Объявление

Свернуть
Пока нет объявлений.

F.A.Q по Mikrotik и RouterOS

Свернуть
Это закреплённая тема.
X
X
 
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

    F.A.Q по Mikrotik и RouterOS

    Приветствую всех.

    Преамбула:
    Я сам не так давно занялся плотным изучением (и применением) RouterOS как на устройствах производства Mikrotik, так и на x86. В связи с этим, столкнулся с тем, что информация очень разрознена (капля в одном месте, еще несколько - в другом), и на разных языках. Есть конечно WIKI самого Mikrotik, но там информация зачастую чисто теоретическая или неполная. Предлагаю всем делиться практическими наработками по настройке и реализации разных сценариев обработки и маршрутизации трафика.

    Убедительная просьба: писать в тему только замечания по существу или рекомендации, проверенные лично вами на практике. Тема будет постоянно модерироваться и сводиться в некое подобие практического руководства по RouterOS. Начнем...

    Раздел 1. Базовая настройка.

    Глава 1.1. Настройки по умолчанию.


    Устройства Mikrotik "из коробки" обычно настроены следующим образом:
    - Порт N1, он-же ether1-gateway, настроен на подключение к провайдеру (аналог порта WAN или Internet в устройствах других производителей) по DHCP, остальные порты настроены как свич и предназначены для подключения устройств вашей локальной сети.
    - По умолчанию включен NAT.
    - Firewall настроен таким образом, чтобы пропускать из локалки наружу любой трафик, а снаружи только тот, который запрашивался локальными хостами, а также Ping.
    - Локальный DHCP включен и выдает адреса из подсети 192.168.88.0/24, в качестве шлюза и DNS выступает адрес самого Mikrotik (192.168.88.1/24).
    - Включен кеширующий DNS-сервер, который в качестве вышестоящих DNS-серверов использует адреса, полученные от вашего провайдера по DHCP.

    Если вам просто нужно раздать интернет на несколько компьютеров и ваш провайдер работает по DHCP, то ваша задача сводится к тому, чтобы правильно подключить кабели. Но обычно устройства Mikrotik покупают не для решения таких простых задач ))

    Глава 1.2. Настройка подключения PPPoE к провайдеру (через winbox).

    1.2.1. Идем в "PPP" на вкладку "Interfaces", нажимаем значок "+" и в меню выбираем "PPPoE Client".

    1.2.2
    . В появившемся окне вводим следующие настройки:

    Вкладка "General":
    - Name: название подключения. Можно оставить по умолчанию (pppoe-out1) или изменить как вам нравится. Кириллицу использовать не рекомендуется.
    - Max MTU и Max MRU: поищите в инструкции, которую вам должен был выдать провайдер. Если не найдете - оставляйте по умолчанию.
    - Interfaces: выбираем порт, который подключен к сети провайдера (по умолчанию ether1-gateway).

    Вкладка "Dial-Out":
    - Service: обычно эта информация выдается провайдером, поищите в договоре или в инструкции по настройке. Если не указать здесь ничего, то Mikrotik будет пытаться установить связь с любым доступным PPPoE-сервером.
    - User: ваше имя пользователя, которое вы согласовали с провайдером или которое вам выдал провайдер.
    - Password: ваш пароль доступа к сети провайдера.
    - Profile: профиль безопасности. Если шифрование для вас не важно, можно оставить default, если обязательно - нужно переключить на default-encruption. Если не уверены, что выбрать - узнайте у провайдера, используется ли шифрование.
    - Dial on Demand: установите этот флажок, если вы хотите, чтобы Mikrotik подключался к провайдеру только если с одного из ваших устройств запрошено подключение к интернет. И держал соединение отключенным, если выход в интернет никому не требуется.
    - Add Default Route: использовать ли шлюз, предоставляемый провайдером, в качестве шлюза по умолчанию. По умолчанию включено и должно быть включено, если вы используете это подключение для доступа к интернет.
    - Use Peer DNS: использовать ли предоставляемые провайдером адреса DNS-серверов. Если вы хотите использовать адреса, предоставляемые провайдером и не планируете использовать альтернативные DNS (либо использовать провайдерские вместе с альтернативными), то включите этот флажок.
    - Allow: если в выданных провайдером настройках не указаны протоколы авторизации, то можно оставить без изменений. Если указаны, то оставьте только указанные провайдером. Большинство провайдеров используют mschap2.

    Вкладки Status и Trafic информационные и на них ничего настраивать не нужно.

    Для проверки доступности PPPoE-сервера провайдера можно использовать кнопку PPPoE Scan, расположенную справа.

    Обязательно нажимаем "OK" для сохранения настроек и идем дальше.

    1.2.3.
    Идем в "IP", затем "Firewall" и переходим на вкладку "NAT".

    Если у вас здесь стоят настройки по умолчанию, то их нужно изменить следующим образом: в пункте "Out Interface" выбрать только что созданный и названный вами интерфейс PPPoE (если вы использовали имя по умолчанию, то "pppoe-out1").

    На этом настройка подключения PPPoE завершена.
    Последний раз редактировалось Algon; 25.03.2013, 11:26.

    #2
    Глава 1.3. Настройка Mikrotik для доступа в интернет по PPPtP VPN (через winbox). L2TP настраивается аналогично.

    1.3.1. Идем в "PPP" на вкладку "Interfaces", нажимаем значок "+" и в меню выбираем "PPTP Client" (или "L2TP Client", в случае если будет использоваться L2TP) .

    1.3.2.
    В появившемся окне вводим следующие настройки:

    Вкладка "General":
    - Name: название подключения. Можно оставить по умолчанию (pptp-out1) или изменить как вам нравится. Кириллицу использовать не рекомендуется.
    - Max MTU и Max MRU: поищите в инструкции, которую вам должен был выдать провайдер. Если не найдете - оставляйте по умолчанию.

