Mikrotik dhcp server настройка: Расширенная настройка DNS и DHCP в роутерах Mikrotik

Настройка DHCP Server на Mikrotik. Связка DHCP + ARP • Smartadm.ru

Автор Админ На чтение 9 мин. Просмотров 2.6k. Опубликовано 02.12.2020
Обновлено 09.02.2021

В этой статье мы выполним настройку DHCP сервера на Mikrotik. Узнаем, как сделать привязку IP клиента к MAC-адресу и повысить безопасность сети используя связку DHCP + ARP с подробным описанием.

Освоить MikroTik вы можете с помощью онлайн-курса «Настройка оборудования MikroTik». В курсе изучаются все темы из официальной программы MTCNA. Автор – официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с оборудованием MikroTik, и тем, кто еще не держал его в руках. В состав входят 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Для чего на Mikrotik настраивать DHCP Сервер

Современную инфраструктуру сети трудно представить без использования протокола DHCP, который позволяет хостам автоматически получать заданные настройки, для работы в локальной сети предприятия, исключая фактор человеческой ошибки. Принцип работы протокола прост и заключается в следующем:

Оборудование с помощью клиента DHCP посылает запрос на сервер DHCP, который отвечает клиенту, выдавая и присваивая необходимые параметры сетевому оборудованию (IP-адрес, маска сети, шлюз, DNS и т.д.).

Настройка DHCP Server на роутере Mikrotik

Есть два способа настройки DHCP Сервера на Mikrotik:

• С помощью мастера настройки (DHCP Setup). Этот способ прост в реализации, но не дает глубокого понимания и дополнительных настроек;
• Ручной способ. Позволяет тонко настроить протокол, указав все необходимые параметры сервера.

Mikrotik. Настройка DHCP сервера с помощью мастера настройки.

Этот способ подойдет новичкам. Позволяет настроить DHCP server на роутере Mikrotik для получения основных параметров сети. Для быстрой настройки требуется выполнить:

• IP => DHCP Server => DHCP Setup.

Выберем интерфейс, на котором будет работать DHCP-сервер:

Указываем адрес и маску подсети. Маску можно указать сокращенным видом (/24), либо полным адресом (255.255.255.0):

Задаем адрес шлюза сети по умолчанию (в нашем случае — это ip адрес Mikrotik):

Назначим диапазон, из которого хосты сети будут получать IP-адрес:

Укажем DNS сервер:

Зададим время, на которое DHCP Server будет предоставлять аренду настроек устройствам:

Установим это значение равное 5 дням. Если у вас кафе, то логично задать меньшее значение.

На этом быстрая настройка DHCP сервера Mikrotik закончена.

Mikrotik. Ручная настройка DHCP Server

Данный метод позволяет более детально настроить DHCP сервер на маршрутизаторе Mikrotik, назначая все параметры вручную.

Сперва создадим пул адресов:

Зададим имя и адресное пространство пула:

• Name: DHCP-LAN;
• Address: 192.168.13.10-192.168.13.30;

Далее переходим по вкладкам:

• IP => DHCP Server => “+”.

В следующем окне настроим основные параметры DHCP сервера:

• Name: DHCP-LAN – имя для DHCP сервера;
• Interface: bridge1 – интерфейс с которого сервер будет принимать запросы от хостов;
• Lease Time: 5d 00:00:00 – Время аренды настроек для хостов;
• Adress Pool: DHCP-LAN – диапазон адресов для устройств, который мы создали ранее.

Перейдем к настройке сетевых параметров, которые будет получать оборудование. Для этого откроем вкладку:

• Address: 192.168.13.0/24 – адрес и маска подсети;
• Gateway: 192.168.13.254 – шлюз;
• DNS Server: 192.168.13.254 – DNS  серверы.

Дополнительные настройки DHCP-сервера на Mikrotik

Кроме основных параметров сети, Mikrotik позволяет настроить параметры DHCP более гибко. Рассмотрим несколько готовых решений.

Сетевая загрузка рабочих станций по PXE

Итак, у меня настроен LTSP сервер на Ubuntu. Я хочу, чтобы при загрузке тонкий клиент получал адрес TFTP сервера и скачивал образ ОС.

Для этого откроем сетевые настройки на вкладке Networks:

И укажем дополнительные параметры DHCP:

• Next Server: 192.168.13.200 – IP-адрес сервера на котором настроен LTSP;
• Boot File Name: /ltsp/i386/pxelinux.0 – путь к образу операционной системы.

Привязка клиентов по MAC адресу

Устройства MikroTik позволяют назначить IP-адрес с привязкой по MAC-адресу. Это может понадобиться, когда определенный хост сети должен обладать неизменным IP-адресом. Например, видео-сервер, к которому выполняется удаленное подключение.

Для начала посмотрим все устройства, которые получили настройки на текущий момент.

Из графического интерфейса:

• IP => DHCP Server => Leases.

Из командной строки:

/ip dhcp-server lease print

Находим устройство, IP-адрес которого хотим привязать по MAC, нажимаем правой кнопкой мыши:

Обратите внимание, что устройства, параметры которому присвоены динамически обозначены буквой «D» вначале. После того как мы назначим статический адрес, эта буква исчезнет.

Двойным нажатием левой кнопкой мыши по устройству откроем окно:

В строке “Address:” мы можем назначить нужный IP-адрес для хоста.

Из консоли:

/ip dhcp-server lease

add address=192.168.13.11 mac-address=XX:XX:XX:XX:XX:XX server=DHCP-LAN

где:

• address=192.168.13.11 – присваиваемый IP;
• mac-address=XX:XX:XX:XX:XX:XX — MAC-адрес устройства;
• server=DHCP-LAN –имя вашего DHCP сервера.

Настройка DHCP options на Mikrotik

При помощи опций DHCP-сервер может сообщать клиенту дополнительные параметры сети. Полный список стандартных опций описан в RFC2132.

Разберем пример настройки DHCP опции с кодом 6 на Mikrotik. С помощью которой мы заменим адрес DNS сервера по умолчанию, на безопасный DNS сервер Яндекса у конкретного устройства или для всей сети компании.

Откроем вкладку “Options” и добавим значение:

• IP => DHCP Server => Options => “+”.

• Name: ya_DNS – придумываем имя правила, интуитивно понятное;
• Code: 6 – код опции;
• Value: ‘77.88.8.7’ ‘77.88.8.3’ – IP-адрес DNS Яндекса (между IP нет пробела).

Обратите внимание, что IP-адреса указываются в одинарных кавычках.

Если опций несколько, то их объединяют в наборы. Очень удобная функция. Для этого открываем вкладку “Option Sets”:

• Name: Safe_inet – название нашего набора опций;
• Options: ya_DNS – выбираем ранее созданную опцию. Чтобы добавить несколько опций, нажимаем на стрелочку вниз и в новом поле добавляем опцию.

Чтобы применить созданный набор опций для конкретного клиента, перейдем во вкладку Leases и двойным нажатием левой кнопкой мыши на нужного клиента, откроем его настройки:

• DHCP Options Set: Safe_inet – выбираем созданный набор опций.

• DHCP Option Set: Safe_inet – устанавливаем созданный набор опций.

Чтобы установить набор опций для всей локальной сети компании, переходим на вкладку Networks и в настройках DHCP назначаем параметр:

ARP Таблицы

ARP протокол служит для определения MAC-адреса по заранее известному IP-адресу.

Работает ARP в следующих режимах:

• Enabled – работает в обычном режиме. Режим по умолчанию;
• Disabled – не работает;
• Proxy-arp – ответ на ARP-запросы от всех подключенных сетей. Когда мы подключаемся из другой сети (client-to-site, например, по L2TP соединению), установив данный режим работы, у нас получится определить MAC адрес другой сети;
• Local-proxy-ARP – на все запросы в ответе указывает MAC-адрес маршрутизатора вместо указания реального MAC-адреса нужного хоста. В этом режиме трафик обязательно будет обрабатываться маршрутизатором;
• Reply-only – только ответы на ARP-запросы. ARP-таблица должна быть заполнена статически. Маршрутизатор будет выполнять только ответы на ARP-запросы.

Режим Reply-only увеличивает безопасность сети, за счет того, что хосты не смогут выйти в интернет с IP-адресом, отличным от указанного в ARP-таблице;

Режим Reply-only, рекомендуется использовать только для маленьких сетей, так как каждое новое устройство необходимо внести в таблицу ARP вручную.

Как настроить ARP записи в Mikrotik

По умолчанию ARP таблица заполняется динамически. Эти данные мы можем увидеть открыв:

А также  можем статически привязать IP-адрес MAC нажав на нужную строку и выбрав пункт Make Static:

Таким образом, мы добавили ARP-запись.

Ручное добавление ARP записи Mikrotik

Если необходимо добавить ARP-запись вручную, то сделать это можно следующим образом:

В открывшемся окне зададим значения IP и MAC, указав интерфейс:

Добавляем ARP запись через DHCP на Mikrotik

Чтобы ARP-записи добавлялись при помощи DHCP, выполним следующую настройку:

• IP => DHCP Server;
• На вкладке DHCP, двойным нажатием левой кнопкой мыши, откроем свойства.

На странице General отметим галочкой пункт Add ARP For Leases:

Теперь DHCP-сервер на маршрутизаторе Mikrotik будет добавлять ARP-записи в таблицу. Это может быть полезно для небольшой сети. Давайте рассмотрим на примере, как можно повысить безопасность сети, используя данную функцию.

DHCP + ARP в Mikrotik. Повышаем безопасность локальной сети

В данном “кейсе” мы модифицируем конфигурацию DHCP сервера, показанную в данной статье, таким образом, что IP-адреса будут выдаваться из существующих записей, добавляя ARP запись. И переведем ARP протокол для внутренней сети в режим Reply-only, чтобы маршрутизатор Mikrotik выполнял только ответы на ARP-запросы.

Для начала назначим статический IP для хоста в сети:

• IP => DHCP Server => Leases.

Нажатием правой кнопкой мыши по устройству, выбираем пункт Make Static:

Далее переходим на вкладку DHCP и двойным нажатием открываем свойства.

На странице General меняем настройки:

• Address Pool: static-only, чтобы сетевые адреса назначались из существующих записей;
• Установить галочку Add ARP For Leases, при этом DHCP будет заполнять ARP таблицу.

Следующим шагом настроим режим reply-only для ARP, на интерфейсе Bridge:

• Interface => bridge1;
• На вкладке General установим свойство ARP в режим reply-only:

На этом настройка закончена. Теперь наш DHCP-Сервер выдает сетевые настройки только тем устройствам, MAC адрес которых присутствует в таблице. При этом заполняет ARP таблицу, запрещая хостам которых нет в таблице доступ в интернет.

Полезно будет ознакомиться со статьями:

Надеюсь, данная статья была вам полезна. Если возникли вопросы пишите в комментарии.

Освоить MikroTik вы можете с помощью онлайн-курса «Настройка оборудования MikroTik». В курсе изучаются все темы из официальной программы MTCNA. Автор – официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с оборудованием MikroTik, и тем, кто еще не держал его в руках. В состав входят 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Как привязать оборудование по MAC-адресу в веб-интерфейсе RouterOS на роутере MikroTik

Привяжите к роутеру по MAC-адресу оборудование для работы с Poster. Это поможет быстрее продолжить продажи, если в заведении выключится свет, потому что после его включения роутеру не понадобится время, чтобы найти подключённые устройства и раздать им новые IP-адреса. 

IP-адреса ваших устройств закрепятся за роутером MikroTik и уже не будут автоматически меняется.

