Настройка роутера микротик RB751/RB951 на примере провайдера InterZet

По
admin
-
47
21

nastroika_mikrotik_interzetВ распоряжении имеется роутер RB751U, который в свою очередь подключен к провайдеру Interzet. В нашу задачу входит, стандартным образом настроить подключение к сети провайдера, локальную и беспроводную сети, правила firewall для безопасной работы в интернет, ну и освоить другие полезные фишки которые пригодятся нам в будущей работе.

Для лучшего понимания процесса настройки, кроме традиционных скриншотов интерфейса RouterOS через Winbox параллельно буду выкладывать CLI-команды, как если бы настройка производилась в терминале или по SSH.

Скачиваем Winbox, подключаемся по IP или mac-адресу нажав клавишу «три точки». Логин: admin. Пароль отсутствует.

winbox-first-startПри первом входе в устройство, система предупредит что был запущен скрипт автоматической конфигурации, который сбрасывает роутер к заводским настройкам по умолчанию, после которых нужно лишь прописать свои ip адреса, добавить nat-правило и роутер готов к работе. Или же воспользоваться быстрой настройкой микротика при помощи мастера (Quick Set), который поможет настроить все буквально за пару минут.

winbox-default-configuration-scriptНо перед нами стоит задача — понять логику работы роутера. Поэтому мы поэтапно пройдемся по всем шагам настройки с 0-ля. Соответственно, во время появления окошка «RouterOS Default Configuration» нажимаем «Remove Configuration» или если вы сразу этого не сделали, то аналогичную операцию можно выполнить из пункта меню «System» – «Reset Configuration», выбрав там настройку «No Default Configuration» или в терминале выполнив команду:

После чего роутер автоматически перезагрузится и можно будет начинать настройку с чистого листа. Снова заходим в Winbox, видим что подключение доступно только по mac. Подключаемся.

1) Настройка основных интерфейсов:

Конфигурация сетевых интерфейсов Микротик предполагает, что первый порт устройства ether1 используется как WAN для подключения к сети провайдера, последующие порты ether2, ether3 и.т.д. используются для подключения компьютеров к локальной сети. Переходим в меню Interface. Буква R — напротив означает что интерфейс включен, что соответствует активным светодиодам на самом устройстве, X — выключен.

winbox-interfaces-first-startДля того что бы не путаться мы можем либо переименовать интерфейсы изменив поле Name, либо можем задать комментарий, при помощи поля Comment. Интерфейсу ether1 присвоим комментарий WAN, ether2 — LAN-Master. В терминале:

После чего картинка примет следующий вид:

winbox-comment-ether1-ether2Затем настроем коммутацию между портами объединив их в свитч, назначив основной lan порт роутера ether2 в качестве мастера а остальные порты ether3, ether4 и.т.д в качестве подчиненных slave. Для этого перейдем в настройки интерфейсов с ether3 по ether5 и в поле Master Port выберем порт ether2.

winbox-add-ether-interfaces-to-switch

После чего картинка примет следующий вид. Как видим напротив интерфейсов с ether3 по ether5 стоит буква S (Slave) — ведомый.

winbox-mikrotik-interfacesТеперь что бы локальные компьютеры подключенные проводом к роутеру и по Wi-Fi видели друг друга, необходимо объединить беспроводной и проводные интерфейсы в локальный мост.

Для этого в основном меню переходим на вкладку Bridge. Нажимаем Add. В появившемся окне New Interface задаем имя моста например: bridge1 нажимаем ОК.

winbox-add-bridge-interfaceЗатем переходим на вкладку ports и добавляем главный Ethernet порт свитча ether2 (LAN-Master) нажимаем ОК, затем таким же образом добавляем Ethernet порт wlan1. Получим следующее:

winbox-bridge-portsЧто бы выполнить тоже самое в  терминале, набираем команду и задаем имя моста:

2) Настройка адресации в MikroTik

Открываем меню IP, затем подменю Addresses. В открывшемся окне Address List нажимаем Add (красный крестик). В открывшемся окне New Address в поле Address вводим адрес и маску локальной сети, например: 192.168.3.1/24 или если вы не знаете длину префикса маски то набираем 192.168.3.1/255.255.255.0 и маска автоматически будет преобразована в 24.

