Страница 1 из 2 12 ПоследняяПоследняя
Показано с 1 по 10 из 14

Тема: F.A.Q по Mikrotik и RouterOS

  1. #1
    All over WiFi
    Регистрация
    11.06.2010
    Адрес
    KN86JR
    Сообщений
    1,936
    Вес репутации
    63

    По умолчанию F.A.Q по Mikrotik и RouterOS

    Приветствую всех.

    Преамбула:
    Я сам не так давно занялся плотным изучением (и применением) RouterOS как на устройствах производства Mikrotik, так и на x86. В связи с этим, столкнулся с тем, что информация очень разрознена (капля в одном месте, еще несколько - в другом), и на разных языках. Есть конечно WIKI самого Mikrotik, но там информация зачастую чисто теоретическая или неполная. Предлагаю всем делиться практическими наработками по настройке и реализации разных сценариев обработки и маршрутизации трафика.

    Убедительная просьба: писать в тему только замечания по существу или рекомендации, проверенные лично вами на практике. Тема будет постоянно модерироваться и сводиться в некое подобие практического руководства по RouterOS. Начнем...

    Раздел 1. Базовая настройка.

    Глава 1.1. Настройки по умолчанию.


    Устройства Mikrotik "из коробки" обычно настроены следующим образом:
    - Порт N1, он-же ether1-gateway, настроен на подключение к провайдеру (аналог порта WAN или Internet в устройствах других производителей) по DHCP, остальные порты настроены как свич и предназначены для подключения устройств вашей локальной сети.
    - По умолчанию включен NAT.
    - Firewall настроен таким образом, чтобы пропускать из локалки наружу любой трафик, а снаружи только тот, который запрашивался локальными хостами, а также Ping.
    - Локальный DHCP включен и выдает адреса из подсети 192.168.88.0/24, в качестве шлюза и DNS выступает адрес самого Mikrotik (192.168.88.1/24).
    - Включен кеширующий DNS-сервер, который в качестве вышестоящих DNS-серверов использует адреса, полученные от вашего провайдера по DHCP.

    Если вам просто нужно раздать интернет на несколько компьютеров и ваш провайдер работает по DHCP, то ваша задача сводится к тому, чтобы правильно подключить кабели. Но обычно устройства Mikrotik покупают не для решения таких простых задач ))

    Глава 1.2. Настройка подключения PPPoE к провайдеру (через winbox).

    1.2.1. Идем в "PPP" на вкладку "Interfaces", нажимаем значок "+" и в меню выбираем "PPPoE Client".

    1.2.2
    . В появившемся окне вводим следующие настройки:

    Вкладка "General":
    - Name: название подключения. Можно оставить по умолчанию (pppoe-out1) или изменить как вам нравится. Кириллицу использовать не рекомендуется.
    - Max MTU и Max MRU: поищите в инструкции, которую вам должен был выдать провайдер. Если не найдете - оставляйте по умолчанию.
    - Interfaces: выбираем порт, который подключен к сети провайдера (по умолчанию ether1-gateway).

    Вкладка "Dial-Out":
    - Service: обычно эта информация выдается провайдером, поищите в договоре или в инструкции по настройке. Если не указать здесь ничего, то Mikrotik будет пытаться установить связь с любым доступным PPPoE-сервером.
    - User: ваше имя пользователя, которое вы согласовали с провайдером или которое вам выдал провайдер.
    - Password: ваш пароль доступа к сети провайдера.
    - Profile: профиль безопасности. Если шифрование для вас не важно, можно оставить default, если обязательно - нужно переключить на default-encruption. Если не уверены, что выбрать - узнайте у провайдера, используется ли шифрование.
    - Dial on Demand: установите этот флажок, если вы хотите, чтобы Mikrotik подключался к провайдеру только если с одного из ваших устройств запрошено подключение к интернет. И держал соединение отключенным, если выход в интернет никому не требуется.
    - Add Default Route: использовать ли шлюз, предоставляемый провайдером, в качестве шлюза по умолчанию. По умолчанию включено и должно быть включено, если вы используете это подключение для доступа к интернет.
    - Use Peer DNS: использовать ли предоставляемые провайдером адреса DNS-серверов. Если вы хотите использовать адреса, предоставляемые провайдером и не планируете использовать альтернативные DNS (либо использовать провайдерские вместе с альтернативными), то включите этот флажок.
    - Allow: если в выданных провайдером настройках не указаны протоколы авторизации, то можно оставить без изменений. Если указаны, то оставьте только указанные провайдером. Большинство провайдеров используют mschap2.

    Вкладки Status и Trafic информационные и на них ничего настраивать не нужно.

    Для проверки доступности PPPoE-сервера провайдера можно использовать кнопку PPPoE Scan, расположенную справа.

    Обязательно нажимаем "OK" для сохранения настроек и идем дальше.

    1.2.3.
    Идем в "IP", затем "Firewall" и переходим на вкладку "NAT".

    Если у вас здесь стоят настройки по умолчанию, то их нужно изменить следующим образом: в пункте "Out Interface" выбрать только что созданный и названный вами интерфейс PPPoE (если вы использовали имя по умолчанию, то "pppoe-out1").

    На этом настройка подключения PPPoE завершена.
    Последний раз редактировалось Algon; 25.03.2013 в 10:26.

  2. Производство антенн и усилителей Разместить рекламу на LAN23.RU банер продать ссылку
  • #2
    All over WiFi
    Регистрация
    11.06.2010
    Адрес
    KN86JR
    Сообщений
    1,936
    Вес репутации
    63

    По умолчанию

    Глава 1.3. Настройка Mikrotik для доступа в интернет по PPPtP VPN (через winbox). L2TP настраивается аналогично.