Чтобы привязать устройство к MikroTik, выделите и привяжите конкретный IP-адрес из диапазона DHCP-сервера к MAC-адресу устройства:

1. Зайдите в веб-интерфейс роутера MikroTik.
2. В разделе WebFig откройте вкладку IP → DHCP Server → Leases. 
3. Выберите из списка устройство, которое хотите привязать по MAC-адресу. Нажмите Make Static и ОК.
4. Если вы хотите привязать устройство, которое ещё не подключено к роутеру, во вкладке IP → DHCP Server → Leases нажмите Add New.
5. В поле Address укажите IP-адрес из диапазона адресов DHCP-сервера, который хотите привязать к MAC-адресу устройства.
6. В поле MAC Address напишите MAC-адрес устройства.
7. В поле Server из списка выберите defconf.
8. В поле Comment обязательно укажите название устройства и нажмите ОК. 

Когда вы подключите устройство к сети, оно автоматически получит IP-адрес, который привязан к его MAC-адресу.

Чтобы снизить нагрузку с основной сети для оборудования, создайте отдельную гостевую сеть и сразу ограничьте её пропускную способность.

Прочитайте еще:

— Как подключить и настроить роутер MikroTik

— Как сбросить до заводских настроек роутер MikroTik

— Как настроить гостевую сеть в веб-интерфейсе RouterOS на роутере MikroTik

Настройка роутера Mikrotik | ООО «ИнфоЛада»

Настройка роутера Mikrotik

Для настройки роутера потребуется программа winbox с официального сайта.

1. Основные настройки
2. Доп настройка для юридических лиц
3. Настройка firewall
4. Обновление прошивки

Основные настройки

1. Подключаем наш Микротик в розетку, он издаст звук приветствия)
Затем опрашиваем бродкаст сети на наличие нашего роутера, он его нашел, нажимаем на мак адрес и коннект, Логин admin без пароля.

2. Создаем мост во вкладке Bridge, через синий ПЛЮС

3. Переходим во вкладку Ports.
Добавляем наш bridgelocal на локальный сетевой интерфейс, в который вы подключили компьютер. У меня это 4 порт Роутера.

4. Дальше идем во вкладку IP>DCHP Client
Жмем Плюс добавляем интерфейс в который включен Провод от Инфолады.

5. Видим что он получил адрес сети.

6. Далее нам необходимо дать роутеру ip адрес.
Переходим в IP>Addresses
Нажимаем Плюс и добавляем IP адрес роутера.Интерфейс выбирайте куда у вас подключен компьютер.

7. Теперь настраиваем DHCP Server, переходим IP>DHCP Server.
Нажимаем DCHP Setup

• Выбираем интерфейс Bridgelocal.

• Сеть оставляем как есть.

• Gateway оставляем такой же.

• Пул выдавайемых адресов оставляем.

• DNS он возьмет из интерфейса подключения.

• Время жизни IP адреса выставляем 24:00

8. Теперь осталось настроить Firewall.
переходим IP>Firewall
Вкладка NAT
Плюс добавляем правило.
Chain srcnat
Out.interface выбираем интефейс порт где у вас стоит кабель от ИнфоЛада.

9. Далее вкладка Action
выбираем masquerade.

10. После настройки необходимо пройти авторизацию на странице start.infolada.ru

11. Доп настройки для абонентов Юридических лиц:

Для комфортного подключения к сети ООО «ИнфоЛада» необходимо изменить параметр check-gateway в разделе Route с PING (выставлено по умолчанию) на ARP.

В случае, если используется VPN, которые инициируются с вашего маршрутизатора Mikrotik, то необходимо изменить значение MTU для VPN-интерфейса, которое выставляется автоматически, на значение 1540 байт или меньше. В этом случае величина MTU наилучшим образом скажется на прохождении трафика через сети ООО «ИнфоЛада»

Настройка firewall

Создание правил Firewall

переходим IP -> Firewall
Вкладка Filter Rules

Плюс добавляем первое правило.

В правиле вкладка General:

• Chain устанавливаем input
• In. Interface выбираем интерфейс (ether1) порт где у вас стоит кабель от ИнфоЛада.
• В Connection State ставим галочку на established

Далее переходим на вкладку Action:

• В Action устанавливаем accept

Нажимаем OK

Плюс добавляем второе правило.

В правиле вкладка General:

• Chain устанавливаем input
• In. Interface выбираем интерфейс (ether1) порт где у вас стоит кабель от ИнфоЛада.
• В Connection State ставим галочку на invalid

Переходим на вкладку Action:

• В Action устанавливаем drop

Нажимаем OK

Плюс добавляем третье правило.

В правиле вкладка General:

• Chain устанавливаем input
• In. Interface выбираем интерфейс (ether1) порт где у вас стоит кабель от ИнфоЛада.

Переходим на вкладку Advanced:

• В Address List пишем BLACK_LIST

Переходим на вкладку Action:

• В Action устанавливаем drop

Нажимаем OK

Плюс добавляем четвертое правило.

В правиле вкладка General:

• Chain устанавливаем input
• Protocol устанавливаем 6 (tcp)
• Dst. Port вписываем порты которые обычно подвержены атакам 0,21,22,23,69,80,5060,5061,7547,8291
• In. Interface выбираем интерфейс (ether1) порт где у вас стоит кабель от ИнфоЛада.

Переходим на вкладку Action:

• В Action устанавливаем add src to address list
• Address List пишем BLACK_LIST
• Timeout пишем 1d 00:00:00

Нажимаем OK

Плюс добавляем пятое правило.

В правиле вкладка General:

• Chain устанавливаем input
• In. Interface выбираем интерфейс (ether1) порт где у вас стоит кабель от ИнфоЛада.

Переходим на вкладку Advanced:

• В Address List пишем WHITE_LIST

Переходим на вкладку Action:

• В Action устанавливаем accept

Нажимаем OK

Плюс добавляем шестое правило.

В правиле вкладка General:

• Chain устанавливаем input
• In. Interface выбираем интерфейс (ether1) порт где у вас стоит кабель от Инфолады.

Переходим на вкладку Action:

• В Action устанавливаем drop

Нажимаем OK

Все правила должны идти по порядку как было указано при добавление.

Белый и черный список адресов можно посмотреть или добавить в IP -> Firewall на вкладке Address Lists

Обновление прошивки роутера

Обновление прошивки Mikrotik очень важно делать, так как компания своими прошивками закрывает всевозможные проблемы в программном обеспечении вашего роутера и нежелательные атаки из интернета.

Как обновить ваш роутер:

Заходим System -> Packages нажимаем на кнопку Check For Updates.

В открывшемся окне должен быть установлен в Channel stable, нажимаем кнопку Check For Updates. Если обновление будет найдено то в Latest Version отобразится новая версия прошивки и появятся две кнопки Download и Download&Install.

При нажатии на кнопку Download прошивка закачается, но для ее установки потребуется перезагрузить роутер самостоятельно.

При нажатии на кнопку Download&Install прошивка закачается и установится автоматически, устройство перезагрузится само без вашей помощи.

Рекомендуем устанавливать обновление в автоматическом режиме при нажатии кнопки Download&Install

Настройка подключения на роутерах MikroTik

Эта статья поможет быстро настроить роутер MikroTik с помощью упрощенного меню QuickSet.

Роутеры MikroTik — это очень надежные и функциональные устройства. Раньше настройка роутера MikroTik была достаточно сложной задачей для обычного пользователя. Позже в роутерах появилось специальное меню QuickSet для простой и быстрой настройки. Поэтому Вы можете смело покупать для домашнего пользования Wi-Fi роутеры MikroTik и самостоятельно настраивать их.

Подключение роутера MikroTik

Кабель с интернетом подключаем в первый LAN порт роутера — это WAN порт, иногда он подписан как «Internet». Компьютер подключаем к роутеру по Wi-Fi или по кабелю в любой из оставшихся LAN портов.
Если Вы подключаете компьютер к роутеру с помощью сетевого кабеля, проверьте, чтобы в настройках сетевой карты компьютера было выбрано «Получить IP-адрес автоматически».

Настройка QuickSet

Чтобы зайти в QuickSet, откройте браузер и в адресной строке введите адрес 192.168.88.1.

После этого автоматически откроется меню QuickSet, в котором выполняется настройка роутера MikroTik.

Мы будем настраивать двухдиапазонный Wi-Fi роутер, который работает на 2,4 ГГц и 5 ГГц.
Первым делом в правом верхнем углу выберите режим работы Home AP Dual (домашняя точка доступа двухдиапазонная).
Если Ваш роутер работает только на частоте 2,4 ГГц, то выберите режим Home AP.

Настройка Wi-Fi точки доступа

В разделе Wireless указываем параметры Wi-Fi точки доступа:

1. Network Name — введите название точки доступа для частоты 2,4 ГГц и 5 ГГц. Можно указать одинаковое название, но тогда при подключении будет сложно понять, какая из них на какой частоте работает.
2. Frequency — рабочая частота точки. Можно оставить без изменений auto. В этом случае роутер самостоятельно выберет наименее зашумленную Wi-Fi частоту.
3. Band — стандарты, в которых будет работать точка доступа. Для совместимости со старыми беспроводными устройствами выбираем 2GHz-B/G/N и 5GHz-A/N/AC.
4. Country — выбор страны. Выбрать страну Russia.
5. WiFi Password — придумайте и введите пароль для подключения к Wi-Fi точке доступа. Мы не рекомендуем использовать в качестве пароля: даты рождения, номер телефона, имя или фамилию, комбинации символов расположенных подряд на клавиатуре (такие как: 123456, 987654321, qweasd, zxcasd, qwerty, 000000 и иные аналогичные).

Настройка PPPoE

Мы предоставляем услугу доступа в интернет через PPPoE соединение.
В разделе Internet выполните следующие настройки:

1. Address Acquisition — выберите PPPoE;
2. PPPoE User — введите имя пользователя (логин или лицевой счёт) из договора на интернет;
3. PPPoE Password — введите пароль из договора на интернет;
4. MAC Address — ничего не менять, оставить как есть.

Настройка DHCP сервера и NAT

Чтобы роутер автоматически выдавал сетевые настройки компьютерам и Wi-Fi устройствам, а также разрешал доступ к интернету, необходимо в разделе Local Network настроить DHCP сервер и NAT:

1. IP Address — IP адрес роутера. Оставьте без изменений;
2. Netmask — укажите маску сети 255.255.255.0 (/24);
3. DHCP Server — поставьте галочку, чтобы включить DHCP сервер;
4. DHCP Server Range — диапазон IP адресов, которые будут выдаваться подключаемым устройствам. Оставьте без изменений;
5. NAT — поставьте галочку, чтобы разрешить доступ в интернет подключаемым устройствам.
6. UPnP — поставьте галочку (не обязательно), чтобы приложения, требующие проброски портов в интернет, могли это делать самостоятельно.

Установка пароля для входа в настройки MikroTik

Чтобы никто, кроме администратора (Вас) не смог войти в настройки роутера MikroTik и изменить их, необходимо установить пароль.

Для этого в разделе System в поле Password введите новый пароль и подтвердите его в поле Confirm Password.

ВАЖНО: Мы не рекомендуем использовать в качестве пароля: даты рождения, номер телефона, имя или фамилию, комбинации символов расположенных подряд на клавиатуре (такие как: 123456, 987654321, qweasd, zxcasd, qwerty, 000000 и иные аналогичные).

Применение настроек QuickSet

После введения настроек нажмите в правом нижем углу кнопку Apply Configuration, чтобы применить все настройки.

После применения настроек, чтобы войти в устройство, необходимо ввести логин и пароль. Логин по умолчанию admin.

Введите пароль и проверьте, чтобы в разделе Internet в полях DHCP Server и NAT стояли галочки, иначе доступ к интернету на компьютере не появится.

На этом настройка роутера MikroTik завершена.