В списке Interface выбираем bridge1 (eсли у вас роутер MikroTik без Wi-Fi (RB750, RB750GL, RB450G), то в списке Interface выбираем главный интерфейс свитча ether2). Нажимаем ОК.

winbox-lan-addressТаким же образом добавляем ip настройки выданные провайдером и в качестве интерфейса выбираем ether1. Нажимаем ОК.

winbox-wan-address

Добавляем шлюз по умолчанию, для этого переходим в меню IP, затем подменю Routes нажимаем крестик, в поле Gateway указываем шлюз полученный от провайдера, нажимаем ОК.

winbox-add-gateway-addressЕсли маршрут поднялся правильно, то напротив адреса шлюза мы увидим запись reachable ether1. После чего подменю Route List примет следующий вид:

В терминале:

Теперь укажем DNS-серверы, для этого открываем меню IP, выбираем подменю DNS. В открывшемся окне DNS Settings в поле Servers: прописываем IP адрес основного DNS сервера, нажимаем стрелку «вниз», чтобы добавить дополнительное поле для ввода и вводим IP адрес альтернативного DNS сервера. Отмечаем галочку Allow Remote Requests;

winbox-dns-settingsНажимаем кнопку Static, и добавляем основной локальный адрес роутера, который будет подставляться клиентам по DHCP в качестве основного DNS. В поле Name пишем например router, в поле адрес указываем LAN ip, у нас это 192.168.3.1. Нажимаем OK.

winbox-dns-staticЗатем снова ОК для выхода и сохранения настроек.

В терминале, команды будут выглядеть так:

Теперь поменяем MAC-адрес на интерфейсе ether1 поскольку провайдер Interzet проверяет соответствие MAC и ip адреса. Делаем это при помощи следующей команды:

3. Настройка DHCP-сервера.

Для автоматической раздачи сетевых настроек клиентам у нас должен быть настроен DHCP сервер. Пeреходим в меню IP, выбираем подменю Pool, указываем имя пула и диапазон адресов для выдачи локальным клиентам. Нажимаем ОК.

winbox-dhcp-poolЗатем в IP/DHCP Server, нажатием крестика, добавляем DHCP Server. В поле Interface выбираем ранее созданный локальный мост bridge1, но если у вас роутер без wi-fi интерфейса то выберем просто главный локальный интерфейс свитча ether2 (LAN-Master). В поле Address Pool укажем ранее созданный диапазон адресов dhcp-pool. Нажимаем ОК.

winbox-dhcp-serverЗатем переходим на вкладку Networks и прописываем ip адрес локальной сети с маской, шлюз, маску 24 и dns server. Нажимаем ОК. Перезапустим сетевой интерфейс компьютера что бы получить новый адрес по DHCP.

winbox-dhcp-networkВсе тоже самое можно проделать при помощи мастера нажав на кнопку  DHCP Server последовательно нажимая далее.

При помощи команд DHCP-Server поднимается следующим образом:

4) Настройка Wi-Fi точки доступа MikroTik

Заходим во вкладку Wireless. Дважды щелкаем по интерфейсу Wlan1. Переходим на вкладку Wireless и нажимаем на кнопку Advanced Mode. Заполняем значения, как на рисунке. Более подробную информацию о параметрах можно просмотреть здесь.

winbox-wireless-advanced-modeЗатем переходим на вкладку Advanced и выставляем значения как на рисунке.

winbox-wireless-advanced-mainНа вкладке HT изменяем следующие параметры.

winbox-wireless-HTНажимаем ОК. Затем переходим на вкладку Security Profiles и выбираем профиль default.

winbox-wireless-security-profilesВыставляем режим и тип шифрования, задаем пароль. Нажимаем ОК.

winbox-wireless-security-profiles-settingsЗатем переходим на вкладку Interfaces и включаем интерфейс wlan1.

winbox-wireless-security-wlan1-enableДля выполнения тех же операций через терминал, набираем следующие команды:

На этом настройка wi-fi завершена.

