Создание домашней сети на базе устройств MikroTik: Часть 5 — Создание EoIP туннеля

Продолжение предыдущих статей:
Создание домашней сети на базе устройств MikroTik: Часть 1
Создание домашней сети на базе устройств MikroTik: Часть 2 — Настройка hAP ac
Создание домашней сети на базе устройств MikroTik: Часть 3 — Настройка RB750gr3 hEX
Создание домашней сети на базе устройств MikroTik: Часть 4 — Создание OpenVPN туннеля

Цикл статей по организации единой локальной сети с маской (255.255.255.0)24 на большом удалении объектов друг от друга.
В предыдущий раз, мы настроили шифрованный OpenVPN туннель между двумя роутерами hAP ac и hEX
Еще раз посмотрим на схему из первой части:

sheme-primer
Схема из первой части

После организации IP туннеля на базе OpenVPN, нам необходимо поверх него, создать еще один туннель используя EoIP
Для начала давайте немного взглянем, что такое EoIP в MikroTik RouterOS:
Ethernet over IP (EoIP) Tunneling — это протокол MikroTik RouterOS, который создает туннель Ethernet между двумя маршрутизаторами поверх IP-соединения. Туннель EoIP может работать через туннель IPIP, туннель PPTP или любое другое соединение, способное транспортировать IP.
Когда функция моста маршрутизатора включена, весь трафик Ethernet (все протоколы Ethernet) будет соединен так же, как если бы там был физический интерфейс Ethernet и кабель между двумя маршрутизаторами (с включенным мостом). Этот протокол позволяет использовать несколько сетевых схем.

Сетевые настройки с интерфейсами EoIP:
Возможность подключения локальных сетей через Ethernet
Возможность подключения локальных сетей через зашифрованные туннели
Возможность подключения локальных сетей через беспроводные сети 802.11b «ad-hoc»

Протокол EoIP инкапсулирует Ethernet-фреймы в пакеты GRE (IP-протокол номер 47) (как и PPTP) и отправляет их на удаленную сторону туннеля EoIP.

Т.е. по сути между нашими удаленными объектами, после создания туннеля, будет «ходить» любой трафик, как в обычной проводной локальной сети.

Для создания EoIP туннеля ему необходим удаленный адрес интерфейса. Можно задать и локальный, но разницы особой не будет.
Как раз именно OpenVPN выступит каналом, мы ведь знаем IP адреса текущего и удаленного роутеров.
Схема:

eoip-tunnel-sheme
Необходимо указать интерфейсу только удаленный IP

1. Настроим EoIP на роутере hAP ac

interfaces
Переходим в меню интерфейсов
add-eoip-interface
Добавляем EoIP интерфейс
config-eoip
Вводим параметры интерфейса
Интерфейс создался, и для того, чтобы наша «общая» локальная сеть работала, необходимо наш интерфейс EoIP добавить в наш сетевой мост.
Открываем Bridge и добавляем в него, только что, созданный EoIP интерфейс.
bridge
Открываем меню сетевых мостов
add-eoip-to-bridge
Добавляем EoIP в сетевой мост
Консольно:
/interface eoip add name="eoip-tunnel1" remote-address=172.16.10.2 tunnel-id=1
/interface bridge port add interface=eoip-tunnel1 bridge=LAN-Bridge

Переходим ко второму роутеру

2. Настроим EoIP на роутере hEX
Для данного роутера весь процесс настройки EoIP будет аналогичен.
Единственным отличием будет удаленный IP адрес: тут он будет 172.16.10.1
ID туннеля должен быть одинаковым! Я выбрал номер 1, Вы можете задать свой, какой захотите.

eoip2-config
Настройка второго EoIP туннеля
Также, как и для предыдущего роутера, добавляем EoIP интерфейс в сетевой мост.
Консольно:
/interface eoip add name="eoip-tunnel1" remote-address=172.16.10.1 tunnel-id=1
/interface bridge port add interface=eoip-tunnel1 bridge=LAN-Bridge

После добавления туннельных интерфейсов в сетевой мост Вы уже должны успешно пинговать локальные ПК(смартфоны, ноутбуки и др.).
Вроде бы все хорошо. На каждом объекте свой DHCP сервер, заданы свои пулы адресов.
Но как мы знаем при подключении нового клиента к сети он начинает широковещательную рассылку специальных пакетов DHCPDISCOVER.
Рассылка идет начиная с адреса 0.0.0.0 до адреса 255.255.255.255 т.е. по всем возможным.
В ответ сервер DHCP посылает пакет DHCPOFFER. Клиент в ответ на пакет DHCPOFFER посылает пакет DHCPREQUEST. В ответ на пакет DHCPREQUEST сервер DHCP посылает пакет DHCPACK, завершая цикл инициализации.
Соответственно для нас НЕжелательно, чтобы подобные пакеты с одного объекта убегали в другой и наоборот.
Нам нужно ограничить объект только тем пулом IP адресов, которые мы задали. Но нельзя запрещать клиентам общаться между собой.

И MikroTik позволяет нам это сделать!

3. Запрещаем прохождение DHCP Broadcast запросов через туннель EoIP
Давайте разбираться.
Смотрим на каких портах и по какому протоколу работает DHCP: Wiki DHCP
Видим: Передача данных производится при помощи протокола UDP. По умолчанию запросы от клиента делаются на 67 порт к серверу, сервер в свою очередь отвечает на порт 68 к клиенту, выдавая адрес IP и другую необходимую информацию, такую, как сетевую маску, шлюз по умолчанию и серверы DNS.

Чтобы запретить прохождение DHCP запросов по туннелю нам необходимо определить, где это сделать и как.
Логично предположить, что управление трафиком и кучей других параметров необходимо делать в IP Firewall, но это не совсем так. По началу, когда я задавал в нем правила они не работали.
Пришлось курить маны читать инструкции.
Оказалось, что у сетевого моста свой собственный Firewall, на уровень ниже. Т.е. необходимо открыть меню настроек сетевого моста. Добавляем правило блокировки:

bridge-filter
Межсетевой экран сетевого моста
bridge-filter-rule1
Задаем настройки для правила
bridge-filter-rule2
Блокируем прохождение пакетов
Консольно:
/interface bridge filter add chain=forward out-interface=eoip-tunnel1 mac-protocol=ip ip-protocol=udp dst-port=67-68 action=drop

Добавляем такое же правило на второй роутер.
Вот теперь, вроде бы, можно считать настройку единой локальной сети законченной…

А вот и нет =))

Далее у нас встает вопрос безопасности и доступа из вне к локальным устройствам.
Все верно, имея статический IP мы подвержены риску быть взломанными. Т.к. наш статический IP доступен в интернете он может подвергаться различного рода «атакам».
Поэтому нам нужно сделать так, чтобы только мы могли подключаться к нашим роутерам и другим сервисам в локальной сети.
Также у нас на очереди система мониторинга DUDE.

Дополнение:
Я провел небольшое тестирование скоростных характеристик своего туннеля.
Делал я их с помощью утилиты bandwidth-test в WinBox между самими роутерами. Т.е. роутер-роутер через сети провайдеров.
Тарифы такие:
hAP ac — 500 Mbps (Практические пока до 200 Мбит/сек)
hEX — 100 Mbps (Практические 95 Мбит/сек)
Пробовал я все доступные на RouterOS для OpenVPN (v6.39.3) методы аутентификации (md5, sha1) и шифрования (blowfish 128, aes 128, aes 192, aes 256) и вообще без шифрования и аутентификации (null)
Соответственно максимально возможная скорость ограничена hEX стороной т.к. у него всего 100 Мбит/сек.
Самую быструю скорость удалось получить конечно в режиме без шифрования и аутентификации вообще Send — 85 Mbps / Receive — 85 Mbps
Самую низкую с шифрованием AES256 Send — 25 Mbps / Receive — 25 Mbps
Оптимальным вариантом я бы выбрал режим Auth (sha1) и Cipher (aes 128) т.к. для домашней сети не нужно сильного шифрования Send — 31 Mbps / Receive — 31 Mbps
Какой режим выбирать, решать Вам!

Продолжение следует…

P.S.
Я не претендую на идеальное построение подобной сети. Это один из многих способов.
Если Вы знаете, как построить подобную сеть лучшим образом или доработать текущую, можете не стесняться и писать свои варианты в комментариях
У меня успешно работает =)

Создание домашней сети на базе устройств MikroTik: Часть 4 — Создание OpenVPN туннеля

В предыдущих статьях мы с Вами настроили два наших роутера — это hAP ac и hEX
Создание домашней сети на базе устройств MikroTik: Часть 1
Создание домашней сети на базе устройств MikroTik: Часть 2 — Настройка hAP ac
Создание домашней сети на базе устройств MikroTik: Часть 3 — Настройка RB750gr3 hEX

В данной статье мы создадим защищенный туннельный интерфейс на базе OpenVPN.
Почему OpenVPN спросите Вы, ведь есть же PPTP, L2TP.
Отвечаю, я тестировал соединения на базе этих двух протоколов. К сожалению они не показали достаточно стабильного соединения между собой. Происходили частые падения туннельных интерфейсов.
Возможно это было связано с какой-то прошивкой. Но это не столь важно. Важно то, что настроив один раз туннель на OpenVPN, я забыл про разрывы связи совсем и до сих пор все работает отлично.

Прежде чем настраивать OpenVPN сервер и создавать туннель, разберемся с тем, как он работает на Mikrotik. Т.к. на RouterOS v6 есть ограничения.
Обратимся к официальному источнику — Wiki Mikrotik(Eng) и Manual Interface(Eng).
В OpenVPN используются два типа интерфейса:
tun — в RoS он определяется, как ip, это туннельный уровень.
tap — в RoS он определяется, как ethernet, это канальный уровень.
Только начиная с прошивки 6.39.x была добавлена топология subnet для tun режима.
Выдержка из Changelog:
*) ovpn — added support for «push-continuation»;
*) ovpn — added support for topology subnet for IP mode;
*) ovpn — fixed duplicate default gateway presence when receiving extra routes;
*) ovpn — improved performance when receiving too many options;

Не поддерживается в 6 версии операционной системы:
UDP протокол, т.е. необходимо использовать исключительно TCP!
LZO сжатие
TLS аутентификация
Аутентификация без имени пользователя и пароля
Если Вы будете читать эту статью, и уже будет доступна 7 версия RouterOS, то в ней, все это, уже должно работать (но это не точно)!

К сожалению сложно сказать, почему Mikrotik пришли именно к такому решению и именно таким ограничениям, но мы имеем то, что имеем.
По ТСР, сервер в типичном случае будет получать ТСР-сегменты OpenVPN, которые содержат другие ТСР-сегменты от клиента. В результате в цепи получается двойная проверка на целостность информации, что совершенно не имеет смысла, т.к. надежность не повышается, а скорости соединения и пинга снижаются.
UDP конечно предпочтительней, но его нет…

OpenVPN предлагает пользователю несколько видов аутентификации.
Предустановленный ключ — самый простой метод.
Сертификатная аутентификация — наиболее гибкий в настройках метод.
С помощью логина и пароля — может использоваться без создания клиентского сертификата (серверный сертификат всё равно нужен).

Мы будем использовать Сертификатную аутентификацию для обеспечения хорошей защищенности нашего соединения.

