Симферопольский Форум: Роутер Mikrotik RB750G - Симферопольский Форум

Перейти к содержимому

Внимание! Для всех новых пользователей введена премодерация сообщений и тем.
  • (5 Страниц)
  • +
  • 1
  • 2
  • 3
  • Последняя »
  • Вы не можете создать новую тему
  • Вы не можете ответить в тему

Роутер Mikrotik RB750G Базовая настройка

#1 Пользователь офлайн   Schwein 

  • –· ·– ···· ··– ·––– ··––··
  • Перейти к галерее
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Модераторы
  • Сообщений: 14 860
  • Регистрация: 15 Сентябрь 10
  • Сказали спасибо раз:

Отправлено 30 Октябрь 2010 - 18:37

Надеюсь — кому-то будет полезным :)
Итак, базовая настройка раутера Mikrotik RB750G на примере провайдера Triolan.

1. Подключение.
В стандартной прошивке раутер настроен так — порт 1 предназначен для подключения провайдера, порты 2-5 собраны в свитч для локальной сети и имеют адрес 192.168.88.1/24. Берём патчкорд (прямой или перевёрнутый — без разницы, раутер сам определит тип), соединяем им сетевую карту компа (да, в дальшейшем подразумевается, что на компе — WinXP) и любой из портов 2-5. Сетевой карте назначаем адрес из сетки 192.168.88.0/24 — например, 192.168.88.10/24. Открываем браузер и идём на http://192.168.88.1 , в открывшейся странице ищем и скачиваем утилиту Winbox (в принципе — раутер частично можно настроить и через Webbox, , т.е. через тот же браузер. Но именно что частично — полная настройка возможна только через Winbox или командную строку, тут уж кому как нравится). Запускаем Winbox и подключаемся к раутеру (базово: логин — admin, пароль пустой), заметим, что подключение возможно как по ip, так и по mac-адресу (стандартные mac-адреса портов раутера указаны на упаковке), лично я предпочитаю подключаться по mac.

2. Что мы хотим настроить?
Получить мы хотим счастья и побольше, понятное дело. В данном случае — компы, расположенные в локальной сети за раутером, должны получить прозрачный доступ в интернет, кроме того — провайдер предоставляет сервис IPTV, так что и это нам тоже нужно. Далее — с одного из компов должны скачиваться и раздаваться торренты, к этому компу было бы неплохо настроить доступа по VNC с определённых адресов из интернета (понятно для чего — прицепиться к домашнему компу из офиса и поставить качать на вечер свеженький прон :) ). Ну и, конечно, настраиваем DHCP и DNS — мы же не хотим прописывать сетевые настройки на каждой из машин нашей сети.
Определяемся с портами на раутере:
порт 1 — подключение к провайдеру Triolan
порт 2 — подключение к резервному провайдеру (оставляю на будущее, сейчас временно использую только одно подключение)
порты 3-5 — локальная сеть

3. Настройка.

3.1. Настройка портов
Запускаем Winbox и подключаемся к раутеру в порт 3 по mac-адресу. Заходим в Interfaces, настраиваем и переименовываем порты:
порт 1 — ether1-gateway1 — master port: none
порт 2 — ether2-gateway2 — master port: none
порт 3 — ether3-local-master — master port: none
порт 4 — ether4-local-slave — master port: 3
порт 5 — ether5-local-slave — master port: 3
Что такое master и slave порты? В принципе — всё просто. Master — это независимый порт, с собственным ip-адресом и т.д. Порт slave же получает адрес и всё остальное от назначенного ему master-порта. В нашем случае порты 3-5 образуют своего рода свитч.

