cap-main

Настройка MikroTik cAP Lite как Wi-Fi клиент в режиме Bridge

Здравствуйте!

Сегодня я расскажу Вам, как настроить маленькую клиентскую точку MikroTik cAP Lite.
Она будет подключаться к домашнему Wi-Fi и предоставлять локальную сеть и интернет SMART телевизору, который будет к ней подключен по Ethernet кабелю.

1. Вступление
Побывав как-то раз на MUM в Москве. Мне посчастливилось получить в подарок такую штуку, как cAP Lite. Чертовски приятно, я хочу Вам сказать =)
Плюсом был еще некоторый «Stuff», но это к данной теме не относится.

Давайте кратко рассмотрим само устройство.

cap-1
 
cap-2
 
Код продукта: RBcAPL-2nD
Архитектура: MIPSBE
CPU: QCA9533 (1 ядро, 650 MHz) — он же для Wi-Fi
Оперативной памяти: 644 Мб
Места на FLASH накопителе: 16 Мб
Температурный диапазон: от -40°C до +70°C
Максимальное потребление: 4Вт
Питание: microUSB type AB 5V(0,2A), PoE-In 10-60V
Wi-Fi: Каналов 2, Частота 2.4GHz, 802.11 b/g/n
Базовое усиление антенн: 1.5 dBi
Порт Ethernet: 10/100 Мбит/сек

По результатам теста самого Mikrotik, данное устройство не выдает более 98 Мбит на блоках 1518 байт.
Мои тесты в Btest(UDP, Random Data) показали такие значения:

cap-30
Receive
cap-31
Send
Ну а Both я думаю можно себе представить

В целом устройство компактное и его можно расположить скрытно, чтобы не мешало.

2. Настройка cAP Lite
Я буду рассматривать подключение к своей домашней сети.
Создание домашней сети на базе устройств MikroTik: Часть 1
cAP Lite должен подключиться к сети и далее работать в режиме сетевого моста, чтобы телевизор мог получить IP адрес от роутера и выйти в интернет.

cap-3
 

Для начала подключим питание через USB порт и подключим cAP Lite, сетевым кабелем к нашему ПК.
Запускаем уже привычный нам WinBox. (Для тех кто пропустил: Знакомимся с интерфейсом WinBox)
Находим наше устройство в Neighbors и подключаемся по MAC адресу.
Обновите cAP Lite до последней версии прошивки из ветки Bugfix. На момент написания статьи у меня была версия 6.40.7

Сброс базовых настроек

cap-4
 
cap-5
 

Консольно

После перезагрузки, подключаемся повторно по MAC адресу.
Я дополнительно устанавливаю пакет MULTICAST для его поддержки. Вы же, не обязаны этого делать.
Ставить или не ставить данный пакет решать Вам. Его можно найти, если скачать архив Extra packages с сайта MikroTik.
Он нужен если Вы решите пустить IPTV(igmp) трафик внутрь локальной сети не только по кабелям, но и по Wi-Fi.
Установка пакета выполняется простым перетаскиванием его в File List интерфейса WinBox и последующей перезагрузкой cAP Lite.

Настройка сетевых интерфейсов
Открываем вкладку Interfaces и переходм к настройке каждого интерфейса

cap-6
 
У нас присутствует всего два интерфейса: ether1 и wlan1
Начнем с сетевого интерфейса ether1:
cap-7
 

Консольно

Перед тем, как перейти к настройке Wi-Fi интерфейса wlan1, необходимо установить пароль для Wi-Fi сети, к которой будет подключаться cAP Lite.
Это делается в меню Wireless:

cap-9
 
cap-10
 
cap-11
 

Консольно

Теперь настроим сам wlan1 интерфейс:

cap-8
Вкладка General для wlan1 интерфейса
cap-12
Вкладка Wireless
cap-13
Вкладка Advanced
cap-14
 
cap-15
 
cap-16
 

Консольно

Теперь нам нужно подключить cAP Lite к нашей Wi-Fi сети:

cap-17
 
cap-18
 

Консольно

Настройка сетевого моста
Для того, чтобы все работало корректно и данные «ходили» между проводным интерфейсом и Wi-Fi интерфейсом, нам необходим сетевой мост (Bridge)
Создаем Bridge интерфейс:

cap-19
 
cap-20
 
cap-21
 

Консольно

Добавляем интерфейсы в порты нового Bridge

cap-22
 
cap-23
 
cap-24
 

Консольно

Получение IP адреса
Получим IP адрес для нашего Wi-Fi моста. Мне нужен удаленный доступ к этому устройству.
Для этого настраиваем DHCP Client

cap-25
 
cap-26
 
cap-27
 
cap-28
 
После всех настроек мы должны корректно получать IP адрес от нашего роутера.
cap-29
 

Консольно

3. Заключение

cap-32
Рабочая конфигурация
На этом, в принципе, основные настройки закончены.
Остается еще ряд мелочей, вроде включения SNMP протокола, для мониторинга с помощью DUDE и некоторые другие индивидуальные настройки.

Надеюсь данное руководство оказалось Вам полезным. Благодарю за Ваше время.

По любым дополнениям к данной статье, различным вопросам, просьба писать ниже в комментариях =)
До новых статей!

dude-main4

Создание домашней сети на базе устройств MikroTik: Часть 8 — Установка и настройка MikroTik DUDE Network Monitor

Продолжение предыдущих статей:
Создание домашней сети на базе устройств MikroTik: Часть 1
Создание домашней сети на базе устройств MikroTik: Часть 2 — Настройка hAP ac
Создание домашней сети на базе устройств MikroTik: Часть 3 — Настройка RB750gr3 hEX
Создание домашней сети на базе устройств MikroTik: Часть 4 — Создание OpenVPN туннеля
Создание домашней сети на базе устройств MikroTik: Часть 5 — Создание EoIP туннеля
Создание домашней сети на базе устройств MikroTik: Часть 6 — Firewall защита доступа
Создание домашней сети на базе устройств MikroTik: Часть 7 — Firewall правильное перенаправление портов в сети с двумя шлюзами
Создание домашней сети на базе устройств MikroTik: Часть 8 — Установка и настройка MikroTik DUDE Network Monitor (Вы тут)

Цикл статей по организации единой локальной сети с маской (255.255.255.0)24 на большом удалении объектов друг от друга.
В прошлой части, мы с Вами, настроили правильное перенаправление портов в сети с двумя шлюзами.

В этой статье, я бы хотел поговорить про то, как за всем этим зоопарком следить. Чтобы никто, никуда не убежал или не вышел за рамки своих обязанностей =)
Вообще в интернете существует достаточно различных систем мониторинга. Взять хотя бы такие вещи, как Zabbix, Graphite, Grafana и иже с ними.
Очень большая гибкость. куча плагинов, возможность писать свои собственные плагины, выводят эти системы в разряд самых используемых не только среди энтузиастов, но и среди корпораций.
Работа серверов, работа различных служб на этих серверах. Мгновенное оповещение при возникновении ошибок.
Все это очень необходимо при широком парке различного оборудования.

А теперь давайте взглянем со стороны не совсем рядового пользователя. Т.е. нас, тех, кто делает мини офис у себя дома.
Лично мне все эти системы не очень нравятся, хоть они и популярны. Да и сама идея мониторинга домашнего железа — это по большому счету «игрушка», на первый взгляд не дающая практической пользы.

Тем не менее, я решил попробовать реализовать эту «игрушку» у себя. Благо роутер RB750Gr3 позволяет установить в себя microSD карту и на неё положить базу данных.

Знакомьтесь,
The Dude
Сетевой монитор Dude — это приложение от Латвийской компании MikroTik, которое может значительно улучшить работу сетевой среды. Он автоматически сканирует все устройства в определенных подсетях, рисует и компонует карту сетей, отслеживает службы устройств и предупреждает, если у некоторых служб есть проблемы.
Можно не только контролировать свои устройства, но и управлять ими. Поддержка массового обновления устройств на RouterOS и настройка их прямо из Dude Client.

Вот некоторые из его функций:
— Автоматическое обнаружение и компоновка сети
— Обнаруживает любой тип или марку устройства
— Устройство сети, мониторинг каналов и уведомления
— Включает иконки SVG для устройств и поддерживает пользовательские значки и фоны
— Простая установка и использование
— Позволяет создавать собственные карты и добавлять пользовательские устройства
— Поддерживает мониторинг SNMP, ICMP, DNS и TCP для устройств, которые его поддерживают
— Мониторинг использования отдельных линков и графики по ним
— Прямой доступ к средствам дистанционного управления для управления устройствами
— Работает в средах Linux Wine, MacOS Darwine и Windows

WIKI: The Dude (ENG)

В интернете можно найти статьи по установке серверной части The Dude на Ваш ПК, но они уже достаточно устарели.
Компания MikroTik убрала поддержку локальных серверов Dude и оставила возможность его работы исключительно под RouterOS.
Что это значит?
А это значит, что данная служба может быть установлена исключительно на операционную систему RouterOS компании MikroTik, которая в свою очередь может быть установлена отдельно на x86 машину или на виртуальную среду(VirtualBox, Proxmox и др.). Ну или, как наш вариант, уже находится в роутере.
На странице загрузок можно увидеть какое оборудование поддерживает установку The Dude server:
— архитектура TILE: все CCR
— архитектура ARM: LDF ac, LHG ac, SXTsq (ac series), Wireless Wire, cAP ac, hAP ac², CRS3xx, RB3011, RB1100AHx4
— архитектура x86: RB230, X86
— архитектура MMIPS: RB750Gr3, RBMxx

Как видим, в этом списке есть наш RB750Gr3. Это не может не радовать! Давайте установим серверную часть.
Вот только перед этим, нам понадобится microSD карта. Я рекомендую брать до 8Гб. Больше вряд ли понадобится. Её необходимо установить в RB750Gr3
Но если у Вас нет под рукой SD карты, это не страшно, есть еще обычный USB2.0 разъем. И базу данных можно расположить на обычной флешке.

hEX RB750Gr3 поддерживает стандартные SD-карты SD SDCC UHS-I / Class 10, что означает, что в устройстве можно использовать карты памяти большой емкости.
Стандарт поддерживает карты microSD емкостью до 128ГБ

У меня как раз оказалась SD карта под рукой.

Обратите внимание, что желательно использовать промышленные mircoSD карты или USB-флешки, так как они имеют более длительный жизненный цикл в приложениях, которые могут записывать данные чаще чем их читать.

1. Установка пакета The Dude на роутер RB750Gr3
Установка накопителя
На выключенном роутере устанавливаем в него SD карту (или USB флешку)

Поскольку слот microSD расположен на нижней стороне устройства, SD карта должна быть перевернута при попытке вставить ее. Т.е. контактной площадкой вверх.
Включаем роутер, подключив к нему питание, ждем загрузки и подключаемся к нему через WinBox.
Проверяем видит ли роутер подключенную SD карту. Если не видит, проделайте процедуру заново, но с другой картой или USB флешкой.
dude-1
 

Консольно: Если вывод возвращает что-то похожее на это. Значит система видит диск.

Подготавливаем флешку к работе.
Форматируем её в формат ext3.
Этот формат будет самым лучшим. т.к. он надежней пресловутого Fat32 и размер одного файла может быть большим.

dude-2
 

Консольно: Перед форматированием диск нужно отмонтировать.

Скачиваем и устанавливаем пакет The Dude
Теперь, когда наша SD карта готова к использованию, настало время установить пакет сервера в систему.
На момент написания статьи у меня установлена прошивка 6.40.7, скачиваемый пакет к ней называется dude-6.40.7-mmips.npk
Также можно сразу скачать установщик клиента той же версии, что и сервер dude-install-6.40.7.exe

У нас есть пакет сервера, настало время его загрузить в роутер.
Это можно сделать разными способами (Winbox drag’n’drop, webfig, ftp или sftp). Я предпочитаю Winbox.
Просто открываю Files и перетаскиваю в него файл dude-6.40.7-mmips.npk

dude-3
 
dude-4
 

Просто перезагружаем роутер и пакет установится автоматически.

dude-5
 

Консольно: Подтверждаем ребут Y/N

Настройка и запуск службы
Сейчас нам нужно изменить путь хранения данных для Сервера

dude-6
 
dude-7
 

Консольно: Указываем папку, где будут храниться все данные сервера

Запускаем сервер

dude-8
 

Консольно:

О корректной работе будет говорить статус Running и наличие в списке файлов большого дерева /disk1/dude

dude-9
 
dude-10
 

Консольно:

Теперь мы можем подключиться к серверу удаленно через клиент The Dude

dude-11
 

2. Подключение к The Dude и начало настройки
Для начала установим на наш ПК или ноутбук утилиту The Dude Client
Установка выполняется стандартным способом, как и любой другой программы: Запускаете установщик dude-install-6.40.7.exe и нажимаете Далее, Далее, Далее и т.д. =)

dude-12
 
dude-13
 
dude-14
 
dude-15
 

К сожалению ярлык на рабочем столе не создается.
Поэтому идем по пути установки и создаем его самостоятельно.

Запускаем клиент
Вводим данные своего пользователя для входа. Можем сохранить их для дальнейшего быстрого подключения и нажать Connect
Подключение может занять достаточное время. Не пугайтесь. просто нужно чуть-чуть подождать.

dude-16
 
dude-17
Эти данные говорят о том, что идет подключение и обмен данными с сервером

После подключения мы увидим рабочее пространство:

dude-18
 
Рекомендую отказаться от сканирования сети и добавлять все в ручную.
Далее я расскажу, как добавить устройство и сеть для отображения.
Все остальное будет ограничено Вашим желанием дальнейшего изучения.