Для создания туннеля, нам понадобятся сертификаты и ключи к ним. Данные сертификаты можно создать, как на Windows, Linux, так и на самом роутере.
Я сторонник создания сертификатов на своем ПК, чтобы они были у меня в файлах и я мог их достать в случаях «А вдруг что».

1. Создание сертификатов для OpenVPN соединения
Я буду создавать сертификаты на операционной системе Windows, для всех остальных ОС принцип похож. Можно загуглить.
Для начала необходимо скачать и установить дистрибутив OpenVPN: Страница Загрузок OpenVPN
Запускаем установщик openvpn-install
Если Вы не собираетесь использовать все возможности туннелирования на своей Windows машине и Вам нужно исключительно создать сертификаты, то можно снять галки с пунктов TAP Virtual Ethernet Adapter и OpenVPN GUI.

openvpn-install
Выбираем нужные пункты
После скачивания и установки в указанную Вами папку в ней будет список файлов. у меня это папка C:\Program Files\OpenVPN\
Нам необходимо перейти в папку easy-rsa
Нужно открыть консоль Windows (для Windows Vista/7/8/8.1/10 нужно запускать от Администратора)
Переходим в папку easy-rsa по пути установки командой cd
Например:
cd C:\Program Files\OpenVPN\easy-rsa

Запускаем файл init-config.bat
C:\Program Files\OpenVPN\easy-rsa>init-config.bat
C:\Program Files\OpenVPN\easy-rsa>copy vars.bat.sample vars.bat
Скопировано файлов: 1.

В папке появится файл vars.bat, открываем его текстовым редактором, нас интересуют строчки в самом конце, их нужно заполнить
Я подставил свои параметры, у Вас данные параметры будут другие:
set KEY_COUNTRY=RU
set KEY_PROVINCE=Moscow
set KEY_CITY=Moscow
set KEY_ORG=HOME
set KEY_EMAIL=my@email.ru
set KEY_CN=server
set KEY_NAME=server
set KEY_OU=HOME
set PKCS11_MODULE_PATH=server
set PKCS11_PIN=12345

Там где написано server, не трогаем. Сохраняем файл.

Далее открываем редактором файл openssl-1.0.0.cnf
Находим строчку default_days 365 и заменяем число 365 на 3650 или свое. Тем самым мы увеличим время жизни наших сертификатов на 10 лет.
Сохраняем и закрываем.

Дополнительно:
Если Вы тот еще параноик, то Вы можете отредактировать еще один параметр:
set KEY_SIZE=1024
Для пущей сложности данный параметр можно изменить на 2048 и на 4096(для современных версий OpenVPN)
Но будьте готовы к долгому ожиданию(на слабых ПК очень долгому), пока сгенерируется ключ.

Пишем в консоль команды
vars
clean-all

В ответ должно прийти
Скопировано файлов: 1.
Скопировано файлов: 1.

Создаем ключ Диффи-Хеллмана
build-dh
Вывод из консоли:
C:\Program Files\OpenVPN\easy-rsa>build-dh
WARNING: can't open config file: /etc/ssl/openssl.cnf
Generating DH parameters, 1024 bit long safe prime, generator 2
This is going to take a long time
..........+.........

Известные проблемы:
При подаче команды clean-all или build-dh в самом начале генерации сертификатов, может проявится одна ошибка, выглядит она так:
C:\Users\TEST>build-dh
"openssl" не является внутренней или внешней
командой, исполняемой программой или пакетным файлом.

Бороться с этим необходимо следующим образом. Нужно указать путь до файла openssl.exe в файле vars.bat в ручную.
А точнее стираем слово rem в строке (rem — это комментирование строки):
rem set "PATH=%PATH%;C:\Program Files\OpenVPN\bin"
Получаем:
set "PATH=%PATH%;C:\Program Files\OpenVPN\bin"
Сохраняем файл и производим весь процесс сначала
vars
clean-all
build….. и т.д

Создаем основной сертификат
build-ca

При генерации основного сертификата в консоли будут отображаться вопросы. Просто нажимаем Enter, т.к. все эти параметры мы ввели в файле vars.bat
Нажимаем Enter до тех пор, пока не отобразиться строка приглашения
C:\Program Files\OpenVPN\easy-rsa

Далее создаем сертификат сервера и его ключ:
build-key-server server

На вопросы так же нажимаем Enter, но не торопимся, в самом конце будет задано два вопроса
Sign the certificate?
1 out of 1 certificate requests certified, commit?

На оба эти вопроса отвечаем Y
Вывод из консоли:
Certificate is to be certified until Oct 16 07:03:55 2027 GMT (3650 days)
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

Теперь создаем сертификат и ключ клиента:
build-key client

Также не торопимся с ответами, как только увидим строку «Common Name (eg, your name or your server’s hostname)» нужно ответить client
В самом конце также будут два вопроса, отвечаем также Y
Причем: для каждого клиента, нужно будет создать отдельные ключи и называть их по разному, например client1, client2 или как-то иначе, все зависит от Вашего воображения. Также не забывайте вводить эти имена при запросе Common Name
Вывод из консоли:
C:\Program Files\OpenVPN\easy-rsa>build-key client
WARNING: can't open config file: /etc/ssl/openssl.cnf
Generating a 1024 bit RSA private key
............++++++
.............................................................................++++++
writing new private key to 'keys\client.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [RU]:
State or Province Name (full name) [Moscow]:
Locality Name (eg, city) [Moscow]:
Organization Name (eg, company) [Home]:
Organizational Unit Name (eg, section) [Home]:
Common Name (eg, your name or your server's hostname) [server]:client
Name [server]:client
Email Address [my@email.ru]:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
WARNING: can't open config file: /etc/ssl/openssl.cnf
Using configuration from openssl-1.0.0.cnf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName :PRINTABLE:'RU'
stateOrProvinceName :PRINTABLE:'Moscow'
localityName :PRINTABLE:'Moscow'
organizationName :PRINTABLE:'Home'
organizationalUnitName:PRINTABLE:'Home'
commonName :PRINTABLE:'client'
name :PRINTABLE:'client'
emailAddress :IA5STRING:'my@email.ru'
Certificate is to be certified until Oct 16 07:16:56 2027 GMT (3650 days)
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

Пример создания клиентских сертификатов:
build-key client1
build-key office1

На этом создание файлов сертификатов и ключей завершено.
Все файлы будут лежать в папке C:\Program Files\OpenVPN\easy-rsa\keys\

dir-sert-keys
Примерной такой список файлов должен получиться у Вас

2. Настройка OpenVPN сервера и интерфейса туннеля на hAP ac
Переходим к созданию туннеля на роутере hAP ac
Необходимо загрузить сертификат сервера, ключ сервера и основной сертификат в роутер. Файлы:
ca.crt
server.crt
server.key

Открываем раздел Files и переносим туда наши файлы. (Или используем FTP)

hap-file-certkey
Загруженные файлы сертификатов и ключа
Теперь нам необходимо импортировать данные сертификаты в RouterOS, чтобы она могла ими оперировать.
system-cert
Меню сертификатов
Импортируем наши сертификаты и ключи
import-certkey
Выбираем нужные сертификаты и ключ и импортируем их
Консольно:
/certificate import file-name=ca.crt passphrase=""
/certificate import file-name=server.crt passphrase=""
/certificate import file-name=server.key passphrase=""

Займемся настройкой OpenVPN. переходим в меню PPP

ppp
Меню PPP
ppp-profiles
Добавляем новый профиль для нашего туннеля
Нам необходимо выделить IP адреса, которые мы будем использовать для туннельных интерфейсов.
Я выбрал подсеть 172.16.10.0/24 соответственно сервер будет иметь адрес 172.16.10.1, а клиенты далее по маске. 2,3,4 и т.д.
new-ppp-profile
Заполняем необходимые параметры профиля
new-ppp-profile-2
Заполняем оставшиеся параметры профиля
Консольно:
/ppp profile add name=ovpn-server local-address=172.16.10.1 change-tcp-mss=yes use-upnp=no use-mpls=yes use-compression=no use-encryption=yes only-one=default

Добавляем авторизационные данные для каждого клиента, который будет подключаться к OpenVPN серверу.

ppp-secrets
Открываем вкладку с записями данных авторизации
Т.к. у сервера IP 172.16.10.1 выдаем клиенту IP 172.16.10.2
new-ppp-secret
Добавляем нашего клиента
Консольно:
/ppp secret add name=client password=123456789 service=ovpn profile=ovpn-server remote-address=172.16.10.2

Теперь нужно включить саму службу OpenVPN

ppp-ovpn-server
Нажимаем кнопку для отображения параметров сервера
ppp-ovpn-enabled
Выполняем настройки сервера
Консольно:
/interface ovpn-server server set enabled=yes port=1194 mode=ip netmask=24 default-profile=ovpn-server certificate=server.crt_0 require-client-certificate=yes auth=sha1,md5 cipher=blowfish128,aes128,aes192,aes256

В принципе этих настроек достаточно, но я предпочитаю наблюдать за интерфейсом. для этого мы можем зафиксировать интерфейс за конкретным клиентом. Сделаем привязку.

ppp-ovpn-server-binding
Биндим интерфейс
ppp-new-bind
Достаточно ввести имя клиента из PPP Secret и имя самого интерфейса
Консольно:
/interface ovpn-server add name=ovpn-inclient user=client

Может показаться, что мы все уже настроили, но это не совсем так. Остался последний штрих. Необходимо разрешить прохождение запросов на OpenVPN сервер через Firewall
Для этого переходим в меню межсетевого экрана

ip-firewall
Переходим в меню Firewall
ip-firewall-addnew
Добавляем новую запись
ip-firewall-newrule
Разрешаем входящий трафик на порту 1194 с интерфейса WAN
ip-firewall-newrule2
Само разрешение
Консольно:
/ip firewall filter add chain=input protocol=tcp dst-port=1194 in-interface=WAN action=accept comment="Accept OpenVPN Requests"

На этом настройка OpenVPN на роутере hAP ac завершена, переходим к роутеру hEX

3. Настройка OpenVPN клиента и интерфейса туннеля на hEX
На данном роутере нам необходимо проделать гораздо меньше операций для запуска клиента.
Помним, что создали сертификат клиента! Загружаем его в роутер и импортируем по аналогии с hAP ac.

hex-import-cert
Загружаем и импортируем сертификат и ключ клиента
Консольно:
/certificate import file-name=client.crt passphrase=""
/certificate import file-name=client.key passphrase=""

Создаем профиль для OpenVPN в меню PPP

ppp-ovpn-client-profile
Добавляем новый профиль
Консольно:
/ppp profile add name=ovpn-client change-tcp-mss=yes use-upnp=no use-mpls=yes use-compression=no use-encryption=yes

Добавляем интерфейс OpenVPN для подключения к OpenVPN серверу.
Как мы помним из первой части цикла статей, внешний IP адрес у нас 98.76.54.32

ovpn-client
Добавляем интерфейс клиента OpenVPN
new-ovpn-client
Задаем имя интерфейса
ppp-ovpn-clientnew
Заполняем параметры для подключения к серверу OpenVPN
Консольно:
/interface ovpn-client add name=ovpn-outclient connect-to=98.76.54.32 port=1194 mode=ip user=client password=123456789 profile=ovpn-client certificate=client.crt_0 auth=md5 cipher=blowfish128

Шифрование Вы можете выбрать любое, которое установили доступным для сервера.
После создания интерфейса туннель должен уже быть активен. В списке IP адресов Вы должны увидеть IP 172.16.10.2 полученный от OpenVPN сервера.
Также в статусе можно увидеть с какими параметрами подключен интерфейс.

ovpn-client-status
Признаки активного соединения

Вот мы и закончили создание OpenVPN туннеля между двумя роутерами hAP ac и hEX
Буду рад любым замечаниям или комментариям. Возможно Вы знаете, как сделать лучше!