3.2. Настройка локальной сети
Заходим в IP —> Addresses, удаляем дефолтные настройки, назначаем для ether3-local-master адрес 192.168.0.1/24. Заходим в IP —> DHCP Server, удаляем дефолтные настройки. Далее настраиваем DHCP-сервер (мне удобнее это было сделать из командной строки):
ip pool add name="HomePool" ranges="192.168.0.2-192.168.0.254"
ip dhcp-server add name="HomeDHCP" interface="ether3-local-master" address-pool="HomePool" disabled="no"
ip dhcp-server network add address="192.168.0.0/24" gateway="192.168.0.1" dns-server="192.168.0.1" domain="home"

DHCP-сервер настроен, можно проверять на клиентских машинах. Подключившиеся машины можно увидеть в IP —> DHCP Server —> Leases, там же можно назначить выдачу одного и того же адреса для машины с торрент-клиентом (в моём случае — я «привязал» к её mac'у адрес 192.168.0.10)

3.3. Логины и пароли
Теперь самое время немного позаботиться о безопасности. Заходим в System —> Users, добавляем пользователя schwein, группа full, назначаем пароль. Для дефолтного пользователя admin указываем, что Allowed Address — 192.168.0.0/24. Можно, конечно, и вообще его отключить :)

3.4. Настройка подключения к интернету
Заходим в IP —> Addresses, для ether1-gateway1 прописываем наш адрес из сетки провайдера — 109.87.xxx.yyy/24. Указываем маршрут по умолчанию:
ip route add gateway="109.87.xxx.254"

Далее нам надо настроить NAT, дабы машины из локальной сети получали интернет:
ip firewall nat add out-interface="ether1-gateway1" chain="srcnat" action="masquerade"

Настраиваем DNS-сервер:
ip dns set servers="109.86.2.2,109.86.2.21,208.67.222.222"

ну или заходим в IP —> DNS —> Settings, прописываем адреса DNS-серверов, ставим галку на Allow Remote Request
После всего этого — проверяем на клиентских машинах доступ с интернету, всё должно работать :)

3.5. Настраиваем IPTV, фильтрацию пакетов и проброс портов
Для настройки проброса IPTV в локальную сетку нам нужно настроить на раутере igmp proxy. В дефолтной прошивке его нет, потому надо зайти на оффсайт и скачать архив со всеми пакетами для RB750G. Из полученного архива нас интересует пакет multicast.npk, который и заливаем в раутер (детальнее о процессе обновления — здесь). После перезагрузки снова подключаемся к раутеру и настраиваем igmp proxy:
routing igmp-proxy interface add comment="Upstream" disabled="no" interface="ether1-gateway1" threshold="1" upstream="yes" alternative-subnets="10.5.200.0/24"
routing igmp-proxy interface add comment="Downstream" disabled="no" interface="ether3-local-master" threshold="1"
routing igmp-proxy set quick-leave="yes" query-interval="00:01:00" query-response-interval="00:00:10"

Вы спросите — а откуда взялась сетка 10.5.200.0/24? Не буду утомлять долгими рассуждениями — когда я настроил прокси без указания этой alternative-subnets, то никакого IPTV на локальном компе не было. Тогда я позакрывал все ненужные приложения, генерящие трафик, на раутере запустил Tools —> Packet Sniffer, подёргал плеер, пытаясь переключаться между каналами, после чего поглядел — какие пакеты куда и как ходят. Так и обнаружился 10.5.200.1 — на всякий случай добавил всю /24 сеть.
Теперь укажем список «внешних» IP-адресов, с которых будет доступны проброс портов по vnc на машину в локалке, а также ssh-соединение с самим раутером:
ip firewall address-list add address="195.49.xxx.yyy" list="Office" comment="Allowed foreign IP"
ip firewall address-list add address="193.33.xxx.yyy" list="Office" comment="Allowed foreign IP"
ip firewall address-list add address="193.33.xxx.zzz" list="Office" comment="Allowed foreign IP"

