Минимальные настройки PPPoE
В связи с частыми вопросами по настройке на Микротике подключения к провайдеру по PPPoE решил создать небольшой FAQ по минимальным настройкам.
Далее я предполагаю, что вы уже обновили Ruoter OS на Микротике до последней стабильной.
Обратите внимание, что в тексте будет использовать подсеть 192.168.77.0/24, тогда как обычно дома используют 192.168.1.1/24. Вы можете по мере выполнения шагов
менять сеть на свою, но проще будет настраивать так, как картинках. По мере набора опыта по настройке Микротика вы сами сможете все это поменять. Также я предполагаю, что все устройства в вашей сети будут получать IP адрес автоматически от Микротика. Если есть устройства с IP, назначенными вручную, то нужно, чтобы пул адресов DHCP на Микротике с ними не пересекался. Будет намного проще, чтобы адреса все устройства сети получали автоматически.
Договоримся о подключениях: в 1 порт Ethernet включаем кабель провайдера, порты 2-5 + WLAN1 - все в нашу локальную сеть.
Вначале настройки обязательно подключаемся к Микротику через WinBox по MAC адресу. Затем можно будет подключаться и по IP. Весь конфиг я буду описывать в виде скринов с WinBox, терминальные команды использовать не буду. Для начинающих так будет намного проще.
1. Удаление текущей конфигурации Микротика.
Выбираем System-Reset Configuration.
Нажимаем кнопку Reset Configuration. Микротик автоматически перезагрузится.
Подключаемcя к нему снова. Микротик скажет нам, что он применил стандартную конфигурацию, нажмите кнопку Remove Configuration. Никакая конфигурация нам не нужна.
2. Создаем бридж и включаем в него все порты, кроме Ether1.
Выбираем Bridge. Нажимаем на синий плюс. Затем ОК.
Переходим на вкладку Ports.
Нажимаем на синий плюс. В появившемcя окне в поле Interface выбираем ether2, в поле Bridge выбираем bridge1. Нажимаем ОК. Проделываем эту операцию для всех портов, кроме Ether1.
3. Назначаем Микротику IP адрес.
Выбираем IP-Addresses. Нажимаем на синий плюс.
В открывшемся окне в поле Address вбиваем 192.168.77.1/24. Поле Network заполнится автоматически.
В поле Interface выбираем bridge1.
Нажимаем ОК. Микротик должен начать пинговатся по адресу 192.168.77.1, а также он теперь по IP доступен из WinBox.
4. Навастриваем DNS сервер.
Выбираем IP-DNS. Я не использую DNS провайдера, хотя Микротик может получать эти данные автоматически
от подключения PPPoE. В поля Servers вбиваем желаемые DNS. У меня DNS от Yandex.
Самые известные - это Google 8.8.8.8, 8.8.4.4. Не забываем поставить галочку
Allow Remote Requests.
5. Навастриваем DHCP сервер.
Выбираем IP-DHCP Server. Микротик позволяет очень тонко настроить параметры вашего DHCP и иметь их несколько, но мы воспользуемся мастером настройки. Нажмите кнопку DHCP Setup.
Выбираем интерфейс bridge1. Нажимаем Next.
Вводим подсеть. В нашем случае 192.168.77.0/24.
Нажимаем Next.
Далее - это шлюз, который будет отдаваться вашим клиентам - это IP вашего Микротика.
В моем случае 192.168.77.1. Нажимаем Next. И еще раз Next (DHCP Relay нам не требуется).
Далее настраиваем диапазон адресов, которые будет выдавать Микротик клиентам.
Диапазон вводим вручную. В моем случае 192.168.77.2-192.168.77.254.
Нажимаем Next.
Теперь Микротик спрашивает нас о DNS сервере. Здесь вводим IP адрес Микротика. У меня это 192.168.77.1.
Нажимаем Next. Время аренды оставляем то, какое стоит по-умолчанию и нажимаем Next.
Микротик сообщает нам, что DHCP сервер успешно создан.
Если вы все сделали правильно, то стока с новым DHCP сервером в списке будет черная, а если будут ошибки, то она будет красная.
6.Настройка PPPoE.
Выбираем Interface. В окне нажимаем на синий плюс и выбираем PPPoE Client.
На вкладке General в поле Interface выбираем Ether1.
На вкладке Dial Out в поле User вбиваем логин, который выдал провайдер, в поле Password - пароль.