P.S.
Аналогом данного решения может послужить вариант PPTP туннеля. А шифрование можно организовать в самом EoIP посредством IPsec

В следующей статье мы создадим интерфейсы, которые свяжут два наших роутера в единый сетевой мост для прохождения сетевого трафика, заблокируем прохождение DHCP запросов между роутерами, чтобы их DHCP сервера не мешали друг другу.

Продолжение:
Создание домашней сети на базе устройств MikroTik: Часть 5 — Создание EoIP туннеля

Создание домашней сети на базе устройств MikroTik: Часть 3 — Настройка RB750gr3 hEX

Продолжение предыдущих статей:
Создание домашней сети на базе устройств MikroTik: Часть 1
Создание домашней сети на базе устройств MikroTik: Часть 2 — Настройка hAP ac

Мы настроили наш основной роутер hAP ac для работы со статическим IP провайдера и провели базовую настройку не затрагивая настройку защищенного туннеля (VPN).
Произведем настройку для роутера hEX RB750Gr3.
Суть и методика настройки не особо отличается от настройки модели hAP ac. В этой модели просто нет Wi-Fi.

Подключим роутер к ПК/Ноутбуку через порт 2, а кабель провайдера в порт Internet.

hex-ports
Красным — интернет / Синим — локальный

На ПК для сетевого интерфейса устанавливаем статический IP 192.168.88.5 и маску сети 255.255.255.0
Это нужно если у роутера отсутствует IP адрес.

Открываем утилиту WinBox (Подробнее: Тут и Тут). Сбрасываем все заводские настройки, они нам не понадобятся!

reset-configuration
Сброс настроек
Консольно:
/system reset-configuration no-defaults=yes skip-backup=yes
Подтверждаем сброс настроек.
После этой процедуры, у роутера не будет IP адреса, поэтому подключаемся по MAC адресу.
Все настройки будут сброшены, начнем настройку:

1. Настраиваем сетевые интерфейсы
Все также, как и для hAP ac.
Данный роутер будет располагаться территориально далеко, например в другом городе, соответственно все настройки делаем для используемого провайдера.
Все интерфейсы RJ45 входят в один свич(switch1) поэтому нам нужно отделить порт для провайдера, и порты для локальных соединений.
Выбираем интерфейс ether1 и переименовываем его в WAN

hEX wan
Меняем имя порта ether1
Консольно:
/interface ethernet set [find default-name=ether1] name=WAN

Выбираем интерфейс ether2 и переименовываем его в LAN1-Master
Т.к все сетевые порты у нас находятся в свиче, мы можем сделать один из портов ведущим(Мастер порт), а остальные ведомыми(Слейв порты). По сути получится, как будто каждый из портов это один и тот же порт.

hEX LAN Master
Меняем имя порта ether2
Консольно:
/interface ethernet set [find default-name=ether2] name=LAN1-Master
Остальные ether3, ether4 и ether5 переименовываем соответствующе LAN2-Slave, LAN3-Slave, LAN4-Slave и назначаем им Мастер портом — порт LAN1-Master
hEX LAN2
Для остальных делаем по аналогии
Консольно:
/interface ethernet set [find default-name=ether3] name=LAN2-Slave master-port=LAN1-Master
/interface ethernet set [find default-name=ether4] name=LAN3-Slave master-port=LAN1-Master
/interface ethernet set [find default-name=ether5] name=LAN4-Slave master-port=LAN1-Master

2. Создадим сетевой мост
Сетевой мост будет служить основным интерфейсом, который соберет в себе все наши локальные интерфейсы. Т.е. нужно добавить к новому сетевому мосту все нужные интерфейсы.
Также мы помним, что мы сделали мастер порт и часть портов привязали к нему, соответственно все второстепенные порты добавлять не нужно.

Создадим сам сетевой мост. Назовем его LAN-Bridge

bridge
В этом меню можно создавать сетевые мосты
hEX Bridge
Настраиваем сетевой мост
Начнем добавлять порты.
bridge-port-add
Добавляем Мастер порт
На данный момент в сетевой мост мы добавим только Мастер порт. В дальнейшем мы добавим в этот мост специальный интерфейс туннеля, но об этом позже.
В момент добавления интерфейса LAN1-Master Вас может отключить от роутера, в этом нет ничего страшного, просто подключаемся снова.

Консольно:
/interface bridge add name=LAN-Bridge arp=proxy-arp
/interface bridge port add interface=LAN1-Master disabled=no

3. Разрешим нашему роутеру обрабатывать DNS

dns
Разрешаем обработку DNS запросов

Консольно:
/ip dns set allow-remote-requests=yes cache-size=4096

4. Подключение к провайдеру
У меня и второй Интернет провайдер предоставляет интернет по DHCP. Т.е. необходимо настроить DHCP клиент на порт в который вставлен кабель провайдера (WAN)

ip-dhcpclient
Находим нужное меню и добавляем новое правило
hEX DHCP Client
Параметров не много
В столбце IP Address мы должны увидеть IP от провайдера.

Консольно:
/ip dhcp-client add interface=WAN add-default-route=yes disabled=no default-route-distance=1 use-peer-dns=yes use-peer-ntp=yes

5. Доступ в интернет
Для того, чтобы наши клиенты могли выходить в сеть интернет, нам необходимо указать, через какой интерфейс они будут это делать.
Эти настройки делаются через Межсетевой экран (Firewall)

ip-firewall
Переходим в межсетевой экран и добавляем правило
ip-firewall-add-1
Указываем основные параметры
ip-firewall-add-2
Указываем еще один параметр
В принципе этого достаточно, чтобы на роутере уже появился интернет. Но у клиентов его не будет т.к. еще нет IP адреса и локального DHCP сервера.

Консольно:
/ip firewall nat add chain=srcnat out-interface=WAN action=masquerade

6. IP адрес роутера
Теперь назначим нашему роутеру IP адрес.
Мы определили, что в Локации 2 будет следующий разброс:
IP адрес роутера: 192.168.88.2
IP адреса для клиентов: 192.168.88.30 — 192.168.88.59
29 адресов должно хватить для всех устройств в квартире, даже с избытком.

ip-addresses
Переходим в меню IP адресов
hEX-address
Добавляем IP адрес для нашего сетевого моста
Так мы указываем, что IP адрес 192.168.88.2 привязать к интерфейсу LAN-Bridge

Консольно:
/ip address add address=192.168.88.2/24 interface=LAN-Bridge

7. DHCP Сервер для локальных клиентов
Для того, чтобы наши клиенты могли подключаться к нашему роутеру и получать от него IP адреса и другие параметры, необходимо настроить DHCP сервер.
Первоначально укажем Pool IP адресов

ip-pool
Переходим в меню диапазонов IP адресов
hex-pool
Добавляем обозначенный диапазон

Теперь добавляем сам DHCP сервер

ip-dhcpserver
Переходим в меню DHCP серверов
hex-dhcp-server
Задаем настройки DHCP сервера
Осталось еще указать для какой сети и какие дополнительные параметры будут получать подключенные клиенты.
hex-dhcp-server-network
Указываем дополнительные параметры
Каждый подключенный клиент будет получать от DHCP сервера набор параметров:
Шлюз и DNS — В нашем случае и тем и другим будет выступать сам роутер.

Консоль:
/ip pool add name=LAN-Pool ranges=192.168.88.30-192.168.88.59
/ip dhcp-server add name=DHCP-Server interface=LAN-Bridge lease-time=12h address-pool=LAN-Pool bootp-support=dynamic bootp-lease-time=lease-time add-arp=yes authoritative=yes
/ip dhcp-server network add address=192.168.88.0/24 gateway=192.168.88.2 netmask=24 dns-server=192.168.88.2

Настройка роутера hEX (RB750Gr3) завершена.
Далее мы рассмотрим создание туннеля для связки двух роутеров и организации единой локальной сети с сетевой маской 255.255.255.0 (24)
Создание домашней сети на базе устройств MikroTik: Часть 4 — Создание OpenVPN туннеля

Создание домашней сети на базе устройств MikroTik: Часть 2 — Настройка hAP ac

Продолжение предыдущей статьи:
Создание домашней сети на базе устройств MikroTik: Часть 1

Мы обозначили схему, которую нам необходимо реализовать.
Начнем мы с базового роутера MikroTik hAP ac.
Предварительно перед настройкой я заказал услугу Публичный статический IP адрес! Это важно, без него туннели будет сложно построить(DDNS)
Предположим провайдер назначил нам IP = 98.76.54.32 (Взят для примеров)

В данной статье я покажу основные настройки, чтобы роутер мог получать интернет и раздавать его клиентам.
Статья получится достаточно большая, поэтому запаситесь терпением )))
Настройка VPN будет в отдельной статье.

Подключим роутер к ПК/Ноутбук через порт 2, а кабель провайдера в порт 1.

hap-ac-port2
Синим — Internet, Красным — Локальный

На ПК для сетевого интерфейса устанавливаем статический IP 192.168.88.5 и маску сети 255.255.255.0
Это нужно если у роутера отсутствует IP адрес.

Открываем утилиту WinBox (Подробнее: Тут и Тут). Сбрасываем все заводские настройки, они нам не понадобятся!

reset-configuration
Сброс настроек
Консольно:
/system reset-configuration no-defaults=yes skip-backup=yes
Подтверждаем сброс настроек.