Попробуем добавить наш девайс на карту и включим мониторинг нескольких параметров: Процессора, Памяти и Диска

dude-19
Нажимаем правой кнопкой мыши на пустом пространстве и выбираем Add Device
dude-20
Вводим IP адрес нашего сервера. Именно его и будем контролировать пока что. Не забываем указать наш Login и пароль для подключения и что это RouterOS
dude-21
Начинаем добавлять контролируемые сервисы
dude-22
Выбираем нужный нам сервис и добавляем его
dude-23
Делаем тоже самое для служб CPU, Memory и Disk
Как мы можем видеть, часть параметров находится в состоянии down
Это означает, что либо сервис действительно вышел из строя (что невозможно т.к. мы подключены к серверу), либо не запущен SNMP на роутере.
Давайте проверим это:

Включаем SNMP на RouterOS
Подключаемся по WinBox к роутеру и настраиваем SNMP для локальной сети

dude-24
В принципе к community можно не заходить. Его нужно использовать только если Вы хотите сделать защищенную группу. Но мы в домашней локальной сети и нам эти излишки не нужны

Давайте проверим, работает ли SNMP

dude-25
Нажимаем правой кнопкой мыши на нашем добавленном устройстве и выбираем Snmpwalk
dude-26
Как видим, все работает, данные мы получаем.
dude-27
Как видим все данные получаем и даже строятся графики
PS*
Да, пришлось развернуть CHR для демонстрации =))

Давайте добавим сеть и посмотрим, с какой скоростью работает сетевой интерфейс.
Ну и поставим иконку Роутера.

dude-28
Добавим известную нам сеть
dude-29
Записываем название сети и задаем Всю сеть целиком
dude-30
Теперь свяжем нашу сеть и роутер обычным линком
dude-31
Кликаем мышью на наш роутер и не отпуская кнопку мыши тащим линию к сети пока она не зафиксируется
dude-32
Выбираем нужные параметры. Вместо SNMP можно выбрать еще RouterOS
dude-33
видим скорость работы интерфейса и график
dude-34
Для изменения параметров устройства нужно кликнуть на нем дважды
dude-35
Вот с такой маленькой сети можно начать работу с The Dude

У меня уже заведены все мои устройства в локальной сети, добавлены изображения, написаны различные функции и это еще не все.
Вы сможете сделать не хуже, я уверен в Вас. Дерзайте!
Ну и на последок:

dude-36
 
dude-37
Это уже практическая домашняя сеть

На этом цикл статей по организации единой локальной сети можно считать законченным.
Хотя есть еще пара моментов, которые стоит описать, но это будут отдельные статьи не в рамках цикла.

Спасибо за Ваше время. Надеюсь Вам было интересно!!

Анонс:
Домашний Медиа Сервер: Часть 1 — Предисловие и аппаратная начинка
Я открываю новый цикл статей, по работе с Домашним сервером. Как он выбирался, на каком ПО все будет построено. Как правильно организовать медиатеку, чтобы было удобно ей пользоваться.
Все это в новом цикле статей по созданию домашнего медиа и рабочего сервера!
Будет интересно =)

Создание домашней сети на базе устройств MikroTik: Часть 7 — Firewall правильное перенаправление портов в сети с двумя шлюзами

Продолжение предыдущих статей по организации единой локальной сети.
Содержание:
Создание домашней сети на базе устройств MikroTik: Часть 1
Создание домашней сети на базе устройств MikroTik: Часть 2 — Настройка hAP ac
Создание домашней сети на базе устройств MikroTik: Часть 3 — Настройка RB750gr3 hEX
Создание домашней сети на базе устройств MikroTik: Часть 4 — Создание OpenVPN туннеля
Создание домашней сети на базе устройств MikroTik: Часть 5 — Создание EoIP туннеля
Создание домашней сети на базе устройств MikroTik: Часть 6 — Firewall защита доступа
Создание домашней сети на базе устройств MikroTik: Часть 7 — Firewall правильное перенаправление портов в сети с двумя шлюзами (Вы тут)
Создание домашней сети на базе устройств MikroTik: Часть 8 — Установка и настройка MikroTik DUDE Network Monitor

В прошлой части, мы с Вами, настроили фильтрацию трафика в (Firewall Filter).

Напомню, что у меня в сети присутствует роутер Asus RT-AC66U, работающий как точка доступа для Wi-Fi клиентов. Он подключен кабелем к роутеру hEX (RB750Gr3)
Конечно, мне необходимо иметь к нему удаленный доступ, также, как и к другим ресурсам локальной сети. Например чтобы перезагрузить, прошить и др. мало ли что.

Плюсом у меня к LG 3D Smart TV, подключена маленькая клиентская точка доступа cAP Lite. Т.к. на телеке решили сэкономить брали его без встроенного Wi-Fi модуля.(Серия оснащалась довольно дорогими фирменными USB2.0 Wi-Fi модулями, зачем переплачивать)
Это именно тот телевизор, на котором домашние любят смотреть фильмы с ПК по сети. Благо на него без проблем можно отправить видео из того же Проигрывателя Windows Media. Но все затевалось для использования через медиа сервер Plex. Будет отдельная статья по сборке и настройке этого сервера, а пока вернемся к нашей теме…

Для начала давайте вспомним(или узнаем), как происходит обычное перенаправление портов в MikroTik RouterOS

Пока я писал статьи, обновилась ветка прошивок Bugfix. Теперь у меня на девайсах стоит прошивка 6.40.6

1. Перенаправление портов в hAP ac (RB962UiGS-5HacT2HnT)
Давайте взглянем на простую схему перенаправления порта. Например у меня дома на виртуальной машине крутиться сервер Plex. Все его настройки я произвожу через консоль, подключаясь к нему по протоколу SSH(для тех кто не знает, что это Secure SHell)
Предположим, что данный сервер имеет внутрисетевой IP адрес: 192.168.88.9
Стандартный порт для доступа по SSH это TCP порт под номером 22. Если кто-то не знает что такое TCP или UDP порты, Вы можете погуглить т.к. без этих знаний Вам будет не очень понятно ))
Мне нужно подключиться откуда-нибудь с ноутбука с интернетом. И тут мы вспоминаем про статический IP адрес.

port-forwarding-1
Стандартное подключение в рамках локальной сети
port-forwarding-1-1
Для примера подключаемся через Putty по стандартному 22 порту

А теперь подключимся… например с дачи(сидим через 4G), схема изменится.

port-forwarding-2
В принципе тоже стандартная схема, но теперь наша цель находится за роутером, т.е. целью нам нужно выбирать сам роутер!!!
port-forwarding-2-1
Отлично, тогда выбираем статический IP роутера. Он же доступен из интернета! Только вот, какой выбрать порт и куда попадет наш запрос на подключение?

В принципе ничего сложного, нужно научить роутер перенаправлять через себя запросы к нашему серверу.

Сделаем маленькое отступление, почему так происходит...

Для обучения роутера этому колдовству =) необходимо дунуть, если не дунуть, чуда не произойдет открыть всеми нами любимый WinBox(или консоль), перейти в меню IP -> Firewall вкладка NAT
И добавить новое правило:

add-nat-rule
Добавляем новое правило
nat-rule-1-1
Указываем нужные данные во вкладке General
nat-rule-1-2
Указываем нужные данные во вкладке Action и жмем OK
Консольно:
/ip firewall nat
add action=dst-nat chain=dstnat comment="Open ports to Media Server" dst-port=10022 in-interface=WAN protocol=tcp to-addresses=192.168.88.9 to-ports=22

А теперь разберем по порядку, что мы сделали:
Вкладка General
1. Chain — dstnat — выбираем цепочку
2. Protocol — TCP — выбираем протокол сетевого уровня
3. Dst. Port — 10022 — задаем TCP порт, к которому будем обращаться снаружи. Этот порт я выбрал сам. Вы же можете выбрать любой другой, по своему желанию.
4. In. Interface — WAN — Выбираем входящий интерфейс через который будут приходить запросы.
Вкладка Action
1. Action — dst-nat — выбираем действие перенаправления
2. To Addresses — 192.168.88.9 — задаем локальный IP адрес на который будут отправляться внешние запросы. Адресов может быть несколько.
3. To Ports — 22 — задаем TCP порт к которому нужно обратиться. Также может быть несколько.

Т.е. внешний TCP или UDP порт, к которому мы обращаемся не обязательно должен быть идентичен локальному, к которому мы хотим достучаться.
Это поможет также и с безопасностью. Боты будут атаковать стандартные порты, а у нас они закрыты и доступ к ним идет совсем не по стандартным портам, назначение которых, известно только нам самим!!!
Не забудьте открыть доступ к внешнему порту в Firewall Filter и поместить правило выше последнего запрещающего, иначе фильтрация соединений заблокирует все ваши попытки подключения.

Для того, чтобы получить удаленный доступ к самому роутеру, нужно просто открыть стандартный TCP порт 8291 для программы WinBox.
Либо также перенаправить любой другой порт на локальный адрес самого роутера 192.168.88.1 на порт 8291
В этой части мы узнали, как перенаправить запрос или соединение снаружи из интернета через роутер со статическим IP адресом, к локальному ресурсу уже в нашей локальной сети.
Будьте аккуратней с портом 80 т.к. это стандартный WEB порт. На нем может работать WEB интерфейс роутера. Также он подвержен атакам ботов.

Вроде бы все хорошо, мы легко получаем доступ к нашему роутеру, нашему серверу для настройки и контроля работы.
Теперь мы хотим получить доступ к устройствам, которые находятся за нашим OpenVPN. В принципе все также должно работать хорошо, ведь у нас единая локальная сеть. Но не тут-то было.
Дело было не в бабине =)
Мне пришлось подумать прежде чем, я понял, почему не работает простое перенаправление… И правильно, что не работало.

2. Перенаправление портов до hEX (RB750Gr3)
А вот тут мы сталкиваемся с подводными камнями, которые по ходу разбора оказываются вполне логичными.
Давайте взглянем на схему:

port-forwarding-4
Вот такая схема у нас на данный момент
Судя по данной схеме, удаленный доступ к роутеру hEX и всем, что находится за ним, мы будем осуществлять через роутер hAP ac, у которого есть статический IP.
Смотрим…
port-forwarding-5
Пока все хорошо
port-forwarding-6
Пробуем достучаться до точки доступа Asus… Опа…
А вот и проблема!
Она кроется в том, что у клиентских устройств, DHCP сервером, назначаются различные шлюзы, а именно:
1. В hAP ac это шлюз 192.168.88.1
2. В hEX это шлюз 192.168.88.2
Все правильно, отсюда устройство получив запрос по локальной сети, с внешнего адреса, стремиться отправить ответ через шлюз.
В части Медиа сервера он отправляет запросы правильно, через роутер с локальным адресом 192.168.88.1, а точка доступа неправильно для удаленного доступа, но правильно для выхода в интернет, через роутер с локальным адресом 192.168.88.2.

Что же делать в этом случае, неужели нужно менять адреса шлюзов на тех устройствах за роутером, к которым мы хотим достучаться?
Нет, нет и еще раз нет.
Это создаст большие проблемы. Во первых нагрузит OpenVPN канал, во вторых если отвалится туннель, то устройства потеряют доступ к интернету.

Выход есть и он изящен =)

Вы ведь помните маскарадинг? Да да, когда наши соединения прикрываются роутером. А почему бы не сделать это в обратную сторону, но не для всего трафика, а только для конкретных запросов?
Сказано сделано.

Если мы работаем в рамках локальной сети т.е. пробуем подключиться с адреса 192.168.88.5 к адресу 192.168.88.30 все работает отлично. Этим и воспользуемся.
А когда мы работаем из интернета, к адресу 192.168.88.30 будет приходить запрос с адреса любого, который мы получили от провайдера в месте, где мы сидим, например 4G сеть.
Нужно заменить этот динамический IP в соединении, на IP роутера 192.168.88.1 и сделать это только для запросов идущих к IP адресу 192.168.88.30

Добавляем правило доступа к WEB интерфейсу точки доступа Asus

port-forwarding-8-1
Выбираем себе TCP порт
port-forwarding-8-2
WEB интерфейс висит на 80 порту
Теперь отловим это перенаправление и поменяем в нем IP.
ВНИМАНИЕ!!! Нам нужно создать правило именно для уже перенаправленного соединения!
port-forwarding-9-1
Нам нужна цепочка Srcnat
port-forwarding-9-2
И действие также src-nat
Консольно:
/ip firewall nat
add action=dst-nat chain=dstnat comment="Open ports to RT-AC66U" dst-port=14080 in-interface=WAN protocol=tcp to-addresses=192.168.88.30 to-ports=80
add action=src-nat chain=srcnat dst-address=192.168.88.30 dst-port=80 protocol=tcp to-addresses=192.168.88.1

Что же мы тут видим, посмотрим…
Сначала мы перенаправили порт для удаленного доступа к точке доступа Asus.
Через IP 98.76.54.32 и TCP порт 14080 к IP 192.168.88.30 и TCP порт 80
А потом отловили этот запрос и замаскировали в нем IP адрес источника с которого мы сидим на IP адрес самого роутера 192.168.88.1

Вкладка General
1. Chain — srcnat — цепочка srcnat
2. Dst. Address — 192.168.88.30 — мы же сами задавали перенаправление на этот адрес вот и ловим этот запрос
3. Dst. Port — 80 — ловим запрос на этот порт или порты (например если ловить потом еще и SSH, то пишем так 80,22)
Вкладка Action
1. Action — src-nat — выполняемое действие. Замена данных источника
2. To Addresses — 192.168.88.1 — на этот адрес меняем
3. To Ports — оставляем пустым т.к. порты мы указываем на вкладке General

Попробуем подключиться к роутеру откуда-нибудь из кафе или из гостей.
Для этого в браузере в адресной строке нужно набрать Наш внешний статический IP адрес и через двоеточие указать внешний TCP порт, через который мы делаем перенаправление.
Пример:
http://98.76.54.32:14080

web-access-rt-ac66u
Так выглядит доступ к роутеру из любого места, где есть интернет. Хоть из Америки =)