Нажимаем OK.
Особое внимание удаляем галочкам: Dial on Diamond - стоять не должна, Use Peer DNS - стоять не должна (мы настроили свой DNS сервер), Add Default Route - обязательно должна стоять.
Щелкаем по соединению в списке интерфейсов дважды мышкой.
Снова открывается окно настроек, выбираем вкладку Status.
За время, пока мы щелкали, если все данные были введены правильно, то Микротик должен
был уже подключиться к провайдеру. На вкладке Status вы можете видеть свой IP адрес, выданный провайдером (Local Address).
7. Контрольный выстрел.
Проверим наличие интернета. Выберите New Terminal. В окрывшемся окне терминала
наберите "ping 8.8.8.8". И если интернет есть, вы получите ответ от сервера.
8. Последний шаг.
Нам осталось поднять NAT.
Для этого выбираем IP-Firewall. Вкладка NAT.
Нажимаем на синий плюс.
На вкладке General в поле Chain выбираем srcnat.
В поле Src. Address вбиваем 192.168.77.0/24.
Переходим на вкладку Action.
В поле Action выбираем masquerade.
Нажимаем ОК.
Все! Интернет будет доступен на клиентах. Возможно потребуется переподключить клиента к сети,
в самых тяжелых случаях перезагрузка клиента.
Проверяем интернет на клиенте.
FAQ: PPPoE; FreeVPN, VLAN, мост на SXT Lite, AP, AP Client, IP-TV (Ростелеком), DNS и локальные имена, setup WiFi
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
- Модератор
- Сообщения: 3378
- Зарегистрирован: 01 окт 2012, 14:48
-
- Сообщения: 0
- Зарегистрирован: 15 дек 2014, 18:19
Хочу дополнить для ADSL-модема(PPPoE).
Не получалось войти на веб-интерфейс ADSL-модема из внутренней локальной сети.
Решение:
1. IP-Addresses ---> интерфейсу ether1-gateway назначаю адрес (например: 192.168.1.1/24)
(У ADSL-модема отключаю DHCP сервер и пишу новый адрес 192.168.1.2)
В Route list автоматически создается новый маршрут:
2. IP-Firewall-Nat ---> создаю новое правило для ether1-gateway
(ip firewall nat add chain=srcnat out-interface=ether1-gateway action=masquerade)
Ну вот как-то так.
Не получалось войти на веб-интерфейс ADSL-модема из внутренней локальной сети.
Решение:
1. IP-Addresses ---> интерфейсу ether1-gateway назначаю адрес (например: 192.168.1.1/24)
(У ADSL-модема отключаю DHCP сервер и пишу новый адрес 192.168.1.2)
В Route list автоматически создается новый маршрут:
2. IP-Firewall-Nat ---> создаю новое правило для ether1-gateway
(ip firewall nat add chain=srcnat out-interface=ether1-gateway action=masquerade)
Ну вот как-то так.
-
- Модератор
- Сообщения: 3378
- Зарегистрирован: 01 окт 2012, 14:48
Настройка FreeVPN
Продолжаю цикл публикаций из серии FAQ.
Сегодня рассмотрим не сложную, но интересную задачу.
Во времена санкций и ограничений наверняка многим приходила мысль воспользоваться бесплатными VPN сервисами. Благо в интернете таких достаточно много. Есть два пути использования: поднимать VPN соединение средствами компьютера и средствами роутера.
Рассмотрим последний вариант.
1. Создаем VPN подключение. Как правило на сайте VPN написано достаточно для успешного подключения. Чаще всего тип подключения PPPtP.
Выбираем Interfaces, нажимаем на плюсик выбираем PPPtP Client. Нас интересует только вкладка Dial Out. Здесь вбиваем данные с сайта VPN, галочку Add Default Route обязательно снять.
Нажмите кнопку Apply. Через несколько секунд соединение будет установлено. На вкладке Status можно будет увидеть IP адрес, который получило соединение.
2. Начинается самое интересное. Через подключение VPN в инет должны ходить не все компьютеры, а только папин ноутбук. Поэтому нам требуется настроить правило mangle, то есть трафик от ноутбука должен быть помечен.
Выбираем IP-Firewall-Mangle и нажимаем на синий плюсик.
На вкладке General выбираем канал: prerouting, в поле Src. Address вбиваем IP вашего ноутбука. Понятно, что IP у ноутбука должен быть постоянным и назначен либо в ручную, либо средствами DHCP сервера, но меняться он не должен.
]
Переходим на вкладку Action, в поле Action выбираем mark routing, а в поле New Routing Mark вписываем маркировочное слово, у меня "vpn".
Нажимаем на кнопку OK.
3. Выбираем IP-Routes. Нажимаем на синий плюсик.
В поле Dst. Address вбиваем 0.0.0.0/0, в поле Gateway выберите свое подключение ppptp, которое вы создали на первом шаге.
В поле Routing Mark из списка выберите то маркировочное слово, которое вы указали в mangle. У меня "vpn".
Нажмите кнопку OK.
4. Один момент, связанный с маскарадингом. Хотелось бы, чтобы все работало так: если VPN успешно поднят, то все пакеты должны идти через VPN соединение, а если VPN не работает, то пакеты должны идти через обычное подключение к инету. Дело в том, что бесплатные VPN сервисы частенько меняют пароль подключения PPPtP и узнаете вы об этом тогда, когда "любимые" сайте перестанут нормально открываться. Чтобы такая схема работала, нужно, чтобы в правиле маскарадинга не был указан исходящий интерфейс (либо создано два правила маскарадинга для каждого интерфейса).
Правила маскарадинга ищите через IP-Firewall-NAT.
5. Все осталось только проверить ваш IP адрес:
6. Помните, что если сайт не открывается через VPN, то нужно почистить кэш браузера. В Google Chrome есть замечательный режим "инкогнито" - никакая история и кэш не сохраняются.
Продолжаю цикл публикаций из серии FAQ.
Сегодня рассмотрим не сложную, но интересную задачу.
Во времена санкций и ограничений наверняка многим приходила мысль воспользоваться бесплатными VPN сервисами. Благо в интернете таких достаточно много. Есть два пути использования: поднимать VPN соединение средствами компьютера и средствами роутера.
Рассмотрим последний вариант.
1. Создаем VPN подключение. Как правило на сайте VPN написано достаточно для успешного подключения. Чаще всего тип подключения PPPtP.
Выбираем Interfaces, нажимаем на плюсик выбираем PPPtP Client. Нас интересует только вкладка Dial Out. Здесь вбиваем данные с сайта VPN, галочку Add Default Route обязательно снять.
Нажмите кнопку Apply. Через несколько секунд соединение будет установлено. На вкладке Status можно будет увидеть IP адрес, который получило соединение.
2. Начинается самое интересное. Через подключение VPN в инет должны ходить не все компьютеры, а только папин ноутбук. Поэтому нам требуется настроить правило mangle, то есть трафик от ноутбука должен быть помечен.
Выбираем IP-Firewall-Mangle и нажимаем на синий плюсик.
На вкладке General выбираем канал: prerouting, в поле Src. Address вбиваем IP вашего ноутбука. Понятно, что IP у ноутбука должен быть постоянным и назначен либо в ручную, либо средствами DHCP сервера, но меняться он не должен.
]
Переходим на вкладку Action, в поле Action выбираем mark routing, а в поле New Routing Mark вписываем маркировочное слово, у меня "vpn".
Нажимаем на кнопку OK.
3. Выбираем IP-Routes. Нажимаем на синий плюсик.
В поле Dst. Address вбиваем 0.0.0.0/0, в поле Gateway выберите свое подключение ppptp, которое вы создали на первом шаге.
В поле Routing Mark из списка выберите то маркировочное слово, которое вы указали в mangle. У меня "vpn".
Нажмите кнопку OK.
4. Один момент, связанный с маскарадингом. Хотелось бы, чтобы все работало так: если VPN успешно поднят, то все пакеты должны идти через VPN соединение, а если VPN не работает, то пакеты должны идти через обычное подключение к инету. Дело в том, что бесплатные VPN сервисы частенько меняют пароль подключения PPPtP и узнаете вы об этом тогда, когда "любимые" сайте перестанут нормально открываться. Чтобы такая схема работала, нужно, чтобы в правиле маскарадинга не был указан исходящий интерфейс (либо создано два правила маскарадинга для каждого интерфейса).
Правила маскарадинга ищите через IP-Firewall-NAT.
5. Все осталось только проверить ваш IP адрес:
6. Помните, что если сайт не открывается через VPN, то нужно почистить кэш браузера. В Google Chrome есть замечательный режим "инкогнито" - никакая история и кэш не сохраняются.
Последний раз редактировалось gmx 09 дек 2016, 15:52, всего редактировалось 4 раза.
-
- Сообщения: 64
- Зарегистрирован: 14 мар 2014, 07:20
Возможно ли сделать так что бы через VPN ходили запросы только к определенным сайтам?
-
- Модератор
- Сообщения: 3378
- Зарегистрирован: 01 окт 2012, 14:48
Ну конечно можно.
Есть два варианта:
1. Сайтов не много.
IP-Firewall-Mangle в поле Dst. Address вбиваете IP адрес/адреса.
2. Сайтов много.
IP-Firewall-Address List - и здесь вбиваете сколько душе угодно, указывая для всех одно и тоже имя Address List. Затем IP-Firewall-Mangle вкладка Advanced и там в поле Dst. Addres List выбираете нужный Address List.
Помните, что многие сайты часто имеют более чем один IP адрес. Забивать в Address List придется все.
Есть два варианта:
1. Сайтов не много.
IP-Firewall-Mangle в поле Dst. Address вбиваете IP адрес/адреса.
2. Сайтов много.
IP-Firewall-Address List - и здесь вбиваете сколько душе угодно, указывая для всех одно и тоже имя Address List. Затем IP-Firewall-Mangle вкладка Advanced и там в поле Dst. Addres List выбираете нужный Address List.
Помните, что многие сайты часто имеют более чем один IP адрес. Забивать в Address List придется все.
-
- Сообщения: 64
- Зарегистрирован: 14 мар 2014, 07:20
Спасибо.
Настроил через Addres List, работает.
Вопрос в продолжение - если IP адресов много и они меняются, то можно ли сделать проверку через L7-Protocol?
У меня не получилось, правило Mangle срабатывает, но перехода на VPN нет.
/ip firewall layer7-protocol
add name=LostFilm regexp="^.*(get|GET).+(lostfilm.tv).*\$"
/ip firewall mangle
add action=mark-routing chain=prerouting layer7-protocol=LostFilm new-routing-mark=vpn
Настроил через Addres List, работает.
Вопрос в продолжение - если IP адресов много и они меняются, то можно ли сделать проверку через L7-Protocol?
У меня не получилось, правило Mangle срабатывает, но перехода на VPN нет.
/ip firewall layer7-protocol
add name=LostFilm regexp="^.*(get|GET).+(lostfilm.tv).*\$"
/ip firewall mangle
add action=mark-routing chain=prerouting layer7-protocol=LostFilm new-routing-mark=vpn
-
- Модератор
- Сообщения: 3378
- Зарегистрирован: 01 окт 2012, 14:48
Все правильно, работать не будет.
L7 работает тогда, когда данные уже передаются с сайта через роутер клиенту,
то есть маршрут уже давно определен.
L7 работает тогда, когда данные уже передаются с сайта через роутер клиенту,
то есть маршрут уже давно определен.
-
- Сообщения: 64
- Зарегистрирован: 14 мар 2014, 07:20
жалко
хотелось сделать удобнее, но придется отлавливать айпишники
хотелось сделать удобнее, но придется отлавливать айпишники
-
- Модератор
- Сообщения: 3378
- Зарегистрирован: 01 окт 2012, 14:48
VLAN
Появилось пару часов свободного времени и я решил описать, на пальцах, основы работы с VLAN на Микротике.
Итак, дано:
Uplink - тегированный трафик, в нем есть VLAN 1577 - это VLAN управления, пока попробуем настроить именного его.
Настраивать будет два Микротика, включенные каскадом (один в другого).
Нам доступны три IP адреса 192.168.198.186 (187, 180) маска подсети 255.255.255.192. Шлюз 192.168.198.129, естественно. Это реально действующая сеть для мониторинга моего связного оборудования.
Задача 1.
Uplink включен в порт 1 на Микротике.
Назначить микротику IP 192.168.198.186, проверить доступность шлюза и других устройств подсети.
1. Сброс конфигурации Микротика до пустой. Как это сделать писалось много раз. Пропушу этот шаг.
2. Заводим VLAN.
Для этого Interface-VLAN-синий плюсик.
Если вы будете делать все это по мере чтения, то я настоятельно советую имя VLAN давать так, что было видно какой это VLAN и номер Eth порта на котором вы его завели.
В поле Name пишем удобное имя, в поле VLAN ID пишем реальный номер VLAN, который будем использовать, в поле Interface выбираем ether1. Нажимаем ОК. Все с этого момента весь исходящий трафик на порту ether1 стал тегированным. Еще говорят что порт стал "транковым". Входящий и так должен быть тегированным на вышестоящем оборудовании. На одном порту может быть несколько VLAN, но об этом позже.
2. Заводим IP адрес.
Для этого выбираем IP-Addresses-синий плюс.
В поле IP Addreess пишем адрес, по нашему условию это 192.168.198.186. Если вы помните, то маска была 255.255.255.192, это 26 маска, укажем еще через слеш.
Поле Network заполнится автоматически в зависимости от маски.
В поле Interface выберем наш VLAN интерфейс - vlan1577-1.
Нажимаем OK.
4. Все шлюз и другие устройства подсети должны уже пинговаться.
Проверяем.
Итак, первую задачу мы решили успешно и, как видите, не очень сложно.
Задача 2.
Пропустить тегированный трафик VLAN 1577 на следующий микротик.
Второй микротик первым портом Eth включен в пятый порт первого микротика. В пятый порт включен компьютер.
На пятом порту тоже заведем VLAN 1577.
В итоге должно получиться следующее:
Начинается самое интересное: объединим в бридж два VLAN 1577 на портах 1 и 5.
Для этого создаем новый бридж. Bridge - синий плюсик.
Меняет название бриджа по-умолчанию на bridge1577.
Переходим на вкладку Ports, нажимаем синий плюсик и добавляем сюда не физические порты, а vlan1577-1 и vlan1577-5.
Подключаемся ко второму микротику.
Проделываем уже привычные действия:
- заводим на порт ether1 новый vlan1577
- задаем IP адрес 192.168.198.187/26, назначая его vlan1577
Проверяем пинг.
Здесь должна быть другая картинка. Но она в очередной раз потерялась на сервере savepic.ru, поэтому я привел немного другую. Восстановить схему и сделать правильную картинку не представляется возможным.
Усложняем задачу. Отдадим трафик vlan1577 в нетегированном виде на порт 5 для обычного компьютера.
Для начала назначим компьютеру адрес
Создадим на втором Микротике бридж vlan1577
Объединим в этом бридже интерфейсы vlan1577-1 и порт ether5
Проверим пинг
Ну вот. Мы передали тегированный трафик через два микротика, включенные каскадом, а получили его в нетегированном виде на обычном компьютере.
На основе этого руководства можно сделать много vlan и управлять ими.
Есть ряд советов, которые я хотел бы вам дать, так как я уже наступил на эти грабли:
1. В одном vlan - одна подсеть.
2. Не объединяйте несколько vlan в один, для этого используйте функции маршрутизации сетей.
3. Не мешайте на портах тегированый и нетегированный трафик. Только в порядке очень редкого исключения.
4. Имейте в сети один мощный маршрутизатор, который будет роутить все подсети и организовывать vlan. Маршрутизатор агрегации. Понятно, что их может быть несколько, но в простейшем случае он один.
5. Заведите журнал сетей и vlan, или хотя бы пишите комментарии в Микротике.
podarok66 : Позволю себе добавить ссылку на пресловутую презентацию Хомейни, чтобы не заводить тему без ведома автора :
VLAN in MikroTik By Mohammed Khomeini Bin ABU MUM Indonesia, 2013
Появилось пару часов свободного времени и я решил описать, на пальцах, основы работы с VLAN на Микротике.
Итак, дано:
Uplink - тегированный трафик, в нем есть VLAN 1577 - это VLAN управления, пока попробуем настроить именного его.
Настраивать будет два Микротика, включенные каскадом (один в другого).
Нам доступны три IP адреса 192.168.198.186 (187, 180) маска подсети 255.255.255.192. Шлюз 192.168.198.129, естественно. Это реально действующая сеть для мониторинга моего связного оборудования.
Задача 1.
Uplink включен в порт 1 на Микротике.
Назначить микротику IP 192.168.198.186, проверить доступность шлюза и других устройств подсети.
1. Сброс конфигурации Микротика до пустой. Как это сделать писалось много раз. Пропушу этот шаг.
2. Заводим VLAN.
Для этого Interface-VLAN-синий плюсик.
Если вы будете делать все это по мере чтения, то я настоятельно советую имя VLAN давать так, что было видно какой это VLAN и номер Eth порта на котором вы его завели.
В поле Name пишем удобное имя, в поле VLAN ID пишем реальный номер VLAN, который будем использовать, в поле Interface выбираем ether1. Нажимаем ОК. Все с этого момента весь исходящий трафик на порту ether1 стал тегированным. Еще говорят что порт стал "транковым". Входящий и так должен быть тегированным на вышестоящем оборудовании. На одном порту может быть несколько VLAN, но об этом позже.
Код: Выделить всё
Небольшое отступление. Кроме тегированного трафика порт может по-прежнему пропускать и нетегированный. Часто такие порты называют "микшед" или "генерал". Однако, чтобы микротик пропускал и нетегированный трафик, вам придется завести VLAN 1. В сети есть сообщения, что и без заведенного VLAN 1 нетегированный трафик пропускается, но я так никогда не делал. Более того, я очень редко мешаю тегированный и нетегированный трафики. Это и у вас должно быть крайнее обстоятельство. Дело в том, что в случае проблем на данном участке сети, через пол года - год понять, что на порту намешан разный трафик крайне сложно, потому, мой вам совет, никогда не мешайте тегированный и нетегированный трафики
2. Заводим IP адрес.
Для этого выбираем IP-Addresses-синий плюс.
В поле IP Addreess пишем адрес, по нашему условию это 192.168.198.186. Если вы помните, то маска была 255.255.255.192, это 26 маска, укажем еще через слеш.
Поле Network заполнится автоматически в зависимости от маски.
В поле Interface выберем наш VLAN интерфейс - vlan1577-1.
Нажимаем OK.
4. Все шлюз и другие устройства подсети должны уже пинговаться.
Проверяем.
Итак, первую задачу мы решили успешно и, как видите, не очень сложно.
Задача 2.
Пропустить тегированный трафик VLAN 1577 на следующий микротик.
Второй микротик первым портом Eth включен в пятый порт первого микротика. В пятый порт включен компьютер.
На пятом порту тоже заведем VLAN 1577.
В итоге должно получиться следующее:
Начинается самое интересное: объединим в бридж два VLAN 1577 на портах 1 и 5.
Для этого создаем новый бридж. Bridge - синий плюсик.
Меняет название бриджа по-умолчанию на bridge1577.
Переходим на вкладку Ports, нажимаем синий плюсик и добавляем сюда не физические порты, а vlan1577-1 и vlan1577-5.
Подключаемся ко второму микротику.
Проделываем уже привычные действия:
- заводим на порт ether1 новый vlan1577
- задаем IP адрес 192.168.198.187/26, назначая его vlan1577
Проверяем пинг.
Здесь должна быть другая картинка. Но она в очередной раз потерялась на сервере savepic.ru, поэтому я привел немного другую. Восстановить схему и сделать правильную картинку не представляется возможным.
Усложняем задачу. Отдадим трафик vlan1577 в нетегированном виде на порт 5 для обычного компьютера.
Для начала назначим компьютеру адрес
Создадим на втором Микротике бридж vlan1577
Объединим в этом бридже интерфейсы vlan1577-1 и порт ether5
Проверим пинг
Ну вот. Мы передали тегированный трафик через два микротика, включенные каскадом, а получили его в нетегированном виде на обычном компьютере.
На основе этого руководства можно сделать много vlan и управлять ими.
Есть ряд советов, которые я хотел бы вам дать, так как я уже наступил на эти грабли:
1. В одном vlan - одна подсеть.
2. Не объединяйте несколько vlan в один, для этого используйте функции маршрутизации сетей.
3. Не мешайте на портах тегированый и нетегированный трафик. Только в порядке очень редкого исключения.
4. Имейте в сети один мощный маршрутизатор, который будет роутить все подсети и организовывать vlan. Маршрутизатор агрегации. Понятно, что их может быть несколько, но в простейшем случае он один.
5. Заведите журнал сетей и vlan, или хотя бы пишите комментарии в Микротике.
podarok66 : Позволю себе добавить ссылку на пресловутую презентацию Хомейни, чтобы не заводить тему без ведома автора :
VLAN in MikroTik By Mohammed Khomeini Bin ABU MUM Indonesia, 2013
Последний раз редактировалось gmx 09 дек 2016, 11:28, всего редактировалось 4 раза.
-
- Модератор
- Сообщения: 3378
- Зарегистрирован: 01 окт 2012, 14:48
Мост на SXT Lite
Давно не писал ничего в FAQ.
В очередной раз поднимал мост на SXT Lite2, вот и решил описать весь процесс, пока оборудование мне удаленно доступно. Тем более, что вопросы такие периодически возникают на форуме.
Итак, опишу техническое задание. Необходимо организовать беспроводной мост на расстоянии 200 метров, с минимальной скоростью 5 мбит/сек. Прямая видимость имеется. IP адресация основной сети 192.168.77.0/24, шлюз 192.168.77.1. IP адресация удаленной сети 192.168.88.0/24, шлюз 192.168.77.1. Для оборудования моста (двух SXT Lite) выдано два IP адреса 192.168.77.248 и 192.168.77.247.
Далее я предполагаю, что текущая конфигурация SXT Lite удалена и Микротик девственно чист. Как это сделать читайте выше или здесь http://wiki.mikrotik.com/wiki/Manual:Co ... tion_Reset
Многие операции по тексту я буду описывать формально, так как выше они рассматривались очень подробно, и я предполагаю, что опыт работы с интерфейсом WinBox у читателя уже имеется.
1. На первом SXT организуем бридж и назначаем IP адрес.
Обратите внимание, что в списке портов в бридже, Wlan1 уже переименован в WlanRosinka, пусть вас это не пугает. Руководство пишется уже по действующему оборудованию.
2. Выпустим этот SXT в интернет.
Делать это не обязательно, но весьма удобно будет в дальнейшем.
3. Настраиваем WiFi.
Использовать будем проприетарный протокол nv2, разработанный компанией Микротик.
Более подробно о нем можно прочитать здесь http://wiki.mikrotik.com/wiki/Manual:Nv2
Если отвлечься от его технических преимуществ, то с бытовой точки зрения, у подобных протоколов есть важная особенность: "увидеть" эти сети могут только устройства Микротик и другое специальное оборудование, а обычные неподготовленные пользователи нет.
В поле Preshared Key указывается пароль (защитный ключ) сети. С обеих сторон он должен быть одинаковый, естественно.
Мощность передатчика уменьшил. На таком расстоянии, как у меня в техзадании, мощность можно еще уменьшить.
Настройки WiFi выполнялись в режиме Advanced Mode (кнопка справа), после ее нажатия она становится Simple Mode.
Забегая вперед покажу статус коннекта.
Все первый SXT настроен. Вы должны понимать, что это минимально необходимые настройки, все остальное настраивается по мере необходимости.
Настройки второго SXT во многом аналогичны первому, но есть изменения. Так как удаленная подсеть отличается от местной, на втором SXT будем поднимать NAT. Мощности SXT хватить за глаза, в удаленной сети всего пять компов.
1. Бридж не настраиваем. Он нам здесь не нужен.
Настраиваем IP. NAT.
2. Настраиваем WiFi.
Все аналогично предыдущему SXT, с некоторыми изменениями.
Обратите внимание на поле Mode.
Мощность уменьшил так же, как на первом SXT.
Все, после нажатия на кнопку ОК оба микротика должны законнектица.
Не обращайте внимание на маленькие цифры скоростей в самом начале. Как только появится нагрузка на канал, все значения вырастут во много раз и приблизятся к максимальным.
Причем в процессе эксплуатации скорость будет меняться в зависимости от нагрузки и состояния эфира. Это нормально!!!
3. Настраиваем DHCP сервер и DNS сервер.
Обратите внимание, что клиентам DHCP отдает в качестве DNS IP адрес другого микротика, он же основной шлюз во всей сети.
Пул адресов пока очень маленький
4. Организации основного маршрута
На этом настройка моста закончилась. Остается только закрепить устройства и выполнить юстировку. На короткие расстоянию юстировка - это формальность, я делаю на глаз. На больших расстояниях помогает и бинокль, и человек сидящий за компьютером следящий за цифрами. Как правило, особых трудностей юстировка не вызывает.
Для удобства юстировки вы можете включить светодиодную лесенку на корпусе микротика. Читайте об этом здесь http://wiki.mikrotik.com/wiki/Manual:System/LEDS
Правда тут есть некоторые ограничения и в некоторых режимах они могут не работать.
Давно не писал ничего в FAQ.
В очередной раз поднимал мост на SXT Lite2, вот и решил описать весь процесс, пока оборудование мне удаленно доступно. Тем более, что вопросы такие периодически возникают на форуме.
Итак, опишу техническое задание. Необходимо организовать беспроводной мост на расстоянии 200 метров, с минимальной скоростью 5 мбит/сек. Прямая видимость имеется. IP адресация основной сети 192.168.77.0/24, шлюз 192.168.77.1. IP адресация удаленной сети 192.168.88.0/24, шлюз 192.168.77.1. Для оборудования моста (двух SXT Lite) выдано два IP адреса 192.168.77.248 и 192.168.77.247.
Далее я предполагаю, что текущая конфигурация SXT Lite удалена и Микротик девственно чист. Как это сделать читайте выше или здесь http://wiki.mikrotik.com/wiki/Manual:Co ... tion_Reset
Многие операции по тексту я буду описывать формально, так как выше они рассматривались очень подробно, и я предполагаю, что опыт работы с интерфейсом WinBox у читателя уже имеется.
1. На первом SXT организуем бридж и назначаем IP адрес.
Обратите внимание, что в списке портов в бридже, Wlan1 уже переименован в WlanRosinka, пусть вас это не пугает. Руководство пишется уже по действующему оборудованию.
2. Выпустим этот SXT в интернет.
Делать это не обязательно, но весьма удобно будет в дальнейшем.
3. Настраиваем WiFi.
Использовать будем проприетарный протокол nv2, разработанный компанией Микротик.
Более подробно о нем можно прочитать здесь http://wiki.mikrotik.com/wiki/Manual:Nv2
Если отвлечься от его технических преимуществ, то с бытовой точки зрения, у подобных протоколов есть важная особенность: "увидеть" эти сети могут только устройства Микротик и другое специальное оборудование, а обычные неподготовленные пользователи нет.
В поле Preshared Key указывается пароль (защитный ключ) сети. С обеих сторон он должен быть одинаковый, естественно.
Мощность передатчика уменьшил. На таком расстоянии, как у меня в техзадании, мощность можно еще уменьшить.
Настройки WiFi выполнялись в режиме Advanced Mode (кнопка справа), после ее нажатия она становится Simple Mode.
Забегая вперед покажу статус коннекта.
Все первый SXT настроен. Вы должны понимать, что это минимально необходимые настройки, все остальное настраивается по мере необходимости.
Настройки второго SXT во многом аналогичны первому, но есть изменения. Так как удаленная подсеть отличается от местной, на втором SXT будем поднимать NAT. Мощности SXT хватить за глаза, в удаленной сети всего пять компов.
1. Бридж не настраиваем. Он нам здесь не нужен.
Настраиваем IP. NAT.
2. Настраиваем WiFi.
Все аналогично предыдущему SXT, с некоторыми изменениями.
Обратите внимание на поле Mode.
Мощность уменьшил так же, как на первом SXT.
Все, после нажатия на кнопку ОК оба микротика должны законнектица.
Не обращайте внимание на маленькие цифры скоростей в самом начале. Как только появится нагрузка на канал, все значения вырастут во много раз и приблизятся к максимальным.
Причем в процессе эксплуатации скорость будет меняться в зависимости от нагрузки и состояния эфира. Это нормально!!!
3. Настраиваем DHCP сервер и DNS сервер.
Обратите внимание, что клиентам DHCP отдает в качестве DNS IP адрес другого микротика, он же основной шлюз во всей сети.
Пул адресов пока очень маленький
4. Организации основного маршрута
На этом настройка моста закончилась. Остается только закрепить устройства и выполнить юстировку. На короткие расстоянию юстировка - это формальность, я делаю на глаз. На больших расстояниях помогает и бинокль, и человек сидящий за компьютером следящий за цифрами. Как правило, особых трудностей юстировка не вызывает.
Для удобства юстировки вы можете включить светодиодную лесенку на корпусе микротика. Читайте об этом здесь http://wiki.mikrotik.com/wiki/Manual:System/LEDS
Правда тут есть некоторые ограничения и в некоторых режимах они могут не работать.
Последний раз редактировалось gmx 09 дек 2016, 14:21, всего редактировалось 2 раза.