Роутер Mikrotik RB750G

Neinsager · October 30, 2010

Надеюсь — кому-то будет полезным :)

Итак, базовая настройка раутера Mikrotik RB750G на примере провайдера Triolan.

1. Подключение.

В стандартной прошивке раутер настроен так — порт 1 предназначен для подключения провайдера, порты 2-5 собраны в свитч для локальной сети и имеют адрес 192.168.88.1/24. Берём патчкорд (прямой или перевёрнутый — без разницы, раутер сам определит тип), соединяем им сетевую карту компа (да, в дальшейшем подразумевается, что на компе — WinXP) и любой из портов 2-5. Сетевой карте назначаем адрес из сетки 192.168.88.0/24 — например, 192.168.88.10/24. Открываем браузер и идём на http://192.168.88.1 , в открывшейся странице ищем и скачиваем утилиту Winbox (в принципе — раутер частично можно настроить и через Webbox, , т.е. через тот же браузер. Но именно что частично — полная настройка возможна только через Winbox или командную строку, тут уж кому как нравится). Запускаем Winbox и подключаемся к раутеру (базово: логин — admin, пароль пустой), заметим, что подключение возможно как по ip, так и по mac-адресу (стандартные mac-адреса портов раутера указаны на упаковке), лично я предпочитаю подключаться по mac.

2. Что мы хотим настроить?

Получить мы хотим счастья и побольше, понятное дело. В данном случае — компы, расположенные в локальной сети за раутером, должны получить прозрачный доступ в интернет, кроме того — провайдер предоставляет сервис IPTV, так что и это нам тоже нужно. Далее — с одного из компов должны скачиваться и раздаваться торренты, к этому компу было бы неплохо настроить доступа по VNC с определённых адресов из интернета (понятно для чего — прицепиться к домашнему компу из офиса и поставить качать на вечер свеженький прон :) ). Ну и, конечно, настраиваем DHCP и DNS — мы же не хотим прописывать сетевые настройки на каждой из машин нашей сети.

Определяемся с портами на раутере:

порт 1 — подключение к провайдеру Triolan

порт 2 — подключение к резервному провайдеру (оставляю на будущее, сейчас временно использую только одно подключение)

порты 3-5 — локальная сеть

3. Настройка.

3.1. Настройка портов

Запускаем Winbox и подключаемся к раутеру в порт 3 по mac-адресу. Заходим в Interfaces, настраиваем и переименовываем порты:

порт 1 — ether1-gateway1 — master port: none

порт 2 — ether2-gateway2 — master port: none

порт 3 — ether3-local-master — master port: none

порт 4 — ether4-local-slave — master port: 3

порт 5 — ether5-local-slave — master port: 3

Что такое master и slave порты? В принципе — всё просто. Master — это независимый порт, с собственным ip-адресом и т.д. Порт slave же получает адрес и всё остальное от назначенного ему master-порта. В нашем случае порты 3-5 образуют своего рода свитч.

3.2. Настройка локальной сети

Заходим в IP —> Addresses, удаляем дефолтные настройки, назначаем для ether3-local-master адрес 192.168.0.1/24. Заходим в IP —> DHCP Server, удаляем дефолтные настройки. Далее настраиваем DHCP-сервер (мне удобнее это было сделать из командной строки):

ip pool add name="HomePool" ranges="192.168.0.2-192.168.0.254"
ip dhcp-server add name="HomeDHCP" interface="ether3-local-master" address-pool="HomePool" disabled="no"
ip dhcp-server network add address="192.168.0.0/24" gateway="192.168.0.1" dns-server="192.168.0.1" domain="home"

DHCP-сервер настроен, можно проверять на клиентских машинах. Подключившиеся машины можно увидеть в IP —> DHCP Server —> Leases, там же можно назначить выдачу одного и того же адреса для машины с торрент-клиентом (в моём случае — я «привязал» к её mac'у адрес 192.168.0.10)

3.3. Логины и пароли

Теперь самое время немного позаботиться о безопасности. Заходим в System —> Users, добавляем пользователя schwein, группа full, назначаем пароль. Для дефолтного пользователя admin указываем, что Allowed Address — 192.168.0.0/24. Можно, конечно, и вообще его отключить :)

3.4. Настройка подключения к интернету

Заходим в IP —> Addresses, для ether1-gateway1 прописываем наш адрес из сетки провайдера — 109.87.xxx.yyy/24. Указываем маршрут по умолчанию:

ip route add gateway="109.87.xxx.254"

Далее нам надо настроить NAT, дабы машины из локальной сети получали интернет:

ip firewall nat add out-interface="ether1-gateway1" chain="srcnat" action="masquerade"

Настраиваем DNS-сервер:

ip dns set servers="109.86.2.2,109.86.2.21,208.67.222.222"

ну или заходим в IP —> DNS —> Settings, прописываем адреса DNS-серверов, ставим галку на Allow Remote Request

После всего этого — проверяем на клиентских машинах доступ с интернету, всё должно работать :)

3.5. Настраиваем IPTV, фильтрацию пакетов и проброс портов

Для настройки проброса IPTV в локальную сетку нам нужно настроить на раутере igmp proxy. В дефолтной прошивке его нет, потому надо зайти на оффсайт и скачать архив со всеми пакетами для RB750G. Из полученного архива нас интересует пакет multicast.npk, который и заливаем в раутер (детальнее о процессе обновления — здесь). После перезагрузки снова подключаемся к раутеру и настраиваем igmp proxy:

routing igmp-proxy interface add comment="Upstream" disabled="no" interface="ether1-gateway1" threshold="1" upstream="yes" alternative-subnets="10.5.200.0/24"
routing igmp-proxy interface add comment="Downstream" disabled="no" interface="ether3-local-master" threshold="1"
routing igmp-proxy set quick-leave="yes" query-interval="00:01:00" query-response-interval="00:00:10"

Вы спросите — а откуда взялась сетка 10.5.200.0/24? Не буду утомлять долгими рассуждениями — когда я настроил прокси без указания этой alternative-subnets, то никакого IPTV на локальном компе не было. Тогда я позакрывал все ненужные приложения, генерящие трафик, на раутере запустил Tools —> Packet Sniffer, подёргал плеер, пытаясь переключаться между каналами, после чего поглядел — какие пакеты куда и как ходят. Так и обнаружился 10.5.200.1 — на всякий случай добавил всю /24 сеть.

Теперь укажем список «внешних» IP-адресов, с которых будет доступны проброс портов по vnc на машину в локалке, а также ssh-соединение с самим раутером:

ip firewall address-list add address="195.49.xxx.yyy" list="Office" comment="Allowed foreign IP"
ip firewall address-list add address="193.33.xxx.yyy" list="Office" comment="Allowed foreign IP"
ip firewall address-list add address="193.33.xxx.zzz" list="Office" comment="Allowed foreign IP"

Ну а теперь завершающий штрих — фильтры и проброс портов:

ip firewall filter add chain="input" action="accept" protocol="icmp" comment="Allow ICMP"
ip firewall filter add chain="input" action="accept" protocol="igmp" comment="Allow IGMP"
ip firewall filter add chain="input" action="accept" connection-state="established" in-interface="ether1-gateway1" comment="Allow established connections"
ip firewall filter add chain="input" action="accept" connection-state="related" in-interface="ether1-gateway1" comment="Allow related connections"
ip firewall filter add chain="input" action="accept" src-address-list="Office" protocol="tcp"dst-port="22" in-interface="ether1-gateway1" comment="Allow SSH"
ip firewall filter add chain="input" action="drop" in-interface="ether1-gateway1" comment="Drop all"
ip firewall filter add chain="forward" action="accept" connection-state="established" comment="Allow established connections"
ip firewall filter add chain="forward" action="accept" connection-state="related" comment="Allow related connections"
ip firewall filter add chain="forward" action="accept" src-address-list="Office" protocol="tcp" dst-port="5900" comment="Allow VNC"
ip firewall filter add chain="forward" action="accept" protocol="tcp" dst-port="25245" comment="Allow Torrent"
ip firewall filter add chain="forward" action="accept" protocol="udp" comment="Allow UDP"
ip firewall filter add chain="forward" action="accept" protocol="icmp" comment="Allow ICMP"
ip firewall filter add chain="forward" action="accept" protocol="igmp" comment="Allow IGMP"
ip firewall filter add chain="forward" action="accept" src-address="192.168.0.0/24" comment="Allow all for local net"
ip firewall filter add chain="forward" action="accept" dst-address="192.168.0.0/24" comment="Allow all for local net"
ip firewall filter add chain="forward" action="drop" comment="Drop all"
ip firewall nat add chain="dstnat" action="dst-nat" protocol="tcp" dst-address="109.87.xxx.yyy" dst-port="25245" to-addresses="192.168.0.10" to-ports="25245" comment="DST-NAT for Torrents" 
ip firewall nat add chain="dstnat" action="dst-nat" protocol="tcp" dst-address="109.87.xxx.yyy" dst-port="5900" to-addresses="192.168.0.10" to-ports="5900" comment="DST-NAT for VNC"

Вот, собственно и всё с базовой настройкой :)

Neinsager · October 31, 2010

Это, конечно, лишь база... По уму надо бы пропускать не все udp-пакеты, а только то, что относится к торрентам и IPTV. Надо бы сделать балансировку нагрузки на полосу, чтобы, к примеру, закачки торрентов не мешали комфортному web-серфингу и просмотру ТВ... Совершенно за кадром остался вопрос резервирования каналов... В общем — есть еще где поработать :pardon:

Aquarius · November 5, 2010

настраивать из под винды я так понял лучше всего winbox?

Neinsager · November 5, 2010

Aquarius

Да, winbox.

Там и командная строка, и типа GUI — удобно :)

Aquarius · November 5, 2010

у меня стоит 4.11. стоит ли ставить последнюю 4.13?

Neinsager · November 5, 2010

Я пока не обновлял — на момент настройки 4.11 была актуальной :pardon:

Aquarius · November 5, 2010

Schwein, а можешь выложить свой Package list? а то я поставил все пакеты, даже дополнительные при апдейте, поэтому хочу убрать лишнее.

Neinsager · November 5, 2010

[xxx@MikroTik] > system package  print
Flags: X - disabled 
#   NAME                        VERSION
0   routeros-mipsbe             4.11
1   system                      4.11
2 X ipv6                        4.11
3   routerboard                 4.11
4   mpls                        4.11
5   security                    4.11
6   advanced-tools              4.11
7   ppp                         4.11
8   routing                     4.11
9   dhcp                        4.11
10 X wireless                    4.11
11   hotspot                     4.11
12   multicast                   4.11
13   ntp                         4.11

Aquarius · November 5, 2010

ура! Настроил первого провайдера ;)

Через vpn и nat и торрент и со спид тестом 60-80% нагрузка cpu

Speedtest на Симферополь - 80/50 мегабит. Со старым d-linkом 20/20 было.

November 5, 2010

Поздравляю ;)

Oskar · January 6, 2011

3.1. Настройка портов
Запускаем Winbox и подключаемся к раутеру в порт 3 по mac-адресу. Заходим в Interfaces, настраиваем и переименовываем порты:
порт 1 — ether1-gateway1 — master port: none
порт 2 — ether2-gateway2 — master port: none
порт 3 — ether3-local-master — master port: none
порт 4 — ether4-local-slave — master port: 3
порт 5 — ether5-local-slave — master port: 3

Что такое master и slave порты? В принципе — всё просто. Master — это независимый порт, с собственным ip-адресом и т.д. Порт slave же получает адрес и всё остальное от назначенного ему master-порта. В нашем случае порты 3-5 образуют своего рода свитч.

Если я правильно понял, для объединения в свич двух "внешних" портов необходимо (и достаточно?) сделать так?:

порт 1 — ether1-gateway1 — master port: none

порт 2 — ether2-gateway1-slave — master port: 1

порт 3 — ether3-local-master — master port: none

порт 4 — ether4-local-slave — master port: 3

порт 5 — ether5-local-slave — master port: 3

Neinsager · January 6, 2011

Oskar

Именно так :)

kav · July 6, 2011

Доброе время суток,

На данный момент есть такая ситуация:

1) Два входящих интернета в режиме резервирования

2) Один локальный интерфейс с несколькими vlan'ами

3) Проброс портов на внутренние ресурсы

4) Проброс внешних ip на внутренние ресурсы

5) Задание гарантированного и максимальной скорости для адресов локальной сети

6) Перенапровление некоторых адресов локальной сети на второго провайдера

7) Никаких запретов на трафик

так как я не могу отключить основной канал для экспериментов я тренируюсь на запасном, но настраиваю с учетом того что оба включены.

я прописал все ip, сделал nat, и перенаправил тестовый ip для работы через второго провайдера.

в итоге я шлюз второго провайдера пингую, но инета нету. что может быть?

Neinsager · July 6, 2011

в итоге я шлюз второго провайдера пингую, но инета нету. что может быть?

А что с маршуртизацией? Я правильно понимаю, что всё это время работает основной канал и default gw «смотрит» на него?

kav · July 6, 2011

А что с маршуртизацией? Я правильно понимаю, что всё это время работает основной канал и default gw «смотрит» на него?

нет, на данный момент основной канал вообще не включен в устройство, только резервный

Neinsager · July 6, 2011

Хорошо. Основной — выключен, резерв — включен. А default gw куда «смотрит» в этой позе?

kav · July 7, 2011

Хорошо. Основной — выключен, резерв — включен. А default gw куда «смотрит» в этой позе?

где его посмотреть?

Neinsager · July 7, 2011

kav

В терминале — ip route print

ferrit · November 29, 2011

помогите настроить роутер микротик RB750. два провайдера один киевстар L2tp(wan1) второй static IP(wan2).

Oskar · November 29, 2011

ferrit, Сначала нужно определиться, по какому принципу будет осуществляться разделение трафика между провайдерами - либо поровну (если скорость у обоих одинаковая), либо один основной, а другой резервный (резервный включается через некоторое время после падения основного), либо часть пользователей сидит на одном провайдере, а часть на другом, либо закачки на одном, серфинг на другом...

Основная проблема, возникающая при разделении трафика по двум и более каналам - ошибки при доступе к ресурсам, "чувствительных" к IP адресу пользователя (если, например, на "Депозит" или "Вебмани" запросы приходят с разных адресов).

sterio · January 15, 2012

помогите настроить роутер микротик RB750. два провайдера один киевстар L2tp(wan1) второй static IP(wan2)

Киевстар подключение(DHCP) основной, а другой (static IP) резервный.

Пользователей подключить по PPPOE.

Edited January 15, 2012 by sterio

triolanouser · January 25, 2012

Доброго времени суток!

Товарищи, помогите с проблемой. настроил свой микторик по инструкции из первого поста, но IPTV на триолане так и не завелось.

может сейчас какие настройки поменялись? на форуме триолана помогать не спешат (

Neinsager · January 25, 2012

triolanouser

Будучи подключенным «напрямую» к компу — работатет?

triolanouser · January 25, 2012

через другой роутер с dd-wrt работает. так что дело явно в микротиковской настройке.

Neinsager · January 25, 2012

triolanouser

У меня всё работает — вот как настроил год с лишним назад, так и не менял ничего. Может в вашем регионе просто чуть иные настройки вот в этой части?

подключаемся к раутеру и настраиваем igmp proxy:

routing igmp-proxy interface add comment="Upstream" disabled="no" interface="ether1-gateway1" threshold="1" upstream="yes" alternative-subnets="10.5.200.0/24"
routing igmp-proxy interface add comment="Downstream" disabled="no" interface="ether3-local-master" threshold="1"
routing igmp-proxy set quick-leave="yes" query-interval="00:01:00" query-response-interval="00:00:10"

Вы спросите — а откуда взялась сетка 10.5.200.0/24? Не буду утомлять долгими рассуждениями — когда я настроил прокси без указания этой alternative-subnets, то никакого IPTV на локальном компе не было. Тогда я позакрывал все ненужные приложения, генерящие трафик, на раутере запустил Tools —> Packet Sniffer, подёргал плеер, пытаясь переключаться между каналами, после чего поглядел — какие пакеты куда и как ходят. Так и обнаружился 10.5.200.1 — на всякий случай добавил всю /24 сеть.

Sign In

Роутер Mikrotik RB750G

Recommended Posts

Neinsager

Neinsager

Aquarius

Neinsager

Aquarius

Neinsager

Aquarius

Neinsager

Aquarius

Guest Cooper

Oskar

Neinsager

kav

Neinsager

kav

Neinsager

kav

Neinsager

ferrit

Oskar

sterio

triolanouser

Neinsager

triolanouser

Neinsager

Join the conversation

Browse

Activity