОС маршрутизатора, которую вы можете получить здесь.

Настройка комплекта Mikrotik wAP LTE

Примечание. Вставляйте SIM-карту в маршрутизатор только после получения соответствующих инструкций.

Часть I. Обновление микропрограммы

• Мы начнем с обновления микропрограммы routerOS до последней версии (6.48 по состоянию на 2.4.21).
• Извлеките SIM-карту из устройства.
• Подключите компьютер к устройству через интерфейс WiFi или Ethernet и войдите в шлюз по умолчанию по адресу 192.168.88.1. Имя пользователя и пароль по умолчанию показаны ниже.
  • Имя пользователя: admin
  • Пароль: (пусто)
• После входа в систему вы увидите консоль администратора, как показано ниже.

• Щелкните Файлы → Обзор и загрузите файл микропрограммы .npk.

• Перезагрузите устройство, нажав Система → Перезагрузить.
  • Устройство автоматически установит последнюю версию микропрограммы во время процедуры загрузки.

Часть II (Конфигурация маршрутизатора)

• Перейдите в Интерфейс → LTE.

• Щелкните APN LTE → Добавить.
  • Имя: Telnyx
  • APN: data00.telnyx
  • Тип IP: IPv4
  • Использовать одноранговый DNS: Проверить
  • Добавить маршрут по умолчанию: Проверить
  • Оставьте все остальные настройки по умолчанию.

• Нажмите Применить, затем ОК.
• Вернитесь на вкладку LTE в разделе «Интерфейсы» и щелкните модуль LTE.
  Примените созданную выше APN с помощью раскрывающегося меню и включите роуминг, установив флажок «Разрешить роуминг».

• Нажмите Применить, затем ОК.
• Вставьте SIM-карту Telnyx. Примерно через 45 секунд устройство подключится к сети. Вы можете проверить подключение, выбрав Интерфейсы → LTE → Щелкните модуль LTE, затем прокрутите вниз до статуса регистрации. Будет отображаться «роуминг».

MikroTik Routerboard wAP LoRa8 kit

MikroTik Routerboard wAP LoRa8 kit — это шлюз LoRaWAN, который содержит предварительно установленный перенаправитель пакетов UDP и защищенную от атмосферных воздействий беспроводную точку доступа с 2.Интерфейс WLAN 4 ГГц и порт Ethernet, который можно использовать как серверную часть.

В этом руководстве показано, как подключить этот шлюз к The Things Stack.

Его технические характеристики можно найти в официальной документации MikroTik.

Предупреждение:

Этот шлюз в настоящее время не поддерживает изменение частотных планов.

Есть несколько интерфейсов для настройки параметров шлюза. Эта страница поможет вам подключить его к The Things Stack с помощью веб-браузера или мобильного приложения MikroTik для Android / iOS.

Физические соединения

В комплект MikroTik Routerboard wAP LoRa8 входит адаптер PoE. На изображении справа показаны правильные подключения к устройству.

Предварительные требования

1. Учетная запись пользователя The Things Stack с правами на создание шлюзов.

Комплект

2. MikroTik Routerboard wAP LoRa8, подключенный через Ethernet.
3. Веб-браузер (см. Раздел «Настройка через браузер») или мобильное приложение MikroTik, установленное на смартфоне (см. Раздел «Настройка через приложение»).

Регистрация

Создайте шлюз, следуя инструкциям по добавлению шлюзов. EUI шлюза можно найти на задней панели шлюза в поле GW ID .

Настройка через браузер

Маршрутизатор MikroTik предоставляет точку доступа Wi-Fi (AP) с SSID MikroTik-xxxxxx , где xxxxxx — последние 6 цифр MAC-адреса устройства (напечатаны на наклейке коробки, под W01 ).

Подключитесь к этой AP. По умолчанию пароль отсутствует.

Откройте в браузере адрес http://192.168.88.1/webfig/#Interfaces .

В левом меню выберите LoRa . Убедитесь, что установлен статус Disabled , при необходимости нажмите D , чтобы отключить устройство LoRa.

В верхнем меню выберите вкладку Servers и нажмите кнопку Add New .

Отредактируйте параметры сервера.

• Имя : Особое имя
• Адрес : Адрес шлюзового сервера.Если вы следовали руководству по началу работы, это то же самое, что вы используете вместо thethings.example.com .
• Up port : восходящий порт UDP сервера шлюза, обычно 1700 .
• Нисходящий порт : Нисходящий порт UDP сервера шлюза, обычно 1700 .

Нажмите ОК , чтобы сохранить параметры.

В верхнем меню выберите вкладку «Устройства » . Щелкните Gateway ID , чтобы настроить его.

В настройках устройства щелкните раскрывающееся меню Сетевые серверы , чтобы просмотреть доступные серверы. Выберите только что созданный сервер.

Выберите Public для сети.

Щелкните OK, чтобы сохранить параметры.

Нажмите E , чтобы включить шлюз. Он станет D , и статус устройства обновится.

Если ваша конфигурация прошла успешно, ваш шлюз подключится к The Things Stack через пару секунд.

Настройка через приложение

MikroTik Routerboard предоставляет точку доступа WiFi с SSID MikroTik-xxxxxx , где xxxxxx — последние 6 цифр MAC-адреса устройства (напечатаны на задней панели).

Используя устройство, на котором установлено MikroTik Mobile App , подключитесь к этой точке доступа. По умолчанию пароль отсутствует.

Откройте мобильное приложение MikroTik . Адрес подключения предварительно заполнен (например: 192.168.88.1 ). Введите имя пользователя и пароль в окне входа в систему. По умолчанию имя пользователя admin , пароль отсутствует. Выберите Connect .

После входа в систему выберите Gear Box Icon в правом верхнем углу домашней страницы.

Прокрутите вниз и нажмите LoRa . В окне конфигурации LoRa выберите Devices . Выберите LoRa Device и отключите его.

Вернувшись в раздел LoRa , выберите раздел Servers .Нажмите кнопку + , чтобы добавить новый сервер.

Отредактируйте параметры сервера.

• Имя : Особое имя
• Адрес : Адрес шлюзового сервера. Если вы следовали руководству по началу работы, это то же самое, что вы используете вместо thethings.example.com .
• Up port : восходящий порт UDP сервера шлюза, обычно 1700 .
• Нисходящий порт : Нисходящий порт UDP сервера шлюза, обычно 1700 .

Теперь вернитесь в раздел LoRa , выберите Devices и выберите LoRa Device . Щелкните Network Servers и выберите сервер по имени на предыдущем шаге.

Вернитесь назад, щелкните устройство и включите его.

Если ваша конфигурация прошла успешно, ваш шлюз подключится к The Things Stack через пару секунд.

Устранение неполадок

Если шлюз не подключается к стеку вещей через несколько минут, отключите и снова подключите источник питания, чтобы выключить и снова включить шлюз.Пакеты трафика можно наблюдать, перейдя к LoRa > Traffic , чтобы проверить, видит ли шлюз пакеты трафика (Rx / Tx).

Если шлюз не обнаружил точку доступа WiFi, удерживайте кнопку Reset в течение 5 секунд во время загрузки. Это сбросит конфигурацию ОС маршрутизатора.

Mikrotik Router Basic Configuration с использованием Winbox (с видео)

MikroTik — один из самых популярных маршрутизаторов. MikroTik Router имеет множество сетевых сервисов, которые так легко помогают построить стабильную и бесперебойную сеть.Говорят, что ни одна компания-провайдер или любой корпоративный офис не могут прожить и дня без MikroTik Router. Итак, системные администраторы, которые еще не используют MikroTik Router, я думаю, скоро начнут использовать MikroTik Router. Как системный администратор, я также использую MikroTik Router около 5 лет в своей сети, и на самом деле у меня очень стабильная и бесперебойная сеть. Маршрутизатор MikroTik в основном известен сервисом управления пропускной способностью и функциями фильтрации пакетов, а также низкой ценой. MikroTik Router также является фаворитом любого системного администратора из-за наличия программного обеспечения с графическим пользовательским интерфейсом (GUI) под названием Winbox, которое помогает легко управлять MikroTik Router.Поскольку использование MikroTik Router быстро растет, эта статья предназначена для демонстрации базовой конфигурации MikroTik Router с самого начала с использованием программного обеспечения Winbox, чтобы новый пользователь MikroTik Router мог легко настроить свой маршрутизатор с самого начала и мог управлять своим сеть плавно.

