Настройка роутера микротик RB751/RB951 на примере провайдера InterZet

nastroika_mikrotik_interzetВ распоряжении имеется роутер RB751U, который в свою очередь подключен к провайдеру Interzet. В нашу задачу входит, стандартным образом настроить подключение к сети провайдера, локальную и беспроводную сети, правила firewall для безопасной работы в интернет, ну и освоить другие полезные фишки которые пригодятся нам в будущей работе.

Для лучшего понимания процесса настройки, кроме традиционных скриншотов интерфейса RouterOS через Winbox параллельно буду выкладывать CLI-команды, как если бы настройка производилась в терминале или по SSH.

Скачиваем Winbox, подключаемся по IP или mac-адресу нажав клавишу «три точки». Логин: admin. Пароль отсутствует.

winbox-first-startПри первом входе в устройство, система предупредит что был запущен скрипт автоматической конфигурации, который сбрасывает роутер к заводским настройкам по умолчанию, после которых нужно лишь прописать свои ip адреса, добавить nat-правило и роутер готов к работе. Или же воспользоваться быстрой настройкой микротика при помощи мастера (Quick Set), который поможет настроить все буквально за пару минут.

winbox-default-configuration-script

Но перед нами стоит задача — понять логику работы роутера. Поэтому мы поэтапно пройдемся по всем шагам настройки с 0-ля. Соответственно, во время появления окошка «RouterOS Default Configuration» нажимаем «Remove Configuration» или если вы сразу этого не сделали, то аналогичную операцию можно выполнить из пункта меню «System» – «Reset Configuration», выбрав там настройку «No Default Configuration» или в терминале выполнив команду:

system reset-configuration

После чего роутер автоматически перезагрузится и можно будет начинать настройку с чистого листа. Снова заходим в Winbox, видим что подключение доступно только по mac. Подключаемся.

1) Настройка основных интерфейсов:

Конфигурация сетевых интерфейсов Микротик предполагает, что первый порт устройства ether1 используется как WAN для подключения к сети провайдера, последующие порты ether2, ether3 и.т.д. используются для подключения компьютеров к локальной сети. Переходим в меню Interface. Буква R — напротив означает что интерфейс включен, что соответствует активным светодиодам на самом устройстве, X — выключен.

winbox-interfaces-first-startДля того что бы не путаться мы можем либо переименовать интерфейсы изменив поле Name, либо можем задать комментарий, при помощи поля Comment. Интерфейсу ether1 присвоим комментарий WAN, ether2 — LAN-Master. В терминале:

/interface ethernet set 0 comment=WAN
/interface ethernet set 1 comment=LAN-Master

После чего картинка примет следующий вид:

winbox-comment-ether1-ether2

Затем настроем коммутацию между портами объединив их в свитч, назначив основной lan порт роутера ether2 в качестве мастера а остальные порты ether3, ether4 и.т.д в качестве подчиненных slave. Для этого перейдем в настройки интерфейсов с ether3 по ether5 и в поле Master Port выберем порт ether2.

winbox-add-ether-interfaces-to-switch

/interface ethernet set 3 master-port=ether2
/interface ethernet set 4 master-port=ether2
/interface ethernet set 5 master-port=ether2

После чего картинка примет следующий вид. Как видим напротив интерфейсов с ether3 по ether5 стоит буква S (Slave) — ведомый.

winbox-mikrotik-interfaces

Теперь что бы локальные компьютеры подключенные проводом к роутеру и по Wi-Fi видели друг друга, необходимо объединить беспроводной и проводные интерфейсы в локальный мост.

Для этого в основном меню переходим на вкладку Bridge. Нажимаем Add. В появившемся окне New Interface задаем имя моста например: bridge1 нажимаем ОК.

winbox-add-bridge-interface

Затем переходим на вкладку ports и добавляем главный Ethernet порт свитча ether2 (LAN-Master) нажимаем ОК, затем таким же образом добавляем Ethernet порт wlan1. Получим следующее:

winbox-bridge-ports

Что бы выполнить тоже самое в  терминале, набираем команду и задаем имя моста:

/interface bridge add

2) Настройка адресации в MikroTik

Открываем меню IP, затем подменю Addresses. В открывшемся окне Address List нажимаем Add (красный крестик). В открывшемся окне New Address в поле Address вводим адрес и маску локальной сети, например: 192.168.3.1/24 или если вы не знаете длину префикса маски то набираем 192.168.3.1/255.255.255.0 и маска автоматически будет преобразована в 24.

