Маршрутизатор с pppoe сервером

Mikrotik для домашнего интернета: все основные настройки PPPoE

Если вам тяжело, значит вы держите топ. Если у вас микротик — вы не ищете легких путей. Зато ищите качество и стабильную работу на втором и третьем уровне модели OSI. Многие, несмотря на приличный прайс, покупают роутеры этого вендора себе домой, поэтому есть необходимость рассказать про базовые mikrotik настройки на операционной системе RouterOS

Настройка РРРоЕ

Многие «домашние» интернет-провайдеры используют РРРоЕ в качестве основного протокола для передачи данных конечным пользователям (с авторизацией и выдачей IP на RADIUS-сервере, как у Ростелекома). Во всех роутерах Mikrotik клиент РРРоЕ, естественно, присутствует. Сейчас мы будем поднимать его для WAN-соединения на примере RouterOS v6.хх. Для этого вам потребуется логин и пароль для подключения, которые вам выдает провайдер

1. Вход в настройки

Все, кто сталкивался с настройкой Mikrotik по работе знают, что в настройки можно зайти либо через утилиту Winbox, либо по-стандарту через веб-интерфейс (192.168.88.1). Еще есть вариант настройки через Telnet, но это мы оставим матёрым системным администраторам. Давайте будем делать это через Winbox . После запуска программы мы видим строчки connect to, где указан мак-адрес микротика, логин и пароль. Сразу определимся, что по умолчанию логин — admin, пароль — пустой. Переходим во вкладку Neighbors , выбираем там верхнюю строчку (скорее всего будет единственная) и нажимаем Connect

2. Схема подключения

Что у нас с интерфейсами: ether1 будет подключен к провайдеру (WAN порт), Предположим, что к порту ether2 будет подсоединён свитч для подключения компьютеров локальной сети. Итого схема такая:

Т.е. для полноценной работы нам потребуются следующие шаги:

• Настройка клиента PPPoE. Интерфейс ether1 (WAN)
• Назначение шлюза LAN. Интерфейс ether2 для коммутатора (LAN с IP-блоком 192.168.10.0/24)
• Конфигурация DNS IP
• Конфигурация NAT. Компьютеры должны получать серый IP для выхода в интернет

3. Настройка PPPoE на интерфейсе WAN

Для настройки клиента необходимо зайти в пункт меню PPP и нажать кнопку Add (добавить) и в списке выбираем PPPoE Client

В главном окне указываем имя соединения ( здесь лучше написать ether1 ) и выбираем одноименный порт ether1. В раскрывающимся меню «Interface» во вкладке Dial Out пишем логин и пароль от провайдера. Ставим галочки на пунктах «Dial On Demand» и «Use Peer DNS». В блоке Allow снимаем галочки с чекбоксов везде, кроме pap

4. Назначение шлюза LAN

Теперь соединим наш микротик с коммутатором, который будет раздавать интернет по локальный сети нашим компьютерам. Заходим в IP -> Addresses . Нажимаем добавить (add). Вводим айпишник нашего LAN-шлюза (192.168.10.1/24). В меню интерфейс выбираем ether2 и применяем ОК

5. Назначение IP-адреса DNS

Обычно провайдер уже предоставляет DNS-адреса, но мы модем прописать их и вручную на Mikrotik. Будем использовать стандартные гугловские — 8.8.8.8 или 8.8.4.4. Это можно сделать в меню IP -> DNS . Ставим отметку на чекбоксе «Allow Remote Request»

6. Настройка NAT

Последнее действие включение NAT, чтобы наши ПК смогли получить серые IP для выхода в интернет. Заходим в IP -> NAT . В открывшемся окне New NAT Rue из пункта Chain выбираем srcnat и в поле Src. Adderess вбиваем IP LAN (192.168.10.0/24), применяем и сохраняем.

Настройка Firewall

Чтобы избежать проблем с DDoS и низкой скорости внутри LAN необходимо: во-первых, обновить прошивку до актуальной (https://mikrotik.com/download), во-вторых, закрыть снаружи 53 порт для блокировки трафика на входящем интерфейсе (по UDP из WAN). Сделать это можно в настройках IP -> Firewall -> Filter Rules. Добавляем в него

/ip firewall filter add chain=input action=drop protocol=udp in-interface=ISP1 dst-port=53

Настройка подключения для iPhone. Почему телефон отключается от Wi-Fi-сети?

Некоторые владельцы Apple iPhone жалуются на периодические дисконнекты по беспроводному соединению , при этом пользователи смартфонов на Android от такой проблемы избавлены. Можете не отключать режим энергосбережения на своих айфонах — проблема была не в этом. Недавно было найдено решение, хотя, это скорее костыль — увеличить параметр lease time (время «аренды» IP-адреса) в настройках DHCP server. Установите параметр на 1d (24 часа) и забудете проблемы с отключением.

Делается это так же через Winbox. Чтобы попасть в основные настройки сервера выберите IP->DHCP Server . Для дополнительных параметров два раз кликните по вашему DHCP-серверу. В этом окне и будет параметр lease time

Как вам статья?

Источник

Настройка PPPoE на Микротик

В данной статье разберем настройку PPPoE на MikroTik, этот протокол предоставляет обширное управление пользователями, сетями и учета. В настоящее время используется в основном провайдерами для контроля клиентских соединений по xDSL и кабельных модемов, а также в обычных Ethernet сетях. Является расширением стандартного PPP протокола. Разница между ними — это метод транспорта, PPPoE использует Ethernet вместо последовательного модемного подключения.

Проще говоря, PPPoE используется для выдачи IP адресов клиентам, основанных на аутентификации по логину и паролю вместо рабочих станций, у которых проверка подлинности осуществляется по статическому адресу или DHCP. Не рекомендуется использовать статический IP адрес или DHCP на одних и тех же интерфейсах PPPoE из очевидных соображений безопасности. Клиент и сервер работают на втором уровне Ethernet.

На Mikrotik поддерживается следующее:

• PPPoE сервер и клиент;
• Multilink PPP (MLPPP) — предоставляет методы для распространения трафика через несколько физических каналов, имея одно логическое соединение. Этот вариант позволяет расширить пропускную способность и обеспечивает балансировку нагрузки;
• MLPPP по одному линку (возможна передача полноразмерных фреймов);
• BCP (Bridge Control Protocol) — позволяет отправлять необработанные Ethernet фреймы через PPP линки;
• Шифрование MPPE 128bit RSA;
• Аутентификация pap, chap, mschap v1/v2;
• Аутентификация по RADIUS.

Если вы хотите углубить свои знания по работе с роутерами MikroTik, то наша команда рекомендует пройти курсы которые сделаны на основе MikroTik Certified Network Associate и расширены автором на основе опыта . Подробно читайте ниже.

Схема сети

Используем лабораторный стенд с Mikrotik CHR версии 6.46.2 на борту. Мы находимся наверху в главном роутере NetworkCore, который имеет доступ в интернет соответствующим правилом NAT для всех сетей. Вводные данные:

• Office-SPB клиент;
• Office-Moscow клиент;
• NetworkCore выполняет роль провайдера, он будет заниматься ролью сервера;
• Office-Moscow ether1 подключен в ether2 провайдера;
• Office-SPB ether1 подключен в ether3 провайдера;
• Адресация в PPPoE сети 172.16.25.0/24.

Настройка сервера PPPoE на Микротик

Нам необходимо создать адресное пространство (IP пул). Подключимся к NetworkCore и перейдем в IP – Pool.

Создадим новый. Задаем понятное название и диапазон адресов.

Сохраняем и переходим к следующему пункту.

Создание профиля

Переходим к созданию профиля. Открываем PPP – Profiles.

• Задаем понятное имя профиля;
• Local Address – 172.16.25.1;
• Remote Address – ранее созданный пул;
• DNS – в качестве примера 8.8.8.8;
• Change TCP MSS – yes;
• Use UPnP – no.

Создание пользователей

Т.к. PPPoE требует аутентификацию по логину и паролю, нам необходимо создать два пользователя, по одному для каждого офиса. Последовательно открываем PPP – Secrets.

• Name – учетная запись, регистр имеет значение;
• Password – пароль;
• Service – можно выбрать any, но я предпочитаю указывать конкретные сервисы;
• Profile – раннее созданный профиль.

