В принципе, это всё. Однако, действие будет выполнено всего один раз – в тот день, который был указан в поле Start Date. Следующего выполнения не будет, о чём свидетельствует пустое поле Next Run (Следующий запуск). Маршрутизаторы Mikrotik RouteBoard RB493AH, Mikrotik RouterBoard 1100, Mikrotik RouterBoard 750G, под управлением mikrotik Router OS, можно превратить в дрессированную собачку, которая будет выполнять действия без вашего участия. После подключения к серверу vpn были произведены тестовые пинги, продемонстрировавшие, что наилучшая связь с необходимым узлом vpn имя_хоста_vpn обеспечивается не с MTU 1450, с которым маршрутизатор соединяется с сервером vpn по умолчанию, а с MTU 1440.

Mikrotik Настройка Времени и Даты

Подготовка к настройке оборудования Mikrotik. Часть 1.

Первое что вы должны сделать, это купить какой нибудь из роутеров.

Ну вот пришла коробочка с этим девайсом, и как всегда в душе куча восторга и прилив счастья. У меня всегда так.

После осмотра, и обсуждения этого устройства у себя в голове, что оно не совсем такое приметное и красивое, остается одна мысль как оно себя покажет на деле.

Я не буду описывать способы и методы подключения к самому устройтсву, это все тривиально и просто, все буду описывать кратко и четко.

Для правильного подключения мы будем использовать интерфейс №1 как WAN, а остальные сетевые интерфейсы для локальной сети. Если будем реализовывать DualWan, то 1-й интерфейс будет WAN1, 2-й интерфес будет WAN2, остальные сетевые интерфейсы будут использоваться для локальной сети.

III. Заливка новой прошивки в роутер и сброс конфигурации

IV. Первоначальная конфигурация роутера для безопасности подключения.

V. Настройка Интерфейсов WAN и LAN и включение маскарадинга сети

Необходимо записать себе на листок текущие настройки подключения.

1. Каким способом у Вас является подключение к провайдеру.

1.1. PPPOE — надо знать Логин и пароль

1.2. DHCP — ничего не надо записывать, т.к. настройки получит роутер автоматически

1.3. DHCP + MAC — надо знать MAC адрес устройства который ранее выступал в роли роутера или MAC адрес на ПК Windows (это можно узнать командой Пуск → Выполнить → cmd; в черном окне набрать ipconfig /all)

1.4. StaticIP — надо выписать статический IP адрес, маску подсети, шлюз, и 2 ДНС

2. Скачать последнюю прошивку Mikrotik на сайте mikrotik.com в разделе Downloads под ваше устройство (как правило большинство устройств выполнено на mibsbe). Скачиваем файл Upgrade package (файл будет в виде npk файла)

2.1. Скачать с сайта mikrotik.com утилиту winbox.exe. Утилита winbox скачивается ниже в разделе Useful tools and utilities

Теперь для настройки роутера, необходимо его подключить, патч-кордом. Подключаем одним коннектором вставляем в порт роутера 2 (это будет ether2 так как мы будем использовать 1 провайдер), вторым концом вставляем в компьютер.

Так как вы должны были уже скачать утилиту winbox.exe на свой ПК, запускаем ее.

— Кликаем по кнопке, что находится справа, выглядит в виде троеточия — […]

— У вас в выплывающем окне должен появится ваш роутер, щелкаем на MAC адресе. В поле Login: должно быть admin В поле Password: ничего не должно быть.

— Кликаем на кнопку Connect и попадаем в интерфейс winbox вашего роутера.

— У вас на экране будет табличка, нажимаем кнопку Remove Configuration

После чего в левом меню нажимаем Exit и еще раз подключаемся через winbox только выбираем не MAC, а уже IP адрес с тем же логином и паролем.

III. Заливка новой прошивки и Reset конфигурации

Мнение эксперта

Черноволов Василий Петрович, эксперт по вопросам мобильной связи и интернета

Все сложные вопросы мы с вами решим вместе.

Задать вопрос эксперту

На домашнем роутере MikroTik возникла идея организовать автоматическое выключение и включение по расписанию имеющихся точки wifi и канала vpn. Если вам нужна бесплатная консультация, пишите мне!

Практика настройки Mikrotik для чайников « *Lan&Amp; Wan &Laquo; *Сети &Laquo; Интересные Заметки «

Комментарии

тут такое дело, накрылся он у меня, брак видимо, решу с гарантией и позвоню, 2 недели ждал, три дня настраивал сутками и в итоге умер блин, пищит, лампочки еле горят, табло мёртвое.

у ван порта не горит зелёная лампочка т.к. она означает гигабит, я проверил на сетевой, принудительно 10 и 100Мбит если ставишь, также не горит зелёная лампочка.

делал всё по вашей инструкции, на роутер инет приходит, пингуются и ip и сайты. пингуется роутер с пк, но инета нет на пк, пинги не проходят. Не могу даже 1 соединение поднять, а надо 2.

2 канала 100Мбит, 1 провайдер, хочу объединить в лоад балансинг. лан сеть будет 1 пк и 1 роутер, с роутера вайфай на нетбук и тв приставку.

у меня при подключении кабеля от провайдера не горит зелёная лампочка, только оранжевая, это брак получается? роутер сбрасывал, обновлял, так и не настроил

у меня при подключении кабеля от провайдера не горит зелёная лампочка, только оранжевая, это брак получается? роутер сбрасывал, обновлял, так и не настроил

На вкладке [Genaral] указываем имя интерфейса Name=tap1-wan и интерфейс провайдера Interface=eth1-wan. В качестве master port будет использоваться ether5, можно назначить любой, но если появится еще один провайдер, то логично будет подключить его во второй порт и отключить на нем master port. Если все перечисленные действия были выполнены правильно, то доступные пользовательские интерфейсы будут соединены в единое пространство для использования всеми подключенными девайсами.

Настройка сетевых интерфейсов в Mikrotik RB951Ui-2HnD

1. Открываем Interfaces, видим такую картину:

3. Поочередно открываем интерфейсы ether2 — ether5, переименовываем их в LAN1 — LAN4. На интерфейсе LAN1 параметр Master Port оставляем в положении «none», а на интерфейсах LAN2 — LAN4 переключаем параметр Master Port в положение LAN1:

4. Заодно включим беспроводной интерфейс. К его настройке мы вернемся позже:

5. Присваиваем ему более понятное название:

6. Создаем новый Bridge. Для этого открываем пункт меню Bridge и жмем +:

7. Присваеваем мосту название — LAN (т.к. внутри этого моста будут «ходить» пакеты по контуру нашей локальной сети):

8. Переходим во вкладку Ports, жмем на +, чтобы добавить порты в мост:

Из кластера портов LAN1 — LAN4 нам достаточно добавить в мост только LAN1, поскольку для LAN2 — LAN4 он уже является мастер-портом (см. п. 3 данного раздела). Соответственно, параметр Interface — LAN1, Bridge — LAN. Повторяем такое же действие для интерфейса WLAN:

9. Таким образом получаем следующий список портов внутри моста LAN:

Мнение эксперта

Черноволов Василий Петрович, эксперт по вопросам мобильной связи и интернета

Все сложные вопросы мы с вами решим вместе.

Задать вопрос эксперту

В этом случае в веб-интерфейсе маршрутизатора достаточно перейти во вкладку Autоmаtic , затем пункт 4 настройка локальной сети. Если вам нужна бесплатная консультация, пишите мне!

Настройка роутера Mikrotik: базовые и расширенные настройки, проброс портов

Настройка DHCP на Mikrotik

2. Выбираем интерфейс, на котором будут раздаваться IP-адреса. В нашем случае — LAN (мы же хотим раздавать IP-адреса только внутри локальной сети?):

4. Вводим адрес шлюза сети, т.е. нашего роутера:

5. Вводим пул адресов, которые роутер будет раздавать подключенным к сети устройствам:

6. Вводим адреса DNS-серверов (на скриншоте — DNS-серверы Google):

7. Вводим срок, на который устройствам выдаются адреса (в формате ДД:ЧЧ:ММ):

8. И после очередного нажатия кнопки Next работа мастера настройки DHCP заканчивается:

В следующем действии нужно рядом открыть два окна – на одном изображен winbоx, а на втором – файл с прошивкой. Так вот, файл с обновлением необходимо мышкой перетащить в список файлов интерфейса роутера. Если используемый провайдер блокирует выход в интернет по МАС-адресу, то предварительно необходимо изменить МАС-адрес используемого WАN-порта маршрутизатора. RouterOS является разновидностью ОС GNU Linux, в качестве пакетного фильтра применяется netfilter, не могу сказать работает интерфейс напрямую с модулем ядра или с с использованием iptables, но разработчики постарались сделать синтаксис максимально приближенный к последнему.

Объединение портов в бридж

Еще одна особенность сетевого оборудования данного производителя – отсутствие предустановленных портов. Это означает, что LАN- и WАN-порты равнозначны между собой. Все незадействованные порты можно объединить в wifi и LAN «Микротик».

У Mikrotik проброс портов в локальную сеть осуществляется следующим образом:

1. Прежде всего нужно в разделе Bridgе создать новый мост1.
2. Базовые настройки нужно оставить дефолтными. После создания моста нужно перейти во вкладку «Pоrts» и нажать «+». Добавить в него все порты за исключением WАN.

Обратите внимание! Если все перечисленные действия были выполнены правильно, то доступные пользовательские интерфейсы будут соединены в единое пространство для использования всеми подключенными девайсами.

Мнение эксперта

Черноволов Василий Петрович, эксперт по вопросам мобильной связи и интернета

Все сложные вопросы мы с вами решим вместе.

Задать вопрос эксперту

Между устройствами в локальной сети появилось связь, при попытке сделать ping до любого ресурса распознается его адрес, но доступ в интернет все еще отсутствует. Если вам нужна бесплатная консультация, пишите мне!

Начальная настройка MikroTik

• «IР» – «DНСP сервера» – «DНCP SеtUp».
• Пройдя путь, у пользователя есть возможность выбрать интерфейс, на котором будет полноценно функционировать сервер. Выбрать «Мост1».
• Нажать «Nеxt» и выбрать адресное пространство, которое будет генерировать адреса. Подсеть остается указанной по умолчанию.
• Указать адрес шлюза. В данном случае им будет выступать непосредственно роутер, поэтому остается его адрес.
• Указать диапазон адресов, которые будут отправляться пользователям. Этот пункт можно оставить нетронутым.
• В завершении вводят адрес DNS-сервера, который прописан в договоре с провайдером.

Настройка WАN интерфейса MikrоTik

Для подключения порта к интернету необходимо в веб-интерфейсе выбрать используемый провайдером тип подключения. Существуют следующие типы:

Автоматическое получение IР-параметров

В этом случае в веб-интерфейсе маршрутизатора достаточно перейти во вкладку «Autоmаtic», затем пункт 4 настройка локальной сети. Должны быть установлены параметры, как на картинке:

Обратите внимание! Чтобы изменения вступили в силу, их обязательно нужно сохранить.

Ручное назначение IР-параметров

В этом случае пользователь должен вручную прописать все параметры, которые указаны в договоре. У всех провайдеров параметры отличаются, но пример будет выглядеть приблизительно так:

Настройка PPPоЕ на MikroTik

В этом случае в соответствующие поля вводятся данные, прописанные в договоре с провайдером.

Алгоритм действий при настройке PPtP и l2tp client следующий:

• Зайти в winbоx и перейти в раздел РРР.
• В верхней части экрана перейти во вкладку «Intеrfаce».
• Следующий шаг – найти и перейти в раздел «РРtР Sеrvеr».
• На экране отобразится окно настроек сервера. Напротив строки «Enаblе» нужно обязательно поставить галочку для включения сервера с протоколами.
• Настраивая протоколы, нужно установить максимальные значения МRU и МTU на 1460.
• Убрать галочки напротив chаp и рар.
• Поставить галочки напротив mschаp1 и mschаp2.
• В завершении обязательно сохранить изменения, нажав «Аpply».

Теперь всё в порядке. Данное действие будет выполняться каждый день в заданное время. Осталось создать действие для отключения интерфейса и можно будет раньше уходить с работы и не спешить никуда с утра. Провайдер будет подключаться в первый порт RouterBOARD, остальные четыре и беспроводной интерфейс отданы под домашнюю подсеть 192. PPTP соединение настроили и у нас появился интерфейс pptp-out1, с помощью которого Mikrotik RouteBoard RB493AH связан с Интернет.

Отключение неиспользуемых служб MikroTik

MikroTik — это достаточно мощный по функционалу маршрутизатор, но для простого домашнего использования или небольшого офиса большинство его возможностей не нужны. Поэтому, чтобы закрыть потенциальные угрозы безопасности и снизить нагрузку на память и процессор маршрутизатора, отключим службы, которыми не будем пользоваться.

Для этого откроем IP — Services. В открывшемся окне увидим службы, которые установлены.

Мы отключим все службы кроме WWW и Winbox. Обратите внимание, что при необходимости, службы также легко включить обратно. Если будет включена служба ssh, обязательно добавьте правила и скрипты против брутфорса (подбор пароля) и DDoS-атак.

Также рекомендуем по возможности указывать ip-адреса, с которых будет обращение к службам, и изменить стандартный порт, который слушает служба.

Обратите внимание, что указывать нужно 192.168.88.0/24 (192.168.0.0/16), часто пользователи указывают 192.168.88.1/24 (192.168.1.1/16) и у них выходит ошибка.

Мнение эксперта

Черноволов Василий Петрович, эксперт по вопросам мобильной связи и интернета

Все сложные вопросы мы с вами решим вместе.

Задать вопрос эксперту

Чтобы это сделать, нужно открыть программу winbox и во вкладке Nеw Tеrminаl ввести команду intеrfаcе ethеrnеt set ether1 mac-address 01 02 03 04 05. Если вам нужна бесплатная консультация, пишите мне!

Mikrotik отключение интерфейса по расписанию

1. Обязательно устанавливаем пароль, до подключения маршрутизатора в сеть интернет.
2. Обновляем MikroTik (RouterOS и Firmware) и сбрасываем настройки в конфигурации по умолчанию. (Сброс обязательно делаем после обновления, так как при обновлении будет обновлен и файл с конфигурацией по умолчанию)
3. Снова устанавливаем пароль, так как он сбросился при сбросе конфигурации.
4. Отключаем ненужные службы IP — Services (ограничиваем доступ по ip адресам, если есть такая возможность)
5. Настраиваем wifi с помощью стандартного средства для быстрого запуска «Quick Set«

Начальная настройка WiFi 2.4ГГц и 5ГГц

В данной статье мы не будем глубоко погружаться в настройку WiFi. Для этого будет отдельная статья.

Остановимся на основных настройках. Этого будет достаточно, чтобы быстро запустить wifi дома или в небольшом офисе.

Первым делом переходим на вкладку Quick Set и устанавливаем пароль. Для этого нужно выбрать стандарт безопасности WPA2 (для старых устройств, возможно, потребуется установить и WAP).

Winbox wifi wisp ap

Если Ваш маршрутизатор работает только на частоте 2.4ГГц, остается нажать кнопку «Apply» (применить) и на этом настройку можно закончить.

Указываем имена сетей и нажимаем кнопку «Apply» (применить).

Мы рекомендуем в названиях сетей указывать их частоту. В нашем примере это wifi-itobereg-2g и wifi-itobereg-5g.

На этом первоначальная настройка маршрутизатора закончена.

Важно понимать, что это всего лишь небольшой начальный набор действий для быстрого запуска локальной сети и wifi-сети дома или в небольшом офисе.

Маршрутизаторы MikroTik имеют очень большой функционал, который может помочь решить вам самые сложные задачи. Об этом вы можете узнать у нас на сайте в разделе MikroTik

2. Установим пароль администратора. Для этого зайдем в System -> Password, где и введем новый пароль: и дополнительных байтов, необходимые на формирование заголовков пакета и запроса, на выходе с маршрутизатора, то есть интерфейса L2TP. Переходим в PPP — открываем вкладку Profiles — создаем новый профиль — указываем название для профиля, IP-адрес сервера VPN и пул, из которого будут выдаваться IP-адреса клиентам — OK.

Безопасность беспроводной сети

Вещь муторная(точнее муторно ее описывать), но необходимая.

Как закончили, нажимаем [Ok] и пробуем подключиться (ip телефон не получит, но подключение должно установиться).

Мнение эксперта

Черноволов Василий Петрович, эксперт по вопросам мобильной связи и интернета

Все сложные вопросы мы с вами решим вместе.

Задать вопрос эксперту

Между устройствами в локальной сети появилось связь, при попытке сделать ping до любого ресурса распознается его адрес, но доступ в интернет все еще отсутствует. Если вам нужна бесплатная консультация, пишите мне!

Настройка сервера OpenVPN на Mikrotik.

Настройка ip, dhcp-server

На скриншоте в качестве NTP сервера указан адрес роутера, но в базовой поставке раздавать точное время Mikrotik не умеет, можно указать любой другой сервер из сети, либо добавить и настроить пакет ntp(описано в конце HOWTO).

Интересный момент. Средствами master port можно объединить интерфейсы принадлежащее одному чипсету, на старших моделях чипсетов может быть несколько (колонка switch), интерфейсы с разных чипсетов объединяются через программный Bridge, ну или пачкордом. Средствами master port можно объединить интерфейсы принадлежащее одному чипсету, на старших моделях чипсетов может быть несколько колонка switch , интерфейсы с разных чипсетов объединяются через программный Bridge, ну или пачкордом. Если строго следовать прилагаемым пошаговым алгоритмам настройки, удастся самостоятельно и быстро провести подключение беспроводной точки доступа.

среда, 26 декабря 2018 г.

MikroTik: включение и выключение wifi и vpn по расписанию

На домашнем роутере MikroTik возникла идея организовать автоматическое выключение и включение по расписанию имеющихся точки wifi и канала vpn.

WiFi

Включение/выключение точки wifi производится командами:

/interface wireless enable 0 – включить точку (интерфейс wifi);

/interface wireless disable 0 – выключить точку (интерфейс wifi).

0 – это номер интерфейса wireless (начинается с 0). А так как данный интерфейс является единственным, то к нему применяется значение 0.

Далее остаётся через «System – Sheduler» создать 2 события.

В параметрах события определяется время наступления события (Start Time), устанавливается интервал между событиями 24 часа (24:00:00 или 1d:00:00:00) и указывается действие по событию. Аналогичная запись создаётся и для выключения wifi.

Действие по событию: в поле On Event вписать /interface wireless enable 0 для включения wifi или /interface wireless disable 0 для его выключения (см. выше).

Канал vpn представляет из себя клиент, осуществляющий соединение через L2tp с удалённым рабочим сервером, к ресурсу которого осуществляется доступ с целью выполнения ряда производственных заданий.

После получения необходимых реквизитов для соединения с сервером предприятия было принято решение не создавать на компьютере ярлык для подключения, а возложить данную задачу на MikroTik.

Со временем возникла идея включать и выключать данный клиент по расписанию. Действия аналогичны тем, которые были осуществлены для wifi:

/interface l2tp-client disable 0 – выключение клиента.

Например, для выключения клиента в планировщик внесено событие:

Оптимальный MTU для VPN. После подключения к серверу vpn были произведены тестовые пинги, продемонстрировавшие, что наилучшая связь с необходимым узлом vpn (имя_хоста_vpn) обеспечивается не с MTU=1450, с которым маршрутизатор соединяется с сервером vpn по умолчанию, а с MTU=1440.

Значение складывается из суммы полученного наилучшего значения пинга с компьютера пакетами с флагом запрета фрагментации

и дополнительных байтов, необходимые на формирование заголовков пакета и запроса, на выходе с маршрутизатора, то есть интерфейса L2TP. Учитывая сказанное, данное значение вырастает на 28 байт и приобретает значение 1440.

Мнение эксперта

Черноволов Василий Петрович, эксперт по вопросам мобильной связи и интернета

Все сложные вопросы мы с вами решим вместе.

Задать вопрос эксперту

После осмотра, и обсуждения этого устройства у себя в голове, что оно не совсем такое приметное и красивое, остается одна мысль как оно себя покажет на деле. Если вам нужна бесплатная консультация, пишите мне!

Вкладка [NAT]

у меня при подключении кабеля от провайдера не горит зелёная лампочка, только оранжевая, это брак получается? роутер сбрасывал, обновлял, так и не настроил Из кластера портов LAN1 — LAN4 нам достаточно добавить в мост только LAN1, поскольку для LAN2 — LAN4 он уже является мастер-портом см. Два раза кликаем на пункте с пользователем admin и в поле Password и Confirm Password вводим одинаковый пароль и запоминаем его пароль должен быть очень хорошим, не забывайте.

Настройка клиента

Теперь убедимся, что наш серер работает. Настроим клиентское подключение с компьютера на Windows. Для этого необходимо сгенерировать клиентские сертификаты и настроить клиентское подключение.

1. Создание сертификатов для клиента

Ранее мы рассмотрели 2 способа создания сертификатов для сервера — рассмотрим также два способа и для клиентов.

Способ 1. С помощью консоли на Mikrotik

В консоли на роутере создаем общий шаблон, на основе которого будем генерировать все сертификаты для клиентов:

* принцип, во многом, схож с процессом создания ключенй для сервера.

* при выгрузке сертификата клиента обязательно указываем пароль, чтобы экспортировался закрытый ключ.

Теперь переходим в раздел Files и скачиваем сертификат для ca и клиентов:

После переименовываем их в client1.crt, client1.key, ca.crt.

Способ 2. На Windows

Снова запускаем от администратора командную строку. Переходим в каталог easy-rsa:

* на все запросы наживаем Enter, кроме Common Name — в данном поле вводим имя клиента (в нашем случае, просто client1). В конце подтверждаем введенную информацию — y.
** На каждого клиента нужно сгенерировать свой сертификат, в противном случае, могут быть проблемы идентификации клиентов с последующей выдачей одинаковых IP.

Теперь из папки keys копируем файлы client1.crt, client1.key, ca.crt и переносим их на клиентский компьютер.

2. Установка и настройка OpenVPN

Рассмотрим конфигурирование клиента для Windows и Linux. Подробнее процесс описан в статье Настройка OpenVPN клиента — в ней можно найти подробное описание опций настройки, а также пример конфигурирования клиента на Android.

Windows

Заходим на сайт OpenVPN и переходим на страницу загрузки. Скачиваем openvpn-install для нашей операционной системы:

Запускаем установку клиента — оставляем галочки, как есть. Продолжаем установку и дожидаемся ее окончания.

client
dev tun
proto tcp
remote xxx.xxx.xxx.xxx 1194
auth-nocache
ca ca.crt
cert client1.crt
key client1.key
remote-cert-tls server
cipher AES-256-CBC
resolv-retry infinite
nobind
persist-key
persist-tun
verb 3
auth-nocache
auth-user-pass
route 192.168.0.0 255.255.255.0

Запускаем OpenVPN GUI от имени администратора — в правом нижнем углу появится иконка программы:

Мнение эксперта

Черноволов Василий Петрович, эксперт по вопросам мобильной связи и интернета

Все сложные вопросы мы с вами решим вместе.

Задать вопрос эксперту

После подключения к серверу vpn были произведены тестовые пинги, продемонстрировавшие, что наилучшая связь с необходимым узлом vpn имя_хоста_vpn обеспечивается не с MTU 1450, с которым маршрутизатор соединяется с сервером vpn по умолчанию, а с MTU 1440. Если вам нужна бесплатная консультация, пишите мне!

Настройка WАN интерфейса MikrоTik