Предварительные условия для настройки маршрутизатора MikroTik

Перед тем, как приступить к базовой настройке маршрутизатора MikroTik, вы должны ознакомиться с приведенной ниже информацией.

1. Базовые знания по IP-адресации.
2. MikroTik RouterBoard или MikroTik RouterOS, установленная на ПК.
3. Программное обеспечение Winbox.
4. ПК с установленной операционной системой Windows и кабелями RJ45.

Если у вас есть все вышеперечисленные требования, теперь вы готовы начать базовую настройку маршрутизатора MikroTik. В оставшейся части этой статьи будет показано пошаговое руководство по настройке маршрутизатора MikroTik с самого начала.

4 простых шага по настройке маршрутизатора MikroTik

Базовая конфигурация маршрутизатора MikroTik включает в себя назначение IP-адресов, настройку шлюза по умолчанию и включение NAT для доступа в Интернет.Базовую настройку MikroTik Router можно разделить на 4 этапа.

1. Назначение IP-адресов WAN и LAN
2. Конфигурация шлюза
3. Конфигурация NAT и
4. Конфигурация DNS

Среди вышеперечисленных 4 шагов первые три являются обязательными для доступа в Интернет через ваш маршрутизатор MikroTik, а шаг 4 необязателен, но он необходимо сделать для правильной настройки MikroTik Router.

Чтобы правильно настроить MikroTik Router в соответствии с приведенными выше 4 шагами, я использую следующую информацию и простую схему офисной сети, где три пользователя подключены к MikroTik Router через сетевой коммутатор, а первый интерфейс маршрутизатора подключен к Интернету. для доступа к информации в Интернете.

1. MikroTik RouterBoard 1100 AHX2
2. IP-адрес WAN: 172.22.3.99/25 (предоставляется поставщиком услуг Интернета)
3. Шлюз: 172.22.3.1 (предоставляется поставщиком услуг Интернета)
4. Public DNS: 8.8.8.8 и 8.8.4.4
5. LAN IP-сеть: 192.168.10.0/24 (выбранный мной частный IP-блок)

Простая офисная сеть

Согласно нашей простой схеме офисной сети, первый интерфейс (порт ether1) подключен к Интернет-провайдеру, и этот интерфейс является нашим портом WAN. В этом интерфейсе мы установим наш WAN IP (предоставленный интернет-провайдером).Второй интерфейс (порт ether2) — это наш LAN-интерфейс, и мы настроим наш LAN-шлюз в этом интерфейсе. Пользователи этой сети будут подключены к MikroTik Router через коммутатор для доступа в Интернет. На практике ваша сеть не будет такой простой, как эта схема сети. Возможно, вам придется поддерживать большую сеть, в которой могут быть сотни или тысячи пользователей. Но базовая конфигурация одинакова для всех сетей. Однако теперь мы начнем базовую настройку нашего MikroTik Router в соответствии с приведенными выше 4 шагами и следуя нашей простой схеме офисной сети.

Шаг 1: Назначение IP-адресов WAN и LAN

Первым шагом для настройки MikroTik Router является назначение IP-адресов WAN и LAN в интерфейсах WAN и LAN соответственно. Следующие шаги покажут, как назначить IP-адреса WAN и LAN в новом маршрутизаторе MikroTik.

