Привязка MAC-адреса Mikrotik у провайдера
Если Вы меняете роутер на Микротик, то скорей всего знаете что у Вашего провайдера есть привязка по MAC-адресу, в этом случае нужно изменить MAC-адрес того порта Микротика куда подключается провайдера на MAC-адрес старого роутера, сделать это можно только из консоли, следующей командой:
/interface ethernet set WAN1 mac-address=00:00:00:00:00:00 — вместо нулей надо вписать MAC-адрес зарезервированный у провайдера, узнать его можно зайдя в веб-интерфейс старого роутера, в техподдержке своего провайдера или поискать наклейку на корпусе устройства.
Если, после выполнения команды MAC-адрес сменился на указанный Вами значит все ок:
Основные моменты
Стоит понимать, что роутинг работает на третьем уровне (L3), для ее работы нужны IP адреса. В роутерах Mikrotik есть определённый алгоритм работы RouterOS, он описан в Packet Flow Diagram v6. Нас интересует диаграмма Packet Flow Chains.
Можно задать очень интересный вопрос. Все мы знаем, что в заголовке IP пакета есть отправитель и получатель, в процессе его передачи, эти данные не меняются. Так же из определения выше мы знаем, что routing работает на L3, т.е. с IP адресами, на их основе и строятся маршруты. Но как же так, в настройках адаптера клиента указан IPшник основного шлюза, в таблицах маршрутизации так же указаны адреса роутеров, через которые доступны нужные сети. Как так получается, что источник и получатель не меняются в процессе передачи? (а они действительно не меняются).
Также вы можете воспользоваться статьёй про настройку Микротика с нуля, она подойдёт для всех моделей роутеров.
Все дело в том, что, когда ваш клиентский комп хочет передать данные через шлюз, он делает arp-запрос на его IPшник (не broadcast), шлюз ему отвечает, происходит подстановка MAC шлюза в качестве получателя, на канальном уровне (L2) в ethernet кадр и данные отправляются. Шлюз получивший такой кадр, смотрит в IP заголовок, понимает, что получатель за пределами его локальной базы данных маршрутов, находит подходящий роут (об этом далее), делает arp-запрос нужного роутера, отправляет ethernet (если допустим это обычная сеть) кадр с MACом нужного роутера, и так до самого конца. Интересная штука выходит, IP адреса в пути следования не меняются, а MAC меняются.
Популярным вопросом у многих начинающих админов является «Я задал маршрут в нужную сеть, почему не работает?». На самом деле, пакеты долетают куда надо (если нет блокирующих правил по пути), т.е. в одну сторону. В связи с этим вам встречные вопросы:
- А вы задали обратный маршрут до вас?
- Как сеть назначения узнает, куда слать ответные пакеты?
Алгоритмы выбора маршрута:
- Самый высокий приоритет имеет сеть/адрес /32 маской. Чем уже маска, тем приоритетнее;
- Default Route имеет самый наименьший приоритет 0.0.0.0/0.
После выбора маршрута происходит выбор по метрике, чем меньше метрика, тем приоритетнее:
- distance=0 — наивысшая метрика;
- distance=254 – наименьшая метрика;
- distance=255 – недоступный маршрут.
Пора перейти от теории к практике.
Если вы хотите углубить свои знания по работе с роутерами MikroTik, то наша команда рекомендует пройти курсы которые сделаны на основе MikroTik Certified Network Associate и расширены автором на основе опыта . Подробно читайте .
Проверка переключения интернета между двумя провайдерами
Проверим, как работает переключение между двумя провайдерами.
- Откройте меню IP — Routes. Маршрут второго провайдера должен быть серого цвета, т.е. не активен;
- Отсоедините от роутера кабель 1-го провайдера;
- В Routes маршрут второго провайдера должен активироваться.
- Проверьте, что на компьютерах есть интернет.
- Теперь подключаем кабель первого провайдера обратно.
- В Routes маршрут второго провайдера должен деактивироваться.
- Проверьте, что на компьютерах есть интернет.
Настройка роутера MikroTik на два провайдера работает правильно. Теперь можно увеличить интервал пингования сервера Google.
- Откройте меню Tools — Netwatch;
- Сделайте двойной щелчок левой кнопкой мыши по 8.8.4.4;
- На вкладке Host в поле Interval укажите интервал времени 00:00:30 — 30 секунд.
- Нажмите кнопку OK.
На этом настройка маршрутизатора Микротик на два провайдера завершена.
Mikrotik: Полезные советы по настройке
Маршрутизаторы от производителя Mikrotik приобретают все большую популярность благодаря привлекательной цене и богатому функционалу. Пожалуй, в SOHO сегмента Mikrotik является лидером. Сегодня хотим рассказать о полезных опциях настройки, которые помогут укрепить устойчивость к внешним атакам и обеспечить стабильную работу для вашего офисного Mikrotik.
ЗАЩИТА MIKROTIK
1. Смена логина и пароля администратора
Начнем с первичной защиты нашего маршрутизатора — созданию стойкого к взломам логина и пароля администратора. По умолчанию, в Mikrotik используется логин admin и пустой пароль. Давайте исправим это: подключаемся через Winbox к нашему маршрутизатору и переходим в раздел настройки System → Users. Видим пользователя admin, который настроен по умолчанию:
Добавим нового пользователя, который будет обладать более строгими к взлому реквизитами (логин/пароль). Для этого, нажмите на значок «+» в левом верхнем углу:
Обратите внимание, в поле Group необходимо выбрать full, чтобы предоставить администраторские привилегии для пользователя. После произведенных настроек удаляем пользователя admin и отныне используем только нового пользователя для подключения к интерфейса администрирования
2. Сервисные порты
В маршрутизаторе Микротик «зашиты» некоторые службы, порты которых доступны для доступа из публичной сети интернет. Потенциально, это уязвимость для Вашего сетевого контура. Поэтому, мы предлагаем перейти в раздел настройки IP → Services:
Если вы используете доступ к Mikrotik только по Winbox, то мы предлагаем Вам отключить все сервисы, за исключением winbox и ssh (на всякий случай оставить ssh), а именно:
- api
- api-ssl
- ftp
- www
- www-ssl
Для отключения нажмите красный значок «х». Так как мы оставили SSH доступ к серверу, давайте «засекьюрим» его, сменив порт с 22 на 6022. Для этого, дважды нажмите на сервисный порт SSH и в открывшемся окне укажите настройку:
Нажимаем Apply и ОК.
3. Защита от брут — форса (перебора)
На официальном сайте Mikrotik существуют рекомендации о том, как защитить свой маршрутизатор от перебора паролей по FTP и SSH доступу. В предыдущем шаге мы закрыли FTP доступ, поэтому, если Вы строго следуете по данной инструкции, то используйте только код для защиты от SSH — атак. В противном случае, скопируйте оба. Итак, открываем терминал управления маршрутизатором. Для этого, в правом меню навигации нажмите New Terminal. Последовательно скопируйте указанный ниже код в консоль роутера:
СОЗДАНИЕ РЕЗЕРВНОЙ КОПИИ КОНФИГУРАЦИИ
На случай выхода из строя или аварии роутера, необходимо иметь под рукой его конфиг для оперативного восстановления. Сделать его крайне просто: открываем терминал, нажав в меню навигации New Terminal и указываем следующую команду:
Файл можно обнаружить нажав в меню навигации на раздел Files. Скачайте его себе на ПК, нажав правой кнопкой мыши и выбрав Download
БЛОКИРОВКА ДОСТУПА К САЙТА
В рабочее время сотрудники должны работать. Поэтому, давайте заблокируем доступ к развлекательным ресурсам, таким как Youtube, Facebook и Вконтакте. Для этого, перейдите в раздел IP → Firewall. Нажимаем на вкладку Layer 7 Protocol и затем нажимаем на значок «+» в левом верхнем углу:
Даем имя нашему правилу, которое будет оперировать на 7 уровне модели OSI, а в разделе Regexp добавляем:
Нажимаем OK и переходим к вкладке Filter Rules и нажимаем значок «+»:
В разделе Chain выбираем Forward. Переходим в том же окне во вкладку Advanced и в поле Layer 7 Protocol выбираем созданное нами правило блокировки:
Переходим во вкладку Action, и там выбираем Action = Drop:
По окончанию настроек нажимаем Apply и OK
Балансировка нагрузки
ECMP — Equal-Cost Multi-Path – равнозначный маршрут. Указывая в правиле 2 и более шлюза, мы тем самым включаем ECMP. Данные тем самым будут пересылаться по принципу Round Robin.
