Neinsager

Ну вот я больше матерюсь последние несколько дней — чудовищные пробки на Советской и на Русской, хотя нормального асфальта как не было, так и нет Вернее так — медленно и печально сделали полтора квартала по Русской, и на том энтузиазм иссяк.

Ну какая теперь разница? :) Теперича у нас мэр — г-н Агеев.

@ratibor Не, они будут гармонично дополнять друг друга. Хехе

Ну а чего? Вполне нормальный мэр получится :)

Да нарисуют Агееву, всё что надо... Что вы так волнуетесь?

41%. Забавно...

Симферополь, р-н ж/д-вокзала, в помещении, модем — Huawei EC168, пакет «Revolution-15»: Для сравнения — Utel, то же самое место, модем Huawei E1550:

Только их кухни вернулся, где отведал запеченной в духовке бараньей ноги с картофельным пюре... Прелестно, хотя и передвигаюсь теперь с трудом

Хм... завтра на работе попробую на Huawei EC168...

Это, конечно, лишь база... По уму надо бы пропускать не все udp-пакеты, а только то, что относится к торрентам и IPTV. Надо бы сделать балансировку нагрузки на полосу, чтобы, к примеру, закачки торрентов не мешали комфортному web-серфингу и просмотру ТВ... Совершенно за кадром остался вопрос резервирования каналов... В общем — есть еще где поработать

Надеюсь — кому-то будет полезным :) Итак, базовая настройка раутера Mikrotik RB750G на примере провайдера Triolan. 1. Подключение. В стандартной прошивке раутер настроен так — порт 1 предназначен для подключения провайдера, порты 2-5 собраны в свитч для локальной сети и имеют адрес 192.168.88.1/24. Берём патчкорд (прямой или перевёрнутый — без разницы, раутер сам определит тип), соединяем им сетевую карту компа (да, в дальшейшем подразумевается, что на компе — WinXP) и любой из портов 2-5. Сетевой карте назначаем адрес из сетки 192.168.88.0/24 — например, 192.168.88.10/24. Открываем браузер и идём на http://192.168.88.1 , в открывшейся странице ищем и скачиваем утилиту Winbox (в принципе — раутер частично можно настроить и через Webbox, , т.е. через тот же браузер. Но именно что частично — полная настройка возможна только через Winbox или командную строку, тут уж кому как нравится). Запускаем Winbox и подключаемся к раутеру (базово: логин — admin, пароль пустой), заметим, что подключение возможно как по ip, так и по mac-адресу (стандартные mac-адреса портов раутера указаны на упаковке), лично я предпочитаю подключаться по mac. 2. Что мы хотим настроить? Получить мы хотим счастья и побольше, понятное дело. В данном случае — компы, расположенные в локальной сети за раутером, должны получить прозрачный доступ в интернет, кроме того — провайдер предоставляет сервис IPTV, так что и это нам тоже нужно. Далее — с одного из компов должны скачиваться и раздаваться торренты, к этому компу было бы неплохо настроить доступа по VNC с определённых адресов из интернета (понятно для чего — прицепиться к домашнему компу из офиса и поставить качать на вечер свеженький прон :) ). Ну и, конечно, настраиваем DHCP и DNS — мы же не хотим прописывать сетевые настройки на каждой из машин нашей сети. Определяемся с портами на раутере: порт 1 — подключение к провайдеру Triolan порт 2 — подключение к резервному провайдеру (оставляю на будущее, сейчас временно использую только одно подключение) порты 3-5 — локальная сеть 3. Настройка. 3.1. Настройка портов Запускаем Winbox и подключаемся к раутеру в порт 3 по mac-адресу. Заходим в Interfaces, настраиваем и переименовываем порты: порт 1 — ether1-gateway1 — master port: none порт 2 — ether2-gateway2 — master port: none порт 3 — ether3-local-master — master port: none порт 4 — ether4-local-slave — master port: 3 порт 5 — ether5-local-slave — master port: 3 Что такое master и slave порты? В принципе — всё просто. Master — это независимый порт, с собственным ip-адресом и т.д. Порт slave же получает адрес и всё остальное от назначенного ему master-порта. В нашем случае порты 3-5 образуют своего рода свитч. 3.2. Настройка локальной сети Заходим в IP —> Addresses, удаляем дефолтные настройки, назначаем для ether3-local-master адрес 192.168.0.1/24. Заходим в IP —> DHCP Server, удаляем дефолтные настройки. Далее настраиваем DHCP-сервер (мне удобнее это было сделать из командной строки): ip pool add name="HomePool" ranges="192.168.0.2-192.168.0.254" ip dhcp-server add name="HomeDHCP" interface="ether3-local-master" address-pool="HomePool" disabled="no" ip dhcp-server network add address="192.168.0.0/24" gateway="192.168.0.1" dns-server="192.168.0.1" domain="home" DHCP-сервер настроен, можно проверять на клиентских машинах. Подключившиеся машины можно увидеть в IP —> DHCP Server —> Leases, там же можно назначить выдачу одного и того же адреса для машины с торрент-клиентом (в моём случае — я «привязал» к её mac'у адрес 192.168.0.10) 3.3. Логины и пароли Теперь самое время немного позаботиться о безопасности. Заходим в System —> Users, добавляем пользователя schwein, группа full, назначаем пароль. Для дефолтного пользователя admin указываем, что Allowed Address — 192.168.0.0/24. Можно, конечно, и вообще его отключить :) 3.4. Настройка подключения к интернету Заходим в IP —> Addresses, для ether1-gateway1 прописываем наш адрес из сетки провайдера — 109.87.xxx.yyy/24. Указываем маршрут по умолчанию: ip route add gateway="109.87.xxx.254" Далее нам надо настроить NAT, дабы машины из локальной сети получали интернет: ip firewall nat add out-interface="ether1-gateway1" chain="srcnat" action="masquerade" Настраиваем DNS-сервер: ip dns set servers="109.86.2.2,109.86.2.21,208.67.222.222" ну или заходим в IP —> DNS —> Settings, прописываем адреса DNS-серверов, ставим галку на Allow Remote Request После всего этого — проверяем на клиентских машинах доступ с интернету, всё должно работать :) 3.5. Настраиваем IPTV, фильтрацию пакетов и проброс портов Для настройки проброса IPTV в локальную сетку нам нужно настроить на раутере igmp proxy. В дефолтной прошивке его нет, потому надо зайти на оффсайт и скачать архив со всеми пакетами для RB750G. Из полученного архива нас интересует пакет multicast.npk, который и заливаем в раутер (детальнее о процессе обновления — здесь). После перезагрузки снова подключаемся к раутеру и настраиваем igmp proxy: routing igmp-proxy interface add comment="Upstream" disabled="no" interface="ether1-gateway1" threshold="1" upstream="yes" alternative-subnets="10.5.200.0/24" routing igmp-proxy interface add comment="Downstream" disabled="no" interface="ether3-local-master" threshold="1" routing igmp-proxy set quick-leave="yes" query-interval="00:01:00" query-response-interval="00:00:10" Вы спросите — а откуда взялась сетка 10.5.200.0/24? Не буду утомлять долгими рассуждениями — когда я настроил прокси без указания этой alternative-subnets, то никакого IPTV на локальном компе не было. Тогда я позакрывал все ненужные приложения, генерящие трафик, на раутере запустил Tools —> Packet Sniffer, подёргал плеер, пытаясь переключаться между каналами, после чего поглядел — какие пакеты куда и как ходят. Так и обнаружился 10.5.200.1 — на всякий случай добавил всю /24 сеть. Теперь укажем список «внешних» IP-адресов, с которых будет доступны проброс портов по vnc на машину в локалке, а также ssh-соединение с самим раутером: ip firewall address-list add address="195.49.xxx.yyy" list="Office" comment="Allowed foreign IP" ip firewall address-list add address="193.33.xxx.yyy" list="Office" comment="Allowed foreign IP" ip firewall address-list add address="193.33.xxx.zzz" list="Office" comment="Allowed foreign IP" Ну а теперь завершающий штрих — фильтры и проброс портов: ip firewall filter add chain="input" action="accept" protocol="icmp" comment="Allow ICMP" ip firewall filter add chain="input" action="accept" protocol="igmp" comment="Allow IGMP" ip firewall filter add chain="input" action="accept" connection-state="established" in-interface="ether1-gateway1" comment="Allow established connections" ip firewall filter add chain="input" action="accept" connection-state="related" in-interface="ether1-gateway1" comment="Allow related connections" ip firewall filter add chain="input" action="accept" src-address-list="Office" protocol="tcp"dst-port="22" in-interface="ether1-gateway1" comment="Allow SSH" ip firewall filter add chain="input" action="drop" in-interface="ether1-gateway1" comment="Drop all" ip firewall filter add chain="forward" action="accept" connection-state="established" comment="Allow established connections" ip firewall filter add chain="forward" action="accept" connection-state="related" comment="Allow related connections" ip firewall filter add chain="forward" action="accept" src-address-list="Office" protocol="tcp" dst-port="5900" comment="Allow VNC" ip firewall filter add chain="forward" action="accept" protocol="tcp" dst-port="25245" comment="Allow Torrent" ip firewall filter add chain="forward" action="accept" protocol="udp" comment="Allow UDP" ip firewall filter add chain="forward" action="accept" protocol="icmp" comment="Allow ICMP" ip firewall filter add chain="forward" action="accept" protocol="igmp" comment="Allow IGMP" ip firewall filter add chain="forward" action="accept" src-address="192.168.0.0/24" comment="Allow all for local net" ip firewall filter add chain="forward" action="accept" dst-address="192.168.0.0/24" comment="Allow all for local net" ip firewall filter add chain="forward" action="drop" comment="Drop all" ip firewall nat add chain="dstnat" action="dst-nat" protocol="tcp" dst-address="109.87.xxx.yyy" dst-port="25245" to-addresses="192.168.0.10" to-ports="25245" comment="DST-NAT for Torrents" ip firewall nat add chain="dstnat" action="dst-nat" protocol="tcp" dst-address="109.87.xxx.yyy" dst-port="5900" to-addresses="192.168.0.10" to-ports="5900" comment="DST-NAT for VNC" Вот, собственно и всё с базовой настройкой :)

Настроил проброску IPTV в локалку... Не без приседаний с участием Packet Sniffer, конечно, но по итогу — красота :lol: И вообще чем больше ковыряюсь с железкой — тем больше она мне нравится...

@Nikolas Скиммеры.

@Millionova Ну их не настолько часто утаскивают, чтобы такое делать... Чаще потрошат на месте.

@Nikolas Ну лучше неторопливо ехать, чем стоять три часа на автовокзале, дожидаясь автобуса :)

@Nikolas Вот не думаю, что там настолько дофига потребителей :) Всё-таки Эверест — это вам не на горку за селом сходить с пивом

@ratibor Ну поглядим. Не так давно из Ялты ехал на антикварном троллейбусе — и не скажу, что так уж сильно плохо :)

@Nikolas Да это понятно. О проне я пошутил. Просто удивляешься порой — куда только не дотягивают 3G, хотя вон Джанкой недалече — и болт вам, а не 3G :) (Ну разве что Пиплы там есть — их вот не проверял)

Ну кто их, альпинистов, знает? :)

На Эверест провели высокоскоростной интернет Интересно — безлимитные пакеты будут? Порнушку там покачать из торрентов, пока в базовом лагере сидишь, ожидая погоды...

@Nikolas Ну коли так — запишем ему +1 в репу :)

@ratibor Это ты к тому, что упомянутые выше троллейбусы — на междугородние трассы пойдут, а не в город?

Новые троллейбусы... Может после этого наведут хоть какой-то порядок с маршрутками?..

А я что? Я ничего ;) Просто интересно... В некоторых странах, говорят, министров дрючат за такое как простых граждан. Но они ж не настолько развиты, как мы, так что простительно :)

Если из своих заплатит — молодца... Жаль, что мы не узнаем о источнике платежа ;)