Вот такая хитрая схема, которая позволяет не городить огород на удаленных узлах.
Все правила перенаправления добавляются и управляются исключительно на роутере со статическим IP.
Вкладка NAT в Firewall это очень мощный инструмент наравне с фильтрацией трафика.
Дополнительная информация: WIKI MikroTik Firewall NAT (Eng)

Такой набор правил в NAT, есть у меня:
Попадаем в меню
/ip firewall nat
1. Маскируем локальные сети для выхода в интернет
add action=masquerade chain=srcnat comment="LAN to WAN" out-interface=WAN src-address=192.168.88.0/24

2. Доступ к Медиа Серверу и открытие порта для Торрента на нем же.
add action=dst-nat chain=dstnat comment="Open ports to Media Server" dst-port=10022 in-interface=WAN protocol=tcp to-addresses=192.168.88.9 to-ports=22
add action=dst-nat chain=dstnat dst-port=10080 in-interface=WAN protocol=tcp to-addresses=192.168.88.9 to-ports=80
add action=dst-nat chain=dstnat dst-port=10005 in-interface=WAN protocol=tcp to-addresses=192.168.88.9 to-ports=10005

3. Доступ к WEB интерфейсу Cisco SPA112 (Телефонный шлюз)
add action=dst-nat chain=dstnat comment="Open port to Cisco SPA112" dst-port=11080 in-interface=WAN protocol=tcp to-addresses=192.168.88.10 to-ports=80

Все остальное это сторона роутера hEX, тут нужно применить SRCNAT
4. Доступ к роутеру hEX по WinBox
add action=dst-nat chain=dstnat comment="Open port to hEX" dst-port=12291 in-interface=WAN protocol=tcp to-addresses=192.168.88.2 to-ports=8291
add action=src-nat chain=srcnat dst-address=192.168.88.2 dst-port=8291 protocol=tcp to-addresses=192.168.88.1

5. Доступ к сетевому мосту cAP Lite
add action=dst-nat chain=dstnat comment="Open port to cAP Lite" dst-port=13291 in-interface=WAN protocol=tcp to-addresses=192.168.88.39 to-ports=8291
add action=src-nat chain=srcnat dst-address=192.168.88.39 dst-port=8291 protocol=tcp to-addresses=192.168.88.1

6. Доступ к точке доступа Asus RT-AC66U (WEB и SSH)
add action=dst-nat chain=dstnat comment="Open ports to RT-AC66U" dst-port=14080 in-interface=WAN protocol=tcp to-addresses=192.168.88.30 to-ports=80
add action=dst-nat chain=dstnat dst-port=14022 in-interface=WAN protocol=tcp to-addresses=192.168.88.30 to-ports=22
add action=src-nat chain=srcnat dst-address=192.168.88.30 dst-port=80,22 protocol=tcp to-addresses=192.168.88.1

firewall-nat-all
Вид формирования правил в WinBox

Вы можете поменять внешние порты на свои, попробовать добавить что-то свое.
Надеюсь данная статья была Вам полезна и Вы узнали для себя что-то новое.
Если у Вас есть, что рассказать, по данной тематике, или чем поделиться, милости прошу в комментарии. Буду рад почитать и ответить на Ваши вопросы!

Продолжение:
Создание домашней сети на базе устройств MikroTik: Часть 8 — Установка и настройка MikroTik DUDE Network Monitor

Создание домашней сети на базе устройств MikroTik: Часть 6 — Firewall защита доступа

Продолжение предыдущих статей по организации единой локальной сети.
Содержание:
Создание домашней сети на базе устройств MikroTik: Часть 1
Создание домашней сети на базе устройств MikroTik: Часть 2 — Настройка hAP ac
Создание домашней сети на базе устройств MikroTik: Часть 3 — Настройка RB750gr3 hEX
Создание домашней сети на базе устройств MikroTik: Часть 4 — Создание OpenVPN туннеля
Создание домашней сети на базе устройств MikroTik: Часть 5 — Создание EoIP туннеля
Создание домашней сети на базе устройств MikroTik: Часть 6 — Firewall защита доступа (Вы тут)
Создание домашней сети на базе устройств MikroTik: Часть 7 — Firewall правильное перенаправление портов в сети с двумя шлюзами
Создание домашней сети на базе устройств MikroTik: Часть 8 — Установка и настройка MikroTik DUDE Network Monitor

В прошлых частях мы с Вами настроили единую локальную сеть через EoIP туннель построенном поверх OpenVPN.

К каким результатам мы пришли:
У нас встает вопрос безопасности нашей локальной сети, ведь китайские боты не спят и постоянно сканируют доступное сетевое пространство на наличие дыр и уязвимостей.
Имея статический IP мы подвержены риску быть взломанными (китайские боты не дремлют!). Т.к. наш статический IP доступен в интернете он может подвергаться различного рода «атакам».
Поэтому нам нужно сделать так, чтобы только мы могли подключаться к нашим роутерам и другим сервисам в локальной сети.
В принципе жесткую защиту мы делать не будем. У нас ведь не корпоративная сеть, а домашняя. Данной статьей мы попробуем закрыть самые распространенные пробелы в защите нашего роутера и локальной сети в общем.
Организацию удаленного подключения мы рассмотрим в Седьмой статье т.к. эта статья получилась достаточно большой по наполнению.
Приступим…

За все операции обработки трафика в сетевых устройствах отвечает так называемый «Межсетевой экран» (Eng — Firewall)
Именно он определяет куда отправлять тот или иной пакет, как обрабатывать соединения и многое, многое другое…
Чтобы охватить весь спектр работы Firewall-а не хватит не только одной статьи, но и 10 или 20 статей точно. Настолько велики его возможности и вариации применения. Кстати это касается не только MikroTik RouterOS, а принципа фильтрации трафика в общем (даже на Windows)!

Давайте взглянем, где находится этот самый Межсетевой экран:
Он находится по пути IP -> Firewall

ip-firewall
Путь до межсетевого экрана
firewall-filter-rules
Окно для ввода правил фильтрации

Кратко пробежимся по основным вкладкам окна:
1 — Filter Rules — тут основные разрешающие и блокирующие правила.
2 — NAT — тут формируются перенаправления трафика.
3 — Mangle — тут происходит маркировка соединений и пакетов, отлов определенного вида трафика для дальнейшей его обработки.
Остальные вкладки пока рассматривать не будем, они нам не пригодятся.
4 — Raw — тут можно правилами отловить паразитный трафик и тем самым снизить нагрузку на CPU. Полезно для смягчения DOS атак.
5 — Service Ports — Для некоторых сетевых протоколов требуется прямое двустороннее соединение между конечными точками. Это не всегда возможно, поскольку трансляция сетевых адресов широко используется для подключения клиентов к сети. Это подменю позволяет настроить «помощники отслеживания соединений» для вышеупомянутых протоколов. Эти «помощники» используются для обеспечения правильного обхода NAT.
6 — Connections — тут отображаются все текущие соединения проходящие через маршрутизатор.
7 — Address List — тут списки адресов брандмауэра позволяют пользователю создавать списки IP-адресов, сгруппированных под общим именем. Затем фильтры брандмауэра, Mangle и NAT могут использовать эти списки адресов для сопоставления пакетов с ними.
8 — Layer7 Protocols — тут можно создавать шаблоны для поиска в потоках ICMP / TCP / UDP. L7 собирает первые 10 пакетов соединения или первые 2KB соединения и ищет шаблон в собранных данных.

Часть терминов может показаться непонятной, но в этом нет ничего страшного, мы будем работать только с первым пунктом Filter Rules. Хотя в нем тоже, очень много вариантов создания правил.
Сразу нужно оговориться, что полной безопасности Вам никто не обеспечит и это важно понимать! Но боятся не стоит, мы ведь не популярная корпорация за которой ведется промышленный шпионаж, нам достаточно превентивных мер ))))

Конфигурация по умолчанию:
Тут я хочу поделиться с Вами конфигурацией, которой хватит для простого домашнего использования.

firewall-rule-default
Базовые правила Firewall
Консольно:
/ip firewall filter
add chain=input comment=INPUT connection-state=established,related
add chain=input protocol=icmp
add action=drop chain=input in-interface=WAN
add action=drop chain=forward comment=FORWARD connection-state=invalid
add action=drop chain=forward connection-nat-state=!dstnat connection-state=new in-interface=WAN

Но я делаю несколько по своему, возможно что-то тут не идеально, но это мои тараканы ))
1. Перейдем к созданию правил в Filter Rules.
Отступление:
Все правила добавленные в таблицу применяются последовательно, сверху вниз. Будьте осторожны не добавляйте сразу правило, блокирующее все что только можно. Вы можете потерять доступ к роутеру и тогда придется его сбрасывать и перенастраивать заново.
Я рекомендую использовать магическую кнопку Safe Mode для таких целей. Если эта кнопка нажата и Вас отключит от роутера, настройки вернутся к моменту нажатия на эту кнопку. Очень полезная вещь, особенно если Вы работаете удаленно.

safemodebutton
Magic Button =)

Правила добавляются по уже знакомой нам кнопке плюс…

newfirewallrule-add
Добавляем правило

1.1. Перво наперво нам нужно разрешить уже установленные(Established) и связанные(Related) соединения и сбросить некорректные(Invalid) соединения на входе в роутер(цепочка Input). Так мы снизим нагрузку на маршрутизатор. Зачем повторно обрабатывать эти соединения если они уже и так установлены или неизвестны. Экономим ресурсы процессора. А вот новые соединения этими правилами обрабатываться не будут, пусть даже они находятся выше в таблице.

firewall-rule-1
Выбираем уже установленные и связанные соединения на входе
firewall-action-accept
Разрешаем их
firewall-rule-2
Выбираем некорректные соединения на входе
firewall-action-drop
Запрещаем их
Консольно:
/ip firewall filter
add action=accept chain=input connection-state=established,related comment="Rules 1.1"
add action=drop chain=input connection-state=invalid

1.2. Тоже самое делаем для трафика внутри нашего роутера(цепочка Forward)

firewall-rule-3
Выбираем уже установленные и связанные соединения проходящие через роутер
firewall-action-accept
Разрешаем их
firewall-rule-4
Выбираем некорректные соединения проходящие через роутер
firewall-action-drop
Запрещаем их
Консольно:
/ip firewall filter
add action=accept chain=forward connection-state=established,related comment="Rules 1.2"
add action=drop chain=forward connection-state=invalid

1.3. Чтобы всяческие боты не заваливали нас Ping запросами, что-то вроде DDOS атаки, будем пропускать только нормальный Ping.

firewall-rule-5-1
Выбираем протокол ICMP и входящий интерфейс с интернетом
firewall-rule-5-2
Указываем, до какого порога пропускать Ping запросы
firewall-action-accept
Разрешаем
Консольно:
/ip firewall filter
add action=accept chain=input in-interface=WAN limit=50/5s,2:packet protocol=icmp comment="Rules 1.3"

1.4. Блокируем сканеры портов (работает странно, но тем не менее работает).
Для всех правил будет обозначена цепочка Input т.е. Вход

firewall-rule-7-1
Нам нужна только цепочка инпут
Нам нужно определить имя списка в который будут добавляться адреса и сразу их блокировать. Т.е. все адреса уже находящиеся в списке будут блокироваться, а не проходить проверку. Если адреса еще в списке нет, он будет проходить проверку и при совпадении хоть с одним правилом, сразу будет помещаться в список, и уже далее, также будет блокироваться верхним правилом.
Понимаю, для некоторых такая комбинация может показаться сложной, но это один из самых легких вариантов исполнения.
firewall-rule-7-2
Называем список в который будут добавляться адреса
firewall-action-drop
Запрещаем все соединения для списка
Добавляем правила отлова зловредных сканеров.
Я специально не буду добавлять скриншоты из закладки Gereal т.к. они все выглядят одинаково (указывается только Input)
firewall-rule-6-2
Первое правило, вкладка Extra
firewall-rule-add-list-portscan
Указываем что нужно добавить адрес источника в список и пишем имя этого списка. Вы можете указать свое название.
Далее я также не буду показывать скриншот Action т.к. для всех последующих правил сканера он одинаковый.
Ниже все вкладки по отдельному правилу.
firewall-rule-8
Будем ловить врагов по TCP флагам
Буду показывать просто изменения данных флагов для каждого последующего правила…
firewall-rule-9
Новое правило, изменяем TCP флаги
firewall-rule-10
Новое правило, изменяем TCP флаги
firewall-rule-11
Новое правило, изменяем TCP флаги
firewall-rule-12
Новое правило, изменяем TCP флаги
firewall-rule-13
Новое правило, изменяем TCP флаги
firewall-rule-14
Новое правило, изменяем TCP флаги
А вот дальше интересней, Вы возможно не знали, что паразиты могут сканировать и нулевые порты. Да да, просто напросто порт 0 TCP и порт 0 UDP. Давайте внесем в черный список и тех, кто пытается у нас просканировать или получить доступ через эти порты.
firewall-rule-15
Добавляем в список сканеров все что стучится к нам по 0 TCP порту
firewall-rule-16
Добавляем в список сканеров все что стучится к нам по 0 UDP порту
А теперь все тоже самое одной консольной командой на добавление:
/ip firewall filter
add action=drop chain=input src-address-list="Port Scanners" comment="Rules 1.4"
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=0s chain=input in-interface=WAN protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=0s chain=input in-interface=WAN protocol=tcp tcp-flags=!fin,!syn,!rst,!ack
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=0s chain=input in-interface=WAN protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=0s chain=input in-interface=WAN protocol=tcp tcp-flags=fin,rst
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=0s chain=input in-interface=WAN protocol=tcp tcp-flags=fin,!ack
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=0s chain=input in-interface=WAN protocol=tcp tcp-flags=fin,urg
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=0s chain=input in-interface=WAN protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=0s chain=input in-interface=WAN protocol=tcp tcp-flags=rst,urg
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=0s chain=input dst-port=0 in-interface=WAN protocol=tcp
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=0s chain=input dst-port=0 in-interface=WAN protocol=udp