    Вкладка "Dial-Out":
    - Connect To: вводим IP-адрес или доменное имя PPTP-сервера провайдера, которое выдал вам провайдер для настройки подключения.
    - User: ваше имя пользователя, которое вы согласовали с провайдером или которое вам выдал провайдер.
    - Password: ваш пароль доступа к сети провайдера.
    - Profile: профиль безопасности. Если шифрование для вас не важно, можно оставить default, если обязательно - нужно переключить на default-encruption. Если не уверены, что выбрать - узнайте у провайдера, используется ли шифрование.
    - Dial on Demand: установите этот флажок, если вы хотите, чтобы Mikrotik подключался к провайдеру только если с одного из ваших устройств запрошено подключение к интернет. И держал соединение отключенным, если выход в интернет никому не требуется.
    - Add Default Route: использовать ли шлюз, предоставляемый провайдером, в качестве шлюза по умолчанию. Должно быть включено, если вы используете это подключение для доступа к интернет.
    - Allow: если в выданных провайдером настройках не указаны протоколы авторизации, то можно оставить без изменений. Если указаны, то оставьте только указанные провайдером. Большинство провайдеров используют mschap2.

    Вкладки Status и Trafic информационные и на них ничего настраивать не нужно.

    Обязательно нажимаем "OK" для сохранения настроек и идем дальше.

    1.3.3.
    Идем в "IP", выбираем "Firewall" и переходим на вкладку "NAT".
    Если у вас здесь стоят настройки по умолчанию, то их нужно изменить следующим образом: в пункте "Out Interface" выбрать только что созданный и названный вами интерфейс PPPTP (если вы использовали имя по умолчанию, то "pptp-out1"). Нажимаем "OK".
    На этом настройка подключения PPTP завершена.
    Последний раз редактировалось Algon; 25.03.2013, 11:27.

    Комментарий


      #3
      Глава 1.4. Настройка Mikrotik для работы с несколькими локальными подсетями (через winbox).
      Для чего это нужно? Например, вы администратор небольшой локальной сети, состоящей из нескольких сегментов. Либо вы хотите свою домашнюю сеть разбить на две части, одну с полным доступом к любым интернет-ресурсам, другую с ограниченным доступом, например для детей (это можно сделать и другими способами, но сейчас мы рассмотрим именно вариант разделения с помощью подсетей).
      Имеется:
      - уже настроенное и работающее подключение к интернет.
      - кабель провайдера подключен к порту №1 (ether1-gateway).
      - кабели от устройств первой подсети подключены к портам №2,3 (ether2-master-local, ether3-slave-local). Эта подсеть будет иметь дефолтные адреса 192.168.88.0/24. Компьютер, с которого производится настройка, подключен к одному из этих портов.
      - кабели от устройств второй подсети подключены к портам №4,5 (ether4-slave-local, ether5-slave-local). Эта подсеть будет иметь адреса 192.168.89.0/24.

      1.4.1. Первое, что нужно сделать, это вывести порты N4,5 из состава внутреннего свича, чтобы назначить им настройки другой подсети. Для этого идем в "Intarfaces" на вкладку "Interface" и открываем настройки нужного порта (например ether4-slave-local).
      Вкладка General:
      - Name: для удобства изменяем имя порта, например на "ether4-net89-local".
      - MTU: без необходимости не трогаем.
      - ARP: enabled. Разрешаем работу через этот порт протоколу ARP.
      - Master Port: none. Выводим этот порт из свича.
      Остальные настройки без необходимости не меняем.
      Не забываем сохранять настройки, нажав "OK".

      Проделываем эту-же процедуру для порта ether5-slave-local, переименовываем его соответственно в "ether5-net89-local".

      1.4.2. Порты выведены из свича, теперь нужно создать между ними мост для того, чтобы эти порты работали как отдельный свич и пропускали трафик внутри подсети.
      Идем в "Bridge" на вкладку "Bridge" и создаем новый мост между портами, нажав "+".
      - Name: имя моста, например "net89".
      - MTU: без необходимости не трогаем.
      - ARP: enabled. Разрешаем работу через мост порт протоколу ARP.
      Нажимаем "OK" и переходим к вкладке "Ports", где нужно указать, какие именно порты будут участвовать в этом мосте. Нажимаем "+".
      - Intarface: выбираем порт, который нужно добавить в мост, например "ether4-net89-local".
      - Bridge: выбираем созданный нами "net89".
      Остальные настройки без необходимости не трогаем. Для других портов, которые также планируется использовать в этой подсети, повторяем процедуру, указывая их имена (в нашем примере повторяем для "ether5-net89-local").

      1.4.3. Теперь необходимо для этого моста назначить IP-адрес, чтобы устройства этой подсети могли работать с Mikrotik и с интернет. Идем в "IP" - "Addresses" и нажимаем "+".
      - Address: назначаем IP-адрес, в нашем примере 192.168.89.1/24
      - Network: это поле можно не заполнять, сюда будет автоматически вставлено значение 192.168.89.0.
      - Interface: здесь выбираем созданный нами мост "net89".
      Сохраняемся.

      1.4.4. Если вам необходимо, чтобы устройства из этой подсети получали IP-адреса и настройки автоматически, то необходимо настроить отдельный DHCP-сервер. Если адреса будут динамическими, то начинаем настройку с настройки пула адресов. Если адреса планируется использовать только статические, то создание пула можно пропустить и перейти сразу к пункту 1.4.5.
      Для создания пула динамических адресов, идем в "IP" - "Pool", здесь мы видим пул адресов нашей первой подсети 192.168.88.0, нам нужно создать аналогичный для подсети 192.168.89.0. Нажимаем "+".
      - Name: назовем например "pool89".
      - Addresses: например выделим 151 IP-адрес, "192.168.89.100-192.168.89.250".
      - Next Pool: если сервер должен выдавать аддреса только из этого диапазона, то "none".
      Сохраняемся.

      1.4.5. Задаем настройки подсети, которые будут выдаваться устройствам. Для этого идем в "IP" - "DHCP Server" и переходим на вкладку "Networks". Нажимаем "+".
      - Address: Адрес подсети, в которой будет работать этот DHCP-сервер. "192.168.89.0/24"
      - Gateway: адрес Mikrotik в этой подсети, "192.168.89.1".
      - DNS Servers: указываем адрес Mikrotik "192.168.89.1" и при необходимости дополнительные серверы, например провайдерские, OpenDNS или Google DNS.
      Сохраняемся.

      1.4.6. Создаем и включаем собственно сам DHCP-сервер. Для этого в "IP" - "DHCP Server" переходим на вкладку "DHCP" и нажимаем "+".
      - Name: имя сервера, например "server89".
      - Interface: выбираем наш мост "net89".
      - Lease Time: на сколько времени будет назначаться устройствам IP-адрес. По умолчанию трое суток.
      - Address Pool: для динамических адресов (если был создан пул в пункте 1.4.4) указываем название этого пула "pool89". Если пул не создавали, оставляем "static-only".
      Остальные настройки в большинстве случаев можно оставить по умолчанию. Сохраняемся.