В списке Interface выбираем bridge1 (eсли у вас роутер MikroTik без Wi-Fi (RB750, RB750GL, RB450G), то в списке Interface выбираем главный интерфейс свитча ether2). Нажимаем ОК.

winbox-lan-address

Таким же образом добавляем ip настройки выданные провайдером и в качестве интерфейса выбираем ether1. Нажимаем ОК.

winbox-wan-address

/ip address
add address=192.168.3.1/24 disabled=no interface=bridge1 network=192.168.3.0
add address=10.140.60.208/22 disabled=no interface=ether1 network=10.140.60.0

Добавляем шлюз по умолчанию, для этого переходим в меню IP, затем подменю Routes нажимаем крестик, в поле Gateway указываем шлюз полученный от провайдера, нажимаем ОК.

winbox-add-gateway-address

Если маршрут поднялся правильно, то напротив адреса шлюза мы увидим запись reachable ether1. После чего подменю Route List примет следующий вид:

В терминале:

/ip route add dst-address=0.0.0.0/0 gateway=10.140.60.1 distance=1 comment="isp"

Теперь укажем DNS-серверы, для этого открываем меню IP, выбираем подменю DNS. В открывшемся окне DNS Settings в поле Servers: прописываем IP адрес основного DNS сервера, нажимаем стрелку «вниз», чтобы добавить дополнительное поле для ввода и вводим IP адрес альтернативного DNS сервера. Отмечаем галочку Allow Remote Requests;

winbox-dns-settings

Нажимаем кнопку Static, и добавляем основной локальный адрес роутера, который будет подставляться клиентам по DHCP в качестве основного DNS. В поле Name пишем например router, в поле адрес указываем LAN ip, у нас это 192.168.3.1. Нажимаем OK.

winbox-dns-static

Затем снова ОК для выхода и сохранения настроек.

В терминале, команды будут выглядеть так:

/ip dns set allow-remote-requests=yes servers=192.168.231.21,192.168.250.21
/ip dns static add address=192.168.3.1 name=router

Теперь поменяем MAC-адрес на интерфейсе ether1 поскольку провайдер Interzet проверяет соответствие MAC и ip адреса. Делаем это при помощи следующей команды:

/interface ethernet set ether1 mac-address=00:02:40:A2:0C:22

3. Настройка DHCP-сервера.

Для автоматической раздачи сетевых настроек клиентам у нас должен быть настроен DHCP сервер. Пeреходим в меню IP, выбираем подменю Pool, указываем имя пула и диапазон адресов для выдачи локальным клиентам. Нажимаем ОК.

winbox-dhcp-pool

Затем в IP/DHCP Server, нажатием крестика, добавляем DHCP Server. В поле Interface выбираем ранее созданный локальный мост bridge1, но если у вас роутер без wi-fi интерфейса то выберем просто главный локальный интерфейс свитча ether2 (LAN-Master). В поле Address Pool укажем ранее созданный диапазон адресов dhcp-pool. Нажимаем ОК.

winbox-dhcp-server

Затем переходим на вкладку Networks и прописываем ip адрес локальной сети с маской, шлюз, маску 24 и dns server. Нажимаем ОК. Перезапустим сетевой интерфейс компьютера что бы получить новый адрес по DHCP.

winbox-dhcp-networkВсе тоже самое можно проделать при помощи мастера нажав на кнопку  DHCP Server последовательно нажимая далее.

При помощи команд DHCP-Server поднимается следующим образом:

/ip pool add name=dhcp-pool ranges=192.168.3.2-192.168.3.50
/ip dhcp-server add address-pool=dhcp-pool interface=bridge1 name=dhcp-server disabled=no
/ip dhcp-server network add address=192.168.3.0/24 dns-server=192.168.3.1 gateway=192.168.3.1

4) Настройка Wi-Fi точки доступа MikroTik

Заходим во вкладку Wireless. Дважды щелкаем по интерфейсу Wlan1. Переходим на вкладку Wireless и нажимаем на кнопку Advanced Mode. Заполняем значения, как на рисунке. Более подробную информацию о параметрах можно просмотреть здесь.

winbox-wireless-advanced-mode

Затем переходим на вкладку Advanced и выставляем значения как на рисунке.

winbox-wireless-advanced-mainНа вкладке HT изменяем следующие параметры.

winbox-wireless-HT

Нажимаем ОК. Затем переходим на вкладку Security Profiles и выбираем профиль default.

winbox-wireless-security-profilesВыставляем режим и тип шифрования, задаем пароль. Нажимаем ОК.

winbox-wireless-security-profiles-settings

Затем переходим на вкладку Interfaces и включаем интерфейс wlan1.

winbox-wireless-security-wlan1-enable

Для выполнения тех же операций через терминал, набираем следующие команды:

/interface wireless
set wlan1 bridge-mode=enabled name=wlan1 disabled=no mode=ap-bridge band=2ghz-b/g/n
channel-width=20/40mhz-ht-above ssid=Mikrotik wireless-protocol=802.11
frequency-mode=regulatory-domain country=russia wmm-support=enable distance=indoors
periodic-calibration=enabled hw-protection-mode=rts-cts adaptive-noise-immunity=ap-and-client-mode
ht-rxchains=0,1 ht-txchains=0,1 ht-guard-interval=long
/interface wireless security-profiles
set default mode=dynamic-keys authentication-types=wpa2-psk wpa2-pre-shared-key=12345678

На этом настройка wi-fi завершена.

5) Настройка безопасности доступа к маршрутизатору

Отключаем не нужные сервисы управления для доступа к устройству. Для этого переходим в меню IP\Services и последовательно отключаем их нажатием на крестик.

winbox-ip-service-list

Так же зададим, фильтр подключений с определенного ip-адреса или сети задав его в поле «Available From».

winbox-ip-service-available-from

В терминале порядок действий аналогичный: Выводим список сервисов, отключаем не нужные, разрешаем доступ к определенному сервису из сети 192.168.3.0/24

/ip service print
/ip service disable 0,1,2,4,5,7
/ip service set www port=80 address=192.168.3.0/24
/ip service set ssh port=22 address=192.168.3.0/24

Отключаем поиск других устройств (соседей) по протоколам MNDP и CDP на внешних интерфейсах. На внутренних интерфейсах желательно так же отключить, но если нужен доступ к роутеру по mac-адресу, то оставляем локальный интерфейс. Для этого переходим в меню IP\Neighbors\Discovery Interfaces и отключаем все кроме внутренних интерфейсов LAN (ether2) или Bridge, нажатием на кнопку Disable.

winbox-ip-neighbors

/ip neighbor discovery print
/ip neighbor discovery set 0,1,2,3,4,5 discover=no

Затем идем в меню Tools/MAC Server и на закладках Telnet Interfaces и WinBox Interfaces так же оставляем только внутренние интерфейсы и отключаем интерфейс «*all». Bridge оставляем, т.к. опять же перестает работать доступ по Winbox.

winbox-ip-mac-server-interfaces

/tool mac-server disable 0,1,2,3,4,5,6
/tool mac-server mac-winbox disable 0,1,2,3,4,5

Поменяем имя и пароль учетной записи администратора в меню System\Users. В поле Group — зададим права доступа. Возможные варианты: full — полный административный доступ, read — просмотр информации о настройках и событиях и выполнение команд, не затрагивающих конфигурацию роутера, write — изменение настроек и политик за исключением настроек пользователей системы.

winbox-user-password

/user set supermicro password=12345678 group=full

6) Настройка фильтрации трафика, выхода в интернет

По умолчанию стандартный скрипт настраивает firewall таким образом, чтобы пропускать из локальной сети наружу любой трафик (mascarading), а снаружи только тот, который запрашивается локальными хостами (dnat), а также ping.