1.5. Блокируем сканеры SIP и DDOS SIP телефонии.
Тот же самый метод применяем и для отлова Любителей взлома и сканирования SIP телефонии. Пока я не добавил эти правила у меня постоянно отваливался коннект в шлюзе Cisco.
Первое правило идентично тому, что применяется для сканера портов. Мы просто меняем имя списка для блокировки.

firewall-rule-17
Первое DROP правило, блокирующее все адреса в списке
Для SIP телефонии предусмотрены стандартные UDP порты 5060 и 5061. Их то боты и мучают. Создадим для отлова IP адресов, правила.
firewall-rule-18-1
Ловим по портам
firewall-rule-18-2
Выставляем параметры
firewall-rule-19
Следующее правило
firewall-rule-20
Последнее правило
Консольно:
/ip firewall filter
add action=drop chain=input src-address-list=sip-blacklist comment="Rules 1.5"
add action=add-src-to-address-list address-list=sip-blacklist address-list-timeout=0s chain=input dst-port=5060,5061 in-interface=WAN limit=120/1m,5:packet protocol=udp
add action=add-src-to-address-list address-list=sip-blacklist address-list-timeout=0s chain=input dst-port=5060,5061 in-interface=WAN limit=40/2s,5:packet protocol=udp
add action=add-src-to-address-list address-list=sip-blacklist address-list-timeout=0s chain=input dst-limit=50,50,src-and-dst-addresses/10s dst-port=5060,5061 in-interface=WAN protocol=udp

1.6. Разрешаем DNS запросы только из локальной сети.
Один важный пункт, чтобы DNS запросы наших локальных устройств обрабатывались корректно. Вернее чтобы мы получали ответ внешнего DNS сервера корректно.

firewall-rule-21-1
Трафик с внешних DNS серверов
firewall-action-accept
Разрешаем
Консольно:
/ip firewall filter
add action=accept chain=input in-interface=WAN protocol=udp src-port=53 comment="Rules 1.6"

1.7. Разрешаем соединения по OpenVPN.
Мы же помним, что у нас работает OpenVPN сервер и нам нужно разрешить обращения OpenVPN клиентских устройств.
Также разрешаем все обращения по интерфейсам OpenVPN. Добавляем правила для всех интерфейсов OpenVPN если их больше одного можно сделать из них Interface List и применить правило к нему.

firewall-rule-22
Разрешаем подключения по порту UDP 1194
firewall-rule-23
Разрешаем трафик по интерфейсу OpenVPN
Консольно:
/ip firewall filter
add action=accept chain=input dst-port=1194 protocol=tcp comment="Rules 1.7"
add action=accept chain=input in-interface=ovpn

1.8. Блокируем все остальные соединения, кроме, как из Локальной сети.
И блокируем все остальное, что не разрешено правилами выше!

firewall-rule-24
Блокируем все входящие запросы кроме запросов из локальной сети
firewall-action-drop
Запрещаем
Консольно:
/ip firewall filter
add action=drop chain=input in-interface=!LAN-Bridge comment="Rules 1.8"

2. Для ленивых
Если Вы дочитали до конца, значит у Вас пытливый ум и Вы хорошо представляете с чем столкнулись. Вы молодец.
Еще раз хотелось бы обозначить, что данная конфигурация не является идеальной. Я просто старался показать некоторые способы фильтрации трафика. Вам решать, использовать это у себя простым копипастом или подумать и сделать лучше! Но я уверен, что моё решение тоже не плохое =)

Предлагаю Вашему вниманию все вышеизложенное в едином виде:

firewall-rule-all
Весь список правил
Консольно:
/ip firewall filter
add action=accept chain=input comment="Rules 1.1" connection-state=established,related
add action=drop chain=input connection-state=invalid
add action=accept chain=forward comment="Rules 1.2" connection-state=established,related
add action=drop chain=forward connection-state=invalid
add action=accept chain=input comment="Rules 1.3" in-interface=WAN limit=50/5s,2:packet protocol=icmp
add action=drop chain=input comment="Rules 1.4" src-address-list="Port Scanners"
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=none-dynamic chain=input in-interface=WAN protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=none-dynamic chain=input in-interface=WAN protocol=tcp tcp-flags=!fin,!syn,!rst,!ack
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=none-dynamic chain=input in-interface=WAN protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=none-dynamic chain=input in-interface=WAN protocol=tcp tcp-flags=fin,rst
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=none-dynamic chain=input in-interface=WAN protocol=tcp tcp-flags=fin,!ack
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=none-dynamic chain=input in-interface=WAN protocol=tcp tcp-flags=fin,urg
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=none-dynamic chain=input in-interface=WAN protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=none-dynamic chain=input in-interface=WAN protocol=tcp tcp-flags=rst,urg
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=none-dynamic chain=input dst-port=0 in-interface=WAN protocol=tcp
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=none-dynamic chain=input dst-port=0 in-interface=WAN protocol=udp
add action=drop chain=input comment="Rules 1.5" src-address-list=sip-blacklist
add action=add-src-to-address-list address-list=sip-blacklist address-list-timeout=none-dynamic chain=input dst-port=5060,5061 in-interface=WAN limit=120/1m,5:packet protocol=udp
add action=add-src-to-address-list address-list=sip-blacklist address-list-timeout=none-dynamic chain=input dst-port=5060,5061 in-interface=WAN limit=40/2s,5:packet protocol=udp
add action=add-src-to-address-list address-list=sip-blacklist address-list-timeout=none-dynamic chain=input dst-limit=50,50,src-and-dst-addresses/10s dst-port=5060,5061 in-interface=WAN protocol=udp
add action=accept chain=input comment="Rules 1.6" in-interface=WAN protocol=udp src-port=53
add action=accept chain=input comment="Rules 1.7" dst-port=1194 protocol=tcp
add action=accept chain=input in-interface=ovpn
add action=drop chain=input comment="Rules 1.8" in-interface=!LAN-Bridge

ПС*
Я специально не стал вносить в данную статью разрешающее правило для удаленного доступа к роутеру по WinBox. Попробуйте добавить его сами! Я уверен у Вас получится =))
**злобный смех за кадром

Благодарю Вас за Ваше время.
Организацию удаленного доступа я вынес в следующую статью:
Создание домашней сети на базе устройств MikroTik: Часть 7 — Firewall правильное перенаправление портов в сети с двумя шлюзами

Создание домашней сети на базе устройств MikroTik: Часть 5 — Создание EoIP туннеля

Продолжение предыдущих статей по организации единой локальной сети.
Содержание:
Создание домашней сети на базе устройств MikroTik: Часть 1
Создание домашней сети на базе устройств MikroTik: Часть 2 — Настройка hAP ac
Создание домашней сети на базе устройств MikroTik: Часть 3 — Настройка RB750gr3 hEX
Создание домашней сети на базе устройств MikroTik: Часть 4 — Создание OpenVPN туннеля
Создание домашней сети на базе устройств MikroTik: Часть 5 — Создание EoIP туннеля (Вы тут)
Создание домашней сети на базе устройств MikroTik: Часть 6 — Firewall защита доступа
Создание домашней сети на базе устройств MikroTik: Часть 7 — Firewall правильное перенаправление портов в сети с двумя шлюзами
Создание домашней сети на базе устройств MikroTik: Часть 8 — Установка и настройка MikroTik DUDE Network Monitor

В предыдущий раз, мы настроили шифрованный OpenVPN туннель между двумя роутерами hAP ac и hEX
Еще раз посмотрим на схему из первой части:

sheme-primer
Схема из первой части

После организации IP туннеля на базе OpenVPN, нам необходимо поверх него, создать еще один туннель используя EoIP
Для начала давайте немного взглянем, что такое EoIP в MikroTik RouterOS:
Ethernet over IP (EoIP) Tunneling — это протокол MikroTik RouterOS, который создает туннель Ethernet между двумя маршрутизаторами поверх IP-соединения. Туннель EoIP может работать через туннель IPIP, туннель PPTP или любое другое соединение, способное транспортировать IP.
Когда функция моста маршрутизатора включена, весь трафик Ethernet (все протоколы Ethernet) будет соединен так же, как если бы там был физический интерфейс Ethernet и кабель между двумя маршрутизаторами (с включенным мостом). Этот протокол позволяет использовать несколько сетевых схем.

Сетевые настройки с интерфейсами EoIP:
Возможность подключения локальных сетей через Ethernet
Возможность подключения локальных сетей через зашифрованные туннели
Возможность подключения локальных сетей через беспроводные сети 802.11b «ad-hoc»

Протокол EoIP инкапсулирует Ethernet-фреймы в пакеты GRE (IP-протокол номер 47) (как и PPTP) и отправляет их на удаленную сторону туннеля EoIP.

Т.е. по сути между нашими удаленными объектами, после создания туннеля, будет «ходить» любой трафик, как в обычной проводной локальной сети.

Для создания EoIP туннеля ему необходим удаленный адрес интерфейса. Можно задать и локальный, но разницы особой не будет.
Как раз именно OpenVPN выступит каналом, мы ведь знаем IP адреса текущего и удаленного роутеров.
Схема:

eoip-tunnel-sheme
Необходимо указать интерфейсу только удаленный IP

1. Настроим EoIP на роутере hAP ac

interfaces
Переходим в меню интерфейсов
add-eoip-interface
Добавляем EoIP интерфейс
config-eoip
Вводим параметры интерфейса
Интерфейс создался, и для того, чтобы наша «общая» локальная сеть работала, необходимо наш интерфейс EoIP добавить в наш сетевой мост.
Открываем Bridge и добавляем в него, только что, созданный EoIP интерфейс.
bridge
Открываем меню сетевых мостов
add-eoip-to-bridge
Добавляем EoIP в сетевой мост
Консольно:
/interface eoip add name="eoip-tunnel1" remote-address=172.16.10.2 tunnel-id=1
/interface bridge port add interface=eoip-tunnel1 bridge=LAN-Bridge

Переходим ко второму роутеру

2. Настроим EoIP на роутере hEX
Для данного роутера весь процесс настройки EoIP будет аналогичен.
Единственным отличием будет удаленный IP адрес: тут он будет 172.16.10.1
ID туннеля должен быть одинаковым! Я выбрал номер 1, Вы можете задать свой, какой захотите.

eoip2-config
Настройка второго EoIP туннеля
Также, как и для предыдущего роутера, добавляем EoIP интерфейс в сетевой мост.
Консольно:
/interface eoip add name="eoip-tunnel1" remote-address=172.16.10.1 tunnel-id=1
/interface bridge port add interface=eoip-tunnel1 bridge=LAN-Bridge

После добавления туннельных интерфейсов в сетевой мост Вы уже должны успешно пинговать локальные ПК(смартфоны, ноутбуки и др.).
Вроде бы все хорошо. На каждом объекте свой DHCP сервер, заданы свои пулы адресов.
Но как мы знаем при подключении нового клиента к сети он начинает широковещательную рассылку специальных пакетов DHCPDISCOVER.
Рассылка идет начиная с адреса 0.0.0.0 до адреса 255.255.255.255 т.е. по всем возможным.
В ответ сервер DHCP посылает пакет DHCPOFFER. Клиент в ответ на пакет DHCPOFFER посылает пакет DHCPREQUEST. В ответ на пакет DHCPREQUEST сервер DHCP посылает пакет DHCPACK, завершая цикл инициализации.
Соответственно для нас НЕжелательно, чтобы подобные пакеты с одного объекта убегали в другой и наоборот.
Нам нужно ограничить объект только тем пулом IP адресов, которые мы задали. Но нельзя запрещать клиентам общаться между собой.

И MikroTik позволяет нам это сделать!

3. Запрещаем прохождение DHCP Broadcast запросов через туннель EoIP
Давайте разбираться.
Смотрим на каких портах и по какому протоколу работает DHCP: Wiki DHCP
Видим: Передача данных производится при помощи протокола UDP. По умолчанию запросы от клиента делаются на 67 порт к серверу, сервер в свою очередь отвечает на порт 68 к клиенту, выдавая адрес IP и другую необходимую информацию, такую, как сетевую маску, шлюз по умолчанию и серверы DNS.

Чтобы запретить прохождение DHCP запросов по туннелю нам необходимо определить, где это сделать и как.
Логично предположить, что управление трафиком и кучей других параметров необходимо делать в IP Firewall, но это не совсем так. По началу, когда я задавал в нем правила они не работали.
Пришлось курить маны читать инструкции.
Оказалось, что у сетевого моста свой собственный Firewall, на уровень ниже. Т.е. необходимо открыть меню настроек сетевого моста. Добавляем правило блокировки:

bridge-filter
Межсетевой экран сетевого моста
bridge-filter-rule1
Задаем настройки для правила
bridge-filter-rule2
Блокируем прохождение пакетов
Консольно:
/interface bridge filter add chain=forward out-interface=eoip-tunnel1 mac-protocol=ip ip-protocol=udp dst-port=67-68 action=drop

Добавляем такое же правило на второй роутер.
Вот теперь, вроде бы, можно считать настройку единой локальной сети законченной…

А вот и нет =))

Далее у нас встает вопрос безопасности и доступа из вне к локальным устройствам.
Все верно, имея статический IP мы подвержены риску быть взломанными. Т.к. наш статический IP доступен в интернете он может подвергаться различного рода «атакам».
Поэтому нам нужно сделать так, чтобы только мы могли подключаться к нашим роутерам и другим сервисам в локальной сети.
Также у нас на очереди система мониторинга DUDE.