После этой процедуры, у роутера не будет IP адреса, поэтому подключаемся по MAC адресу.
Все настройки будут сброшены, начнем настройку:

1. Настроим проводные интерфейсы
Меню настройки интерфейсов:

interfaces
Меню интерфейсов
Консольно:
/interface

Все интерфейсы RJ45 входят в один свич(switch1) поэтому нам нужно отделить порт для провайдера, и порты для локальных соединений. Отдельно у нас еще стоят два Wi-Fi интерфейса и разъем SFP.
Выбираем интерфейс ether1 и переименовываем его в WAN

ether1-rename
Меняем имя порта ether1
Консольно:
/interface ethernet set [find default-name=ether1] name=WAN

Выбираем интерфейс ether2 и переименовываем его в LAN1-Master
Т.к все сетевые порты у нас находятся в свиче, мы можем сделать один из портов ведущим(Мастер порт), а остальные ведомыми(Слейв порты). По сути получится, как будто каждый из портов это один и тот же порт.

ether2-rename
Меняем имя порта ether2
Консольно:
/interface ethernet set [find default-name=ether2] name=LAN1-Master

Остальные ether3, ether4 и ether5 переименовываем соответствующе LAN2-Slave, LAN3-Slave, LAN4-Slave и назначаем им Мастер портом — порт LAN1-Master

ether3-rename
Для остальных делаем по аналогии
Консольно:
/interface ethernet set [find default-name=ether3] name=LAN2-Slave master-port=LAN1-Master
/interface ethernet set [find default-name=ether4] name=LAN3-Slave master-port=LAN1-Master
/interface ethernet set [find default-name=ether5] name=LAN4-Slave master-port=LAN1-Master

Отключим SFP порт, лично мне он ни к чему, просто, как приятный бонус. Вдруг потом пригодится.
Вы же можете докупить SFP модуль для обычного RJ-45 порта и использовать его для подключения кабеля провайдера. Вы ведь помните, что он на отдельной шине 1Gbit ))

disable-interface
Кнопка выключения
Консольно:
/interface ethernet disable sfp1

С проводными соединениями разобрались, перейдем далее…

2. Настроим Wi-Fi соединения
В модели hAP ac присутствует два вида Wi-Fi. Это 2.4GHz и 5GHz частоты. Соответственно в роутере мы имеем два Wi-Fi интерфейса — wlan1 и wlan2
Зайдя в настройки каждого, можно определить, какой из них какой.
2.4GHz

wifi-24
Модуль 2.4GHz
5GHz
wifi-5
Модуль 5GHz

Консольно:
/interface wireless print

Для начала настроим профиль авторизации для наших Wi-Fi интерфейсов:

wireless
Wi-Fi интерфейсы и параметры
Настраиваем базовый профиль или добавляем свой
wireless-security
WPA2 Pre-Shared Key — это и будет Ваш пароль к Wi-Fi

Консольно:
/interface wireless security-profiles set default mode=dynamic-keys authentication-types=wpa2-psk unicast-ciphers=aes-ccm group-ciphers=aes-ccm wpa2-pre-shared-key="12345678" management-protection=disabled

Теперь можно переходить к настройке самих интерфейсов Wi-Fi. Настроек много, глаза разбегаются, но ничего страшного, каждый пункт важен.
Начнем с интерфейса 2.4GHz.

wifi24-general
Вкладка General: меняем имя интерфейса — LAN-wifi24ghz и активируем расширенный режим!!
wifi24-wireless
Достаточно много настроек
Давайте пробежимся по параметрам
wifi24-advanced
Тут настроек не много, но они важные
Distance — Как долго ждать подтверждения одноадресных фреймов, прежде чем считать передачу неудачной. Если используем в небольшом помещении, ставим indoors, если на улице или в цеху, то dynamic.
Adaptive Noise Immunity — Это свойство действует только для карт на базе чипсета Atheros.
wifi24-ht
Выбираем антенны для работы
Отключаем все. Этими настройками мы пользоваться не будем.
wifi24-nstreme
Специфические настройки для nstreme
wifi24-tx-power
Настройка мощности передатчиков
Я предпочитаю самостоятельно устанавливать мощность передатчиков. Но не ухожу за рамки законодательства. Для России лучше выбирать значения 15-17.

Консольно:
/interface wireless set [ find default-name=wlan1 ] adaptive-noise-immunity=ap-and-client-mode band=2ghz-g/n channel-width=20/40mhz-Ce disabled=no distance=indoors frequency=auto frequency-mode=superchannel guard-interval=long hw-protection-mode=rts-cts mode=ap-bridge multicast-helper=full name=LAN5-wifi24ghz radio-name=point24ghz ssid=POINT24GHZ tx-power=15 tx-power-mode=all-rates-fixed wireless-protocol=802.11 wmm-support=enabled wps-mode=disabled
/interface wireless nstreme set LAN5-wifi24ghz enable-polling=no

С интерфейсом 2.4GHz закончили.

Переходим к интерфейсу 5GHz
Сразу напомню, что в ПК я использую PCI модуль Wi-Fi ASUS PCE-AC66. Он имеет три антенны и позволяет работать с AC стандартом.
5GHz еще может работать со стандартом N, но в этом случае скорости ~800-900 Мбит/сек Вам не светят.
Поэтому настройки у меня будут под чистый AC стандарт. Поехали…

wifi5-general
Меняем имя интерфейса, MTU, и убеждаемся, что ARP включено.
wifi5-wireless
Также большой список в Advanced режиме
В принципе все настройки идентичны тем, что устанавливаются для 2.4GHz. Но есть ряд особенностей!
Channel Width — С этими параметрами пришлось поиграть, чтобы подобрать верный диапазон и частоту на которых будет работать PCE-AC66.
Frequency — Частота для канала, задал в ручную т.к. канал не забит соседями ))
wifi5-advanced
Тоже самое, что и для 2.4GHz
wifi5-ht
Аналогично 2.4GHz
wifi5-nstreme
Аналогично 2.4GHz
wifi5-txpower
Аналогично 2.4GHz

Консольно:
/interface wireless set [ find default-name=wlan2 ] adaptive-noise-immunity=ap-and-client-mode band=5ghz-onlyac channel-width=20/40/80mhz-eCee disabled=no distance=indoors frequency=5765 frequency-mode=superchannel guard-interval=long hw-protection-mode=rts-cts mode=ap-bridge multicast-helper=full name=LAN6-wifi5ghz radio-name=point5ghz ssid=POINT5GHZ tx-power=15 tx-power-mode=all-rates-fixed wireless-protocol=802.11 wmm-support=enabled wps-mode=disabled
/interface wireless nstreme set LAN6-wifi5ghz enable-polling=no

Закончили с интерфейсом 5GHz.

3. Создадим сетевой мост всех наших интерфейсов
Сетевой мост будет служить основным интерфейсом, который соберет в себе все наши локальные интерфейсы. Т.е. нужно добавить к новому сетевому мосту все нужные интерфейсы.
Также мы помним, что мы сделали мастер порт и часть портов привязали к нему, соответственно все второстепенные порты добавлять не нужно.

bridge
В этом меню можно создавать сетевые мосты
Создадим сам сетевой мост. Назовем его LAN-Bridge
bridge-add
Создаем сетевой мост
Начнем добавлять порты.
bridge-port-add
И так для каждого нужного порта
Нам нужно добавить порты:
LAN1-Master
LAN5-wifi24ghz
LAN6-wifi5ghz

В момент добавления интерфейса LAN1-Master Вас может отключить от роутера, в этом нет ничего страшного, просто подключаемся снова.

4. Разрешим нашему роутеру обрабатывать DNS

dns
Разрешаем обработку DNS запросов
Консольно:
/ip dns set allow-remote-requests=yes cache-size=4096

5. Подключение к провайдеру
У меня Интернет провайдер предоставляет интернет по DHCP. Т.е. необходимо настроить DHCP клиент на порт в который вставлен кабель провайдера (WAN)

ip-dhcpclient
Находим нужное меню и добавляем новое правило
Указываем нужный интерфейс.
ip-dhcpclient-add
Параметров не много
В столбце IP Address мы должны увидеть свой статический IP от провайдера. Вы же помните, что для этого роутера нужно подключить Статический IP!!!

Консольно:
/ip dhcp-client add interface=WAN add-default-route=yes disabled=no default-route-distance=1 use-peer-dns=yes use-peer-ntp=yes

6. Доступ в интернет
Для того, чтобы наши клиенты могли выходить в сеть интернет, нам необходимо указать, через какой интерфейс они будут это делать.
Эти настройки делаются через Межсетевой экран (Firewall)

ip-firewall
Переходим в межсетевой экран
ip-firewall-add-1
Указываем основные параметры
ip-firewall-add-2
Указываем последнее правило и жмем OK
В принципе этого достаточно, чтобы на роутере уже появился интернет. Но у клиентов его не будет т.к. еще нет IP адреса и локального DHCP сервера.

Консольно:
/ip firewall nat add chain=srcnat out-interface=WAN action=masquerade

7. IP адрес роутера
Теперь назначим нашему роутеру IP адрес.
Мы определили, что в Локации 1 будет следующий разброс:
IP адрес роутера: 192.168.88.1
IP адреса для клиентов: 192.168.88.5 — 192.168.88.29
24 адреса должно хватить для всех устройств в квартире, даже с избытком.

ip-addresses
Переходим в меню IP адресов
ip-addresses-add
Добавляем IP адрес для нашего сетевого моста
Так мы указываем, что IP адрес 192.168.88.1 привязать к интерфейсу LAN-Bridge.

Консольно:
/ip address add address=192.168.88.1/24 interface=LAN-Bridge

8. DHCP Сервер для локальных клиентов
Для того, чтобы наши клиенты могли подключаться к нашему роутеру и получать от него IP адреса и другие параметры, необходимо настроить DHCP сервер.
Первоначально укажем Pool IP адресов

ip-pool
Переходим в меню
ip-pool-add
Добавляем обозначенный диапазон
Теперь добавляем сам DHCP сервер
ip-dhcpserver
Переходим к добавлению DHCP
ip-dhcpserver-add
Задаем настройки DHCP сервера
Осталось еще указать для какой сети и какие дополнительные параметры будут получать подключенные клиенты.
ip-dhcpserver-networks
Указываем дополнительные параметры
Каждый подключенный клиент будет получать от DHCP сервера набор параметров:
Шлюз и DNS — В нашем случае и тем и другим будет выступать сам роутер.

Консольно:
/ip pool add name=LAN-Pool ranges=192.168.88.5-192.168.88.29
/ip dhcp-server add name=DHCP-Server interface=LAN-Bridge lease-time=12h address-pool=LAN-Pool bootp-support=dynamic bootp-lease-time=lease-time add-arp=yes authoritative=yes
/ip dhcp-server network add address=192.168.88.0/24 gateway=192.168.88.1 netmask=24 dns-server=192.168.88.1

В принципе уже можно подключать устройства по Wi-Fi и любые другие, уже должен работать интернет.

На этом закончим статью, остальные настройки рассмотрим позже )) Сама статья получилась достаточно большая и если Вы дочитали до конца Вы определенно молодцы!!!
Продолжение следует…

ASUS RT-AC66U: CFE или Меняем регион на новых прошивках

Всем привет!!
В предыдущих статьях мы с Вами использовали прошивку 3.0.0.4_374.43_0, как имеющую возможность изменить регион роутера через NVRAM.
Но в следующих прошивках компания ASUS изменила политику считывания региона в роутере. Теперь вместо того, чтобы брать настройки из NVRAM, роутер берет эти настройки из специального раздела CFE

В этой статье мы будем изменять CFE, чтобы открыть все доступные каналы для 5GHz на роутере RT-AC66U

!!! Внимание. Данная статья актуальна для роутера первой ревизии
На данный момент известны ревизии:
ASUS RT-AC66U — именно для этой ревизии данная статья.
ASUS RT-AC66U B1 H/W Ver.:A1
ASUS RT-AC66U B1 H/W Ver.:B1
Возможно существуют и другие, если обнаружите, то сообщите пожалуйста в комментариях!

В первую очередь обновимся на новую прошивку, каким способом это делать, выбирать Вам. Я предпочитаю использовать Firmware Restoration
Делаю через эту утилиту для того, чтобы исключить проблемы перехода со старой прошивки на более новую. К тому же я буду использовать прошивку от «Мерлина» RT-AC66U_380.66_4

Вы можете спросить, а зачем обновляться, если и на старой все работает. Хороший вопрос. На старой прошивке отсутствовал пакет SNMP для удаленного мониторинга. В новых прошивках он уже есть.
Мне это нужно для мониторинга через DUDE. По этому сервису будет отдельная статья.