    1.3.1. Идем в "PPP" на вкладку "Interfaces", нажимаем значок "+" и в меню выбираем "PPTP Client" (или "L2TP Client", в случае если будет использоваться L2TP) .

    1.3.2.
    В появившемся окне вводим следующие настройки:

    Вкладка "General":
    - Name: название подключения. Можно оставить по умолчанию (pptp-out1) или изменить как вам нравится. Кириллицу использовать не рекомендуется.
    - Max MTU и Max MRU: поищите в инструкции, которую вам должен был выдать провайдер. Если не найдете - оставляйте по умолчанию.

    Вкладка "Dial-Out":
    - Connect To: вводим IP-адрес или доменное имя PPTP-сервера провайдера, которое выдал вам провайдер для настройки подключения.
    - User: ваше имя пользователя, которое вы согласовали с провайдером или которое вам выдал провайдер.
    - Password: ваш пароль доступа к сети провайдера.
    - Profile: профиль безопасности. Если шифрование для вас не важно, можно оставить default, если обязательно - нужно переключить на default-encruption. Если не уверены, что выбрать - узнайте у провайдера, используется ли шифрование.
    - Dial on Demand: установите этот флажок, если вы хотите, чтобы Mikrotik подключался к провайдеру только если с одного из ваших устройств запрошено подключение к интернет. И держал соединение отключенным, если выход в интернет никому не требуется.
    - Add Default Route: использовать ли шлюз, предоставляемый провайдером, в качестве шлюза по умолчанию. Должно быть включено, если вы используете это подключение для доступа к интернет.
    - Allow: если в выданных провайдером настройках не указаны протоколы авторизации, то можно оставить без изменений. Если указаны, то оставьте только указанные провайдером. Большинство провайдеров используют mschap2.

    Вкладки Status и Trafic информационные и на них ничего настраивать не нужно.

    Обязательно нажимаем "OK" для сохранения настроек и идем дальше.

    1.3.3.
    Идем в "IP", выбираем "Firewall" и переходим на вкладку "NAT".
    Если у вас здесь стоят настройки по умолчанию, то их нужно изменить следующим образом: в пункте "Out Interface" выбрать только что созданный и названный вами интерфейс PPPTP (если вы использовали имя по умолчанию, то "pptp-out1"). Нажимаем "OK".
    На этом настройка подключения PPTP завершена.
    Последний раз редактировалось Algon; 25.03.2013 в 10:27.


  • #3
    All over WiFi
    Регистрация
    11.06.2010
    Адрес
    KN86JR
    Сообщений
    1,936
    Вес репутации
    63

    По умолчанию

    Глава 1.4. Настройка Mikrotik для работы с несколькими локальными подсетями (через winbox).
    Для чего это нужно? Например, вы администратор небольшой локальной сети, состоящей из нескольких сегментов. Либо вы хотите свою домашнюю сеть разбить на две части, одну с полным доступом к любым интернет-ресурсам, другую с ограниченным доступом, например для детей (это можно сделать и другими способами, но сейчас мы рассмотрим именно вариант разделения с помощью подсетей).
    Имеется:
    - уже настроенное и работающее подключение к интернет.
    - кабель провайдера подключен к порту №1 (ether1-gateway).
    - кабели от устройств первой подсети подключены к портам №2,3 (ether2-master-local, ether3-slave-local). Эта подсеть будет иметь дефолтные адреса 192.168.88.0/24. Компьютер, с которого производится настройка, подключен к одному из этих портов.
    - кабели от устройств второй подсети подключены к портам №4,5 (ether4-slave-local, ether5-slave-local). Эта подсеть будет иметь адреса 192.168.89.0/24.

    1.4.1. Первое, что нужно сделать, это вывести порты N4,5 из состава внутреннего свича, чтобы назначить им настройки другой подсети. Для этого идем в "Intarfaces" на вкладку "Interface" и открываем настройки нужного порта (например ether4-slave-local).
    Вкладка General:
    - Name: для удобства изменяем имя порта, например на "ether4-net89-local".
    - MTU: без необходимости не трогаем.
    - ARP: enabled. Разрешаем работу через этот порт протоколу ARP.
    - Master Port: none. Выводим этот порт из свича.
    Остальные настройки без необходимости не меняем.
    Не забываем сохранять настройки, нажав "OK".

    Проделываем эту-же процедуру для порта ether5-slave-local, переименовываем его соответственно в "ether5-net89-local".

    1.4.2. Порты выведены из свича, теперь нужно создать между ними мост для того, чтобы эти порты работали как отдельный свич и пропускали трафик внутри подсети.
    Идем в "Bridge" на вкладку "Bridge" и создаем новый мост между портами, нажав "+".
    - Name: имя моста, например "net89".
    - MTU: без необходимости не трогаем.
    - ARP: enabled. Разрешаем работу через мост порт протоколу ARP.
    Нажимаем "OK" и переходим к вкладке "Ports", где нужно указать, какие именно порты будут участвовать в этом мосте. Нажимаем "+".
    - Intarface: выбираем порт, который нужно добавить в мост, например "ether4-net89-local".
    - Bridge: выбираем созданный нами "net89".
    Остальные настройки без необходимости не трогаем. Для других портов, которые также планируется использовать в этой подсети, повторяем процедуру, указывая их имена (в нашем примере повторяем для "ether5-net89-local").

    1.4.3. Теперь необходимо для этого моста назначить IP-адрес, чтобы устройства этой подсети могли работать с Mikrotik и с интернет. Идем в "IP" - "Addresses" и нажимаем "+".
    - Address: назначаем IP-адрес, в нашем примере 192.168.89.1/24
    - Network: это поле можно не заполнять, сюда будет автоматически вставлено значение 192.168.89.0.
    - Interface: здесь выбираем созданный нами мост "net89".
    Сохраняемся.