Дополнение:
Я провел небольшое тестирование скоростных характеристик своего туннеля.
Делал я их с помощью утилиты bandwidth-test в WinBox между самими роутерами. Т.е. роутер-роутер через сети провайдеров.
Тарифы такие:
hAP ac — 500 Mbps (Практические пока до 300 Мбит/сек)
hEX — 100 Mbps (Практические 95 Мбит/сек)
Пробовал я все доступные на RouterOS для OpenVPN (v6.39.3) методы аутентификации (md5, sha1) и шифрования (blowfish 128, aes 128, aes 192, aes 256) и вообще без шифрования и аутентификации (null)
Соответственно максимально возможная скорость ограничена hEX стороной т.к. у него всего 100 Мбит/сек.
Самую быструю скорость удалось получить конечно в режиме без шифрования и аутентификации вообще Send — 85 Mbps / Receive — 85 Mbps
Самую низкую с шифрованием AES256 Send — 25 Mbps / Receive — 25 Mbps
Оптимальным вариантом я бы выбрал режим Auth (sha1) и Cipher (aes 128) т.к. для домашней сети не нужно сильного шифрования Send — 31 Mbps / Receive — 31 Mbps
Какой режим выбирать, решать Вам!

Продолжение:
Создание домашней сети на базе устройств MikroTik: Часть 6 — Firewall защита доступа

P.S.
Я не претендую на идеальное построение подобной сети. Это один из многих способов.
Если Вы знаете, как построить подобную сеть лучшим образом или доработать текущую, можете не стесняться и писать свои варианты в комментариях
У меня успешно работает =)

Создание домашней сети на базе устройств MikroTik: Часть 4 — Создание OpenVPN туннеля

Продолжение предыдущих статей по организации единой локальной сети.
В предыдущих статьях мы с Вами настроили два наших роутера — это hAP ac и hEX
Создание домашней сети на базе устройств MikroTik: Часть 1
Создание домашней сети на базе устройств MikroTik: Часть 2 — Настройка hAP ac
Создание домашней сети на базе устройств MikroTik: Часть 3 — Настройка RB750gr3 hEX
Создание домашней сети на базе устройств MikroTik: Часть 4 — Создание OpenVPN туннеля (Вы тут)
Создание домашней сети на базе устройств MikroTik: Часть 5 — Создание EoIP туннеля
Создание домашней сети на базе устройств MikroTik: Часть 6 — Firewall защита доступа
Создание домашней сети на базе устройств MikroTik: Часть 7 — Firewall правильное перенаправление портов в сети с двумя шлюзами
Создание домашней сети на базе устройств MikroTik: Часть 8 — Установка и настройка MikroTik DUDE Network Monitor

В данной статье мы создадим защищенный туннельный интерфейс на базе OpenVPN.
Почему OpenVPN спросите Вы, ведь есть же PPTP, L2TP.
Отвечаю, я тестировал соединения на базе этих двух протоколов. К сожалению они не показали достаточно стабильного соединения между собой. Происходили частые падения туннельных интерфейсов.
Возможно это было связано с какой-то прошивкой. Но это не столь важно. Важно то, что настроив один раз туннель на OpenVPN, я забыл про разрывы связи совсем и до сих пор все работает отлично.

Прежде чем настраивать OpenVPN сервер и создавать туннель, разберемся с тем, как он работает на Mikrotik. Т.к. на RouterOS v6 есть ограничения.
Обратимся к официальному источнику — Wiki Mikrotik(Eng) и Manual Interface(Eng).
В OpenVPN используются два типа интерфейса:
tun — в RoS он определяется, как ip, это туннельный уровень.
tap — в RoS он определяется, как ethernet, это канальный уровень.
Только начиная с прошивки 6.39.x была добавлена топология subnet для tun режима.
Выдержка из Changelog:
*) ovpn — added support for «push-continuation»;
*) ovpn — added support for topology subnet for IP mode;
*) ovpn — fixed duplicate default gateway presence when receiving extra routes;
*) ovpn — improved performance when receiving too many options;

Не поддерживается в 6 версии операционной системы:
UDP протокол, т.е. необходимо использовать исключительно TCP!
LZO сжатие
TLS аутентификация
Аутентификация без имени пользователя и пароля
Если Вы будете читать эту статью, и уже будет доступна 7 версия RouterOS, то в ней, все это, уже должно работать (но это не точно)!

К сожалению сложно сказать, почему Mikrotik пришли именно к такому решению и именно таким ограничениям, но мы имеем то, что имеем.
По ТСР, сервер в типичном случае будет получать ТСР-сегменты OpenVPN, которые содержат другие ТСР-сегменты от клиента. В результате в цепи получается двойная проверка на целостность информации, что совершенно не имеет смысла, т.к. надежность не повышается, а скорости соединения и пинга снижаются.
UDP конечно предпочтительней, но его нет…

OpenVPN предлагает пользователю несколько видов аутентификации.
Предустановленный ключ — самый простой метод.
Сертификатная аутентификация — наиболее гибкий в настройках метод.
С помощью логина и пароля — может использоваться без создания клиентского сертификата (серверный сертификат всё равно нужен).

Мы будем использовать Сертификатную аутентификацию для обеспечения хорошей защищенности нашего соединения.

Для создания туннеля, нам понадобятся сертификаты и ключи к ним. Данные сертификаты можно создать, как на Windows, Linux, так и на самом роутере.
Я сторонник создания сертификатов на своем ПК, чтобы они были у меня в файлах и я мог их достать в случаях «А вдруг что».

1. Создание сертификатов для OpenVPN соединения
Я буду создавать сертификаты на операционной системе Windows, для всех остальных ОС принцип похож. Можно загуглить.
Для начала необходимо скачать и установить дистрибутив OpenVPN: Страница Загрузок OpenVPN
Запускаем установщик openvpn-install
Если Вы не собираетесь использовать все возможности туннелирования на своей Windows машине и Вам нужно исключительно создать сертификаты, то можно снять галки с пунктов TAP Virtual Ethernet Adapter и OpenVPN GUI.

openvpn-install
Выбираем нужные пункты
После скачивания и установки в указанную Вами папку в ней будет список файлов. у меня это папка C:\Program Files\OpenVPN\
Нам необходимо перейти в папку easy-rsa
Нужно открыть консоль Windows (для Windows Vista/7/8/8.1/10 нужно запускать от Администратора)
Переходим в папку easy-rsa по пути установки командой cd
Например:
cd C:\Program Files\OpenVPN\easy-rsa

Запускаем файл init-config.bat
C:\Program Files\OpenVPN\easy-rsa>init-config.bat
C:\Program Files\OpenVPN\easy-rsa>copy vars.bat.sample vars.bat
Скопировано файлов: 1.

В папке появится файл vars.bat, открываем его текстовым редактором, нас интересуют строчки в самом конце, их нужно заполнить
Я подставил свои параметры, у Вас данные параметры будут другие:
set KEY_COUNTRY=RU
set KEY_PROVINCE=Moscow
set KEY_CITY=Moscow
set KEY_ORG=HOME
set KEY_EMAIL=my@email.ru
set KEY_CN=server
set KEY_NAME=server
set KEY_OU=HOME
set PKCS11_MODULE_PATH=server
set PKCS11_PIN=12345

Там где написано server, не трогаем. Сохраняем файл.

Далее открываем редактором файл openssl-1.0.0.cnf
Находим строчку default_days 365 и заменяем число 365 на 3650 или свое. Тем самым мы увеличим время жизни наших сертификатов на 10 лет.
Сохраняем и закрываем.

Дополнительно:
Если Вы тот еще параноик, то Вы можете отредактировать еще один параметр:
set KEY_SIZE=1024
Для пущей сложности данный параметр можно изменить на 2048 и на 4096(для современных версий OpenVPN)
Но будьте готовы к долгому ожиданию(на слабых ПК очень долгому), пока сгенерируется ключ.

Пишем в консоль команды
vars
clean-all

В ответ должно прийти
Скопировано файлов: 1.
Скопировано файлов: 1.

Создаем ключ Диффи-Хеллмана
build-dh
Вывод из консоли:
C:\Program Files\OpenVPN\easy-rsa>build-dh
WARNING: can't open config file: /etc/ssl/openssl.cnf
Generating DH parameters, 1024 bit long safe prime, generator 2
This is going to take a long time
..........+.........

Известные проблемы:
При подаче команды clean-all или build-dh в самом начале генерации сертификатов, может проявится одна ошибка, выглядит она так:
C:\Users\TEST>build-dh
"openssl" не является внутренней или внешней
командой, исполняемой программой или пакетным файлом.

Бороться с этим необходимо следующим образом. Нужно указать путь до файла openssl.exe в файле vars.bat в ручную.
А точнее стираем слово rem в строке (rem — это комментирование строки):
rem set "PATH=%PATH%;C:\Program Files\OpenVPN\bin"
Получаем:
set "PATH=%PATH%;C:\Program Files\OpenVPN\bin"
Сохраняем файл и производим весь процесс сначала
vars
clean-all
build….. и т.д

Создаем основной сертификат
build-ca

При генерации основного сертификата в консоли будут отображаться вопросы. Просто нажимаем Enter, т.к. все эти параметры мы ввели в файле vars.bat
Нажимаем Enter до тех пор, пока не отобразиться строка приглашения
C:\Program Files\OpenVPN\easy-rsa

Далее создаем сертификат сервера и его ключ:
build-key-server server

На вопросы так же нажимаем Enter, но не торопимся, в самом конце будет задано два вопроса
Sign the certificate?
1 out of 1 certificate requests certified, commit?

На оба эти вопроса отвечаем Y
Вывод из консоли:
Certificate is to be certified until Oct 16 07:03:55 2027 GMT (3650 days)
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

Теперь создаем сертификат и ключ клиента:
build-key client

Также не торопимся с ответами, как только увидим строку «Common Name (eg, your name or your server’s hostname)» нужно ответить client
В самом конце также будут два вопроса, отвечаем также Y
Причем: для каждого клиента, нужно будет создать отдельные ключи и называть их по разному, например client1, client2 или как-то иначе, все зависит от Вашего воображения. Также не забывайте вводить эти имена при запросе Common Name
Вывод из консоли:
C:\Program Files\OpenVPN\easy-rsa>build-key client
WARNING: can't open config file: /etc/ssl/openssl.cnf
Generating a 1024 bit RSA private key
............++++++
.............................................................................++++++
writing new private key to 'keys\client.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [RU]:
State or Province Name (full name) [Moscow]:
Locality Name (eg, city) [Moscow]:
Organization Name (eg, company) [Home]:
Organizational Unit Name (eg, section) [Home]:
Common Name (eg, your name or your server's hostname) [server]:client
Name [server]:client
Email Address [my@email.ru]:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
WARNING: can't open config file: /etc/ssl/openssl.cnf
Using configuration from openssl-1.0.0.cnf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName :PRINTABLE:'RU'
stateOrProvinceName :PRINTABLE:'Moscow'
localityName :PRINTABLE:'Moscow'
organizationName :PRINTABLE:'Home'
organizationalUnitName:PRINTABLE:'Home'
commonName :PRINTABLE:'client'
name :PRINTABLE:'client'
emailAddress :IA5STRING:'my@email.ru'
Certificate is to be certified until Oct 16 07:16:56 2027 GMT (3650 days)
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

Пример создания клиентских сертификатов:
build-key client1
build-key office1

На этом создание файлов сертификатов и ключей завершено.
Все файлы будут лежать в папке C:\Program Files\OpenVPN\easy-rsa\keys\

dir-sert-keys
Примерной такой список файлов должен получиться у Вас

2. Настройка OpenVPN сервера и интерфейса туннеля на hAP ac
Переходим к созданию туннеля на роутере hAP ac
Необходимо загрузить сертификат сервера, ключ сервера и основной сертификат в роутер. Файлы:
ca.crt
server.crt
server.key

Открываем раздел Files и переносим туда наши файлы. (Или используем FTP)

hap-file-certkey
Загруженные файлы сертификатов и ключа
Теперь нам необходимо импортировать данные сертификаты в RouterOS, чтобы она могла ими оперировать.
system-cert
Меню сертификатов
Импортируем наши сертификаты и ключи
import-certkey
Выбираем нужные сертификаты и ключ и импортируем их
Консольно:
/certificate import file-name=ca.crt passphrase=""
/certificate import file-name=server.crt passphrase=""
/certificate import file-name=server.key passphrase=""

Займемся настройкой OpenVPN. переходим в меню PPP

ppp
Меню PPP
ppp-profiles
Добавляем новый профиль для нашего туннеля
Нам необходимо выделить IP адреса, которые мы будем использовать для туннельных интерфейсов.
Я выбрал подсеть 172.16.10.0/24 соответственно сервер будет иметь адрес 172.16.10.1, а клиенты далее по маске. 2,3,4 и т.д.
new-ppp-profile
Заполняем необходимые параметры профиля
new-ppp-profile-2
Заполняем оставшиеся параметры профиля
Консольно:
/ppp profile add name=ovpn-server local-address=172.16.10.1 change-tcp-mss=yes use-upnp=no use-mpls=yes use-compression=no use-encryption=yes only-one=default

Добавляем авторизационные данные для каждого клиента, который будет подключаться к OpenVPN серверу.

ppp-secrets
Открываем вкладку с записями данных авторизации
Т.к. у сервера IP 172.16.10.1 выдаем клиенту IP 172.16.10.2
new-ppp-secret
Добавляем нашего клиента
Консольно:
/ppp secret add name=client password=123456789 service=ovpn profile=ovpn-server remote-address=172.16.10.2

Теперь нужно включить саму службу OpenVPN

ppp-ovpn-server
Нажимаем кнопку для отображения параметров сервера
ppp-ovpn-enabled
Выполняем настройки сервера
Консольно:
/interface ovpn-server server set enabled=yes port=1194 mode=ip netmask=24 default-profile=ovpn-server certificate=server.crt_0 require-client-certificate=yes auth=sha1,md5 cipher=blowfish128,aes128,aes192,aes256

В принципе этих настроек достаточно, но я предпочитаю наблюдать за интерфейсом. для этого мы можем зафиксировать интерфейс за конкретным клиентом. Сделаем привязку.

ppp-ovpn-server-binding
Биндим интерфейс
ppp-new-bind
Достаточно ввести имя клиента из PPP Secret и имя самого интерфейса
Консольно:
/interface ovpn-server add name=ovpn-inclient user=client