Как только выполните обновление необходимо зайти в настройки и включить доступ по SSH или Telnet

rt-ac66u-ssh-enable
Так выглядит включение SSH
Подключаемся по SSH к роутеру, будем орудовать через консоль!
Я использую для этих целей PUTTY
rt-ac66u-connect-ssh
Окно подключения к роутеру. Вводим его IP адрес.
Соглашаемся с новым ключом
ssh-key-accept
Соглашаемся
Переходим в свободную папку, я захожу в jffs
cd /jffs

Далее сохраняем наш CFE в бинарный файл
cp /dev/mtd0 cfe.bin

Нам необходимо вытащить из роутера данный файл, чтобы его поправить.
Предпочитаю использовать для этого программу WinSCP

Подключаемся к роутеру по протоколу SCP и заходим в папку jffs

winscp-connection
Настраиваем и подключаемся
winscp-jffs
Содержимое jffs

Видим нужный файл. Скачиваем его на компьютер в удобное место.

Для того, чтобы его открыть понадобится программа Vortex CFE Editor
CFEEdit.zip

Запускаем программу и открываем наш cfe.bin файл

cfe-editor-opencfe
Открываем наш cfe.bin файл
Переходим во вкладку Advanced Mode
cfe-editor-advmode
Все важные параметры нашего роутера сохранены в CFE
Необходимо найти строки:
pci/1/1/ccode=
pci/2/1/ccode=
regulation_domain=
regulation_domain_5G=
pci/1/1/regrev=
pci/2/1/regrev=

У Вас может быть по разному. Например у меня было pci/1/1/ccode=EU, pci/1/1/regrev=13 и т.д.

Меняем параметры:
pci/1/1/ccode=#a
pci/2/1/ccode=#a
regulation_domain=#a
regulation_domain_5G=#a
pci/1/1/regrev=0
pci/2/1/regrev=0

И сохраняем новый CFE под именем cfe_new.bin

cfe-editor-savecfe
Сохраняем новый CFE
Загружаем через WinSCP новый CFE в папку jffs
winscp-new-cfe
Новый CFE загружен
Теперь нам нужно обновить раздел в роутере через новый CFE, для этого используются команды mtd-write и mtd-erase
Подаем команды:
mtd-write -i cfe_new.bin -d pmon
mtd-erase -d nvram
reboot

После перезагрузки роутера проверяем доступность расширенных каналов для 5GHz Wi-Fi

rt-ac66u-5ghz-channel
Все каналы доступны

Спасибо, что дочитали до конца!!!
Также предупреждаю, что все процедуры, Вы проделываете на свой страх и риск. За проблемы в работе Вашего оборудования автор данной статьи ответственности не несет!
Если у Вас есть, какие-либо дополнения, прошу в комментарии 🙂

P.S.*
Благодаря одному из наших читателей у меня есть возможность дополнить статью.
Представляем Вашему вниманию снятие блокировки с роутера ASUS RT-AC68U ревизии E1!
В cfe.bin меняем:
0:maxp2ga0=120
0:maxp2ga1=120
0:maxp2ga2=120
0:ccode=#a
1:maxp5ga0=120,120,120,120
1:maxp5ga1=120,120,120,120
1:maxp5ga2=120,120,120,120
1:ccode=#a
0:regrev=0
1:regrev=0

И совсем удаляем territory_code=EE/01 (привязка мощности и каналов к региону. Без него будет работать на полную).
Значение 120 выше соответствует мощности 28.50 -30 dBm (708 — 1000 mW). Короче максималка.

Для прошивки кидаем исправленный cfe.bin и файлы mtd-write, reg_all.sh из asus_unlock.zip в папку /jffs

Шьем следующими командами:
chmod +x mtd-write
chmod +x reg_all.sh
./mtd-write cfe_new.bin boot
./reg_all.sh
reboot

Собственно после этого должны появиться дополнительные каналы в настройке сети 5ГГц.
Все данные сохраняются при перепрошивке роутера. Я накатывал после прошивки cfe и официалку и мерлина — все сохраняется после сброса.

Единственный момент: если внести изменения в Advanced разделе настройки wifi, то мощность может опять снизится (привязка к параметру perfomance в прошивке).
Максимум восстанавливается через telnet следующими командами:
nvram set 0:maxp2ga0=120
nvram set 0:maxp2ga1=120
nvram set 0:maxp2ga2=120
nvram set 1:maxp5ga0=120,120,120,120
nvram set 1:maxp5ga1=120,120,120,120
nvram set 1:maxp5ga2=120,120,120,120
nvram commit
reboot

Автор: Михаил
Исходный комментарий

Создание домашней сети на базе устройств MikroTik: Часть 1

Добро пожаловать!

В предыдущих частях мы с Вами познакомились с особенностями начала работы для роутеров MikroTik на базе RouterOS:
MikroTik (RoS) Знакомство с профессиональной системой (ликбез)
Знакомимся с интерфейсом WinBox
Способы настройки роутеров Mikrotik

Пора бы нам уже начать пользоваться этими замечательными роутерами.
Предлагаю Вам рассмотреть изучение работы на хорошем примере домашнего использования роутеров и маршрутизаторов MikroTik.
Мы построим с Вами единую локальную сеть на разных устройствах и с разными провайдерами. Установим систему мониторинга Dude и сможем настраивать и следить за оборудованием из любого места, где есть интернет.

Описание:
Переехал я как-то от родителей, а мой ПК с медиа-сервером Plex, уехал вместе со мной. Домашние любят смотреть фильмы, соответственно нужно было «удлинить» мою локальную сеть на две квартиры между которыми порядка 90 км.
Для организации этой задачи я соответственно выбрал роутеры фирмы MikroTik.
1. hAP ac (RB962UiGS-5HacT2HnT) «Не путать с hAP ac Lite!!!»
2. hEX (RB750Gr3)
Оба роутера достаточно мощные. Именно на их примере я буду приводить пример построения сети.

Давайте посмотрим, что из себя представляет первая модель роутера:
1. hAP ac (RB962UiGS-5HacT2HnT)

hap-ac-main
Так выглядит сам роутер, с других сторон ничего нет ))
hapac-block-diagram
Блок диаграмма разводки
Давайте взглянем на его технические характеристики:
— Частота процессора 720 Мгц.
— Количество ядер процессора 1.
— Диапазон входящего напряжения 11-57В.
— Уровень лицензии 4.
— Коэффициенты усиления антенн 2,5 дБи (2.4 ГГц) / 2 дБи (5 ГГц)
— Беспроводная сеть на 2.4 ГГц реализована с помощью модуля, встроенного непосредственно в процессор Qualcomm QCA9558 802.11 b/g/n с поддержкой MIMO 3×3:3
— Беспроводная сеть на 5 ГГц реализована на отдельном чипе Qualcomm QCA9880. Количество каналов также равно трем, т.е. используется конфигурация MIMO 3×3:3
— Используется USB 2.0
— Доступно 128 Мб оперативной памяти
— 16 Мб флеш-памяти. Честно говоря ожидал тут увидеть побольше места. 16 Мб как-то маловато…
— Поддерживается PoE In, а также PoE Out, на первом и последнем порту соответственно. Прошу заметить, уровень энергопотребления данной модели при максимуме нагрузки составляет 17 Вт. Для примера стандартные порты MikroTik PoE Out рассчитаны на 12 Вт(24В 0,5А). Будьте внимательны!
— 5 гигабитных портов RJ-45 и один слот SFP.
hap-ac-main-2
В работе

Теперь перейдем ко второй модели
Прошу сразу заметить, роутер без Wi-Fi модулей. Позже расскажу почему именно так.
2. RB750Gr3

rb750gr3-main
Достаточно компактная модель
rb750gr3-en-switch
В случае объединения портов на свиче, между процессором и портами шина будет иметь пропускную способность в 1 Гбит
rb750gr3-dis-switch
Если же порты не объединять, порты eth1/eth3/eth3 будут подключены к ЦП гигабитной шиной, оставшиеся eth2/eth4 будут иметь независимую шину в 1 Гбит
— Процессор MediaTek (Ralink) MT7621A Dual-Core / 2 х 880 МГц. Данный процессор работает по 2 потока на ядро, соответственно Вы видите 4 CPU в системе.
— Архитектура MIPS1004Kc (1004KEc)
— Диапазон входящего напряжения 8-30В.
— Уровень лицензии 4.
— Доступно 256 Мб оперативной памяти (DDR3(L) SDRAM объемом 2 Гбит)
— 16 Мб флеш-памяти (Winbond 25Q128FVSG). Опять??? Немного непонятна политика компании. Благо есть слот под SD карту и USB 2.0 порт!
— Слот под SD карту!
— Используется USB 2.0
— Поддержка аппаратного ускорения шифрования.
— 5 гигабитных портов RJ-45
— Поддерживается только PoE In
rb750gr3-main-2

Давайте определим, что нам необходимо сделать:
1. Подключить hAP ac к интернету. (У провайдера был заказан Публичный статический IP)
2. Подключить hEX к интернету. (Без статического IP)
3. Настроить защищенное соединение между роутерами
4. Настроить общение клиентов, подключенных к нашим роутерам между собой, как будто все они находятся в одной подсети.

Плюс, нам необходимо иметь на каждом роутере свой DHCP сервер. Это важно, чтобы, если на одном из роутеров пропал интернет, локальные устройства не потеряли сетевые адреса и чтобы «ходили» в интернет только через свой роутер. Так, мы снизим нагрузку на туннель.

Давайте построим схему реализации:
Если что-то Вам покажется не знакомым не пугайтесь, по ходу дела я буду рассказывать, что и для чего необходимо.

sheme-primer
На первый взгляд ничего сложного быть не должно

В кратце разберем, что и как.
Сами модели роутеров могут быть не только именно эти, подобную схему можно организовать и на другом оборудовании MikroTik.
Но я выбрал именно эти модели. У Вас возможно будет что-то другое. Основной принцип настройки не изменится т.к. операционная система идентична.
Тут мы активируем OpenVPN сервер на роутере hAP ac и создаем клиентское OpenVPN подключение к OpenVPN серверу.

Опытные пользователи могут со мной не согласиться, мол, «Зачем тут OpenVPN? Будет достаточно PPTP или L2TP…»
OpenVPN я выбрал за его надежность. PPTP или L2TP почему-то у меня периодически «отваливался» и приходилось на hAP ac его переподключать. А вот OpenVPN работает до сих пор без единой запинки.
Пусть даже микротик и поддерживает OpenVPN исключительно по TCP протоколу(Ждем 7 версии RoS с OpenVPN по UDP).

После этого поверх адресов 172.16.10.1 и 172.16.10.2 поднимаем EoIP туннель.
Преимущество этих типов туннелей в том, что их можно добавлять в сетевой мост.

И снова да ))) OpenVPN интерфейсы в режиме Ethernet также можно добавлять в мост, но тут я столкнулся с еще одним подводным камнем. При отключении интерфейса на одной из сторон, на другой стороне переставал работать сетевой мост. Соответственно клиенты другого роутера не могли выходить в интернет, да и вообще как-то оперировать локальной сетью(они ведь получают IP по DHCP).
С EoIP такого нет.

