Настройка двух провайдеров на mikrotik, балансировка и автопереключение

Нужно настроить две линии интернета в MIKROTIK? Балансировка, автоматическое переключение. **Помощь в настройке MIKROTIK →

Настройка DHCP сервера и шлюза по умолчанию для LAN

Теперь на нашем роутере нужно настроить DHCP сервер и дать ip адрес  интерфейсу, который будет шлюзом для внутренней сети. Для этого идем IP -> Addresses и добавляем его.

В поле адрес вводим ту подсеть, которая вам нужна и выбираем интерфейс bridge1, после этого наш MikroTik будет доступен по этому адресу чрез объединённые порты и через wifi (который мы еще настроим).

Дальше чтобы все устройства в сети могли получать адреса автоматически мы переходим в раздел IP-> DHCP и собственно настраиваем его через кнопку «DHCP Setup». Выбираем интерфейс, на котором он будет работать «это наш bridge1», жмем Next и оставляем пространства адресов по умолчанию. В моем случае это будет подсеть в которой находится сам роутер. То есть раздавать микротик будет адреса с 192.168.9.2-192.168.9.255.

После указываем адрес шлюза, который будут получат все подключенные устройства, так как это mikrotik оставляем значение по умолчанию.

В следующем окне перед нами встает выбор, раздавать ли весь диапазон адресов или его часть. По правильному лучше исключить первые 10 так как в будущем может появиться еще один роутер или коммутаторы которым желательно задать ip статикой. Но сейчас нам не принципиально, и мы оставляем как есть.

Наконец последним этапом указываем DNS. Если в вашей сети есть выделенный DNS сервер, то пишем его ip, если нет и вы настраиваете, например, для дома пишем ip самого роутера (в большинстве случаем так оно и будет).

Жмем далее, следующие значение не меняем. Все настройка DHCP сервера и шлюза по умолчанию на микротике закончена, переходим к следующему разделу.

Настройка WiFi

Я много раз настраивал Wi-Fi на Mikrotik, настройки по умолчанию — работают всегда, поэтому рекомендую их не трогать, если только Вы не уверены в том что делаете. Но иногда их можно оптимизировать под конкретную ситуацию, можно увеличить радиус покрытия, стабильность связи и в целом по сравнению с любым бытовым роутером, Микротик дает гораздо больше возможностей по настройке, что в условиях зашумленного городского эфира значительно повышает шансы добиться стабильной работы. Если все нормально работает с настройками по умолчанию — рекомендую их не трогать.

Активируем беспроводной интерфейс и приступаем к его настройке:

Настроим профиль безопасности, имя любое, некоторые старые устройства не умеют работать с шифрованием AES для них возможно придется включить устаревший вариант TKIP, который не рекомендуется из-за слабой безопасности, в поля Pre-Shared Key вводим пароль на нашу точку:

Настраиваем сам беспроводной интерфейс:

Вкладка Wireless:
Mode: ap bridge;
Band: 2gHz-B/G/N, если в сети нет старых устройств рекомендую выбирать Only-N, медленно но стабильно Only-G или 2gHz-B/G, в общем если не работает как надо экспериментируйте;
Channel Width: 20 MHz, если эфир свободен и Ваши устройства поддерживают можно поставить 40, скорость увеличится;фи
Frequency: auto, это тоже самое что и каналы в бытовых роутерах, рекомендую поставить авто, конкретный канал ставьте если знаете что делаете;
SSID: Название точки доступа;
Wireless Protocol: 802.11;
Securiity Profile: my_wifi, выбираем профиль созданный ранее;
Bridge Mode: enabled;
Default Authenticate: yes;
Default Forward: yes;
Hide SSID: no, позволяет скрывать Вашу точку из списка найденных устройств и в этом случае подключаться к ней придется вручную вводя имя, в общем жизнь эта настройка усложняет только владельцу, взломщики легко находят скрытые точки;

Далее вкладка Nstreme.
Отключаем все.

Консольный вариант:

Теперь у нас есть рабочее подключение к Интернет и настроенная локальная сеть c WiFi, осталось «соединить» их между собой с помощью правил пакетного фильтра.

Настройка NAT на Микротике

NAT это технология придуманная из-за нехватки ipv4, в дословном переводе означает «трансляция сетевых адресов». Простыми словами роутер будет подменять все запросы от локальной сети и отправлять их со своего ip. Дополнительный плюс — это закрывает внутреннюю сеть и защищает ее. Все ее настройки делаются в IP-> Firewall вкладка NAT. Добавляем правило:

  • Chain – srcnat
  • Interface – ether5
  • На вкладке Action выбираем – masquerade.

Жмем ОК и на компьютерах в сети должен появится интернет. То есть они получат все необходимые настройки от микротока по DHCP, отработает NAT, DNS и запрос уйдет на шлюз по умолчанию. Но как же Wi-Fi?, его по-прежнему нет, сейчас мы это исправим.

Настройка процедуры «Port forwarding» (проброс портов) в Mikrotik

Настройка вкладки «General»

  • требуется нажать «плюс» и в открывшемся окне заполнить пару значений: chain — вектор маршрута данных. Из списка выбрать — srcnat, что подразумевает принцип «изнутри-наружу», данные передаются из локальной сети во внешнюю и «dstnat» — из внешней сети во внутреннюю.
  • Src. Address/ Dst. Address — внешний адрес, с которого будет начинаться подключение, и адрес назначения (нужно установить адрес нашего маршрутизатора).
  • protocol — в этом пункте требуется указать разновидность протокола для данного соединения (tcp или udp). Пункт обязательный, без него ничего не выйдет
  • Src. Port (исходящий порт) — порт предназначен для удаленного устройства, с которого переносятся данные, (нужно оставить пустым).
  • Dst. Port (конечный порт) — нужно указать ссылку на внешний порт роутера, на который будет поступать информация от удаленного устройства и передаваться на наш ПК по LAN.
    Any. Port (произвольный порт) — если здесь указать номер порта, то роутер будет понимать, что этот порт —
  • выходящий и входящий одновременно (интеграция двух вышеописанных полей в одно).
  • In. interface (входной интерфейс) — здесь требуется указать интерфейс роутера MikroTik, на котором «прослушивается» этот порт. В нашем случае, так как мы проводим проброс для трансляции данных снаружи, это интерфейс, по которому маршрутизатор подключается к сети Интернет, по стандарту это «ether1-gateway». Значение нужно указать обязательно, иначе порт не будет виден по LAN. Если подключаться к провайдеру по протоколу «PPPOE», то скорее всего, нужно будет прописать его, а не WAN-интерфейс.
  • Out. interface (выходной интерфейс) — интерфейс для коннекта с ПК, на котором пробрасывают порты.

Настройка вкладки «Action»

В строке «Action» нужно прописать действие, которое выполнит роутер. Другими словами, это скрипты действий, или набор алгоритма действий, которая будет использовать роутер при получении данных. Таким образом можно полностью автоматизировать рабочие процессы, чтобы пользователь не принимал в них прямого участия.

Возможные варианты:

  • accept — стандартный приём данных;
  • add-dst-to-address-list — добавить конечный адрес в список роутера;
  • add-src-to-address-list — выходящий адрес будет добавлен в соответственный список адресов;
  • dst-nat — передаёт данные из внешней сети в LAN;
  • jump — наследования правил другого (смежного или соседнего канала), к примеру, при активном значении «srcnat» — применяется правило для «dstnat»;
  • log — записывать все действия в файл;
  • masquerade — замена внутреннего адреса ПК или другой машины из LAN на адрес маршрутизации;
  • netmap — создание переадресации одного массива адресов на другой,. Оказывает более глобальное действие, чем
  • dst-nat;
  • passthrough — этот пункт конфигурации правил нужно пропустить и пройти к следующему. Он нужен только для статистики;
  • redirect — информация передаётся на другой порт этого же маршрутизатора;
    return — если доступ в этот канал был получен по функции jump, то это правило вернёт данные обратно;
  • same — редко используемая настройка один и тех же правил для группы адресов; src-nat — переадресация пакетов из внутренней сети во внешнюю (обратное dst-nat перенаправление). Для наших конфигураций подойдут параметры «dst-nat» и «netmap». Нужно отметить последний.

В строке «To Adresses» нужно прописать внутренний IP-адрес компьютера или устройства, на который роутер перенаправит данные по протоколу проброса порта.

В поле «To Ports», соответственно, номер порта.

При загрузке пресета из интернета и последующем сбросе к заводским настройкам при помощи функции Return to Factory reset, можно получить полностью проброшенные порты, которые могут быть использованы удалённым устройством, поэтому стандартные настройки роутера, которые могут нарушаться в процессе проброса, будут соответствовать заводским. Рекомендуется создавать точки восстановления системы или резервную копию файла роутера, как в случае поломки это будет единственным способом вернуться на момент рабочего состояния, и полностью откатить нежелательные изменения.

Немного теории

VLAN – виртуальная локальная сеть, которая реализуется на роутерах и свитчах на втором уровне модели OSI путем расширения стандартного кадра Ethernet 4-ех байтовым полем. 3 бита выделены под Priority, 1 под CFI и 12 бит на VID.

VID – это VLAN ID, идентификатор который может принимать до 4096 значений. В отличие от устройств компании, чье название начинается с Cisco, на Mikrotik можно задавать любое значение от 0 до 4095. Т.е. эта та штука, которая делит одну плоскую широковещательную сеть на разные.

Если вы хотите углубить свои знания по работе с роутерами MikroTik, то наша команда рекомендует пройти курсы которые сделаны на основе MikroTik Certified Network Associate и расширены автором на основе опыта . Подробно читайте .

Порты – существует 2 вида в понятии Mikrotik. Tagged и Untagged. Или проще говоря Tagged – транковые или же uplink, смотрящие на роутеры и свитчи. Untagged – порты доступа (принтеры, компьютеры, серверы) т.е. оконечные устройства.

Ранее я говорил, что есть два вида реализации на трех типах устройств. Первая – программная реализация она везде одинакова и настраивается в bridge, вторая – аппаратная. В первом случае, обработка трафика идет через центральный процессор, во втором – обработкой трафика занимается свитч чип. Но в свитчах 3XX серии настройка именно через меню Bridge.

Из-за того, что чипов много и разных, существуют 3 подхода к реализации:

  • Роутеры и SOHO устройства – это устройства на чипах Atheros 8227, Atheros 8327 и не только, в которых аппаратная реализация находится в меню Switch. Подробнее можно ознакомиться
  • CRS1XX/2XX серии – устройства с 24-мя портами на борту, в которых аппаратная реализация находится в меню Ознакомиться с функциями чипа можно
  • CRS3XX серии – устройства с мощным чипом коммутации, в котором аппаратная реализация находится в bridge. Ознакомиться с функциями чипа можно

Вышесказанное может сбить с толку. В первом и втором типе, порты нужно добавлять в Bridge, а настраивать в меню Switch. Но если у вас один порт, который используется для tagged трафика, то добавлять не нужно, просто вешаете на него VLAN-ы. Здесь подразумевается, что это устройство скорее всего роутер. Но если вы добавили все порты в Bridge, и настраиваете в меню Bridge, то вы отключите HW Offload и задействуется ЦП. В третьем типе, все настраивается в Bridge и это будет аппаратная реализация.

Всегда следите за аппаратной разгрузкой, если вы включили функционал, который не поддерживается чипом, разгрузка выключится и трафик побежит через процессор.

В данной инструкции мы остановимся на свитчах третьей серии и будем настраивать Mikrotik VLAN через Bridge для нескольких сценариях:

  • Только VLAN100 и все порты подключены в него;
  • Только VLAN200 и все порты подключены в него;
  • На коммутаторе VLAN100 и VLAN200;
  • Управления VLAN99 и VLAN.

Причины

Почему MikroTik Cap AC(RBcAPGi-5acD2nD)

С обзором точки доступа можно ознакомится в статье “Обзор MikroTik cAP ac →“, но если сжато, то точка доступа становится решением потому что:

  • Это MikroTik, а значит поддержка WiFi роуминга с применение контроллера CAPsMAN;
  • Поддерживает стандарт AC на частоте 5Ггц: больше скорости, лучше сигнал, больше клиентов;
  • Имеет второй интерфейс Ethernet Poe, который можно использоваться по любому назначению: подключение ПК, IP видеокамеры, IP телефона и прочих устройств;
  • Лидер в выборе цена\производительность в сегменте точек доступа WiFi с использованием внешних контроллеров.

Мы поможем настроить: маршрутизатор(роутер), точку доступа или коммутатор.

Заказать

Настройка WiFi в MikroTik Cap AC

Тестовый стенд по настройке точки доступа WiFi MikroTik Cap AC будет включать подготовленный заранее контроллер CAPsMAN, с настройкой которого можно ознакомиться в инструкции “Настройка MikroTik CapsMan WiFi, бесшовный WiFi роуминг →“.

Настройка находится в System→Reset Configuration

/system reset-configuration no-defaults=yes skip-backup=yes

После перезагрузки точка доступа не будет иметь конфигурации по умолчанию, т.е. она будет абсолютно пустой.

Настройка находится в Bridge→Bridge(Ports)

/interface bridge admin-mac=74:4D:28:CF:43:26 auto-mac=no add name=bridge1

/interface bridge port add bridge=bridge-1 hw=yes interface=ether1
/interface bridge port add bridge=bridge-1 interface=wlan1
/interface bridge port add bridge=bridge-1 interface=wlan2

Настройка находится в IP→DHCP client

/ip dhcp-client
add add-default-route=no dhcp-options=hostname,clientid disabled=no interface=bridge1

После таких настроек точка доступа будет подключена к локальной сети: ей будет выдан IP адрес, она будет иметь выход в интернет(), а также обнаружит контроллер CAPsMAN по соответствующему запросу.

Настройка MikroTik Cap AC в качестве отдельной WiFi точки доступа

Это конфигурация актуальна, если у вас в сети отсутствуют контроллер MikroTik CAPsMAN, а в качестве роутера выступает обычный роутер типа Asus, Tp-Link, Netis. Рассматриваемая точка доступа MikroTik Cap AC имеет два модуля WiFi, работающих на частоте 2,4 и 5ГГц, поэтому со стороны WinBox нужно настроить каждый интерфейс.

Настройка находится в Wireless->Security Profiles

/interface wireless security-profiles
set  authentication-types=wpa2-psk eap-methods="" \
group-key-update=1h mode=dynamic-keys supplicant-identity=MikroTik \
wpa2-pre-shared-key=12345678

Роутер и WiFi точка доступа не будет блокировать настройку конфигурации WiFi если задать одно SSID имя. WiFi сигналы будут распространяться на абсолютно разные антеннах и в разных частотных диапазонах.

Настройки находятся Wireless->WiFi Interfaces

/interface wireless
set  band=2ghz-b/g/n channel-width=20/40mhz-Ce \
disabled=no distance=indoors frequency=auto mode=ap-bridge ssid=Mikrotik \
wireless-protocol=802.11

Настройки находятся Wireless->WiFi Interfaces

/interface wireless
set  band=5ghz-a/n/ac channel-width=\
    20/40/80mhz-Ceee disabled=no frequency=auto mode=ap-bridge \
    security-profile=profile1 ssid=TopNet

Подключение MikroTik Cap AC к CAPsMAN, “бесшовный роуминг”

Все настройки по конфигурированию WiFi производятся на контроллере CAPsMAN, с настройками которого можно ознакомиться в статье “Настройка MikroTik CapsMan WiFi, бесшовный WiFi роуминг →“. Со стороны MikroTik Cap AC нужно подключить её к CAPsMAN-у, указав следующие настройки:

Настройка находится в Wireless→WiFi Interfaces→CAP

/interface wireless cap
set bridge=bridge1 caps-man-addresses=192.168.192.192 enabled=yes interfaces=wlan1,wlan2

Interfaces – перечень интерфейсов, на которые будут распространяться настройки CAPsMAN;

Discovery Interfaces – интерфейс, через который отправится широковещательный запрос на поиск контроллера CAPsMAN;

CAPsMAN Address – явное указание IP адреса CAPsMAN;

Bridge – бридж, в который будут добавлены новые интерфейсы WiFi в соответствии с настройками в Provisioning Action.

Виды гемианопсии

Проброс всех портов и всех протоколов на локальный ip

Иногда нужно пробросить все порты и все протоколы на локальный ip, в этом случае нужно использовать netmap. По-простому, netmap это маршрутизация сеть в сеть. Работает так же как DMZ на домашних роутерах типа dlink или tplink.

Для настройки также заходим в NAT, Нажимаем добавить правило и заполняем поля как показано на рисунке

Выбираем только канал dstnat, после чего переходим на вкладку Action

Здесь Action ставим netmap и указываем адрес назначения

Все. Теперь все запросы на внешний ip  будут перенаправляться на указанный локальный ip.

Обучающий курс по настройке MikroTik

Нужно разобраться с MikroTik, но не определились с чего начать? В курсе «Настройка оборудования MikroTik» все по порядку. Подойдет и для начала работы с этим оборудованием, и для того, чтобы систематизировать знания. Это видеокурс из 162 уроков и 45 лабораторных работ, построен на официальной программе MTCNA. Проходить можно, когда удобно и пересматривать по необходимости – материалы курса выдаются бессрочно. Также есть 30 дней на личные консультации с автором. На пробу выдают 25 уроков бесплатно, заказать их можно на .

Настройка NAT для нескольких внешних ip

Если провайдер выделяет несколько внешних ip, или у нас подключены несколько операторов, и мы хотим сделать выход из разных подсетей или локальных ip в интернет под разными адресами, то есть несколько способов.

  1. Если внешние ip настроены на разных интерфейсах маршрутизатора. Здесь все просто, прописываем Src.Address нужный ip или сеть, а исходящим интерфейсом выбираем нужный интерфейс .

Указываем в source ip нужные подсети, или одиночные ip адреса. В указанном примере, все пакеты от компьютеров с ip 192.168.0.2-192.168.0.127 будут идти через интерфейс ether1-gareway, а пакеты с 192.168.0.128-192.168.0.255 будут идти с интерфейса ether2-gateway, соответственно в интернете они будут видны под ip address этих интерфейсов.

  1. Если от провайдера приходит один провод по которому нам дают несколько внешних ip, нам не хочется задействовать для каждого соединения свой порт, то все внешние ip можно настроить на одном порту

К примеру у нас на одном порту настроены ip address 1.1.1.1, 2.2.2.2 и целая сеть 3.3.3.3/24 как показано на рисунке

Нам нужно настроить выход для разных локальных компьютеров с внешних ip 1.1.1.1, 2.2.2.2 3.3.3.3 и 3.3.3.4.

Рассмотрим настройки на примере интерфейса с ip 3.3.3.4, все остальные будут идентичны

На вкладке General указываем только Src.Address, сеть или local с которого будут идти пакеты. Далее на вкладке Action делаем следующие настройки

В поле Action выбираем dst-nat или netmap. Отличие dst nat от netmap заключается в том, что netmap новый и улучшенный вариант dst nat. Поэтому я использую его.

В поле To Address прописываем адрес под котором нужно что бы наша сеть выходила в интернет.

Также в поле действия можно выбрать следующие операции.

Accept – принять будет принят и пройдет через маршрутизатор без изменений

add-dst-to-address-list — добавить address назначения в список адресов, заданный параметром address-list

add-src-to-address-list — добавить address источника в список адресов, указанный параметром address-list

dst-nat — заменяет address назначения и / или порт IP-пакета на значения, заданные параметрами-адресами и портами, этот параметр бвыше был рассмотрен

jump — переход к определяемой пользователем цепочке, заданной значением параметра target-jump

log — добавить сообщение в системный журнал, содержащий следующие данные: in-interface, out-interface, src-mac, protocol, src-ip: port-> dst-ip: порт и длина пакета. После согласования пакета он переходит к следующему правилу в списке, аналогично переходу

masquerade — Маскарад рассмотренный в начале статьи. Подмена внутреннего адреса машины из локальной сети на адрес роутера;

netmap — создает статическое отображение 1: 1 одного набора IP-адресов другому. Часто используется для распространения общедоступных IP-адресов на хосты в частных сетях

passthrough — если пакет соответствует правилу, увеличьте счетчик и перейдите к следующему правилу (полезно для статистики).

passthrough — заменяет порт назначения IP-пакета на один, заданный параметром-портом-портом и адресом назначения на один из локальных адресов маршрутизатора

return — передает управление обратно в цепочку, откуда произошел прыжок

same — дает конкретному клиенту один и тот же IP-адрес источника / получателя из заданного диапазона для каждого соединения. Это чаще всего используется для служб, ожидающих одного и того же адреса клиента для нескольких подключений от одного и того же клиента

src-nat — заменяет исходный адрес IP-пакета на значения, заданные параметрами to-addresses и to-ports

Обучающий курс по настройке MikroTik

Нужно разобраться с MikroTik, но не определились с чего начать? В курсе «Настройка оборудования MikroTik» все по порядку. Подойдет и для начала работы с этим оборудованием, и для того, чтобы систематизировать знания. Это видеокурс из 162 уроков и 45 лабораторных работ, построен на официальной программе MTCNA. Проходить можно, когда удобно и пересматривать по необходимости – материалы курса выдаются бессрочно. Также есть 30 дней на личные консультации с автором. На пробу выдают 25 уроков бесплатно, заказать их можно на странице курса.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Технический блог специалистов ООО»Интерфейс»

  • Главная
  • Проброс портов и Hairpin NAT в роутерах Mikrotik

Резервная копия конфигурации и устройства

Делаем правильный бэкап. Мы можем сделать 2 вида бэкапа. Первый – экспорт конфигурации, второй – полный слепок устройства. Разница между первым и втором – экспорт можно загрузить в любой девайс, второй – только на этот же самый роутер.

Сделаем выгрузку через консоль с помощью команды export file=BK-Export

В файлах появится выгрузка с типом script. Его можно открыть текстовым редактором.

Здесь же, по кнопке Backup можно создать полный слепок, обязательно задаем пароль.

Оба файла копируем на ПК или внешний диск и удаляем с устройства. Хранить бэкапы на устройстве – плохая идея! Да статья конечно получилась длинна но в ней мы затронули все аспекты по настройке mikrotik rb951g 2hnd, привели его характеристики, прошивку и все что нужно знать когда вы берете его в руки.

Удачных конфигураций.

Профилактика

Рейтинг
( Пока оценок нет )
Понравилась статья? Поделитесь с друзьями:
Технарь
Добавить комментарий

Нажимая на кнопку "Отправить комментарий", я даю согласие на обработку персональных данных и принимаю политику конфиденциальности.