Добавим R4 на R1 и R3 в основном маршруте клиентов друг к другу.
Обратите внимание на трафик на интерфейсах. На R1 он уходит через один, а возвращается через другой
Так же огорчу читателя. Что Check Gateway с ECMP не работает.
Если допустим у вас канал через R2 200Mb/s а через R3 100Mb/s, то можно нагрузить первый канал в 2 (а то и более) раза больше, чем второй.
Хотелось бы напоследок отметить, что статическая маршрутизация как на микротик так и на других роутерах является самой экономичной моделью, т.к. на ее работу не нужно включать динамические протоколы маршрутизации. Но сложность администрирования и большая вероятность допущения ошибок являются основными моментами, которые нужно учесть при проектировании.
Настройка Firewall в Mikrotik
Тут мне стало очевидно, что на Mikrotik надо настроить таки Firewall, чтобы закрыться от подобных соединений, которые приводят к тормозам в работе роутера. В интернете много информации по настройке fiewall в mikrotik, я не буду подробно описывать этот процесс. Прочитать подробно о настройке можно тут или тут. Я просто приведу свой набор правил для обычного домашнего роутера. Это минимальный набор правил фаервола, ничего лишнего и в то же время полная защита от ненужных подключений.
Здесь ether2 — внешний интерфейс, 192.168.1.0/24 — моя локальна сеть, 45000 — порт торрента.
Разрешаем установленные подключения add chain=input action=accept connection-state=established add chain=forward action=accept connection-state=established
Разрешаем связанные подключения add chain=input action=accept connection-state=related add chain=forward action=accept connection-state=related
Разрешаем все подключения из нашей локальной сети add chain=input action=accept src-address=192.168.1.0/24 in-interface=!ether2
Разрешаем входящие подключения для торрента add chain=forward action=accept protocol=tcp in-interface=ether2 dst-port=45000
Обрубаем инвалидные подключения add chain=input action=drop connection-state=invalid add chain=forward action=drop connection-state=invalid
Обрубаем все остальные входящие подключения add chain=input action=drop in-interface=ether2
Разрешаем доступ из локальной сети в интернет add chain=forward action=accept in-interface=!ether2 out-interface=ether2
Обрубаем все остальные подключения
add chain=forward action=drop
Вот скриншот моих правил firewall. В принципе, по нему можно воссоздать все правила у себя на mikrotik:
Настройка удаленного доступа Mikrotik
Удаленно подключиться к Mikrotik можно несколькими способами, мы разберем настройку двух наиболее часто используемых:
- Через фирменную графическую утилиту Winbox;
- По протоколу SSH, при помощи сторонних приложений (например, Putty).
Давайте детально разберем в чем отличие этих методов удаленного подключения, на какие порты настроены данные сервисы, их плюсы и минусы.
Mikrotik. Удаленный доступ через Winbox
Чтобы подключиться к Микротику через Winbox, нужно в firewall открыть порт 8291. Для этого запустим фирменную утилиту (которую можно скачать с официального сайта) и перейдем:
IP => Firewall => Filter Rules => “+”.
Добавим правило, разрешающее подключение извне на 8291 port:
- Chain: input;
- Protocol: 6 (tcp);
- Dst. Port: 8291
Перейдем на вкладку Action:
Action: accept.
Разместим созданное правило выше запрещающего:
Таким образом, подключение к Mikrotik из интернета через Winbox разрешено. Данный способ позволяет удаленно настраивать оборудование в графическом режиме, что упрощает работу начинающим инженерам.
Mikrotik. Удаленный доступ по протоколу SSH
Также удаленное подключение до Mikrotik можно осуществить, используя протокол SSH, настроить и выполнить диагностику устройства из командной строки.
Чтобы настроить Mikrotik для удаленного подключения из интернета по протоколу SSH, нужно открыть 22 port. Делается это аналогичным способом, описанным выше. Поэтому мы просто скопируем ранее созданное правило, изменив порт:
- IP => Firewall => Filter Rules;
- Двойным нажатием откроем ранее созданное правило.
Скопируем его:
Изменим значение Dst. Port на 22:
Разместим его выше блокирующего правила:
На этом настройка удаленного подключения, используя SSH соединение, закончена. Давайте проверим, для этого скачаем приложение Putty и запустим:
- Host Name (or IP address) — указываем внешний IP Mikrotik;
- Нажимаем “Open”.
Вводим логин и пароль:
Для маршрутизатора Mikrotik удаленный доступ подключения используя SSH настроен и работает.
Настройка wifi точки доступа в mikrotik
Наш роутер почти готов к работе. Осталось только настроить wi fi точку доступа и можно про него забывать :). Настройка wifi в микротике заслуживает отдельной статьи. Там очень много нюансов и возможностей. Мы сейчас сделаем самую простую настройку, которая подойдет и полностью удовлетворит потребности домашнего wifi роутера. А для более глубоких познаний можно будет воспользоваться отдельным материалом на эту тему.
Первым делом активируем беспроводной интерфейс. По-умолчанию он выключен. Идем в раздел Wireless, выбираем wlan1 и жмем синюю галочку.
Интерфейс из серого станет светлым. Переходим на вкладку Security profiles, два раза жмем мышкой на строчку с профилем default. В поле Mode выбираем dynamic keys. Ставим галочки напротив WPA PSK и WPA2 PSK и aes ccm. В поля WPA Pre-Shared Key и WPA2 Pre-Shares Key вводим пароль от будущей беспроводной сети. Я рекомендую использовать длинный пароль (не меньше 12-ти символов) с цифрами и спецсимволами. Да, вводить не очень удобно, но после того, как я сам без проблем брутил хэши простых паролей, я убедился, что лучше поставить сложный пароль, если не хочешь, чтобы к твоему wifi кто-то подключался.
Сохраняем настройки. Возвращаемся на вкладку Interfaces и два раза жмем на wlan1, открываются настройки wifi интерфейса микротика. Переходим на вкладку Wireless. Выставляем настройки как у меня на скриншоте.
Обращаю внимание на следующие настройки:
- SSID — имя вашей беспроводной сети. Пишите то, что хочется.
- Frequency — частота, соответствующая одному из 12-ти каналов. Самое первое значение это первый канал и так далее. Тут рекомендуется выбрать тот канал, который в вашем конкретном случае менее всего занят другими точками доступа. Если вы не знаете что это за каналы и как их проверить, то не обращайте внимания, может выбрать любое значение из списка.
Сохраняете настройки, нажимая ОК. Все, wifi точка доступа на mikrotik настроена, можно проверять. Запускаете любое устройство, ищете вашу сеть, вводите пароль доступа и проверяете интернет. Все должно работать.
На этом основная настройка микротика закончена, но я рекомендую выполнить еще несколько настроек для удобства и безопасности.
Настройка WAN интерфейса MikroTik
Смена MAC адреса WAN порта
Если Ваш провайдер блокирует доступ к сети по MAC адресу, то необходимо сначала изменить MAC адрес WAN порта роутера MikroTik. В противном случае пропустите этот пункт.