[Конспект админа] Как подружиться с DHCP и не бояться APIPA

Сервис, выдающий IP-адреса устройствам в локальной сети, кажется одним из самых простых и всем знакомых. Тем не менее у моих младших коллег до сих пор временами всплывают вопросы вроде «компьютер что-то получает какой-то странный адрес», а появление второго DHCP-сервера в одном сетевом сегменте вызывает некоторый трепет или проблемы в работе сети.

Освоить MikroTik вы можете с помощью онлайн-курса «Настройка оборудования MikroTik». В курсе изучаются все темы из официальной программы MTCNA. Автор – официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с оборудованием MikroTik, и тем, кто еще не держал его в руках. В состав входят 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Чтобы у прочитавших этот материал такие вопросы не возникали, мне хотелось бы собрать в кучу основную информацию про работу механизмов выдачи адресов IP, особенности и примеры настройки отказоустойчивых и защищенных конфигураций. Да и возможно матерым специалистам будет интересно освежить нейронные связи.

Немного теории и решения интересных и не очень практических задач — под катом.

В современной локальной сети выдачей адресов обычно занимаются специализированные сервисы с поддержкой протоколов. Самым популярным из них является DHCP (Dynamic Host Configuration Protocol).

В принципе, специально для функционирования небольших сетей был создан стек технологий под названием Zeroconf. Он позволяет обойтись без каких-либо централизованных сервисов и серверов, включая, но не ограничиваясь выдачей IP-адресов. Им закрываются (ну, или почти закрываются) следующие вопросы:

Получение IP-адреса (Automatic Private IP Addressing или APIPA). Система сама назначает себе IP из сети 169.254.0.0/16 (кроме сеток /24 в начале и конце диапазона), основываясь на MAC-адресе и генераторе псевдослучайных чисел. Такая система позволяет избежать конфликтов, а адрес из этой сети называют link-local — в том числе и потому, что эти адреса не маршрутизируются.

Поиск по имени. Система анонсирует свое сетевое имя, и каждый компьютер работает с ним как с DNS, храня записи у себя в кэше. Apple использует технологию mDNS (Multicast DNS), а Microsoft — LLMNR (Link-local Multicast Name Resolution), упомянутую в статье «Домены, адреса и Windows: смешивать, но не взбалтывать».

Поиск сетевых сервисов. Например, принтеров. Пожалуй, самым известным протоколом является UPnP, который помимо прочего умеет сам открывать порты на роутерах. Протокол довольно сложен, в нем используется целый набор надстроек вроде использования http, в отличие от второго известного протокола — DNS-SD (DNS Service Discovery), который попросту использует SRV-записи, в том числе при работе mDNS.

При всех плюсах Zeroconf — без каких-либо сакральных знаний можно собрать рабочую сеть, просто соединив компьютеры на физическом уровне, — IT-специалистам он может даже мешать.

Немного раздражает, не так ли?

В системах Windows для отключения автонастройки на всех сетевых адаптерах необходимо создать параметр DWORD с именем IPAutoconfigurationEnabled в разделе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters и поставить ему значение 0.

Разумеется, Zeroconf подходит разве что для небольших изолированных сетей (например, встретились с приятелем с ноутбуками, соединили их по Wi-Fi и давай играть Diablo II, не тратя время на какие-то сервера), да и выводить локальную сеть в интернет тоже хочется. Чтоб не мучаться со статическими настройками каждого компьютера, были созданы специальные протоколы, включая героя дня — DHCP.

Одна из первых реализаций протокола для выдачи IP-адресов появилась более 30 лет назад и называлась RARP (Reverse Address Resolution Protocol). Если немного упростить принцип его работы, то выглядело это так: клиент делал запрос на широковещательный адрес сети, сервер его принимал, находил в своей базе данных привязку MAC-адреса клиента и IP — и отправлял в ответ IP.

Схема работы RARP протокола.

И все вроде работало. Но у протокола были минусы: нужно было настраивать сервер в каждом сегменте локальной сети, регистрировать MAC-адреса на этом сервере, а передавать дополнительную информацию клиенту вообще не было возможности. Поэтому на смену ему был создан протокол BOOTP (Bootstrap Protocol).

Изначально он использовался для бездисковых рабочих станций, которым нужно было не только выдать IP-адрес, но и передать клиенту дополнительную информацию, такую, как адрес сервера TFTP и имя файла загрузки. В отличие от RARP, протокол уже поддерживал relay — небольшие сервисы, которые пересылали запросы «главному» серверу. Это сделало возможным использование одного сервера на несколько сетей одновременно. Вот только оставалась необходимость ручной настройки таблиц и ограничение по размеру для дополнительной информации. Как результат, на сцену вышел современный протокол DHCP, который является совместимым расширением BOOTP (DHCP-сервер поддерживает устаревших клиентов, но не наоборот).

Важным отличием от устаревших протоколов является возможность временной выдачи адреса (lease) и передачи большого количества разной информации клиенту. Достигается это за счет менее тривиальной процедуры получения адреса. Если в старых протоколах схема была простая, вида запрос-ответ, то теперь схема следующая:

• Клиент ищет сервер широковещательным запросом, запрашивая в том числе и дополнительные настройки.
• Сервер отвечает клиенту, предлагая ему IP-адрес и другие настройки.
• Клиент подтверждает принятую информацию широковещательным запросом, указав в подтверждении IP-адрес выбранного сервера.
• Сервер соглашается с клиентом, отправляя ему запрос, по получении которого клиент уже настраивает сетевой интерфейс или отвергает его.

Схема общения клиента с сервером пересылки и сервером.

Подробнее про схему взаимодействия сервера и клиента и про структуру запросов и ответов можно почитать, например, в материале «Структура, формат и назначение DHCP пакетов».

На нескольких собеседованиях меня спрашивали: «А какой транспорт и порт использует DHCP?» На всякий случай отвечаем: «Сервер UDP:67, клиент UDP:68».

С разными реализациями DHCP-сервера сталкивались многие, даже при настройке домашней сети. Действительно, сейчас сервер есть:

• На практически любом маршрутизаторе, особенно SOHO.
• На системах Windows Server. О сервере и его настройке можно почитать в официальной документации.
• На системах *nix. Пожалуй, самое популярное ПО — ISC DHCP Server (dhcpd) и «комбайн» Dnsmasq.

Конкретных реализаций довольно много, но, например, на SOHO-маршрутизаторах настройки сервера ограничены. В первую очередь это касается дополнительных настроек, помимо классического «IP-адрес, маска, шлюз, сервер DNS». А как раз эти дополнительные опции и вызывают наибольший интерес в работе протокола. С полным списком можно ознакомиться в соответствующем RFC, я же разберу несколько интересных примеров.

В этом разделе я рассмотрю практическое применение опций DHCP на оборудовании MikroTik. Сразу обращу внимание на то, что не все опции задаются очевидно, формат параметров описан в wiki. Следует отметить также то, что опции клиент применяет, только когда сам их попросит. В некоторых серверах можно принудительно отправить настройки: например, в ISC DHCP Server за это отвечает директива dhcp-parameter-request-list, а в Dnsmasq —* *—dhcp-option-force. MikroTik и Windows такого не умеют.

Option 6 и Option 15. Начнем с простого. Настройка под номером 6 — это серверы DNS, назначаемые клиентам, 15 — суффикс DNS. Назначение суффикса DNS может быть полезным при работе с доменными ресурсами в недоменной сети, как я описывал в статье «Как мы сокращали персонал через Wi-Fi». Настройка MikroTik под спойлером.

Настройка MikroTik, option 15

#Добавляем опцию 15. содержимое — сконвертированный в HEX суффикс.

/ip dhcp-server option

add code=15 name=dns-suffix value=0x57687920616c6c207468697320736869743f

#создаем набор опций

/ip dhcp-server option sets

add name=dns option=dns-suffix

#Добавляем опцию к DHCP-серверу для клиентов.

/ip dhcp-server network

set [find comment="wi-fi client dhcp"] dhcp-option-set=dns

Знание, что сервер DNS — это тоже опция, недавно пригодилось мне, когда разным клиентам нужно было выдать разные серверы DNS. Решение вида «выдать один сервер и сделать разные правила dst-nat на 53 порт» не подходило по ряду причин. Часть конфигурации снова под спойлером.

Настройка MikroTik, option 6

#настройка опций, обратите внимание, что ip экранирован одинарными кавычками

/ip dhcp-server option

add code=6 name=google value="'8.8.8.8'"

add code=6 name=cloudflare value="'1.1.1.1'"

#настройка клиентов

/ip dhcp-server lease

add address=10.0.0.2 dhcp-option=google mac-address=11:11:11:11:11:11 server=dhcp

add address=10.0.0.3 dhcp-option=cloudflare mac-address=22:22:22:22:22:22 server=dhcp

Option 66 и Option 67. Эти настройки пришли еще с BOOTP и позволяют указать TFTP-сервер и образ для сетевой загрузки. Для небольшого филиала довольно удобно установить туда микротик и бездисковые рабочие станции и закинуть на маршрутизатор подготовленный образ какого-нибудь ThinStation. Пример настройки DHCP:

/ip dhcp-server option

add name="option66" code=66 value="s'192.168.88.1'"

add name="option67" code=67 value="'pxelinux.0'"

/ip dhcp-server option sets

add name="set-pxe" options=option66,option67

Option 121 и Option 249. Используются для передачи клиенту дополнительных маршрутов, что может быть в ряде случаев удобнее, чем прописывать маршруты на шлюзе по умолчанию. Настройки практически идентичные, разве что клиенты Windows предпочитают вторую. Для настройки параметра маршруты надо перевести в шестнадцатеричный вид, собрав в одну строку маску сети назначения, адрес сети и шлюз. Также, по RFC, необходимо добавить и маршрут по умолчанию. Вариант настройки — под спойлером.

Настройка маршрутов

Предположим, нам нужно добавить клиентам маршрут вида dst-address=10.0.0.0/24 gateway=192.168.88.2, а основным шлюзом будет 192.168.88.1. Приведем это все в HEX:

Соберем все это счастье в одну строку и получим настройку:

/ip dhcp-server option

add code=121 name=classless value=0x0A0000c0a8580200c0a85801

Подробнее можно прочитать в статье «Mikrotik, DHCP Classless Route».

Option 252. Автоматическая настройка прокси-сервера. Если по каким-то причинам в организации используется непрозрачный прокси, то удобно будет настроить его у клиентов через специальный файл wpad (pac). Пример настройки такого файла разобран в материале «Proxy Auto Configuration (PAC)». К сожалению, в MiroTik нет встроенного веб-сервера для размещения этого файла. Можно использовать для этого пакет hotspot или возможности metarouter, но лучше разместить файл где-либо еще.

Option 82. Одна из полезнейших опций — только не для клиента, а для DHCP-релея. Позволяет передать серверу информацию о порте коммутатора, к которому подключен клиент, и id самого коммутатора. Сервер на основе этой информации в свою очередь может выдать уже клиенту какой-то определенный набор настроек или просто занести в лог — чтобы в случае необходимости найти порт подключения клиента, не приходилось заходить на все свитчи подряд (особенно, если они не в стеке).

После настройки DHCP-Relay на маршрутизаторе в информации о клиентах появятся поля Agent Circuit ID и Agent Remote ID, где первое — идентификатор порта коммутатора, а второе — идентификатор самого коммутатора.

Выдача адресов с option 82.

Информация выдается в шестнадцатиричном формате. Для удобства восприятия при анализе журнала DHCP можно использовать скрипты. Например, решение для решения от Microsoft опубликовано в галерее скриптов Technet под названием «Декорирование DHCP опции 82».

Также опция Option 82 активно используется в системе биллинга провайдеров и при защите сети от посторонних вмешательств. Об этом чуть подробнее.