• Скачайте Winbox или соберите Winbox из любого источника.
• Подключите ваш компьютер к MikroTik Router с помощью кабеля RJ45.
• Откройте программное обеспечение winbox в своей операционной системе и щелкните вкладку «Соседи».На этой вкладке появится MAC-адрес подключенного Ethernet. Если вы не нашли MAC-адрес, нажмите кнопку «Обновить». MAC-адрес скоро появится. Нажмите на появившийся MAC-адрес, и выбранный MAC-адрес появится в поле ввода «Подключиться к».
• Имя пользователя MikroTik Router по умолчанию — admin , пароль — пустой. Итак, введите admin в поле ввода логина и оставьте поле пароля пустым, а затем нажмите кнопку «Подключиться». Теперь появится графический интерфейс пользователя (GUI) MikroTik.
• Теперь нажмите кнопку «Удалить конфигурацию», если будет предложено, или в Winbox перейдите в «Система»> «Сбросить конфигурацию» и нажмите «Нет конфигурации по умолчанию», а затем нажмите кнопку «Сбросить конфигурацию», чтобы сбросить RouterOS. Маршрутизатор будет перезагружен и снова войдет в систему, после чего вы найдете RouterOS с нулевой конфигурацией.
• Перейдите в пункт меню IP> Адреса. Появится окно со списком адресов. Щелкните ЗНАК ПЛЮС (+). Появится окно нового адреса. Введите свой IP-адрес в глобальной сети (В этой статье: 172.22.3.99 / 25), который предоставляется вашим интернет-провайдером в поле ввода адреса, а затем выберите интерфейс WAN (в этой статье: ether1) в раскрывающемся меню «Интерфейс» и нажмите «Применить», а затем кнопку «ОК».
• Еще раз нажмите ЗНАК ПЛЮС (+) и введите IP-адрес шлюза LAN (в этой статье: 192.168.10.1/24) в поле ввода адреса и выберите интерфейс LAN (в этой статье: ether2) в раскрывающемся меню Интерфейс и нажмите Применить. и кнопку ОК.

Назначение IP-адресов WAN и LAN

Назначение IP-адресов WAN и LAN завершено.Мы назначим шлюз MikroTik, который предоставляется интернет-провайдером, чтобы маршрутизатор MikroTik мог связываться с Интернетом через этот шлюз.

Шаг 2: Конфигурация шлюза

После завершения настройки IP-адресов WAN и LAN мы назначим шлюз MikroTik по умолчанию, который предоставляется интернет-провайдером. Следующие шаги покажут, как назначить шлюз по умолчанию в MikroTik Router.

• В Winbox перейдите в пункт меню IP> Routes. Появится окно списка маршрутов. Вы можете видеть, что два динамических маршрута уже добавлены в этот список маршрутов.Щелкните ЗНАК ПЛЮС (+). Появится окно нового маршрута. Теперь введите адрес шлюза (в этой статье: 172.22.3.1), предоставленный вашим интернет-провайдером, в поле ввода шлюза.
• Теперь нажмите кнопку «Применить» и «ОК».

Назначение IP шлюза по умолчанию

Настройка шлюза по умолчанию MikroTik завершена. Теперь мы создадим правило NAT, чтобы MikroTik Router мог замаскировать IP-адрес нашего пользователя LAN для доступа в Интернет.

Шаг 3. Конфигурация NAT

После завершения настройки шлюза необходимо создать правило брандмауэра NAT для маскировки IP-адресов LAN.В противном случае пользователь локальной сети не сможет получить доступ к Интернету через MikroTik Router. Следующие шаги покажут, как создать маскарадное правило брандмауэра в MikroTik Router.

• Перейдите в пункт меню IP> Firewall и щелкните вкладку NAT, а затем нажмите кнопку PLUS SIGN (+). Появится окно нового правила NAT.
• На вкладке «Общие» выберите srcnat в раскрывающемся меню «Цепочка» и установите блокировку IP-адреса LAN (в этой статье: 192.168.10.0/24) в поле «Src. Поле ввода адреса.
• На вкладке «Действие» выберите маскарад в раскрывающемся меню «Действие», а затем нажмите кнопку «Применить» и «ОК».

Настройка NAT в MikroTik RouterOS

Настройка NAT в MikroTik Router завершена. Если вы не создадите это правило NAT, ваш пользователь локальной сети не сможет получить доступ к Интернету через MikroTik Router.

Три обязательных шага для настройки новой MikroTik RouterOS для доступа в Интернет были выполнены. Пользователи LAN теперь могут получить доступ к Интернету через Mikrotik Router, если они используют собственный IP-адрес DNS-сервера. Но теперь мы настроим DNS в MikroTik Router, чтобы он мог разрешать DNS-запросы, а также мог работать в качестве DNS-сервера.

Шаг 4: Конфигурация MikroTik DNS

После завершения трех обязательных настроек нам нужно настроить DNS в MikroTik Router, чтобы он мог разрешать DNS-запросы как от пользователя LAN, так и от самого себя. Следующие шаги покажут, как настроить DNS в MikroTik RouterOS.

• Перейдите в пункт меню IP> DNS. Появится окно настроек DNS. В этом окне введите адрес DNS-сервера, который вы получили от интернет-провайдера, или вы можете указать общедоступный DNS-IP Google (8.8.8.8) в поле ввода «Серверы».Вы можете указать IP-адрес вторичного DNS-сервера, нажав кнопку добавления нового значения (кнопка раскрывающегося списка), расположенную после поля ввода Серверы. При желании вы можете превратить маршрутизатор MikroTik в качестве DNS-сервера. Думаю, лучше использовать роутер MikroTik в качестве DNS-сервера. Потому что, если вы используете общедоступный DNS-сервер в своей сети, каждый DNS-запрос вашего пользователя будет использовать вашу платную пропускную способность. Но если вы включите маршрутизатор MikroTik в качестве DNS-сервера, ваш пользователь получит DNS-решение от MikroTik Router без использования платной полосы пропускания.Итак, если вы хотите превратить MikroTik в DNS-сервер, установите флажок «Разрешить удаленные запросы» и нажмите кнопку «Применить» и «ОК».
• Если вы превратите MikroTik Router в DNS-сервер, все IP-адреса MikroTik можно будет использовать в качестве IP-адреса DNS-сервера, включая WAN IP, который является общедоступным IP-адресом, и здесь возникнет проблема. Если кто-то за пределами вашей локальной сети использует IP-адрес WAN в качестве IP-адреса DNS, ваш MikroTik будет счастлив, обслуживая его / ее DNS-решение, потребляя вашу платную пропускную способность. Итак, вы должны остановить DNS-запрос из-за пределов вашей локальной сети.Чтобы остановить DNS-запрос извне вашей локальной сети, вы должны применить правила брандмауэра, которые будут отбрасывать все DNS-запросы, поступающие из вашего WAN-интерфейса (в этой статье: ether1). Для этого перейдите в пункт меню «IP> Брандмауэр», перейдите на вкладку «Правила фильтрации», а затем нажмите «ЗНАК ПЛЮС» (+). Появится окно нового правила брандмауэра. На вкладке «Общие» выберите вход в раскрывающемся меню «Цепочка», выберите «udp» в раскрывающемся меню «Протокол», «Поместить Dst». Порт 53 и выберите ether1 из In. Выпадающее меню интерфейса. Теперь перейдите на вкладку «Действие» и выберите «Удалить» в раскрывающемся меню «Действие», а затем нажмите кнопку «Применить» и «ОК».Вы должны создать еще одно аналогичное правило для TCP-соединения. Для этого снова нажмите ЗНАК ПЛЮС (+) и выберите tcp в раскрывающемся меню Протокол, Поместите Dst. Порт 53 и выберите ether1 из In. В раскрывающемся меню «Интерфейс» нажмите вкладку «Действие», выберите «Выпадение» из раскрывающегося меню «Действие» и нажмите кнопку «Применить» и «ОК». Теперь ваш DNS-сервер MikroTik безопасен за пределами вашей локальной сети.

Настройка DNS в MikroTik Router

Настройка DNS в вашем MikroTik Router завершена. Теперь ваш MikroTik Router может разрешать DNS-запросы как для пользователя локальной сети, так и для себя.