Чтобы изменить MAC адрес порта MikroTik, открываем в программе Winbox меню New Terminal и вводим команду:
, где ether1 — имя WAN интерфейса, 00:01:02:03:04:05 — разрешенный MAC адрес.
Изменить MAC адрес MikroTik
Чтобы вернуть родной MAC адрес порта, нужно выполнить команду:
, где ether1 — имя интерфейса.
Вернуть родной MAC адрес MikroTik
Настройка Dynamic IP
Если интернет провайдер выдает Вам сетевые настройки автоматически, то необходимо настроить WAN порт роутера MikroTik на получение настроек по DHCP:
- Открываем меню IP;
- Выбираем DHCP Client;
- В появившемся окне нажимаем кнопку Add (плюсик);
- В новом окне в списке Interface выбираем WAN интерфейс ether1;
- Нажимаем кнопку OK для сохранения настроек.
Настройка DHCP клиента MikroTik
Теперь мы получили IP адрес от провайдера, который отображается в столбце IP Adress.
Получение IP адреса по DHCP MikroTik
Проверим, что есть связь с интернетом:
- Открываем меню New Terminal;
- В терминале пишем команду ping 8.8.8.8 (пингуем сайт google) и жмем Enter на клавиатуре.
Как видим, идут пинги по 60ms, значит интернет подключен и работает. Остановить выполнение команды можно комбинацией клавиш на клавиатуре Ctrl+C.
ping MikroTik
На компьютерах, подключенных к роутеру MikroTik, интернет не будет работать, пока вы не настроите локальную сеть, Firewall и NAT.
Настройка Static IP
Если вы используете статические сетевые настройки, необходимо настроить WAN порт роутера MikroTik вручную.
Настроим статический IP адрес и маску подсети WAN порта MikroTik :
- Открываем меню IP;
- Выбираем Addresses;
- В появившемся окне нажимаем кнопку Add (плюсик);
- В новом окне в поле Address прописываем статический IP адрес / маску подсети;
- В списке Interface выбираем WAN интерфейс ether1;
- Для сохранения настроек нажимаем кнопку OK.
Настройка статического адреса MikroTik
Настроим адрес интернет шлюза MikroTik:
- Открываем меню IP;
- Выбираем Routes;
- В появившемся окне нажимаем кнопку Add (плюсик);
- В новом окне в поле Gateway прописываем IP адрес шлюза;
- Нажимаем кнопку OK для сохранения настроек.
Настройка шлюза MikroTik
Добавим адреса DNS серверов MikroTik:
- Открываем меню IP;
- Выбираем DNS;
- В появившемся окне нажимаем кнопку Settings;
- В новом окне в поле Servers прописываем IP адрес предпочитаемого DNS сервера;
- Нажимаем кнопку «вниз» (черный треугольник), чтобы добавить еще одно поле для ввода;
- В новом поле прописываем IP адрес альтернативного DNS сервера;
- Ставим галочку Allow Remote Requests;
- Нажимаем кнопку OK для сохранения настроек.
Настройка DNS MikroTik
Проверим, что есть доступ к интернету:
- Открываем меню New Terminal;
- В терминале пишем команду ping 8.8.8.8 (пингуем сайт google) и жмем Enter на клавиатуре.
Как видим, идут пинги по 60ms, значит интернет подключен и работает. Остановить выполнение команды можно комбинацией клавиш на клавиатуре Ctrl+C.
ping MikroTik
На компьютерах, подключенных к роутеру MikroTik, интернет не будет работать, пока вы не настроите локальную сеть, Firewall и NAT.
Настройка PPPoE
Если вы используете ADSL модем, к которому по сетевому кабелю подключен роутер MikroTik, сначала необходимо настроить ADSL модем в режим Bridge (мост).