По аналогии создаем пользователя для офиса SPB.

Включение сервера

Для ограничения широковещательного трафика я не стал создавать bridge и добавлять в него порты, связанные с офисами. Так же я создал одну сеть, что не рекомендуется для production сети. Сервер настраивается в PPP – PPPoE Servers. Создадим первый, подключенный к московскому офису.

• Service Name — указываем уникальное имя сервиса;
• Interface – ether2 для офиса в Москве;
• Default profile – раннее созданный профиль;
• One Session Peer Host – ставим галочку;
• Authentication – оставляем только MSCHAPv1 и MSCHAPv2.

Есть возможность указать задержку ответа в параметре PAD0 Delay. Данный параметр будет полезен для сценариев с несколькими серверами. Его мы не изменяем.

Сохраняем и создаем еще один, но только указываем другое имя сервиса и порт ether3 в параметре interface.

Настройка клиента PPoE на Микротик

Необходимо настроить таким образом, чтобы был доступ в интернет. На московском роутере я покажу как это сделать. Для начала проверим что на нем нет никаких IP адресов и маршрутов.

Далее переходим в PPP – Interface и добавляем новый.

В создании интерфейса на вкладке General зададим:

• Name – понятное название интерфейса;
• Interface – тот интерфейс, который подключен к провайдеру, в нашем случае ether1.

Предлагаю воспользоваться утилитой PPPoE Scan – она позволяет без подключения и аутентификации просканировать эфир на наличие каких-либо серверов. Особенно полезная штука для поиска неисправностей доступности крупнейшего провайдера нашей страны. После нажатия кнопки Start утилита начинает сканирование. На скриншоте ниже, виден наш сервер с заданным именем сервиса и AC Name – он берется из Identity в меню System. При желании можно сменить.

Закрываем утилиту и переходим во вкладку Dial Out.

• Service – for-MSC (можно не указывать);
• AC Name – NetworkCore (можно не указывать);
• User – MSC – обязательный параметр;
• Password – обязательный параметр;
• Use Peer DNS – ставим галочку;
• Allow – снимаем галочки с chap и pap.

Add Default Route нужен для автоматического добавления маршрута 0.0.0.0/0 в нашу таблицу маршрутизации. Данная запись обеспечит выход в интернет. Обращаю внимание, что она устанавливается на клиентской стороне. Сохраняем и проверяем на вкладке Status.

Мы видим внизу статус – connected, что символизирует об успешном подключении. Исходя из скриншота выше можно сказать, что, последний раз соединение поднялось 05.02.2020 в 19:51, время жизни 44 секунды, получили адрес 172.16.25.20, Service Name — for-MSC, AC Name — NetworkCore. Попробуем проверить доступность интернета.

На самом деле, если бы мы не указали Service и AC Name, наше соединение все равно бы установилось и работало без проблем. Данные параметры стоит указывать если вы хотите подключиться к определенному Service и AC Name среди множества из доступных. И, соответственно, если он будет не доступен, ваш клиент будет подключаться именно к тем Service и AC Name, которые вы указали пока ему это не удастся. Будьте осторожны, пользуясь данными опциями.

Отправив ping запрос по доменному имени, мы убедились, что имя преобразуется – это означает что DNS сервер добавился без проблем и получаем ответы на запросы — работает интернет-соединение. Не ленимся и перепроверим в соответствующих консолях.

Проделаем аналогичные действия на Mikrotik в Питере и посмотрим, что происходит на главном роутере NetworkCore.

Как мы видим, на интерфейсах ether2 и ether3 появились дополнительные соединения. Далее мы можем из этих интерфейсов сделать статические адрес листы и в зависимости от ситуации, разрешать или запрещать определенный трафик. В данном примере я продемонстрировал как с помощью PPPoE на роутере Mikrotik разрешить доступ в интернет, вы же можете предоставлять с его помощью доступ к иным службам или сетям. Спасибо за внимание.

89 вопросов по настройке MikroTik

Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдете для себя полезную информацию в курсе «Настройка оборудования MikroTik». 162 видеоурока, большая лабораторная работа и 89 вопросов, на каждый из которых вы будете знать ответ. Подробности и доступ к началу курса бесплатно тут.

Источник