FAQ: PPPoE; FreeVPN, VLAN, мост на SXT Lite, AP, AP Client, IP-TV (Ростелеком), DNS и локальные имена, setup WiFi

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Закрыто
gmx
Модератор
Сообщения: 3378
Зарегистрирован: 01 окт 2012, 14:48

Минимальные настройки PPPoE

В связи с частыми вопросами по настройке на Микротике подключения к провайдеру по PPPoE решил создать небольшой FAQ по минимальным настройкам.

Далее я предполагаю, что вы уже обновили Ruoter OS на Микротике до последней стабильной.
Обратите внимание, что в тексте будет использовать подсеть 192.168.77.0/24, тогда как обычно дома используют 192.168.1.1/24. Вы можете по мере выполнения шагов
менять сеть на свою, но проще будет настраивать так, как картинках. По мере набора опыта по настройке Микротика вы сами сможете все это поменять. Также я предполагаю, что все устройства в вашей сети будут получать IP адрес автоматически от Микротика. Если есть устройства с IP, назначенными вручную, то нужно, чтобы пул адресов DHCP на Микротике с ними не пересекался. Будет намного проще, чтобы адреса все устройства сети получали автоматически.
Договоримся о подключениях: в 1 порт Ethernet включаем кабель провайдера, порты 2-5 + WLAN1 - все в нашу локальную сеть.

Вначале настройки обязательно подключаемся к Микротику через WinBox по MAC адресу. Затем можно будет подключаться и по IP. Весь конфиг я буду описывать в виде скринов с WinBox, терминальные команды использовать не буду. Для начинающих так будет намного проще.

1. Удаление текущей конфигурации Микротика.
Выбираем System-Reset Configuration.
Изображение
Нажимаем кнопку Reset Configuration. Микротик автоматически перезагрузится.
Подключаемcя к нему снова. Микротик скажет нам, что он применил стандартную конфигурацию, нажмите кнопку Remove Configuration. Никакая конфигурация нам не нужна.

2. Создаем бридж и включаем в него все порты, кроме Ether1.
Выбираем Bridge. Нажимаем на синий плюс. Затем ОК.
Изображение
Переходим на вкладку Ports.
Нажимаем на синий плюс. В появившемcя окне в поле Interface выбираем ether2, в поле Bridge выбираем bridge1. Нажимаем ОК. Проделываем эту операцию для всех портов, кроме Ether1.
Изображение

3. Назначаем Микротику IP адрес.
Выбираем IP-Addresses. Нажимаем на синий плюс.
В открывшемся окне в поле Address вбиваем 192.168.77.1/24. Поле Network заполнится автоматически.
В поле Interface выбираем bridge1.
Изображение
Нажимаем ОК. Микротик должен начать пинговатся по адресу 192.168.77.1, а также он теперь по IP доступен из WinBox.

4. Навастриваем DNS сервер.
Выбираем IP-DNS. Я не использую DNS провайдера, хотя Микротик может получать эти данные автоматически
от подключения PPPoE. В поля Servers вбиваем желаемые DNS. У меня DNS от Yandex.
Самые известные - это Google 8.8.8.8, 8.8.4.4. Не забываем поставить галочку
Allow Remote Requests.
Изображение

5. Навастриваем DHCP сервер.
Выбираем IP-DHCP Server. Микротик позволяет очень тонко настроить параметры вашего DHCP и иметь их несколько, но мы воспользуемся мастером настройки. Нажмите кнопку DHCP Setup.
Изображение
Выбираем интерфейс bridge1. Нажимаем Next.
Вводим подсеть. В нашем случае 192.168.77.0/24.
Нажимаем Next.
Далее - это шлюз, который будет отдаваться вашим клиентам - это IP вашего Микротика.
В моем случае 192.168.77.1. Нажимаем Next. И еще раз Next (DHCP Relay нам не требуется).
Далее настраиваем диапазон адресов, которые будет выдавать Микротик клиентам.
Изображение
Диапазон вводим вручную. В моем случае 192.168.77.2-192.168.77.254.
Нажимаем Next.
Теперь Микротик спрашивает нас о DNS сервере. Здесь вводим IP адрес Микротика. У меня это 192.168.77.1.
Изображение
Нажимаем Next. Время аренды оставляем то, какое стоит по-умолчанию и нажимаем Next.
Изображение
Микротик сообщает нам, что DHCP сервер успешно создан.
Если вы все сделали правильно, то стока с новым DHCP сервером в списке будет черная, а если будут ошибки, то она будет красная.
Изображение

6.Настройка PPPoE.
Выбираем Interface. В окне нажимаем на синий плюс и выбираем PPPoE Client.
На вкладке General в поле Interface выбираем Ether1.
Изображение
На вкладке Dial Out в поле User вбиваем логин, который выдал провайдер, в поле Password - пароль.
Нажимаем OK.
Изображение
Особое внимание удаляем галочкам: Dial on Diamond - стоять не должна, Use Peer DNS - стоять не должна (мы настроили свой DNS сервер), Add Default Route - обязательно должна стоять.
Щелкаем по соединению в списке интерфейсов дважды мышкой.
Снова открывается окно настроек, выбираем вкладку Status.
За время, пока мы щелкали, если все данные были введены правильно, то Микротик должен
был уже подключиться к провайдеру. На вкладке Status вы можете видеть свой IP адрес, выданный провайдером (Local Address).
Изображение

7. Контрольный выстрел.
Проверим наличие интернета. Выберите New Terminal. В окрывшемся окне терминала
наберите "ping 8.8.8.8". И если интернет есть, вы получите ответ от сервера.
Изображение

8. Последний шаг.
Нам осталось поднять NAT.
Для этого выбираем IP-Firewall. Вкладка NAT.
Нажимаем на синий плюс.
На вкладке General в поле Chain выбираем srcnat.
В поле Src. Address вбиваем 192.168.77.0/24.
Изображение
Переходим на вкладку Action.
В поле Action выбираем masquerade.
Нажимаем ОК.
Изображение


Все! Интернет будет доступен на клиентах. Возможно потребуется переподключить клиента к сети,
в самых тяжелых случаях перезагрузка клиента.

Проверяем интернет на клиенте.
Изображение
Последний раз редактировалось gmx 09 дек 2016, 11:29, всего редактировалось 12 раз.


snb445
Сообщения: 0
Зарегистрирован: 15 дек 2014, 18:19

Хочу дополнить для ADSL-модема(PPPoE).
Не получалось войти на веб-интерфейс ADSL-модема из внутренней локальной сети.
Решение:
1. IP-Addresses ---> интерфейсу ether1-gateway назначаю адрес (например: 192.168.1.1/24)
Изображение

(У ADSL-модема отключаю DHCP сервер и пишу новый адрес 192.168.1.2)

В Route list автоматически создается новый маршрут:
Изображение

2. IP-Firewall-Nat ---> создаю новое правило для ether1-gateway
(ip firewall nat add chain=srcnat out-interface=ether1-gateway action=masquerade)
Изображение

Ну вот как-то так.


gmx
Модератор
Сообщения: 3378
Зарегистрирован: 01 окт 2012, 14:48

Настройка FreeVPN

Продолжаю цикл публикаций из серии FAQ.
Сегодня рассмотрим не сложную, но интересную задачу.
Во времена санкций и ограничений наверняка многим приходила мысль воспользоваться бесплатными VPN сервисами. Благо в интернете таких достаточно много. Есть два пути использования: поднимать VPN соединение средствами компьютера и средствами роутера.
Рассмотрим последний вариант.


1. Создаем VPN подключение. Как правило на сайте VPN написано достаточно для успешного подключения. Чаще всего тип подключения PPPtP.
Выбираем Interfaces, нажимаем на плюсик выбираем PPPtP Client. Нас интересует только вкладка Dial Out. Здесь вбиваем данные с сайта VPN, галочку Add Default Route обязательно снять.
Изображение

Нажмите кнопку Apply. Через несколько секунд соединение будет установлено. На вкладке Status можно будет увидеть IP адрес, который получило соединение.
Изображение


2. Начинается самое интересное. Через подключение VPN в инет должны ходить не все компьютеры, а только папин ноутбук. :-): Поэтому нам требуется настроить правило mangle, то есть трафик от ноутбука должен быть помечен.
Выбираем IP-Firewall-Mangle и нажимаем на синий плюсик.
На вкладке General выбираем канал: prerouting, в поле Src. Address вбиваем IP вашего ноутбука. Понятно, что IP у ноутбука должен быть постоянным и назначен либо в ручную, либо средствами DHCP сервера, но меняться он не должен.
Изображение]

Переходим на вкладку Action, в поле Action выбираем mark routing, а в поле New Routing Mark вписываем маркировочное слово, у меня "vpn".
Изображение

Нажимаем на кнопку OK.

3. Выбираем IP-Routes. Нажимаем на синий плюсик.
В поле Dst. Address вбиваем 0.0.0.0/0, в поле Gateway выберите свое подключение ppptp, которое вы создали на первом шаге.
В поле Routing Mark из списка выберите то маркировочное слово, которое вы указали в mangle. У меня "vpn".
Изображение

Нажмите кнопку OK.

4. Один момент, связанный с маскарадингом. Хотелось бы, чтобы все работало так: если VPN успешно поднят, то все пакеты должны идти через VPN соединение, а если VPN не работает, то пакеты должны идти через обычное подключение к инету. Дело в том, что бесплатные VPN сервисы частенько меняют пароль подключения PPPtP и узнаете вы об этом тогда, когда "любимые" сайте перестанут нормально открываться. Чтобы такая схема работала, нужно, чтобы в правиле маскарадинга не был указан исходящий интерфейс (либо создано два правила маскарадинга для каждого интерфейса).
Изображение

Правила маскарадинга ищите через IP-Firewall-NAT.

5. Все осталось только проверить ваш IP адрес:
Изображение

6. Помните, что если сайт не открывается через VPN, то нужно почистить кэш браузера. В Google Chrome есть замечательный режим "инкогнито" - никакая история и кэш не сохраняются.
Последний раз редактировалось gmx 09 дек 2016, 15:52, всего редактировалось 4 раза.


summit
Сообщения: 64
Зарегистрирован: 14 мар 2014, 07:20

Возможно ли сделать так что бы через VPN ходили запросы только к определенным сайтам?


gmx
Модератор
Сообщения: 3378
Зарегистрирован: 01 окт 2012, 14:48

Ну конечно можно.

Есть два варианта:

1. Сайтов не много.
IP-Firewall-Mangle в поле Dst. Address вбиваете IP адрес/адреса.

2. Сайтов много.
IP-Firewall-Address List - и здесь вбиваете сколько душе угодно, указывая для всех одно и тоже имя Address List. Затем IP-Firewall-Mangle вкладка Advanced и там в поле Dst. Addres List выбираете нужный Address List.

Помните, что многие сайты часто имеют более чем один IP адрес. Забивать в Address List придется все.


summit
Сообщения: 64
Зарегистрирован: 14 мар 2014, 07:20

Спасибо.
Настроил через Addres List, работает.
Вопрос в продолжение - если IP адресов много и они меняются, то можно ли сделать проверку через L7-Protocol?
У меня не получилось, правило Mangle срабатывает, но перехода на VPN нет.

/ip firewall layer7-protocol
add name=LostFilm regexp="^.*(get|GET).+(lostfilm.tv).*\$"

/ip firewall mangle
add action=mark-routing chain=prerouting layer7-protocol=LostFilm new-routing-mark=vpn


gmx
Модератор
Сообщения: 3378
Зарегистрирован: 01 окт 2012, 14:48

Все правильно, работать не будет.
L7 работает тогда, когда данные уже передаются с сайта через роутер клиенту,
то есть маршрут уже давно определен.


summit
Сообщения: 64
Зарегистрирован: 14 мар 2014, 07:20

жалко :-(

хотелось сделать удобнее, но придется отлавливать айпишники


gmx
Модератор
Сообщения: 3378
Зарегистрирован: 01 окт 2012, 14:48

VLAN

Появилось пару часов свободного времени и я решил описать, на пальцах, основы работы с VLAN на Микротике.

Итак, дано:

Uplink - тегированный трафик, в нем есть VLAN 1577 - это VLAN управления, пока попробуем настроить именного его.
Настраивать будет два Микротика, включенные каскадом (один в другого).
Нам доступны три IP адреса 192.168.198.186 (187, 180) маска подсети 255.255.255.192. Шлюз 192.168.198.129, естественно. Это реально действующая сеть для мониторинга моего связного оборудования.

Задача 1.
Uplink включен в порт 1 на Микротике.
Назначить микротику IP 192.168.198.186, проверить доступность шлюза и других устройств подсети.

1. Сброс конфигурации Микротика до пустой. Как это сделать писалось много раз. Пропушу этот шаг.

2. Заводим VLAN.
Для этого Interface-VLAN-синий плюсик.
Если вы будете делать все это по мере чтения, то я настоятельно советую имя VLAN давать так, что было видно какой это VLAN и номер Eth порта на котором вы его завели.

Изображение

В поле Name пишем удобное имя, в поле VLAN ID пишем реальный номер VLAN, который будем использовать, в поле Interface выбираем ether1. Нажимаем ОК. Все с этого момента весь исходящий трафик на порту ether1 стал тегированным. Еще говорят что порт стал "транковым". Входящий и так должен быть тегированным на вышестоящем оборудовании. На одном порту может быть несколько VLAN, но об этом позже.

Код: Выделить всё

Небольшое отступление. Кроме тегированного трафика порт может по-прежнему пропускать и нетегированный. Часто такие порты называют "микшед" или "генерал". Однако, чтобы микротик пропускал и нетегированный трафик, вам придется завести VLAN 1. В сети есть сообщения, что и без заведенного VLAN 1 нетегированный трафик пропускается, но я так никогда не делал. Более того, я очень редко мешаю тегированный и нетегированный трафики. Это и у вас должно быть крайнее обстоятельство. Дело в том, что в случае проблем на данном участке сети, через пол года - год понять, что на порту намешан разный трафик крайне сложно, потому, мой вам совет, никогда не мешайте тегированный и нетегированный трафики


2. Заводим IP адрес.
Для этого выбираем IP-Addresses-синий плюс.
Изображение

В поле IP Addreess пишем адрес, по нашему условию это 192.168.198.186. Если вы помните, то маска была 255.255.255.192, это 26 маска, укажем еще через слеш.
Поле Network заполнится автоматически в зависимости от маски.
В поле Interface выберем наш VLAN интерфейс - vlan1577-1.
Нажимаем OK.

4. Все шлюз и другие устройства подсети должны уже пинговаться.
Проверяем.
Изображение

Итак, первую задачу мы решили успешно и, как видите, не очень сложно.

Задача 2.

Пропустить тегированный трафик VLAN 1577 на следующий микротик.

Второй микротик первым портом Eth включен в пятый порт первого микротика. В пятый порт включен компьютер.

На пятом порту тоже заведем VLAN 1577.
Изображение

В итоге должно получиться следующее:
Изображение

Начинается самое интересное: объединим в бридж два VLAN 1577 на портах 1 и 5.

Для этого создаем новый бридж. Bridge - синий плюсик.
Меняет название бриджа по-умолчанию на bridge1577.
Изображение

Переходим на вкладку Ports, нажимаем синий плюсик и добавляем сюда не физические порты, а vlan1577-1 и vlan1577-5.
Изображение

Подключаемся ко второму микротику.

Проделываем уже привычные действия:
- заводим на порт ether1 новый vlan1577
- задаем IP адрес 192.168.198.187/26, назначая его vlan1577

Изображение

Изображение

Проверяем пинг.
Изображение
Здесь должна быть другая картинка. Но она в очередной раз потерялась на сервере savepic.ru, поэтому я привел немного другую. Восстановить схему и сделать правильную картинку не представляется возможным.


Усложняем задачу. Отдадим трафик vlan1577 в нетегированном виде на порт 5 для обычного компьютера.

Для начала назначим компьютеру адрес
Изображение

Создадим на втором Микротике бридж vlan1577
Изображение

Объединим в этом бридже интерфейсы vlan1577-1 и порт ether5
Изображение

Проверим пинг
Изображение

Ну вот. Мы передали тегированный трафик через два микротика, включенные каскадом, а получили его в нетегированном виде на обычном компьютере.
На основе этого руководства можно сделать много vlan и управлять ими.

Есть ряд советов, которые я хотел бы вам дать, так как я уже наступил на эти грабли:

1. В одном vlan - одна подсеть.
2. Не объединяйте несколько vlan в один, для этого используйте функции маршрутизации сетей.
3. Не мешайте на портах тегированый и нетегированный трафик. Только в порядке очень редкого исключения.
4. Имейте в сети один мощный маршрутизатор, который будет роутить все подсети и организовывать vlan. Маршрутизатор агрегации. Понятно, что их может быть несколько, но в простейшем случае он один.
5. Заведите журнал сетей и vlan, или хотя бы пишите комментарии в Микротике.

podarok66 : Позволю себе добавить ссылку на пресловутую презентацию Хомейни, чтобы не заводить тему без ведома автора :
VLAN in MikroTik By Mohammed Khomeini Bin ABU MUM Indonesia, 2013
Последний раз редактировалось gmx 09 дек 2016, 11:28, всего редактировалось 4 раза.


gmx
Модератор
Сообщения: 3378
Зарегистрирован: 01 окт 2012, 14:48

Мост на SXT Lite

Давно не писал ничего в FAQ.