Настроим клиентское PPPoE соединение на роутере MikroTik:
- Слева выбираем меню PPP;
- Нажимаем кнопку Add (плюсик);
- Выбираем PPPoE Client.
Настройка PPPoE MikroTik
Настраиваем параметры PPPoE соединения MikroTik:
- В поле Name указываем имя соединения;
- В списке Interfaces выбираем первый WAN порт ether1, который подключен к провайдеру;
Выбор интерфейса PPPoE MikroTik - Переходим на вкладку Dial Out;
- В поле User указываем имя пользователя;
- В поле Password вводим пароль;
- Ставим галочку Use Peer DNS;
- Нажимаем кнопку OK.
Настройка пользователя и пароля PPPoE MikroTik
После создания PPPoE соединения напротив него должна появиться буква R, которая говорит о том, что соединение установлено.
PPPoE соединение на MikroTik установлено
Проверим, что есть связь с интернетом:
- Открываем меню New Terminal;
- В терминале пишем команду ping 8.8.8.8 (пингуем сайт google) и жмем Enter на клавиатуре.
Как видим, идут пинги по 60ms, значит интернет подключен и работает. Остановить выполнение команды можно комбинацией клавиш на клавиатуре Ctrl+C.
ping MikroTik
На компьютерах, подключенных к роутеру MikroTik, интернет не будет работать, пока вы не настроите локальную сеть, Firewall и NAT.
Быстрая настройка MikroTik Home AP Dual
Режим Quick Set Home AP Dual это второй по популярности режим для быстрой настройки роутера MikroTik. Его отличие от Quick Set Home AP в поддержке радиомодуля WiFi 5ГГц.
Поддержка настройки Quick Set Home AP Dual в MikroTik
- Задать имя WiFi сети(SSID) для 2ГГц и 5ГГц, параметр Network Name;
- Указать пароль WiFi, параметр WiFi Password;
- Выбрать тип интернет соединения, параметр Address Acquisition;
- Установить MAC адрес для порта провайдера, параметр MAC Address;
- Присвоить IP адрес типа LAN для роутера, параметр IP Address;
- Указать маску подсети для LAN порта роутера, параметр Netmask;
- Определить настройки DHCP сервера, параметр DHCP Server;
- Установить параметр NAT.
- Обновить прошивку роутера, кнопка Check For Updates;
- Указать пароль администратора для роутера, кнопка Password.
Как подключиться к Mikrotik через Winbox
Итак, утилиту мы скачали. Теперь рассмотрим варианты подключения к Mikrotik через Winbox. Тут проявляется еще одна очень полезная фишка микротиков. Если ты находишься с ним в одном широковещательном домене, то можно подключиться напрямую, используя mac адрес. Поясню для тех, кто не очень разбирается в теории сетей, о чем тут идет речь.
Расскажу по-простому. Единый широковещательный домен это как-будто вы подключены к микротику через общий свитч. Ваше соединение с ним осуществляется на канальном, втором уровне модели OSI. То есть вам не нужно ничего знать про ip адреса друг друга. Вы можете найти друг друга широковещательным запросом, а свитч вас соединит.
Такая возможность часто спасает, когда вы ошиблись в каких-то настройках ip адреса, или на фаерволе случайно закрыли себе доступ. Вы можете обойти ошибки на уровне ip, подключившись напрямую по mac адресу. Выглядит это следующим образом:
С помощью широковещательного запроса winbox обнаружил все доступные устройства Mikrotik в своем сегменте сети и получил возможность подключиться напрямую по mac адресу. Сразу скажу, что такое соединение менее стабильно, чем по ip. Вытекает это из особенностей протоколов подключения.
При подключении по IP адресу с помощью протокола TCP, осуществляется проверка целостности пакетов и подтверждение их доставки. При подключении по MAC этого не происходит, поэтому подключение менее стабильно. Это объясняет, почему во время подключения по mac часто происходит обрыв соединения и отключение от устройства. В общем случае лучше подключаться по ip адресу.
