Евгений Комов

Настройка роутера MikroTik для работы с двумя провайдерами

2022-02-24T06:27:06.295Z

В данном видеоуроке рассмотрена настройка роутера MikroTik в локальной сети с двумя Интернет-провайдерами. Рассказано как распределить трафик различных групп абонентов между провайдерами, а также простейшая схема переброса трафика в случае падения одного из провайдеров. В уроке рассмотрена только часть отвечающая за работу с двумя провайдерами, более подробную информацию о настройке роутера Mikrotik можно получить в статье

Настройка MikroTik в качестве роутера для домашней или небольшой офисной сети. Пошаговое руководство.

2020-07-02T09:10:44.649Z

Mikrotik - замечательное оборудование подходящее практически под любые задачи, в том числе оно идеально справится с ролью роутера в домашней или небольшой офисной сети. Однако, большинство пользователей, начитавшись хвалебных отзывов в интернете, испытывают глубокое разочарование при первых попытках настроить новый девайс. Действительно интерфейс настройки сильно отличается от привычных D-Link, TP-Link или Zyxel, однако это связано с тем, что функционал микротиков гораздо шире привычных бытовых роутеров. Попробуем разобраться.

Последовательность настройки

Убедиться что роутер не имеет default-конфигурации (сбросить роутер)
Настроить WAN-порт (IP-адрес/маска, DHCP-клиент, PPPoE, L2TP)
Настроить/проверить маршрут по умолчанию
Настроить DNS (После этого роутер должен получить доступ в интернет)
Настроить LAN-мост
Настроить LAN-порт (IP-адрес/маска)
Создать правило NAT (masquerade)
Настроить DHCP-сервер
Настроить WiFi
Настроить Firewall
Задать пароль на консоль
Обновить RouterOS до последней версии

Первое подключение к устройству MikroTik

Подключим устройство к сети согласно схеме:

Оборудование Mikrotik имеет множество способ конфигурации: WinBox (IP или MAC-адрес), WebFig (http и https), SSH, Telnet. Однако наиболее удобным, наглядным и функциональным является использование утилиты WinBox, которую можно скачать с официального сайта MikroTik. Утилита Winbox, с помощью которой проходит настройка устройств Mikrotik, представляет собой исполняемый файл EXE. Она не требует инсталляции и готова к работе сразу после скачивания. После открытия Winbox открывается ее стартовое окно. Там необходимо ввести IP-адрес маршрутизатора (по умолчанию - 192.168.88.1), логин (по умолчанию — admin) и нажать «Connect».

Если подключиться по IP-адресу не удается,он отсутствует или неизвестен, то Winbox предоставляет пользователю возможность подключаться к маршрутизатору и по МАС-адресу. Для этого необходимо перейти на вкладку «Neighbors». Программа проанализирует соединения и найдет МАС-адрес подключенного устройства MikroTik, который отобразится ниже после этого нужно сначала щелкнуть по нему мышкой, а затем, как и в предыдущем случае, нажать на «Connect».

Внешний вид основного окна WinBox представлен ниже:

Сброс роутера с установкой пустой конфигурации

Выполняется через меню System => Reset Configuration параметры которые необходимо выставить показаны на рисунке, после нажатия ОК.

Роутер перезагрузится, в роутере не будет вообще никаких настроек, включая IP-адресов, потому получить доступ будет возможно только по MAC-адресу, через вкладку «Neighbors». Дадим роутеру пару минут для перезагрузки и подключимся заново, можно приступать к настройке.

Настройка WAN (Internet) интерфейса

Тип подключения к интернету зависит от провайдера и в подавляющем большинстве случаев, может быть осуществлен при помощи получения настроек по DHCP либо через PPPoE (при этом провайдер выдает логин и пароль). Если провайдер не выдал вам логин и пароль для PPPoE подключения, то скорее всего у вас подключение по DHCP. При этом роутер сам получит все необходимые настройки после включения DHCP клиента на интерфейсе WAN (чаще всего это ether 1). Настройка осуществляется в меню IP → DHCP Client. Выставляем параметры как показано на рисунке.

В случае настройки соединения через PPPoE, создаем новый PPPoE клиент в меню PPP->(+) New PPPoE Client, здесь необходимо указать интерфейс к которому подключен кабель провайдера (ether1), логин и пароль (выдал интернет-провайдер), поле Service заполнять не нужно.

Если мы все сделали правильно, то наш роутер сможет получить доступ к узлам в интернете по IP-адресу, проверить это можно введя в терминале (пункт меню New terminal) команду ping 8.8.8.8, мы должны увидеть следующую картину:

Настройка DNS

По умолчанию DHCP-клиент запрашивает адреса DNS серверов у DHCP-сервера, однако мы не поставили данную галочку, потому что укажем публичные DNS сервера вручную, в качестве серверов, можно использовать сервера Google (8.8.8.8 8.8.4.4) или Cloudflare (1.1.1.1 1.0.0.1). Также необходимо поставить галочку Allow Remote Requests, чтобы наш роутер выступал DNS-сервером для компьютеров нашей сети. Все настройки выполняем в меню IP → DNS после чего нажимаем ОК.

Настройка LAN-моста

Для того, чтобы все оставшиеся интерфейсы (за исключением ether1) роутера были объединены в один коммутатор, необходимо создать мост и добавить в мост все порты (за исключением ether1), включая интерфейсы WLAN. Настройки производятся в меню Bridge. Имя моста может быть произвольным.

В мост должны быть добавлены порты ether2-ether5 и WLAN1, WLAN2 (при наличии).

Настройка LAN-интерфейса

Далее необходимо назначить IP-адрес на мосту LAN, это будет внутренний адрес нашего роутера, настройка осуществляется в меню IP => IP Addresses.

NAT (Маскарадинг/Masquerade)

Маскарадинг — тип трансляции сетевого адреса, при которой адрес отправителя проставляется динамически, в зависимости от назначенного внешнему интерфейсу адреса. Маскарадинг используется для получения доступа к публичным сетям (Интернету), компьютеров из частных (локальных сетей), имеющих частные адреса. Принцип маскарадинга представлен на рисунке ниже.

Настройки маскарадинга осуществляются в меню IP => Firewall, в качестве Out Interface укажите ether1 или название PPPoE интерфейса (если используется соединение PPPoE).

Настройка DHCP-сервера

DHCP-сервер автоматически назначает IP-адреса и другие параметры хостам
Необходимо иметь статический IP-адрес на интерфейсе DHCP-сервера
Используйте кнопку DHCP Setup в меню IP => DHCP Server чтобы начать настройку.

Выбираем созданный LAN-мост
Указывается LAN-подсеть (оставляем как есть)
Указывается внутренний адрес роутера (оставляем как есть)
Указывается диапазон раздаваемых адресов (оставляем как есть)
Указывается адрес DNS-сервера (указываем адрес роутера такой же, как из п. 3)
Время аренды адресов (можно выставить 7 дней, формат записи: 7d 00:00:00 )

Настройка WiFi

Настройка WiFi осуществляется в меню Wereless, в зависимости от модели роутера в меню Wereless -> Interfaces вы найдете один или два интерфейса (если роутер поддерживает два диапазона 2.4 и 5 ГГц).

Настроим безопасность сети в меню Wereless -> Security Profiles создадим новый профиль с произвольным именем (например class). Должно использоваться только шифрование WPA-PSK или WPA2-PSK с AES-CCM и длинный сложный пароль.

В меню Wereless -> Interfaces включим интерфейсы, нажав на кнопку с галочкой, предварительно выделив интерфейсы.

Затем щелкнем по интерфейсу двойным щелчком и настроим следующие параметры:

mode=ap bridge
диапазон
частоту (беспроводной канал)
имя сети (SSID)
профиль безопасности (который мы создали в предыдущем пункте)

В случае необходимости повторите настройки для диапазона 5 ГГц.

После этого у нас должна появиться wifi сеть с доступом в интернет.

Настройка межсетевого экрана

Межсетевой экран - система сетевой безопасности, которая защищает внутреннюю сеть от вторжений извне (например, из сети Интернет). Функционирует на основе правил, которые анализируются последовательно до первого совпадения. Правила межсетевого экрана RouterOS управляются в разделах Filter и NAT.

Межсетевой экран MikroTik имеет предопределенные цепочки:

input (трафик к роутеру)
output (трафик от роутера)
forward (трафик через роутер)

У каждого правила есть действие - что делать, если пакет соответствует правилу:

accept -разрешить
drop - отбросить (без icmp ответа)
reject - отбросить (с icmp ответов)

Самыми частыми угрозами для маршрутизатора являются попытки получения доступа с помощью SSH и WinBox и рекурсивные запросы на DNS. Для настройки межсетевого экрана, подходящего для большинства случаев откройте терминал и введите последовательно следующие команды:

/ip firewall filter
add action=accept chain=input comment="Accept Est & Related" connection-state=established,related
add action=accept chain=forward connection-state=established,related
add action=drop chain=input comment="Drop invalid" connection-state=invalid
add action=drop chain=forward connection-state=invalid
add action=accept chain=input comment="Accept ICMP" protocol=icmp
add action=drop chain=input comment="Drop other WAN" in-interface=ether1
add action=drop chain=forward connection-nat-state=!dstnat in-interface=ether1

Внимание! в двух последних командах в качестве параметра in-interface= укажите название вашего WAN интерфейса (ether1 или имя PPPoE интерфейса).

Обновление RouterOS

Необходимо периодически обновлять операционную систему роутера, самый простой путь сделать это: меню System → Packages → Check For Updates, выберите channel Long-Term или Stable и нажмите кнопку Download & Install роутер скачает новую прошивку, установит ее, после чего перезагрузится.

Помимо RouterOS необходимо также обновить RouterBOOT - ПО ответственное за старт RouterBoard и загрузку ROuterOS, действие производится в меню System → Routerboard, после чего необходимо будет перезагрузить роутер вручную через меню System -> Reboot

Пароль пользователя admin

Задайте пароль пользователя admin, для защиты роутера от несанкционированного доступа, делается это в меню System -> Users, щелкните правой кнопкой мыши по пользователю admin и выберите пункт Рassword

На этом базовую настройку роутера MikroTik можно считать оконченной.

Устанавливаем Mikrotik Cloud Hosted Router на VDS сервере

2020-07-02T06:25:11.205Z

Cloud Hosted Router (CHR) - это особая версия Mikrotik RouterOS, разработанная специально для установки на виртуальные машины. CHR предназначена для 64-битных платформ и может быть использована с большинством популярных гипервизоров таких как VMWare, Hyper-V, VirtualBox, KVM и других.

Особенностью CHR является наличие минимальных системных требований:

64bit CPU с поддержкой виртуализации
128 MB RAM
128 MB дискового пространства

Это позволит вам развернуть полноценный мощный маршрутизатор или VPN-сервер на самом дешевом тарифе. Сфера применения MikroTik CHR на VDS сервере может быть довольно широкой, например в качестве VPN сервера, RouterOS поддерживает все самые распространенные типы VPN: PPTP, L2TP, IPSec, SSTP, OpenVPN и другие. В отличие от Linux, RouterOS обладает лучшей наглядностью и более простой настройкой.

Большинство хостинг-провайдеров предоставляют на выбор установку той или иной операционной системы из перечня, либо позволяют использовать свой ISO-образ, но основная проблема в том, что CHR распространяется в виде готовых образов жестких дисков, которые необходимо подключить к виртуальной машине.

Рассмотрим установку CHR на примере хостинга PL Hosting. Закажите сервер, с любой операционной системой семейства Linux (например c Debian), можно выбрать самый дешевый тариф. После заказа придет письмо с данными к серверу: IP-адресом, именем пользователя и паролем. Войдем в консоль сервера по SSH, на первом этапе нам необходимо посмотреть настройки сети сервера, чтобы перенести их на CHR, для Debian это команда:

# cat /etc/network/interfaces

Необходимые нам параметры: наш IP-адрес, маска подсети, IP-адрес шлюза:

Установка CHR

На первом этапе нам необходимо получить актуальную ссылку для скачивания свежей версии CHR на сайте https://mikrotik.com/download. Идем в раздел Cloud Hosted Router и копируем ссылку для скачивания Raw образа, ветки Long-term или Stable.

Далее выполняем команды:

# wget https://download.mikrotik.com/routeros/6.47/chr-6.47.img.zip
# echo u > /proc/sysrq-trigger && gunzip -c chr-6.47.img.zip | dd of=/dev/vda
# reboot

Первая команда скачивает образ CHR
Вторая записывает образ на диск (Обратите внимание — мы записываем поверх существующей операционной системы)
Третья перезагружает систему

Обратите внимание, что версия образа может отличаться, можно использовать указанные в статье команды, после чего обновить систему до актуального состояния.

На этом этапе установка Cloud Hosted Router завершена.

Базовая настройка MikroTik Cloud Hosted Router

Система с MikroTik CHR уже загружена, однако мы не имеем к ней доступа, так как отсутствуют настройки сети. Нам необходимо войти в панель VMmanager данные для доступа к которой были также указаны в письме при заказе сервера.

Переходим в раздел Виртуальные машины, выбираем наш сервер, нажимаем на значок VNC и попадаем в консоль

В качестве имени пользователя используем admin пароль не вводим, просто нажимаем Enter.

Для настройки пароля администратора и сети вводим команды:

> /system user set admin password=SuP3rPazw0rD
> /ip address add address=91.91.91.91/24 interface=ether1
> /ip route add distance=1 gateway=91.91.91.1

Где: SuP3rPazw0rD - пароль пользователя admin, 91.91.91.91/24 - IP-адрес и маска сервера, 91.91.91.1 - IP-адрес шлюза по умолчанию. Эти данные мы взяли из вывода команды cat /etc/network/interfaces (см. выше).

После этого у нашего CHR появится доступ к сети и мы сможем подключиться к нему удаленно, используя WinBox и продолжить настройку.

Приятного использования этого замечательного решения от Mikrotik!