Ну а теперь завершающий штрих — фильтры и проброс портов:
ip firewall filter add chain="input" action="accept" protocol="icmp" comment="Allow ICMP"
ip firewall filter add chain="input" action="accept" protocol="igmp" comment="Allow IGMP"
ip firewall filter add chain="input" action="accept" connection-state="established" in-interface="ether1-gateway1" comment="Allow established connections"
ip firewall filter add chain="input" action="accept" connection-state="related" in-interface="ether1-gateway1" comment="Allow related connections"
ip firewall filter add chain="input" action="accept" src-address-list="Office" protocol="tcp"dst-port="22" in-interface="ether1-gateway1" comment="Allow SSH"
ip firewall filter add chain="input" action="drop" in-interface="ether1-gateway1" comment="Drop all"
ip firewall filter add chain="forward" action="accept" connection-state="established" comment="Allow established connections"
ip firewall filter add chain="forward" action="accept" connection-state="related" comment="Allow related connections"
ip firewall filter add chain="forward" action="accept" src-address-list="Office" protocol="tcp" dst-port="5900" comment="Allow VNC"
ip firewall filter add chain="forward" action="accept" protocol="tcp" dst-port="25245" comment="Allow Torrent"
ip firewall filter add chain="forward" action="accept" protocol="udp" comment="Allow UDP"
ip firewall filter add chain="forward" action="accept" protocol="icmp" comment="Allow ICMP"
ip firewall filter add chain="forward" action="accept" protocol="igmp" comment="Allow IGMP"
ip firewall filter add chain="forward" action="accept" src-address="192.168.0.0/24" comment="Allow all for local net"
ip firewall filter add chain="forward" action="accept" dst-address="192.168.0.0/24" comment="Allow all for local net"
ip firewall filter add chain="forward" action="drop" comment="Drop all"
ip firewall nat add chain="dstnat" action="dst-nat" protocol="tcp" dst-address="109.87.xxx.yyy" dst-port="25245" to-addresses="192.168.0.10" to-ports="25245" comment="DST-NAT for Torrents" 
ip firewall nat add chain="dstnat" action="dst-nat" protocol="tcp" dst-address="109.87.xxx.yyy" dst-port="5900" to-addresses="192.168.0.10" to-ports="5900" comment="DST-NAT for VNC"


Вот, собственно и всё с базовой настройкой :)


Поблагодарили: 1

#2 Пользователь офлайн   Schwein 

  • –· ·– ···· ··– ·––– ··––··
  • Перейти к галерее
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Модераторы
  • Сообщений: 14 860
  • Регистрация: 15 Сентябрь 10
  • Сказали спасибо раз:

Отправлено 31 Октябрь 2010 - 16:28

Это, конечно, лишь база... По уму надо бы пропускать не все udp-пакеты, а только то, что относится к торрентам и IPTV. Надо бы сделать балансировку нагрузки на полосу, чтобы, к примеру, закачки торрентов не мешали комфортному web-серфингу и просмотру ТВ... Совершенно за кадром остался вопрос резервирования каналов... В общем — есть еще где поработать :pardon:


#3 Пользователь офлайн   Aquarius 

  • Живу здесь
  • PipPipPipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Старая гвардия
  • Сообщений: 1 317
  • Регистрация: 15 Сентябрь 10
  • Сказали спасибо раз:
  • ГородСимферополь
  • Страна:  

Отправлено 05 Ноябрь 2010 - 11:31

настраивать из под винды я так понял лучше всего winbox?


#4 Пользователь офлайн   Schwein 

  • –· ·– ···· ··– ·––– ··––··
  • Перейти к галерее
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Модераторы
  • Сообщений: 14 860
  • Регистрация: 15 Сентябрь 10
  • Сказали спасибо раз:

Отправлено 05 Ноябрь 2010 - 11:53

Aquarius
Да, winbox.
Там и командная строка, и типа GUI — удобно :)


#5 Пользователь офлайн   Aquarius 

  • Живу здесь
  • PipPipPipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Старая гвардия
  • Сообщений: 1 317
  • Регистрация: 15 Сентябрь 10
  • Сказали спасибо раз:
  • ГородСимферополь
  • Страна:  

Отправлено 05 Ноябрь 2010 - 13:21

у меня стоит 4.11. стоит ли ставить последнюю 4.13?


#6 Пользователь офлайн   Schwein 

  • –· ·– ···· ··– ·––– ··––··
  • Перейти к галерее
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Модераторы
  • Сообщений: 14 860
  • Регистрация: 15 Сентябрь 10
  • Сказали спасибо раз:

Отправлено 05 Ноябрь 2010 - 13:40

Я пока не обновлял — на момент настройки 4.11 была актуальной :pardon:


#7 Пользователь офлайн   Aquarius 

  • Живу здесь
  • PipPipPipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Старая гвардия
  • Сообщений: 1 317
  • Регистрация: 15 Сентябрь 10
  • Сказали спасибо раз:
  • ГородСимферополь
  • Страна:  

Отправлено 05 Ноябрь 2010 - 13:54

Schwein, а можешь выложить свой Package list? а то я поставил все пакеты, даже дополнительные при апдейте, поэтому хочу убрать лишнее.


#8 Пользователь офлайн   Schwein 

  • –· ·– ···· ··– ·––– ··––··
  • Перейти к галерее
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Модераторы
  • Сообщений: 14 860
  • Регистрация: 15 Сентябрь 10
  • Сказали спасибо раз:

Отправлено 05 Ноябрь 2010 - 14:04

[xxx@MikroTik] > system package  print
Flags: X - disabled 
 #   NAME                        VERSION
 0   routeros-mipsbe             4.11
 1   system                      4.11
 2 X ipv6                        4.11
 3   routerboard                 4.11
 4   mpls                        4.11
 5   security                    4.11
 6   advanced-tools              4.11
 7   ppp                         4.11
 8   routing                     4.11
 9   dhcp                        4.11
10 X wireless                    4.11
11   hotspot                     4.11
12   multicast                   4.11
13   ntp                         4.11


#9 Пользователь офлайн   Aquarius 

  • Живу здесь
  • PipPipPipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Старая гвардия
  • Сообщений: 1 317
  • Регистрация: 15 Сентябрь 10
  • Сказали спасибо раз:
  • ГородСимферополь
  • Страна:  

Отправлено 05 Ноябрь 2010 - 16:59

ура! Настроил первого провайдера ;)
Через vpn и nat и торрент и со спид тестом 60-80% нагрузка cpu

Speedtest на Симферополь - 80/50 мегабит. Со старым d-linkом 20/20 было.


#10 Гость_Cooper_*

  • Группа: Гости

Отправлено 05 Ноябрь 2010 - 17:18

Поздравляю ;)


#11 Пользователь офлайн   Oskar 

  • Живу здесь
  • PipPipPipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Активный участник
  • Сообщений: 774
  • Регистрация: 06 Январь 11
  • Сказали спасибо раз:

Отправлено 06 Январь 2011 - 19:26

Просмотр сообщенияSchwein (30 Октябрь 2010 - 18:37) писал:

3.1. Настройка портов
Запускаем Winbox и подключаемся к раутеру в порт 3 по mac-адресу. Заходим в Interfaces, настраиваем и переименовываем порты:
порт 1 — ether1-gateway1 — master port: none
порт 2 — ether2-gateway2 — master port: none
порт 3 — ether3-local-master — master port: none
порт 4 — ether4-local-slave — master port: 3
порт 5 — ether5-local-slave — master port: 3

Что такое master и slave порты? В принципе — всё просто. Master — это независимый порт, с собственным ip-адресом и т.д. Порт slave же получает адрес и всё остальное от назначенного ему master-порта. В нашем случае порты 3-5 образуют своего рода свитч.


Если я правильно понял, для объединения в свич двух "внешних" портов необходимо (и достаточно?) сделать так?:

порт 1 — ether1-gateway1 — master port: none
порт 2 — ether2-gateway1-slave — master port: 1
порт 3 — ether3-local-master — master port: none
порт 4 — ether4-local-slave — master port: 3
порт 5 — ether5-local-slave — master port: 3


#12 Пользователь офлайн   Schwein 

  • –· ·– ···· ··– ·––– ··––··
  • Перейти к галерее
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Модераторы
  • Сообщений: 14 860
  • Регистрация: 15 Сентябрь 10
  • Сказали спасибо раз:

Отправлено 06 Январь 2011 - 20:54

Oskar
Именно так :)


#13 Пользователь офлайн   kav 

  • Новичок
  • Pip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Новичок
  • Сообщений: 5
  • Регистрация: 06 Июль 11
  • Сказали спасибо раз:
  • ГородКиев

Отправлено 06 Июль 2011 - 13:07

Доброе время суток,

На данный момент есть такая ситуация:
1) Два входящих интернета в режиме резервирования
2) Один локальный интерфейс с несколькими vlan'ами
3) Проброс портов на внутренние ресурсы
4) Проброс внешних ip на внутренние ресурсы
5) Задание гарантированного и максимальной скорости для адресов локальной сети
6) Перенапровление некоторых адресов локальной сети на второго провайдера
7) Никаких запретов на трафик

так как я не могу отключить основной канал для экспериментов я тренируюсь на запасном, но настраиваю с учетом того что оба включены.
я прописал все ip, сделал nat, и перенаправил тестовый ip для работы через второго провайдера.

в итоге я шлюз второго провайдера пингую, но инета нету. что может быть?


#14 Пользователь офлайн   Schwein 

  • –· ·– ···· ··– ·––– ··––··
  • Перейти к галерее
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Модераторы
  • Сообщений: 14 860
  • Регистрация: 15 Сентябрь 10
  • Сказали спасибо раз:

Отправлено 06 Июль 2011 - 15:29

Просмотр сообщенияkav сказал:

в итоге я шлюз второго провайдера пингую, но инета нету. что может быть?

А что с маршуртизацией? Я правильно понимаю, что всё это время работает основной канал и default gw «смотрит» на него?


#15 Пользователь офлайн   kav 

  • Новичок
  • Pip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Новичок
  • Сообщений: 5
  • Регистрация: 06 Июль 11
  • Сказали спасибо раз:
  • ГородКиев

Отправлено 06 Июль 2011 - 17:48

Просмотр сообщенияSchwein (06 Июль 2011 - 15:29) писал:

А что с маршуртизацией? Я правильно понимаю, что всё это время работает основной канал и default gw «смотрит» на него?

нет, на данный момент основной канал вообще не включен в устройство, только резервный


#16 Пользователь офлайн   Schwein 

  • –· ·– ···· ··– ·––– ··––··
  • Перейти к галерее
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Модераторы
  • Сообщений: 14 860
  • Регистрация: 15 Сентябрь 10
  • Сказали спасибо раз:

Отправлено 06 Июль 2011 - 19:37

Хорошо. Основной — выключен, резерв — включен. А default gw куда «смотрит» в этой позе?


#17 Пользователь офлайн   kav 

  • Новичок
  • Pip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Новичок
  • Сообщений: 5
  • Регистрация: 06 Июль 11
  • Сказали спасибо раз:
  • ГородКиев

Отправлено 07 Июль 2011 - 17:18

Просмотр сообщенияSchwein (06 Июль 2011 - 19:37) писал:

Хорошо. Основной — выключен, резерв — включен. А default gw куда «смотрит» в этой позе?

где его посмотреть?


#18 Пользователь офлайн   Schwein 

  • –· ·– ···· ··– ·––– ··––··
  • Перейти к галерее
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Модераторы
  • Сообщений: 14 860
  • Регистрация: 15 Сентябрь 10
  • Сказали спасибо раз:

Отправлено 07 Июль 2011 - 17:25

kav
В терминале — ip route print


#19 Пользователь офлайн   ferrit 

  • Новичок
  • Pip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Новичок
  • Сообщений: 1
  • Регистрация: 29 Ноябрь 11
  • Сказали спасибо раз:
  • ГородZaporizhzhya

Отправлено 29 Ноябрь 2011 - 11:56

помогите настроить роутер микротик RB750. два провайдера один киевстар L2tp(wan1) второй static IP(wan2).


#20 Пользователь офлайн   Oskar 

  • Живу здесь
  • PipPipPipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Активный участник
  • Сообщений: 774
  • Регистрация: 06 Январь 11
  • Сказали спасибо раз:

Отправлено 30 Ноябрь 2011 - 00:10

ferrit, Сначала нужно определиться, по какому принципу будет осуществляться разделение трафика между провайдерами - либо поровну (если скорость у обоих одинаковая), либо один основной, а другой резервный (резервный включается через некоторое время после падения основного), либо часть пользователей сидит на одном провайдере, а часть на другом, либо закачки на одном, серфинг на другом...

Основная проблема, возникающая при разделении трафика по двум и более каналам - ошибки при доступе к ресурсам, "чувствительных" к IP адресу пользователя (если, например, на "Депозит" или "Вебмани" запросы приходят с разных адресов).


Поделиться темой:


  • (5 Страниц)
  • +
  • 1
  • 2
  • 3
  • Последняя »
  • Вы не можете создать новую тему
  • Вы не можете ответить в тему

1 человек читают эту тему
0 пользователей, 1 гостей, 0 скрытых пользователей