    1.4.4. Если вам необходимо, чтобы устройства из этой подсети получали IP-адреса и настройки автоматически, то необходимо настроить отдельный DHCP-сервер. Если адреса будут динамическими, то начинаем настройку с настройки пула адресов. Если адреса планируется использовать только статические, то создание пула можно пропустить и перейти сразу к пункту 1.4.5.
    Для создания пула динамических адресов, идем в "IP" - "Pool", здесь мы видим пул адресов нашей первой подсети 192.168.88.0, нам нужно создать аналогичный для подсети 192.168.89.0. Нажимаем "+".
    - Name: назовем например "pool89".
    - Addresses: например выделим 151 IP-адрес, "192.168.89.100-192.168.89.250".
    - Next Pool: если сервер должен выдавать аддреса только из этого диапазона, то "none".
    Сохраняемся.

    1.4.5. Задаем настройки подсети, которые будут выдаваться устройствам. Для этого идем в "IP" - "DHCP Server" и переходим на вкладку "Networks". Нажимаем "+".
    - Address: Адрес подсети, в которой будет работать этот DHCP-сервер. "192.168.89.0/24"
    - Gateway: адрес Mikrotik в этой подсети, "192.168.89.1".
    - DNS Servers: указываем адрес Mikrotik "192.168.89.1" и при необходимости дополнительные серверы, например провайдерские, OpenDNS или Google DNS.
    Сохраняемся.

    1.4.6. Создаем и включаем собственно сам DHCP-сервер. Для этого в "IP" - "DHCP Server" переходим на вкладку "DHCP" и нажимаем "+".
    - Name: имя сервера, например "server89".
    - Interface: выбираем наш мост "net89".
    - Lease Time: на сколько времени будет назначаться устройствам IP-адрес. По умолчанию трое суток.
    - Address Pool: для динамических адресов (если был создан пул в пункте 1.4.4) указываем название этого пула "pool89". Если пул не создавали, оставляем "static-only".
    Остальные настройки в большинстве случаев можно оставить по умолчанию. Сохраняемся.

    На этом всё, мы получили 2 подсети с адресами "192.168.88.0/24" и "192.168.89.0/24", с которыми можно работать по отдельности (например в Firewall), настроили для новой подсети DHCP. Если всё сделано правильно, то сразу должна работать маршрутизация между этими двумя подсетями и обе подсети должны иметь доступ в интернет.
    Последний раз редактировалось Algon; 24.03.2013 в 16:26.

  • #4
    All over WiFi
    Регистрация
    11.06.2010
    Адрес
    KN86JR
    Сообщений
    1,936
    Вес репутации
    63

    По умолчанию

    Глава 1.5. Настройка Mikrotik для работы с несколькими провайдерами (через winbox). Вариант резервирования каналов.
    Имеется:
    - Провайдер1, подключен к порту №1, настроено и проверено подключение к интернет. Это подключение будет основным.
    - Провайдер2, подключен к порту №3, порт выведен из свича, настроено и проверено подключение к интернет (как вывести порт из свича, смотрите в п. 1.4.1). Это подключение будет резервным.
    - Порт №2 (ether2-master-local) - мастер порт внутреннего свича, оставляем его так для минимизации изменений настроек.
    - Устальные порты настроены как slave (по умолчанию).
    - Устройства локальной сети можно подключеть к любым портам, кроме 1 и 3.

    1.5.1. Если у вас статические IP-адреса от обоих провайдеров, то простейшая настройка резервирования сводится к установке приоритетов маршрутов на первого и второго провайдера. Идем в "IP" - "Routes" и для маршрута на Провайдера1 указываем следующие настройки:
    - Dst. Address: оставляем без изменений.
    - Gateway: без изменений.
    - Check Gateway: ping
    - Type: unicast
    - Distance:5
    Остальное без изменений. В настройках маршрута на Провайдера2 указываем аналогичные настройки, за исключением "Distance: 10".
    При такой схеме весь трафик будет идти через Провайдера1, канал на Провайдера 2 будет резервным. Шлюзы обоих провайдеров будут периодически пинговаться, и при недоступности шлюза Провайдера1 маршрут на него будет отключен, а трафик пойдет по маршруту на Провайдера2.

    1.5.2. Если у вас динамические IP-адреса (DHCP), то необходимо зайти в "IP" - "DHCP Client" и в настройках Провайдера1 указать "Default Route Distance: 5", а в настройках Провайдера2 "Default Route Distance: 10". Эффект будет таким-же, как и в предыдущем пункте. Проверка доступности шлюзов в этом случае осуществляется автоматически.

    1.5.3. Если у вас какой-либо из вариантов PPP-подключения (PPPoE, PPTP, L2TP) либо разные провайдеры используют подключения разных типов, то необходимо в настройках VPN-подключений отключить автоматическое добавление шлюза по умолчанию (параметр Add Default Route), маршруты создать вручную и настроить как в п. 1.5.1, только в качестве шлюза указывать имя соответствующего PPP-интерфейса.
    Последний раз редактировалось Algon; 25.03.2013 в 08:39.

  • #5
    All over WiFi
    Регистрация
    11.06.2010
    Адрес
    KN86JR
    Сообщений
    1,936
    Вес репутации
    63

    По умолчанию

    Глава 1.6. Настройка Mikrotik для работы с несколькими провайдерами. Равномерное или кратное распределение трафика.