5) Настройка безопасности доступа к маршрутизатору

Отключаем не нужные сервисы управления для доступа к устройству. Для этого переходим в меню IP\Services и последовательно отключаем их нажатием на крестик.

winbox-ip-service-listТак же зададим, фильтр подключений с определенного ip-адреса или сети задав его в поле «Available From».

winbox-ip-service-available-fromВ терминале порядок действий аналогичный: Выводим список сервисов, отключаем не нужные, разрешаем доступ к определенному сервису из сети 192.168.3.0/24

Отключаем поиск других устройств (соседей) по протоколам MNDP и CDP на внешних интерфейсах. На внутренних интерфейсах желательно так же отключить, но если нужен доступ к роутеру по mac-адресу, то оставляем локальный интерфейс. Для этого переходим в меню IP\Neighbors\Discovery Interfaces и отключаем все кроме внутренних интерфейсов LAN (ether2) или Bridge, нажатием на кнопку Disable.

winbox-ip-neighbors

Затем идем в меню Tools/MAC Server и на закладках Telnet Interfaces и WinBox Interfaces так же оставляем только внутренние интерфейсы и отключаем интерфейс «*all». Bridge оставляем, т.к. опять же перестает работать доступ по Winbox.

winbox-ip-mac-server-interfaces

Поменяем имя и пароль учетной записи администратора в меню System\Users. В поле Group — зададим права доступа. Возможные варианты: full — полный административный доступ, read — просмотр информации о настройках и событиях и выполнение команд, не затрагивающих конфигурацию роутера, write — изменение настроек и политик за исключением настроек пользователей системы.

winbox-user-password

6) Настройка фильтрации трафика, выхода в интернет

По умолчанию стандартный скрипт настраивает firewall таким образом, чтобы пропускать из локальной сети наружу любой трафик (mascarading), а снаружи только тот, который запрашивается локальными хостами (dnat), а также ping.

Начиная с RouterOS 6.23 скрипт автонастройки прописывает 6 правил фильтрации. Причем теперь в одном правиле можно задавать несколько состояний соединения (connection state), а так же появилось новое состояние соединения отвечающее за сетевую трансляцию адресов (connection NAT state).

В самом начале создадим правило запрещающее доступ к wan-интерфейсу с IP-адресов, которые не должны использоваться в таблицах маршрутизации в Интернет. (bogon-сети). Для этого сначала зададим список этих сетей в IP\Firewall\Address Lists:

winbox-ip-firewall-address-lists

Но обратим внимание, что наш провайдер выдает нам сетевые настройки, ip-адрес и dns-сервера, которых как раз попадают в некоторые из диапазонов. Поэтому отключаем их, иначе интернет у нас работать не будет :) Затем добавим само правило:

Следующее правило — защита от IP-спуфинга (ответ RST-пакетом на SYN-ACK-пакет, если он является первым в соединении):

Далее разрешим icmp, если необходимо, хотя я обычно не включаю:

Затем разрешаем прохождения трафика на маршрутизатор (цепочка: input) уже установленных (established) и связанных подключений (related):

И запрещаем любые другие входящие соединения на роутер.

Затем разрешим прохождение трафика через маршрутизатор (цепочка: forward) уже установленных (established) и связанных (related) подключений:

Любой другой трафик в цепочке forward запрещаем:

На выходе получим такую картинку:

winbox-firewall-settingsДля настройки выхода в интернет / маскарадинга (NAT), компьютеров указанных в группе ‘lan-access’ добавляем следующие правила:

В итоге компьютерам с ip адресами с 192.168.3.10, 192.168.3.11 будет разрешен доступ в сеть.

Если необходимо выполнить проброс портов из интернета на внутренний сервер/сервис в локальной сети (dnat) добавим следующую команду:

winbox-ip-dnatЕсли необходимо жестко задать ip-адрес с которого можно подключаться, то укажем его в поле Dst.Address.

7) Подключение и настройка usb-модема Yota 4G

Беспроводное подключение через модем Yota у нас будет в качестве резервного канала на случай выхода из строя основного провайдера.

Вставляем модем в usb-порт роутера. В списке интерфейсов должен появится новый интерфейс lte1.

Теперь переходим в меню ip\dhcp-client и выберем в списке интерфейс lte1.

winbox-dhcp-client-lte1В поле Add Default Router если оставить yes, будет создан маршрут по умолчанию, который в свою очередь отключит маршрут по основному провайдеру, если он есть. Что бы этого не произошло, и маршрут Yota был прописан в качестве дополнительного мы в поле Default Route Distance можем выставить значение 2 и тогда маршрут примет вид отключенного и будет таковым до тех пор пока, не упадет основной маршрут у которого Distance — 1. Но такой маршрут в последствии нельзя будет редактировать (например, задать комментарий), поэтому пока в поле Add Default Router поставим no и создадим маршрут сами.

На вкладке Status, убедимся так же, что роутер получил все необходимые настройки от  DHCP-сервера модема.

winbox-dhcp-client-lte1-statusПереходим в меню IP\Routers. Создаем новый маршрут, в поле Gateway укажем адрес — 10.0.0.1. Distance — 2 и комментарий — gw2.

winbox-ip-routes-addНажимаем ОК. Получим примерно следующую картинку.

winbox-ip-routes-lte1Здесь у меня первый маршрут (gw1), как раз таки приоритетный и рабочий, просто отключен и поэтому в статусе unreachable, а «ётовский» как раз активный.

Затем добавим два правила на firewall’е. Одно правило для маскарадинга (snat), другое запрещающее любой не разрешенный входящий трафик на интерфейсе lte1.

7) Настройка SNTP-клиента.

Для отображения корректного времени на устройстве, необходимо настроить SNTP-клиент который в свою очередь будет получать точное время от внешних ntp-серверов. Для этого переходим в меню System\SMTP Client отмечаем галку Enable и вводим ip-адреса первичного и вторичного серверов времени. Нажимаем ОК для сохранения настроек. Для получения самих адресов воспользуемся командой nslookup, например на адрес ru.pool.ntp.org.

winbox-system-sntp-clientsА вот для того что бы выставить корректный часовой пояс без ввода команд не обойтись. Для этого в терминале набираем:

Кроме вышеперечисленной команды, добавим сами серверы времени:

Посмотреть время на устройстве:

8) Настройка IPTV

Для того что бы настроить IPTV на роутере микротик необходимо предварительно добавить модуль multicast. Для этого переходим на сайт производителя. Выбираем серию устройств для которой будет скачивать пакет. В данном случае это mipsbe… RB700 series. Выбираем All package и скачиваем файл all_packages-mipsbe-x.xx.zip к себе на компьютер. Убедимся, что версия пакета соответствует текущей версии RouterOS, иначе придется обновить и систему тоже. (см. ниже).

Открываем архив all_packages-mipsbe-x.xx.zip и извлекаем от туда фаил multicast-x.xx-mipsbe.npk. В Winbox переходим в меню Files и перетаскиваем мышкой наш файл в окно Files List. Дожидаемся окончания процесса загрузки. Перезагружаем роутер.

Проверяем что пакет multicast установлен в System\Packages.

winbox-system-packagesЧто в свою очередь активирует новое дополнительное меню IGMP Proxy в разделе Routing. Открываем Settings и ставим галочку Quick Leave, что по идее должно увеличить скорость переключения каналов, нажимаем Apply для сохранения настроек.

winbox-routing-igmp-proxy-settings

Затем нажимаем «+» и создаем два IGMP Proxy интерфейса, один для внешней сети, который будет принимать поток многоадресной рассылки от провайдера, один для внутренней сети за микротиком, куда трафик будет дальше поступать к устройствам локальной сети.

Создаем первый IGMP proxy интерфейс, который смотрит в сеть провайдера, в нашем случае это ether1 (WAN), в поле Alternative Subnets укажем сеть вещания IPTV (если известна), если нет то поставим 0.0.0.0/0. Отметим галочку напротив Upsteam.

winbox-routing-igmp-proxy1

Теперь добавим второй IGMP proxy интерфейс, к которому подключены устройства внутренней сети, компьютер или IPTV-приставка. Задаем внутренний локальный интерфейс, нажимаем ОК.

winbox-routing-igmp-proxy2

Следующим шагом, необходимо создать правило на файрволе, разрешающее входящий IGMP-трафик, иначе ничего работать не будет. Для этого, в меню IP – Firewall, на вкладке Filter Rules, добавляем запись: Chain – input; Protocol — igmp; Action – accept. Помещаем созданное правило в начало списка, перед запрещающими.

Если, мы все правильно настроили, то на вкладке IGMP Proxy\MFC должны появиться динамические правила, а так же пакеты, идущие через них.

winbox-routing-igmp-mfcДля работы IPTV через wi-fi, нужно в свойствах беспроводного интерфейса wlan1 на вкладке Wireless выставить значение параметра Multicast Helper в Full.

winbox-wireless-multicast-helper-full

9) Обновление MikroTik RouterOS

Для выполнения процедуры обновления RouterOS скачиваем прошивку с официального сайта. Выбираем, для какой серии устройств будем скачивать пакет обновления. Нас интересует mipsbe… RB700 series. Выбираем Upgrade package. Скачиваем npk-фаил.
mikrotik-routersos-downloadsЗатем, переходим в меню Files и перетаскиваем мышкой наш фаил в окно Files List. Дожидаемся окончания процесса загрузки, после чего, файл должен отобразится в окне Files List.

winbox-download-npk-fileЗатем, перегружаем роутер. После перезагрузки версия RouterOS будет обновлена.

СХОЖИЕ СТАТЬИБОЛЬШЕ ОТ АВТОРА

  • Sergey

    Спасибо за статью!!!

  • imort

    У Вас опечатка, строка не нужна (линки 0-4)
    >> /interface ethernet set 5 master-port=ether2

    • admin

      imort, ага спасибо, исправил!

  • Роман

    хорошо написано.
    вопрос если можно, а если несколько IP получать от провайдера по одной меди, с одного поток на интернет, со второго на АТС, как правильно настраивать?
    объединять в свич ван порты? присваивать каждому порту свой IP а потом прописывать что на какой порт? или прописывать оба адреса на один порт, но там вроде нет в роутинге привязки к IP там только можно указать порт.

    • admin

      Да можно и так и так, но я бы попробовал сначала сделать два ip-адреса на одном интерфейсе (порту) с одним физическим кабелем от провайдера. В роутинге можно прописать как ip-адрес так и физ интерфейс (порт).

  • Torquevic

    Спасибо за статью! Подскажите, а где я могу увидеть расшифровку всех аббревиатур (SNTP-клиента,CLI-команды т.д., т.п.)? Впервые хочу настроить, до этого не настраивал. Спасибо.

    • admin

      На оф. сайте например — wiki.mikrotik.com/wiki/Manual:System/Time

      • вася

        Привет, admin, понравился уровень статьи, очень качественно!
        Свяжись со мной в skype i-can5, нужна консультация

        • admin

          Привет, спасибо за отзыв, по скайпу не консультирую, лучше пиши сюда — https://sanotes.ru/help/

  • bravo123

    Можно ли, привязать к МАС, адреса отдаваемые по DHCP, для сетевого принтера например, что бы не терялся?
    Спасибо за статью.

    • admin

      Да можно, а почему нет, сетевые принтеры такие же полноценные участники сети, только на сетевых принтерах обычно статику ставят!

  • Роман

    Прежде всего хочу выразить вам огромную благодарность за очень полезную информацию.

    Но остался один момент. Как мы знаем у нас скоро заблокируют всю сеть. Мой провайдер можно обойти через смену DNS, хотелось бы настроить, чтоб все устройства домашней сети могли беспрепятсвенно получать доступ к необходимым сайтам, а не к тем к которым разрешают цари.
    По настройкам вроде прописаны указанные днс, но по умолчанию все равно подтягиваются «Dynamic Servers» провайдера.
    См. скриншот: https://yadi.sk/i/nJ0_I_ISokmYF

    Заранее благодарю за помощь

    • admin

      Спасибо за отзыв, только зачем вы в поле DNS указали мои dns из статьи? )) Если вашего провайдера действительно можно обойти простой сменой днс, то и пропишите те днс серверы через которые вы хотите ходить, например общедоступные гугла: 8.8.8.8 и 8.8.4.4. Но судя по скриншоту, который у вас указан провайдер умеет перехватывать все dns-запросы и перенаправлять на свои dns (Dynamic Servers), тогда вариант только с указанием внешнего прокси сервера, через который доступ к нужным сайтам возможен.

  • Дмитрий

    Очень доволен статьей! Благодарю!
    Есть один вопрос с vpn: можно ли организовать схему — 1 интерфейс к провайдеру 1, 2 интерфейс к провайдеру 2(1 основной и 2 резерв), но мне нужно подключаться как клиент к одному по vpn, а для другого быть сервером, да так, чтобы трафик между этими сетями тоже ходил?

    • admin

      Дмитрий, думаю такой вариант вполне реализуем, в микротике можно сделать практически все. Только не совсем понятна фраза «а для другого быть сервером, да так, чтобы трафик между этими сетями тоже ходил?» К одному интерфейсу-провайдеру вы подключаетесь по vpn, на втором интерфейсе-провайдере у вас весит какой-то сервис? И между какими сетями должен ходить трафик?

  • copenhagen

    Купил себе MikroTik. Нашел и прочитал статью. Не понимаю, зачем у микротиков все так сложно, чтобы задать обновление времени/часовой пояс/MAC для интерфейса требуется столько телодвижений, которые в других роутерах делаются на раз-два без мануалов?

    • admin

      Ну данные устройства позиционируются скорее для профессионалов, которым нужна тонкая настройка под множество разных задач, а так же понимание того как это все работает. Для рядовых пользователей и блондинок не вариант конечно :) Это все равно что использовать Linux в качестве основной оси на своем домашнем компьютере. За то в других роутерах нет такого богатого функционала, который предлагает RouterOS, а если и есть что-то подобное, то совсем за другие деньги.
      P.S. К тому же о надежности и бесперебойной работе этих устройств слагают легенды :)

  • copenhagen

    Если не сложно, распишите схему http://wiki.mikrotik.com/wiki/Advanced_Routing_Failover_without_Scripting в статье также понятно и с менюшками, как расписали все остальное. Тема очень популярная. Описанный случай с yota все же отличается. Я бы с радостью прочитал.

    • admin

      Пока сложно, т.к. нет микротика щас под рукой, да и времени особо тоже.

  • Ygrik

    Спасибо! добавлю сайт в закладки)

  • Александр

    Спасибо за статью.
    Настроил VPN сеть (поднял сервер PPTP), подключение есть, сеть не видна. Одна подсеть 0, другая 1. Где копать дальше? Прокси, фаервол, проброс портов?
    Нужны-пи, кроме проброса портов, настройки для RDP?

    • admin

      Да верно, файрвол и проброс портов. PPTP не поднимал, но думаю настройки касаемо правил файрвола и ната аналогичны VPN Ipsec, а посему возможно поможет эта статья.

  • Александр

    Можно-ли скриптом отключить комп по сети?

    • admin

      Александр, вопрос не по теме, но вообще да можно, вариантов масса :)

  • Александр

    Простите за некорректно заданный вопрос, и всё-же, как в МИКРОТИК скриптом отключить комп по сети

  • Владимир

    Столкнулся с такой проблемой
    Один выход идет к соседу по кабелю и я поставил ему ограничения по ip адресу
    Все было хорошо пока он не поставил у себя роутер. После этого комп его контролирует скорость а устройства которые подключаються по wifi я не вижу и они начинают у меня забирать весь интернет
    Кто нибудь подскажите как можно это победить без доступа к соседскому роутеру.

    • admin

      Кто-нибудь помогите Владимиру, потому что я не фига не понял что у него там за схема мутная и насколько речь вообще идет о микротике :)

  • HunteR2004

    День добрый… Думаю у Владимира ситуация такая: от его рутера идет кабель к соседу. Соседу дали 1 IP и остальные настройки… Сосед пользовался пользовался и ему кто-то нашептал, что можно поставить рутер с WiFi… Итого получилось что сосед полноценно пользуется всеми прелестями Интернета добродушного Владимира…

    Владимир: ограничивайте скорость соединения с привязкой на IP.. У ВАС же MikrotiK?!

  • Ник

    У меня такая проблема, есть коммутатор dlink des1210-28 и роутер mikrotik RB851G-2HnD
    Настроил интернет и wifi на роутере, подключил коммутатор а к коммутатор 10 компьютеров и транслятор камер
    Но в роутере я их не вижу
    И зайти на коммутатор тоже не могу, с чем это связано ? Подскажите как решить проблему, буду очень благодарен

    • admin

      Из ваших слов, сложно понять, в чем проблема. Неплохо бы знать какие ip-адреса и сети используете!? Что на LAN/WAN интерфейсе, что на коммутаторе если он управляемый, что на компьютерах, настроено. С компьютера на коммутатор заходите?

      • Ник

        ip adress 192.168.88.1
        DHCP server range 192.168.88.10-192.168.88.254
        на компе никаких установок не делал
        дело в том, что когда я к микротику подключаю коммутатор, микротик не видит тех компов которые я подключил к коммутатору
        не понимаю в чем проблема может быть

        • admin

          Повторяю, коммутатор управляемый, у него есть ip-адрес, если да, он в той же сети что и микротик 192.168.88.0/24? Если с терминала на микротике (New Terminal) пинговать компы, тоже глухо?

          • Ник

            Да, в этой же сети не пингуются

          • admin

            Сложно сказать, надо смотреть. Скажу только что на микротике нет не каких особых настроек, особенно по дефолту которые бы как то ограничивали доступ к сетевым устройствам подключенным через коммутатор.

  • ed

    здравствуйте, подскажите пожалуйста как в роутере микротик RB951 прописать статический адрес для каждого компьютера в локальной сети, спасибо.

    • admin

      Статический адрес прописывается на компьютерах в свойствах tcp/ip а не на микротике. На микротике можно поднять DHCP-сервер, который к слову по умолчанию работает и раздает динамические ip-адреса, которые можно зарезервировать за определенным mac-адресом сетевой карты компьютера/устройства. Но это не статика.

  • Дмитрий

    Здравствуйте. Впервые настраиваю microtik и пока слаб во всей теории сетей. После настройки заметил одну серьёзную проблему. Speedtest показывает отличную download скорость, но нулевую upload. Не понимаю, в чём вообще может быть проблема? Подскажите куда копать :)

    • admin

      Здравствуйте, не уверен что проблема в микротике. Если вы работаете с дефолтной конфигурацией, то должно работать нормально. Думаю скорее это у вашего провайдера что-то. Сайты ведь в принципе открываются у вас? Попробуйте др. тесты посмотреть! На микротике зайдите в интерфейсы, выберете свой wan интерфейс, по умолчанию (ether1), затем на вкладку traffic и посмотрите, что у вас там реально приходит/уходит.

      • Дмитрий

        Тоже думал, что проблема не в микротике, если бы не одно «но». Если подключать кабель напрямую в компьютер без участия роутера, то со скоростью в обоих направлениях всё нормально, без всяких ограничений. А вот через роутер всё печально.
        Посмотрел я traffic, но ничего нового так и не узнал, там те же малые цифры, что и в speedtest показывает.
        Разве это может быть косяк провайдера, если провод напрямую в комп даёт полную скорость?

        • admin

          Дмитрий, ну тогда я бы проверил на другом роутере, желательно тоже Микротике. Скорость может быть полной, например во время скачивания/передачи, а вот счетчик к примеру, показывающий эту скорость может глючить!

          • Андрей

            У меня наоборот, перекос в другую сторону. Даунтлоад слабый, аплоад супер. А должно быть более менее ровно. Т.к. сразу же включаю после себя спидтест на телефоне жены у нее все ок, показатели более менее ровные. И у меня же, сильный перекос.

  • Андрей

    Не вводится команда:
    /ip firewall nat add action=masquerade chain=srcnat out-interface=ether1 list=lan-access
    Буква l слова list подсвечивается красным. Опечатка или я что-то напортачил? Спасибо.

    • admin

      Нет, это моя кривая опечатка/копипаста. Данная строчка «list=lan-access» здесь, вообще лишняя. Спасибо заметили и отписались, поправил в статье.

  • http://inforkomp.com.ua Игорь

    Спасибо, за статью, как раз то что искал

  • Юрий

    Приветствую! Спасибо за ваш труд. Разрешите вопрос? Как блокировать определенный ip в локалке? Скажем есть свитч в нулевой подсетке, его ip задан статикой. Шлюз ему дан микротика соответственно. Я хочу этот свитч обрубить временно, чтобы никакой внутренний трафик через него не смог пройти. Нужно это сделать именно средствами микротик. В файрволе чего только не перепробовал и друпил и реджектил, бесполезно. Трафик как шел так и идет..

    • admin

      Приветствую. Полностью обрубить свитч не получится. Свитч это как правило L2 устройство (канальный уровень), реже L3 (сетевой уровень) с ограниченным по сравнению с полноценным L3 маршрутизатором функционалом. Микротик, если речь идет о маршрутизаторе (к примеру RB951) это L3 устройство и вы при помощи протоколов более высокого уровня пытаетесь запретить что-то простому «тупому» коммутатору. Как вы собираетесь его идентифицировать, по его ip-адресу? Это адрес исключительно для диагностики\управления через web-интерфейс. Если железка умная то ограничивать трафик надо именно на ней, а не при помощи стороннего устройства. Что мешает запретить доступ к компам/сетке которая за этим свитчем?