Ввиду простоты протокола и присутствия широковещательных запросов есть эффективные атаки на инфраструктуру — в основном типа MITM («человек посередине»). Атаки производятся посредством поднятия своего DHCP-сервера или релея: ведь если контролировать выдачу сетевых настроек, можно запросто перенаправить трафик на скомпрометированный шлюз. Для облегчения атаки используется DHCP starvation (представляясь клиентом или релеем, злоумышленник заставляет «родной» DHCP-сервер исчерпать свои IP-адреса). Подробнее про реализацию атаки можно почитать в статье «Атакуем DHCP», методом же защиты является DHCP Snooping.

Это функция коммутатора, которая позволяет «привязать» DHCP-сервер к определенному порту. Ответы DHCP на других портах будут заблокированы. В некоторых коммутаторах можно настроить и работу с Option 82 при ее обнаружении в пакете (что говорит о присутствии релея): отбросить, заменить, оставить без изменения.

В коммутаторах MikroTik включение DHCP Snooping производится в настройках бриджа:

#Включаем dhcp-snooping и option 82

/interface bridge

add name=bridge

set [find where name="bridge"] dhcp-snooping=yes add-dhcp-option82=yes

#ставим настраиваем доверенный порт

/interface bridge port

add bridge=bridge interface=ether1

add bridge=bridge interface=ether2 trusted=yes

Настройка в других коммутаторах происходит аналогичным образом.

Стоит отметить, что не все модели MikroTik имеют полную аппаратную поддержку DHCP Snooping — она есть только у CRS3xx.

Помимо защиты от злых хакеров эта функция избавит от головной боли, когда в сети появляется другой DHCP-сервер — например, когда SOHO-роутер, используемый как свич с точкой доступа, сбрасывает свои настройки. К сожалению, в сетях, где встречается SOHO-оборудование, не всегда бывает грамотная структура кабельной сети с управляемыми маршрутизаторами. Но это уже другой вопрос.

Красивая коммутационная — залог здоровья.

К другим методам защиты можно отнести Port Security («привязка» определенного MAC-адреса к порту маршрутизатора, при обнаружении трафика с других адресов порт будет блокироваться), Анализ трафика на количество DHCP-запросов и ответов или ограничение их количества, ну и, конечно, различные системы IPS\IDS.

Если говорить не только о защите сети, но и о надежности, то не лишним будет упомянуть и про возможности отказоустойчивого DHCP. Действительно, при своей простоте DHCP часто бывает одним из ключевых сервисов, и при выходе его из строя работа организации может быть парализована. Но если просто установить два сервера с идентичными настройками, то ни к чему, кроме конфликта IP-адресов, это не приведет.

Казалось бы, можно поделить область выдачи между двумя серверами, и пусть один выдает одну половину адресов, а второй — другую. Вот только парализованная половина инфраструктуры немногим лучше, чем целая.

Разберем более практичные варианты.

В системах Windows Server начиная с 2012 система резервирования DHCP работает «из коробки», в режиме балансировки нагрузки (active-active) или в режиме отказоустойчивости (active-passive). С подробным описанием технологии и настройками можно ознакомиться в официальной документации. Отмечу, что отказоустойчивость настраивается на уровне зоны, поэтому разные зоны могут работать в разном режиме.

Настройка отказоустойчивости DHCP-сервера в Windows.

В ISC DHCP Server для настройки отказоустойчивости используется директива failover peer, синхронизацию данных предлагается делать самостоятельно — например, при помощи rsync. Подробнее можно почитать в материале «Два DHCP сервера на Centos7…»

Если же делать отказоустойчивое решение на базе MikroTik, то без хитростей не обойтись. Один из вариантов решения задачи был озвучен на MUM RU 18, а затем и опубликован в блоге автора. Если вкратце: настраиваются два сервера, но с разным параметром Delay Threshold (задержка ответа). Тогда выдавать адрес будет сервер с меньшей задержкой, а с большей задержкой — только при выходе из строя первого. Синхронизацию информации опять же приходится делать скриптами.

Лично я в свое время изрядно потрепал себе нервов, когда в сети «случайно» появился роутер, подключенный в локальную сеть и WAN, и LAN интерфейсами.

Расскажите, а вам приходилось сталкиваться с проказами DHCP?

Освоить MikroTik вы можете с помощью онлайн-курса «Настройка оборудования MikroTik». В курсе изучаются все темы из официальной программы MTCNA. Автор – официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с оборудованием MikroTik, и тем, кто еще не держал его в руках. В состав входят 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Настройка роутера Mikrotik hAP Lite (RB941-2nD-TC)

Судя по статистике продаж, Mikrotik hAP lite — самый популярный роутер из нашего ассортимента. Причин тому можно найти великое множество, но две из них, на наш взгляд, самые значительные: во-первых, он стоит всего $20, во-вторых, это Mikrotik. В сумме получается «Mikrotik за $20», что действительно впечатляет.

Выскажем свое мнение о нем наперед: роутер более чем достоин внимания. Работает он очень стабильно, скорости проводного и беспроводного соединений обеспечивает вполне соответствующие заявленным, а функционал у него сравним с топовыми роутерами Cisco/Juniper, уходящие ценниками в заоблачные тысячи долларов. Недостатки тоже присутствуют: у него всего 4 порта Ethernet (включая порт WAN), радиомодуль слабоват и не поддерживает стандарт 802.11ac. Впрочем, тут как в известном пошлом анекдоте: «Ну а что вы хотели за 20 долларов?»

Итак, давайте приручим героя нашего материала. Наши исходные условия — это провайдер, выдающий нам динамический IP-адрес. Приступим:
1. Включаем кабель провайдера в 1-й порт роутера
2. Включаем кабель от компьютера в любой оставшийся свободным порт
3. Как и всем устройствам Mikrotik, по умолчанию hAP Lite присвоен IP-адрес 192.168.88.1. Присвоим нашему компьютеру сетевые настройки из той же подсети. Например, адрес 192.168.88.10, маску 255.255.255.0, шлюз 192.168.88.1, DNS 192.168.88.1:

4. Зайдем на роутер через браузер:

Тут сделаем небольшое отступление: в hAP Lite Mikrotik реализовала конфигурацию по умолчанию, которая предусматривает быстрый старт. На роутере уже настроено получение динамического адреса на 1-м интерфейсе, включен DHCP-сервер, настроен бридж между портами. По сути, в нашей топологии роутер заработал как положено сразу после включения. Впрочем, мы тут не за этим собрались, поэтому…

5. Выполним сброс роутера до заводских настроек. Для этого нажмем над секцией System кнопку Reset Configuration:

6. Отмечаем галочкой параметр No Default Configuration и нажимаем Reset Configuration:

7. Подтверждаем наше намерение:

8. Примерно через минуту роутер перезагрузится. Тут возникает небольшая заминка: после сброса роутера с удалением дефолтной конфигурации, ему больше не будет присвоен IP-адрес, и зайти на него браузером не удастся. Не беда, на этот случай у Mikrotik предусмотрено специальное приложение для настройки — WinBox. Скачиваем его с сайта http://www.mikrotik.com/download в разделе Useful tools and utilities:

9. WinBox не требует установки. Запускаем его и в нижней части нажимаем на вкладку Neighbors. В списке ниже должны появиться все устройства Mikrotik в пределах широковещательного домена. В нашем случае это будет единственный герой статьи. Кликаем на его MAC-адрес (это важно!), после чего нажимаем кнопку Connect в верхней части экрана:

10. Перед нами предстает во всей красе интерфейс роутера. Окно RouterOS Default Configuration закрываем нажатием Ок:

11. В меню слева нажимаем Interfaces. Отметим, что в пустой конфигурации на роутере отключен беспроводной интерфейс. Он называется wlan1. Выделяем его и нажимаем синюю галочку в верхней части окна. Это пригодится нам в недалеком будущем:

12. Двойным кликом открываем интерфейс ether2, меняем ему название на ether2-master и нажимаем Ок:

13. Теперь открываем интерфейс ether3, и меняем параметр Master Port на ether2-master:

14. Повторяем тоже самое действие для интерфейса ether4: открываем его и меняем параметр Master Port на ether2-master.

Данный абзац следует читать только сильно интересующимся технической стороной вопроса! Если вы открыли статью только для того, чтобы иметь перед глазами шпаргалку по настройке, то его можно пропустить!
А теперь расшифруем сделанное в пунктах 12-14: в отличие от более привычных бытовых роутеров, в роутерах Mikrotik порты по умолчанию не входят в единую матрицу коммутации, т.е. не являются составными частями коммутатора как такового. Чтобы «собрать» их в логический коммутатор, существует 2 способа: программный и аппаратный. Программный — bridge — использует для коммутации центральный процессор роутера. Аппаратный использует специальный аппаратный чип коммутации, при этом CPU не используется. Таким образом для работы портов в режиме коммутатора само собой напрашивается использование чипа коммутации. Теперь к проделанному ранее: мы переименовали порт ether2 в ether2-master, чтобы наглядно видеть в конфигурационной консоли, какой порт является мастером для остальных, и сообщили роутеру, что порт ether2 является мастер-портом для двух других. Используя мастер-порт, мы задействовали чип коммутации, и CPU теперь не занимается обсчетом коммутации пакетов между портами ether2-ether4. Подробнее о чипах коммутации, их возможностях можно почитать тут: http://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features

15. Создадим бридж для интерфейсов, образующих контур локальной сети. Слева в меню нажимаем Bridge, в первой вкладке Bridge нажимаем +, в открывшемся окне вводим имя бриджа (например, LAN) и нажимаем Ok:

16. Переходим во вкладку Ports, нажимаем +, выбираем Interface — wlan1, Bridge — LAN, нажимаем Ок:

17. Повторяем процедуру для интерфейса ether2-master.

18. Ваш итоговый список портов в бридже должен выглядеть вот так:

19. Как упоминалось выше, в нашей топологии провайдер предоставляет нам динамический IP-адрес. Включим DHCP-клиент на WAN-порту роутера. Для этого открываем в меню слева IP -> DHCP Client и в появившемся окне нажимаем +:

20. Кабель провайдера у нас вставлен в 1-й порт роутера. Выбираем Interface — ether1, обязательно ставим параметр Add Default Route в положение Yes и нажимаем Ок:

21. Теперь в окне DHCP-клиента будет видно, на каком интерфейсе включен DHCP-клиент, и какой адрес он получил:

22. Включим NAT. Для этого в меню слева открываем IP -> Firewall, переходим во вкладку NAT, нажимаем +, в появившемся окне ставим параметр Chain в положение srcnat, параметр Out. Interface в положение ether1:

23. Не покидая окошка New NAT Rule, переходим во вкладку Action, и ставим параметр Action в положение masquerade, после чего нажимаем Ok:

24. Настроим DNS. В меню слева IP -> DNS. Наш провайдер уже выдал нам 2 динамических сервера, но их список можно дополнить (заполняются в параметре Servers) собственноручно. Главное в данном окошке не забыть поставить галочку Allow Remote Requests, после чего можно нажимать Ok:

25. Пора присвоить роутеру IP-адрес для работы в локальной сети. Идем в меню слева IP -> Addresses, в открывшемся окошке нажимаем + и вводим IP-адрес/маску подсети. В нашем случае мы будем использовать 192.168.88.1/24. Параметр Interface следует установить в положение LAN (это наш Bridge, созданный на шаге 15; у вас он может называться по-другому), после чего можно нажимать Ок:

Теперь наш список IP-адресов должен принять примерно такой вид (само собой, адрес на интерфейсе ether1 у вас будет другим):

26. Кстати, у нас на компьютере уже должен появиться доступ в интернет! Проверим:

Действительно появился! Но празднование отложим на потом.

