WarDriving , Wi-Fi HowTo Wi-Fi сети Краснодара Wi-Fi сети Краснодара
обновлено: 20.04.14 Форумы : Wi-Fi | Вардрайвинг | Other


F.A.Q по Mikrotik и RouterOS. Часть 2.

Архив темы форума.

Глава 1.8 Проброс "белого" (реального, внешнего) IP в локальную сеть.

Это нужно, если вышестоящий провайдер выдал вам подсеть "белых" IP-адресов. Один адрес оставляем как адрес самого Микротика, второй адрес обычно это шлюз провайдера, остальные можем выдать клиентам в локальной сети.
Допустим, ваша локальная сеть 192.168.1.0/24, локальный адрес Микротика 192.168.1.1.

Способ 1, при помощи NAT.

В этом примере пробрасываем интернет-адрес 195.195.195.195 на локальный адрес 192.168.1.11. Для практического использования меняем адреса на свои.

/ip firewall nat
add action=netmap chain=srcnat comment="Mapping 195.195.195.195 > 192.168.1.11" src-address=192.168.1.11 to-addresses=195.195.195.195
add action=dst-nat chain=dstnat dst-address=195.195.195.195 to-addresses=192.168.1.11
/ip address
add address=195.195.195.195/32 interface=ether1-gateway network=195.195.195.195

Первое правило NAT меняет во всех пакетах, идущих в Интернет (исключая сеть 192.168.1.0/24) локальный адрес 192.168.1.11 на 195.195.195.195
Второе правило все пакеты, приходящие на адрес 195.195.195.195 отправляет на 192.168.1.11.
Эти правила должны находиться выше основного правила NAT (masquerade).
И последнее действие назначает адрес 195.195.195.195, как дополнительный, внешнему интерфейсу Микротика. Это необходимо для того, чтобы Микротик принимал входящие пакеты с таким адресом.

Отличие этого способа заключается в том, что клиент видит как локальную сеть (и соответственно виден внутри сети), так и интернет. Устройство с локальным адресом 192.168.1.11 полностью доступно извне сети по адресу 195.195.195.195. При этом фактически находится за NAT и Firewall, что позволяет применять к трафику этого клиента другие правила обработки трафика, шейпер и т.п..

Способ 2, при помощи создания моста между интерфейсами (Bridge).

Допустим, порт, подключенный к провайдеру, это ether1-gateway, а клиент подключен через порт ether2-local.

/interface bridge
add name=Bridge1
/interface bridge port
add bridge=Bridge1 interface=ether1-gateway
add bridge=Bridge1 interface=ether2-local

В этом примере мы создали мост между внешним и внутренним интерфейсами.
Далее нужно просто назначить на нужном локальном устройстве "белый" IP-адрес, в качестве шлюза указать шлюз провайдера (а не Микротик), DNS-серверы либо провайдерские, либо открытые альтернативные. Всё это можно сделать как вручную, так и назначить клиенту при помощи DHCP.

Среди преимуществ данного способа можно назвать то, что получаем "белый" IP прямо на клиентском устройстве.
Среди недостатков то, что мы выпускаем клиента практически напрямую в Интернет, на его трафик не действуют Simple Queues, а настройки NAT, Firewall (и некоторые другие) необходимо делать отдельные от общих правил, действующих на остальную сеть.


Глава 1.9 Настройка основных типов PPP-серверов.


1.9.1 Настройка PPtP-сервера Mikrotik.

Обычно используется для подключения к Mikrotik удаленных клиентов (через Интернет). Реже для подключения локальных пользователей или других задач.

1.9.1.1 Сначала необходимо настроить профили подключений:
"PPP" - "Profiles"

По умолчанию видим два профиля, один с обязательным шифрованием данных, второй нет.

F.A.Q по Mikrotik и RouterOS


Настраиваем нужный профиль или создаем новый.

F.A.Q по Mikrotik и RouterOS
Основные настройки:
Name - имя профиля
- Local Address: адрес, который будет использовать Mikrotik в качестве сервера PPtP.
- Remote Address: адрес, который будет назначен подключившемуся клиенту. Если клиентов планируется несколько, то это поле нужно оставить пустым, а адреса назначать в Secrets.
- Bridge, Bridge Port Priority, Bridge Path Cost: к какому внутреннему мосту и с какими параметрами будет подключен клиент. Обычно используется для предоставления клиенту доступа в локальную сеть.
- Incoming Filter, Outgoing Filter: какие chain-фильтры будут использоваться при подключении клиента. Если не знаете, что это такое - оставьте поля пустыми.
- Address List: в какой Address List будет добавлен подключившийся клиент.
- DNS Server: адрес сервера DNS, который будет отправлен подключившемуся клиенту (принцип тот-же, как при назначении адресов по DHCP). Обычно это адрес, который указали в поле Local Address, можно здесь указать еще несколько адресов серверов DNS.
- WINS Server: если у вас в сети он есть, можете указать адрес. Если нет, оставьте это поле пустым.

Настройки протоколов:
- Use MPLS: использовать ли механизм MPLS. При "default" определяется клиентом, "no" никогда не использовать, "yes" согласование с клиентом, "required" использовать всегда.
- Use Compression: использовать ли сжатие данных. Имеет смысл включать только при очень медленных каналах.
- Use VJ Compression: использовать ли сжатие заголовков TCP/IP. Актуально только для медленных каналов.
- Use Encruption: использовать ли шифрование данных. При "default" определяется клиентом, "no" никогда не использовать, "yes" согласование с клиентом, "required" использовать всегда (без шифрования доступ не будет разрешен).

Настройки лимитов пользовательской сессии:
- Session Timeout: ограничение времени одной клиентской сессии. По истечении этого времени сессия будет сброшена.
- Idle Timeout: ограничение времени бездействия. Подключение будет сброшено, если по нему нет активности в течение указанного времени.
- Rate Limit (rx/tx): общее ограничение скорости подключения.
- Only One: если установлено "yes", то пользователю будет разрешено только одно подключение в один момент времени.

Настройки шейпера:
Эту вкладку стоит испльзовать только в том случае, если вы хотите создавать правила шейпера динамически.
- Insert Queue Before: можно указать, где именно размещать шейпер.
- Parent Queue: "родительское" правило очереди.
- Queue Type: тип очереди.1.9.1.2Включаем собственно сам PPtP-сервер:
"PPP" - "Interface" - "PPTP Server"

F.A.Q по Mikrotik и RouterOS - enabled: включен или нет PPtP-сервер.
- Max MTU: максимально допустимое значение MTU.
- Max MRU: максимально допустимое значение MRU.
- MRRU: максимальный допустимый размер входящего пакета данных.
- Keepalive Timeout: ограничение времени активных подключений (по умолчанию).
- Default Profile: профиль, который будет использоваться по умолчанию.
- Authentication: разрешенные типы авторизации.


1.9.1.3 Приступаем к настройкам пользователей.
"PPP" - "Secrets"
F.A.Q по Mikrotik и RouterOS - Name: имя пользователя (логин, username).
- Password: пароль пользователя.
- Service: выбираем, на какие серверы (по каким протоколам) PPP этому пользователю разрешено подключение.
- Caller ID: идентификатор подключения, если не знаете что это - оставьте пустым.
- Profile: профиль, который будет назначен этому пользователю (данная настройка является приоритетной по отношению к настройкам сервера).
- Local Address: адрес, который будет использовать Mikrotik при этом подключении (данная настройка является приоритетной по отношению к настройкам профиля).
- Remote Address: адрес, который будет выдан пользователю при подключении.
- Routes: если через это подключение нужно маршрутизировать исходящие пакеты, указываем, куда именно. Обычно используется в том случае, если PPtP используется для связи между сетями.
- Limit Bytes In: максимальное количество входящиего (от пользователя) трафика в байтах. При превышении пользователь будет блокирован.
- Limit Bytes Out: максимальное количество исходящего (к пользователю) трафика в байтах. При превышении пользователь будет блокирован.
- Last Logged Out: время последнего отключения. Информационное поле.

1.9.2 Настройка PPPoE-сервера Mikrotik.

Используется исключительно для подключения к Mikrotik локальных клиентов.
Все настройки аналогичны PPtP, за исключением самого сервера.

"PPP" - "PPPoE Servers"

F.A.Q по Mikrotik и RouterOS - Service Name: имя службы (название сервера).
- Interface: интерфейс, на котором сервер будет принимать входящие подключения. Для каждого интерфейса необходимо создавать отдельный сервер.
- Max MTU: максимально допустимое значение MTU.
- Max MRU: максимально допустимое значение MRU.
- MRRU: максимальный допустимый размер входящего пакета данных.
- Keepalive Timeout: ограничение времени активных подключений (по умолчанию).
- Default Profile: профиль, который будет использоваться по умолчанию.
- One Session Per Host: установите флажок, если с одного устройства разрешено только одно подключение. Если нет, установите параметр Max Session.
- Authentication: разрешенные типы авторизации.


Особенности использования PPPoE-серверов в Mikrotik.

Если у вас Mikrotik со встроенным свичем и один порт настроен как master, остальные slave, достаточно создать PPPoE-сервер только для порта master. Порты slave также будут принимать подключения к этому серверу.

Аналогично, если несколько интерфейсов объединены в мост (bridge), то достаточно создать PPPoE-сервер для этого моста. Подключения к нему будут приниматься на всех интерфейсах, входящих в мост.

На одном интерфейсе можно создать несколько PPPoE-серверов, отличающихся именем службы (Service Name). В этом случае то, к какой именно службе будет подключен клиент, определяется настройками имени службы на клиентском устройстве. Если на клиентском устройстве имя службы не определено, то клиент будет подключен к службе, первой ответившей на запрос.

Внимание! Не стоит создавать PPPoE-серверы на интернет-интерфейсах или интерфейсах, подключенных к локальной сети провайдера. Это может привести к неприятным последствиям как для провайдера, так и для вас.


1.9.3 Остальные PPP-серверы настраиваются аналогично PPtP или PPPoE, за исключением некоторых специфических параметров.


F.A.Q по Mikrotik и RouterOS. Часть 1.       F.A.Q по Mikrotik и RouterOS. Часть 3.



Autor Algon, Herausgeber VladMay. Краснодар