Начиная с RouterOS 6.23 скрипт автонастройки прописывает 6 правил фильтрации. Причем теперь в одном правиле можно задавать несколько состояний соединения (connection state), а так же появилось новое состояние соединения отвечающее за сетевую трансляцию адресов (connection NAT state).

В самом начале создадим правило запрещающее доступ к wan-интерфейсу с IP-адресов, которые не должны использоваться в таблицах маршрутизации в Интернет. (bogon-сети). Для этого сначала зададим список этих сетей в IP\Firewall\Address Lists:

winbox-ip-firewall-address-lists

/ip firewall address-list
add address=0.0.0.0/8 disabled=no list=BOGON
add address=10.0.0.0/8 disabled=yes list=BOGON
add address=100.64.0.0/10 disabled=no list=BOGON
add address=127.0.0.0/8 disabled=no list=BOGON
add address=169.254.0.0/16 disabled=no list=BOGON
add address=172.16.0.0/12 disabled=no list=BOGON
add address=192.0.0.0/24 disabled=no list=BOGON
add address=192.0.2.0/24 disabled=no list=BOGON
add address=192.168.0.0/16 disabled=yes list=BOGON
add address=198.18.0.0/15 disabled=no list=BOGON
add address=198.51.100.0/24 disabled=no list=BOGON
add address=203.0.113.0/24 disabled=no list=BOGON
add address=224.0.0.0/4 disabled=no list=BOGON
add address=240.0.0.0/4 disabled=no list=BOGON

Но обратим внимание, что наш провайдер выдает нам сетевые настройки, ip-адрес и dns-сервера, которых как раз попадают в некоторые из диапазонов. Поэтому отключаем их, иначе интернет у нас работать не будет :) Затем добавим само правило:

/ip firewall filter add action=drop chain=input in-interface=ether1 src-address-list=BOGON comment="boggon input drop"

Следующее правило — защита от IP-спуфинга (ответ RST-пакетом на SYN-ACK-пакет, если он является первым в соединении):

/ip firewall filter add action=reject chain=input reject-with=tcp-reset protocol=tcp tcp-flags=syn,ack connection-state=new comment="ip spoofing protect"

Далее разрешим icmp, если необходимо, хотя я обычно не включаю:

/ip firewall filter add chain=input protocol=icmp comment="ping"

Затем разрешаем прохождения трафика на маршрутизатор (цепочка: input) уже установленных (established) и связанных подключений (related):

/ip firewall filter add chain=input connection-state=established,related comment="accept established & related"

И запрещаем любые другие входящие соединения на роутер.

/ip firewall filter add chain=input action=drop in-interface=ether1 comment="drop input"

Затем разрешим прохождение трафика через маршрутизатор (цепочка: forward) уже установленных (established) и связанных (related) подключений:

/ip firewall filter add chain=forward connection-state=established,related comment="established forward & related"

Любой другой трафик в цепочке forward запрещаем:

/ip firewall filter add chain=forward action=drop connection-state=invalid comment="drop forward"

На выходе получим такую картинку:

winbox-firewall-settings

Для настройки выхода в интернет / маскарадинга (NAT), компьютеров указанных в группе 'lan-access' добавляем следующие правила:

/ip firewall address-list add address=192.168.3.10/31 disabled=no list=lan-access
/ip firewall nat add action=masquerade chain=srcnat out-interface=ether1 list=lan-access

В итоге компьютерам с ip адресами с 192.168.3.10, 192.168.3.11 будет разрешен доступ в сеть.

Если необходимо выполнить проброс портов из интернета на внутренний сервер/сервис в локальной сети (dnat) добавим следующую команду:

/ip firewall nat add chain=dstnat in-interface=ether1 protocol=tcp dst-port=80 action=dnat to-addresses=192.168.3.10 to-ports=80 comment="http redirect" disabled=no

winbox-ip-dnat

Если необходимо жестко задать ip-адрес с которого можно подключаться, то укажем его в поле Dst.Address.

7) Подключение и настройка usb-модема Yota 4G

Беспроводное подключение через модем Yota у нас будет в качестве резервного канала на случай выхода из строя основного провайдера.

Вставляем модем в usb-порт роутера. В списке интерфейсов должен появится новый интерфейс lte1.

Теперь переходим в меню ip\dhcp-client и выберем в списке интерфейс lte1.

winbox-dhcp-client-lte1В поле Add Default Router если оставить yes, будет создан маршрут по умолчанию, который в свою очередь отключит маршрут по основному провайдеру, если он есть. Что бы этого не произошло, и маршрут Yota был прописан в качестве дополнительного мы в поле Default Route Distance можем выставить значение 2 и тогда маршрут примет вид отключенного и будет таковым до тех пор пока, не упадет основной маршрут у которого Distance — 1. Но такой маршрут в последствии нельзя будет редактировать (например, задать комментарий), поэтому пока в поле Add Default Router поставим no и создадим маршрут сами.

На вкладке Status, убедимся так же, что роутер получил все необходимые настройки от  DHCP-сервера модема.

winbox-dhcp-client-lte1-statusПереходим в меню IP\Routers. Создаем новый маршрут, в поле Gateway укажем адрес — 10.0.0.1. Distance — 2 и комментарий — gw2.

winbox-ip-routes-addНажимаем ОК. Получим примерно следующую картинку.

winbox-ip-routes-lte1Здесь у меня первый маршрут (gw1), как раз таки приоритетный и рабочий, просто отключен и поэтому в статусе unreachable, а «ётовский» как раз активный.

Затем добавим два правила на firewall'е. Одно правило для маскарадинга (snat), другое запрещающее любой не разрешенный входящий трафик на интерфейсе lte1.

/ip firewall nat add action=masquerade chain=srcnat out-interface=lte1 list=lan-access
/ip firewall filter add chain=input action=drop in-interface=lte1 comment="drop input yota"

7) Настройка SNTP-клиента.

Для отображения корректного времени на устройстве, необходимо настроить SNTP-клиент который в свою очередь будет получать точное время от внешних ntp-серверов. Для этого переходим в меню System\SMTP Client отмечаем галку Enable и вводим ip-адреса первичного и вторичного серверов времени. Нажимаем ОК для сохранения настроек. Для получения самих адресов воспользуемся командой nslookup, например на адрес ru.pool.ntp.org.

winbox-system-sntp-clientsА вот для того что бы выставить корректный часовой пояс без ввода команд не обойтись. Для этого в терминале набираем:

/system clock set time-zone-name=Europe/Moscow

Кроме вышеперечисленной команды, добавим сами серверы времени:

/system ntp client set enabled=yes primary-ntp=188.134.70.129 secondary-ntp=46.8.40.31

Посмотреть время на устройстве:

/system clock print

8) Настройка IPTV

Для того что бы настроить IPTV на роутере микротик необходимо предварительно добавить модуль multicast. Для этого переходим на сайт производителя. Выбираем серию устройств для которой будет скачивать пакет. В данном случае это mipsbe... RB700 series. Выбираем All package и скачиваем файл all_packages-mipsbe-x.xx.zip к себе на компьютер. Убедимся, что версия пакета соответствует текущей версии RouterOS, иначе придется обновить и систему тоже. (см. ниже).

Открываем архив all_packages-mipsbe-x.xx.zip и извлекаем от туда фаил multicast-x.xx-mipsbe.npk. В Winbox переходим в меню Files и перетаскиваем мышкой наш файл в окно Files List. Дожидаемся окончания процесса загрузки. Перезагружаем роутер.

Проверяем что пакет multicast установлен в System\Packages.

winbox-system-packagesЧто в свою очередь активирует новое дополнительное меню IGMP Proxy в разделе Routing. Открываем Settings и ставим галочку Quick Leave, что по идее должно увеличить скорость переключения каналов, нажимаем Apply для сохранения настроек.

winbox-routing-igmp-proxy-settings

/routing igmp-proxy set query-interval=1s query-response-interval=1s quick-leave=yes

Затем нажимаем «+» и создаем два IGMP Proxy интерфейса, один для внешней сети, который будет принимать поток многоадресной рассылки от провайдера, один для внутренней сети за микротиком, куда трафик будет дальше поступать к устройствам локальной сети.