MikroTik Router теперь полностью готов, если вы правильно выполните указанные выше 4 шага. Подключите коммутатор к LAN-интерфейсу MikroTik с помощью кабеля RJ45 и подключите все ПК к этому коммутатору. Также подключите кабель ISP к интерфейсу WAN. Теперь назначьте IP-адрес всем вашим ПК в локальной сети в соответствии с серией IP-адресов вашей локальной сети. Если у вас возникли проблемы с установкой IP-адреса на ПК с Windows, прочтите мою другую статью о том, как назначить статический IP-адрес в операционной системе Windows, которая поможет вам правильно назначить IP-адрес на любом ПК с Windows.Теперь перейдите на любой веб-сайт или пингуйте google.com со своего ПК в локальной сети. Если с вашим интернет-провайдером все в порядке, теперь вы сможете успешно просматривать любой веб-сайт.

Чтобы успешно настроить новый маршрутизатор MikroTik Router, вам следует тщательно выполнить четыре вышеуказанных шага. Если вы пропустите какой-либо шаг, ваша конфигурация будет неправильной, и пользователи вашей локальной сети не смогут получить доступ к Интернету через MikroTik Router. Если вы столкнетесь с какой-либо путаницей при выполнении вышеуказанных 4 шагов, посмотрите следующий видеоурок по базовой настройке MikroTik Router с использованием Winbox .Надеюсь, это поможет вам в настройке нового маршрутизатора MikroTik Router.

Базовой конфигурации MikroTik Router недостаточно для поддержки реальной сети. Если вам нужно поддерживать офисную сеть, лучше использовать MikroTik DHCP Server. Управление DHCP-сервером с помощью Radius Server предоставит вам более быстрое и интеллектуальное решение.

Опять же, если вы хотите поддерживать сеть интернет-провайдера, MikroTik PPPoE Server — лучшее решение. MikroTik PPPoE Server с Radius Server также предоставит вам предоплаченную биллинговую систему.

Если вы планируете поддерживать сеть отелей, аэропортов, железных дорог, ресторанов или любую сеть Интернет-провайдеров с помощью Wi-Fi, MikroTik Hotspot Server — ваш лучший друг. Используя Radius Server с точкой доступа, вы можете управлять пропускной способностью с помощью системы предоплаты, а также лимитом данных с помощью системы предоплаты.

Кроме того, если вы найдете решение для управления пропускной способностью с помощью MikroTik Router, вам будет достаточно MikroTik Bandwidth Management with Simple Queue. Но лучше управлять пропускной способностью интернет-провайдера с помощью MikroTik PCQ.

Иногда может потребоваться решение для балансировки нагрузки и резервирования каналов. Затем пройдите через MikroTik Load Balancing и Link Redundancy с ECMP.

MikroTik Router Basic Configuration пошагово объяснен в этой статье. Я надеюсь, что теперь вы сможете успешно настроить новый маршрутизатор MikroTik с самого начала. Однако, если вы столкнетесь с какими-либо затруднениями при настройке маршрутизатора MikroTik, не стесняйтесь обсуждать их в комментариях или свяжитесь со мной со страницы контактов.Я сделаю все возможное, чтобы остаться с тобой.

Mikrotik Point to Point Links

Mikrotik Point to Point Links

Этот набор упражнений поможет вам изучить базовый набор команд RouterOS, необходимых для настройки и защиты коммутатора или маршрутизатора Mikrotik.

Подключитесь к маршрутизатору

С помощью консольного кабеля подключитесь к RB532, следуя инструкциям лаборатории беспроводного сканирования и антенн.

Установите беспроводной интерфейс маршрутизатора в режим 5 ГГц

Беспроводные карты в вашем Mikrotik RB532 двухдиапазонные, 2.Радиоплаты 4 и 5 ГГц. Вы можете подтвердить, что они двухдиапазонный, с помощью этой команды:

  [admin @ Mikrotik]> / interface wireless info hw-info wlan1
    диапазоны: 4920-6100 / 5 / а, турбо
            2192-2507 / 5 / б, г, г-турбо
            2224-2539 / 5 / б, г, г-турбо  

Чтобы установить карту в режим 5 ГГц, введите следующую команду:

  [admin @ Mikrotik]> / interface wireless set wlan1 band = 5ghz-a frequency-mode = superchannel  

Теперь, когда вы находитесь в режиме 5 ГГц, получите список всех доступных вам каналов:

  [admin @ Mikrotik]> / interface wireless info allowed-channels wlan1  

Не все эти каналы разрешены к использованию! Перед выбором беспроводного канала обязательно ознакомьтесь с правилами радиосвязи вашей страны.