Когда мне приходилось удаленно настраивать Микротики, я всегда старался оставить себе возможность подключиться к устройству напрямую по mac. Понятно, что это не всегда получится и не всегда спасет, если ты по ошибке отключишь интернет. Но если была возможность подстраховаться, я ее использовал.
В общем случае для подключения по winbox достаточно убедиться в том, что включена соответствующая служба. Проверить это можно в разделе IP -> Services.
Если здесь отключить службу winbox, подключение через эту утилиту будет невозможно.
Базовая настройка Firewall
Ранее мы оптимизировали отправку служебного трафика и порты для служб, но этого недостаточно для базовой защиты девайса. Мы не будем погружаться в тонкости фильтрации, просто покажу самый обычный фаерволл.
Вся настройка у rb951g 2hnd находится в Filter Rules. Порядок следования правил имеет значение, чем меньше цифра, тем выше приоритет. Рекомендуется более узкие правила ставить выше общих. Данная конфигурация разрешает новые входящие соединения для изменённых портов SSH, Winbox, DNS и HTTP трафик из локальной сети (второй контур безопасности), устоявшиеся и связанные соединения, ну и в конце, мы убиваем весь входящий трафик. Т.е. если входящий трафик не соответствует ни одному из правил, то убить пакет.
Правило для пересылки очень простое – форвардим весь трафик через FastTrack. Это полезная фича, которая позволяет пересылать пакеты не по всей цепочке Packetflow Diagram, что в совокупности ускоряет обмен данными и разгружает девайс. В Mangle появятся соответствующие правила маркировки.
Вышеописанную логику можно применить следующими командами:
Настройка Firewall и NAT
Чтобы компьютеры получали доступ к интернету, необходимо настроить Firewall и NAT на роутере MikroTik.
Откройте меню New Terminal для ввода команд.
Настройка NAT выполняется следующими командами:
ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade
, где ether1 — это интерфейс, на который приходит интернет от провайдера. Для PPPoE соединений указывается название PPPoE интерфейса.
Настройки NAT достаточно, чтобы заработал интернет.
Protect router — команды для защиты роутера:
ip firewall filter add action=accept chain=input disabled=no protocol=icmpip firewall filter add action=accept chain=input connection-state=established disabled=no in-interface=ether1ip firewall filter add action=accept chain=input connection-state=related disabled=no in-interface=ether1ip firewall filter add action=drop chain=input disabled=no in-interface=ether1
Protect LAN — защита внутренней сети:
ip firewall filter add action=jump chain=forward disabled=no in-interface=ether1 jump-target=customerip firewall filter add action=accept chain=customer connection-state=established disabled=noip firewall filter add action=accept chain=customer connection-state=related disabled=noip firewall filter add action=drop chain=customer disabled=no
Назначаем типы интерфейсов для защиты внутренней сети (external — внешний, internal — внутренний LAN):
ip upnp interfaces add disabled=no interface=ether1 type=externalip upnp interfaces add disabled=no interface=ether2 type=internalip upnp interfaces add disabled=no interface=ether3 type=internalip upnp interfaces add disabled=no interface=ether4 type=internalip upnp interfaces add disabled=no interface=ether5 type=internalip upnp interfaces add disabled=no interface=bridge-local type=internal
Настройка работы в режиме Router
В разделе Configuration выберите режим работы Router.
Если ваш провайдер выдает сетевые настройки автоматически по DHCP, то в разделе Internet сделайте следующие настройки:
- Address Acquisition — выберите Automatic;
- MAC Address — оставляем без изменений. Если ваш провайдер блокирует доступ по MAC адресу, измените его на разрешенный. Обычно это MAC адрес сетевой карты компьютера или роутера.