Почему RB750Gr3? Все просто, он поддерживает такую вещь, как DUDE сервер и стоит не дорого. Что это и с чем его кушать Вы можете ознакомиться на оф сайте MikroTik, в следующих статьях разберем, что с ним делать:
The DUDE
Еще к RB750Gr3 подключена точка доступа в виде роутера ASUS RT-AC66U. Он был базовым роутером, до момента моего переезда. Теперь будет работать на Wi-Fi =)

Полагаю Вам уже должно быть интересно )
Ведь судя по схеме мы можем уйти от задания маршрутов и просто построить локальную сеть на большом удалении локальных зон друг от друга. Для дома или дома+дачи такая схема в самый раз.
Еще мы сможем добавлять другие зоны к общей локальной сети аналогичным методом. Например дачу с IP камерами для наблюдения, гараж с бесперебойным блоком питания и также IP камерами.
Думаю диапазона в 254 адреса будет достаточно для такой организации(Если нужно больше, можно использовать другую маску подсети 255.255.0.0).

Благодарю за внимание!!!
Дальше, настройка роутера hAP ac
Если у Вас есть вопросы или полезные комментарии прошу не стесняться =)

Поехали:
Создание домашней сети на базе устройств MikroTik: Часть 2 — Настройка hAP ac
Создание домашней сети на базе устройств MikroTik: Часть 3 — Настройка RB750gr3 hEX
Создание домашней сети на базе устройств MikroTik: Часть 4 — Создание OpenVPN туннеля
Создание домашней сети на базе устройств MikroTik: Часть 5 — Создание EoIP туннеля
Продолжение следует…

Прошивка систем на основе MikroTik RoS

И снова здравствуйте!

В прошлой части Мы с Вами, очень подробно, ознакомились с устройством и назначением пунктов меню, утилиты для настройки, фирмы MikroTik, под названием WinBox

В данной статье Мы разбрем способы обновления и перепрошивки роутеров на основе MikroTik RoS:

А перед тем, как мы приступим к процессу давайте ознакомимся с тем, откуда можно получить новые и старые файлы прошивки!!!
Получить их можно, конечно же, на официальном сайте MikroTik в разделе загрузок
mikrotik.com
Но перейдя туда Мы обнаружим страницу в которой немного непонятно, что необходимо скачать для нашего роутера…
Давайте разберемся, что и для чего там лежит
mikrotik-download Пункт 1 — Здесь указаны столбцы с версиями прошивок. По порядку слева на право:
— Bugfix only — версия старая, но с исправленными ошибками для данной ревизии
— Current — Текущая стабильная версия. Можно устанавливать, но все еще возможны мелкие ошибки.
— Legacy — Совсем устаревшая версия. Использовалась до 6 релиза.
— Release Candidate — Самая новая версия прошивки, но на стадии тестирования. ВНИМАНИЕ: возможны серьезные ошибки в работе ПО!
Пункт 2 — В данной строке указано для каких плат или моделей роутеров предназначены файлы, что находятся ниже. Собственно это главный пункт по которому необходимо искать свою версию!
Пункт 3 — (Main package) Основной пакет прошивки. Именно данный файл используется для прошивки устройств. И именно этот тип необходимо будет нам скачивать для прошивки устройств.
Файл включает в себя целый набор различных модулей. Немного далее мы увидим, какие именно модули входят в данный пакет прошивки.
Пункт 4 — (Extra packages) Архив со всеми модулями по отдельности. Благодаря этому архиву, Вы можете прошить роутер отдельными пакетами и собрать систему без лишних модулей, только то, что необходимо именно Вам.
Подойдет для тех, кто уже хорошо разбирается в операционной системе MikroTik RoS!!!

Давайте попробуем найти свою прошивку:
Смотрим модель нашего устройства (сейчас мы начнем применять знания из прошлой статьи)
winbox-system-routerboard-model Ищем нужную прошивку согласно нашей модели…
CRS, NetBox, NetMetal, PowerBox, QRT, RB9xx, hAP, mAP, RB4xx, cAP, hEX, wAP, BaseBox, DynaDish, RB2011, SXT, OmniTik, Groove, Metal, Sextant, RB7xx
Нашли! Кстати почему у платы нет букв RB, RB — это «RouterBoard» т.е. «Плата роутера» получается Плата роутера серии 9хх.
У нас плата модели 953, значит подходит.
Скачиваем стабильную(current) прошивку для нашей платы в любую папку. Я скачиваю на рабочий стол!
На момент написания статьи это routeros-mipsbe-6.37.npk
По поводу mipsbe — Это архитектура процессора. Почитать, что это и с чем едят можно ТУТ

СПОСОБЫ ПРОШИВКИ
Существует несколько способов прошивки роутеров и других устройств от фирмы MikroTik

1. Обновление через WinBox
Для обновления операционной системы роутера или устройства, Вам необходимо загрузить скачанный файл прошивки в устройство.
Делается это просто:
Открываем пункт Files

winbox-files-nofile
Пока файлов нет. Но у Вас могут быть какие-либо файлы
Загружаем файл. Делаем это путем простого перетаскивания файла мышью с рабочего стола в окно Files утилиты WinBox
winbox-upload
Перетаскиваем файл

Второй способ загрузки файла в роутер, это использовать FTP клиент. Например приложение WinSCP.

Как только закончиться процесс загрузки файла, для обновления роутера нам необходимо перезагрузить роутер.

winbox-system-reboot
winbox-system-reboot
И после того, как роутер загрузится он будет уже обновлен. Этот факт мы увидим в окне WinBox еще до подключения.
winbox-neighbors
Видим в столбце Version, что роутер прошился
Вот так все просто.

2. Возврат на старую прошивку(Downgrade)
Многие могли заметить, что если загрузить старую версию прошивки и перезагрузить роутер, то роутер не перепрошивается сам.
Фирма MikroTik ввела защиту на этот случай. Да и вообще возврат на старые прошивки они не поощряют.
Поэтому, для того, чтобы вернуть роутер на старую прошивку, необходимо перейти в раздел установленных модулей, они же пакеты!
ВНИМАНИЕ!!! Файл прошивки уже должен быть загружен в роутер!!
winbox-system-packages

И в появившемся окне нажать кнопку Downgrade.

winbox-downgrade
И тут Вы можете видеть все пакеты(модули), которые входят в пакет основной прошивки.

Сноска:
Кстати именно в этом окне Вы можете включать(кнопка Enable), выключать(кнопка Disable), удалять(кнопка Uninstall) и отменять действие(кнопка Unschedule) для выбранных пакетов.
Удаление возможно только тех пакетов, которые установлены отдельно от основного пакета прошивки. Все, что входит в основной пакет прошивки Вы можете только включать и выключать.

winbox-downgrade-process
Процесс возврата на более старую прошивку
После подтверждения ваших намерений в откате прошивки, роутер перезагрузится и будет достаточно дождаться пока роутер запустится.

3. Прошивка через утилиту Netinstall

Скачиваем утилиту с того же сайта и места, откуда качали в прошлой статье утилиту WinBox
На момент написания статьи версия Netinstall 6.37
Прямая ссылка на архив: СКАЧАТЬ NETINSTALL

Достаточно шустрым способом прошить роутер, а иногда и восстановить его функционал, если что-то в роутере пошло не так. Или если вы забыли пароль от роутера является прошивка устройства, через специальную утилиту от MikroTik под названием Netinstall

netinstall-main
Выглядит окно, как-то так
Для того, чтобы устройство появилось в окне Netinstall, должны быть соблюдены ряд действий:
1 — Сетевая карта Вашего ПК или ноутбука должны быть настроены на статический адрес по IPV4 и иметь адрес отличный от адреса роутера, но в той же подсети.
Как устанавливать статические адреса в различных Windows читайте ТУТ
Например установим IP 192.168.88.20 Маску 255.255.255.0
Остальные параметры оставим без изменений т.е. пустыми.

ВАЖНО!!!!
Отключите все остальные сетевые карты, если они есть. Т.к. Netinstall создает свой DHCP сервер и он может конфликтовать с другими сетевыми картами.

Отключаем питание нашего устройства.
Зажимаем кнопку RESET и удерживаем её нажатой

reset-rb751
Для примера кнопка RESET на роутере RB751
reset-rb912
Она же на плате RB912
НЕ отпуская кнопку, подключаем к роутеру питание.
ВНИМАНИЕ! не отпускать кнопку перед подачей питания!!!
Удерживать необходимо от 20 до 40 секунд, в зависимости от модели устройства.
Дожидаемся пока устройство не появится в списке Netinstall со словом Ready
netinstall-start-install
Устанавливаем необходимые параметры
1 — Выбираем мышью нужный роутер
2 — Указываем папку в которой лежит файл прошивки
3 — Выбираем нужную прошивку
4 — Применяем стандартную конфигурацию (либо что-то свое)
5 — И жмем кнопку Install для начала процесса загрузки и установки прошивки.
netinstall-process
Процесс загрузки и установки прошивки
netinstall-wait-reboot
На некторых моделях необходимо самостоятельно подавать команду Reboot
6 — Жмем на кнопку Reboot для перезагрузки роутера
Закрываем приложение и ждем загрузки роутера обновляя окно утилиты WinBox.
Все, готово, роутер прошит.

На этом позвольте закончить. Статья получилась достаточно объемная, но оно того стоит )
Теперь Вы знаете, как обновить или восстановить(recovery) свой роутер или любое другое устройство на базе MikroTik RoS.

В следующей части Мы ознакомимся с так называемым загрузчиком(bootloader)
Иногда, когда роутер отказывается загружаться совсем помогает именно он ))
Всего хорошего Вам 😉

Знакомимся с интерфейсом WinBox

Доброго здравия!

В прошлых статьях мы с Вами ознакомились с различными способами подключения к нашему роутеру и мельком взглянули на искомый объект.
Сегодня мы будем знакомиться более подробно с замечательной утилитой WinBox для управления роутерами и системами на MikroTik RoS

ПРЕДУПРЕЖДЕНИЕ: многа букав =)

Если Вы достаточно хорошо владеете английским языком, можете ознакомиться с официальным руководством по WinBox
Manual:Winbox

Скачиваем утилиту с официального сайта:
Страница загрузок MikroTik.com
Необходимо пролистать в самый низ сайта и в разделе Useful tools and utilities будет ссылка на нужный нам файл с именем Winbox version X.X
На момент написания статьи версия была 3.5, вот прямая ссылка

Заускаем утилиту и подключаемся к устройству:

winbox-login
Используем навыки из прошлой статьи. Подключимся по MAC адресу.
1. Кликаем один раз на MAC адрес найденного роутера
2. Нажимаем Connect для подключения.

Сам по себе интерфейс достаточно объемен в количестве возможных панелей, кнопок и окон.
Чтобы весь его описать потребуется очень много времени и текста.
Поэтому я буду давать только самое основное, чтобы выполнить корректные настройки.
Не будем забывать, что мы будем пользоваться этим роутером дома или в малом офисе. В которых все настройки роутера не понадобятся.
К тому же Мы будем разбирать в будущих статьях, то, что не разберем в этой статье.

