[Neinsager]

Надеюсь — кому-то будет полезным
Итак, базовая настройка раутера Mikrotik RB750G на примере провайдера Triolan.

1. Подключение.
В стандартной прошивке раутер настроен так — порт 1 предназначен для подключения провайдера, порты 2-5 собраны в свитч для локальной сети и имеют адрес 192.168.88.1/24. Берём патчкорд (прямой или перевёрнутый — без разницы, раутер сам определит тип), соединяем им сетевую карту компа (да, в дальшейшем подразумевается, что на компе — WinXP) и любой из портов 2-5. Сетевой карте назначаем адрес из сетки 192.168.88.0/24 — например, 192.168.88.10/24. Открываем браузер и идём на http://192.168.88.1 , в открывшейся странице ищем и скачиваем утилиту Winbox (в принципе — раутер частично можно настроить и через Webbox, , т.е. через тот же браузер. Но именно что частично — полная настройка возможна только через Winbox или командную строку, тут уж кому как нравится). Запускаем Winbox и подключаемся к раутеру (базово: логин — admin, пароль пустой), заметим, что подключение возможно как по ip, так и по mac-адресу (стандартные mac-адреса портов раутера указаны на упаковке), лично я предпочитаю подключаться по mac.

2. Что мы хотим настроить?
Получить мы хотим счастья и побольше, понятное дело. В данном случае — компы, расположенные в локальной сети за раутером, должны получить прозрачный доступ в интернет, кроме того — провайдер предоставляет сервис IPTV, так что и это нам тоже нужно. Далее — с одного из компов должны скачиваться и раздаваться торренты, к этому компу было бы неплохо настроить доступа по VNC с определённых адресов из интернета (понятно для чего — прицепиться к домашнему компу из офиса и поставить качать на вечер свеженький прон ). Ну и, конечно, настраиваем DHCP и DNS — мы же не хотим прописывать сетевые настройки на каждой из машин нашей сети.
Определяемся с портами на раутере:
порт 1 — подключение к провайдеру Triolan
порт 2 — подключение к резервному провайдеру (оставляю на будущее, сейчас временно использую только одно подключение)
порты 3-5 — локальная сеть

3. Настройка.

3.1. Настройка портов
Запускаем Winbox и подключаемся к раутеру в порт 3 по mac-адресу. Заходим в Interfaces, настраиваем и переименовываем порты:
порт 1 — ether1-gateway1 — master port: none
порт 2 — ether2-gateway2 — master port: none
порт 3 — ether3-local-master — master port: none
порт 4 — ether4-local-slave — master port: 3
порт 5 — ether5-local-slave — master port: 3
Что такое master и slave порты? В принципе — всё просто. Master — это независимый порт, с собственным ip-адресом и т.д. Порт slave же получает адрес и всё остальное от назначенного ему master-порта. В нашем случае порты 3-5 образуют своего рода свитч.

3.2. Настройка локальной сети
Заходим в IP —> Addresses, удаляем дефолтные настройки, назначаем для ether3-local-master адрес 192.168.0.1/24. Заходим в IP —> DHCP Server, удаляем дефолтные настройки. Далее настраиваем DHCP-сервер (мне удобнее это было сделать из командной строки):

ip pool add name="HomePool" ranges="192.168.0.2-192.168.0.254"
ip dhcp-server add name="HomeDHCP" interface="ether3-local-master" address-pool="HomePool" disabled="no"
ip dhcp-server network add address="192.168.0.0/24" gateway="192.168.0.1" dns-server="192.168.0.1" domain="home"

DHCP-сервер настроен, можно проверять на клиентских машинах. Подключившиеся машины можно увидеть в IP —> DHCP Server —> Leases, там же можно назначить выдачу одного и того же адреса для машины с торрент-клиентом (в моём случае — я «привязал» к её mac'у адрес 192.168.0.10)

3.3. Логины и пароли
Теперь самое время немного позаботиться о безопасности. Заходим в System —> Users, добавляем пользователя schwein, группа full, назначаем пароль. Для дефолтного пользователя admin указываем, что Allowed Address — 192.168.0.0/24. Можно, конечно, и вообще его отключить

3.4. Настройка подключения к интернету
Заходим в IP —> Addresses, для ether1-gateway1 прописываем наш адрес из сетки провайдера — 109.87.xxx.yyy/24. Указываем маршрут по умолчанию:

ip route add gateway="109.87.xxx.254"

Далее нам надо настроить NAT, дабы машины из локальной сети получали интернет:

ip firewall nat add out-interface="ether1-gateway1" chain="srcnat" action="masquerade"

Настраиваем DNS-сервер:

ip dns set servers="109.86.2.2,109.86.2.21,208.67.222.222"