Создаем первый IGMP proxy интерфейс, который смотрит в сеть провайдера, в нашем случае это ether1 (WAN), в поле Alternative Subnets укажем сеть вещания IPTV (если известна), если нет то поставим 0.0.0.0/0. Отметим галочку напротив Upsteam.

winbox-routing-igmp-proxy1

/routing igmp-proxy interface add alternative-subnets=0.0.0.0/0 comment="" disabled=no interface=ether1 threshold=1 upstream=yes

Теперь добавим второй IGMP proxy интерфейс, к которому подключены устройства внутренней сети, компьютер или IPTV-приставка. Задаем внутренний локальный интерфейс, нажимаем ОК.

winbox-routing-igmp-proxy2

/routing igmp-proxy interface add comment="" disabled=no interface=bridge1 threshold=1 upstream=no

Следующим шагом, необходимо создать правило на файрволе, разрешающее входящий IGMP-трафик, иначе ничего работать не будет. Для этого, в меню IP – Firewall, на вкладке Filter Rules, добавляем запись: Chain – input; Protocol — igmp; Action – accept. Помещаем созданное правило в начало списка, перед запрещающими.

/ip firewall filter add chain=input action=accept protocol=igmp

Если, мы все правильно настроили, то на вкладке IGMP Proxy\MFC должны появиться динамические правила, а так же пакеты, идущие через них.

winbox-routing-igmp-mfc

Для работы IPTV через wi-fi, нужно в свойствах беспроводного интерфейса wlan1 на вкладке Wireless выставить значение параметра Multicast Helper в Full.

winbox-wireless-multicast-helper-full

/interface wireless set wlan1 multicast-helper=full

9) Обновление MikroTik RouterOS

Для выполнения процедуры обновления RouterOS скачиваем прошивку с официального сайта. Выбираем, для какой серии устройств будем скачивать пакет обновления. Нас интересует mipsbe... RB700 series. Выбираем Upgrade package. Скачиваем npk-фаил.
mikrotik-routersos-downloadsЗатем, переходим в меню Files и перетаскиваем мышкой наш фаил в окно Files List. Дожидаемся окончания процесса загрузки, после чего, файл должен отобразится в окне Files List.

winbox-download-npk-fileЗатем, перегружаем роутер. После перезагрузки версия RouterOS будет обновлена.

41 комментарий Настройка роутера микротик RB751/RB951 на примере провайдера InterZet

  • Sergey

    Спасибо за статью!!!

  • imort

    У Вас опечатка, строка не нужна (линки 0-4)

    >> /interface ethernet set 5 master-port=ether2

  • Роман

    хорошо написано.

    вопрос если можно, а если несколько IP получать от провайдера по одной меди, с одного поток на интернет, со второго на АТС, как правильно настраивать?

    объединять в свич ван порты? присваивать каждому порту свой IP а потом прописывать что на какой порт? или прописывать оба адреса на один порт, но там вроде нет в роутинге привязки к IP там только можно указать порт.

    • admin admin

      Да можно и так и так, но я бы попробовал сначала сделать два ip-адреса на одном интерфейсе (порту) с одним физическим кабелем от провайдера. В роутинге можно прописать как ip-адрес так и физ интерфейс (порт).

  • Torquevic

    Спасибо за статью! Подскажите, а где я могу увидеть расшифровку всех аббревиатур (SNTP-клиента,CLI-команды т.д., т.п.)? Впервые хочу настроить, до этого не настраивал. Спасибо.

  • bravo123

    Можно ли, привязать к МАС, адреса отдаваемые по DHCP, для сетевого принтера например, что бы не терялся?

    Спасибо за статью.

    • admin admin

      Да можно, а почему нет, сетевые принтеры такие же полноценные участники сети, только на сетевых принтерах обычно статику ставят!

  • Роман

    Прежде всего хочу выразить вам огромную благодарность за очень полезную информацию.