      На этом всё, мы получили 2 подсети с адресами "192.168.88.0/24" и "192.168.89.0/24", с которыми можно работать по отдельности (например в Firewall), настроили для новой подсети DHCP. Если всё сделано правильно, то сразу должна работать маршрутизация между этими двумя подсетями и обе подсети должны иметь доступ в интернет.
      Последний раз редактировалось Algon; 24.03.2013, 17:26.

      Комментарий


        #4
        Глава 1.5. Настройка Mikrotik для работы с несколькими провайдерами (через winbox). Вариант резервирования каналов.
        Имеется:
        - Провайдер1, подключен к порту №1, настроено и проверено подключение к интернет. Это подключение будет основным.
        - Провайдер2, подключен к порту №3, порт выведен из свича, настроено и проверено подключение к интернет (как вывести порт из свича, смотрите в п. 1.4.1). Это подключение будет резервным.
        - Порт №2 (ether2-master-local) - мастер порт внутреннего свича, оставляем его так для минимизации изменений настроек.
        - Устальные порты настроены как slave (по умолчанию).
        - Устройства локальной сети можно подключеть к любым портам, кроме 1 и 3.

        1.5.1. Если у вас статические IP-адреса от обоих провайдеров, то простейшая настройка резервирования сводится к установке приоритетов маршрутов на первого и второго провайдера. Идем в "IP" - "Routes" и для маршрута на Провайдера1 указываем следующие настройки:
        - Dst. Address: оставляем без изменений.
        - Gateway: без изменений.
        - Check Gateway: ping
        - Type: unicast
        - Distance:5
        Остальное без изменений. В настройках маршрута на Провайдера2 указываем аналогичные настройки, за исключением "Distance: 10".
        При такой схеме весь трафик будет идти через Провайдера1, канал на Провайдера 2 будет резервным. Шлюзы обоих провайдеров будут периодически пинговаться, и при недоступности шлюза Провайдера1 маршрут на него будет отключен, а трафик пойдет по маршруту на Провайдера2.

        1.5.2. Если у вас динамические IP-адреса (DHCP), то необходимо зайти в "IP" - "DHCP Client" и в настройках Провайдера1 указать "Default Route Distance: 5", а в настройках Провайдера2 "Default Route Distance: 10". Эффект будет таким-же, как и в предыдущем пункте. Проверка доступности шлюзов в этом случае осуществляется автоматически.

        1.5.3. Если у вас какой-либо из вариантов PPP-подключения (PPPoE, PPTP, L2TP) либо разные провайдеры используют подключения разных типов, то необходимо в настройках VPN-подключений отключить автоматическое добавление шлюза по умолчанию (параметр Add Default Route), маршруты создать вручную и настроить как в п. 1.5.1, только в качестве шлюза указывать имя соответствующего PPP-интерфейса.
        Последний раз редактировалось Algon; 25.03.2013, 09:39.

        Комментарий


          #5
          Глава 1.6. Настройка Mikrotik для работы с несколькими провайдерами. Равномерное или кратное распределение трафика.

          Сразу хочу предупредить, что данный вариант обладает некоторыми очень существенными недостатками, которые на практике делают его применение не имеющим смысла. Основной недостаток состоит в том, что трафик от каждого локального пользователя распределяется на все внешние каналы (в интернет). В итоге все протоколы, имеющие привязку к IP-адресу, работают некорректно, так как внешний ("белый") IP пользователя постоянно меняется. Поэтому привожу его просто в качестве примера реализации.
          Данный способ также не работает без использования сложных скриптов при подключении к провайдерам по DHCP, так как маршрут в интернет настраивается вручную, а при смене IP-адреса и шлюза требует соответствующей корректировки.

          1.6.1. Сначала необходимо отключить автоматическое добавление маршрутов в интернет, если оно у вас включено.

          1.6.2. Создаем новый маршрут в интернет:
          "IP" - "Routes" - "+"
          - Dst. Address: 0.0.0.0/0
          - Gateway: здесь необходимо указать шлюз первого провайдера или имя первого подключения PPP.
          Нажимаем стрелку вниз напротив поля "Gateway", открывается еще одна строка для ввода шлюза.
          - Gateway: здесь необходимо указать шлюз второго провайдера или имя второго подключения PPP.
          В итоге должно получиться примерно следующее:
          Нажмите на изображение для увеличения.

Название:	Снимок.JPG
Просмотров:	1
Размер:	50.1 Кб
ID:	214300
          В данном примере доступность шлюзов дополнительно проверяется при помощи Ping, маршрутизация на недоступный шлюз будет автоматически отключена, а весь трафик пойдет через доступный.

          1.6.3. Неравномерное (кратное) распределение трафика делается подобным образом.

          Нажмите на изображение для увеличения.

Название:	Снимок.JPG
Просмотров:	1
Размер:	28.6 Кб
ID:	214301
          В данном примере распределение трафика между шлюзами будет составлять примерно 1:2.

          Комментарий


            #6
            Глава 1.7. Настройка Mikrotik для работы с несколькими провайдерами. Распределение трафика на основе групп локальных IP-адресов, подсетей, портов и т.п..

            Так как в этом способе пользователь или устройство, или их группа (IP-адрес, подсеть, порт, VLAN и т.п.) привязывается к определенному внешнему интерфейсу (в интернет), то он имеет свои преимущества и недостатки. Среди преимуществ корректная работа всех протоколов (поскольку внешний IP пользователя или группы не меняется в процессе работы). Среди недостатков - невозможность добиться равномерного или кратного распределения нагрузки на внешние каналы в каждый момент времени, так как трафик от каждого конкретного пользователя не является константой. Для работы с типом подключения DHCP - необходимы дополнительные скрипты, которые будут обрабатывать изменение IP-адреса и адреса шлюза.
            Данный способ состоит из двух основных частей:
            - Маркировка маршрута
            - Назначение промаркированного маршрута шлюзу.

            1.7.1.1. Пример маркировки для распределения трафика на основе групп IP-адресов.
            Для начала необходимо создать группы и добавить в них IP-адреса. Это делается в "IP" - "Firewall" - "Address List":
            Нажмите на изображение для увеличения.

Название:	Снимок.JPG
Просмотров:	1
Размер:	51.7 Кб
ID:	214302

            Получаем две группы IP-адресов, "Buhgalteria" и "Otdel_Marketinga". Теперь необходимо промаркировать их трафик для отправки через разные внешние каналы. Идем в "IP" - "Firewall" - "Mangle".
            Вкладка General:
            - Chain: prerouting
            Вкладка Advanced:
            - Src. Address List: выбираем нужную группу, например "Buhgalteria".
            Вкладка Action:
            - Action: Mark Routing
            - New Routing Mark: задаем условное имя маршрута, например "to_provider1".
            - Passthrough: если предполагается еще какая-либо обработка трафика, то ставим птичку, если нет - убираем.

            Аналогичным образом маркируем маршрут для второй группы "Otdel_Marketinga", задав New Routing Mark: to_provider2

            Примечание: добавлять IP-адрес в какую-либо группу можно непосредственно из DHCP-сервера, если вы используете назначение постоянных адресов (Static IP).

            1.7.1.2. Пример маркировки для распределения трафика на основе подсетей.
            Допустим, имеется две подсети, которые были нами созданы в Главе 1.4. Необходимо промаркировать их трафик для отправки через разные внешние каналы. Идем в "IP" - "Firewall" - "Mangle".
            Вкладка General:
            - Chain: prerouting
            - Src. Address: вводим адрес нашей первой подсети 192.168.88.0/24
            Вкладка Action:
            - Action: Mark Routing
            - New Routing Mark: задаем условное имя маршрута, например "to_provider1".
            - Passthrough: если предполагается еще какая-либо обработка трафика, то ставим птичку, если нет - убираем.

            Аналогичным образом маркируем маршрут для второй подсети 192.168.89.0.24, задав New Routing Mark: to_provider2

            1.7.1.3. Маркировка на основе портов или VLAN осуществляется способом, схожим с п.1.7.1.2., только вместо "Src. Address" необходимо использовать "In. Interface" и выбрать необходимый интерфейс.

            1.7.2. Распределение промаркированного трафика на разные интерфейсы.
            Сначала необходимо отключить автоматическое добавление маршрутов в интернет, если оно у вас включено.
            Затем идем в IP - Firewall - Route и проверяем, что маршруты на 0.0.0.0/0 отсутствуют. Создаем новый маршрут:
            - Dst. Address: 0.0.0.0/0
            - Gateway: здесь указываем шлюз первого провайдера либо название интерфейса (в случае PPP-подключения).
            При необходимости можно добавить проверку доступности шлюза при помощи ping или arp.
            - Distance: 3
            - Routing Mark: выбираем "to_provider1"

            Аналогичным образом создаем правило для второго провайдера, указав соответственно его Gateway и выбрав маркировку маршрута "to_provider2".

            1.7.3. Обработка отказа одного из внешних каналов.
            В случае отказа одного из внешних каналов, добавляем резервные маршруты согласно Главе 1.5.
            Последний раз редактировалось Algon; 02.04.2013, 13:27.

            Комментарий


              #7
              Пока всё, предлагаю обсудить, исправить возможные ошибки и неточности.

              В планах:
              - Настройка PPoE, PPTP и других PPP-серверов на Mikrotik.
              - Настройка радиоинтерфейсов.
              - Шейпинг.
              - Radius
              - Агрегация локальных каналов при помощи Bonding и/или маршрутизации.
              - Объединение удаленных сетей с помощью Mikrotik.
              - Работа с VLAN.
              - Различные варианты QoS.
              - Некоторые полезные скрипты.
              - Примеры взаимодействия оборудования Mikrotik и Ubiquiti.

              Что еще нужно?

              Комментарий


                #8
                Глава 1.8 Проброс "белого" (реального, внешнего) IP в локальную сеть.

                Это нужно, если вышестоящий провайдер выдал вам подсеть "белых" IP-адресов. Один адрес оставляем как адрес самого Микротика, второй адрес обычно это шлюз провайдера, остальные можем выдать клиентам в локальной сети.
                Допустим, ваша локальная сеть 192.168.1.0/24, локальный адрес Микротика 192.168.1.1.

                Способ 1, при помощи NAT.

                В этом примере пробрасываем интернет-адрес 195.195.195.195 на локальный адрес 192.168.1.11. Для практического использования меняем адреса на свои.
                Код:
                /ip firewall nat
                 add action=netmap chain=srcnat comment="Mapping 195.195.195.195 > 192.168.1.11" src-address=192.168.1.11 to-addresses=195.195.195.195
                add action=dst-nat chain=dstnat dst-address=195.195.195.195 to-addresses=192.168.1.11
                /ip address
                add address=195.195.195.195/32 interface=ether1-gateway network=195.195.195.195
                Первое правило NAT меняет во всех пакетах, идущих в Интернет (исключая сеть 192.168.1.0/24) локальный адрес 192.168.1.11 на 195.195.195.195
                Второе правило все пакеты, приходящие на адрес 195.195.195.195 отправляет на 192.168.1.11.
                Эти правила должны находиться выше основного правила NAT (masquerade).
                И последнее действие назначает адрес 195.195.195.195, как дополнительный, внешнему интерфейсу Микротика. Это необходимо для того, чтобы Микротик принимал входящие пакеты с таким адресом.

                Отличие этого способа заключается в том, что клиент видит как локальную сеть (и соответственно виден внутри сети), так и интернет. Устройство с локальным адресом 192.168.1.11 полностью доступно извне сети по адресу 195.195.195.195. При этом фактически находится за NAT и Firewall, что позволяет применять к трафику этого клиента другие правила обработки трафика, шейпер и т.п..

                Способ 2, при помощи создания моста между интерфейсами (Bridge).

                Допустим, порт, подключенный к провайдеру, это ether1-gateway, а клиент подключен через порт ether2-local.
                Код:
                /interface bridge
                add name=Bridge1
                /interface bridge port
                add bridge=Bridge1 interface=ether1-gateway
                add bridge=Bridge1 interface=ether2-local
                В этом примере мы создали мост между внешним и внутренним интерфейсами.
                Далее нужно просто назначить на нужном локальном устройстве "белый" IP-адрес, в качестве шлюза указать шлюз провайдера (а не Микротик), DNS-серверы либо провайдерские, либо открытые альтернативные. Всё это можно сделать как вручную, так и назначить клиенту при помощи DHCP.

                Среди преимуществ данного способа можно назвать то, что получаем "белый" IP прямо на клиентском устройстве.
                Среди недостатков то, что мы выпускаем клиента практически напрямую в Интернет, на его трафик не действуют Simple Queues, а настройки NAT, Firewall (и некоторые другие) необходимо делать отдельные от общих правил, действующих на остальную сеть.
                Последний раз редактировалось Algon; 03.04.2014, 16:10.

                Комментарий


                  #9
                  Глава 1.9 Настройка основных типов PPP-серверов.


                  1.9.1 Настройка PPtP-сервера Mikrotik.


                  Обычно используется для подключения к Mikrotik удаленных клиентов (через Интернет). Реже для подключения локальных пользователей или других задач.

                  1.9.1.1 Сначала необходимо настроить профили подключений:
                  "PPP" - "Profiles"

                  По умолчанию видим два профиля, один с обязательным шифрованием данных, второй нет.

                  Нажмите на изображение для увеличения.

Название:	Снимок01.JPG
Просмотров:	1
Размер:	26.7 Кб
ID:	217341

                  Настраиваем нужный профиль или создаем новый.

                  Нажмите на изображение для увеличения.

Название:	Снимок02.JPG
Просмотров:	1
Размер:	38.5 Кб
ID:	217342

                  Основные настройки:
                  Name - имя профиля
                  - Local Address: адрес, который будет использовать Mikrotik в качестве сервера PPtP.
                  - Remote Address: адрес, который будет назначен подключившемуся клиенту. Если клиентов планируется несколько, то это поле нужно оставить пустым, а адреса назначать в Secrets.
                  - Bridge, Bridge Port Priority, Bridge Path Cost: к какому внутреннему мосту и с какими параметрами будет подключен клиент. Обычно используется для предоставления клиенту доступа в локальную сеть.
                  - Incoming Filter, Outgoing Filter: какие chain-фильтры будут использоваться при подключении клиента. Если не знаете, что это такое - оставьте поля пустыми.
                  - Address List: в какой Address List будет добавлен подключившийся клиент.
                  - DNS Server: адрес сервера DNS, который будет отправлен подключившемуся клиенту (принцип тот-же, как при назначении адресов по DHCP). Обычно это адрес, который указали в поле Local Address, можно здесь указать еще несколько адресов серверов DNS.
                  - WINS Server: если у вас в сети он есть, можете указать адрес. Если нет, оставьте это поле пустым.

                  Настройки протоколов:
                  - Use MPLS: использовать ли механизм MPLS. При "default" определяется клиентом, "no" никогда не использовать, "yes" согласование с клиентом, "required" использовать всегда.
                  - Use Compression: использовать ли сжатие данных. Имеет смысл включать только при очень медленных каналах.
                  - Use VJ Compression: использовать ли сжатие заголовков TCP/IP. Актуально только для медленных каналов.
                  - Use Encruption: использовать ли шифрование данных. При "default" определяется клиентом, "no" никогда не использовать, "yes" согласование с клиентом, "required" использовать всегда (без шифрования доступ не будет разрешен).

                  Настройки лимитов пользовательской сессии:
                  - Session Timeout: ограничение времени одной клиентской сессии. По истечении этого времени сессия будет сброшена.
                  - Idle Timeout: ограничение времени бездействия. Подключение будет сброшено, если по нему нет активности в течение указанного времени.
                  - Rate Limit (rx/tx): общее ограничение скорости подключения.
                  - Only One: если установлено "yes", то пользователю будет разрешено только одно подключение в один момент времени.

                  Настройки шейпера:
                  Эту вкладку стоит испльзовать только в том случае, если вы хотите создавать правила шейпера динамически.
                  - Insert Queue Before: можно указать, где именно размещать шейпер.
                  - Parent Queue: "родительское" правило очереди.
                  - Queue Type: тип очереди.1.9.1.2Включаем собственно сам PPtP-сервер:
                  "PPP" - "Interface" - "PPTP Server"

                  Нажмите на изображение для увеличения.

Название:	Снимок03.JPG
Просмотров:	1
Размер:	24.2 Кб
ID:	217343

                  - enabled: включен или нет PPtP-сервер.
                  - Max MTU: максимально допустимое значение MTU.
                  - Max MRU: максимально допустимое значение MRU.
                  - MRRU: максимальный допустимый размер входящего пакета данных.
                  - Keepalive Timeout: ограничение времени активных подключений (по умолчанию).
                  - Default Profile: профиль, который будет использоваться по умолчанию.
                  - Authentication: разрешенные типы авторизации.

                  1.9.1.3 Приступаем к настройкам пользователей.
                  "PPP" - "Secrets"

                  Нажмите на изображение для увеличения.

Название:	Снимок04.JPG
Просмотров:	1
Размер:	32.7 Кб
ID:	217339

                  - Name: имя пользователя (логин, username).
                  - Password: пароль пользователя.
                  - Service: выбираем, на какие серверы (по каким протоколам) PPP этому пользователю разрешено подключение.
                  - Caller ID: идентификатор подключения, если не знаете что это - оставьте пустым.
                  - Profile: профиль, который будет назначен этому пользователю (данная настройка является приоритетной по отношению к настройкам сервера).
                  - Local Address: адрес, который будет использовать Mikrotik при этом подключении (данная настройка является приоритетной по отношению к настройкам профиля).
                  - Remote Address: адрес, который будет выдан пользователю при подключении.
                  - Routes: если через это подключение нужно маршрутизировать исходящие пакеты, указываем, куда именно. Обычно используется в том случае, если PPtP используется для связи между сетями.
                  - Limit Bytes In: максимальное количество входящиего (от пользователя) трафика в байтах. При превышении пользователь будет блокирован.
                  - Limit Bytes Out: максимальное количество исходящего (к пользователю) трафика в байтах. При превышении пользователь будет блокирован.
                  - Last Logged Out: время последнего отключения. Информационное поле.

                  1.9.2 Настройка PPPoE-сервера Mikrotik.

                  Используется исключительно для подключения к Mikrotik локальных клиентов.
                  Все настройки аналогичны PPtP, за исключением самого сервера.

                  "PPP" - "PPPoE Servers"

                  Нажмите на изображение для увеличения.

Название:	Снимок05.JPG
Просмотров:	1
Размер:	31.9 Кб
ID:	217340

                  - Service Name: имя службы (название сервера).
                  - Interface: интерфейс, на котором сервер будет принимать входящие подключения. Для каждого интерфейса необходимо создавать отдельный сервер.
                  - Max MTU: максимально допустимое значение MTU.
                  - Max MRU: максимально допустимое значение MRU.
                  - MRRU: максимальный допустимый размер входящего пакета данных.
                  - Keepalive Timeout: ограничение времени активных подключений (по умолчанию).
                  - Default Profile: профиль, который будет использоваться по умолчанию.
                  - One Session Per Host: установите флажок, если с одного устройства разрешено только одно подключение. Если нет, установите параметр Max Session.
                  - Authentication: разрешенные типы авторизации.

                  Особенности использования PPPoE-серверов в Mikrotik.


                  Если у вас Mikrotik со встроенным свичем и один порт настроен как master, остальные slave, достаточно создать PPPoE-сервер только для порта master. Порты slave также будут принимать подключения к этому серверу.

                  Аналогично, если несколько интерфейсов объединены в мост (bridge), то достаточно создать PPPoE-сервер для этого моста. Подключения к нему будут приниматься на всех интерфейсах, входящих в мост.

                  На одном интерфейсе можно создать несколько PPPoE-серверов, отличающихся именем службы (Service Name). В этом случае то, к какой именно службе будет подключен клиент, определяется настройками имени службы на клиентском устройстве. Если на клиентском устройстве имя службы не определено, то клиент будет подключен к службе, первой ответившей на запрос.

                  Внимание! Не стоит создавать PPPoE-серверы на интернет-интерфейсах или интерфейсах, подключенных к локальной сети провайдера. Это может привести к неприятным последствиям как для провайдера, так и для вас.


                  1.9.3 Остальные PPP-серверы настраиваются аналогично PPtP или PPPoE, за исключением некоторых специфических параметров.
                  Последний раз редактировалось Algon; 21.04.2014, 15:08.

                  Комментарий


                    #10
                    Глава 2.1 Wireless-интерфейсы Mikrotik

                    Режимы работы и функциональные возможности беспроводных интерфейсов Mikrotik несколько отличаются в зависимости от модели устройства, уровня лицензии RouterOS и установленных дополнительных пакетов. Далее мы рассмотрим основные режимы работы, значение настроек, а затем последует пример построения беспроводного линка на Mikrotik.

                    2.1.1 Режимы работы


                    - alignment-only: Используется для юстировки антенн. В этом режиме ТД непрерывно транслирует в эфир основную информацию о себе.

                    - ap bridge: Основной режим работы как "прозрачной" точки доступа. Для использования этого режима требуется лицензия не ниже Level 4 (WISP).

                    - bridge: Режим "прозрачного" радиомоста (PtP). Возможно подключение только одного клиента.

                    - nstreme dual slave: Используется для построения специального линка на базе проприетарного протокола nstreme, при котором один радиомодуль передает трафик (TX), а другой только принимает (RX). Может использоваться только в устройствах с несколькими wifi-модулями.

                    - station: Режим "непрозрачной" беспроводной станции. Обычно используется, если клиентская точка выполняет функции роутера.

                    - station bridge: "Прозрачный" клиент. Обычно используется как клиент PtP-линка или "прозрачная" клиентская станция (без функций роутера).

                    - station pseudobridge: Режим трансляции MAC-адресов (MAC NAT). Может использоваться совместно с мостом между интерфейсами.

                    - station pseudobridge clone: Аналогичен режиму station pseudobridge, но в этом режиме MAC-адрес, используемый для трансляции, используется так-же и для подключения к AP.

                    - station wds: Режим клиента распределенной беспроводной сети. Дополнительно создается WDS-интерфейс, по которому собственно и передаются данные. Требует также наличия WDS-интерфейса на AP.

                    - wds slave: Совмещение режимов station wds и ap bridge. Используется для построения распределенных сетей, где точки доступа связаны между собой по WiFi. Работает с тем-же SSID и на той-же частоте, что и другие AP, входящие в распределенную сеть.

                    Примечание: Режим WDS основан на проприетарной реализации и не совместим с режимом WDS на оборудовании других производителей.


                    2.1.2 Вкладка "General". Основные настройки интерфейса.

                    Нажмите на изображение для увеличения.

Название:	HG01.JPG
Просмотров:	1
Размер:	48.5 Кб
ID:	217349

                    Примечание: здесь и далее приводятся значения настроек, доступных в Adwanced Mode. Если у вас недоступна значительная часть этих настроек, переключитесь из Simple в Advanced Mode.


                    - Name: Имя интерфейса.

                    - Type: Тип радиоинтерфейса. Информационное поле.

                    - MTU: Базовое значение MTU.

                    - L2 MTU: Текущее значение Layer 2 MTU. Информационное поле.

                    - MAC Address: МАС-адрес интерфейса.

                    - ARP: Определяет использование на данном интерфейсе функций ARP. Возможные значения enabled/disabled/proxy-arp/reply-only (разрешено/запрещено/ARP-прокси/только ответ).

                    - Chip Info: Служебная информация о радиокарте. Информационное поле.

                    - PCI Info: Информация о шине PCI. Используется в том случае, если радиокарта установлена на шине PCI. Информационное поле.

                    2.1.3 Вкладка "Wireless". Основные настройки беспроводной сети.


                    Нажмите на изображение для увеличения.

Название:	HG02.JPG
Просмотров:	1
Размер:	70.3 Кб
ID:	217350

                    - Mode: Режим работы (см. 2.1.1).

                    - Band: Диапазон и стандарт (например 5GHz-A/N).

                    - Channel Width: Характеристики используемой полосы частот. Основные значения: 5MHz, 10MHz, 20MHz, 20/40MHz HT Above (с расширением полосы вверх по частоте), 20/40MHz HT Below (с расширением полосы вниз по частоте).
                    Примечание: При использовании чипсета с поддержкой нестандартной ширины полосы и дополнительной лицензии Extra-Channel, доступна произвольная ширина полосы (от 1 до 60MHz)
                    .

                    - Frequency: Основная частота или преднастроенный (на вкладке Wireless Tables - Channels) канал.
                    Примечание: в RouterOS все частоты указываются как основная (базовая) частота без учета ширины полосы. Например, если указана частота 5180 и ширина полосы 20MHz, то нужно иметь в виду, что ваш линк займет частоты с 5170 по 5190. А при настройке полосы "20/40MHz HT Above", этот линк займет частоты с 5170 по 5210 (реально даже чуть больше).

                    - SSID: Идентификатор беспроводной сети.

                    - Radio Name: Название устройства беспроводной сети. Отображается, например, при сканировании эфира другими устройствами или в таблице регистрации беспроводных устройств на удаленном устройстве.

                    - Scan List: Рабочий диапазон частот. В этом диапазоне Mikrotik производит сканирование эфира, мониторинг загрузки каналов и т.д.. Возможные значения:
                    а) "default" - рабочий диапазон определяется настройками региона.
                    б) Фиксированная частота (например, 5180) в MHz.
                    в) Полоса частот "от" и "до" (например, 5150-5250) в MHz.
                    г) Канал или скан-лист, настроенный на вкладке Wireless Tables - Channels.

                    - Wireless Protocol: Протокол беспроводной связи. Возможные значения:
                    а) any - любой поддерживаемый (автовыбор).
                    б) 802.11 - только стандартные протоколы 802.11abgn. Обычно используется для совместимости с оборудованием других производителей.
                    в) nstreme - "фирменный" (проприетарный) протокол Mikrotik, характеризующийся высокой скоростью потока данных в одну сторону (RX или TX).
                    г) nv2 - "фирменный" (проприетарный) протокол Mikrotik, характеризующийся высокой скоростью при работе в дуплексе или работе в режиме PtMP (точка-многоточка).
                    д) nv2 nstreme - автовыбор из "фирменных" протоколов.
                    е) nv2 nstreme 802.11 - автовыбор протокола из перечисленных.
                    ж) unspecified - то же, что и "any".

                    - Security Profile: Профиль безопасности, настраивается в Wireless Table - Security Profiles. Можно настроить по своему усмотрению стандартный или создать свой.

                    - Frequency Mode: Региональные ограничения. Варианты:
                    a) regulatory-domain - ограничение доступных каналов (частот) и максимальной мощности передатчика в соответствии с законодательством выбранного региона.
                    б) manual-txpower - аналогично, но без ограничения максимальной мощности.
                    в) superchannel - тестовый режим, доступны все каналы (частоты), поддерживаемые радиокартой, а также максимальная поддерживаемая мощность.

                    - Country: Выбор региона.

                    - Antenna Gain: Коэффициент усиления антенны в dBi. При использовании внешней антенны желательно делать поправку на потери в кабеле и разъемах.

                    - DFS Mode: Динамический выбор частоты (Dynamic Frequency Selection) из списка частот, указанных в Scan List. Варианты:
                    а) none - DFS отключен (постоянная частота).
                    б) no radar detect - выбор частоты с наименьшим количеством обнаруженных сетей.
                    в) radar detect - выбор частоты с наименьшим количеством обнаруженных сетей и ее использование в том случае, если в течение 60 секунд не было обнаружено сигналов радара. Если такой сигнал был обнаружен - продолжить поиск на других частотах.

                    - Proprietary Extensions: Режим совместимости со старыми версиями RouterOS (до версии 2.9.25). "post-2.9.25" выключен, "pre-2.9.25" включен.

                    - WMM Support: enable/disable/required (включен/выключен/обязателен). Поддержка Wi-Fi Multimedia.

                    - Bridge Mode: Разрешено ли клиентам использование режима station bridge (настройка активна только в режимах AP).

                    - Default AP TX Rate: Ограничение скорости со стороны AP для подключений, которых нет в Access List (бит/сек., 0 - без ограничений).

                    - Default Client TX Rate: Ограничение скорости со стороны клиента для подключений, которых нет в Access List (бит/сек., 0 - без ограничений).

                    - Default Authenticate: Для режимов AP эта настройка определяет, принимать ли подключения от клиентов, которых нет в Access List. Для клиентских режимов - подключаться ли к AP, которых нет в Access List.

                    - Default Forward: Разрешать ли маршрутизацию клиентам, которых нет в Access List.

                    - Multicast Helper: Данная опция используется для диагностики проблем широковещательных рассылок. Эффективна только при режимах AP, если клиенты работают в режиме station bridge. Варианты:
                    а) disabled - отключен. Мультикаст-пакеты отправляются без изменений.
                    б) full - все MAC-адреса мультикаста изменить на юникаст и отправить в таком виде.
                    в) default - аналогично "disabled".
                    Последний раз редактировалось Algon; 23.04.2014, 01:26.

                    Комментарий


                      #11
                      2.1.4 Вкладка "Data Rates". Режимы скорости.

                      Нажмите на изображение для увеличения.

Название:	HG03.JPG
Просмотров:	1
Размер:	47.9 Кб
ID:	217353

                      В подавляющем большинстве случаев здесь нет необходимости ничего менять. И на этой вкладке нет никаких специфических (присущих только Mikrotik) опций, так что подробно описывать эти настройки нет смысла, информацию найти несложно.


                      2.1.5 Вкладка "Advanced". Дополнительные настройки беспроводного интерфейса.


                      Нажмите на изображение для увеличения.

Название:	HG04.JPG
Просмотров:	1
Размер:	62.7 Кб
ID:	217354

                      - Area: позволяет создать группу и включить беспроводные устройства в нее (по аналогии с доменом), а затем использовать определенные правила для этой группы и всех входящих в нее устройств, вместо того, чтобы создавать отдельные правила для каждого устройства. Значение area транслируется точками доступа вместе с SSID и другой идентификационной информацией об устройстве. Данная функция является проприетарной.

                      - Max Station Count: Актуально только для режимов AP. Максимально допустимое количество подключенных клиентов, включая WDS-подключения.

                      - Distance: Максимальная допустимая дистанция беспроводного линка. Значения:
                      a) dynamic - автонастройка.
                      б) indoor - работа внутри помещения.
                      в) Расстояние в километрах. При указании этого параметра вручную, рекомендуется указывать не точное расстояние между устройствами (по картам или GPS), а значение, больше на 10-20% такого расстояния.

                      - Noise Floor Threshhold: Порог соотношения сигнал/шум (dB). Фактически это значение минимального SNR для беспроводного подключения. Если характеристики подключения хуже этого значения, подключение не будет установлено (или будет разорвано). Данная функция работает только на чипсетах производства Atheros, начиная с AR5212 и более новых.

                      - Periodic Calibration: Периодическая рекалибровка линка. Значения default и enable включают эту опцию, если задан интервал в поле Calibration Interval. Значение disabled отключает эту функцию. Данная функция работает только на чипсетах производства Atheros.

                      - Calibration Interval: Периодичность проведения рекалибровки (dd:mm:ss). При значении 00:00:00 рекалибровка отключена.

                      - Burst Time: Время (в микросекундах), в течение которого может непрерывно производиться передача данных. Данная функция работает только на чипсетах AR5000, AR5001X, AR5001X+.

                      - Hw. Retries: Количество попыток отправки пакета до того, как отправка будет признана неудачной. В случае превышения этого значения, скорость соединения с удаленным устройством будет понижена, после чего снова будут предприняты попытки передачи пакета. Если была достигнута минимальная скорость соединения, но пакет не был передан, попытки передачи приостанавливаются на время, указанное в параметре On Fail Retry Time. После этого снова будут предприняты попытки передачи пакета до тех пор, пока не истечет время, указанное в параметре Frame Lifetime, либо удаленное удаленное устройство не будет отключено по превышению параметра Disconnect Timeout.

                      - Hw. Fragmentation Treshold: Задает максимальный размер фрагмента пакета данных, передающихся по WiFi. Большие пакеты будут разбиваться на такие фрагменты для увеличения надежности и скорости связи.

                      - Hw. Protection Mode: Режим защиты фреймов. Подробнее (англ.)

                      - Hw. Protection Treshold: Настройка режима защиты фреймов.

                      - Frame Lifetime: См. "Hw. Retries".

                      - Adaptive Noise Immunity: Режим адаптивной подстройки некоторых параметров приемника для минимизации интерференции и влияния шумов на качество сигнала. Работает только на чипах Atheros AR5212 и более новых.

                      - Preamble Mode: Использование преамбулы. Варианты:
                      а) long - только длинная преамбула.
                      б) short - только короткая.
                      в) both - оба варианта.

                      - Allow Shared Key: Разрешает подключение клиентов с открытым ключем WEP.

                      - Disconnect Timeout: См. "Hw. Retries".

                      - On Fail Retry Time: См. "Hw. Retries".

                      - Update Stats Interval: Интервал времени, через который будут обновляться статистические данные беспроводных клиентов (скорость соединения, CCQ и т.п.). Данная функция является проприетарной.


                      2.1.6 Вкладка "HT". Основные настройки приемников и передатчиков.

                      Нажмите на изображение для увеличения.

Название:	HG05.JPG
Просмотров:	1
Размер:	46.1 Кб
ID:	217355

                      - HT Tx Chain: Разрешение отправки данных (Tx).

                      - HT Rx Chain: Разрешение приема данных (Rx).
                      Примечание: допустим, у вашего устройства радиомодуль MIMO R2T2, состоящий из двух приемопередатчиков, которые подключены к разным антеннам (или к одной антенне с двумя различными поляризациями). Эти настройки позволят, например, осуществлять передачу через одну антенну, а получение данных через другую (или через различные поляризации одной антенны).

                      - HT AMSDU Limit: Максимальный размер агрегированного пакета AMSDU (Aggregated Mac Service Data Unit).

                      - HT AMSDU Treshold: Максимальный размер фрейма, который может быть включен в пакет AMSDU.
                      Примечание: Агрегация может значительно увеличить пропускную способность линка, особенно при большом количестве мелких пакетов. Но может увеличить время задержки, в случае потери пакетов из-за повторной передачи агрегированного пакета. Включение AMSDU также увеличивает нагрузку на процессор.

                      - HT Guard Interval: Защитный интервал. При использовании вне помещения рекомендуется всегда ставить long.

                      - HT AMPDU Priorities: Приоритеты пакетов, которые будут посланы с использованием механизма AMPDU (Aggregated Mac Protocol Data Unit). Рекомендуется использовать только для пакетов с высоким приоритетом, так как отправка большого количества пакетов через AMPDU приводит к увеличению времени задержки и повышению нагрузки.
                      Последний раз редактировалось Algon; 23.04.2014, 15:58.

                      Комментарий


                        #12
                        Сразу скажу, что я не специалист, поэтому ищу в интернете решение задачи, ради которой был приобретен Mikrotik RouterBOARD 951Ui-2HnD.
                        Эта тема показалась мне наиболее понятной для не специалиста, поэтому я попробовал применить эти инструкции на практике.
                        Но с определенного момента все пошло не так. Итак:

                        Задача: подключить по PPPoE 2 провайдера с динамическими IP.
                        port 1 – wlan 1, провайдер 1, он же основной, скорость больше.
                        port 3 – wlan 2, провайдер 2, он же резервный, скорость маленькая.
                        В случае недоступности основного провайдера, автоматическое переключение на резервного. Как только основной станет доступен – переключение на основного.

                        Первого провайдера подключил без проблем.
                        Занялся вторым. Вывел из свича 3 порт, создал PPPoE Client. Для проверки доступности PPPoE-сервера провайдера использовал кнопку PPPoE Scan, работает. Потом, согласно п.1.2.3 я должен "Идем в "IP", затем "Firewall" и переходим на вкладку "NAT"." и там у меня кроме первого подключения ничего не было. Я добавил новое подключение вручную, но ничего не заработало. Что я делал не так?

                        Комментарий


                          #13
                          Сообщение от Fat Посмотреть сообщение
                          Я добавил новое подключение вручную, но ничего не заработало. Что я делал не так?
                          Для начала:
                          1) В NAT должно быть два правила action=masqurade на два Ваших провайдера с соответствующим Out interface.
                          2)Убедиться что нулевой маршрут (0.0.0.0) смотрит в основной канал, зависит от установленной метрики.

                          Комментарий


                            #14
                            Сообщение от Botovod Посмотреть сообщение
                            Для начала:
                            1) В NAT должно быть два правила action=masqurade на два Ваших провайдера с соответствующим Out interface.
                            2)Убедиться что нулевой маршрут (0.0.0.0) смотрит в основной канал, зависит от установленной метрики.
                            по п.1 я интуитивно догадался :)
                            по п.2 для меня "темный лес". если не трудно, напишите где и как смотреть чтобы убедиться

                            Комментарий

                            Обработка...
                            X