В очередной раз поднимал мост на SXT Lite2, вот и решил описать весь процесс, пока оборудование мне удаленно доступно. Тем более, что вопросы такие периодически возникают на форуме.

Итак, опишу техническое задание. Необходимо организовать беспроводной мост на расстоянии 200 метров, с минимальной скоростью 5 мбит/сек. Прямая видимость имеется. IP адресация основной сети 192.168.77.0/24, шлюз 192.168.77.1. IP адресация удаленной сети 192.168.88.0/24, шлюз 192.168.77.1. Для оборудования моста (двух SXT Lite) выдано два IP адреса 192.168.77.248 и 192.168.77.247.

Далее я предполагаю, что текущая конфигурация SXT Lite удалена и Микротик девственно чист. Как это сделать читайте выше или здесь http://wiki.mikrotik.com/wiki/Manual:Co ... tion_Reset


Многие операции по тексту я буду описывать формально, так как выше они рассматривались очень подробно, и я предполагаю, что опыт работы с интерфейсом WinBox у читателя уже имеется.

1. На первом SXT организуем бридж и назначаем IP адрес.

Изображение

Изображение

Обратите внимание, что в списке портов в бридже, Wlan1 уже переименован в WlanRosinka, пусть вас это не пугает. Руководство пишется уже по действующему оборудованию.

Изображение

2. Выпустим этот SXT в интернет.

Изображение

Делать это не обязательно, но весьма удобно будет в дальнейшем.

3. Настраиваем WiFi.
Использовать будем проприетарный протокол nv2, разработанный компанией Микротик.
Более подробно о нем можно прочитать здесь http://wiki.mikrotik.com/wiki/Manual:Nv2
Если отвлечься от его технических преимуществ, то с бытовой точки зрения, у подобных протоколов есть важная особенность: "увидеть" эти сети могут только устройства Микротик и другое специальное оборудование, а обычные неподготовленные пользователи нет.

Изображение

Изображение

Изображение

Изображение

В поле Preshared Key указывается пароль (защитный ключ) сети. С обеих сторон он должен быть одинаковый, естественно.
Изображение

Мощность передатчика уменьшил. На таком расстоянии, как у меня в техзадании, мощность можно еще уменьшить.
Изображение

Настройки WiFi выполнялись в режиме Advanced Mode (кнопка справа), после ее нажатия она становится Simple Mode.

Забегая вперед покажу статус коннекта.
Изображение

Все первый SXT настроен. Вы должны понимать, что это минимально необходимые настройки, все остальное настраивается по мере необходимости.

Настройки второго SXT во многом аналогичны первому, но есть изменения. Так как удаленная подсеть отличается от местной, на втором SXT будем поднимать NAT. Мощности SXT хватить за глаза, в удаленной сети всего пять компов.

1. Бридж не настраиваем. Он нам здесь не нужен.
Настраиваем IP. NAT.

Изображение

Изображение

Изображение

2. Настраиваем WiFi.
Все аналогично предыдущему SXT, с некоторыми изменениями.

Обратите внимание на поле Mode.
Изображение

Изображение

Изображение

Изображение

Мощность уменьшил так же, как на первом SXT.

Все, после нажатия на кнопку ОК оба микротика должны законнектица.

Не обращайте внимание на маленькие цифры скоростей в самом начале. Как только появится нагрузка на канал, все значения вырастут во много раз и приблизятся к максимальным.
Причем в процессе эксплуатации скорость будет меняться в зависимости от нагрузки и состояния эфира. Это нормально!!!

3. Настраиваем DHCP сервер и DNS сервер.

Изображение

Обратите внимание, что клиентам DHCP отдает в качестве DNS IP адрес другого микротика, он же основной шлюз во всей сети.
Изображение

Пул адресов пока очень маленький
Изображение

4. Организации основного маршрута

Изображение


На этом настройка моста закончилась. Остается только закрепить устройства и выполнить юстировку. На короткие расстоянию юстировка - это формальность, я делаю на глаз. На больших расстояниях помогает и бинокль, и человек сидящий за компьютером следящий за цифрами. Как правило, особых трудностей юстировка не вызывает.


Для удобства юстировки вы можете включить светодиодную лесенку на корпусе микротика. Читайте об этом здесь http://wiki.mikrotik.com/wiki/Manual:System/LEDS
Правда тут есть некоторые ограничения и в некоторых режимах они могут не работать.
Последний раз редактировалось gmx 09 дек 2016, 14:21, всего редактировалось 2 раза.


Закрыто