Если провайдер использует статические сетевые настройки, в разделе Internet сделайте следующие настройки:
- Address Acquisition — выберите Static;
- IP Address — введите IP адрес, который вам выдал провайдер. Обычно статические настройки указаны в договоре с провайдером;
- Netmask — укажите маску;
- Gateway — введите адрес шлюза;
- DNS Servers — укажите адреса DNS серверов;
- MAC Address — оставляем без изменений. Если провайдер блокирует доступ по MAC адресу, измените его на разрешенный. Обычно это MAC адрес сетевой карты компьютера или роутера.
Если провайдер использует соединение по PPPoE, в разделе Internet сделайте следующие настройки:
- Address Acquisition — выберите PPPoE;
- PPPoE User — введите имя пользователя;
- PPPoE Password — введите пароль;
- PPPoE Service Name — введите имя сервиса;
- MAC Address — оставляем без изменений. Если ваш провайдер блокирует доступ по MAC адресу, измените его на разрешенный. Обычно это MAC адрес сетевой карты компьютера или роутера.
Теперь выполним настройку локальной сети в разделе Local Network:
- IP Address — указываем IP адрес Wi-Fi точки. Оставим стандартный 192.168.88.1;
- Netmask — выберем стандартную маску для нашей подсети 255.255.255.0;
- DHCP Server — поставьте галочку, чтобы включить DHCP сервер. Он позволит автоматически раздавать сетевые настройки подключающимся клиентам;
- DHCP Server Range — диапазон IP адресов, которые будут выдаваться подключающимся клиентам. Вводим диапазон 192.168.88.2-192.168.88.254;
- NAT — ставим галочку, чтобы разрешить подключающимся клиентам выход в интернет.
NAT
Заветная кнопка, которая выпускает пользователей в интернет IP – Firewall – NAT. Создаём правило маскардинга:
- Цепочка — src-nat;
- Src. Address – 192.168.0.0/24;
- Out. Interface – ISP WAN.
Action – masquerade.
А теперь прочтём правило: если есть пакеты, исходящие с сети 192.168.0.0/24 в неизвестном направлении, то отправляем их через интерфейс ISP-WAN подменяя адрес, который имеется на внешнем интерфейсе.
Если у вас статический адрес от провайдера, то вы можете оптимизировать нагрузку использовав вместо masquerade – src-nat указав внешний IP, в моем случае это 10.200.143.124.
Отличие masquerade от src-nat не только в этом. Когда Mikrotik пропускает новое соединение через себя, он проверяет, какой адрес задан на Out Interface, берет самый младший, подставляет его и отправляет наружу. И так с каждым новым соединением. Помимо этого, если у вас дёрнется WAN интерфейс и стоит masquerade, то все соединения с Connection Tracker удалятся, т.е. все сессии будут закрыты, и пользователь сразу это заметит. В случае src-nat вы можете регулировать какой адрес подставлять, если их несколько, и не разрывает соединения в случае кратковременного падения WAN.
Если вы в процессе траблшутинга не хотите в дампе видеть не понятный трафик, то рекомендую отключать всяческие хелперы. По опыту работы замечались проблемы с голосом, проходящим через NAT.
Решение проблем с подключением
В последних прошивках в меню Quick Set глючит режим клиента CPE. Проблема в том, что QuickSet не правильно сохраняет пароль для подключения к Wi-Fi точке. В этом случае вы увидите, что устройство постоянно находится в поиске сети со Status: searching for network, как показано на рисунке.
В логах будут сообщения об ошибке MIC failure (14), как на картинке ниже.
Чтобы это исправить сделайте следующее:
Откройте меню Wireless, перейдите на вкладку Security Profiles и кликните двойным щелчком мыши по профилю с именем default.
В открывшемся окне в полях WPA Pre-Shared Key и WPA2 Pre-Shared Key повторно введите пароль для подключения к Wi-Fi точке, и нажмите кнопку OK.
После этого устройство должно подключиться к базовой станции в режиме клиента. Чтобы проверить это, откройте меню Quick Set. У вас должен появиться Status: connected to ess и параметры подключения.