    Сразу хочу предупредить, что данный вариант обладает некоторыми очень существенными недостатками, которые на практике делают его применение не имеющим смысла. Основной недостаток состоит в том, что трафик от каждого локального пользователя распределяется на все внешние каналы (в интернет). В итоге все протоколы, имеющие привязку к IP-адресу, работают некорректно, так как внешний ("белый") IP пользователя постоянно меняется. Поэтому привожу его просто в качестве примера реализации.
    Данный способ также не работает без использования сложных скриптов при подключении к провайдерам по DHCP, так как маршрут в интернет настраивается вручную, а при смене IP-адреса и шлюза требует соответствующей корректировки.

    1.6.1. Сначала необходимо отключить автоматическое добавление маршрутов в интернет, если оно у вас включено.

    1.6.2. Создаем новый маршрут в интернет:
    "IP" - "Routes" - "+"
    - Dst. Address: 0.0.0.0/0
    - Gateway: здесь необходимо указать шлюз первого провайдера или имя первого подключения PPP.
    Нажимаем стрелку вниз напротив поля "Gateway", открывается еще одна строка для ввода шлюза.
    - Gateway: здесь необходимо указать шлюз второго провайдера или имя второго подключения PPP.
    В итоге должно получиться примерно следующее:
    Нажмите на изображение для увеличения
Название: Снимок.JPG
Просмотров: 754
Размер:	50.1 Кб
ID:	13890
    В данном примере доступность шлюзов дополнительно проверяется при помощи Ping, маршрутизация на недоступный шлюз будет автоматически отключена, а весь трафик пойдет через доступный.

    1.6.3. Неравномерное (кратное) распределение трафика делается подобным образом.

    Нажмите на изображение для увеличения
Название: Снимок.JPG
Просмотров: 875
Размер:	28.6 Кб
ID:	13891
    В данном примере распределение трафика между шлюзами будет составлять примерно 1:2.

  • #6
    All over WiFi
    Регистрация
    11.06.2010
    Адрес
    KN86JR
    Сообщений
    1,936
    Вес репутации
    63

    По умолчанию

    Глава 1.7. Настройка Mikrotik для работы с несколькими провайдерами. Распределение трафика на основе групп локальных IP-адресов, подсетей, портов и т.п..

    Так как в этом способе пользователь или устройство, или их группа (IP-адрес, подсеть, порт, VLAN и т.п.) привязывается к определенному внешнему интерфейсу (в интернет), то он имеет свои преимущества и недостатки. Среди преимуществ корректная работа всех протоколов (поскольку внешний IP пользователя или группы не меняется в процессе работы). Среди недостатков - невозможность добиться равномерного или кратного распределения нагрузки на внешние каналы в каждый момент времени, так как трафик от каждого конкретного пользователя не является константой. Для работы с типом подключения DHCP - необходимы дополнительные скрипты, которые будут обрабатывать изменение IP-адреса и адреса шлюза.
    Данный способ состоит из двух основных частей:
    - Маркировка маршрута
    - Назначение промаркированного маршрута шлюзу.

    1.7.1.1. Пример маркировки для распределения трафика на основе групп IP-адресов.
    Для начала необходимо создать группы и добавить в них IP-адреса. Это делается в "IP" - "Firewall" - "Address List":
    Нажмите на изображение для увеличения
Название: Снимок.JPG
Просмотров: 733
Размер:	51.7 Кб
ID:	13892

    Получаем две группы IP-адресов, "Buhgalteria" и "Otdel_Marketinga". Теперь необходимо промаркировать их трафик для отправки через разные внешние каналы. Идем в "IP" - "Firewall" - "Mangle".
    Вкладка General:
    - Chain: prerouting
    Вкладка Advanced:
    - Src. Address List: выбираем нужную группу, например "Buhgalteria".
    Вкладка Action:
    - Action: Mark Routing
    - New Routing Mark: задаем условное имя маршрута, например "to_provider1".
    - Passthrough: если предполагается еще какая-либо обработка трафика, то ставим птичку, если нет - убираем.

    Аналогичным образом маркируем маршрут для второй группы "Otdel_Marketinga", задав New Routing Mark: to_provider2

    Примечание: добавлять IP-адрес в какую-либо группу можно непосредственно из DHCP-сервера, если вы используете назначение постоянных адресов (Static IP).

    1.7.1.2. Пример маркировки для распределения трафика на основе подсетей.
    Допустим, имеется две подсети, которые были нами созданы в Главе 1.4. Необходимо промаркировать их трафик для отправки через разные внешние каналы. Идем в "IP" - "Firewall" - "Mangle".
    Вкладка General:
    - Chain: prerouting
    - Src. Address: вводим адрес нашей первой подсети 192.168.88.0/24
    Вкладка Action:
    - Action: Mark Routing
    - New Routing Mark: задаем условное имя маршрута, например "to_provider1".
    - Passthrough: если предполагается еще какая-либо обработка трафика, то ставим птичку, если нет - убираем.

    Аналогичным образом маркируем маршрут для второй подсети 192.168.89.0.24, задав New Routing Mark: to_provider2

    1.7.1.3. Маркировка на основе портов или VLAN осуществляется способом, схожим с п.1.7.1.2., только вместо "Src. Address" необходимо использовать "In. Interface" и выбрать необходимый интерфейс.

    1.7.2. Распределение промаркированного трафика на разные интерфейсы.
    Сначала необходимо отключить автоматическое добавление маршрутов в интернет, если оно у вас включено.
    Затем идем в IP - Firewall - Route и проверяем, что маршруты на 0.0.0.0/0 отсутствуют. Создаем новый маршрут:
    - Dst. Address: 0.0.0.0/0
    - Gateway: здесь указываем шлюз первого провайдера либо название интерфейса (в случае PPP-подключения).
    При необходимости можно добавить проверку доступности шлюза при помощи ping или arp.
    - Distance: 3
    - Routing Mark: выбираем "to_provider1"

    Аналогичным образом создаем правило для второго провайдера, указав соответственно его Gateway и выбрав маркировку маршрута "to_provider2".

    1.7.3. Обработка отказа одного из внешних каналов.
    В случае отказа одного из внешних каналов, добавляем резервные маршруты согласно Главе 1.5.
    Последний раз редактировалось Algon; 02.04.2013 в 12:27.

  • #7
    All over WiFi
    Регистрация
    11.06.2010
    Адрес
    KN86JR
    Сообщений
    1,936
    Вес репутации
    63

    По умолчанию

    Пока всё, предлагаю обсудить, исправить возможные ошибки и неточности.

    В планах:
    - Настройка PPoE, PPTP и других PPP-серверов на Mikrotik.
    - Настройка радиоинтерфейсов.
    - Шейпинг.
    - Radius
    - Агрегация локальных каналов при помощи Bonding и/или маршрутизации.
    - Объединение удаленных сетей с помощью Mikrotik.
    - Работа с VLAN.
    - Различные варианты QoS.
    - Некоторые полезные скрипты.
    - Примеры взаимодействия оборудования Mikrotik и Ubiquiti.

    Что еще нужно?

  • #8
    All over WiFi
    Регистрация
    11.06.2010
    Адрес
    KN86JR
    Сообщений
    1,936
    Вес репутации
    63

    По умолчанию

    Глава 1.8 Проброс "белого" (реального, внешнего) IP в локальную сеть.

    Это нужно, если вышестоящий провайдер выдал вам подсеть "белых" IP-адресов. Один адрес оставляем как адрес самого Микротика, второй адрес обычно это шлюз провайдера, остальные можем выдать клиентам в локальной сети.
    Допустим, ваша локальная сеть 192.168.1.0/24, локальный адрес Микротика 192.168.1.1.

    Способ 1, при помощи NAT.

    В этом примере пробрасываем интернет-адрес 195.195.195.195 на локальный адрес 192.168.1.11. Для практического использования меняем адреса на свои.
    Код:
    /ip firewall nat
     add action=netmap chain=srcnat comment="Mapping 195.195.195.195 > 192.168.1.11" src-address=192.168.1.11 to-addresses=195.195.195.195
    add action=dst-nat chain=dstnat dst-address=195.195.195.195 to-addresses=192.168.1.11
    /ip address
    add address=195.195.195.195/32 interface=ether1-gateway network=195.195.195.195
    Первое правило NAT меняет во всех пакетах, идущих в Интернет (исключая сеть 192.168.1.0/24) локальный адрес 192.168.1.11 на 195.195.195.195
    Второе правило все пакеты, приходящие на адрес 195.195.195.195 отправляет на 192.168.1.11.
    Эти правила должны находиться выше основного правила NAT (masquerade).
    И последнее действие назначает адрес 195.195.195.195, как дополнительный, внешнему интерфейсу Микротика. Это необходимо для того, чтобы Микротик принимал входящие пакеты с таким адресом.

    Отличие этого способа заключается в том, что клиент видит как локальную сеть (и соответственно виден внутри сети), так и интернет. Устройство с локальным адресом 192.168.1.11 полностью доступно извне сети по адресу 195.195.195.195. При этом фактически находится за NAT и Firewall, что позволяет применять к трафику этого клиента другие правила обработки трафика, шейпер и т.п..

    Способ 2, при помощи создания моста между интерфейсами (Bridge).

    Допустим, порт, подключенный к провайдеру, это ether1-gateway, а клиент подключен через порт ether2-local.
    Код:
    /interface bridge
    add name=Bridge1
    /interface bridge port
    add bridge=Bridge1 interface=ether1-gateway
    add bridge=Bridge1 interface=ether2-local
    В этом примере мы создали мост между внешним и внутренним интерфейсами.
    Далее нужно просто назначить на нужном локальном устройстве "белый" IP-адрес, в качестве шлюза указать шлюз провайдера (а не Микротик), DNS-серверы либо провайдерские, либо открытые альтернативные. Всё это можно сделать как вручную, так и назначить клиенту при помощи DHCP.

    Среди преимуществ данного способа можно назвать то, что получаем "белый" IP прямо на клиентском устройстве.
    Среди недостатков то, что мы выпускаем клиента практически напрямую в Интернет, на его трафик не действуют Simple Queues, а настройки NAT, Firewall (и некоторые другие) необходимо делать отдельные от общих правил, действующих на остальную сеть.
    Последний раз редактировалось Algon; 03.04.2014 в 15:10.
    Сети на базе стандарта 802.11abgn, оборудование Mikrotik, Ubiquiti.
    Если хотите получить консультацию в сжатые сроки, стучите в ICQ.

  • #9
    All over WiFi
    Регистрация
    11.06.2010
    Адрес
    KN86JR
    Сообщений
    1,936
    Вес репутации
    63

    По умолчанию

    Глава 1.9 Настройка основных типов PPP-серверов.


    1.9.1 Настройка PPtP-сервера Mikrotik.


    Обычно используется для подключения к Mikrotik удаленных клиентов (через Интернет). Реже для подключения локальных пользователей или других задач.

    1.9.1.1 Сначала необходимо настроить профили подключений:
    "PPP" - "Profiles"

    По умолчанию видим два профиля, один с обязательным шифрованием данных, второй нет.

    Нажмите на изображение для увеличения
Название: Снимок01.JPG
Просмотров: 689
Размер:	26.7 Кб
ID:	16675

    Настраиваем нужный профиль или создаем новый.

