Главная » Роутеры

Создание домашней сети на базе устройств MikroTik: Часть 3 — Настройка RB750Gr3 hEX

hex-main Роутеры
Автор На чтение 10 мин Просмотров 501к. Опубликовано Обновлено

Продолжение предыдущих статей по организации единой локальной сети.
Содержание:
Создание домашней сети на базе устройств MikroTik: Часть 1
Создание домашней сети на базе устройств MikroTik: Часть 2 — Настройка hAP ac
Создание домашней сети на базе устройств MikroTik: Часть 3 — Настройка RB750Gr3 hEX (Вы тут)
Создание домашней сети на базе устройств MikroTik: Часть 4 — Создание OpenVPN туннеля
Создание домашней сети на базе устройств MikroTik: Часть 5 — Создание EoIP туннеля
Создание домашней сети на базе устройств MikroTik: Часть 6 — Firewall защита доступа
Создание домашней сети на базе устройств MikroTik: Часть 7 — Firewall правильное перенаправление портов в сети с двумя шлюзами
Создание домашней сети на базе устройств MikroTik: Часть 8 — Установка и настройка MikroTik DUDE Network Monitor

Мы настроили наш основной роутер hAP ac для работы со статическим IP провайдера и провели базовую настройку не затрагивая настройку защищенного туннеля (VPN).
Произведем настройку для роутера hEX RB750Gr3. (hEX S похож на него)
Суть и методика настройки не особо отличается от настройки модели hAP ac. В этой модели просто нет Wi-Fi.

Если Вы хотите изучить MikroTik, то это можно реализовать с помощью специального онлайн-курса "Настройка оборудования MikroTik". В курсе изучаются все темы из официальной программы MTCNA, а автором курса является официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с оборудованием MikroTik, и тем, кто даже не держал его в руках. В состав курса входят 162 видеоурока, 45 лабораторных работ и вопросы для самопроверки с конспектом. Кстати я получал сертификат MTCNA именно тут!

Подключим роутер к ПК/Ноутбуку через порт 2, а кабель провайдера в порт Internet.

hex-ports
Красным — интернет / Синим — локальный

На ПК для сетевого интерфейса устанавливаем статический IP 192.168.88.5 и маску сети 255.255.255.0
Это нужно если у роутера отсутствует IP адрес.

Открываем утилиту WinBox (Подробнее: Тут и Тут). Сбрасываем все заводские настройки, они нам не понадобятся!

reset-configuration
Сброс настроек
Консольно:
/system reset-configuration no-defaults=yes skip-backup=yes
Подтверждаем сброс настроек.
После этой процедуры, у роутера не будет IP адреса, поэтому подключаемся по MAC адресу.
Все настройки будут сброшены, начнем настройку:

1. Настраиваем сетевые интерфейсы
Все также, как и для hAP ac.
Данный роутер будет располагаться территориально далеко, например в другом городе, соответственно все настройки делаем для используемого провайдера.
Все интерфейсы RJ45 входят в один свич(switch1) поэтому нам нужно отделить порт для провайдера, и порты для локальных соединений.
Выбираем интерфейс ether1 и переименовываем его в WAN

Screenshot_1-1
Меняем имя порта ether1
Консольно:
/interface ethernet
set [find default-name=ether1] name=WAN

Выбираем интерфейс ether2 и переименовываем его в LAN1-Ethernet
Т.к все сетевые порты у нас находятся в свиче, мы можем сделать один из портов ведущим(Мастер порт), а остальные ведомыми(Слейв порты). По сути получится, как будто каждый из портов это один и тот же порт.
Из-за изменений в прошивке 6.41 в работе Сетевых мостов старый метод не работает. У сетевых портов исключили параметр Master Port.
Теперь в сетевой мост необходимо добавлять интерфейсы по отдельности.

Screenshot_2
Меняем имя порта ether2
Консольно:
/interface ethernet
set [find default-name=ether2] name=LAN1-Ethernet
Остальные ether3, ether4 и ether5 переименовываем соответствующе LAN2-Ethernet, LAN3-Ethernet, LAN4-Ethernet
Screenshot_3
Для остальных делаем по аналогии
Консольно:
/interface ethernet
set [find default-name=ether3] name=LAN2-Ethernet
set [find default-name=ether4] name=LAN3-Ethernet
set [find default-name=ether5] name=LAN4-Ethernet

2. Создадим сетевой мост
Сетевой мост будет служить основным интерфейсом, который соберет в себе все наши локальные интерфейсы. Т.е. нужно добавить к новому сетевому мосту все нужные интерфейсы.
Также мы помним, что мы сделали мастер порт и часть портов привязали к нему, соответственно все второстепенные порты добавлять не нужно.

Создадим сам сетевой мост. Назовем его LAN-Bridge

bridge
В этом меню можно создавать сетевые мосты
bridge-add-1
Настраиваем сетевой мост
Начнем добавлять порты.
bridge-port-add
Добавляем все наши локальные порты
На данный момент в сетевой мост мы добавим только Мастер порт. В дальнейшем мы добавим в этот мост специальный интерфейс туннеля, но об этом позже.
В момент добавления интерфейса LAN1-Master Вас может отключить от роутера, в этом нет ничего страшного, просто подключаемся снова.

Консольно:
/interface bridge
add name="LAN-Bridge" comment="LAN" mtu=1500 fast-forward=no igmp-snooping=yes protocol-mode=none
/interface bridge port
add interface=LAN1-Ethernet disabled=no
add interface=LAN2-Ethernet disabled=no
add interface=LAN3-Ethernet disabled=no
add interface=LAN4-Ethernet disabled=no

3. Разрешим нашему роутеру обрабатывать DNS

dns
Разрешаем обработку DNS запросов

Консольно:
/ip dns set allow-remote-requests=yes cache-size=4096

4. Подключение к провайдеру
У меня и второй Интернет провайдер предоставляет интернет по DHCP. Т.е. необходимо настроить DHCP клиент на порт в который вставлен кабель провайдера (WAN)

ip-dhcpclient
Находим нужное меню и добавляем новое правило
hEX DHCP Client
Параметров не много
В столбце IP Address мы должны увидеть IP от провайдера.

Консольно:
/ip dhcp-client
add interface=WAN add-default-route=yes disabled=no default-route-distance=1 use-peer-dns=yes use-peer-ntp=yes

5. Доступ в интернет
Для того, чтобы наши клиенты могли выходить в сеть интернет, нам необходимо указать, через какой интерфейс они будут это делать.
Эти настройки делаются через Межсетевой экран (Firewall)

ip-firewall
Переходим в межсетевой экран и добавляем правило
ip-firewall-add-1
Указываем основные параметры
ip-firewall-add-2
Указываем еще один параметр
В принципе этого достаточно, чтобы на роутере уже появился интернет. Но у клиентов его не будет т.к. еще нет IP адреса и локального DHCP сервера.

Консольно:
/ip firewall nat
add chain=srcnat out-interface=WAN action=masquerade

6. IP адрес роутера
Теперь назначим нашему роутеру IP адрес.
Мы определили, что в Локации 2 будет следующий разброс:
IP адрес роутера: 192.168.88.2
IP адреса для клиентов: 192.168.88.30 — 192.168.88.59
29 адресов должно хватить для всех устройств в квартире, даже с избытком.

ip-addresses
Переходим в меню IP адресов
hEX-address
Добавляем IP адрес для нашего сетевого моста
Так мы указываем, что IP адрес 192.168.88.2 привязать к интерфейсу LAN-Bridge

Консольно:
/ip address
add address=192.168.88.2/24 interface=LAN-Bridge

7. DHCP Сервер для локальных клиентов
Для того, чтобы наши клиенты могли подключаться к нашему роутеру и получать от него IP адреса и другие параметры, необходимо настроить DHCP сервер.
Первоначально укажем Pool IP адресов

ip-pool
Переходим в меню диапазонов IP адресов
hex-pool
Добавляем обозначенный диапазон

Теперь добавляем сам DHCP сервер

ip-dhcpserver
Переходим в меню DHCP серверов
hex-dhcp-server
Задаем настройки DHCP сервера
Осталось еще указать для какой сети и какие дополнительные параметры будут получать подключенные клиенты.
hex-dhcp-server-network
Указываем дополнительные параметры
Каждый подключенный клиент будет получать от DHCP сервера набор параметров:
Шлюз и DNS — В нашем случае и тем и другим будет выступать сам роутер.

Консоль:
/ip pool
add name=LAN-Pool ranges=192.168.88.30-192.168.88.59
/ip dhcp-server
add name=DHCP-Server interface=LAN-Bridge lease-time=12h address-pool=LAN-Pool bootp-support=dynamic bootp-lease-time=lease-time add-arp=yes authoritative=yes
/ip dhcp-server network
add address=192.168.88.0/24 gateway=192.168.88.2 netmask=24 dns-server=192.168.88.2

Настройка роутера hEX (RB750Gr3) завершена.
Далее мы рассмотрим создание туннеля для связки двух роутеров и организации единой локальной сети с сетевой маской 255.255.255.0 (24)
Создание домашней сети на базе устройств MikroTik: Часть 4 — Создание OpenVPN туннеля

Список всех статей в хронологическом порядке: История статей

Поддержка блога
Если Вам не безразлична судьба блога или Вы просто хотите отблагодарить Автора за его труд, смело переходите на страницу Поддержки, там описана вся информация, по тому, как это сделать проще простого =)

UPD: 02.10.2018
Внесены правки в настройки проводных сетевых интерфейсов и сетевого моста из-за выхода прошивки 6.42.9 (Long-Term)
Как я уже рассказывал я пользуюсь исключительно прошивками ранее (Bugfix), которые сейчас изменены на ветку (Long-Term) т.е. длительной поддержки.
Подробнее прочитать про Bridge Hardware Offloading можно на Wiki MikroTik Switch_Chip_Features (Bridge_Hardware_Offloading) [ENG]

Важное замечание. На данном роутере Bridge Hardware Offloading поддерживается через switch chip MT7621
Но для его включения необходимо отключить у самого интерфейса бриджа IGMP Snooping и выбрать Protocol mode = none на вкладке STP
Поэтому если вы используете IGMP или STP/RSTP/MSTP и хотите получить аппаратную разгрузку бриджа, вам необходимо другое оборудование.

What's new in 6.42.9 (2018-Sep-27 05:19)
Important note!!! Backup before upgrade!
RouterOS v6.41 and above contains new bridge implementation that supports hardware offloading (hw-offload).
This update will convert all interface «master-port» configuration into new bridge configuration, and eliminate «master-port» option as such.
Bridge will handle all Layer2 forwarding and the use of switch-chip (hw-offload) will be automatically turned on based on appropriate conditions.
The rest of RouterOS Switch specific configuration remains untouched in usual menus.
Please, note that downgrading below RouterOS v6.41 will not restore «master-port» configuration, so use backups to restore configuration on downgrade.

*) bridge — ignore tagged BPDUs when bridge VLAN filtering is used;
*) bridge — improved packet handling when hardware offloading is being disabled;
*) crs317 — fixed packet forwarding on bonded interfaces without hardware offloading;
*) crs326/crs328 — fixed packet forwarding when port changes states with IGMP Snooping enabled;
*) defconf — properly clear global variables when generating default configuration after RouterOS upgrade;
*) dns — fixed DNS cache service becoming unresponsive when active Hotspot server is present on the router (introduced in 6.42);
*) filesystem — fixed NAND memory going into read-only mode (requires «factory-firmware» >= 3.41.1 and «current-firmware» >= 6.43);
*) health — added missing parameters from export;
*) health — fixed voltage measurements for RB493G devices;
*) hotspot — properly update dynamic «walled-garden» entries when changing «dst-host»;
*) ike2 — fixed rare authentication and encryption key mismatches after rekey with PFS enabled;
*) ike2 — improved subsequent phase 2 initialization when no child exist;
*) ipsec — improved invalid policy handling when a valid policy is uninstalled;
*) ipsec — improved stability when using IPsec with disabled route cache;
*) led — added «dark-mode» functionality for wsAP ac lite, RB951Ui-2nD, hAP, hAP ac lite and LtAP mini devices;
*) lte — fixed LTE interface not working properly after reboot on RBSXTLTE3-7;
*) lte — fixed LTE registration in 2G/3G mode;
*) ospf — improved link-local LSA flooding;
*) ospf — improved stability when originating LSAs with OSPFv3;
*) routerboard — fixed memory tester reporting false errors on IPQ4018 devices («/system routerboard upgrade» required);
*) routerboard — show «boot-os» option only on devices that have such feature;
*) routerboot — fixed RouterOS booting on devices with particular NAND memory;
*) sniffer — made «connection», «host», «packet» and «protocol» sections read-only;
*) supout — added «files» section to supout file;
*) upgrade — fixed RouterOS upgrade process from RouterOS v5 on PowerPC;
*) upnp — improved UPnP service stability when handling HTTP requests;
*) userman — fixed «shared-secret» parameter requiring «sensitive» policy;
*) w60g — added «frequency-list» setting;
*) w60g — fixed interface LED status update on connection;
*) w60g — fixed random disconnects;
*) w60g — general stability and performance improvements;
*) webfig — fixed time interval settings not applied properly under «IP/Kid Control/Kids» menu;
*) webfig — fixed www service becoming unresponsive;
*) winbox — show «System/RouterBOARD/Mode Button» on devices that has such feature;
*) wireless — accept only valid path for sniffer output file parameter;
*) wireless — fixed «/interface wireless sniffer packet print follow» output;

Хочешь получать уведомления о выходе новых статей?
Если Вы хотите изучить MikroTik, то это можно реализовать с помощью специального онлайн-курса "Настройка оборудования MikroTik". В курсе изучаются все темы из официальной программы MTCNA, а автором курса является официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с оборудованием MikroTik, и тем, кто даже не держал его в руках. В состав курса входят 162 видеоурока, 45 лабораторных работ и вопросы для самопроверки с конспектом. Кстати я получал сертификат MTCNA именно тут!

client dhcp hex hex s mikrotik ros routerboard routeros server настройка
GregoryGost

Мир интересен, если вы достаточно любопытны!!!

Оцените автора
GREGORY GOST
Добавить комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.

  1. Андрей

    Статья интересная. Мне бы хотелось узнать сможет ли данная модель обработать одновременно 30 рабочих мест. +/- 5 удаленных сотрудников которые подключаются в офис.
    Как можно правильно выбрать аппаратное решение от mikrotik и не прогадать ?

    Ответить
    1. GregoryGost автор

      Здравствуйте,
      Сможет и 30+ в чём сомнения? Всё что имеет 4 ядра и выше сможет справиться с существенной сетевой нагрузкой. Если конечно вы не собираетесь гигабайтные файлы на постоянке гонять по сети.
      5 удалённых рабочих мест тоже не проблема, но тут важно выбрать протокол, тем более уже 7 версия RoS во всю развивается.
      Остальное нужно считать индивидуально, общий подход такой.

  2. Артем

    Такой вопрос, можно ли подключить к дано у роутеру два провайдера, НО один статика другой dhcp.

    Ответить
    1. GregoryGost автор

      Можно, ищите в инете DualWAN

  3. Виталий

    Bridge Hardware Offloading этой моделью поддерживается, если автор начнет читать домашнюю вики от вендора!
    Для его работы на мосту должен быть отключен IGMP Snooping и STP протокол.

    Ответить
    1. GregoryGost автор

      Виталий, вы правы!
      Поправил в статье информацию. Спасибо!

  4. Александр

    Вы супер!! пользуюсь давно Вашими настройками. Дерзайте

    Ответить
    1. GregoryGost автор

      Александр, благодарю за отзыв 😉

  5. Test

    Как в этом конченом кроте расширить место для файлов вместо 16 мб?

    Ответить
    1. GregoryGost автор

      «В этом конченом кроте» можно сделать отдельное место хранения через microSD карту.
      Базовые 16 Мб это чип распаянный на плате и у него исключительно этот объем.
      Для чего Вам больше 16? На практике её вполне достаточно.

  6. Геннадий

    Здравствуйте. Есть желание заплатить за Вашу, несомненно, полезную просветительскую работу. Вот только у меня сложности с Яндекс.Деньгами. Нет ли у Вас какого-нибудь альтернативного способа по получению финансовой поддержки? Скажем, applepay, PayPal, по номеру сотового (этот вариант для Вас может быть неудобным), с карты на карту в рамках Сбербанка, Альфабанка или банка ВТБ. Спасибо.

    Ответить
    1. GregoryGost автор

      Здравствуйте,
      Спасибо за Вашу поддержку, я правда очень ценю обратную связь от читателей. Рад, что мои знания помогают другим !

      Добавил пока PayPal, с ApplePay и др. нужно немного повозиться, но думаю освою и их.

      Поддержка

  7. Андрей

    Прочитал все это с интересом, очень полезное дело делаете.
    Я вот хочу объединить единой сетью дом с дачей. Но на даче мобильный инет (белый айпи недоступен), да и дома у моего провайдера аренда белого айпи стоит почему-то совсем недешево.
    НО! Есть в офисе микротик с белым айпишником. Подскажите, как можно объединить свои два микротика, используя офисный, но без объединения с рабочей сетью? Использовать его, так сказать, как точку подключения и транзит трафика, так сказать. Это вообще возможно?

    Ответить
    1. GregoryGost автор

      Здравствуйте,
      Спасибо за положительный отзыв, приятно!

      Я полагаю, что это вполне возможно.
      Вам нужно будет задать для клиентов в офисном микротике индивидуальные IP для VPN не относящиеся к основной сети.
      Ну и можно дополнительно заблокировать прохождение данных между офисной сетью и VPN
      Главное, чтобы этот туннель не очень сильно влиял на офисный интернет канал ))

  8. Рузиль

    Приветствую. Очень доходчивый язык. Мне как новичку все предельно понятно. Огромное спасибо. Ждем новые статьи. Интересно было бы увидеть серию статей, где вы создали домашнюю лабораторию на виртуалках (VMware), лабораторную и домашнюю сеть разделили на разные сети (192.168.0.Х и 10.0.0.Х для наглядности), объяснили как интернет единственного провайдера раздать на обе эти сети. Как при всем этом участвует mikrotik.

    Ответить
    1. GregoryGost автор

      Здравствуйте,
      Благодарю за Ваш отзыв! Всегда приятно видеть, что сделал, что-то не зря 🙂

      На самом деле домашняя это сеть или лабораторная, особого значения не имеет. Это просто различные подсети.
      Какое оборудование или назначение для них Вы придумали тоже не важно. MikroTik будет одинаково «отдавать» интернет любой подсети за собой.
      NAT masquerade решает этот вопрос одним правилом.
      Возможно Вы имели в виду изоляция этих двух сетей друг от друга или например изоляция видимости домашней сети из лабораторной или наоборот.

  9. Сергей

    Cтоял 951, выгрузил export compact, заменил на br750gr3, сбросил конфиг и просто перенес туда настройки.
    ether1 — wan, ether2 — ether5 — lan
    Скорость интернета, поднялась, а вот с локальной сетью стало хуже, почитал про свич, попробовал перенастроить
    /interface ethernet set [find default-name=ether3] name=LAN2-Slave master-port=LAN1-Master
    завершается ошибкой, текст сейчас не приведу.
    что то я с этим свичем не догоняю… покажите часть касающуюся интерфейсов, свича и бриджа?

    Ответить
    1. GregoryGost автор

      Вот экспорт из интерфейсов. У меня прошивка Bugfix (6.39.3)
      /interface ethernet
      set [ find default-name=ether2 ] name=LAN1-Master
      set [ find default-name=ether3 ] master-port=LAN1-Master name=LAN2-Slave
      set [ find default-name=ether4 ] master-port=LAN1-Master name=LAN3-Slave
      set [ find default-name=ether5 ] master-port=LAN1-Master name=LAN4-Slave
      set [ find default-name=ether1 ] comment=»Internet» name=WAN

      /interface bridge
      add arp=proxy-arp comment=»LAN» fast-forward=no mtu=1500 name=LAN-Bridge
      /interface bridge port
      add bridge=LAN-Bridge interface=LAN1-Master
      add bridge=LAN-Bridge interface=eoip-tunnel

      Далее IP адрес назначается на LAN-Bridge интерфейс. Настраивается DHCP-Server и т.д.
      Если у Вас прошивка старше 6.39.3, то из них уже убрано назначение Master портов, используется хардварная обработка (т.е. самим свичем) в этом случае нужно не назначать матер порт для всех оставшихся, а просто внести все нужные порты в /interface bridge port

  10. Сергей

    выложите пожалуйста c RB750Gr3 export compact

    Ответить
    1. GregoryGost автор

      Здравствуйте,
      К сожалению пока не могу этого сделать, очень много различных индивидуальных настроек. Тут же я пишу в обобщенном стиле.
      Возможно, есть что-то более конкретное, что Вас интересует?

  11. Константин

    Отличные статьи!Спасибо за полезную информацию!

    Ответить
    1. GregoryGost автор

      Рад, что Вам понравилось. Стараюсь =)

    2. Алексей

      Добрый день, спасибо за цикл статей. Очень ценный материал для начинающих.

      У меня аналогичная задача как и у Вас в цикле статей про две сети, но во второй сети(родители) вместо статического ip от провайдера используется usb lte модем в режим hilink.
      Схема ниже.
      https://drive.google.com/file/d/1XoB4m9m-bBaTsUAIxHsFLLC07Geyz7OL/view?usp=sharing

      Помогите пожалуйста в настройке дачного микротика, рад буду ссылке на статью где будет описана настройка интерфейса lte1 . После настройки интернета на второй сети, продолжу настройку сети по Вашим статьям.

      Планирую дать доступ к nas хранилищу камерам из второй сети. Минимальнле обращение от камер, пишут по движению.

    3. GregoryGost автор

      Алексей, здравствуйте!
      Благодарю за отзыв, спасибо за вашу оценку!

      У меня также только один статический IP и не на стороне второй сети 🙂

      Для начала рекомендую изучить статью: MikroTik 3G 4G LTE: Мобильный роутер – подключение модемов
      По сути никаких особых проблем в работе модема аналогично роутеру нет. Ваш роутер получает локальный IP модема на lte1 интерфейс т.к. в модеме своя прошивка и WEB интерфейс.
      Просто настраиваете роутер как обычно и поднимаете туннели.

      Естественно ни о каких AT камандах и SMS речи быть не может с таким режимом работы модема.
      У меня в головном стоит 3G модем Huawei Model: E1750, но без HiLink и у меня есть возможность отправлять SMS и управлять им с помощью АТ команд. Скорость мне на нем ни к чему, он не для интернета 🙂

© 2024 Копирование информации только с разрешения автора блога. Вся информация опубликованная в данном блоге является личным опытом его автора.
Блог работает на теме Reboot

Яндекс.Метрика