Создание домашней сети на базе устройств MikroTik: Часть 3 — Настройка RB750Gr3 hEX

Роутеры

Автор GregoryGost На чтение 10 мин Просмотров 363к. Опубликовано 16.10.2017 Обновлено 03.11.2020

Мы настроили наш основной роутер hAP ac для работы со статическим IP провайдера и провели базовую настройку не затрагивая настройку защищенного туннеля (VPN).
Произведем настройку для роутера hEX RB750Gr3. (hEX S похож на него)
Суть и методика настройки не особо отличается от настройки модели hAP ac. В этой модели просто нет Wi-Fi.

Если Вы хотите изучить MikroTik, то это можно реализовать с помощью специального онлайн-курса "Настройка оборудования MikroTik". В курсе изучаются все темы из официальной программы MTCNA, а автором курса является официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с оборудованием MikroTik, и тем, кто даже не держал его в руках. В состав курса входят 162 видеоурока, 45 лабораторных работ и вопросы для самопроверки с конспектом. Кстати я получал сертификат MTCNA именно тут!

Подключим роутер к ПК/Ноутбуку через порт 2, а кабель провайдера в порт Internet.

hex-ports — Красным — интернет / Синим — локальный

На ПК для сетевого интерфейса устанавливаем статический IP 192.168.88.5 и маску сети 255.255.255.0
Это нужно если у роутера отсутствует IP адрес.

Открываем утилиту WinBox (Подробнее: Тут и Тут). Сбрасываем все заводские настройки, они нам не понадобятся!

Консольно:
/system reset-configuration no-defaults=yes skip-backup=yes
Подтверждаем сброс настроек.
После этой процедуры, у роутера не будет IP адреса, поэтому подключаемся по MAC адресу.
Все настройки будут сброшены, начнем настройку:

1. Настраиваем сетевые интерфейсы
Все также, как и для hAP ac.
Данный роутер будет располагаться территориально далеко, например в другом городе, соответственно все настройки делаем для используемого провайдера.
Все интерфейсы RJ45 входят в один свич(switch1) поэтому нам нужно отделить порт для провайдера, и порты для локальных соединений.
Выбираем интерфейс ether1 и переименовываем его в WAN

Screenshot_1-1 — Меняем имя порта ether1

Консольно:

/interface ethernet

set [find default-name=ether1] name=WAN

Выбираем интерфейс ether2 и переименовываем его в LAN1-Ethernet
Т.к все сетевые порты у нас находятся в свиче, мы можем сделать один из портов ведущим(Мастер порт), а остальные ведомыми(Слейв порты). По сути получится, как будто каждый из портов это один и тот же порт.
Из-за изменений в прошивке 6.41 в работе Сетевых мостов старый метод не работает. У сетевых портов исключили параметр Master Port.
Теперь в сетевой мост необходимо добавлять интерфейсы по отдельности.

Консольно:

/interface ethernet

set [find default-name=ether2] name=LAN1-Ethernet

Остальные ether3, ether4 и ether5 переименовываем соответствующе LAN2-Ethernet, LAN3-Ethernet, LAN4-Ethernet

Screenshot_3 — Для остальных делаем по аналогии

Консольно:

/interface ethernet

set [find default-name=ether3] name=LAN2-Ethernet

set [find default-name=ether4] name=LAN3-Ethernet

set [find default-name=ether5] name=LAN4-Ethernet

2. Создадим сетевой мост
Сетевой мост будет служить основным интерфейсом, который соберет в себе все наши локальные интерфейсы. Т.е. нужно добавить к новому сетевому мосту все нужные интерфейсы.
Также мы помним, что мы сделали мастер порт и часть портов привязали к нему, соответственно все второстепенные порты добавлять не нужно.

Создадим сам сетевой мост. Назовем его LAN-Bridge

Начнем добавлять порты.

bridge-port-add — Добавляем все наши локальные порты

На данный момент в сетевой мост мы добавим только Мастер порт. В дальнейшем мы добавим в этот мост специальный интерфейс туннеля, но об этом позже.
В момент добавления интерфейса LAN1-Master Вас может отключить от роутера, в этом нет ничего страшного, просто подключаемся снова.

Консольно:
/interface bridge add name="LAN-Bridge" comment="LAN" mtu=1500 fast-forward=no igmp-snooping=yes protocol-mode=none /interface bridge port add interface=LAN1-Ethernet disabled=no add interface=LAN2-Ethernet disabled=no add interface=LAN3-Ethernet disabled=no add interface=LAN4-Ethernet disabled=no

3. Разрешим нашему роутеру обрабатывать DNS

Консольно:
/ip dns set allow-remote-requests=yes cache-size=4096

4. Подключение к провайдеру
У меня и второй Интернет провайдер предоставляет интернет по DHCP. Т.е. необходимо настроить DHCP клиент на порт в который вставлен кабель провайдера (WAN)

ip-dhcpclient — Находим нужное меню и добавляем новое правило

В столбце IP Address мы должны увидеть IP от провайдера.

Консольно:
/ip dhcp-client add interface=WAN add-default-route=yes disabled=no default-route-distance=1 use-peer-dns=yes use-peer-ntp=yes

5. Доступ в интернет
Для того, чтобы наши клиенты могли выходить в сеть интернет, нам необходимо указать, через какой интерфейс они будут это делать.
Эти настройки делаются через Межсетевой экран (Firewall)

ip-firewall — Переходим в межсетевой экран и добавляем правило

ip-firewall-add-1 — Указываем основные параметры

ip-firewall-add-2 — Указываем еще один параметр

В принципе этого достаточно, чтобы на роутере уже появился интернет. Но у клиентов его не будет т.к. еще нет IP адреса и локального DHCP сервера.

Консольно:
/ip firewall nat add chain=srcnat out-interface=WAN action=masquerade

6. IP адрес роутера
Теперь назначим нашему роутеру IP адрес.
Мы определили, что в Локации 2 будет следующий разброс:
IP адрес роутера: 192.168.88.2
IP адреса для клиентов: 192.168.88.30 — 192.168.88.59
29 адресов должно хватить для всех устройств в квартире, даже с избытком.

ip-addresses — Переходим в меню IP адресов

hEX-address — Добавляем IP адрес для нашего сетевого моста

Так мы указываем, что IP адрес 192.168.88.2 привязать к интерфейсу LAN-Bridge

Консольно:
/ip address add address=192.168.88.2/24 interface=LAN-Bridge

7. DHCP Сервер для локальных клиентов
Для того, чтобы наши клиенты могли подключаться к нашему роутеру и получать от него IP адреса и другие параметры, необходимо настроить DHCP сервер.
Первоначально укажем Pool IP адресов

ip-pool — Переходим в меню диапазонов IP адресов

hex-pool — Добавляем обозначенный диапазон

Теперь добавляем сам DHCP сервер

ip-dhcpserver — Переходим в меню DHCP серверов

hex-dhcp-server — Задаем настройки DHCP сервера

Осталось еще указать для какой сети и какие дополнительные параметры будут получать подключенные клиенты.

hex-dhcp-server-network — Указываем дополнительные параметры

Каждый подключенный клиент будет получать от DHCP сервера набор параметров:
Шлюз и DNS — В нашем случае и тем и другим будет выступать сам роутер.

Консоль:
/ip pool add name=LAN-Pool ranges=192.168.88.30-192.168.88.59 /ip dhcp-server add name=DHCP-Server interface=LAN-Bridge lease-time=12h address-pool=LAN-Pool bootp-support=dynamic bootp-lease-time=lease-time add-arp=yes authoritative=yes /ip dhcp-server network add address=192.168.88.0/24 gateway=192.168.88.2 netmask=24 dns-server=192.168.88.2

Настройка роутера hEX (RB750Gr3) завершена.
Далее мы рассмотрим создание туннеля для связки двух роутеров и организации единой локальной сети с сетевой маской 255.255.255.0 (24)
Создание домашней сети на базе устройств MikroTik: Часть 4 — Создание OpenVPN туннеля

Список всех статей в хронологическом порядке: История статей

Поддержка блога

Если Вам не безразлична судьба блога или Вы просто хотите отблагодарить Автора за его труд, смело переходите на страницу Поддержки, там описана вся информация, по тому, как это сделать проще простого =)

UPD: 02.10.2018
Внесены правки в настройки проводных сетевых интерфейсов и сетевого моста из-за выхода прошивки 6.42.9 (Long-Term)
Как я уже рассказывал я пользуюсь исключительно прошивками ранее (Bugfix), которые сейчас изменены на ветку (Long-Term) т.е. длительной поддержки.
Подробнее прочитать про Bridge Hardware Offloading можно на Wiki MikroTik Switch_Chip_Features (Bridge_Hardware_Offloading) [ENG]

Важное замечание. На данном роутере Bridge Hardware Offloading поддерживается через switch chip MT7621
Но для его включения необходимо отключить у самого интерфейса бриджа IGMP Snooping и выбрать Protocol mode = none на вкладке STP
Поэтому если вы используете IGMP или STP/RSTP/MSTP и хотите получить аппаратную разгрузку бриджа, вам необходимо другое оборудование.

What's new in 6.42.9 (2018-Sep-27 05:19)

Important note!!! Backup before upgrade!
RouterOS v6.41 and above contains new bridge implementation that supports hardware offloading (hw-offload).
This update will convert all interface «master-port» configuration into new bridge configuration, and eliminate «master-port» option as such.
Bridge will handle all Layer2 forwarding and the use of switch-chip (hw-offload) will be automatically turned on based on appropriate conditions.
The rest of RouterOS Switch specific configuration remains untouched in usual menus.
Please, note that downgrading below RouterOS v6.41 will not restore «master-port» configuration, so use backups to restore configuration on downgrade.

*) bridge — ignore tagged BPDUs when bridge VLAN filtering is used;
*) bridge — improved packet handling when hardware offloading is being disabled;
*) crs317 — fixed packet forwarding on bonded interfaces without hardware offloading;
*) crs326/crs328 — fixed packet forwarding when port changes states with IGMP Snooping enabled;
*) defconf — properly clear global variables when generating default configuration after RouterOS upgrade;
*) dns — fixed DNS cache service becoming unresponsive when active Hotspot server is present on the router (introduced in 6.42);
*) filesystem — fixed NAND memory going into read-only mode (requires «factory-firmware» >= 3.41.1 and «current-firmware» >= 6.43);
*) health — added missing parameters from export;
*) health — fixed voltage measurements for RB493G devices;
*) hotspot — properly update dynamic «walled-garden» entries when changing «dst-host»;
*) ike2 — fixed rare authentication and encryption key mismatches after rekey with PFS enabled;
*) ike2 — improved subsequent phase 2 initialization when no child exist;
*) ipsec — improved invalid policy handling when a valid policy is uninstalled;
*) ipsec — improved stability when using IPsec with disabled route cache;
*) led — added «dark-mode» functionality for wsAP ac lite, RB951Ui-2nD, hAP, hAP ac lite and LtAP mini devices;
*) lte — fixed LTE interface not working properly after reboot on RBSXTLTE3-7;
*) lte — fixed LTE registration in 2G/3G mode;
*) ospf — improved link-local LSA flooding;
*) ospf — improved stability when originating LSAs with OSPFv3;
*) routerboard — fixed memory tester reporting false errors on IPQ4018 devices («/system routerboard upgrade» required);
*) routerboard — show «boot-os» option only on devices that have such feature;
*) routerboot — fixed RouterOS booting on devices with particular NAND memory;
*) sniffer — made «connection», «host», «packet» and «protocol» sections read-only;
*) supout — added «files» section to supout file;
*) upgrade — fixed RouterOS upgrade process from RouterOS v5 on PowerPC;
*) upnp — improved UPnP service stability when handling HTTP requests;
*) userman — fixed «shared-secret» parameter requiring «sensitive» policy;
*) w60g — added «frequency-list» setting;
*) w60g — fixed interface LED status update on connection;
*) w60g — fixed random disconnects;
*) w60g — general stability and performance improvements;
*) webfig — fixed time interval settings not applied properly under «IP/Kid Control/Kids» menu;
*) webfig — fixed www service becoming unresponsive;
*) winbox — show «System/RouterBOARD/Mode Button» on devices that has such feature;
*) wireless — accept only valid path for sniffer output file parameter;
*) wireless — fixed «/interface wireless sniffer packet print follow» output;

client dhcp hex hex s mikrotik ros routerboard routeros server настройка

GregoryGost

Мир интересен, если вы достаточно любопытны!!!

Оцените автора

Добавить комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.

Андрей 10.10.2022 в 06:59

Статья интересная. Мне бы хотелось узнать сможет ли данная модель обработать одновременно 30 рабочих мест. +/- 5 удаленных сотрудников которые подключаются в офис.
Как можно правильно выбрать аппаратное решение от mikrotik и не прогадать ?

Ответить
1. GregoryGost автор 13.10.2022 в 12:45
  
  Здравствуйте,
  Сможет и 30+ в чём сомнения? Всё что имеет 4 ядра и выше сможет справиться с существенной сетевой нагрузкой. Если конечно вы не собираетесь гигабайтные файлы на постоянке гонять по сети.
  5 удалённых рабочих мест тоже не проблема, но тут важно выбрать протокол, тем более уже 7 версия RoS во всю развивается.
  Остальное нужно считать индивидуально, общий подход такой.
Артем 06.08.2020 в 13:31

Такой вопрос, можно ли подключить к дано у роутеру два провайдера, НО один статика другой dhcp.

Ответить
1. GregoryGost автор 09.08.2020 в 14:51
  
  Можно, ищите в инете DualWAN
Виталий 19.05.2020 в 23:09

Bridge Hardware Offloading этой моделью поддерживается, если автор начнет читать домашнюю вики от вендора!
Для его работы на мосту должен быть отключен IGMP Snooping и STP протокол.

Ответить
1. GregoryGost автор 19.05.2020 в 23:37
  
  Виталий, вы правы!
  Поправил в статье информацию. Спасибо!
Александр 21.06.2019 в 10:58

Вы супер!! пользуюсь давно Вашими настройками. Дерзайте

Ответить
1. GregoryGost автор 22.06.2019 в 00:37
  
  Александр, благодарю за отзыв 😉
Test 11.04.2019 в 13:25

Как в этом конченом кроте расширить место для файлов вместо 16 мб?

Ответить
1. GregoryGost автор 11.04.2019 в 15:51
  
  «В этом конченом кроте» можно сделать отдельное место хранения через microSD карту.
  Базовые 16 Мб это чип распаянный на плате и у него исключительно этот объем.
  Для чего Вам больше 16? На практике её вполне достаточно.
Геннадий 11.02.2019 в 16:18

Здравствуйте. Есть желание заплатить за Вашу, несомненно, полезную просветительскую работу. Вот только у меня сложности с Яндекс.Деньгами. Нет ли у Вас какого-нибудь альтернативного способа по получению финансовой поддержки? Скажем, applepay, PayPal, по номеру сотового (этот вариант для Вас может быть неудобным), с карты на карту в рамках Сбербанка, Альфабанка или банка ВТБ. Спасибо.

Ответить
1. GregoryGost автор 12.02.2019 в 00:41
  
  Здравствуйте,
  Спасибо за Вашу поддержку, я правда очень ценю обратную связь от читателей. Рад, что мои знания помогают другим !
  
  Добавил пока PayPal, с ApplePay и др. нужно немного повозиться, но думаю освою и их.
  
  Поддержка
Андрей 14.11.2018 в 16:34

Прочитал все это с интересом, очень полезное дело делаете.
Я вот хочу объединить единой сетью дом с дачей. Но на даче мобильный инет (белый айпи недоступен), да и дома у моего провайдера аренда белого айпи стоит почему-то совсем недешево.
НО! Есть в офисе микротик с белым айпишником. Подскажите, как можно объединить свои два микротика, используя офисный, но без объединения с рабочей сетью? Использовать его, так сказать, как точку подключения и транзит трафика, так сказать. Это вообще возможно?

Ответить
1. GregoryGost автор 15.11.2018 в 21:57
  
  Здравствуйте,
  Спасибо за положительный отзыв, приятно!
  
  Я полагаю, что это вполне возможно.
  Вам нужно будет задать для клиентов в офисном микротике индивидуальные IP для VPN не относящиеся к основной сети.
  Ну и можно дополнительно заблокировать прохождение данных между офисной сетью и VPN
  Главное, чтобы этот туннель не очень сильно влиял на офисный интернет канал ))
Рузиль 13.10.2018 в 16:35

Приветствую. Очень доходчивый язык. Мне как новичку все предельно понятно. Огромное спасибо. Ждем новые статьи. Интересно было бы увидеть серию статей, где вы создали домашнюю лабораторию на виртуалках (VMware), лабораторную и домашнюю сеть разделили на разные сети (192.168.0.Х и 10.0.0.Х для наглядности), объяснили как интернет единственного провайдера раздать на обе эти сети. Как при всем этом участвует mikrotik.

Ответить
1. GregoryGost автор 13.10.2018 в 19:36
  
  Здравствуйте,
  Благодарю за Ваш отзыв! Всегда приятно видеть, что сделал, что-то не зря 🙂
  
  На самом деле домашняя это сеть или лабораторная, особого значения не имеет. Это просто различные подсети.
  Какое оборудование или назначение для них Вы придумали тоже не важно. MikroTik будет одинаково «отдавать» интернет любой подсети за собой.
  NAT masquerade решает этот вопрос одним правилом.
  Возможно Вы имели в виду изоляция этих двух сетей друг от друга или например изоляция видимости домашней сети из лабораторной или наоборот.
Сергей 18.01.2018 в 09:56

Cтоял 951, выгрузил export compact, заменил на br750gr3, сбросил конфиг и просто перенес туда настройки.
ether1 — wan, ether2 — ether5 — lan
Скорость интернета, поднялась, а вот с локальной сетью стало хуже, почитал про свич, попробовал перенастроить
/interface ethernet set [find default-name=ether3] name=LAN2-Slave master-port=LAN1-Master
завершается ошибкой, текст сейчас не приведу.
что то я с этим свичем не догоняю… покажите часть касающуюся интерфейсов, свича и бриджа?

Ответить
1. GregoryGost автор 18.01.2018 в 22:28
  
  Вот экспорт из интерфейсов. У меня прошивка Bugfix (6.39.3)
  /interface ethernet
  set [ find default-name=ether2 ] name=LAN1-Master
  set [ find default-name=ether3 ] master-port=LAN1-Master name=LAN2-Slave
  set [ find default-name=ether4 ] master-port=LAN1-Master name=LAN3-Slave
  set [ find default-name=ether5 ] master-port=LAN1-Master name=LAN4-Slave
  set [ find default-name=ether1 ] comment=»Internet» name=WAN
  
  /interface bridge
  add arp=proxy-arp comment=»LAN» fast-forward=no mtu=1500 name=LAN-Bridge
  /interface bridge port
  add bridge=LAN-Bridge interface=LAN1-Master
  add bridge=LAN-Bridge interface=eoip-tunnel
  
  Далее IP адрес назначается на LAN-Bridge интерфейс. Настраивается DHCP-Server и т.д.
  Если у Вас прошивка старше 6.39.3, то из них уже убрано назначение Master портов, используется хардварная обработка (т.е. самим свичем) в этом случае нужно не назначать матер порт для всех оставшихся, а просто внести все нужные порты в /interface bridge port
Сергей 15.01.2018 в 13:43

выложите пожалуйста c RB750Gr3 export compact

Ответить
1. GregoryGost автор 17.01.2018 в 21:40
  
  Здравствуйте,
  К сожалению пока не могу этого сделать, очень много различных индивидуальных настроек. Тут же я пишу в обобщенном стиле.
  Возможно, есть что-то более конкретное, что Вас интересует?
Константин 17.10.2017 в 20:05

Отличные статьи!Спасибо за полезную информацию!

Ответить
1. GregoryGost автор 19.10.2017 в 17:43
  
  Рад, что Вам понравилось. Стараюсь =)
2. Алексей 07.10.2019 в 14:14
  
  Добрый день, спасибо за цикл статей. Очень ценный материал для начинающих.
  
  У меня аналогичная задача как и у Вас в цикле статей про две сети, но во второй сети(родители) вместо статического ip от провайдера используется usb lte модем в режим hilink.
  Схема ниже.
  https://drive.google.com/file/d/1XoB4m9m-bBaTsUAIxHsFLLC07Geyz7OL/view?usp=sharing
  
  Помогите пожалуйста в настройке дачного микротика, рад буду ссылке на статью где будет описана настройка интерфейса lte1 . После настройки интернета на второй сети, продолжу настройку сети по Вашим статьям.
  
  Планирую дать доступ к nas хранилищу камерам из второй сети. Минимальнле обращение от камер, пишут по движению.
3. GregoryGost автор 07.10.2019 в 22:10
  
  Алексей, здравствуйте!
  Благодарю за отзыв, спасибо за вашу оценку!
  
  У меня также только один статический IP и не на стороне второй сети 🙂
  
  Для начала рекомендую изучить статью: MikroTik 3G 4G LTE: Мобильный роутер – подключение модемов
  По сути никаких особых проблем в работе модема аналогично роутеру нет. Ваш роутер получает локальный IP модема на lte1 интерфейс т.к. в модеме своя прошивка и WEB интерфейс.
  Просто настраиваете роутер как обычно и поднимаете туннели.
  
  Естественно ни о каких AT камандах и SMS речи быть не может с таким режимом работы модема.
  У меня в головном стоит 3G модем Huawei Model: E1750, но без HiLink и у меня есть возможность отправлять SMS и управлять им с помощью АТ команд. Скорость мне на нем ни к чему, он не для интернета 🙂