ну или заходим в IP —> DNS —> Settings, прописываем адреса DNS-серверов, ставим галку на Allow Remote Request
После всего этого — проверяем на клиентских машинах доступ с интернету, всё должно работать

3.5. Настраиваем IPTV, фильтрацию пакетов и проброс портов
Для настройки проброса IPTV в локальную сетку нам нужно настроить на раутере igmp proxy. В дефолтной прошивке его нет, потому надо зайти на оффсайт и скачать архив со всеми пакетами для RB750G. Из полученного архива нас интересует пакет multicast.npk, который и заливаем в раутер (детальнее о процессе обновления — здесь). После перезагрузки снова подключаемся к раутеру и настраиваем igmp proxy:

routing igmp-proxy interface add comment="Upstream" disabled="no" interface="ether1-gateway1" threshold="1" upstream="yes" alternative-subnets="10.5.200.0/24"
routing igmp-proxy interface add comment="Downstream" disabled="no" interface="ether3-local-master" threshold="1"
routing igmp-proxy set quick-leave="yes" query-interval="00:01:00" query-response-interval="00:00:10"

Вы спросите — а откуда взялась сетка 10.5.200.0/24? Не буду утомлять долгими рассуждениями — когда я настроил прокси без указания этой alternative-subnets, то никакого IPTV на локальном компе не было. Тогда я позакрывал все ненужные приложения, генерящие трафик, на раутере запустил Tools —> Packet Sniffer, подёргал плеер, пытаясь переключаться между каналами, после чего поглядел — какие пакеты куда и как ходят. Так и обнаружился 10.5.200.1 — на всякий случай добавил всю /24 сеть.
Теперь укажем список «внешних» IP-адресов, с которых будет доступны проброс портов по vnc на машину в локалке, а также ssh-соединение с самим раутером:

ip firewall address-list add address="195.49.xxx.yyy" list="Office" comment="Allowed foreign IP"
ip firewall address-list add address="193.33.xxx.yyy" list="Office" comment="Allowed foreign IP"
ip firewall address-list add address="193.33.xxx.zzz" list="Office" comment="Allowed foreign IP"

Ну а теперь завершающий штрих — фильтры и проброс портов:

ip firewall filter add chain="input" action="accept" protocol="icmp" comment="Allow ICMP"
ip firewall filter add chain="input" action="accept" protocol="igmp" comment="Allow IGMP"
ip firewall filter add chain="input" action="accept" connection-state="established" in-interface="ether1-gateway1" comment="Allow established connections"
ip firewall filter add chain="input" action="accept" connection-state="related" in-interface="ether1-gateway1" comment="Allow related connections"
ip firewall filter add chain="input" action="accept" src-address-list="Office" protocol="tcp"dst-port="22" in-interface="ether1-gateway1" comment="Allow SSH"
ip firewall filter add chain="input" action="drop" in-interface="ether1-gateway1" comment="Drop all"
ip firewall filter add chain="forward" action="accept" connection-state="established" comment="Allow established connections"
ip firewall filter add chain="forward" action="accept" connection-state="related" comment="Allow related connections"
ip firewall filter add chain="forward" action="accept" src-address-list="Office" protocol="tcp" dst-port="5900" comment="Allow VNC"
ip firewall filter add chain="forward" action="accept" protocol="tcp" dst-port="25245" comment="Allow Torrent"
ip firewall filter add chain="forward" action="accept" protocol="udp" comment="Allow UDP"
ip firewall filter add chain="forward" action="accept" protocol="icmp" comment="Allow ICMP"
ip firewall filter add chain="forward" action="accept" protocol="igmp" comment="Allow IGMP"
ip firewall filter add chain="forward" action="accept" src-address="192.168.0.0/24" comment="Allow all for local net"
ip firewall filter add chain="forward" action="accept" dst-address="192.168.0.0/24" comment="Allow all for local net"
ip firewall filter add chain="forward" action="drop" comment="Drop all"
ip firewall nat add chain="dstnat" action="dst-nat" protocol="tcp" dst-address="109.87.xxx.yyy" dst-port="25245" to-addresses="192.168.0.10" to-ports="25245" comment="DST-NAT for Torrents" 
ip firewall nat add chain="dstnat" action="dst-nat" protocol="tcp" dst-address="109.87.xxx.yyy" dst-port="5900" to-addresses="192.168.0.10" to-ports="5900" comment="DST-NAT for VNC"

Вот, собственно и всё с базовой настройкой

[Neinsager]

Это, конечно, лишь база... По уму надо бы пропускать не все udp-пакеты, а только то, что относится к торрентам и IPTV. Надо бы сделать балансировку нагрузки на полосу, чтобы, к примеру, закачки торрентов не мешали комфортному web-серфингу и просмотру ТВ... Совершенно за кадром остался вопрос резервирования каналов... В общем — есть еще где поработать

[Aquarius]

настраивать из под винды я так понял лучше всего winbox?