    Нажмите на изображение для увеличения
Название: Снимок02.JPG
Просмотров: 562
Размер:	38.5 Кб
ID:	16676

    Основные настройки:
    Name - имя профиля
    - Local Address: адрес, который будет использовать Mikrotik в качестве сервера PPtP.
    - Remote Address: адрес, который будет назначен подключившемуся клиенту. Если клиентов планируется несколько, то это поле нужно оставить пустым, а адреса назначать в Secrets.
    - Bridge, Bridge Port Priority, Bridge Path Cost: к какому внутреннему мосту и с какими параметрами будет подключен клиент. Обычно используется для предоставления клиенту доступа в локальную сеть.
    - Incoming Filter, Outgoing Filter: какие chain-фильтры будут использоваться при подключении клиента. Если не знаете, что это такое - оставьте поля пустыми.
    - Address List: в какой Address List будет добавлен подключившийся клиент.
    - DNS Server: адрес сервера DNS, который будет отправлен подключившемуся клиенту (принцип тот-же, как при назначении адресов по DHCP). Обычно это адрес, который указали в поле Local Address, можно здесь указать еще несколько адресов серверов DNS.
    - WINS Server: если у вас в сети он есть, можете указать адрес. Если нет, оставьте это поле пустым.

    Настройки протоколов:
    - Use MPLS: использовать ли механизм MPLS. При "default" определяется клиентом, "no" никогда не использовать, "yes" согласование с клиентом, "required" использовать всегда.
    - Use Compression: использовать ли сжатие данных. Имеет смысл включать только при очень медленных каналах.
    - Use VJ Compression: использовать ли сжатие заголовков TCP/IP. Актуально только для медленных каналов.
    - Use Encruption: использовать ли шифрование данных. При "default" определяется клиентом, "no" никогда не использовать, "yes" согласование с клиентом, "required" использовать всегда (без шифрования доступ не будет разрешен).

    Настройки лимитов пользовательской сессии:
    - Session Timeout: ограничение времени одной клиентской сессии. По истечении этого времени сессия будет сброшена.
    - Idle Timeout: ограничение времени бездействия. Подключение будет сброшено, если по нему нет активности в течение указанного времени.
    - Rate Limit (rx/tx): общее ограничение скорости подключения.
    - Only One: если установлено "yes", то пользователю будет разрешено только одно подключение в один момент времени.

    Настройки шейпера:
    Эту вкладку стоит испльзовать только в том случае, если вы хотите создавать правила шейпера динамически.
    - Insert Queue Before: можно указать, где именно размещать шейпер.
    - Parent Queue: "родительское" правило очереди.
    - Queue Type: тип очереди.1.9.1.2Включаем собственно сам PPtP-сервер:
    "PPP" - "Interface" - "PPTP Server"

    Нажмите на изображение для увеличения
Название: Снимок03.JPG
Просмотров: 469
Размер:	24.2 Кб
ID:	16677

    - enabled: включен или нет PPtP-сервер.
    - Max MTU: максимально допустимое значение MTU.
    - Max MRU: максимально допустимое значение MRU.
    - MRRU: максимальный допустимый размер входящего пакета данных.
    - Keepalive Timeout: ограничение времени активных подключений (по умолчанию).
    - Default Profile: профиль, который будет использоваться по умолчанию.
    - Authentication: разрешенные типы авторизации.

    1.9.1.3 Приступаем к настройкам пользователей.
    "PPP" - "Secrets"

    Нажмите на изображение для увеличения
Название: Снимок04.JPG
Просмотров: 486
Размер:	32.7 Кб
ID:	16670

    - Name: имя пользователя (логин, username).
    - Password: пароль пользователя.
    - Service: выбираем, на какие серверы (по каким протоколам) PPP этому пользователю разрешено подключение.
    - Caller ID: идентификатор подключения, если не знаете что это - оставьте пустым.
    - Profile: профиль, который будет назначен этому пользователю (данная настройка является приоритетной по отношению к настройкам сервера).
    - Local Address: адрес, который будет использовать Mikrotik при этом подключении (данная настройка является приоритетной по отношению к настройкам профиля).
    - Remote Address: адрес, который будет выдан пользователю при подключении.
    - Routes: если через это подключение нужно маршрутизировать исходящие пакеты, указываем, куда именно. Обычно используется в том случае, если PPtP используется для связи между сетями.
    - Limit Bytes In: максимальное количество входящиего (от пользователя) трафика в байтах. При превышении пользователь будет блокирован.
    - Limit Bytes Out: максимальное количество исходящего (к пользователю) трафика в байтах. При превышении пользователь будет блокирован.
    - Last Logged Out: время последнего отключения. Информационное поле.

    1.9.2 Настройка PPPoE-сервера Mikrotik.

    Используется исключительно для подключения к Mikrotik локальных клиентов.
    Все настройки аналогичны PPtP, за исключением самого сервера.

    "PPP" - "PPPoE Servers"

    Нажмите на изображение для увеличения
Название: Снимок05.JPG
Просмотров: 457
Размер:	31.9 Кб
ID:	16671

    - Service Name: имя службы (название сервера).
    - Interface: интерфейс, на котором сервер будет принимать входящие подключения. Для каждого интерфейса необходимо создавать отдельный сервер.
    - Max MTU: максимально допустимое значение MTU.
    - Max MRU: максимально допустимое значение MRU.
    - MRRU: максимальный допустимый размер входящего пакета данных.
    - Keepalive Timeout: ограничение времени активных подключений (по умолчанию).
    - Default Profile: профиль, который будет использоваться по умолчанию.
    - One Session Per Host: установите флажок, если с одного устройства разрешено только одно подключение. Если нет, установите параметр Max Session.
    - Authentication: разрешенные типы авторизации.