Согласование радиочастотного спектра с вашим окружением и соседями

Сначала выполните беспроводное сканирование, как вы делали в лаборатории беспроводного сканирования. Обратите внимание на используемые частоты — вам следует избегать их использования!

В этой лабораторной работе мы предполагаем возможность использования диапазонов 5150-5350 и 5470-5875 при мощности EIRP до 1 Вт.

Поговорите со своими соседями, чтобы определить, как у каждого из вас может быть канал 20 МГц, отстоящий на 40 МГц от следующей используемой частоты.Это оставляет пустой канал над и под вашим радио.

Когда вы выбрали канал, настройте беспроводной интерфейс

  [admin @ Mikrotik]> / interface wireless set wlan1 channel-width = 20mhz frequency = 5320 disabled = no  

Переведите один из ваших радиоустройств в режим моста

Беспроводные интерфейсы

Mikrotik поддерживают несколько режимов. Режим AP поддерживает топологии «точка-множество точек». Режим моста поддерживает ссылки «точка-точка». Установите беспроводной интерфейс в режим моста.

  [admin @ Mikrotik]> / interface wireless set wlan1 mode = bridge  

Установите другой радиомодуль в режим станции

Существует несколько различных режимов работы станций, включая станцию, станцию-мост, станцию-псевдострой, станцию-псевдост-клон и станцию-wds. Многие режимы описаны в руководстве Mikrotik: http://wiki.mikrotik.com/wiki/Manual:Wireless_Station_Modes В этом упражнении мы будем строить Ethernet-туннели в инфраструктуре уровня 3, поэтому установите радиостанцию ​​в режим , станция , который обрабатывает только пакеты L3.

  [admin @ Mikrotik]> / interface wireless set wlan1 mode = station  

Чтобы гарантировать, что ваша станция обнаружит вашу точку доступа, установите в ее список сканирования канал, который вы выбрали для своей ссылки.

  [admin @ Mikrotik]> / interface wireless set wlan1 scan-list = xxxx  

Установите SSID обоих радиоблоков

Выберите SSID для радиосвязи и установите для обоих радиомодулей один и тот же SSID.

  [admin @ Mikrotik]> / interface wireless set wlan1 ssid = groupxp2p  

Отображение SSID для инфраструктуры представляет собой угрозу безопасности.Любая любопытная или злонамеренная сторона, сканирующая беспроводной спектр, может найти ваш SSID и попытаться подключиться к нему. Для производственных ссылок может быть хорошей идеей скрыть SSID.

  [admin @ Mikrotik]> / interface wireless set wlan1 hide-ssid = yes  

Создать профиль безопасности

Создайте профиль безопасности для вашей ссылки, чтобы трафик был зашифрован. WPA2 — хороший выбор для соединения точка-точка. Создайте одинаковый профиль на обоих радиоблоках.

  [admin @ Mikrotik]> / interface wireless security-profiles add name = p2plink wpa2-pre-shared-key = "groupxkey" mode = dynamic-keys authentication-types = wpa2-psk  

Примените профиль безопасности к обоим радиоблокам.

  [admin @ MikroTik]> / interface wireless set wlan1 security-profile = p2plink  

Проверьте, подключена ли ваша ссылка, и отрегулируйте мощность

После согласования частот у вас должно быть подключенное соединение. Вы можете проверить это по регистрационной таблице:

  [admin @ MikroTik]> / interface wireless registration-table print  

Таблица регистрации также покажет вам уровни мощности, достигнутые вашим каналом. Попробуйте настроить мощность вашего канала так, чтобы уровень принимаемого сигнала на каждом конце составлял -50 дБмВт.

  [admin @ MikroTik]> / interface wireless set wlan1 tx-power-mode = all-rates-fixed tx-power = 1  

Используйте антенны, которые вы построили ранее на этой неделе, чтобы сфокусировать свою ограниченную мощность передачи и приема

.