    Но остался один момент. Как мы знаем у нас скоро заблокируют всю сеть. Мой провайдер можно обойти через смену DNS, хотелось бы настроить, чтоб все устройства домашней сети могли беспрепятсвенно получать доступ к необходимым сайтам, а не к тем к которым разрешают цари.

    По настройкам вроде прописаны указанные днс, но по умолчанию все равно подтягиваются «Dynamic Servers» провайдера.

    См. скриншот: yadi.sk/i/nJ0_I_ISokmYF

    Заранее благодарю за помощь

    • admin admin

      Спасибо за отзыв, только зачем вы в поле DNS указали мои dns из статьи? )) Если вашего провайдера действительно можно обойти простой сменой днс, то и пропишите те днс серверы через которые вы хотите ходить, например общедоступные гугла: 8.8.8.8 и 8.8.4.4. Но судя по скриншоту, который у вас указан провайдер умеет перехватывать все dns-запросы и перенаправлять на свои dns (Dynamic Servers), тогда вариант только с указанием внешнего прокси сервера, через который доступ к нужным сайтам возможен.

  • Очень доволен статьей! Благодарю!

    Есть один вопрос с vpn: можно ли организовать схему — 1 интерфейс к провайдеру 1, 2 интерфейс к провайдеру 2 (1 основной и 2 резерв), но мне нужно подключаться как клиент к одному по vpn, а для другого быть сервером, да так, чтобы трафик между этими сетями тоже ходил?

    • admin admin

      Дмитрий, думаю такой вариант вполне реализуем, в микротике можно сделать практически все. Только не совсем понятна фраза «а для другого быть сервером, да так, чтобы трафик между этими сетями тоже ходил?» К одному интерфейсу-провайдеру вы подключаетесь по vpn, на втором интерфейсе-провайдере у вас весит какой-то сервис? И между какими сетями должен ходить трафик?

  • copenhagen

    Купил себе MikroTik. Нашел и прочитал статью. Не понимаю, зачем у микротиков все так сложно, чтобы задать обновление времени/часовой пояс/MAC для интерфейса требуется столько телодвижений, которые в других роутерах делаются на раз-два без мануалов?

    • admin admin

      Ну данные устройства позиционируются скорее для профессионалов, которым нужна тонкая настройка под множество разных задач, а так же понимание того как это все работает. Для рядовых пользователей и блондинок не вариант конечно :) Это все равно что использовать Linux в качестве основной оси на своем домашнем компьютере. За то в других роутерах нет такого богатого функционала, который предлагает RouterOS, а если и есть что-то подобное, то совсем за другие деньги.

      P.S. К тому же о надежности и бесперебойной работе этих устройств слагают легенды :)

  • copenhagen

    Если не сложно, распишите схему wiki.mikrotik.com/wiki/Ad...ithout_Scripting в статье также понятно и с менюшками, как расписали все остальное. Тема очень популярная. Описанный случай с yota все же отличается. Я бы с радостью прочитал.

  • Ygrik

    Спасибо! добавлю сайт в закладки)

  • Александр

    Спасибо за статью.

    Настроил VPN сеть (поднял сервер PPTP), подключение есть, сеть не видна. Одна подсеть 0, другая 1. Где копать дальше? Прокси, фаервол, проброс портов?

    Нужны-пи, кроме проброса портов, настройки для RDP?

    • admin admin

      Да верно, файрвол и проброс портов. PPTP не поднимал, но думаю настройки касаемо правил файрвола и ната аналогичны VPN Ipsec, а посему возможно поможет эта статья.

  • Александр

    Можно-ли скриптом отключить комп по сети?

  • Александр

    Простите за некорректно заданный вопрос, и всё-же, как в МИКРОТИК скриптом отключить комп по сети

  • Владимир

    Столкнулся с такой проблемой

    Один выход идет к соседу по кабелю и я поставил ему ограничения по ip адресу

    Все было хорошо пока он не поставил у себя роутер. После этого комп его контролирует скорость а устройства которые подключаються по wifi я не вижу и они начинают у меня забирать весь интернет

    Кто нибудь подскажите как можно это победить без доступа к соседскому роутеру.