    Особенности использования PPPoE-серверов в Mikrotik.


    Если у вас Mikrotik со встроенным свичем и один порт настроен как master, остальные slave, достаточно создать PPPoE-сервер только для порта master. Порты slave также будут принимать подключения к этому серверу.

    Аналогично, если несколько интерфейсов объединены в мост (bridge), то достаточно создать PPPoE-сервер для этого моста. Подключения к нему будут приниматься на всех интерфейсах, входящих в мост.

    На одном интерфейсе можно создать несколько PPPoE-серверов, отличающихся именем службы (Service Name). В этом случае то, к какой именно службе будет подключен клиент, определяется настройками имени службы на клиентском устройстве. Если на клиентском устройстве имя службы не определено, то клиент будет подключен к службе, первой ответившей на запрос.

    Внимание! Не стоит создавать PPPoE-серверы на интернет-интерфейсах или интерфейсах, подключенных к локальной сети провайдера. Это может привести к неприятным последствиям как для провайдера, так и для вас.


    1.9.3 Остальные PPP-серверы настраиваются аналогично PPtP или PPPoE, за исключением некоторых специфических параметров.
    Последний раз редактировалось Algon; 21.04.2014 в 14:08.
    Сети на базе стандарта 802.11abgn, оборудование Mikrotik, Ubiquiti.
    Если хотите получить консультацию в сжатые сроки, стучите в ICQ.

  • #10
    All over WiFi
    Регистрация
    11.06.2010
    Адрес
    KN86JR
    Сообщений
    1,936
    Вес репутации
    63

    По умолчанию

    Глава 2.1 Wireless-интерфейсы Mikrotik

    Режимы работы и функциональные возможности беспроводных интерфейсов Mikrotik несколько отличаются в зависимости от модели устройства, уровня лицензии RouterOS и установленных дополнительных пакетов. Далее мы рассмотрим основные режимы работы, значение настроек, а затем последует пример построения беспроводного линка на Mikrotik.

    2.1.1 Режимы работы


    - alignment-only: Используется для юстировки антенн. В этом режиме ТД непрерывно транслирует в эфир основную информацию о себе.

    - ap bridge: Основной режим работы как "прозрачной" точки доступа. Для использования этого режима требуется лицензия не ниже Level 4 (WISP).

    - bridge: Режим "прозрачного" радиомоста (PtP). Возможно подключение только одного клиента.

    - nstreme dual slave: Используется для построения специального линка на базе проприетарного протокола nstreme, при котором один радиомодуль передает трафик (TX), а другой только принимает (RX). Может использоваться только в устройствах с несколькими wifi-модулями.

    - station: Режим "непрозрачной" беспроводной станции. Обычно используется, если клиентская точка выполняет функции роутера.

    - station bridge: "Прозрачный" клиент. Обычно используется как клиент PtP-линка или "прозрачная" клиентская станция (без функций роутера).

    - station pseudobridge: Режим трансляции MAC-адресов (MAC NAT). Может использоваться совместно с мостом между интерфейсами.

    - station pseudobridge clone: Аналогичен режиму station pseudobridge, но в этом режиме MAC-адрес, используемый для трансляции, используется так-же и для подключения к AP.

    - station wds: Режим клиента распределенной беспроводной сети. Дополнительно создается WDS-интерфейс, по которому собственно и передаются данные. Требует также наличия WDS-интерфейса на AP.

    - wds slave: Совмещение режимов station wds и ap bridge. Используется для построения распределенных сетей, где точки доступа связаны между собой по WiFi. Работает с тем-же SSID и на той-же частоте, что и другие AP, входящие в распределенную сеть.

    Примечание: Режим WDS основан на проприетарной реализации и не совместим с режимом WDS на оборудовании других производителей.


    2.1.2 Вкладка "General". Основные настройки интерфейса.

    Нажмите на изображение для увеличения
Название: HG01.JPG
Просмотров: 557
Размер:	48.5 Кб
ID:	16697

    Примечание: здесь и далее приводятся значения настроек, доступных в Adwanced Mode. Если у вас недоступна значительная часть этих настроек, переключитесь из Simple в Advanced Mode.


    - Name: Имя интерфейса.

    - Type: Тип радиоинтерфейса. Информационное поле.

    - MTU: Базовое значение MTU.

    - L2 MTU: Текущее значение Layer 2 MTU. Информационное поле.

    - MAC Address: МАС-адрес интерфейса.

    - ARP: Определяет использование на данном интерфейсе функций ARP. Возможные значения enabled/disabled/proxy-arp/reply-only (разрешено/запрещено/ARP-прокси/только ответ).

    - Chip Info: Служебная информация о радиокарте. Информационное поле.

    - PCI Info: Информация о шине PCI. Используется в том случае, если радиокарта установлена на шине PCI. Информационное поле.

    2.1.3 Вкладка "Wireless". Основные настройки беспроводной сети.


    Нажмите на изображение для увеличения
Название: HG02.JPG
Просмотров: 656
Размер:	70.3 Кб
ID:	16698

    - Mode: Режим работы (см. 2.1.1).

    - Band: Диапазон и стандарт (например 5GHz-A/N).

    - Channel Width: Характеристики используемой полосы частот. Основные значения: 5MHz, 10MHz, 20MHz, 20/40MHz HT Above (с расширением полосы вверх по частоте), 20/40MHz HT Below (с расширением полосы вниз по частоте).
    Примечание: При использовании чипсета с поддержкой нестандартной ширины полосы и дополнительной лицензии Extra-Channel, доступна произвольная ширина полосы (от 1 до 60MHz)
    .

