Итак, базовая настройка раутера Mikrotik RB750G на примере провайдера Triolan.
1. Подключение.
В стандартной прошивке раутер настроен так — порт 1 предназначен для подключения провайдера, порты 2-5 собраны в свитч для локальной сети и имеют адрес 192.168.88.1/24. Берём патчкорд (прямой или перевёрнутый — без разницы, раутер сам определит тип), соединяем им сетевую карту компа (да, в дальшейшем подразумевается, что на компе — WinXP) и любой из портов 2-5. Сетевой карте назначаем адрес из сетки 192.168.88.0/24 — например, 192.168.88.10/24. Открываем браузер и идём на
2. Что мы хотим настроить?
Получить мы хотим счастья и побольше, понятное дело. В данном случае — компы, расположенные в локальной сети за раутером, должны получить прозрачный доступ в интернет, кроме того — провайдер предоставляет сервис IPTV, так что и это нам тоже нужно. Далее — с одного из компов должны скачиваться и раздаваться торренты, к этому компу было бы неплохо настроить доступа по VNC с определённых адресов из интернета (понятно для чего — прицепиться к домашнему компу из офиса и поставить качать на вечер свеженький прон ). Ну и, конечно, настраиваем DHCP и DNS — мы же не хотим прописывать сетевые настройки на каждой из машин нашей сети.
Определяемся с портами на раутере:
порт 1 — подключение к провайдеру Triolan
порт 2 — подключение к резервному провайдеру (оставляю на будущее, сейчас временно использую только одно подключение)
порты 3-5 — локальная сеть
3. Настройка.
3.1. Настройка портов
Запускаем Winbox и подключаемся к раутеру в порт 3 по mac-адресу. Заходим в Interfaces, настраиваем и переименовываем порты:
порт 1 — ether1-gateway1 — master port: none
порт 2 — ether2-gateway2 — master port: none
порт 3 — ether3-local-master — master port: none
порт 4 — ether4-local-slave — master port: 3
порт 5 — ether5-local-slave — master port: 3
Что такое master и slave порты? В принципе — всё просто. Master — это независимый порт, с собственным ip-адресом и т.д. Порт slave же получает адрес и всё остальное от назначенного ему master-порта. В нашем случае порты 3-5 образуют своего рода свитч.
3.2. Настройка локальной сети
Заходим в IP —> Addresses, удаляем дефолтные настройки, назначаем для ether3-local-master адрес 192.168.0.1/24. Заходим в IP —> DHCP Server, удаляем дефолтные настройки. Далее настраиваем DHCP-сервер (мне удобнее это было сделать из командной строки):
ip pool add name="HomePool" ranges="192.168.0.2-192.168.0.254" ip dhcp-server add name="HomeDHCP" interface="ether3-local-master" address-pool="HomePool" disabled="no" ip dhcp-server network add address="192.168.0.0/24" gateway="192.168.0.1" dns-server="192.168.0.1" domain="home"
DHCP-сервер настроен, можно проверять на клиентских машинах. Подключившиеся машины можно увидеть в IP —> DHCP Server —> Leases, там же можно назначить выдачу одного и того же адреса для машины с торрент-клиентом (в моём случае — я «привязал» к её mac'у адрес 192.168.0.10)
3.3. Логины и пароли
Теперь самое время немного позаботиться о безопасности. Заходим в System —> Users, добавляем пользователя schwein, группа full, назначаем пароль. Для дефолтного пользователя admin указываем, что Allowed Address — 192.168.0.0/24. Можно, конечно, и вообще его отключить
3.4. Настройка подключения к интернету
Заходим в IP —> Addresses, для ether1-gateway1 прописываем наш адрес из сетки провайдера — 109.87.xxx.yyy/24. Указываем маршрут по умолчанию:
ip route add gateway="109.87.xxx.254"
Далее нам надо настроить NAT, дабы машины из локальной сети получали интернет:
ip firewall nat add out-interface="ether1-gateway1" chain="srcnat" action="masquerade"
Настраиваем DNS-сервер:
ip dns set servers="109.86.2.2,109.86.2.21,208.67.222.222"
ну или заходим в IP —> DNS —> Settings, прописываем адреса DNS-серверов, ставим галку на Allow Remote Request