    • admin admin

      Кто-нибудь помогите Владимиру, потому что я не фига не понял что у него там за схема мутная и насколько речь вообще идет о микротике :)

  • HunteR2004

    День добрый... Думаю у Владимира ситуация такая: от его рутера идет кабель к соседу. Соседу дали 1 IP и остальные настройки... Сосед пользовался пользовался и ему кто-то нашептал, что можно поставить рутер с WiFi... Итого получилось что сосед полноценно пользуется всеми прелестями Интернета добродушного Владимира...

    Владимир: ограничивайте скорость соединения с привязкой на IP... У ВАС же MikrotiK?!

  • Ник

    У меня такая проблема, есть коммутатор dlink des1210-28 и роутер mikrotik RB851G-2HnD

    Настроил интернет и wifi на роутере, подключил коммутатор а к коммутатор 10 компьютеров и транслятор камер

    Но в роутере я их не вижу

    И зайти на коммутатор тоже не могу, с чем это связано ? Подскажите как решить проблему, буду очень благодарен

    • admin admin

      Из ваших слов, сложно понять, в чем проблема. Неплохо бы знать какие ip-адреса и сети используете!? Что на LAN/WAN интерфейсе, что на коммутаторе если он управляемый, что на компьютерах, настроено. С компьютера на коммутатор заходите?

      • Ник

        ip adress 192.168.88.1

        DHCP server range 192.168.88.10-192.168.88.254

        на компе никаких установок не делал

        дело в том, что когда я к микротику подключаю коммутатор, микротик не видит тех компов которые я подключил к коммутатору

        не понимаю в чем проблема может быть

        • admin admin

          Повторяю, коммутатор управляемый, у него есть ip-адрес, если да, он в той же сети что и микротик 192.168.88.0/24? Если с терминала на микротике (New Terminal) пинговать компы, тоже глухо?

          • Ник

            Да, в этой же сети не пингуются

          • admin admin

            Сложно сказать, надо смотреть. Скажу только что на микротике нет не каких особых настроек, особенно по дефолту которые бы как то ограничивали доступ к сетевым устройствам подключенным через коммутатор.

  • ed

    здравствуйте, подскажите пожалуйста как в роутере микротик RB951 прописать статический адрес для каждого компьютера в локальной сети, спасибо.

    • admin admin

      Статический адрес прописывается на компьютерах в свойствах tcp/ip а не на микротике. На микротике можно поднять DHCP-сервер, который к слову по умолчанию работает и раздает динамические ip-адреса, которые можно зарезервировать за определенным mac-адресом сетевой карты компьютера/устройства. Но это не статика.

  • Дмитрий

    Здравствуйте. Впервые настраиваю microtik и пока слаб во всей теории сетей. После настройки заметил одну серьёзную проблему. Speedtest показывает отличную download скорость, но нулевую upload. Не понимаю, в чём вообще может быть проблема? Подскажите куда копать :)

    • admin admin

      Здравствуйте, не уверен что проблема в микротике. Если вы работаете с дефолтной конфигурацией, то должно работать нормально. Думаю скорее это у вашего провайдера что-то. Сайты ведь в принципе открываются у вас? Попробуйте др. тесты посмотреть! На микротике зайдите в интерфейсы, выберете свой wan интерфейс, по умолчанию (ether1), затем на вкладку traffic и посмотрите, что у вас там реально приходит/уходит.

      • Дмитрий

        Тоже думал, что проблема не в микротике, если бы не одно «но». Если подключать кабель напрямую в компьютер без участия роутера, то со скоростью в обоих направлениях всё нормально, без всяких ограничений. А вот через роутер всё печально.

        Посмотрел я traffic, но ничего нового так и не узнал, там те же малые цифры, что и в speedtest показывает.

        Разве это может быть косяк провайдера, если провод напрямую в комп даёт полную скорость?

        • admin admin

          Дмитрий, ну тогда я бы проверил на другом роутере, желательно тоже Микротике. Скорость может быть полной, например во время скачивания/передачи, а вот счетчик к примеру, показывающий эту скорость может глючить!

Оставить ответ

Войти с помощью: 

Вы можете использовать эти HTML тэги

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

  

  

  

*