Beeline настройка роутера mikrotik ipoe

Настройка роутера MikroTik. Билайн BeeLine IPoE

Disclaimer
Все, что написано ниже — не является ни руководством к действию, ни истиной в последней инстанции. Это лишь моя попытка помочь начинающим пользователям MikroTik настроить роутер для работы в сети Билайн. Конструктивные комментарии/предложения — приветствуются.

Область применения
Инструкция предназначена для начинающих пользователей MikroTik — абонентов Билайна, использующих подключение по протоколу L2TP. Проверена на моделях mAP, hAP, RB2011.
С высокой доли вероятности будет работать на всех роутерах MikroTik линейки SOHO.
Если на вашем роутере эта инструкция вдруг не сработала — пишите в комменты/личку — постараюсь адаптировать.

Самое важное
MikroTik может делать гораздо больше, чем абсолютное большинство домашних SOHO роутеров. Учитывая его цену, найти ему конкурентов довольно непросто. Вероятно, именно поэтому вы его и купили. Но для того, чтобы использовать его в режиме «больше, чем просто мыльница» вам придется разобраться в основах работы сетей. Недостаточно будет просто следовать инструкциям ниже. Вам придется понять каждую строчку вашего конфига, почему вы написали ее именно так, а никак иначе.

Обновление Router OS
Все инструкции ниже написаны исходя из предположения, что у вас установлена ROS версии 6.30 или выше. Начиная с этой версии ROS появилась поддержка

Теперь не нужны пляски с бубнами лишние манипуляции со статическими маршрутами, ранее совершенно необходимые для работы в сети Билайн.
Как обновить Router OS

Сброс настроек
Все инструкции ниже написаны исходя из предположения, что у вас применены дефолтные настройки. Если вы уже начитались других советов/форумов/статей, попробовали все и вся, окончательно запутались, а все равно ничего не работает — сбросьте настройки на дефолтную конфигурацию.

system reset-configuration

Как настроить интернет?
Применить QuickSet Home AP как на картинке

Собственно, после этого вся настройка умещается в 2 команды в терминале:

/interface l2tp-client add name=beeline max-mtu=1460 max-mru=1460 connect-to=tp.internet.beeline.ru user=мой-логин password=мой-пароль \ profile=default add-default-route=yes default-route-distance=0 disabled=no /ip firewall nat add action=masquerade chain=srcnat out-interface=beeline

Как открыть порты для торрентов?
Сделать статическим адрес для компа, который будет качать торренты

/ip dhcp-server lease make-static numbers= 

/ip firewall nat add action=dst-nat chain=dstnat dst-port=номер-порта in-interface=beeline protocol=udp to-addresses=IP-компа to-ports=номер-порта /ip firewall nat add action=dst-nat chain=dstnat dst-port=номер-порта in-interface=beeline protocol=tcp to-addresses=IP-компа to-ports=номер-порта

Как настроить файрволл?
Базовую настройку файрволла вы уже сделали QuickSet’ом.
Теперь нужно найти там два правила, связанные с вашим внешним интерфейсом (ether1-gateway), и скопировать их, заменив ether1-gateway на beeline.

Перед тем как писать любые другие правила в файрволле — убедитесь, что вы хорошо понимаете маршрутизацию пакетов внутри микротика. Пока не поймете — не пишите никаких других правил.

Как настроить локальную сеть Билайна?
В локальной сети билайна (до перехода на 100.*) были некоторые полезные ресурсы: retracker,DC хаб, игрушки. В новой сети это все кануло в лету.Если вас еще не перевели на 100.*, имеет смысл сделать следующее:
Настроить dhcp на получение маршрутов по 249 опции:

/ip dhcp-client option add code=55 name=parameter_request_list value=0x0103062179F9 /ip dhcp-client set 0 dhcp-options=hostname,clientid,parameter_request_list

/ip firewall nat add action=dst-nat chain=dstnat dst-port=номер-порта in-interface=ether1-gateway protocol=udp to-addresses=IP-компа to-ports=номер-порта /ip firewall nat add action=dst-nat chain=dstnat dst-port=номер-порта in-interface=ether1-gateway protocol=tcp to-addresses=IP-компа to-ports=номер-порта

Как настроить роутер на работу с SIP телефоном от Билайна?
Не знаю, не пользуюсь

Как настроить роутер на работу с TB от Билайна?
Не знаю, не пользуюсь

Что еще хорошо бы сделать начинающему пользователю MikroTik?
Настроить нового пользователя с full правами, дефолтного admin – задизейблить.

/user add name=myuser group=full password=mypassword /user disable admin

/ip neighbor discovery set beeline discover=no

Источник

Настройка MikroTik hAP mini для IPTV Билайн

На последнем MUM в Москве, мне, как и всем остальным, вручили маршрутизатор MikroTik hAP mini.

Я решил им заменить старенький, постоянно зависающий, маршрутизатор у родителей.
Чтобы получить максимальную производительность решил задействовать чип коммутации (switch chip). На просторах интернета не нашел подходящей инструкции, где было бы описание настроек и проводной и беспроводной части, поэтому решил поделиться своим опытом.
Забегая немного вперед скажу, что hAP mini прекрасно справился с задачей.

Схема следующая:

Интернет и IPTV от Билайна, подключение IPOE. По первому порту приходит интернет, на втором порту IPTV приставка, на 3 и по wifi локальная сеть.

1. Не подключая маршрутизатор к Интернет, включаем его, подключаемся к нему кабелем в третий порт, запускаем WinBox, заходим на маршрутизатор и сбрасываем настройки, не забыв отменить создание резервной копии и применение конфига по умолчанию.

2. После перезагрузки маршрутизатора, вновь подключаемся к нему через Winbox по MAC адресу

3. Запускаем New terminal и вводим следующие команды:

Самым первым делом меняем пароль для пользователя admin.
В идеале создать другого пользователя, а admin-a удалить.

/user set admin password=qwFnnNn#4$2hWR#QirEx

/interface bridge add name=bridge1 protocol-mode=none

Добавляем интерфейсы в бридж:

/interface bridge port add bridge=bridge1 interface=ether1 add bridge=bridge1 interface=ether2 add bridge=bridge1 interface=ether3 add bridge=bridge1 interface=wlan1 

Создаем два дополнительных интерфейса-VLAN на бридже:

/interface vlan add interface=bridge1 name=VLAN10 vlan-id=10 add interface=bridge1 name=VLAN20 vlan-id=20 

Настраиваем на интерфейсах VLAN:

/interface ethernet switch vlan add independent-learning=yes ports=ether1,ether2,switch1-cpu switch=switch1 vlan-id=10 add independent-learning=yes ports=ether3,switch1-cpu switch=switch1 vlan-id=20 /interface ethernet switch port set 0 default-vlan-id=10 vlan-header=always-strip vlan-mode=secure set 1 default-vlan-id=10 vlan-header=always-strip vlan-mode=secure set 2 default-vlan-id=20 vlan-header=always-strip vlan-mode=secure set 3 vlan-mode=secure 

Настраиваем WiFi (не забудьте SSID и пароль на свои заменить):

/interface wireless security-profiles set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys wpa2-pre-shared-key=MyWifiPassword /interface wireless set [ find default-name=wlan1 ] band=2ghz-onlyn disabled=no mode=ap-bridge ssid=MyWifiName vlan-id=20 vlan-mode=use-tag wireless-protocol=802.11 wps-mode=disabled 

Подключение к Интернет нас IPOE, т.е. адрес получаем по DHCP. Обратите внимание что dhcp-client настраиваем на VLAN:

/ip dhcp-client add dhcp-options=hostname,clientid disabled=no interface=VLAN10 

Настраиваем локальную сеть:

/ip address add address=192.168.11.1/24 interface=VLAN20 network=192.168.11.0 /ip pool add name=pool-lan ranges=192.168.11.2-192.168.11.99 /ip dhcp-server add address-pool=pool-lan disabled=no interface=VLAN20 lease-time=1h name=dhcp-server /ip dhcp-server network add address=192.168.11.0/24 dns-server=192.168.11.1 gateway=192.168.11.1 /ip dns set allow-remote-requests=yes 

Для удобства объединяем интерфейсы в группы:

/interface list add name=WAN add name=LAN /interface list member add interface=VLAN10 list=WAN add interface=VLAN20 list=LAN 

Создаем минимальные правила для файервола:

/ip firewall filter add action=accept chain=input comment="Allow icmp" protocol=icmp add action=accept chain=input comment="Allow established & related" connection-state=established,related add action=accept chain=input comment="Allow access for ManageIP group" src-address-list=ManageIP add action=drop chain=input comment="All other drop" add action=fasttrack-connection chain=forward comment=Fasttrack connection-state=established,related add action=accept chain=forward comment="Allow established & related" connection-state=established,related,untracked add action=drop chain=forward comment="Drop invalid connection packets" connection-state=invalid add action=accept chain=forward comment="Allow Internet" in-interface-list=LAN out-interface-list=WAN add action=drop chain=forward comment="All other drop" 

В группу ManageIP добавляем адреса с которых будет доступ на маршрутизатор:

/ip firewall address-list add address=192.168.11.0/24 list=ManageIP

Настраиваем NAT для выхода в интернет из локалки:

/ip firewall nat add action=masquerade chain=srcnat out-interface-list=WAN

Ну и в заключении, не обязательные, но полезные команды:

/ip cloud set ddns-enabled=yes update-time=no /system clock set time-zone-autodetect=no /system clock manual set time-zone=+03:00 /system identity set name=MyHome /system ntp client set enabled=yes primary-ntp=95.165.138.248 secondary-ntp=89.175.20.7 

Разрешаем neighbor discovery только из локальной сети.

Если вы не обновляли ROS и у вас 6.40.4:

/ip neighbor discovery set ether1 discover=no set ether2 discover=no set ether3 discover=no set wlan1 discover=no set bridge1 discover=no 

Если обновились на последнюю, то:

/ip neighbor discovery-settings set discover-interface-list=LAN 

Но в этом случае не работает подключение по MAC из wifi сети. Есть идеи почему?

Можно в первый порт подключать кабель провайдера и тестировать.

Результаты небольшого тестирования показали, что по кабелю получил почти все 100Мбит/с которые дает провайдер (запустил торрент), IPTV приставка работает, при этом нагрузка на процессор маршрутизатора была всего 20%. По WiFi удалось получить всего 25Мбит/с, слишком сильно эфир загажен, но и этой скорости достаточно.

Источник

Записки

Решил попробовать в качестве домашнего роутера MikroTik hEX.

Итак, Провайдер Билайн, поставляет мне три услуги: Интернет («технология» IPoE), телефон (технология VoIP), ТВ (технология IPTV)

• Интернет на всех устройствах в домашней сети;
• Телефон (входящие/исходящие звонки);
• ТВ (просмотр тв на приставке xbox360);
• Торрент на файловом сервере;
• Был доступ к домашней сети из вне по DDNS.

Далее настроить роутер с нуля, загрузив дефолтный конфиг, после чего, можно будет пользоваться интернетом, предварительно пройдя web-авторизацию на странице провайдера, если это необходимо.

Для работы ТВ необходимо правильно настроить igmp-роутинг, а также прописать разрешающие правила в firewall для igmp и udp.

 /routing igmp-proxy set query-interval=30s query-response-interval=20s quick-leave=no 

 /routing igmp-proxy interface add alternative-subnets=0.0.0.0/0 interface=ether1-gateway upstream=yes add interface=bridge-local 

 /ip firewall filter add chain=input comment="Allow IGMP" protocol=igmp add chain=input comment="Allow UDP" protocol=udp add chain=forward comment="Allow UDP" protocol=udp 

Для работы телефона, необходимо выполнить настройку:

 /ip firewall service-port set sip disabled=yes 

Для проброса порта к торрент-клиенту, необходимо настроить NAT и Firewall правила:

 /ip firewall nat add action=dst-nat chain=dstnat dst-port=80 in-interface=ether1-gateway protocol=tcp to-addresses=192.168.88.22 to-ports=80 

 /ip firewall filter add chain=forward protocol=tcp dst-port=80 action=accept 

• dst-port=80 и to-ports=80 — номер порта, указанный в торрент-клиенте;
• to-addresses=192.168.88.22 — ip-адрес компьютера, где установлен торрент-клиент.

ВНИМАНИЕ! Все правила, настроенные выше в Firewall, необходимо разместить выше всех запрещающих правил (drop)

Итого: Всё, что хотелось — всё работает!

Источник