Содержание:
- Сброс настроек, подключение через Winbox
- Настройка маршрутизатора в режиме моста (Bridge)
- Создание IP-сети, настройка DHCP-клиента, -сервера, NAT
- Настройка беспроводной сети для MikroTik
- Настройка доступа
- Настройка времени и NTP-клиента для MikroTik
- Настройка IGMP Proxy маршрутизатора
- Настройка VPN-соединения для MikroTik
1. Сброс настроек и подключение через Winbox
Для начала необходимо зайти в настройки маршуритзатора. Для этого в строке браузера вводим адрес 192.168.88.1, откроется следующая страница:
Далее необходимо скачать с вэб-интерфейса приложение WinBox для подключения к маршрутизатору MikroTik (используется другой порт для подключения) и продолжить настройку. Запускаем приложение WinBox, появится следующее окно:
Вводим адрес 192.168.88.1, имя пользователя – «admin», пароль не вводим. Нажимаем кнопку «Connect», после чего откроется интерфейс программы с предложением сбросить настройки:
В появившемся окне с информацией о стандартной конфигурации необходимо нажать на кнопку «Remove Configuration», чтобы полностью сбросить настройки. После нажатия маршрутизатор перезагрузится, доступ через WinBox пропадет. Подключаем кабель от компьютера в первый порт маршуризатора, запускаем WinBox снова и справа от поля «Connect To» нажимаем на кнопку «…». Появится строка с доступным устройством для подключения, изображение 4. Необходимо нажать на MAC-адрес устройства, после чего в поле «Connect To» появится MAC-адрес маршрутизатора. Логин также оставляем «admin», поле с паролем не заполняем. Нажимаем на «Connect».
После этого снова откроется интерфейс программы WinBox:
2. Настройка маршрутизатора в режиме моста (Bridge)
Для начала необходимо объединить порты маршрутизатора. Данный маршрутизатор имеет два физически независимых коммутатора с пятью портами каждый. Первые пять портов имеют скорость подключения до 1 Гбит/сек, вторые – до 100 Мбит/сек. Для начала настроим первые пять портов, для которых будет своя локальная сеть 192.168.88.0/24, также сделаем 1 WAN-порт для подключения Интернет-кабеля. Для этого переходим в раздел «Interfaces», где появятся доступные порты для конфигурирования:
Логика в настройки портов коммутатора следующая – один порт является мастером (Master-port), остальные порты являются подчиненными (Slave port). Для нашей ситуации это будет выглядеть следующим образом. 1-й порт будет Master-port, порты 2-4 будут Slave-port, порт 5 будет WAN-порт. Для настройки конфигурации порта во вкладке «Interface» дважды нажимаем на необходимый порт:
На изображении 7 представлена настройка 1-го порта, который является Master-port. Во вкладке «General» в поле «Name» указываем название порта. Для явного отображения информации назовем его «LAN1-Master». Остальные параметры оставляем без изменений, главное, чтобы в поле «Master Port» было выбрано «none». Для применения параметров нажимаем на «OK».
Для портов 2-4 проводим аналогичную настройку – в поле «Name» вводим соответственно «LAN(2-4)-Slave» и для каждого порта в поле «Master Port» выбираем «LAN1-Master». Для применения также нажимаем «OK».
Для порта 5 в поле «Name» вводим имя, к примеру, «WAN1» или «ETH WAN1», в поле «Master Port» оставляем «none».
То есть получается так, что порты 2-4 стали подчиненными порту 1.
Далее необходимо объединить порты и беспроводную сеть в один мост (Bridge), чтобы можно было раздавать адреса. Переходим в раздел «Bridge» и во вкладе «Bridge» нажимаем на кнопку «+»:
После этого откроется окно с созданием нового моста. Во вкладке «General» в поле «Name» вводим, к примеру, «Bridge-Local» и нажимаем на «OK»:
Далее переходим во вкладку «Ports» и нажимаем на «+»:
Откроется окно, где во вкладке «General» в поле «Interface» нужно выбрать необходимый порт и в поле «Bridge» необходимо выбрать мост, к которому этот порт будет принадлежать. Для нашей ситуации в поле «Interface» выбираем «LAN1-Master», в поле «Bridge» выбираем «Bridge-Local» и нажимаем на «OK»:
Дополнительно нам необходимо добавить беспроводную сеть «wlan1» в этот же мост. Порт 2-4 добавлять не нужно, так как они связаны с портом LAN1 Master, то есть по умолчанию принадлежат этому мосту. Во вкладке «Ports» снова нажимаем на «+». Теперь в поле «Interface» выбираем «wlan1», а в поле «Bridge» всё также выбираем «Bridge-Local», после нажимаем на «OK»:
3. Создание IP-сети, настройка DHCP-клиента, -сервера, NAT.
Конфигурирование моста закончено, теперь необходимо настроить IP-сеть.Для этого переходим в раздел «IP» - «Addresses»:
Откроется окно, где необходимо нажать на «+»:
В открывшемся окне, изображение 15, в поле «Address» пишем 192.168.88.1/24 и в поле «Bridge» выбираем наш выше сконфигурированный мост – «Bridge-Local». После этого нажимаем на «OK». То есть в данном мосту будут использоваться адреса 192.168.88.1 – 192.168.88.254.
Далее проведем настройки DHCP-сервера, чтобы маршрутизатор мог автоматически раздавать адреса в наш мост. Для этого переходим в раздел «IP» – «DHCP Server»:
Откроется окно, где во вкладке «DHCP» необходимо нажать на кнопку «DHCP Setup»:
В открывшемся окне, изображение 18, выбираем интерфейс для DHCP сервера «DHCP Server Interface». Данным интерфейсом будет являться наш сконфигурированный мост – «Bridge-Local». Нажимаем на кнопку «Next».
Далее вводим адресное пространство «DHCP Address Space» для DHCP сервера – 192.168.88.0/24:
Далее вводим шлюз для нашей сети «Gateway for DHCP Network» – 192.168.88.1:
Далее выбираем диапазон адресов, которые будет раздавать DHCP-сервер «Addresses to Give Out» – 192.168.88.2-192.168.88.254:
В следующем окне с настройкой DNS-серверов «DNS Servers», изображение 22, поле оставляем пустым, так как в дальнейшем мы настроем DNS Relay, чтобы получать адреса DNS-серверов в автоматическом режиме.
Далее необходимо настроить время аренды адреса «Lease Time», изображение 23. Можно выбрать, к примеру, 1 час – «01:00:00».
После этого мы сможем подключаться на маршрутизатор уже не по MAC адресу, а по IP-адресу 192.168.88.1.
Теперь нам необходимо настроить NAT (Network Address Translation) для транслирования одного адреса, который мы будем получать от сети POWERNET, на адреса в нашей локальной сети 192.168.88.0/24. То есть будет использоваться перегруженный NAT. Для этого переходим в раздел «IP» – «Firewall»:
В открывшемся окне, изображение 25, переходим во вкладку «NAT» и нажимаем на «+».
Откроется окно, изображение 26, где во вкладке «General» в поле «Chain» выбираем «srcnat», в поле «Out. Interface» выбираем наш WAN-порт.
Далее переходим во вкладку «Action», изображение 27, и в поле «Action» выбираем «masquerade» – это и есть перегруженный NAT.
Необходимо настроить DHCP-клиент, чтобы наш маршрутизатор автоматически получал IP-адрес и необходимые настройки. Переходим в раздел «IP» – «DHCP Client»:
В окне, изображение 29, во вкладке «DHCP Client» нажимаем «+».
Откроется окно, изображение 30, где во вкладке «DHCP» необходимо выбрать интерфейс для DHCP-клиента, то есть в поле «Interface» выбираем наш WAN-порт. Остальные параметры оставляем, как на изображении.
Подключаем кабель в WAN-порт (5-й порт) и проверяем, что наш интерфейс получил IP-адрес:
Теперь настроим DNS Relay, чтобы устройства автоматически получали адреса DNS-серверов. Для этого переходим в раздел «IP» – «DNS»:
Здесь, изображение 33, необходимо установить галочку «Allow Remote Requests» для включения DNS Relay. Также можно посмотреть текущие адреса DNS-серверов.
4. Настройка беспроводной сети для MikroTik
Перейдем к настройкам беспроводной сети. Открываем раздел «Wireless» и во вкладке «Interfaces» выбираем нашу беспроводную сеть «wlan1», изображение 34, после чего дважды нажимаем на неё для конфигурирования. После всех этих настроек должен заработать Интернет по кабелю через данный маршрутизатор.
Здесь мы можем задать имя для интерфейса беспроводной сети, изображение 35, но это имя не является именем беспроводной сети (SSID). Для перехода к расширенным настройкам нажимаем на кнопку «Advanced Mode».
В открывшемся окне, изображение 36, во вкладке «Wireless» необходимо произвести конфигурацию:
«Mode» – «ap bridge».
«Band» – «2GHz-B/G/N».
«Channel Width» – «20/40MHz HT Above».
«Frequency» – функция выбора канала, но здесь канал выбирается в виде частоты.
«SSID» – вводим название беспроводной сети.
«Wireless Protocol» – «802.11».
«Frequency Mode» – «regulatory-domain».
«Country» – «russia».
«WMM Support» – «enabled».
Далее переходим во вкладку «Advanced», изображение 37, и настраиваем следующим образом:
«Distance» – «indoors».
«Periodic Calibration» – «enabled».
«Hw. Protection Mode» – «rts cts».
«Adaptive Noise Immunity» – «ap and client mode».
Во вкладке «HT» в поле «HT Guard Interval» выставляем «long», изображение 38, и нажимаем «OK», чтобы применить параметры завершить расширенную настройку.
Теперь проведем настройку защиты беспроводной сети. Переходим во вкладку «Security Profiles» и дважды нажимаем на существующий профиль:
Откроется окно, изображение 40, где во вкладке «General» в поле «Mode» выставляем «dynamic keys», в «Authentication Types» выбираем нужным тип аутентификации, в нашем случае «WPA2 PSK», и в поле «WPA2 Pre-Shared Key» вводим пароль для подключения к беспроводной сети. Нажимаем «OK» для применения настроек.
Теперь нам необходимо убедиться, что беспроводная сеть активна. Переходим во вкладку «Interfaces», и если сеть тусклая, значит она выключена, и необходимо её включить. Для этого нажимаем на кнопку с синей галочкой:
5. Настройка доступа
Теперь проведем настройку доступа к маршрутизатору. По умолчанию на маршрутизатор можно попасть из любой сети и любым способом (SSH, Telnet, WinBox). Сделаем так, чтобы доступ осуществлялся только из сети 192.168.88.0/24. Для этого переходим в раздел «IP» – «Services»:
Откроется окно, изображение 43, с настройками доступа. Доступ определенным способом можно отключить или включить, если выделить необходимый нам способ и нажать на синюю галочку или красный крестик соответственно.
Для изменения настроек какого-либо способа дважды нажимаем него. Откроется следующее окно, изображение 44, где для нашей ситуации в поле «Available Form» прописываем 192.168.88.0/24.
Данную настройку проводим для каждого способа, и в конечном итоге должно получиться следующее:
Теперь перейдем к настройкам пользователей маршрутизатора. Открываем раздел «System» – «Users»:
Откроется окно с имеющимися пользователями. Для создания нового пользователя во вкладке «Users» нажимаем на «+»:
В открывшемся окне, изображение 48, в поле «Name» вводим имя пользователя. В поле «Group» устанавливаем «full» для получения полного доступа. В полях «Password» и «Confirm Password» вводим пароль и подтверждение пароля. Нажимаем «OK» для применения настроек.
Использование какого-либо пользователя можно отключить или включить, путем нажатия на красный крестик и синюю галочку соответственно. Сделаем это на примере пользователя «admin»:
После этого пробуем подключаться к маршрутизатору с помощью созданного пользователя (в нашем случае user1).
6. Настройка времени и NTP-клиента для MikroTik
Проведем настройку времени и SNTP-клиента. Переходим в раздел «System» – «Clock» для настройки времени:
В открывшем окне, изображение 51, производим настройку времени, даты, а также выбираем временную зону «Time Zone Name». Для нашего случая временную зону выбираем «Europe/Volgograd». Нажимаем «OK» для применения настроек.
Произведем настройку SNTP-клиента. Переходим в раздел «System» – «SNTP Client»:
Здесь, изображение 53, выставляем галочку рядом с «Enabled» для включения SNTP-клиента и в полях «Primary NTP Server» и «Secondary NTP Server» вписываем «ntp.powernet». Нажимаем «OK» для применения параметров.
Проверяем, что подключение произошло успешно:
7. Настройка IGMP Proxy маршрутизатора
Перейдем к настройкам IGMP Proxy для данного маршрутизатора. По умолчанию на новых маршрутизаторах нет функции IGMP Proxy, то есть необходимо скачать пакет с данной функцией. Для этого заходим на официальный сайт в раздел загрузок – http://www.mikrotik.com/download . Выбираем в списке необходимую модель маршрутизатора и версию программного обеспечения. Скачиваем «Main Package»:
Распаковываем скачанный архив, открываем его и находим интересующий нас фай – «multicast-6.29.1-mipsbe.npk». На маршрутизаторе открываем раздел «Files» и перетаскиваем наш файл в открывшееся окно на маршрутизаторе:
После этого производим перезагрузку маршрутизатора для установки пакета. Для этого нажимаем на «System» – «Reboot»:
После перезагрузки маршрутизатора подключаемся к нему заново с помощью WinBox и проверяем, что наш пакет успешно установился. Для этого переходим в раздел «System» – «Packages»:
Здесь видим, что наш пакет успешно установился:
Далее необходимо провести настройку IGMP Proxy. Для этого переходим в раздел «Routing» – «IGMP Proxy»:
В открывшемся окне нажимаем на кнопку «Settings», ставим галочку рядом с «Quick Leave». Нажимаем на «OK» для сохранения настроек:
Далее необходимо во вкладке «Interface» нажать на «+». «Interface» выбираем наш WAN-порт – «ETH5-WAN1», «Alternative Subnets» – 0.0.0.0/0 и ставим галочку рядом с «Upstream»:
Нажимаем ещё раз на «+», «Interface» выбираем наш мост – «Bridge-Local»:
Далее перейдем к настройкам Firewall для разрешения IGMP-запросов. Переходим в раздел «IP» – «Firewall»:
Во вкладке «Filter Rules» нажимаем на «+». В открывшемся окне выбираем «Chain» – «input», «Protocol» – «igmp». Во вкладке «Action» в поле «Action» выставляем «accept», изображение 65 и 66.