[Neinsager]

Aquarius
Да, winbox.
Там и командная строка, и типа GUI — удобно

[Aquarius]

у меня стоит 4.11. стоит ли ставить последнюю 4.13?

[Neinsager]

Я пока не обновлял — на момент настройки 4.11 была актуальной

[Aquarius]

Schwein, а можешь выложить свой Package list? а то я поставил все пакеты, даже дополнительные при апдейте, поэтому хочу убрать лишнее.

[Neinsager]

[xxx@MikroTik] > system package  print
Flags: X - disabled 
 #   NAME                        VERSION
 0   routeros-mipsbe             4.11
 1   system                      4.11
 2 X ipv6                        4.11
 3   routerboard                 4.11
 4   mpls                        4.11
 5   security                    4.11
 6   advanced-tools              4.11
 7   ppp                         4.11
 8   routing                     4.11
 9   dhcp                        4.11
10 X wireless                    4.11
11   hotspot                     4.11
12   multicast                   4.11
13   ntp                         4.11

[Aquarius]

ура! Настроил первого провайдера
Через vpn и nat и торрент и со спид тестом 60-80% нагрузка cpu

Speedtest на Симферополь - 80/50 мегабит. Со старым d-linkом 20/20 было.

[Oskar]

Schwein (30 октября 2010 - 18:37) писал:

3.1. Настройка портов
Запускаем Winbox и подключаемся к раутеру в порт 3 по mac-адресу. Заходим в Interfaces, настраиваем и переименовываем порты:
порт 1 — ether1-gateway1 — master port: none
порт 2 — ether2-gateway2 — master port: none
порт 3 — ether3-local-master — master port: none
порт 4 — ether4-local-slave — master port: 3
порт 5 — ether5-local-slave — master port: 3

Что такое master и slave порты? В принципе — всё просто. Master — это независимый порт, с собственным ip-адресом и т.д. Порт slave же получает адрес и всё остальное от назначенного ему master-порта. В нашем случае порты 3-5 образуют своего рода свитч.

Если я правильно понял, для объединения в свич двух "внешних" портов необходимо (и достаточно?) сделать так?:

порт 1 — ether1-gateway1 — master port: none
порт 2 — ether2-gateway1-slave — master port: 1
порт 3 — ether3-local-master — master port: none
порт 4 — ether4-local-slave — master port: 3
порт 5 — ether5-local-slave — master port: 3

[Neinsager]

Oskar
Именно так

[kav]

Доброе время суток,

На данный момент есть такая ситуация:
1) Два входящих интернета в режиме резервирования
2) Один локальный интерфейс с несколькими vlan'ами
3) Проброс портов на внутренние ресурсы
4) Проброс внешних ip на внутренние ресурсы
5) Задание гарантированного и максимальной скорости для адресов локальной сети
6) Перенапровление некоторых адресов локальной сети на второго провайдера
7) Никаких запретов на трафик

так как я не могу отключить основной канал для экспериментов я тренируюсь на запасном, но настраиваю с учетом того что оба включены.
я прописал все ip, сделал nat, и перенаправил тестовый ip для работы через второго провайдера.

в итоге я шлюз второго провайдера пингую, но инета нету. что может быть?

[Neinsager]

kav сказал:

в итоге я шлюз второго провайдера пингую, но инета нету. что может быть?

А что с маршуртизацией? Я правильно понимаю, что всё это время работает основной канал и default gw «смотрит» на него?

[kav]

Schwein (06 июля 2011 - 15:29) писал:

А что с маршуртизацией? Я правильно понимаю, что всё это время работает основной канал и default gw «смотрит» на него?

нет, на данный момент основной канал вообще не включен в устройство, только резервный

[Neinsager]

Хорошо. Основной — выключен, резерв — включен. А default gw куда «смотрит» в этой позе?

[kav]

Schwein (06 июля 2011 - 19:37) писал:

Хорошо. Основной — выключен, резерв — включен. А default gw куда «смотрит» в этой позе?

где его посмотреть?

[Neinsager]

kav
В терминале — ip route print

[ferrit]

помогите настроить роутер микротик RB750. два провайдера один киевстар L2tp(wan1) второй static IP(wan2).

[Oskar]

ferrit, Сначала нужно определиться, по какому принципу будет осуществляться разделение трафика между провайдерами - либо поровну (если скорость у обоих одинаковая), либо один основной, а другой резервный (резервный включается через некоторое время после падения основного), либо часть пользователей сидит на одном провайдере, а часть на другом, либо закачки на одном, серфинг на другом...

Основная проблема, возникающая при разделении трафика по двум и более каналам - ошибки при доступе к ресурсам, "чувствительных" к IP адресу пользователя (если, например, на "Депозит" или "Вебмани" запросы приходят с разных адресов).