Может показаться, что мы все уже настроили, но это не совсем так. Остался последний штрих. Необходимо разрешить прохождение запросов на OpenVPN сервер через Firewall
Для этого переходим в меню межсетевого экрана

ip-firewall
Переходим в меню Firewall
ip-firewall-addnew
Добавляем новую запись
ip-firewall-newrule
Разрешаем входящий трафик на порту 1194 с интерфейса WAN
ip-firewall-newrule2
Само разрешение
Консольно:
/ip firewall filter add chain=input protocol=tcp dst-port=1194 in-interface=WAN action=accept comment="Accept OpenVPN Requests"

На этом настройка OpenVPN на роутере hAP ac завершена, переходим к роутеру hEX

3. Настройка OpenVPN клиента и интерфейса туннеля на hEX
На данном роутере нам необходимо проделать гораздо меньше операций для запуска клиента.
Помним, что создали сертификат клиента! Загружаем его в роутер и импортируем по аналогии с hAP ac.

hex-import-cert
Загружаем и импортируем сертификат и ключ клиента
Консольно:
/certificate import file-name=client.crt passphrase=""
/certificate import file-name=client.key passphrase=""

Создаем профиль для OpenVPN в меню PPP

ppp-ovpn-client-profile
Добавляем новый профиль
Консольно:
/ppp profile add name=ovpn-client change-tcp-mss=yes use-upnp=no use-mpls=yes use-compression=no use-encryption=yes

Добавляем интерфейс OpenVPN для подключения к OpenVPN серверу.
Как мы помним из первой части цикла статей, внешний IP адрес у нас 98.76.54.32

ovpn-client
Добавляем интерфейс клиента OpenVPN
new-ovpn-client
Задаем имя интерфейса
ppp-ovpn-clientnew
Заполняем параметры для подключения к серверу OpenVPN
Консольно:
/interface ovpn-client add name=ovpn-outclient connect-to=98.76.54.32 port=1194 mode=ip user=client password=123456789 profile=ovpn-client certificate=client.crt_0 auth=md5 cipher=blowfish128

Шифрование Вы можете выбрать любое, которое установили доступным для сервера.
После создания интерфейса туннель должен уже быть активен. В списке IP адресов Вы должны увидеть IP 172.16.10.2 полученный от OpenVPN сервера.
Также в статусе можно увидеть с какими параметрами подключен интерфейс.

ovpn-client-status
Признаки активного соединения

Вот мы и закончили создание OpenVPN туннеля между двумя роутерами hAP ac и hEX
Буду рад любым замечаниям или комментариям. Возможно Вы знаете, как сделать лучше!

P.S.
Аналогом данного решения может послужить вариант PPTP туннеля. А шифрование можно организовать в самом EoIP посредством IPsec

В следующей статье мы создадим интерфейсы, которые свяжут два наших роутера в единый сетевой мост для прохождения сетевого трафика, заблокируем прохождение DHCP запросов между роутерами, чтобы их DHCP сервера не мешали друг другу.

Продолжение:
Создание домашней сети на базе устройств MikroTik: Часть 5 — Создание EoIP туннеля

hex-main

Создание домашней сети на базе устройств MikroTik: Часть 3 — Настройка RB750Gr3 hEX

Продолжение предыдущих статей по организации единой локальной сети.
Содержание:
Создание домашней сети на базе устройств MikroTik: Часть 1
Создание домашней сети на базе устройств MikroTik: Часть 2 — Настройка hAP ac
Создание домашней сети на базе устройств MikroTik: Часть 3 — Настройка RB750Gr3 hEX (Вы тут)
Создание домашней сети на базе устройств MikroTik: Часть 4 — Создание OpenVPN туннеля
Создание домашней сети на базе устройств MikroTik: Часть 5 — Создание EoIP туннеля
Создание домашней сети на базе устройств MikroTik: Часть 6 — Firewall защита доступа
Создание домашней сети на базе устройств MikroTik: Часть 7 — Firewall правильное перенаправление портов в сети с двумя шлюзами
Создание домашней сети на базе устройств MikroTik: Часть 8 — Установка и настройка MikroTik DUDE Network Monitor

Мы настроили наш основной роутер hAP ac для работы со статическим IP провайдера и провели базовую настройку не затрагивая настройку защищенного туннеля (VPN).
Произведем настройку для роутера hEX RB750Gr3.
Суть и методика настройки не особо отличается от настройки модели hAP ac. В этой модели просто нет Wi-Fi.

Подключим роутер к ПК/Ноутбуку через порт 2, а кабель провайдера в порт Internet.

hex-ports
Красным — интернет / Синим — локальный

На ПК для сетевого интерфейса устанавливаем статический IP 192.168.88.5 и маску сети 255.255.255.0
Это нужно если у роутера отсутствует IP адрес.

Открываем утилиту WinBox (Подробнее: Тут и Тут). Сбрасываем все заводские настройки, они нам не понадобятся!

reset-configuration
Сброс настроек
Консольно:
/system reset-configuration no-defaults=yes skip-backup=yes
Подтверждаем сброс настроек.
После этой процедуры, у роутера не будет IP адреса, поэтому подключаемся по MAC адресу.
Все настройки будут сброшены, начнем настройку:

1. Настраиваем сетевые интерфейсы
Все также, как и для hAP ac.
Данный роутер будет располагаться территориально далеко, например в другом городе, соответственно все настройки делаем для используемого провайдера.
Все интерфейсы RJ45 входят в один свич(switch1) поэтому нам нужно отделить порт для провайдера, и порты для локальных соединений.
Выбираем интерфейс ether1 и переименовываем его в WAN

hEX wan
Меняем имя порта ether1
Консольно:
/interface ethernet set [find default-name=ether1] name=WAN

Выбираем интерфейс ether2 и переименовываем его в LAN1-Master
Т.к все сетевые порты у нас находятся в свиче, мы можем сделать один из портов ведущим(Мастер порт), а остальные ведомыми(Слейв порты). По сути получится, как будто каждый из портов это один и тот же порт.

hEX LAN Master
Меняем имя порта ether2
Консольно:
/interface ethernet set [find default-name=ether2] name=LAN1-Master
Остальные ether3, ether4 и ether5 переименовываем соответствующе LAN2-Slave, LAN3-Slave, LAN4-Slave и назначаем им Мастер портом — порт LAN1-Master
hEX LAN2
Для остальных делаем по аналогии
Консольно:
/interface ethernet set [find default-name=ether3] name=LAN2-Slave master-port=LAN1-Master
/interface ethernet set [find default-name=ether4] name=LAN3-Slave master-port=LAN1-Master
/interface ethernet set [find default-name=ether5] name=LAN4-Slave master-port=LAN1-Master

2. Создадим сетевой мост
Сетевой мост будет служить основным интерфейсом, который соберет в себе все наши локальные интерфейсы. Т.е. нужно добавить к новому сетевому мосту все нужные интерфейсы.
Также мы помним, что мы сделали мастер порт и часть портов привязали к нему, соответственно все второстепенные порты добавлять не нужно.

Создадим сам сетевой мост. Назовем его LAN-Bridge

bridge
В этом меню можно создавать сетевые мосты
hEX Bridge
Настраиваем сетевой мост
Начнем добавлять порты.
bridge-port-add
Добавляем Мастер порт
На данный момент в сетевой мост мы добавим только Мастер порт. В дальнейшем мы добавим в этот мост специальный интерфейс туннеля, но об этом позже.
В момент добавления интерфейса LAN1-Master Вас может отключить от роутера, в этом нет ничего страшного, просто подключаемся снова.

Консольно:
/interface bridge add name=LAN-Bridge arp=proxy-arp
/interface bridge port add interface=LAN1-Master disabled=no

3. Разрешим нашему роутеру обрабатывать DNS

dns
Разрешаем обработку DNS запросов

Консольно:
/ip dns set allow-remote-requests=yes cache-size=4096

4. Подключение к провайдеру
У меня и второй Интернет провайдер предоставляет интернет по DHCP. Т.е. необходимо настроить DHCP клиент на порт в который вставлен кабель провайдера (WAN)

ip-dhcpclient
Находим нужное меню и добавляем новое правило
hEX DHCP Client
Параметров не много
В столбце IP Address мы должны увидеть IP от провайдера.

Консольно:
/ip dhcp-client add interface=WAN add-default-route=yes disabled=no default-route-distance=1 use-peer-dns=yes use-peer-ntp=yes

5. Доступ в интернет
Для того, чтобы наши клиенты могли выходить в сеть интернет, нам необходимо указать, через какой интерфейс они будут это делать.
Эти настройки делаются через Межсетевой экран (Firewall)

ip-firewall
Переходим в межсетевой экран и добавляем правило
ip-firewall-add-1
Указываем основные параметры
ip-firewall-add-2
Указываем еще один параметр
В принципе этого достаточно, чтобы на роутере уже появился интернет. Но у клиентов его не будет т.к. еще нет IP адреса и локального DHCP сервера.

Консольно:
/ip firewall nat add chain=srcnat out-interface=WAN action=masquerade

6. IP адрес роутера
Теперь назначим нашему роутеру IP адрес.
Мы определили, что в Локации 2 будет следующий разброс:
IP адрес роутера: 192.168.88.2
IP адреса для клиентов: 192.168.88.30 — 192.168.88.59
29 адресов должно хватить для всех устройств в квартире, даже с избытком.

ip-addresses
Переходим в меню IP адресов
hEX-address
Добавляем IP адрес для нашего сетевого моста
Так мы указываем, что IP адрес 192.168.88.2 привязать к интерфейсу LAN-Bridge

Консольно:
/ip address add address=192.168.88.2/24 interface=LAN-Bridge

7. DHCP Сервер для локальных клиентов
Для того, чтобы наши клиенты могли подключаться к нашему роутеру и получать от него IP адреса и другие параметры, необходимо настроить DHCP сервер.
Первоначально укажем Pool IP адресов

ip-pool
Переходим в меню диапазонов IP адресов
hex-pool
Добавляем обозначенный диапазон

Теперь добавляем сам DHCP сервер

ip-dhcpserver
Переходим в меню DHCP серверов
hex-dhcp-server
Задаем настройки DHCP сервера
Осталось еще указать для какой сети и какие дополнительные параметры будут получать подключенные клиенты.
hex-dhcp-server-network
Указываем дополнительные параметры
Каждый подключенный клиент будет получать от DHCP сервера набор параметров:
Шлюз и DNS — В нашем случае и тем и другим будет выступать сам роутер.

Консоль:
/ip pool add name=LAN-Pool ranges=192.168.88.30-192.168.88.59
/ip dhcp-server add name=DHCP-Server interface=LAN-Bridge lease-time=12h address-pool=LAN-Pool bootp-support=dynamic bootp-lease-time=lease-time add-arp=yes authoritative=yes
/ip dhcp-server network add address=192.168.88.0/24 gateway=192.168.88.2 netmask=24 dns-server=192.168.88.2

Настройка роутера hEX (RB750Gr3) завершена.
Далее мы рассмотрим создание туннеля для связки двух роутеров и организации единой локальной сети с сетевой маской 255.255.255.0 (24)
Создание домашней сети на базе устройств MikroTik: Часть 4 — Создание OpenVPN туннеля

hapac-main

Создание домашней сети на базе устройств MikroTik: Часть 2 — Настройка hAP ac

Здравствуйте и Добро пожаловать на цикл статей по организации единой локальной сети!
Содержание:
Создание домашней сети на базе устройств MikroTik: Часть 1
Создание домашней сети на базе устройств MikroTik: Часть 2 — Настройка hAP ac (Вы тут)
Создание домашней сети на базе устройств MikroTik: Часть 3 — Настройка RB750gr3 hEX
Создание домашней сети на базе устройств MikroTik: Часть 4 — Создание OpenVPN туннеля
Создание домашней сети на базе устройств MikroTik: Часть 5 — Создание EoIP туннеля
Создание домашней сети на базе устройств MikroTik: Часть 6 — Firewall защита доступа
Создание домашней сети на базе устройств MikroTik: Часть 7 — Firewall правильное перенаправление портов в сети с двумя шлюзами
Создание домашней сети на базе устройств MikroTik: Часть 8 — Установка и настройка MikroTik DUDE Network Monitor

Мы обозначили схему, которую нам необходимо реализовать.
Начнем мы с базового роутера MikroTik hAP ac.
Предварительно перед настройкой я заказал услугу Публичный статический IP адрес! Это важно, без него туннели будет сложно построить(DDNS)
Предположим провайдер назначил нам IP = 98.76.54.32 (Взят для примеров)

В данной статье я покажу основные настройки, чтобы роутер мог получать интернет и раздавать его клиентам.
Статья получится достаточно большая, поэтому запаситесь терпением )))
Настройка VPN будет в отдельной статье.

ВАЖНО!!!
Компания MikroTik довольно активно изменяет и добавляет новый функционал в свои изделия. От этого меняются версии прошивок и в них бывают настолько серьезные изменения, что статьи в некоторых местах теряют свою актуальность. Так вот данная статья написана для прошивки 6.39.3 из ветки Bugfix.
Именно ветка Bugfix стабильнее всего и реже всего обновляется. Я предпочитаю стабильность, вместо каких-то новых фич, которые еще не до конца протестированы.

Подключим роутер к ПК/Ноутбук через порт 2, а кабель провайдера в порт 1.

hap-ac-port2
Синим — Internet, Красным — Локальный

На ПК для сетевого интерфейса устанавливаем статический IP 192.168.88.5 и маску сети 255.255.255.0
Это нужно если у роутера отсутствует IP адрес.

Открываем утилиту WinBox (Подробнее: Тут и Тут). Сбрасываем все заводские настройки, они нам не понадобятся!

reset-configuration
Сброс настроек
Консольно:
/system reset-configuration no-defaults=yes skip-backup=yes
Подтверждаем сброс настроек.

После этой процедуры, у роутера не будет IP адреса, поэтому подключаемся по MAC адресу.
Все настройки будут сброшены, начнем настройку:

1. Настроим проводные интерфейсы
Меню настройки интерфейсов:

interfaces
Меню интерфейсов
Консольно:
/interface

Все интерфейсы RJ45 входят в один свич(switch1) поэтому нам нужно отделить порт для провайдера, и порты для локальных соединений. Отдельно у нас еще стоят два Wi-Fi интерфейса и разъем SFP.
Выбираем интерфейс ether1 и переименовываем его в WAN

ether1-rename
Меняем имя порта ether1
Консольно:
/interface ethernet set [find default-name=ether1] name=WAN

Выбираем интерфейс ether2 и переименовываем его в LAN1-Master
Т.к все сетевые порты у нас находятся в свиче, мы можем сделать один из портов ведущим(Мастер порт), а остальные ведомыми(Слейв порты). По сути получится, как будто каждый из портов это один и тот же порт.

ether2-rename
Меняем имя порта ether2
Консольно:
/interface ethernet set [find default-name=ether2] name=LAN1-Master

Остальные ether3, ether4 и ether5 переименовываем соответствующе LAN2-Slave, LAN3-Slave, LAN4-Slave и назначаем им Мастер портом — порт LAN1-Master

ether3-rename
Для остальных делаем по аналогии
Консольно:
/interface ethernet set [find default-name=ether3] name=LAN2-Slave master-port=LAN1-Master
/interface ethernet set [find default-name=ether4] name=LAN3-Slave master-port=LAN1-Master
/interface ethernet set [find default-name=ether5] name=LAN4-Slave master-port=LAN1-Master

Отключим SFP порт, лично мне он ни к чему, просто, как приятный бонус. Вдруг потом пригодится.
Вы же можете докупить SFP модуль для обычного RJ-45 порта и использовать его для подключения кабеля провайдера. Вы ведь помните, что он на отдельной шине 1Gbit ))

disable-interface
Кнопка выключения
Консольно:
/interface ethernet disable sfp1

С проводными соединениями разобрались, перейдем далее…

2. Настроим Wi-Fi соединения
В модели hAP ac присутствует два вида Wi-Fi. Это 2.4GHz и 5GHz частоты. Соответственно в роутере мы имеем два Wi-Fi интерфейса — wlan1 и wlan2
Зайдя в настройки каждого, можно определить, какой из них какой.
2.4GHz

wifi-24
Модуль 2.4GHz
5GHz
wifi-5
Модуль 5GHz

Консольно:
/interface wireless print

Для начала настроим профиль авторизации для наших Wi-Fi интерфейсов:

wireless
Wi-Fi интерфейсы и параметры
Настраиваем базовый профиль или добавляем свой
wireless-security
WPA2 Pre-Shared Key — это и будет Ваш пароль к Wi-Fi

Консольно:
/interface wireless security-profiles set default mode=dynamic-keys authentication-types=wpa2-psk unicast-ciphers=aes-ccm group-ciphers=aes-ccm wpa2-pre-shared-key="12345678" management-protection=disabled

Теперь можно переходить к настройке самих интерфейсов Wi-Fi. Настроек много, глаза разбегаются, но ничего страшного, каждый пункт важен.
Начнем с интерфейса 2.4GHz.

wifi24-general
Вкладка General: меняем имя интерфейса — LAN-wifi24ghz и активируем расширенный режим!!
wifi24-wireless
Достаточно много настроек
Давайте пробежимся по параметрам
wifi24-advanced
Тут настроек не много, но они важные
Distance — Как долго ждать подтверждения одноадресных фреймов, прежде чем считать передачу неудачной. Если используем в небольшом помещении, ставим indoors, если на улице или в цеху, то dynamic.
Adaptive Noise Immunity — Это свойство действует только для карт на базе чипсета Atheros.
wifi24-ht
Выбираем антенны для работы
Отключаем все. Этими настройками мы пользоваться не будем.
wifi24-nstreme
Специфические настройки для nstreme
wifi24-tx-power
Настройка мощности передатчиков
Я предпочитаю самостоятельно устанавливать мощность передатчиков. Но не ухожу за рамки законодательства. Для России лучше выбирать значения 15-17.
На практике я понял, что разницы для квартиры особой нет, можно оставить и базовые значения, чтобы роутер самостоятельно настраивал мощность. Все и так работает, как часы!

Консольно:
/interface wireless set [ find default-name=wlan1 ] adaptive-noise-immunity=ap-and-client-mode band=2ghz-onlyn basic-rates-b="" channel-width=20/40mhz-Ce country=romania disabled=no distance=indoors frequency=auto frequency-mode=regulatory-domain hw-protection-mode=rts-cts mode=ap-bridge multicast-helper=full name=LAN5-wifi24ghz radio-name=POINT24_1 ssid=POINT24GHZ supported-rates-b="" wireless-protocol=802.11 wmm-support=enabled wps-mode=disabled
/interface wireless nstreme set LAN5-wifi24ghz enable-polling=no

С интерфейсом 2.4GHz закончили.

Переходим к интерфейсу 5GHz
Сразу напомню, что в ПК я использую PCI модуль Wi-Fi ASUS PCE-AC66. Он имеет три антенны и позволяет работать с AC стандартом.
5GHz еще может работать со стандартом N, но в этом случае скорости ~800-900 Мбит/сек Вам не светят.
Поэтому настройки у меня будут под чистый AC стандарт. Поехали…

wifi5-general
Меняем имя интерфейса, MTU, и убеждаемся, что ARP включено.
wifi5-wireless
Также большой список в Advanced режиме
В принципе все настройки идентичны тем, что устанавливаются для 2.4GHz. Но есть ряд особенностей!
Channel Width — С этими параметрами пришлось поиграть, чтобы подобрать верный диапазон и частоту на которых будет работать PCE-AC66.
Frequency — Частота для канала, задал в ручную т.к. канал не забит соседями ))

Данные параметры оказались самые стабильные для использования с PCE-AC66 от Асус.
wifi5-advanced
Тоже самое, что и для 2.4GHz
wifi5-ht
Аналогично 2.4GHz
wifi5-nstreme
Аналогично 2.4GHz
wifi5-txpower
Аналогично 2.4GHz

Консольно:
/interface wireless set [ find default-name=wlan2 ] adaptive-noise-immunity=ap-and-client-mode band=5ghz-onlyac channel-width=20/40/80mhz-Ceee country=romania disabled=no distance=indoors frequency=auto frequency-mode=regulatory-domain hw-protection-mode=rts-cts mode=ap-bridge multicast-helper=full name=LAN6-wifi5ghz radio-name=POINT5_1 ssid=POINT5GHZ wireless-protocol=802.11 wmm-support=enabled wps-mode=disabled
/interface wireless nstreme set LAN6-wifi5ghz enable-polling=no

Закончили с интерфейсом 5GHz.

3. Создадим сетевой мост всех наших интерфейсов
Сетевой мост будет служить основным интерфейсом, который соберет в себе все наши локальные интерфейсы. Т.е. нужно добавить к новому сетевому мосту все нужные интерфейсы.
Также мы помним, что мы сделали мастер порт и часть портов привязали к нему, соответственно все второстепенные порты добавлять не нужно.

bridge
В этом меню можно создавать сетевые мосты
Создадим сам сетевой мост. Назовем его LAN-Bridge
bridge-add
Создаем сетевой мост
Консольно:
/interface bridge add name="LAN-Bridge" comment="LAN" mtu=1500 arp=proxy-arp

Начнем добавлять порты.

bridge-port-add
И так для каждого нужного порта
Нам нужно добавить порты:
LAN1-Master
LAN5-wifi24ghz
LAN6-wifi5ghz

Консольно:
/interface bridge port
add interface=LAN1-Master bridge=LAN-Bridge
add interface=LAN5-wifi24ghz bridge=LAN-Bridge
add interface=LAN6-wifi5ghz bridge=LAN-Bridge

В момент добавления интерфейса LAN1-Master Вас может отключить от роутера, в этом нет ничего страшного, просто подключаемся снова.

4. Разрешим нашему роутеру обрабатывать DNS

dns
Разрешаем обработку DNS запросов
Консольно:
/ip dns set allow-remote-requests=yes cache-size=4096

5. Подключение к провайдеру
У меня Интернет провайдер предоставляет интернет по DHCP. Т.е. необходимо настроить DHCP клиент на порт в который вставлен кабель провайдера (WAN)

ip-dhcpclient
Находим нужное меню и добавляем новое правило
Указываем нужный интерфейс.
ip-dhcpclient-add
Параметров не много
В столбце IP Address мы должны увидеть свой статический IP от провайдера. Вы же помните, что для этого роутера нужно подключить Статический IP!!!

Консольно:
/ip dhcp-client add interface=WAN add-default-route=yes disabled=no default-route-distance=1 use-peer-dns=yes use-peer-ntp=yes

6. Доступ в интернет
Для того, чтобы наши клиенты могли выходить в сеть интернет, нам необходимо указать, через какой интерфейс они будут это делать.
Эти настройки делаются через Межсетевой экран (Firewall)

ip-firewall
Переходим в межсетевой экран
ip-firewall-add-1
Указываем основные параметры
ip-firewall-add-2
Указываем последнее правило и жмем OK
В принципе этого достаточно, чтобы на роутере уже появился интернет. Но у клиентов его не будет т.к. еще нет IP адреса и локального DHCP сервера.

Консольно:
/ip firewall nat add chain=srcnat out-interface=WAN action=masquerade

7. IP адрес роутера
Теперь назначим нашему роутеру IP адрес.
Мы определили, что в Локации 1 будет следующий разброс:
IP адрес роутера: 192.168.88.1
IP адреса для клиентов: 192.168.88.5 — 192.168.88.29
24 адреса должно хватить для всех устройств в квартире, даже с избытком.

ip-addresses
Переходим в меню IP адресов
ip-addresses-add
Добавляем IP адрес для нашего сетевого моста
Так мы указываем, что IP адрес 192.168.88.1 привязать к интерфейсу LAN-Bridge.

Консольно:
/ip address add address=192.168.88.1/24 interface=LAN-Bridge

8. DHCP Сервер для локальных клиентов
Для того, чтобы наши клиенты могли подключаться к нашему роутеру и получать от него IP адреса и другие параметры, необходимо настроить DHCP сервер.
Первоначально укажем Pool IP адресов

ip-pool
Переходим в меню
ip-pool-add
Добавляем обозначенный диапазон
Теперь добавляем сам DHCP сервер
ip-dhcpserver
Переходим к добавлению DHCP
ip-dhcpserver-add
Задаем настройки DHCP сервера
Осталось еще указать для какой сети и какие дополнительные параметры будут получать подключенные клиенты.
ip-dhcpserver-networks
Указываем дополнительные параметры
Каждый подключенный клиент будет получать от DHCP сервера набор параметров:
Шлюз и DNS — В нашем случае и тем и другим будет выступать сам роутер.

Консольно:
/ip pool add name=LAN-Pool ranges=192.168.88.5-192.168.88.29
/ip dhcp-server add name=DHCP-Server interface=LAN-Bridge lease-time=12h address-pool=LAN-Pool bootp-support=dynamic bootp-lease-time=lease-time add-arp=yes authoritative=yes
/ip dhcp-server network add address=192.168.88.0/24 gateway=192.168.88.1 netmask=24 dns-server=192.168.88.1

В принципе уже можно подключать устройства по Wi-Fi и любые другие, уже должен работать интернет.
Для затравки ))))

wireless_reg
Тут важно понимать, что это не практические скорости, а расчитанные роутером. Эти параметры меняются при активном использовании Wi-Fi

На этом закончим статью, остальные настройки рассмотрим позже )) Сама статья получилась достаточно большая и если Вы дочитали до конца Вы определенно молодцы!!!
Продолжение:
Создание домашней сети на базе устройств MikroTik: Часть 3 — Настройка RB750gr3 hEX

UPD: 09.02.2018
Изменены настройки для Wi-Fi 2.4GHz и 5GHz на основании опыта эксплуатации.

UPD: 20.03.2018
Исправил ошибку отсутствия ручного ввода MTU в сетевой мост LAN-Bridge. Если этого не сделать, в статье по созданию EoIP туннеля меняется MTU сетевого моста. Т.к. Root Port-ом становится интерфейс EoIP туннеля.

UPD: 08.04.2018
Найдена проблема: radar detected on
Сработал радар детектор. Вернее сработала система DFS (Dynamic Frequency Selection — динамический выбор частоты)
В роутере это выглядит так. Смотрим лог:

hapac-1
 
Т.е сработал радарный детектор на частоте 5260 МГц. Радарные импульсы довольно трудно обнаружить, потому что они довольно быстрые (каждый импульс длится около половины микросекунды) и может присутствовать на очень низких уровнях мощности (от -62 до -64 дБмВт), но наш Роутер справился ))
А проблемой является постоянное отключение клиентов от точки 5 ГГц!!!
Это не хорошо, и я решил зафиксировать частоту на самой низкой в 5180 МГц
hapac-2
 
Понаблюдаю работу в этом режиме. Но на первый взгляд, канал стал работать стабильнее.

ASUS RT-AC66U: CFE или Меняем регион на новых прошивках

Всем привет!!
В предыдущих статьях мы с Вами использовали прошивку 3.0.0.4_374.43_0, как имеющую возможность изменить регион роутера через NVRAM.
Но в следующих прошивках компания ASUS изменила политику считывания региона в роутере. Теперь вместо того, чтобы брать настройки из NVRAM, роутер берет эти настройки из специального раздела CFE

В этой статье мы будем изменять CFE, чтобы открыть все доступные каналы для 5GHz на роутере RT-AC66U

!!! Внимание. Данная статья актуальна для роутера первой ревизии
На данный момент известны ревизии:
ASUS RT-AC66U — именно для этой ревизии данная статья.
ASUS RT-AC66U B1 H/W Ver.:A1
ASUS RT-AC66U B1 H/W Ver.:B1
Возможно существуют и другие, если обнаружите, то сообщите пожалуйста в комментариях!