Для более качественной работы IPTV по беспроводной сети необходимо сделать следующее. Переходим в раздел «Wireless» и открываем наш интерфейс. Переходимо во вкладку «Wireless» и нажимаем на «Advance Mode». Далее в самом низу поле «Multicast Helper» выставляем в «full», изображение 67 и 68.
8. Настройка VPN-соединения для MikroTik
Перейдем к настройкам VPN-соединения. Здесь есть небольшая проблема в том, что маршрутизатор поддерживает только PPTP, а в сети POWERNET используется подключение типа PPTP Dual Access. Для этого необходимо будет произвести дополнительные настройки.
Для начала переходим в раздел «IP» – «DHCP Client», открываем наш WAN-интерфейс и в поле «Default Route Distance» выставляем значение, к примеру, «20». Это делается для того, чтобы наш маршрут при подключении по DHCP был запасной. То есть если VPN перестает работать, всё начинает работать по настройкам DHCP, если VPN поднимается, всё начинает работать через VPN:
Далее переходим в раздел «PPP» и нажимаем на «+», выбираем «PPTP Client»:
Во вкладке «General» вводим имя нашего подключения, к примеру, «VPNPOWERNET_PPTP». Во вкладке «Dial Out» вводим данные для подключения. «Connect To» – «static.powernet.com.ru», «User» и «Password» – user-номер и пароль. Ставим галочки напротив «Dial On Demand» и «Add Default Route», «Default Route Distance» выбираем «1», изображение 71 и 72.
Далее переходим к настройкам NAT для нашего VPN-соединения. Переходимо в раздел «IP» – «Firewall», во вкладке «NAT» нажимаем на «+». Во вкладке «General» в поле «Chain» выбираем «srcnat», «Out Interface» выбираем наше VPN-соединение, в данном случае «VPNPOWERNET_PPTP»:
Во вкладке «Action» в поле «Action» выбираем «masquerade»:
После этого маршрутизатор выделит нашу настройку красным – это связано из-за того, что VPN-соединение ещё не до конца настроено:
Далее необходимо создать маркировку трафика. В этом же разделе «Firewall» переходим во вкладку «Mangle» и нажимаем на «+». Во вкладке «General» в поле «Chain» выбираем «prerouting», «Src. Address» - «192.168.88.2192.162.88.254», то есть пул наших адресов:
Во вкладке «Action» в поле «Action» выбираем «mark routing», в поле «New Routing Mark» придумываем название, к примеру, «VPNPOWERNET», ставим галочку рядом с «Passthrough»:
Теперь необходимо создать статически маршрут до VPN-сервера. Переходим в раздел «IP» – «Routes», во вкладке «Routes» нажимаем на «+». В открывшемся окне во вкладке «General» в поле «Dst. Address» вписываем адрес VPN-сервера, с нашем случае – «10.200.200.9». В поле «Gateway» необходимо указать шлюз. В поле «Routing Mark» выбираем имя, которое мы придумали для маркировки трафика, то есть «VPNPOWERNET»:
Дополнительно необходимо создать правило. Переходим во вкладку «Rules», нажимаем на «+». В открывшемся окне напротив «Dst. Address» указываем «10.200.200.9» (адрес VPN-сервера), «Action» выбираем «lookup», «Table» – «VPNPOWERNET» (имя для маркировки трафика):
Для проверки работоспособности переходим в раздел «PPP», с помощью значка «крест» можно временно отключить наше VPN-соединения. После отключения автоматически начинает работать Интернет с помощью настроек DHCP. Нажимаем на «галочку» – VPN-соединение включается. Нажимаем на него 2 раза и переходим во вкладку «Status». Здесь видим, что наше соединение успешно установилось, «Local Address» – наш внешний адрес в Интернете, «Remote Address» – внешний адрес VPN-сервера, изображения 80 и 81.
Может возникнуть проблема, что VPN-соединение работает, но некоторые страницы не открываются. Для этого необходимо в настройках PPTP-клиента, изображение 71, поменять значения «Max MTU» и «Max MRU», к примеру, выставить в «1400».