После всего этого — проверяем на клиентских машинах доступ с интернету, всё должно работать
3.5. Настраиваем IPTV, фильтрацию пакетов и проброс портов
Для настройки проброса IPTV в локальную сетку нам нужно настроить на раутере igmp proxy. В дефолтной прошивке его нет, потому надо зайти на
routing igmp-proxy interface add comment="Upstream" disabled="no" interface="ether1-gateway1" threshold="1" upstream="yes" alternative-subnets="10.5.200.0/24" routing igmp-proxy interface add comment="Downstream" disabled="no" interface="ether3-local-master" threshold="1" routing igmp-proxy set quick-leave="yes" query-interval="00:01:00" query-response-interval="00:00:10"
Вы спросите — а откуда взялась сетка 10.5.200.0/24? Не буду утомлять долгими рассуждениями — когда я настроил прокси без указания этой alternative-subnets, то никакого IPTV на локальном компе не было. Тогда я позакрывал все ненужные приложения, генерящие трафик, на раутере запустил Tools —> Packet Sniffer, подёргал плеер, пытаясь переключаться между каналами, после чего поглядел — какие пакеты куда и как ходят. Так и обнаружился 10.5.200.1 — на всякий случай добавил всю /24 сеть.
Теперь укажем список «внешних» IP-адресов, с которых будет доступны проброс портов по vnc на машину в локалке, а также ssh-соединение с самим раутером:
ip firewall address-list add address="195.49.xxx.yyy" list="Office" comment="Allowed foreign IP" ip firewall address-list add address="193.33.xxx.yyy" list="Office" comment="Allowed foreign IP" ip firewall address-list add address="193.33.xxx.zzz" list="Office" comment="Allowed foreign IP"
Ну а теперь завершающий штрих — фильтры и проброс портов:
ip firewall filter add chain="input" action="accept" protocol="icmp" comment="Allow ICMP" ip firewall filter add chain="input" action="accept" protocol="igmp" comment="Allow IGMP" ip firewall filter add chain="input" action="accept" connection-state="established" in-interface="ether1-gateway1" comment="Allow established connections" ip firewall filter add chain="input" action="accept" connection-state="related" in-interface="ether1-gateway1" comment="Allow related connections" ip firewall filter add chain="input" action="accept" src-address-list="Office" protocol="tcp"dst-port="22" in-interface="ether1-gateway1" comment="Allow SSH" ip firewall filter add chain="input" action="drop" in-interface="ether1-gateway1" comment="Drop all" ip firewall filter add chain="forward" action="accept" connection-state="established" comment="Allow established connections" ip firewall filter add chain="forward" action="accept" connection-state="related" comment="Allow related connections" ip firewall filter add chain="forward" action="accept" src-address-list="Office" protocol="tcp" dst-port="5900" comment="Allow VNC" ip firewall filter add chain="forward" action="accept" protocol="tcp" dst-port="25245" comment="Allow Torrent" ip firewall filter add chain="forward" action="accept" protocol="udp" comment="Allow UDP" ip firewall filter add chain="forward" action="accept" protocol="icmp" comment="Allow ICMP" ip firewall filter add chain="forward" action="accept" protocol="igmp" comment="Allow IGMP" ip firewall filter add chain="forward" action="accept" src-address="192.168.0.0/24" comment="Allow all for local net" ip firewall filter add chain="forward" action="accept" dst-address="192.168.0.0/24" comment="Allow all for local net" ip firewall filter add chain="forward" action="drop" comment="Drop all" ip firewall nat add chain="dstnat" action="dst-nat" protocol="tcp" dst-address="109.87.xxx.yyy" dst-port="25245" to-addresses="192.168.0.10" to-ports="25245" comment="DST-NAT for Torrents" ip firewall nat add chain="dstnat" action="dst-nat" protocol="tcp" dst-address="109.87.xxx.yyy" dst-port="5900" to-addresses="192.168.0.10" to-ports="5900" comment="DST-NAT for VNC"
Вот, собственно и всё с базовой настройкой