В первую очередь обновимся на новую прошивку, каким способом это делать, выбирать Вам. Я предпочитаю использовать Firmware Restoration
Делаю через эту утилиту для того, чтобы исключить проблемы перехода со старой прошивки на более новую. К тому же я буду использовать прошивку от «Мерлина» RT-AC66U_380.66_4

Вы можете спросить, а зачем обновляться, если и на старой все работает. Хороший вопрос. На старой прошивке отсутствовал пакет SNMP для удаленного мониторинга. В новых прошивках он уже есть.
Мне это нужно для мониторинга через DUDE. По этому сервису будет отдельная статья.

Как только выполните обновление необходимо зайти в настройки и включить доступ по SSH или Telnet

rt-ac66u-ssh-enable
Так выглядит включение SSH
Подключаемся по SSH к роутеру, будем орудовать через консоль!
Я использую для этих целей PUTTY
rt-ac66u-connect-ssh
Окно подключения к роутеру. Вводим его IP адрес.
Соглашаемся с новым ключом
ssh-key-accept
Соглашаемся
Переходим в свободную папку, я захожу в jffs
cd /jffs

Далее сохраняем наш CFE в бинарный файл
cp /dev/mtd0 cfe.bin

Нам необходимо вытащить из роутера данный файл, чтобы его поправить.
Предпочитаю использовать для этого программу WinSCP

Подключаемся к роутеру по протоколу SCP и заходим в папку jffs

winscp-connection
Настраиваем и подключаемся
winscp-jffs
Содержимое jffs

Видим нужный файл. Скачиваем его на компьютер в удобное место.

Для того, чтобы его открыть понадобится программа Vortex CFE Editor
CFEEdit.zip

Запускаем программу и открываем наш cfe.bin файл

cfe-editor-opencfe
Открываем наш cfe.bin файл
Переходим во вкладку Advanced Mode
cfe-editor-advmode
Все важные параметры нашего роутера сохранены в CFE
Необходимо найти строки:
pci/1/1/ccode=
pci/2/1/ccode=
regulation_domain=
regulation_domain_5G=
pci/1/1/regrev=
pci/2/1/regrev=

У Вас может быть по разному. Например у меня было pci/1/1/ccode=EU, pci/1/1/regrev=13 и т.д.

Меняем параметры:
pci/1/1/ccode=#a
pci/2/1/ccode=#a
regulation_domain=#a
regulation_domain_5G=#a
pci/1/1/regrev=0
pci/2/1/regrev=0

И сохраняем новый CFE под именем cfe_new.bin

cfe-editor-savecfe
Сохраняем новый CFE
Загружаем через WinSCP новый CFE в папку jffs
winscp-new-cfe
Новый CFE загружен
Теперь нам нужно обновить раздел в роутере через новый CFE, для этого используются команды mtd-write и mtd-erase
Подаем команды:
mtd-write -i cfe_new.bin -d pmon
mtd-erase -d nvram
reboot

После перезагрузки роутера проверяем доступность расширенных каналов для 5GHz Wi-Fi

rt-ac66u-5ghz-channel
Все каналы доступны

Спасибо, что дочитали до конца!!!
Также предупреждаю, что все процедуры, Вы проделываете на свой страх и риск. За проблемы в работе Вашего оборудования автор данной статьи ответственности не несет!
Если у Вас есть, какие-либо дополнения, прошу в комментарии 🙂

P.S.*
Благодаря одному из наших читателей у меня есть возможность дополнить статью.
Представляем Вашему вниманию снятие блокировки с роутера ASUS RT-AC68U ревизии E1!
В cfe.bin меняем:
0:maxp2ga0=120
0:maxp2ga1=120
0:maxp2ga2=120
0:ccode=#a
1:maxp5ga0=120,120,120,120
1:maxp5ga1=120,120,120,120
1:maxp5ga2=120,120,120,120
1:ccode=#a
0:regrev=0
1:regrev=0

И совсем удаляем territory_code=EE/01 (привязка мощности и каналов к региону. Без него будет работать на полную).
Значение 120 выше соответствует мощности 28.50 -30 dBm (708 — 1000 mW). Короче максималка.

Для прошивки кидаем исправленный cfe.bin и файлы mtd-write, reg_all.sh из asus_unlock.zip в папку /jffs

Шьем следующими командами:
chmod +x mtd-write
chmod +x reg_all.sh
./mtd-write cfe_new.bin boot
./reg_all.sh
reboot

Собственно после этого должны появиться дополнительные каналы в настройке сети 5ГГц.
Все данные сохраняются при перепрошивке роутера. Я накатывал после прошивки cfe и официалку и мерлина — все сохраняется после сброса.

Единственный момент: если внести изменения в Advanced разделе настройки wifi, то мощность может опять снизится (привязка к параметру perfomance в прошивке).
Максимум восстанавливается через telnet следующими командами:
nvram set 0:maxp2ga0=120
nvram set 0:maxp2ga1=120
nvram set 0:maxp2ga2=120
nvram set 1:maxp5ga0=120,120,120,120
nvram set 1:maxp5ga1=120,120,120,120
nvram set 1:maxp5ga2=120,120,120,120
nvram commit
reboot

Автор: Михаил
Исходный комментарий

Создание домашней сети на базе устройств MikroTik: Часть 1

Добро пожаловать!

В предыдущих частях мы с Вами познакомились с особенностями начала работы для роутеров MikroTik на базе RouterOS:
MikroTik (RoS) Знакомство с профессиональной системой (ликбез)
Знакомимся с интерфейсом WinBox
Способы настройки роутеров Mikrotik

Пора бы нам уже начать пользоваться этими замечательными роутерами.
Предлагаю Вам рассмотреть изучение работы на хорошем примере домашнего использования роутеров и маршрутизаторов MikroTik.
Мы построим с Вами единую локальную сеть на разных устройствах и с разными провайдерами. Установим систему мониторинга Dude и сможем настраивать и следить за оборудованием из любого места, где есть интернет.

С чего весь замес:
Переехал я как-то от родителей, а мой ПК с медиа-сервером Plex, уехал вместе со мной. Домашние любят смотреть фильмы, соответственно нужно было «удлинить» мою локальную сеть на две квартиры между которыми порядка 90 км.
Для организации этой задачи я соответственно выбрал роутеры фирмы MikroTik.
1. hAP ac (RB962UiGS-5HacT2HnT) «Не путать с hAP ac Lite!!!»
2. hEX (RB750Gr3)
Оба роутера достаточно мощные. Именно на их примере я буду приводить пример построения сети.

Давайте посмотрим, что из себя представляет первая модель роутера:
1. hAP ac (RB962UiGS-5HacT2HnT)

hap-ac-main
Так выглядит сам роутер, с других сторон ничего нет ))
hapac-block-diagram
Блок диаграмма разводки
Давайте взглянем на его технические характеристики:
— Частота процессора 720 Мгц.
— Количество ядер процессора 1.
— Диапазон входящего напряжения 11-57В.
— Уровень лицензии 4.
— Коэффициенты усиления антенн 2,5 дБи (2.4 ГГц) / 2 дБи (5 ГГц)
— Беспроводная сеть на 2.4 ГГц реализована с помощью модуля, встроенного непосредственно в процессор Qualcomm QCA9558 802.11 b/g/n с поддержкой MIMO 3×3:3
— Беспроводная сеть на 5 ГГц реализована на отдельном чипе Qualcomm QCA9880. Количество каналов также равно трем, т.е. используется конфигурация MIMO 3×3:3
— Используется USB 2.0
— Доступно 128 Мб оперативной памяти
— 16 Мб флеш-памяти. Честно говоря ожидал тут увидеть побольше места. 16 Мб как-то маловато…
— Поддерживается PoE In, а также PoE Out, на первом и последнем порту соответственно. Прошу заметить, уровень энергопотребления данной модели при максимуме нагрузки составляет 17 Вт. Для примера стандартные порты MikroTik PoE Out рассчитаны на 12 Вт(24В 0,5А). Будьте внимательны!
— 5 гигабитных портов RJ-45 и один слот SFP.
hap-ac-main-2
В работе

Теперь перейдем ко второй модели
Прошу сразу заметить, роутер без Wi-Fi модулей. Позже расскажу почему именно так.
2. RB750Gr3

rb750gr3-main
Достаточно компактная модель
rb750gr3-en-switch
В случае объединения портов на свиче, между процессором и портами шина будет иметь пропускную способность в 1 Гбит
rb750gr3-dis-switch
Если же порты не объединять, порты eth1/eth3/eth3 будут подключены к ЦП гигабитной шиной, оставшиеся eth2/eth4 будут иметь независимую шину в 1 Гбит
— Процессор MediaTek (Ralink) MT7621A Dual-Core / 2 х 880 МГц. Данный процессор работает по 2 потока на ядро, соответственно Вы видите 4 CPU в системе.
— Архитектура MIPS1004Kc (1004KEc)
— Диапазон входящего напряжения 8-30В.
— Уровень лицензии 4.
— Доступно 256 Мб оперативной памяти (DDR3(L) SDRAM объемом 2 Гбит)
— 16 Мб флеш-памяти (Winbond 25Q128FVSG). Опять??? Немного непонятна политика компании. Благо есть слот под SD карту и USB 2.0 порт!
— Слот под SD карту!
— Используется USB 2.0
— Поддержка аппаратного ускорения шифрования.
— 5 гигабитных портов RJ-45
— Поддерживается только PoE In
rb750gr3-main-2

Давайте определим, что нам необходимо сделать:
1. Подключить hAP ac к интернету. (У провайдера был заказан Публичный статический IP)
2. Подключить hEX к интернету. (Без статического IP)
3. Настроить защищенное соединение между роутерами
4. Настроить общение клиентов, подключенных к нашим роутерам между собой, как будто все они находятся в одной подсети.

Плюс, нам необходимо иметь на каждом роутере свой DHCP сервер. Это важно, чтобы, если на одном из роутеров пропал интернет, локальные устройства не потеряли сетевые адреса и чтобы «ходили» в интернет только через свой роутер. Так, мы снизим нагрузку на туннель.

Давайте построим схему реализации:
Если что-то Вам покажется не знакомым не пугайтесь, по ходу дела я буду рассказывать, что и для чего необходимо.

sheme-primer
На первый взгляд ничего сложного быть не должно

В кратце разберем, что и как.
Сами модели роутеров могут быть не только именно эти, подобную схему можно организовать и на другом оборудовании MikroTik.
Но я выбрал именно эти модели. У Вас возможно будет что-то другое. Основной принцип настройки не изменится т.к. операционная система идентична.
Тут мы активируем OpenVPN сервер на роутере hAP ac и создаем клиентское OpenVPN подключение к OpenVPN серверу.

Опытные пользователи могут со мной не согласиться, мол, «Зачем тут OpenVPN? Будет достаточно PPTP или L2TP…»
OpenVPN я выбрал за его надежность. PPTP или L2TP почему-то у меня периодически «отваливался» и приходилось на hAP ac его переподключать. А вот OpenVPN работает до сих пор без единой запинки.
Пусть даже микротик и поддерживает OpenVPN исключительно по TCP протоколу(Ждем 7 версии RoS с OpenVPN по UDP).

После этого поверх адресов 172.16.10.1 и 172.16.10.2 поднимаем EoIP туннель.
Преимущество этих типов туннелей в том, что их можно добавлять в сетевой мост.

И снова да ))) OpenVPN интерфейсы в режиме Ethernet также можно добавлять в мост, но тут я столкнулся с еще одним подводным камнем. При отключении интерфейса на одной из сторон, на другой стороне переставал работать сетевой мост. Соответственно клиенты другого роутера не могли выходить в интернет, да и вообще как-то оперировать локальной сетью(они ведь получают IP по DHCP).
С EoIP такого нет.

Почему RB750Gr3? Все просто, он поддерживает такую вещь, как DUDE сервер и стоит не дорого. Что это и с чем его кушать Вы можете ознакомиться на оф сайте MikroTik, в следующих статьях разберем, что с ним делать:
The DUDE
Еще к RB750Gr3 подключена точка доступа в виде роутера ASUS RT-AC66U. Он был базовым роутером, до момента моего переезда. Теперь будет работать на Wi-Fi =)

Полагаю Вам уже должно быть интересно )
Ведь судя по схеме мы можем уйти от задания маршрутов и просто построить локальную сеть на большом удалении локальных зон друг от друга. Для дома или дома+дачи такая схема в самый раз.
Еще мы сможем добавлять другие зоны к общей локальной сети аналогичным методом. Например дачу с IP камерами для наблюдения, гараж с бесперебойным блоком питания и также IP камерами.
Думаю диапазона в 254 адреса будет достаточно для такой организации(Если нужно больше, можно использовать другую маску подсети 255.255.0.0).

Благодарю за внимание!!!
Дальше, настройка роутера hAP ac
Если у Вас есть вопросы или полезные комментарии прошу не стесняться =)

Поехали:
Создание домашней сети на базе устройств MikroTik: Часть 1 (Вы тут)
Создание домашней сети на базе устройств MikroTik: Часть 2 — Настройка hAP ac
Создание домашней сети на базе устройств MikroTik: Часть 3 — Настройка RB750gr3 hEX
Создание домашней сети на базе устройств MikroTik: Часть 4 — Создание OpenVPN туннеля
Создание домашней сети на базе устройств MikroTik: Часть 5 — Создание EoIP туннеля
Создание домашней сети на базе устройств MikroTik: Часть 6 — Firewall защита доступа
Создание домашней сети на базе устройств MikroTik: Часть 7 — Firewall правильное перенаправление портов в сети с двумя шлюзами
Создание домашней сети на базе устройств MikroTik: Часть 8 — Установка и настройка MikroTik DUDE Network Monitor