Настройка роутера MikroTik. Билайн BeeLine IPoE
Disclaimer
Все, что написано ниже — не является ни руководством к действию, ни истиной в последней инстанции. Это лишь моя попытка помочь начинающим пользователям MikroTik настроить роутер для работы в сети Билайн. Конструктивные комментарии/предложения — приветствуются.
Область применения
Инструкция предназначена для начинающих пользователей MikroTik — абонентов Билайна, использующих подключение по протоколу L2TP. Проверена на моделях mAP, hAP, RB2011.
С высокой доли вероятности будет работать на всех роутерах MikroTik линейки SOHO.
Если на вашем роутере эта инструкция вдруг не сработала — пишите в комменты/личку — постараюсь адаптировать.
Самое важное
MikroTik может делать гораздо больше, чем абсолютное большинство домашних SOHO роутеров. Учитывая его цену, найти ему конкурентов довольно непросто. Вероятно, именно поэтому вы его и купили. Но для того, чтобы использовать его в режиме «больше, чем просто мыльница» вам придется разобраться в основах работы сетей. Недостаточно будет просто следовать инструкциям ниже. Вам придется понять каждую строчку вашего конфига, почему вы написали ее именно так, а никак иначе.
Обновление Router OS
Все инструкции ниже написаны исходя из предположения, что у вас установлена ROS версии 6.30 или выше. Начиная с этой версии ROS появилась поддержка
Теперь не нужны пляски с бубнами лишние манипуляции со статическими маршрутами, ранее совершенно необходимые для работы в сети Билайн.
Как обновить Router OS
Сброс настроек
Все инструкции ниже написаны исходя из предположения, что у вас применены дефолтные настройки. Если вы уже начитались других советов/форумов/статей, попробовали все и вся, окончательно запутались, а все равно ничего не работает — сбросьте настройки на дефолтную конфигурацию.
system reset-configuration
Как настроить интернет?
Применить QuickSet Home AP как на картинке
Собственно, после этого вся настройка умещается в 2 команды в терминале:
/interface l2tp-client add name=beeline max-mtu=1460 max-mru=1460 connect-to=tp.internet.beeline.ru user=мой-логин password=мой-пароль \ profile=default add-default-route=yes default-route-distance=0 disabled=no /ip firewall nat add action=masquerade chain=srcnat out-interface=beeline
Как открыть порты для торрентов?
Сделать статическим адрес для компа, который будет качать торренты
/ip dhcp-server lease make-static numbers=
/ip firewall nat add action=dst-nat chain=dstnat dst-port=номер-порта in-interface=beeline protocol=udp to-addresses=IP-компа to-ports=номер-порта /ip firewall nat add action=dst-nat chain=dstnat dst-port=номер-порта in-interface=beeline protocol=tcp to-addresses=IP-компа to-ports=номер-порта
Как настроить файрволл?
Базовую настройку файрволла вы уже сделали QuickSet’ом.
Теперь нужно найти там два правила, связанные с вашим внешним интерфейсом (ether1-gateway), и скопировать их, заменив ether1-gateway на beeline.
Перед тем как писать любые другие правила в файрволле — убедитесь, что вы хорошо понимаете маршрутизацию пакетов внутри микротика. Пока не поймете — не пишите никаких других правил.
Как настроить локальную сеть Билайна?
В локальной сети билайна (до перехода на 100.*) были некоторые полезные ресурсы: retracker,DC хаб, игрушки. В новой сети это все кануло в лету.Если вас еще не перевели на 100.*, имеет смысл сделать следующее:
Настроить dhcp на получение маршрутов по 249 опции:
/ip dhcp-client option add code=55 name=parameter_request_list value=0x0103062179F9 /ip dhcp-client set 0 dhcp-options=hostname,clientid,parameter_request_list
/ip firewall nat add action=dst-nat chain=dstnat dst-port=номер-порта in-interface=ether1-gateway protocol=udp to-addresses=IP-компа to-ports=номер-порта /ip firewall nat add action=dst-nat chain=dstnat dst-port=номер-порта in-interface=ether1-gateway protocol=tcp to-addresses=IP-компа to-ports=номер-порта
Как настроить роутер на работу с SIP телефоном от Билайна?
Не знаю, не пользуюсь
Как настроить роутер на работу с TB от Билайна?
Не знаю, не пользуюсь
Что еще хорошо бы сделать начинающему пользователю MikroTik?
Настроить нового пользователя с full правами, дефолтного admin – задизейблить.
/user add name=myuser group=full password=mypassword /user disable admin
/ip neighbor discovery set beeline discover=no
Настройка MikroTik hAP mini для IPTV Билайн
На последнем MUM в Москве, мне, как и всем остальным, вручили маршрутизатор MikroTik hAP mini.
Я решил им заменить старенький, постоянно зависающий, маршрутизатор у родителей.
Чтобы получить максимальную производительность решил задействовать чип коммутации (switch chip). На просторах интернета не нашел подходящей инструкции, где было бы описание настроек и проводной и беспроводной части, поэтому решил поделиться своим опытом.
Забегая немного вперед скажу, что hAP mini прекрасно справился с задачей.
Схема следующая:
Интернет и IPTV от Билайна, подключение IPOE. По первому порту приходит интернет, на втором порту IPTV приставка, на 3 и по wifi локальная сеть.
1. Не подключая маршрутизатор к Интернет, включаем его, подключаемся к нему кабелем в третий порт, запускаем WinBox, заходим на маршрутизатор и сбрасываем настройки, не забыв отменить создание резервной копии и применение конфига по умолчанию.
2. После перезагрузки маршрутизатора, вновь подключаемся к нему через Winbox по MAC адресу
3. Запускаем New terminal и вводим следующие команды:
Самым первым делом меняем пароль для пользователя admin.
В идеале создать другого пользователя, а admin-a удалить.
/user set admin password=qwFnnNn#4$2hWR#QirEx
/interface bridge add name=bridge1 protocol-mode=none
Добавляем интерфейсы в бридж:
/interface bridge port add bridge=bridge1 interface=ether1 add bridge=bridge1 interface=ether2 add bridge=bridge1 interface=ether3 add bridge=bridge1 interface=wlan1
Создаем два дополнительных интерфейса-VLAN на бридже:
/interface vlan add interface=bridge1 name=VLAN10 vlan-id=10 add interface=bridge1 name=VLAN20 vlan-id=20
Настраиваем на интерфейсах VLAN:
/interface ethernet switch vlan add independent-learning=yes ports=ether1,ether2,switch1-cpu switch=switch1 vlan-id=10 add independent-learning=yes ports=ether3,switch1-cpu switch=switch1 vlan-id=20 /interface ethernet switch port set 0 default-vlan-id=10 vlan-header=always-strip vlan-mode=secure set 1 default-vlan-id=10 vlan-header=always-strip vlan-mode=secure set 2 default-vlan-id=20 vlan-header=always-strip vlan-mode=secure set 3 vlan-mode=secure
Настраиваем WiFi (не забудьте SSID и пароль на свои заменить):
/interface wireless security-profiles set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys wpa2-pre-shared-key=MyWifiPassword /interface wireless set [ find default-name=wlan1 ] band=2ghz-onlyn disabled=no mode=ap-bridge ssid=MyWifiName vlan-id=20 vlan-mode=use-tag wireless-protocol=802.11 wps-mode=disabled
Подключение к Интернет нас IPOE, т.е. адрес получаем по DHCP. Обратите внимание что dhcp-client настраиваем на VLAN:
/ip dhcp-client add dhcp-options=hostname,clientid disabled=no interface=VLAN10
Настраиваем локальную сеть:
/ip address add address=192.168.11.1/24 interface=VLAN20 network=192.168.11.0 /ip pool add name=pool-lan ranges=192.168.11.2-192.168.11.99 /ip dhcp-server add address-pool=pool-lan disabled=no interface=VLAN20 lease-time=1h name=dhcp-server /ip dhcp-server network add address=192.168.11.0/24 dns-server=192.168.11.1 gateway=192.168.11.1 /ip dns set allow-remote-requests=yes
Для удобства объединяем интерфейсы в группы:
/interface list add name=WAN add name=LAN /interface list member add interface=VLAN10 list=WAN add interface=VLAN20 list=LAN
Создаем минимальные правила для файервола:
/ip firewall filter add action=accept chain=input comment="Allow icmp" protocol=icmp add action=accept chain=input comment="Allow established & related" connection-state=established,related add action=accept chain=input comment="Allow access for ManageIP group" src-address-list=ManageIP add action=drop chain=input comment="All other drop" add action=fasttrack-connection chain=forward comment=Fasttrack connection-state=established,related add action=accept chain=forward comment="Allow established & related" connection-state=established,related,untracked add action=drop chain=forward comment="Drop invalid connection packets" connection-state=invalid add action=accept chain=forward comment="Allow Internet" in-interface-list=LAN out-interface-list=WAN add action=drop chain=forward comment="All other drop"
В группу ManageIP добавляем адреса с которых будет доступ на маршрутизатор:
/ip firewall address-list add address=192.168.11.0/24 list=ManageIP
Настраиваем NAT для выхода в интернет из локалки:
/ip firewall nat add action=masquerade chain=srcnat out-interface-list=WAN
Ну и в заключении, не обязательные, но полезные команды:
/ip cloud set ddns-enabled=yes update-time=no /system clock set time-zone-autodetect=no /system clock manual set time-zone=+03:00 /system identity set name=MyHome /system ntp client set enabled=yes primary-ntp=95.165.138.248 secondary-ntp=89.175.20.7
Разрешаем neighbor discovery только из локальной сети.
Если вы не обновляли ROS и у вас 6.40.4:
/ip neighbor discovery set ether1 discover=no set ether2 discover=no set ether3 discover=no set wlan1 discover=no set bridge1 discover=no
Если обновились на последнюю, то:
/ip neighbor discovery-settings set discover-interface-list=LAN
Но в этом случае не работает подключение по MAC из wifi сети. Есть идеи почему?
Можно в первый порт подключать кабель провайдера и тестировать.
Результаты небольшого тестирования показали, что по кабелю получил почти все 100Мбит/с которые дает провайдер (запустил торрент), IPTV приставка работает, при этом нагрузка на процессор маршрутизатора была всего 20%. По WiFi удалось получить всего 25Мбит/с, слишком сильно эфир загажен, но и этой скорости достаточно.
Записки
Решил попробовать в качестве домашнего роутера MikroTik hEX.
Итак, Провайдер Билайн, поставляет мне три услуги: Интернет («технология» IPoE), телефон (технология VoIP), ТВ (технология IPTV)
- Интернет на всех устройствах в домашней сети;
- Телефон (входящие/исходящие звонки);
- ТВ (просмотр тв на приставке xbox360);
- Торрент на файловом сервере;
- Был доступ к домашней сети из вне по DDNS.
Далее настроить роутер с нуля, загрузив дефолтный конфиг, после чего, можно будет пользоваться интернетом, предварительно пройдя web-авторизацию на странице провайдера, если это необходимо.
Для работы ТВ необходимо правильно настроить igmp-роутинг, а также прописать разрешающие правила в firewall для igmp и udp.
/routing igmp-proxy set query-interval=30s query-response-interval=20s quick-leave=no
/routing igmp-proxy interface add alternative-subnets=0.0.0.0/0 interface=ether1-gateway upstream=yes add interface=bridge-local
/ip firewall filter add chain=input comment="Allow IGMP" protocol=igmp add chain=input comment="Allow UDP" protocol=udp add chain=forward comment="Allow UDP" protocol=udp
Для работы телефона, необходимо выполнить настройку:
/ip firewall service-port set sip disabled=yes
Для проброса порта к торрент-клиенту, необходимо настроить NAT и Firewall правила:
/ip firewall nat add action=dst-nat chain=dstnat dst-port=80 in-interface=ether1-gateway protocol=tcp to-addresses=192.168.88.22 to-ports=80
/ip firewall filter add chain=forward protocol=tcp dst-port=80 action=accept
- dst-port=80 и to-ports=80 — номер порта, указанный в торрент-клиенте;
- to-addresses=192.168.88.22 — ip-адрес компьютера, где установлен торрент-клиент.
ВНИМАНИЕ! Все правила, настроенные выше в Firewall, необходимо разместить выше всех запрещающих правил (drop)
Итого: Всё, что хотелось — всё работает!