    - Frequency: Основная частота или преднастроенный (на вкладке Wireless Tables - Channels) канал.
    Примечание: в RouterOS все частоты указываются как основная (базовая) частота без учета ширины полосы. Например, если указана частота 5180 и ширина полосы 20MHz, то нужно иметь в виду, что ваш линк займет частоты с 5170 по 5190. А при настройке полосы "20/40MHz HT Above", этот линк займет частоты с 5170 по 5210 (реально даже чуть больше).

    - SSID: Идентификатор беспроводной сети.

    - Radio Name: Название устройства беспроводной сети. Отображается, например, при сканировании эфира другими устройствами или в таблице регистрации беспроводных устройств на удаленном устройстве.

    - Scan List: Рабочий диапазон частот. В этом диапазоне Mikrotik производит сканирование эфира, мониторинг загрузки каналов и т.д.. Возможные значения:
    а) "default" - рабочий диапазон определяется настройками региона.
    б) Фиксированная частота (например, 5180) в MHz.
    в) Полоса частот "от" и "до" (например, 5150-5250) в MHz.
    г) Канал или скан-лист, настроенный на вкладке Wireless Tables - Channels.

    - Wireless Protocol: Протокол беспроводной связи. Возможные значения:
    а) any - любой поддерживаемый (автовыбор).
    б) 802.11 - только стандартные протоколы 802.11abgn. Обычно используется для совместимости с оборудованием других производителей.
    в) nstreme - "фирменный" (проприетарный) протокол Mikrotik, характеризующийся высокой скоростью потока данных в одну сторону (RX или TX).
    г) nv2 - "фирменный" (проприетарный) протокол Mikrotik, характеризующийся высокой скоростью при работе в дуплексе или работе в режиме PtMP (точка-многоточка).
    д) nv2 nstreme - автовыбор из "фирменных" протоколов.
    е) nv2 nstreme 802.11 - автовыбор протокола из перечисленных.
    ж) unspecified - то же, что и "any".

    - Security Profile: Профиль безопасности, настраивается в Wireless Table - Security Profiles. Можно настроить по своему усмотрению стандартный или создать свой.

    - Frequency Mode: Региональные ограничения. Варианты:
    a) regulatory-domain - ограничение доступных каналов (частот) и максимальной мощности передатчика в соответствии с законодательством выбранного региона.
    б) manual-txpower - аналогично, но без ограничения максимальной мощности.
    в) superchannel - тестовый режим, доступны все каналы (частоты), поддерживаемые радиокартой, а также максимальная поддерживаемая мощность.

    - Country: Выбор региона.

    - Antenna Gain: Коэффициент усиления антенны в dBi. При использовании внешней антенны желательно делать поправку на потери в кабеле и разъемах.

    - DFS Mode: Динамический выбор частоты (Dynamic Frequency Selection) из списка частот, указанных в Scan List. Варианты:
    а) none - DFS отключен (постоянная частота).
    б) no radar detect - выбор частоты с наименьшим количеством обнаруженных сетей.
    в) radar detect - выбор частоты с наименьшим количеством обнаруженных сетей и ее использование в том случае, если в течение 60 секунд не было обнаружено сигналов радара. Если такой сигнал был обнаружен - продолжить поиск на других частотах.

    - Proprietary Extensions: Режим совместимости со старыми версиями RouterOS (до версии 2.9.25). "post-2.9.25" выключен, "pre-2.9.25" включен.

    - WMM Support: enable/disable/required (включен/выключен/обязателен). Поддержка Wi-Fi Multimedia.

    - Bridge Mode: Разрешено ли клиентам использование режима station bridge (настройка активна только в режимах AP).

    - Default AP TX Rate: Ограничение скорости со стороны AP для подключений, которых нет в Access List (бит/сек., 0 - без ограничений).

    - Default Client TX Rate: Ограничение скорости со стороны клиента для подключений, которых нет в Access List (бит/сек., 0 - без ограничений).

    - Default Authenticate: Для режимов AP эта настройка определяет, принимать ли подключения от клиентов, которых нет в Access List. Для клиентских режимов - подключаться ли к AP, которых нет в Access List.

    - Default Forward: Разрешать ли маршрутизацию клиентам, которых нет в Access List.

    - Multicast Helper: Данная опция используется для диагностики проблем широковещательных рассылок. Эффективна только при режимах AP, если клиенты работают в режиме station bridge. Варианты:
    а) disabled - отключен. Мультикаст-пакеты отправляются без изменений.
    б) full - все MAC-адреса мультикаста изменить на юникаст и отправить в таком виде.
    в) default - аналогично "disabled".
    Последний раз редактировалось Algon; 23.04.2014 в 00:26.
    Сети на базе стандарта 802.11abgn, оборудование Mikrotik, Ubiquiti.
    Если хотите получить консультацию в сжатые сроки, стучите в ICQ.

  • Страница 1 из 2 12 ПоследняяПоследняя

    Похожие темы

    1. MikroTik RouterBoard RB433UAH + MikroTik R52 + D-Link DWL-2100AP(BB)
      от maxim_anya в разделе Оборудование Wi-Fi в работе
      Ответов: 11
      Последнее сообщение: 28.10.2013, 08:50
    2. Mikrotik CCR и RouterOS v6
      от Algon в разделе Mikrotik
      Ответов: 4
      Последнее сообщение: 20.03.2013, 13:25
    3. Ответов: 0
      Последнее сообщение: 14.10.2010, 14:16
    4. MikroTik
      от Harconen в разделе Новичкам
      Ответов: 15
      Последнее сообщение: 21.07.2009, 11:57

    Ваши права

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •