MikroTik что пригодится обычному юзеру

Что же, вот прикупил домой MikroTik решил его поднастроить. Ниже будет то, что может потребоваться обычному юзеру для настройки данного сетевого оборудования. Это вам не Zyxel настроить, тыкнуть пару кнопок и готово. Провайдер нам дает по мимо интернета IPTV, так как это Ростелеком, то придется помучиться.

Настройка  NTP

Для синхронизации времени идем в System—Clock, в появившемся окне ставим галочку «Time Zone Autodetect» и выбираем нужную нам Time Zone.

После переходим в System—SNTP Clien, тут нужно установить галочку Enable и прописать сервера с которых будем получать время и дату.
Список серверов:
0.europe.pool.ntp.org
1.europe.pool.ntp.org
2.europe.pool.ntp.org
3.europe.pool.ntp.org
В Primary NTP Server вставить 0.europe.pool.ntp.org
В Secondary NTP Server вставить 1.europe.pool.ntp.org
После нажатия на Apply, MikroTik преобразует названия серверов в ip.


Настройка IPTV
Необходимо обновить RouterOS, а точнее добавить пакет для IPTV. Заходим на сайт Mikrotik, ищем в списках линейку нашей модели и скачиваем последнюю версию прошивки. Обращаем внимание, выбираем не прошивку с основными пакетами (main), а с расширенным (extra) и лучше использовать Long-term.


Открываем WinBox, заходим на рутер (заходим по мак-адресу). Чтобы обновить ПО идем в меню Files, открываем его и перетаскиваем в окно Files List наш скачанный файл из распакованного архива под названием multicast-x.xx-mipsbe.npk.


Пакет добавлен и после этого мы перезагружаем микротик в меню System — Reboot. Рутер перезагрузится и обновит прошивку. Питание в это время отключать не следует! После перезагрузки открываем System — Packages и смотрим, появился ли модуль multicast.

Настройка IGMP Proxy
Открываем в меню Routing — IGMP Proxy. Нам нужно добавить новый интерфейс, для этого кликаем на плюс (как указано на скрине).


В поле Interface выбираем порт, с которого мы получаем интернет, в нашем случае это ether1-WAN и устанавливаем галочку Upstream:


Чуть ниже в поле Alternative Subnets указываем альтернативные подсети. В том случае, если мы не знаем, что туда вписывать оставляем нули. Подтверждаем изменения, нажимаем OK. Создаем еще один интерфейс, выбираем тот порт, на который мы будем перебрасывать IPTV — то есть тот, к которому подключено устройство IPTV.  В нашем случае это bridge_lan в этот бридж входит наш порт к которому подключена приставка. То есть в первом случае мы указывали порт, куда входят данные, а теперь – откуда выходят.


После мы нажимаем кнопку Settings и ставим галочку напротив Quick Leave. Делаем мы это для того, чтобы иметь возможность быстро переключаться между каналами.

Настройка Firewall для IPTV
Настраиваем  наш Firewall, который не пропускает IPTV на данный момент, нажимаем New Terminal
Вписываем команды:

31000 – порт неофициально зарегистрированный для передачи потокового видео и IPTV, ether1-WAN это интерфейс, на который приходит IPTV от провайдера. Созданные правила должны быть выше запрещающих!
* По началу IPTV не работало, пока не повесил ip(любой) на порт Uplink (eth1-WAN)(возможно это так у меня было, оператор Ростелек)

Использование No-Ip на MikroTik

Большинство интернет провайдеров, предоставляют динамический внешний IP адрес. И если есть необходимость получить доступ к вашей сети или отдельным устройствам за NAT из вне, то просто необходимо знать его. Одним из вариантов — это использование сервиса динамического DNS, такие сервисы бывают как платные, так и бесплатные, одним из самых популярных, бесплатных сервисов NOIP.

Настройка NOIP на микроте

Открываем меню System — Scripts и нажимаем кнопку Add (синий крестик), чтобы создать скрипт.

В поле Name: указываем имя скрипта, например noip.
Оставляем права для скрипта : writetestread.

В поле Source: вставляем следующий скрипт:

Теперь изменим в скрипте параметры подключения к сервису NO-IP. Для этого редактируем следующие переменные:

      • :local ddnsuser «логин на NO-IP.com» — указываем в кавычках логин;
      • :local ddnspass «пароль на NO-IP.com» — указываем в кавычках пароль;
      • :local ddnshostname «ИМЯ.no-ip.org» — в кавычках указываем ваше доменное имя;
      • :local ddnsinterface «ИМЯ ИНТЕРФЕЙСА MikroTik» — в кавычках указываем имя WAN интерфейса. В нашем случае это ether1. Если вы используете PPPoE соединение, то необходимо указать имя PPPoE интерфейса.Для сохранения скрипта нажимаем кнопку OK.Теперь в окне Script List появился наш скрипт.

    Далее необходимо настроить планировщик (Sheduler), который будет выполнять скрипт с определенной периодичностью.
    Открываем меню System — Sheduler и нажимаем кнопку Add (синий крестик), чтобы добавить новую задачу.

    В открывшемся окне настраиваем параметры задачи:

            • в поле Name указываем имя задачи, например noip;
            • в поле Interval указываем с какой периодичностью будет выполняться скрипт. Мы указали интервал 5 минут. Для первичной отладки лучше указать интервал 30 секунд;
            • в поле On Event указываем, какую команду необходимо выполнить при запуске задачи. Мы указали команду /system script run noip, которая запускает скрипт noip;
            • выбираем права для задачи: writetestread;
            • нажимаем кнопку OK для сохранения задачи.

    Теперь проверим, изменяется ли IP адрес на сервисе No-IP.
    Логинимся на сайте no-ip.com и выбираем Manage Hosts.
    Если сделали все правильно, на сайте IP тоже изменился на тот, который раздает нам провайрер. сверить их можем на 2ip

    *Для того чтобы попасть на наше оборудование извне, так же необходимо зайти в IP — Cloud и поставить галочку DDNS Enable и после нажимаем apply мы увидим в поле Public addres наш IP.

    Настройка FTP на MikroTik
    Форматирование USB накопителя
    MikroTik поддерживает свою файловую систему, поэтому USB флешку сначала необходимо отформатировать, чтобы рутер мог с ней работать.
    Подключите USB flash к рутеру и выполните форматирование:

  • Откройте меню System -Disks;
  • Выберите в списке ваш накопитель, disk1
  • Нажмите кнопку Format Drive;
  • *Не обязательно форматировать флешку, на данный момент микротик понимает ее и так.Откройте меню Files. В списке появилась наша флешка с именем disk1. Теперь можно перетягивать на нее файлы
    Расшаривание ресурсов с помощью Samba
  • Чтобы компьютеры могли заходить на USB flash по сети, настроим сервис Samba (SMB):
            • Откройте меню IP — SMB;
            • Поставьте галочку Enabled;
            • В поле Domain укажите название вашей рабочей группы(в windows обычно WORKGROUP);
            • В поле Comment укажите имя рутера, которое будет отображаться в списке компьютеров рабочей группы;
            • Allow Guest — разрешить доступ гостевым пользователям;
            • Interfaces — с каких интерфейсов давать доступ к расшаренной папке. Можно оставить all — доступ со всех интерфейсов, но я выбрал bridge(только локально)

    Нажмите кнопку Shares для добавления папки и выполните следующие настройки:

            • Нажмите синий плюсик, чтобы добавить новую папку.
            • В появившемся окне в поле Name укажите название папки.
            • В поле Directory укажите путь к папке, например /disk1. Папку предварительно создавать не обязательно.
            • Max Sessions — количество пользователей, которые могут одновременно подключаться к расшаренной папке. Оставим это значение по умолчанию.
            • Нажмите OK.

    Теперь настроим права пользователей. В окне SMB Settings нажмите кнопку Users. Не забываем исправить вкладку Domain на WORKGROP(как на всех windows)


    Проверим доступ к расшаренной папке. Откроем Сетевое окружение и увидим наш MikroTik.
    Настройка FTP сервера MikroTik
    Чтобы получить доступ к файлам на флешке из интернета, настроим FTP сервер на MikroTik:

            1. Откройте меню IP — Services;
            2. Выберите в списке ftp;
            3. Нажмите синюю галочку.

    Проверить можно по ссылке ftp://192.168.88.1

    Настройка SSTP с сертификатом.

    Стандартная настройка SSTP, которая описана на сайте MikroTik или тут мне не помогла.

    Необходимым условием для любого VPN-сервера является получение сертификатов.

    Шаги создания сертификата:

    В зависимости от скорости маршрутизатора эта команда может занять продолжительное время- не о чем беспокоимся — просто ждем, пока CPU опустится ниже 100%.
    Нам понадобится экспорт корневого сертификата (просто переместите его куда-нибудь на свой компьютер):

  • Далее нам нужен пул IP-адресов для клиентов эта новая сеть предназначена только для VPN:

    Включаем SSTP сервер

    Создаем пользователя

  • Не забудьте настроить firewall, если необходимо (TCP-порт 443).