Некоторые порты и настройки по умолчанию, могут отличаться, в зависимости от того, какое у Вас устройство!!!!

Посмотрим, какие пункты присутствуют:

winbox-interface
Объемный список меню

Итак, пункты:
1. [Quick Set] — Окно быстрых настроек. Я не люблю использовать данное окно т.к. если Вы уже настроили роутер и потом зашли в этот пункт, потом изменили тут один параметр и применили. То может измениться достаточно много настроек и не в лучшую сторону. Придется искать, что пошло не так и перенастраивать заново.
winbox-quickset

2. [CAPsMAN] — В данному пункте из роутера можно сделать контроллер точек доступа. Сомневаюсь, что данный функционал потребуется в домашних условиях. А вот в отношении малого офиса может и пригодиться. Рассмотрим возможно в одной из статей. А пока дам ссылку на Wiki, чтобы Вы могли изучить более подробно данный раздел. (ВНИМАНИЕ: английский язык) Manual:CAPsMAN

3. [Interfaces] — Список интерфейсов. Одно из самых главных окон. Через него Вы будете следить за активностью и настраивать параметры всех интерфейсов, тунелей и др.

winbox-interfacelist
Тут мы видим список всех интерфейсов дефолтной конфигурации(конфигурация по умолчанию)

4. [Wireless] — Отдельный пункт для Wi-Fi интерфейсов. Только в данном пункте, можно настроить профили защиты Wi-Fi (он же — пароль для подключения к сети)
winbox-wirelesslist

5. [Bridge] — Пункт для настройки программных мостов. В данном окне можно оперировать сетевыми мостами. Добавлять и удалять из них нужные интерфейсы.

winbox-bridgelist
На данной вкладке приведен список портов в одном сетевом мосту в дефолтной конфигурации

6. [PPP] — Отдельный пункт для всех PPP соединений. Мониторинг интерфейсов, задание паролей. Включение собственных PPP серверов и многое другое.
Для дома и малого офиса вполне достаточно использовать данный вид объединения в мост.

7. [Switch] — Пункт для настройки аппаратных мостов. В данном окне можно оперировать сетевыми мостами. Добавлять и удалять из них нужные интерфейсы. Если ваше устройство упирается в производительность при использовании программных мостов, Вы можете разгрузить процессор используя аппаратную обработку отдельным чипом.

8. [Mesh] — Достаточно интересный функционал. Данный пункт необходим для построения MESH сетей между различными точками доступа.
Данные сети построены по ячеечному типу, в которой отдельное устройство, может быть связано со множеством других. В данном типе организации сети повышается отказоустойчивость всей сети.
Данный тип сети хорошо масштабируется. Зона покрытия увеличивается за счет добавления новых устройств в сеть.
Возможно более подробно разберем в одной из статей.

9. [IP] — Один из самых объемных пунктов. У данного пункта есть дополнительное меню. Используется в основном для управления сетевыми параметрами.

winbox-ip-menu
Виден весь объем настроек
  • 9.1. [ARP] — Так называемый ARP List («Address Resolution Protocol» — протокол определения адреса). ARP протокол работает с MAC адресами. В данном списке будут присутствовать все устройства, которые подключились к роутеру.
  • 9.2. [Accounting] — Используется для системы учета трафика.
  • 9.3. [Addresses] — В данном пункте будут присутствовать все IP адреса полученные динамическим способом. Также тут задаются IP адреса для интерфейсов, мостов и всего остального. Основной пункт!
  • 9.4. [Cloud] — Служба DDNS организованная самой фирмой MikroTik. В данном случае используется сервер компании MikroTik. Адрес будет иметь вид СЕРИЙНЫЙНОМЕР.sn.mynetname.net
  • 9.5. [DHCP Client] — Раздел создания DHCP клиентов для получения IP адресов от внешних или внутренних DHCP серверов.
  • 9.6. [DHCP Relay] — Ретрансляция DHCP параметров какого-либо внешнего DHCP сервера.
  • 9.7. [DHCP Server] — Один из важных пунктов. Создание DHCP серверов на самом роутере. Их может быть много.
  • 9.8. [DNS] — Пункт кеширующего DNS. Можно задавать сопоставления для устройств в локальной сети, к которым можно будет обращаться через браузер по доменному имени.
  • 9.9. [Firewall] — Чрезвычайно важный пункт. Благодаря Firewall-у роутер способен фильтровать и распределять трафик. Резать нужное и не пропускать не нужное. Перенаправлять нужные порты на конкретные устройства в локальной сети и многое, многое другое. Данный пункт заслуживает отдельной статьи т.к. он ОЧЕНЬ объемный по своему функционалу! Но пугаться не стоит. Для работы нам много не потребуется =)
  • 9.10. [Hotspot] — Пункт настройки гостевых Wi-Fi сетей с авторизацией и подобным функционалом. Как в Московском метро, кафе и парках. Для описания функционала понадобится целая статья.
  • 9.11. [IPsec] — Пункт настройки шифрованного туннеля.
  • 9.12. [Neighbors] — Пункт в котором отображаются видимые в сети устройства фирмы MikroTik, можно увидеть другие устройства если у них не отключена видимость. Видимость для каждого интерфейса настраивается в этом же пункте.
  • 9.13. [Packing] — Склеивание малых пакетов. Используется в очень специфических случаях.
  • 9.14. [Pool] — Пункт хранения пула адресов для DHCP серверов. Важный пункт!
  • 9.15. [Routes] — Таблица маршрутизации роутера. Один из наиболее важных пунктов в настройке!!!
  • 9.16. [SMB] — Пункт настройки SMB сервера для внешних носителей.
  • 9.17. [SNMP] — Пункт настройки средств удаленного мониторинга параметров интерфейсов по SNMP протоколу. Snmpwalk,Zabbix и т.д.
  • 9.18. [Services] — Пункт с сервисами управления и получения информации с роутера. API, SSH, Telnet, FTP и др. Можно включать, выключать и менять порты протоколов для обеспечения защиты роутера.
  • 9.19. [Settings] — Пункт некоторых настроек для IP ядра
  • 9.20. [Socks] — Первый пункт реализации прокси
  • 9.21. [TFTP] — Пункт управления TFTP сервером на роутере.
  • 9.22. [Traffic Flow] — Пункт сбора трафика NetFlow (в роли Сенсора и Коллектора) для передачи в Анализатор
  • 9.23. [UPnP] — Автоматический проброс(перенаправление) портов для Plug & Play устройств.
  • 9.24. [Web Proxy] — второй пункт реализации прокси

10. [MPLS] — MPLS(«MultiProtocol Label Switching») — механизм маршрутизации на основе меток. Достаточно тяжелая тема. Для дома и малого офиса нет необходимости в её изучении.

11. [Routing] — Различные системы мониторинга, отслеживания маршрутизации, пакетов, соединений и все в таком духе. Для дома и малого офиса практически не используется.

12. [System] — Еще один объемный пункт меню, включающий в себя подменю. Используется для настройки различных параметров самого роутера.

winbox-system-menu
Пунктов также достаточно много
  • 12.1. [Auto Upgrade] — Настройка автоматических обновлений системы. Лучше не включать. В один прекрасный день можете потерять роутер со связи.
  • 12.2. [Certificates] — Сертификаты для разных систем шифрования и защиты (SSL, OpenVPN и др.)
  • 12.3. [Clock] — Настройка времени и временной зоны. Время можно не выставлять если используется синхронизация по SNTP.
  • 12.4. [Console] — Если у вас на роутере имеется разъем RS232, консоль будет выведена туда по умолчанию. Можно отключить для снятия данных по данному интерфейсу. Для обычных пользователей интереса не представляет. Используется в основном в промышленности.
  • 12.5. [Disks] — Список подключенных внешних носителей и управление ими.
  • 12.6. [Drivers] — Список драйверов в системе. Мало полезно.
  • 12.7. [Health] — Отображение вольтажа и температуры процессора.
  • 12.8. [History] — История изменений, которые вносил какой-либо пользователь.
  • 12.9. [Identity] — Название вашего устройства. Можно изменить. Тогда при подключении в консоль будет вместо [admin@MikroTik] как-то так [admin@MyRouter]
  • 12.10. [LEDs] — Управление светодиодами роутера. Достаточно много настроек. Активность интерфейса, прием/передча, уровень сигнала WiFi и др.
  • 12.11. [License] — Текущая лицензия Операционной системы. Да да в роутере используется активация лицензии. В обычных роутерах идет лиензия уровня 4. Почитать о лицензиях можно на Wiki (ВНИМАНИЕ: английский язык) Manual:License
  • 12.12. [Logging] — Включение расширенного логирования. Используется для отладки. Логи можно писать в память роутера, для дальнейшего чтения.
  • 12.13. [Packages] — Список пакетов(активных или выключенных) идущих с прошивкой. Либо пакеты по отдельности. Зависит от того, как прошивался роутер.
  • 12.14. [Password] — Изменение пароля учетной записи, под которой в данный момент зашел пользователь.
  • 12.15. [Ports] — Порты для подключенных устройств. Отображает порт консоли, USB модемы в режиме (AT модем) будут показывать количество каналов, к которым можно подключиться.
  • 12.16. [Reboot] — Перезагрузка роутера
  • 12.17. [Reset Configuration] — Сброс конфигурации. Можно делать восстановление конфигурации сделанной экспортом. (команда: export file=settings.rsc)
  • 12.18. [Resources] — Отображает различные ресурсы роутера. Время работы, память, загруженность процессора и др.
  • 12.19. [Routerboard] — Информация о используемой плате роутера. Серийный номер. Также по кнопкам, скорость порта консоли, частоту работы процессора и многое другое.
  • 12.20. [SNTP Client] — Настраивается выбор SNTP сервера синхронизации времени по интернету. Можно указать большое количество NTP серверов в том числе и доменным именем.
  • 12.21. [Scheduler] — Планировщик выполнения скриптов. Он же Cron(Crontab)
  • 12.22. [Scripts] — Скрипты. Очень интересный пункт. Но изучение скриптов требует знаний в программировании. Плюс в MikroTik RoS есть своя специфика их написания. Потребуется целая статья и даже не одна, чтобы описать все возможности.
  • 12.23. [Shutdown] — Выключить роутер
  • 12.24. [Special Login] — Разрешение доступа к консоли и другим устройствам для конкретных пользователей и запрет для остальных.
  • 12.25. [Users] — Управление всеми пользователями и их группами
  • 12.26. [Watchdog] — Системная служба контроля состояния роутера.

13. [Queues] — В данном пункте настраивается так называемый шейпинг трафика. Настраиваются целые цепочки управления трафиком. Что куда идет, какая скорость для этого соединения и многое, многое другое. Для изучения этого функционала будет необходимо также несколько статей. По работе данной функции пишут целые лекции. Очень мощный инструмент. Также известна, как QoS.

14. [Files] — Список всех файлов внутри роутера. можно загружать файлы по FTP, а можно простым перетаскиванием мыши в окно WinBox, что очень удобно.

15. [Log] — Текущий лог. Будет показывать всю нужную информацию. Вывод зависит от настроек в System->Logging

winbox-log
Дефолтный вывод после входа в роутер.

16. [Radius] — Настройки FreeRadius. Используется в основном для авторизации пользователей HotSpot-а.

17. [Tools] — Различные утилиты для пинга, создания нагрузки на канал, отправка Email писем, трассировка, работа с SMS и др.

18. [New Terminal] — Главное оружие пользователя в работе с роутером =) Это консоль. Все действия выполняемые через меню WinBox выполняются коммандами через терминал(она же консоль роутера). И даже позволяет некоторые действия, которые недоступны через меню!!! Она открывается, когда Вы подключаетесь к роутеру по SSH и Telnet. Заслуживает отдельного внимания и возможно отдельной статьи.

19. [MetaROUTER] — Магическая штука. Благодаря данному функционалу Вы можете поставить MikroTik RoS в текущей MikroTik RoS! Да вы не ослепли, именно так, можно установить еще одну систему в эту же систему. Или даже установить OpenWRT внутрь текущего роутера и у него будет IP, коорый Вы зададите и сможете заходитьна WEB OpenWRT и делать на ней всякие сервера, свои сайты. В общем достаточно интересная вещь. Но нужно будет немного поковыряться, чтобы все работало, как надо.

20. [Partition] — Достаточно интересный пункт. Можно разбить текущий раздел на два (новые и старый раздел автоматически разделяются поровну). Далее скопировать туда текущую систему, и конфигурацию. И далее можно выбирать с какого раздела загружать систему, перенастраивать по разному и иметь в одной коробке два различных функционала если требуется.

21. [Make Supout.rif] — Здесь создается файл сбора информации о работе роутера, если Вы обратились в техническую поддержку компании MikroTik(support@mikrotik.com) необходимо будет выслать им этот файл. Они все равно его запросят ))

22. [Manual] — Та самая Wiki MikroTik, но уже в локальном исполнении. Подключение к интернету не нужно для её чтения.

23. [New Winbox] — Скачать приложение WinBox, которое хранится в роутере.

24. [Exit] — Выход из WinBox

В заключении:
Как Вы можете видеть интерфейс роутеров MikroTik очень объемный и состоит из множества интересных вещей, такой объем не предоставляет ни одна компания производящая потребительские роутеры.
Да много всего. Да разобраться достаточно сложно. Но если в итоге разобраться…
Можно будет делать вещи очень интересные.
Взять к примеру объединение локальных ресурсов квартиры в Москве, загородной квартиры родителей и дома на дачном участке.
Подключаться к дачным камерам видеонаблюдения, помогать родителям с компьютерами по удаленному доступу.
Создать в Москве медиасервер и иметь к нему доступ с дачного участка без всяких статических IP адресов. Ну или как максимум имея один единственный белый IP адрес ))

Собственно, а почему бы, именно так и не сделать )))

Если Вы дочитали до конца, значит я не зря старался ) Спасибо Вам за ознакомление!!!
Следующая часть Coming….

Способы настройки роутеров Mikrotik

Добро пожаловать,
Продолжим знакомство с роутерами широкого спектра применения фирмы MIKROTIK
В прошлой части мы ознакомились с объектом нашего изучения.

Сегодня роутеры MikroTik используются достаточно широко и зарекомендовали себя у знающих людей, как стабильная система, на которой можно построить достаточно много интересных вещей.
А вот не подготовленному пользователю или начинающему роутероводу придется не сладко!
Да да, именно так, потому что, порог входа для данного оборудования достаточно высок, но если у Вас пытливый ум, со временем Вы во всем разберетесь и Я Вам в этом помогу.

Купив(одолжив,найдя,приняв в подарок, да не важно как) аппарат с названием MikroTik Вы получаете железку, со скажем так, частично старой прошивкой.
Ребята из MikroTik очень активно «пилят» прошивки, латают баги, добавляют новые фичи и баги(куда без них) и выкладывают это на своем сайте.
Достаточно взглянуть на страницу загрузки: mikrotik.com/download
и посмотреть на ветку RC

Само обновление прошивки разберем с вами в другой статье =)
Роутеры поставляются со стандартными настройками и имеют IP адрес 192.168.88.1

Для настройки мы можем использовать несколько вещей, так называемый Web интерфейс и специализированную утилиту WinBox
[1] WebFig

browser-address
Для доступа к WEB интерфейсу настройки необходимо в адресной строке браузера ввести адрес роутера
mikrotik-webfig
После нажатия Enter, откроется вот такое окно
Кстати, как Вы могли заметить утилиту WinBox можно скачать прямиком с роутера нажав соответствующую иконку.
mikrotik-webfig-interfaces
Либо сразу откроется интерфейс

[2] WinBox
Утилита WinBox доступна для пользователей ОС Windows
Данная утилита достаточно мощный инструмент в управлении вашим роутером.
В её функционал входит возможность подключения к роутеру по так называемому MACtelnet протоколу. Т.е. Вы можете подключиться к роутеру даже если у него не установлен IP адрес.
Да да Вы все правильно прочитали =)

Как Вы могли заметить, её можно скачать из самого роутера, либо скачать с официального сайта.
В роутере находится обычно более старая версия программы, поэтому лучше всего, будет скачать самую последнюю версию с официального сайта, со страницы загрузки: mikrotik.com/download
Пункт на странице: Useful tools and utilities
Прямую ссылку давать не буду т.к. после написания статьи, она может быстро потерять актуальность, т.к. программа также меняется от версии к версии.
На момент написания статьи самая последняя версия WinBox 3.4

mikrotik-winbox
Так выглядит интерфейс программы в простом виде и расширенном, какой использовать решать Вам
mikrotik-winbox-advanced
Включение расширенного режима
mikrotik-winbox-info Разберем Самые необходимые пункты для работы с утилитой:
1. — Connect To: адрес по которому необходимо подключаться ( IP либо MAC устройства )
2. — Login: имя пользователя, под которым необходимо подключаться ( по умолчанию admin )
3. — Password: пароль пользователя ( по умолчанию поле пустое )
4. — Session: имя сессии подключения ( автоматически сохраняет IP либо MAC, можно указать свое значение )
* Позволяет при повторном подключении, по той же сессии, открыть все окна и вкладки, в том же порядке, при котором окно было закрыто.
5. — Keep Password: запоминание пароля
6. — Autosave Session: автоматическое сохранение сессии подключения в список 4.(Session)
7. — MAC адрес найденных устройств ( при клике на это поле, MAC адрес вставляется в поле 1.Connect To: )
8. — IP адрес найденных устройств ( при клике на это поле, IP адрес вставляется в поле 1.Connect To: )
9. — Название устройства ( данное поле настраивается в самом устройстве )
10. — Версия текущей прошивки устройства
11. — Модель материнской платы устройства
12. — Кнопка подключения к выбранному устройству

После заполнения нужных полей можно подключаться к роутеру

mikrotik-winbox-interface
Стандартное окно интерфейса WinBox
mikrotik-winbox-interface-open
Открытые окна различных меню
Как Вы можете видеть, еще одним важным отличием данной утилиты от Web интерфейса является, возможность открывать много окон различных меню. Что очень полезно для мониторинга изменения одних значений при изменении других в реальном времени.

Я настоятельно рекомендую использовать именно утилиту WinBox для мониторинга и настройки роутеров и других устройств фирмы MikroTik.
И очень не рекомендую использовать окно Quick Set (Быстрая настройка) т.к. при применении изменений, могут измениться некоторые важные настройки и придется настраивать все по новой.

Поэтому все следующие части настройки и знакомства я буду проводить через WinBox.
Большинство настроек легко повторяются через Web, сложности с этим быть не должно.

Если у Вас есть какие-либо комментарии или дополнения к данной статье… Welcome в комментарии =)
Следующая часть coming soon…

MikroTik (RoS) Знакомство с профессиональной системой (ликбез)

Добрый день.
Сегодня мы с Вами посмотрим на достаточно интересную систему для роутеров и маршрутизаторов Mikrotik Routerboard System.
MikroTik — Латвийский производитель сетевого оборудования.
http://www.mikrotik.com

Не мудрствуя лукаво, возьму краткое описание с Вики:
MikroTik RouterOS — сетевая операционная система на базе Linux. RouterOS предназначена для установки на маршрутизаторы Mikrotik RouterBoard. Также данная система может быть установлена на ПК, превращая его в маршрутизатор с функциями брандмауэра, VPN-сервера/клиента, QoS, точки доступа и другими. Система также может служить в качестве Captive-портала на основе системы беспроводного доступа.

Операционная система имеет несколько уровней лицензий с возрастающим числом функций. Кроме того, существует программное обеспечение под названием Winbox, которое предоставляет графический интерфейс для настройки RouterOS. Доступ к устройствам под управлением RouterOS возможен также через FTP, Telnet, и SSH. Существует также API, позволяющий создавать специализированные приложения для управления и мониторинга.

Особенности
RouterOS поддерживает множество сервисов и протоколов, которые могут быть использованы средними или крупными провайдерами — таких, как OSPF, BGP, VPLS/MPLS. RouterOS — достаточно гибкая система, и очень хорошо поддерживается Mikrotik, как в рамках форума и предоставления различных Wiki-материалов, так и специализированных примеров конфигураций.

RouterOS обеспечивает поддержку практически всех сетевых интерфейсов на ядре Linux. Из беспроводных чипсетов поддерживаются решения на основе Atheros и Prism (по состоянию RouterOS версии 3.x). Mikrotik также работает над модернизацией программного обеспечения, которая обеспечит полную совместимость устройств и ПО Mikrotik с набирающими популярность сетевыми технологиями, такими как IPv6[1].

RouterOS предоставляет системному администратору графический интерфейс (WinBox) для наглядной и быстрой настройки файервола, маршрутизации и управления QoS. В том числе, в интерфейсе WinBox практически полностью реализована функциональность Linux-утилит iptables, iproute2, управление трафиком и QoS на основе алгоритма HTB.

История версий
RouterOS v7: на октябрь 2017 г. все еще находится в разработке
RouterOS v6: май 2013 — н.в. (основана на ядре Linux 3.3.5)
RouterOS v5: март 2011 — сентябрь 2013 (основана на ядре Linux 2.6.35)
RouterOS v4: октябрь 2009 — март 2011 (основана на ядре Linux 2.6.26)
RouterOS v3: январь 2008 — октябрь 2009 (основана на ядре Linux 2.4.31)

RouterBOARD
RouterBOARD — аппаратная платформа от MikroTik, представляющая собой линейку маршрутизаторов под управлением операционной системы RouterOS. Различные варианты RouterBOARD позволяют решать на их основе различные варианты сетевых задач: от простой беспроводной точки доступа и управляемого коммутатора до мощного маршрутизатора с брандмауэром и QoS.

Практически все модели RouterBOARD устройств могут питаться с помощью PoE и имеют разъем для подключения внешнего источника питания.

Модели, предназначенные для работы с беспроводными технологиями, имеют слот (miniPCI) для подключения радиомодулей. Большинство моделей также имеет разъем для подключения к COM-порту ПК. В бюджетных моделях или в зависимости от конкретного предназначения модели те или иные элементы могут отсутствовать.

Дальнейшие Статьи Будут посвящены тому, как работать с данной операционной системой и роутерами вместе с ней.
Мы будем охватывать сегмент маршрутизаторов и роутеров. Т.е. базовые настройки и частично расширенные возможности для построения сети в малом и среднем офисе.