27. Теперь настроим DHCP-сервер. Идем в меню слева IP -> DHCP Server, в открывшемся окне нажимаем DHCP Setup:

28. Выбираем в качестве интерфейса, на котором будет работать DHCP, наш бридж — LAN, жмем Next:

29. Задаем адресное пространство. Мы планируем выдавать адреса в сети 192.168.88.0 с маской 255.255.255.0, поэтому вводим 192.168.88.0/24 и нажимаем Next:

30. Указываем шлюз. У нас это 192.168.88.1. Нажимаем Next:

31. Определяем пул IP-адресов, которые будут выдаваться клиентам. Здесь советуем вам принять решение самостоятельно, исходя из топологии сети. Мы будем использовать диапазон 192.168.88.2-192.168.88.254, вводим и жмем Next:

32. Вводим DNS-серверы (у вас могут быть свои, либо используйте общедоступные DNS от Google или Яндекс), нажимаем Next:

33. Вводим срок аренды IP-адресов (можно не менять предложенный по умолчанию), нажимаем Next:

На этом настройка сервера DHCP закончена:

34. Теперь настроим WiFi. Нажимаем в меню слева на Wireless, в открывшемся окошке открываем двойным кликом интерфейс wlan1, и устанавливаем параметры:

— Mode — ap bridge

— Band — 2GHz-B/G/N

— SSID — вводим название вашей WiFi-сети

— Wireless Protocol — 802.11

— WPS Mode — disabled

После этого нажимаем Ок:

35. Теперь установим пароль для нашей сети. Перейдем во вкладку Security Profiles, откроем профиль default. Теперь:

— устанавливаем параметр Mode в положение dynamic keys

— ставим галочку WPA2 PSK в параметре Authentication Types

— ставим все галочки в Unicast Ciphers и Group Ciphers

— в поле WPA2 Pre-Shared Key вводим пароль от WiFi-сети

— нажимаем Ок

36. Подключимся к WiFi, проверим его работоспособность. Активные подключения можно посмотреть во вкладке Registration:

37. Теперь отключим все интерфейсы управления роутером, кроме WinBox (если это необходимо — оставьте себе нужные, но с точки зрения безопасности без применения брандмауэра не рекомендуем). Для этого идем в IP -> Services, выделяем ненужные сервисы и жмем красный крестик:

38. Осталось установить пароль администратора. Идем в System -> Users, входим в профиль пользователя admin, нажимаем Password, вводим пароль дважды в поля New Password и Confirm Password и жмем Ок:

На этом настройку роутера можно считать законченной. Вот теперь можно праздновать! Впрочем, для успокоения совести измерим скорость интернета (провайдер предоставляет нам канал 70/70 Мбит/с):

Неплохо!

Инструкция по настройке маршрутизатора MikroTik

Содержание:

Маршрутизатор RB2011 — это достойное решение для небольшого офиса. Однако, в конфигурации по умолчанию присутствуют некоторые недостатки:

• В качестве WAN-порта используется интерфейс Ether1. Этот интерфейс гигабитный, как правило, выход в интернет осуществляется по каналу не выше 100 Мбит/сек и в таком случае использование гигабитного интерфейса не оправдано
• 100 Мбит порты заведены в соединение типа «мост» (bridge), что дает повышенную нагрузку на CPU маршрутизатора. Более логично использовать в этом случае встроенную микросхему коммутатора

Краткое описание настройки маршрутизатора RB2011, исходя из нашего опыта:

• В качестве основного выхода в интернет используем 100 Мбит интерфейс Ether10
• Интерфейс Ether9 нужно зарезервировать для дальнейшего использования, когда в этом возникнет необходимость
• Интерфейсы Ether6-Ether8 используются для подключения DMZ. Для этого настроим соответствующий Switch-процессор
• Гигабитные интерфейсы Ether1-Ether5 будем использовать для подключения локальной сети
• Wi-Fi будет использовать ключ WPA2-PSK и находиться в локальной сети

Приступаем к поэтапной настройке Mikrotik. Сначала необходимо зайти на сайт по адресу и скачать последнюю прошивку для вашего маршрутизатора. Она пригодится в дальнейшем.

Этап 1. Настройка Mikrotik

1. Подключаем компьютер в порт Ether 5. Есть возможность подсоединить и в любой другой, кроме Ether1, но лучшим вариантом будет именно Ether 5. Это упростит дальнейшую настройку.

Рисунок 1 — Веб-интерфейс Mikrotik

2. Скачиваем программу Winbox (ссылка отмечена красным прямоугольником).

После завершения загрузки программы необходимо закрыть браузер и запустить Winbox. В поле Address вводим 192.168.88.1, в поле User вводим admin. Поле Password оставляем пустым.

Рисунок 2 — Окно Winbox

3. Появляется окно приветствия с запросом о сохранении конфигурации по умолчанию.

Рисунок 3 — Окно Winbox

4. Выбираем Remove Configuration.

5. Завершаем работу с WinBox и подключаем компьютер в первый порт маршрутизатора.

6. Так как у маршрутизатора RB2011 после сброса конфигурации нет IP-адреса, необходимо воспользоваться mac-telnet. Для этого нужно снова запустить программу Winbox и справа от окна ввода адреса нажать на кнопку […]. Через некоторое время в окне появится mac-адрес маршрутизатора RB2011 и ip-адрес 0.0.0.0.

Рисунок 4 — Отображение MAC-адреса маршрутизатора

Щелкаем левой кнопкой мыши по MAC-адресу, чтобы он попал в поле «Connect to». И нажимаем на кнопку Connect.

7. После подключения к маршрутизатору берем ранее скачанный файл с прошивкой и перетаскиваем его в окно программы Winbox. В результате этого действия прошивка начнет загружаться на маршрутизатор.

Рисунок 5 — Загрузка файла с прошивкой

После окончания загрузки переходим в меню System и выбираем пункт Reboot.

Рисунок 6 — Выбор пункта Reboot в меню System

Подтверждаем перезагрузку устройства.

ВНИМАНИЕ. В момент обновления прошивки устройство может загружаться очень долго (до 3-5 минут). Ни в коем случае не выключайте питание!

8. После обновления прошивки необходимо обновить загрузчик устройства. Для этого заходим в меню System/Routerboard.

Рисунок 7 — Окно настройки интерфейса Ether1

И если версии Firmware отличаются, нажимаем кнопку Upgrade, после чего перезагружаем маршрутизатор.

Этап 2. Настройка внутренних адресов маршрутизатора. Настройка DHCP-сервера

1. После загрузки маршрутизатора RB2011 заходим в Winbox по MAC-адресу и приступаем к настройке внутренних интерфейсов. Сначала нам необходимо объединить порты 1-5 в общий аппаратный коммутатор. Ведущим портом в нем назначается порт номер 1 и его необходимо переименовать на LAN1-Master. Остальные порты получат название LAN-Slave. Для этого мы:

• Открываем меню Interfaces
• Двойным нажатием по интерфейсу Ether1 открываем окно и изменяем название порта на LAN1-Master. После чего нажимаем кнопку OK
• Затем открываем интерфейс Ether2, переименовываем порт на LAN2-Slave и в поле Master Port выбираем LAN1-Master

Рисунок 8 — Окно настройки интерфейса Ether2

Таким образом, порт добавляется в группу коммутатора с главным портом LAN1-Master. Аналогичные действия нужно провести с интерфейсами Ether3, Ether4 и Ether5.

После завершения операций в окне должно появится:

Рисунок 9 — Окно со списком интерфейсов

Буква S напротив интерфейса обозначает что он находится в состоянии Slave.

2. Теперь аналогичным способом настраиваются интерфейсы для DMZ.

Ether6 станет DMZ6-Master, а для Ether7 и Ether8 DMZ-Slave, установлена в качестве Master-порта интерфейс DMZ6-Master.

Рисунок 10 — Окно со списком интерфейсов

3. Необходимо переименовать интерфейсы Ether10 в WAN1. Интерфейс Ether9 остается незатронутым. При необходимости его можно использовать как еще один порт DMZ, указав на нем соответствующий Master-порт, или в качестве второго WAN-интерфейса, если нам потребуется резервирование канала. Также его можно будет добавить в описываемый в следующем разделе Bridge, чтобы получить еще один LAN-порт. В итоге должно получиться следующее:

Рисунок 11 — Окно со списком интерфейсов

4. Теперь необходимо создать интерфейс Bridge, который объединит коммутатор из интерфейсов LAN и интерфейс Wi-Fi.

• Для этого открываем меню Bridge, нажимаем кнопку с красным знаком [+] и в открывшемся окне вводим название нового интерфейса Bridge-Local, после чего нажимаем ОК.
• Переходим на закладку Ports и последовательно добавляем порт LAN1-Master и порт Wlan1.

Рисунок 12 — Окно создания интерфейса Bridge

После проведения последней операции должно получиться следующее:

Рисунок 13 — Список интерфейсов Bridge

5. Теперь назначим LAN-адрес маршрутизатора. В качестве адреса используется 192.168.88.1 с подсетью 255.255.255.0, что можно обозначить как 192.168.88.1/24.

Для этого нужно открыть меню IP/Adresses, в открывшемся окне нажать кнопку с красным знаком [+] и заполнить поля, как показано на рисунке 14, после чего нажимаем кнопку ОК.

Рисунок 14 — Окно добавления нового LAN-адреса

6. Теперь настраиваем DNS-сервер. Для этого зайти в меню IP/DNS, в открывшемся окне заполнить адреса DNS-серверов и поставить галочку рядом с Allow Remote Reqests.

Рисунок 15 — Окно с настройками DNS*

*В качестве примера введены адреса публичных серверов Google, необходимо заменить их на адреса, полученные у провайдера.

Для ввода второго и следующих DNS-серверов воспользуйтесь кнопкой «Стрелка вниз» рядом с полем ввода адреса сервера.

7. Переходим к настройке DHCP-сервера. Для этого нужно перейти в меню IP/DHCP Server и нажать кнопку DHCP Setup. В качестве интерфейса выбираем Bridge-Local.

Рисунок 16 — Окно с настройками DHCP

После чего нажать кнопку Next, пока в ячейке не появится «DNS Servers»

Рисунок 17 — Окно с серверами DNS

Нужно удалить нижний номер сервера нажатием на кнопку «стрелка вверх», рядом с полем, а в верхнем прописываем адрес маршрутизатора — 192.168.88.1.

Рисунок 18 — Окно с прописанным адресом маршрутизатора

Нажимаем кнопку Next до появления сообщения об успешной настройке DHCP.

Закрываем программу Winbox, вытаскиваем Ethernet кабель из ПК и вставляем его назад. Убеждаемся, что компьютер получил адрес от маршрутизатора.

После чего подключаемся к маршрутизатору по IP-адресу 192.168.88.1, который необходимо ввести в поле Connect to.

Этап 3. Настройка Wi-Fi

1. Заходим на вкладку Wireless. Дважды щелкаем кнопкой мыши по интерфейсу Wlan1.

Рисунок 19 — Окно с настройками Wlan1

Нажимаем на кнопку Advanced Mode и переходим на вкладку Wireless.

Заполняем значения, как приведено на рисунке. Измененные значения обозначены синим.

Рисунок 20 — Вкладка настроек Wireless

2. Переходим на вкладку Advanced. Вводим следующие значения:

Рисунок 21 — Вкладка настроек Advanced

3. Переходим на вкладку HT. Изменяем следующие параметры:

Рисунок 22 — Вкладка настроек HT

И применяем конфигурацию нажатием кнопки ОК.

4. Переходим на вкладку Security Profiles:

Рисунок 23 — Вкладка настроек Security Profiles

Дважды нажимаем на профиль default.

Выбираем mode=dynamic keys, ставим режим WPA2 PSK, aes-ccm и в поле WPA2 Pre-Shared Key вводим пароль на доступ к Wi-Fi.

Рисунок 24 — Настройка профиля безопасности

Нажимаем кнопку ОК.

5. Переходим на вкладку interfaces и нажимаем кнопку с синей галкой, чтобы включить беспроводной интерфейс.

Рисунок 25 — Завершение настройки Wi-Fi

Настройка Wi-Fi завершена.

Этап 4. Настройка безопасности маршрутизатора

1. Перед настройкой подключения к сети Интернет необходимо сначала настроить безопасность маршрутизатора, как минимум, отключив ненужные сервисы, и поменяв пароль администратора.

Рисунок 26 — Меню IP/Services

2. Последовательно выделяем сервисы FTP, Telnet и WWW. Нажатием на красный крест отключаем их.

Рисунок 27 — Деактивация сервисов

Этап 5. Настройка NAT

1. Перейти в меню IP/Firewall. В открывшемся окне перейти на закладку NAT и добавить новое правило. На закладке General выбрать Chain/srcnat и Out Interface=WAN1.

Рисунок 28 — Окно настройки NAT

2. На вкладке Action выбрать Masquerade.

Рисунок 29 — Окно настройки NAT. Вкладка Action

Сохраним правило, нажав кнопку OK.

Этап 6. Настройка подсети DMZ

Теперь нам необходимо задать адреса в сети DMZ. Для этого необходимо войти в меню IP/Addresses и задать адреса, которые будут использоваться в этой сети. Для примера, используем сеть 10.10.10.0/24 и адрес маршрутизатора 10.10.10.1/24.

Рисунок 30 — Настройка подсети DMZ

Этап 7. Настройка WAN

1. Для примера, провайдер нам выделил адрес 172.30.10.2 маску 255.255.255.252 и шлюз по умолчанию 172.30.10.1. Маска 255.255.255.252 имеет длину /30.
Заходим в меню IP/Addresses и добавляем адрес маршрутизатора.

Рисунок 31 — Настройка WAN

2. Затем переходим в меню IP/Routes и добавляем шлюз по умолчанию. (Шлюз по умолчанию задается маршрутом 0.0.0.0/0). Для этого добавляем маршрут:

Рисунок 32 — Настройка маршрута

Сохраняем его, нажав кнопку ОК. После чего, у Вас должен заработать интернет.

Этап 8. Настройка SNTP-клиента

Маршрутизаторы Mikrotik не имеют встроенного аппаратно-независимого таймера. Однако, нам необходимо, чтобы в журнале событий отображалось действительное время. Для этого необходимо настроить часовой пояс и SNTP-клиента.

1. Открываем меню System/Clock и выставляем свой часовой пояс (в примере Europe/Moscow):

Рисунок 33 — Настройка часового пояса

2. Затем нужно перейти в меню System/SNTP Client. Если у вас в сети нет NTP-сервера, воспользуйтесь открытым сервером NTP в Интернет. Например, ru.pool.ntp.org. Нам необходимо узнать IP-адреса серверов.

• В командной строке своего компьютера набираем команду: nslookup ru.pool.ntp.org
• Узнаем адреса серверов:
  
  : ru.pool.ntp.org
  
  Addresses:95.104.193.195 91.206.16.3 188.128.19.66 95.140.150.140
• Выбираем любые два из них и вводим в окно настройки NTP-Клиента

Рисунок 34 — Настройка SNTP

Нажимаем кнопку ОК, чтобы сохранить настройки.

На этом базовая настройка маршрутизатора успешно завершена.

В начало статьи

Конфигурация DHCP-сервера

в MikroTik Router

Протокол динамической конфигурации хоста (DHCP) — это протокол клиент / сервер, в котором DHCP-сервер автоматически предоставляет IP-адрес и другую связанную информацию, такую ​​как маска подсети, шлюз по умолчанию и DNS. клиентам DHCP. Сервер и клиент DHCP используют для связи UDP-порты 67 и 68. В сети DHCP-клиент (IP-устройства, такие как настольный компьютер, ноутбук, смартфон и т. Д.) Запрашивает аренду IP-адреса у DHCP-серверов, и DHCP-сервер отвечает, выделяя IP-адрес и другую связанную IP-информацию на определенный период.Таким образом, DHCP-сервер снижает огромные задачи сетевого администрирования системного администратора. Каждый маршрутизатор MikroTik Router имеет встроенную службу DHCP. Таким образом, системный администратор может легко превратить MikroTik Router в DHCP-сервер и упростить задачу администрирования сети.

MikroTik Конфигурация DHCP-сервера

Как правило, каждый маршрутизатор MikroTik имеет встроенную службу DHCP. Итак, если у вас есть маршрутизатор MikroTik, и вы хотите включить DHCP-сервер в своей сети с маршрутизатором MikroTik, чтобы уменьшить вашу задачу администратора, продолжайте читать оставшуюся часть этой статьи, где я покажу вам, как настроить DHCP-сервер в вашем маршрутизаторе MikroTik. .

Прежде чем приступить к настройке DHCP-сервера в маршрутизаторе MikroTik, я покажу вам базовую схему сети, на которой маршрутизатор MikroTik работает как DHCP-сервер, а также как сетевой шлюз. Надеюсь, ваша сеть почти такая же, как на приведенной ниже сетевой схеме, и вы хотите включить DHCP-сервер в своем маршрутизаторе MikroTik.

Схема сети с включенным DHCP и MikroTik Router

На приведенной выше сетевой схеме первый интерфейс (порт ether1) маршрутизатора MikroTik подключен к интернет-провайдеру для доступа в Интернет, и этот интерфейс известен как порт WAN.Все пользователи LAN подключены ко второму интерфейсу (порту ether2) маршрутизатора MikroTik через сетевой коммутатор. Теперь мы включим DHCP-сервер в этом втором интерфейсе, чтобы все пользователи LAN могли динамически получать сетевую информацию (IP, маску подсети, шлюз и DNS) с этого DHCP-сервера для доступа в Интернет. Но перед тем, как включить DHCP-сервер в роутере MikroTik, вам необходимо выполнить базовую настройку роутера MikroTik. Базовая конфигурация включает в себя назначение IP-адресов WAN и LAN, назначение IP-адреса шлюза, настройку DNS и создание правил NAT.Если вы новый пользователь MikroTik, пожалуйста, потратьте некоторое время на изучение моей предыдущей статьи о базовой конфигурации MikroTik Router с использованием Winbox и завершите базовую настройку вашего маршрутизатора MikroTik, а затем выполните следующие шаги, чтобы включить DHCP-сервер в вашем маршрутизаторе MikroTik.

1. Перейдите в меню IP> DHCP Server из вашего winbox. Появится окно DHCP-сервера.
2. В окне DHCP-сервер нажмите кнопку DHCP Setup и выберите интерфейс (в этой статье: ether2), в котором вы хотите настроить DHCP-сервер из раскрывающегося меню Интерфейс DHCP-сервера , а затем щелкните Следующая кнопка .
3. Теперь поместите сетевой блок LAN в поле ввода Адресное пространство DHCP и нажмите кнопку Далее . Клиент DHCP / пользователь LAN получит IP из этой сети.
4. Выберите адрес шлюза для данной сети в поле ввода Шлюз для сети DHCP и нажмите кнопку Далее .
5. Укажите диапазон IP-адресов, из которого ваш DHCP-клиент / пользователь LAN получит IP-адрес в поле ввода Address to Give Out и нажмите кнопку Next .
6. Укажите предпочитаемый IP-адрес DNS-сервера и нажмите кнопку Далее .
7. Теперь укажите время аренды IP и нажмите кнопку Далее . Срок аренды по умолчанию — 3 дня.
8. Настройка DHCP завершена, появится сообщение об успешном завершении.
9. Теперь подключите любое IP-устройство (настольный компьютер, ноутбук, смартфон и т. Д.) К вашей сети. Для этого устройства автоматически будет назначен IP-адрес от вашего DHCP-сервера MikroTik. Перейдите на вкладку «Аренда» и просмотрите статус аренды IP-адреса этого DHCP-клиента.

Если вы внимательно выполните вышеуказанные шаги, ваш маршрутизатор MikroTik превратится в DHCP-сервер, и пользователи вашей локальной сети теперь смогут получать IP-информацию с вашего DHCP-сервера MikroTik.Однако, если у вас возникнут проблемы с включением DHCP-сервера в маршрутизаторе MikroTik, посмотрите мое видео ниже о настройке DHCP-сервера в MikroTik Router. Надеюсь, это поможет вам успешно настроить DHCP-сервер MikroTik.

Настройка DHCP-сервера в MikroTik Router пошагово объяснялась в этой статье. Также был загружен видеоурок, чтобы вы могли без проблем настроить DHCP-сервер в маршрутизаторе MikroTik. Однако, если у вас возникнут какие-либо проблемы с настройкой DHCP-сервера в вашем маршрутизаторе MikroTik, не стесняйтесь обсуждать их в комментариях или свяжитесь со мной со страницы контактов.Я сделаю все возможное, чтобы остаться с тобой.

Руководство по установке Mikrotik Gateway

Как настроить Mikrotik для Hotspot Gateway

Важное примечание: Для этого решения требуется учетная запись оператора точки доступа на HotSpotSystem.com. Здесь вы можете создать учетную запись оператора. Если вы хотите узнать, какие функции вы сможете использовать с нашими решениями, нажмите здесь. Если у вас уже есть учетная запись оператора, читайте дальше …

Предварительные требования:

— Убедитесь, что ваше устройство Mikrotik работает под управлением RouterOS версии 6.32 минимум. Вы можете
Дополнительную информацию о том, как проверить и обновить RouterOS, можно найти на официальной Mikrotik Wiki.

— Убедитесь, что на вашем компьютере есть Winbox (неофициальная версия для Mac
можно скачать отсюда) — WebFig не будет работать с нашим методом установки

— Убедитесь, что у вас есть работающее подключение к Интернету, иначе конфигурация будет
провал. Подключите каскадный интернет-кабель к порту 1 (ether1) и подключите компьютер к порту 2.
(эфир2).(Конфигурация должна производиться с проводным подключением, это не сработает.
беспроводной.)

— Запустите маршрутизатор и подождите, пока он загрузится (вы должны услышать пару звуковых сигналов), затем откройте Winbox. Ваш маршрутизатор должен появиться в списке Neighbours — в противном случае вы можете либо нажимать Refresh , пока он не появится, либо просто введите MAC-адрес вашего устройства в поле Connect To (MAC-адрес можно найти внизу корпуса или на коробке).

— Если вы видите следующее диалоговое окно, нажмите кнопку Удалить конфигурацию :

— Если вы его не видели, перейдите в Система → Сброс конфигурации → Отметьте Нет конфигурации по умолчанию
Установите флажок, оставьте остальные не отмеченными и нажмите Reset Configuration .

Ваш маршрутизатор перезагрузится, поэтому, когда он станет доступным, подключитесь к нему снова.

— Войдите в Центр управления на нашем веб-сайте и перейдите на страницу Locations (Manage / Locations).Щелкните название местоположения для страницы с информацией о точке доступа.

— Нажмите Modify Hotspot Data & Settings , затем в настройках заставки измените URL-адрес внутреннего входа / выхода, установленный на Mikrotik, затем нажмите «Отправить».

— Как только вы вернетесь на страницу Location Detials , прокрутите вниз до раздела ROUTER SETUP COMMAND FOR THIS LOCATION , выберите Mikrotik, затем проверьте настройки там, если вы хотите настроить беспроводную точку доступа (установите wlan1 для интерфейс точки доступа) или шлюз точки доступа (установите
ether2 для интерфейса точки доступа), затем скопируйте команды настройки (вы можете использовать выделенный текст
и щелкните скрипт правой кнопкой мыши, затем выберите копию).

— В Winbox найдите New Terminal в левом меню и щелкните по нему, затем вставьте команды в новое окно, появляющееся либо щелчком правой кнопкой мыши в окне терминала, либо
выбрав «Вставить» или с помощью комбинации клавиш Shift + Insert (подождите, пока не отобразится запрос).

— После завершения сценария (убедитесь, что вы видите пустую подсказку, иначе просто нажмите Enter.
для выполнения последней команды), вы можете закрыть это окно и установить пароль маршрутизатора в Система → Пароль .

В редких случаях точка доступа не работает после завершения сценария. В этом случае просто перезапустите
маршрутизатор (либо с помощью System → Reboot , либо отключив его от сети на минуту).

Если вы являетесь оператором White Label, вам необходимо скопировать и отредактировать два файла из папки точки доступа на
твое устройство. Щелкните «Файлы» и перетащите файлы login.html и alogin.html на свой рабочий стол. Открыть
их в текстовом редакторе и заменить клиента.hotspotsystem.com с вашей точкой доступа White Label
Полное доменное имя. Сохраните файлы и перетащите их обратно, убедившись, что они находятся в папке точки доступа.

Поиск и устранение неисправностей:
Иногда некоторые необходимые файлы не создаются должным образом, и когда вы пытаетесь подключиться к точке доступа,
вы получите ошибку 404. В этом случае просто перейдите в Система → Сбросить конфигурацию → Установите флажок Нет по умолчанию.
Установите флажки Configuration и Do Not Backup и сбросьте конфигурацию, затем, когда маршрутизатор
снова становится видимым в Winbox, подключитесь к нему и повторно запустите сценарий установки, скопированный из Control
Центр.

Установите время аренды DHCP для точки доступа на 1 день в разделе IP> DHCP-сервер> откройте DHCP-сервер двойным щелчком> Время аренды> установите 1d 00:00:00.

Давайте настроим порты LAN 3 и 4 для использования с точкой доступа. Перейдите в Интерфейсы> ether3> вкладка General> Master port> ether2. Сделайте то же самое и с ether4.

Отсюда мы устанавливаем бесплатное подключение к Интернету через порт №5.

Перейдите в IP> Адреса. Щелкните значок +, чтобы добавить IP-адрес к порту ether5.Установите здесь частный диапазон IP-адресов, в нашем случае мы используем 192.168.20.1.

Адрес 192.168.20.1/24, сеть 192.168.20.0, интерфейс ether5, нажмите Применить и ОК.

Устанавливаем DHCP-сервер на интерфейсе ether5. Перейдите в IP> DHCP Server> DHCP Setup. Выберите ether5 для интерфейса, адресное пространство DHCP — 192.168.20.0/24, шлюз для сети DHCP — 192.168.20.1, DHCP-ретранслятор должен быть оставлен пустым, IP-адреса для выдачи будут 192.168.20.2-192.168.20.254, DNS-серверы — штраф 8.8.8.8 для DNS Google, время аренды может быть 1d 00:00:00 на один день. Если у вас есть какие-то конкретные планы, вы можете использовать здесь другое значение.

Mikrotik DHCP Option 43 Учебное пособие ~ двоичный тактовый сигнал

Пошаговые инструкции по настройке DHCP Option 43 на Mikrotik RouterOS 6.x

. Многие потребительские устройства позволяют передавать параметры конфигурации, такие как серверы автоматической инициализации и т. Д., Через DHCP. Опция 43 DHCP-сервера используется Yealink, Ubiquiti и Ruckus, а также многими другими.

Мне нужно было использовать его для отправки адреса сервера инициализации на несколько IP-телефонов Yealink T23G, чтобы упростить развертывание.

Я предполагаю, что у вас уже есть и работает Mikrotik Router, и что вы подключились к нему с помощью Winbox. Вам также необходимо убедиться, что у вас установлен пакет DHCP. В своих примерах я покажу каждый шаг, используя графический интерфейс, а также используя команды терминала для достижения того же результата.

Шаг 1. Добавьте IP-адрес в диапазон IP-адресов, который вы будете обслуживать DHCP

.

1. В Winbox нажмите IP, затем Адреса:

.

2. Нажмите «+» и добавьте соответствующие данные IP:

Код объявления:

IP-адрес добавить адрес = 192.168.50.1 интерфейс = ether5

Шаг 2. Настройте DHCP-сервер

.

1. Щелкните IP, затем DHCP Server:

.

2. Щелкните «Настройка DHCP» и выберите интерфейс, на котором должен работать сервер:

3. Нажмите «Далее» и введите подсеть, которую будет обслуживать DHCP-сервер. Это будет та же подсеть IP, которую вы установили на шаге 1:

.

4. Нажмите «Далее» и введите шлюз для сети, чаще всего (но не всегда) это будет IP-адрес, выбранный на шаге 1:

.

5.Нажмите «Далее» и введите диапазон IP-адресов, которые будет выдавать этот DHCP-сервер. Обычно я резервирую первые двадцать IP для статических устройств:

6. Нажмите «Далее» и введите IP-адрес своего DNS-сервера (ов):

.

7. Нажмите «Далее» и введите срок аренды. Обычно я просто оставляю его как есть.

8. Нажмите «Далее» и «ОК», чтобы завершить настройку DHCP:

.

Код объявления:

/ ip dhcp-сервер
добавить пул адресов = dhcp_pool1 disabled = no interface = ether5 name = dhcp1
/ ip dhcp-server network
добавить адрес = 192.168.50.0 / 24 dns-server = 8.8.8.8 шлюз = 192.168.50.1

Шаг 3. Добавление параметров DHCP

1. На DHCP-сервере перейдите на вкладку «Параметры» и нажмите кнопку «+»:

3. Введите соответствующие параметры для вашей системы. В моем случае я хотел предоставить IP-телефоны Yealink с адресом для сервера инициализации:

Имя: yealink-prov-srv
В поле имени может быть что угодно, чтобы помочь вам идентифицировать значение легко
Код: 43
Телефоны Yealink используют параметр DHCP 43 для запроса адреса сервера инициализации
Значение: ‘IP и путь сервера инициализации’
Обратите внимание на одинарные кавычки вокруг значения, это говорит Mikrotik, что это строковое значение, и это очень важно!

Mikrotik Wiki предоставляет следующую информацию о типах значений DHCP для ROS 6.8+:

• 0xXXXX — шестнадцатеричная строка (работает также в v5)
• ‘XXXXX’ — строка (работает также в v5, но без » вокруг текста)
• $ (XXXXX) — переменная (на данный момент переменных для сервера нет)
• ’10 .10.10.10 ‘- IP-адрес
• s’10.10.10.10 ‘- IP-адрес преобразован в строку
• ’10’ — десятичное число
• s’10 ‘- десятичное число преобразовано в строку

4. Перейдите на вкладку «Сети» в окне DHCP-сервера и дважды щелкните запись, которую мы создали ранее.

5. В разделе «Параметры DHCP» выберите параметр, который мы создали ранее, и нажмите «ОК», чтобы применить:

Код:

Параметр / ip dhcp-server
добавить код = 43 name = yealink-prov-srv value = «‘192.168.1.10/yealink/'»

ip dhcp-server network set dhcp-option = yealink-prov-srv numbers = 0

Вот и все, если вы перезагрузите свои телефоны, они теперь должны получить сервер инициализации через DHCP. Это одинаково хорошо работает для устройств Ruckus и Ubiquiti, которые используют DHCP для предоставления устройству основных данных конфигурации.

Mikrotik: как правильно настроить IPV6-маршрутизацию / DHCP-сервер

У меня в сети следующая конфигурация:

  ISP Router <- eth2 -> Mikrotik Router <- eth3-5 -> Внутренняя сеть
  

Мой маршрутизатор Интернет-провайдера получает динамический блок IPV6 / 64, который меняется каждый раз, когда я его перезагружаю.

Проблема в том, что устройства в моей внутренней сети не получают адрес IPV6, вероятно, из-за неправильной настройки DHCP-сервера в Mikrotik.

Я уже настроил DHCP-клиент в Mikrotik (IPV6 -> DHCP-клиент) и вижу блок / 64, назначенный моим интернет-провайдером.

Но я не могу настроить DHCP-сервер. Я попытался назначить пул в «IPV6 -> DHCP-сервер -> Добавить новый», но мои устройства по-прежнему не получают адреса IPV6.

Есть идеи о том, что не так? Пользуюсь версией 6.33.

Примечание. Если я подключаю устройство напрямую к маршрутизатору поставщика услуг Интернета, IPV6 работает правильно.

— Редактировать —

После комментария Майкла я смог добиться некоторого прогресса.Я отключил DHCP-сервер в Mikrotik и добавил новый адрес в «IPV6 -> Адреса» с флагом рекламы и с использованием пула, созданного DHCP-клиентом.

Все устройства в моей внутренней сети получают адреса IPV6 и могут пинговать друг друга. К сожалению, я не могу пинговать внешние хосты.

В Mikrotik я могу пинговать только внешние хосты, только если отмечу опцию «Запросить адрес» в / ipv6 dhcp-client. В противном случае пинг в Mikrotik не работает.

Пример: попытка ping ipv6.google.com.

  / пинг 2800: 3f0: 4001: 801 :: 200e
  SEQ HOST SIZE TTL TIME STATUS
    0 2800: 3f0: 4001: 801 :: 200e тайм-аут
    1 2800: 3f0: 4001: 801 :: 200e тайм-аут
    2 2800: 3f0: 4001: 801 :: таймаут 200e
    отправлено = 3 получено = 0 потеря пакетов = 100%
  

Вот как выглядит мой маршрут:

  / ipv6 route> печать
Флаги: X - отключен, A - активен, D - динамический, C - подключиться, S - статический, r - rip, o - ospf, b - bgp, U - недоступен.
 # DST-ADDRESS GATEWAY DISTANCE
 0 ADS :: / 0 fe80 :: e297: 96ff: fe6a :... 1
 1 ADC 2001: 1284: ****: 90dd :: / 64 ether2-master-local 0
 2 DSU 2001: 1284: ****: 90dd :: / 64 1
  

Как настроить Mikrotik в качестве центрального DHCP-сервера с коммутаторами в качестве DHCP-реле

27 апреля 2013 г.

Я нашел много статей о том, как настроить Mikrotik RouterOS в качестве ретранслятора DHCP или простого DHCP-сервера, но не нашел статьи о следующей настройке:

• центральный DHCP-сервер Mikrotik (e.грамм. в дата-центре)
• несколько VLAN / подсетей для клиентов, которые подключены через коммутатор уровня 3 (или даже несколько переходов) к центральному центру обработки данных

Согласно Mikrotik Wiki и описанным параметрам это возможно, но не показан пример, и все используют мастера установки для настройки DHCP-сервера. Я скажу, что большинство людей не знают, что происходит в фоновом режиме … Я покажу это по старинке. 😉

Настройка для этого примера / howto

В этом примере мы предполагаем, что у нас есть 4 VLAN со следующими подсетями:

• 10.88.0.0 / 24 (VLAN дата-центра для серверов и DHCP-сервера)
• 10.88.10.0/24 (расположение сети клиентов 1)
• 10.88.11.0/24 (сетевое расположение клиентов 2)
• 10.88.12.0/24 (сетевое расположение клиентов 3)

Mikrotik имеет IP 10.88.0.100 и подключен через ether1 к VLAN центра обработки данных. Коммутаторы Layer3 всегда используют IP-адрес .1 в клиентских сетях.

Коммутаторы уровня 3 / DHCP-реле

Большинство (если не все) коммутаторы, способные выполнять хотя бы простые задачи уровня 3 (часто также обозначаемые как коммутаторы уровня 2 +), способны пересылать запросы DHCP.Для этого обратитесь к руководству по эксплуатации переключателя. Одна настройка, с которой я столкнулся, иногда приводит к проблемам. Это называется «задержкой ретрансляции DHCP» и иногда в конфигурации по умолчанию устанавливается на 1 или 2 секунды. Этот параметр позволяет локальному DHCP-серверу отвечать быстрее, но иногда (специально встроенные клиенты) не ждут так долго и возникают ошибки. Если нет локального DHCP-сервера, установите этот таймер на 0 секунд.

Вам необходимо установить IP-адрес DHCP-сервера на коммутаторе на IP-адрес Mikrotik.

Mikrotik в качестве DHCP-сервера

Сначала настраиваем наши пулы клиентских сетей, микротик выдаст IP из этого диапазона:

/ ip pool
добавить имя = poolClientsLocation1 диапазоны = 10.88.10.10-10.88.10.250
добавить имя = poolClientsLocation2 диапазоны = 10.88.11.10-10.88.11.250
добавить имя = poolClientsLocation3 диапазоны = 10.88.12.10-10.88.12.250

Теперь нам нужно установить конфигурацию, которую DHCP-сервер будет раздавать клиентам:

/ ip dhcp-server network
добавить адрес = 10.88.10.0 / 24 dns-server = 10.88.0.100 gateway = 10.88.10.1
add address = 10.88.11.0 / 24 dns-server = 10.88.0.100 gateway = 10.88.11.1
add address = 10.88.11.0 / 24 dns-server = 10.88.0.100 шлюз = 10.88.12.1

И, наконец, мы настраиваем, какой DHCP Relay получает какую конфигурацию / пул:

/ ip dhcp-server
add address-pool = poolClientsLocation1 authoritative = yes disabled = no interface = ether1 lease-time = 1w name = dhcpClientsLocation1 relay = 10.88.10.1
add address-pool = poolClientsLocation2 authoritative = yes disabled = no interface = ether1 lease-time = 1w name = dhcpClientsLocation2 relay = 10.88.11.1
добавить пул адресов = poolClientsLocation3 authoritative = yes disabled = no interface = ether1 lease-time = 1w name = dhcpClientsLocation3 relay = 10.88.12.1


Это все… 😉

RSS канал для комментариев к этому сообщению.
TrackBack URI

Установка

MikroTik Установка сервера

Маршрутизаторы MikroTik требуют другого процесса установки, чем большинство других маршрутизаторов: они загружают программное обеспечение с серверов в сети, а не вы загружаете программное обеспечение на устройство.Для этого вам необходимо настроить необходимые серверы, прежде чем вы сможете установить Commotion на свое устройство MikroTik. Вам необходимо настроить три сервера:

Установить и настроить dnsmasq

Сначала отключите компьютер от любой сети, к которой вы подключены. После настройки сервер dnsmasq может назначать IP-адреса любому компьютеру в вашей сети, что может вызвать странное поведение. По этой причине вы должны быть очень осторожны и включать сервер только тогда, когда вы используете его для установки Commotion.В остальное время, когда ваш компьютер работает, служба dnsmasq должна быть отключена. Мы рассмотрим это ниже.

Затем откройте окно терминала и введите:

 sudo apt-get install dnsmasq 

Подождите, пока ваша система установит пакет, затем остановите службу, если она работает:

 служба sudo dnsmasq stop 

Вы должны увидеть сообщение о том, что сервер отключен.

Также вам следует отключить запуск dnsmasq при загрузке компьютера:

 sudo update-rc.d -f dnsmasq удалить 

Затем настройте dnsmaq для предоставления только тех сервисов, которые необходимы для установки Commotion. Они должны предоставить DHCP-сервер на проводном порту Ethernet и разрешить службе TFTP / BootP обслуживать файлы маршрутизаторам.

Dnsmasq настраивается в файле /etc/dnsmasq.conf . Существует множество вариантов настройки dnsmasq, и ниже приведены только строки, необходимые для настройки сервера установки.

# Наш сервер имеет только один порт Ethernet.Проверьте свой, чтобы убедиться
вы включаете правильный порт
interface = eth0
# bind-interfaces

# Вы можете указать любой dhcp-диапазон, который вам нравится, или в соответствии с вашим
специфические требования среды (например, если это
производственный сервер)
dhcp-диапазон = 192.168.10.100,192.168.10.120,255.255.255.0,12h

dhcp-leasefile = / var / lib / misc / dnsmasq.lease

# Для каждого устройства, с которого вы хотите загружаться по TFTP, вам нужен dhcp-host
запись с MAC-адресом и IP-адресом для этого клиента.
# Вам нужно будет найти MAC-адрес устройства и
добавьте сюда строчку, чтобы его можно было распознать.dhcp-host = хх: хх: хх: хх: хх: хх, 192.168.10.101

# Имя загрузочного файла, передаваемого dhcp-hosts. Этот
файл должен быть сохранен в папке 'tftp-root' (см. ниже)
dhcp-boot = openwrt-ar71xx-nand-vmlinux-initramfs-lzma.elf

# Включить встроенный tftp / bootp сервер dnsmasq
enable-tftp

# Укажите, откуда на этом сервере будут обслуживаться файлы TFTP / BOOTP.
сервер
tftp-root = / var / lib / tftproot
лог-запросы
log-dhcp
 

Вы можете скачать файл здесь и использовать следующие шаги, чтобы переместить его на место. (Щелкните правой кнопкой мыши и выберите «Сохранить ссылку как… «)

Сначала вам нужно отредактировать файл dnsmasq.conf, чтобы указать MAC-адрес Ethernet вашего устройства MikroTik. В приведенном выше примере файла строка гласит:

.

 dhcp-host = xx: xx: xx: xx: xx: xx, 192.168.10.101 

Раздел «xx.xx.xx.xx.xx.xx» обозначает MAC-адрес вашего маршрутизатора. Вам нужно будет изменить это на правильный MAC-адрес для вашего устройства MikroTik. Номер будет выглядеть примерно так: a6: 9b: 45: 23: ab: f2 и должен был находиться в коробке с маршрутизатором, либо на наклейке, либо на листе бумаги.Оставьте его прикрепленным к маршрутизатору или сохраните в файле на случай, если вам понадобится снова запустить этот процесс установки.

Вы можете использовать свой любимый текстовый редактор, чтобы отредактировать предоставленный файл перед его копированием с помощью приведенной ниже команды. Например, чтобы запустить редактор gedit для файла конфигурации, введите:

 gedit ~ / location_of_file / Commotion_dnsmasq.conf 

Сделайте резервную копию существующего файла dnsmasq.conf, прежде чем копировать что-либо поверх него.

 судо мв / etc / dnsmasq.conf /etc/dnsmasq.conf.bak 

Затем скопируйте отредактированный файл в соответствующий каталог:

 sudo cp ~ / location_of_file / Commotion_dnsmasq.conf /etc/dnsmasq.conf 

(где location_of_file — это место, где вы сохранили файлы программного обеспечения Commotion)

Вам нужно будет создать каталог для файлов, из которых будут загружаться через TFTP. Для этого введите в командной строке следующее:

судо mkdir / var / lib / tftproot
sudo cp ~ / расположение_файла / openwrt-ar71xx-nand-vmlinux-initramfs-lzma.эльф / вар / библиотека / tftproot /
 

(где location_of_file — это место, где вы сохранили файлы программного обеспечения Commotion)

Мы не будем запускать dnsmasq в этом руководстве до конца.

Установка и настройка lighttpd

Откройте терминал и введите в командной строке следующее, чтобы установить пакет веб-сервера:

 sudo apt-get install lighttpd 

Подождите, пока ваша система установит пакет, затем остановите службу, если она работает:

 sudo service lighttpd stop 

Вы должны увидеть сообщение о том, что сервер отключен.

Кроме того, вы должны отключить запуск lighttpd при загрузке компьютера:

 sudo update-rc.d -f lighttpd удалить 

Веб-страницы и файлы

Lighttpd по умолчанию размещены в / var / www. Вы скопируете установочные файлы в / var / www с помощью команд:

sudo cp ~ / location_of_file / openwrt-ar71xx-nand-vmlinux-lzma.elf / var / www /
sudo cp ~ / location_of_file / openwrt-ar71xx-nand-rootfs.tar.gz / var / www /
 

(где location_of_file — это место, где вы сохранили файлы программного обеспечения Commotion)

После загрузки по сети устройство использует специальную программу под названием wget2nand на маршрутизаторе для установки ядра и файловой системы на устройство.Вот почему файлы должны размещаться на вашем веб-сервере.

Запустить серверные программы

Теперь, когда вы установили оба серверных пакета и скопировали файлы в нужные места, мы можем запустить серверные программы и продолжить выполнение других необходимых шагов по установке.

Перед тем, как сделать это, вам необходимо настроить порт Ethernet вашего компьютера на статический IP-адрес, указанный ниже:

• IP-адрес: 192.168.10.254
• Сетевая маска: 255.255.255.0
• Шлюз: ничего или пусто

В терминале введите следующие команды:

запуск службы sudo dnsmasq
sudo service lighttpd start
 

Dnsmasq теперь должен предоставлять аренду DHCP для маршрутизаторов, подключенных к вашему компьютеру (напрямую или через коммутатор Ethernet), и для устройств в файле конфигурации, которые определены строкой dhcp-host, которую вы редактировали ранее (dhcp-host = xx: xx : xx: xx: xx: xx, 192.168.10.101), dnsmasq предоставит файл прошивки Commotion для сетевой загрузки.Чтобы убедиться, что dnsmasq запущен, вы можете подключить порт Ethernet, указанный в вашей конфигурации, к коммутатору, а затем подключить ПК или ноутбук к тому же коммутатору. ПК должен получить от сервера аренду DHCP.

Lighttpd также должен быть запущен на этом этапе. Он будет обслуживать веб-страницы на любом компьютере, который может к нему подключиться, и будет предоставлять файлы программного обеспечения Commotion маршрутизаторам, подключенным к упомянутому выше коммутатору. Чтобы убедиться, что lighttpd запущен, откройте веб-браузер и введите «http: // localhost» в адресную строку.Вы должны увидеть веб-страницу по умолчанию — что-то вроде «страницы-заполнителя».

На этом этапе вы можете вернуться к руководству по установке на маршрутизаторе MikroTik.

Как настроить DHCP-сервер и пул IP-адресов в устройствах Mikrotik

DHCP (протокол динамической конфигурации хоста), в основном протокол управления сетью, используемый для динамического назначения IP-адреса любому сетевому устройству.

В этом руководстве мы попытаемся настроить DHCP-сервер в роутере Mikrotik.

Рассмотрим следующую схему, на которой мы можем увидеть конфигурацию шлюза LAN на интерфейсе ether1.мы настроим DHCP-сервер для LAN 192.168.0.0/24.

Во-первых, у нас есть вход в Mikrotik с правами администратора. Щелкните вкладку IP , а затем щелкните пул с по создать пул IP для сервера DHCP.

В окне IP Pool щелкните Pools, , затем щелкните символ + , а затем укажите имя пула в Name здесь мы используем Local_Pool, затем укажите диапазон IP-адресов, мы используем 192.168.0.2-192.168.0.254, затем нажмите ОК .Но вы можете создать диапазон IP-адресов по своему усмотрению и создать несколько пулов. Здесь Next pool не выбран, но вы можете выбрать другой созданный пул в Next Pool, если больше требований IP по существующему пулу.

Затем Local_Pool создаст.

Теперь щелкните IP , затем щелкните DHCP Server , чтобы создать DHCP-сервер.

Теперь в окне DHCP-сервера нажмите DHCP, затем нажмите + знак, чтобы создать новый DHCP-сервер, здесь вы можете поместить имя DHCP-сервера в тег имени, мы используем «server1», выберите интерфейс LAN в теге интерфейса, где будет применяться DHCP-сервер, мы используем «ether1» для локальной сети, затем выбираем пул адресов, который мы создали ранее в IP Pool.