    На клиентской стороне создаем SSTP Client

    *SSTP с использованием сертификатов подробная статья тут

    Резервирование интернет канала

  • Итак у нас есть Микротик,  к нему подключены 2 провайдера (ISP1 и ISP2), и наша сеть, необходимо при падении основного интернет-канала автоматически переключиться на резервный.
  • 1-й Способ failover делается маршрутами, все что вам надо сделать это прописать два маршрута один к ISP1 и второй к ISP2, выбрав в пункте «Check Gateway» ping или arp. По-моему для большинства случаев больше подойдет пинг. Таким же образом прописываете маршрут ко второму провайдеру. Маршруты прописываются в меню IP-Routes.Если в Distance одному провайдеру прописать например 1, а второму 2, то микротик будет автоматически балансировать нагрузку, при полной загрузке первого провайдера новые запросы пойдут ко второму.Этот способ имеет некоторые ограничения:— Если один из провайдеров дает вам динамический IP и настройки приходят по DHCP, то мы не сможем прописать маршрут указав имя интерфейса, придется вписать в поле «Gateway» ip шлюза.
    — Иногда бывают ситуации когда шлюз провайдера работает, а узлы за ним недоступны, Микротик будет считать маршрут рабочим, переключения не произойдет, и интернет работать не будет.
    2-й Вариант Failover на Микротике лишенный недостатков первого способа.В Микротик встроен Netwatch, (находится в меню Tools). В кратце эта утилита позволяет пинговать какой-либо ip и выполнять команды если меняется доступность ip адреса, в Up — вписываем команды которые выполняются когда ip стал снова доступен, в Down соответственно вписываем команды которые надо выполнить когда ip стал недоступен.
    Предварительно нужно задать комментарии для маршрутов. Для задания комментария маршруту заходим в IP-Routes, откроется окно со списком маршрутов, выделяем нужный маршрут, жмем на кнопку, вписываем комментарий для маршрута, жмем ок.На картинке видно работу скрипта, маршрут к провайдеру ISP2 (У меня это Utel) не активен, он серого цвета, а маршрут к ISP1 (у меня Stels) активен. Ниже можно увидеть маршрут с комментарием Stels88, это нужно чтоб пинги к 8.8.4.4 который мы используем в скриптах шли только с ISP1, это нужно для контроля работоспособности ISP1, пинги идут -все впорядке, если ответов на пинги нет, то надо переключаться на ISP2. Как это делается видно на картинке ниже:
  • Для того чтоб схема корректно работало, нужно разрешить пинговать этот ip только с ISP1, для этого желательно добавить правило в IP-Firewall запрещающее доступ к 8.8.4.4 с ISP2, и  прописать статический маршрут к 8.8.4.4 через шлюз ISP1 (в штатном режиме так сделать не получится если ISP1 выдает динамический ip и придется писать скрипт, который будет определять ip шлюза и прописывать маршрут ). Почитать чуть подробнее можно тут.

  • Скрипт на переподключение к  PPPoE если получил серый IP адрес

Если не подключать услугу статического IP адреса, то при подключении к pppoe по логину и паролю выдаются случайные динамические адреса которые могут быть как внешними так и находиться за NAT.

Добавим скрипт

Скрипт будет выполнятся каждый раз при поднятии интерфейса pppoe. Далее вытаскивает IP адрес который нам дал провайдер в переменную pppIP и проверяет его по очереди по серым сеткам, если он там присутствует то отключает интерфейс и через 10 секунд включает его.

Скрипт на проверку смены IP

Если ip изменился то будет запускаться нужный  нам скрипт, если нет, то писать лог что ip не изменился.

Скрипт автобекап  на флешку

Скрипт будет делать атобекап на флешку которую мы подключили к рутеру.

  • Добалвение QM
    Запрет определенных сайтов

    Открываем раздел Firewall, и заходим на вкладку Address List, где кнопкой “+”, добавляем новый адрес. В поле Name мы вписываем название нового списка, например, BlockedSites, а в поле адрес, вписываем адрес этого сайта. И сохраняем кнопкой Ok.

    В этот список можно добавлять нужные нам сайты, определить ip VK, можно воспользоваться командой

    Теперь занесем указанные ip в наш список

  • Таким образом, мы имеем список всех адресов сайтов, которые мы хотим запретить. И список этот у нас называется BlockedSites

    Теперь мы просто создаем правило в котором мы запрещаем весь этот список.

  • Для этого, как и в первом случае, в разделе Firewall, переходим на вкладку Filter Rules и добавляем новое правило, нажатием кнопки “+”. На вкладке General, в параметре Chain выбираем значение forward, в параметре Protocol выбираем значение 6(tcp), Dst. Port, мы пишем 80, а в In Interface ставим “!” возле значения и выбираем наш порт, к которому подключен кабель провайдера, например ether1.

    Переходим на вкладку Adwenced, где в поле Dst. Address List, выбираем в качестве параметра, созданный нами список BlockedSites.На вкладке Action в параметре Action, выбираем значение drop, чтобы запретить эти сайты. Сохраняем наше правило кнопкой Ok.

    И поднимаем наше правило в самый верх списка. Теперь, чтобы запретить любой другой сайт, нам достаточно просто добавить его адрес или адреса, в список BlockedSites на вкладке Address List.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *