Перейти к содержимому


Вниманию тех у кого была учетная запись на форуме Dagtk.net!

Регистрироваться нет необходимости, сохранились логин и пароль старых учетных записей. После авторизации, рекомендуем сменить пароль.

Фотография

Роутеры Mikrotik. Настройка


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 260

#1 OFFLINE   data-centre

data-centre

  • Репутация: 0
  • 89 сообщений

Отправлено 21 July 2013 - 06:50

Решил создать тему, в которой будут обсуждаться технические вопросы связанные с RouterOS.
Итак:

RouterOS
Одним из продуктов MikroTik является RouterOS — сетевая операционная система на базе Linux. Данная операционная система предназначена для установки на аппаратные маршрутизаторы Mikrotik RouterBoard. Также данная система может быть установлена на ПК, превращая его в маршрутизатор, предоставляющий такие услуги, как правила брандмауэра, VPN сервер и клиент, формирование качественной пропускной способности, беспроводную точку доступа и другие часто используемые функции маршрутизации и подключения сетей. Система также может служить в качестве Captive-портала на основе системы беспроводного доступа.
Операционная система лицензирована в эскалации уровней, в каждом релизе тем больше функций RouterOS, чем больше номер уровня. Лицензирование платное и эскалируются в соответствии с функциями релиза. Существует программное обеспечение под названием Winbox, которое предоставляет сложный графический интерфейс для операционной системы RouterOS. Программное обеспечение также позволяет соединяться через FTP, Telnet, и SSH. Существует также API, который позволяет создавать специализированные приложения для управления и мониторинга.
Особенности
RouterOS поддерживает множество сервисов, которые могут быть использованы средним или крупным провайдером - например OSPF, BGP, VPLS/MPLS. RouterOS это универсальная система, и очень хорошо поддерживается Mikrotik, как в рамках форума и предоставления различных Wiki-материалов, так и тематических примеров конфигураций.
Программное обеспечение обеспечивает поддержку практически всех сетевых интерфейсов на ядре Linux 2.6.16, кроме беспроводных, где Atheros и Prism являются единственными поддерживаемыми чипсетами (по состоянию RouterOS версии 3.x). Mikrotik также работает над модернизацией программного обеспечения, которая обеспечит полную совместимость между сервисами Mikrotik и новыми сетевыми разработками, такими как IPv6.

Wikipedia

От себя же могу добавить, что это идеальное решение для построения Хотспота для кафе или ресторана.
То есть можно сделать красивую html страницу авторизации своего кафе и ограничивать клиентов по времени.

Простой пример создания хотспота с ограничением по времени: http://www.lanmart.r...ikrotik-hotspot

Простой пример настройки Микротик для сети Сабнет:

/interface bridge
add l2mtu=1598 name=bridge1
/interface wireless
set 0 band=2ghz-b/g/n disabled=no frequency=2462 l2mtu=2290 mode=ap-bridge \
    ssid=Wi-Fi wireless-protocol=any
/interface ethernet
set 0 comment=Subnet
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool1 ranges=192.168.1.10-192.168.1.200
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=bridge1 lease-time=1d name=\
    dhcp1
/interface pptp-client
add add-default-route=yes allow=mschap1,mschap2 connect-to=10.10.0.22 \
    disabled=no name=pptp-vpn-Subnet password=xxxx profile=default \
    user=user
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
/ip address
add address=10.17.133.16/24 interface=ether1
add address=192.168.1.1/24 interface=bridge1
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=192.168.1.1 gateway=192.168.1.1
/ip dns
set allow-remote-requests=yes servers=10.10.0.101
/ip firewall nat
add action=passthrough chain=unused-hs-chain comment=\
    "place hotspot rules here" disabled=yes to-addresses=0.0.0.0
add action=masquerade chain=srcnat out-interface=pptp-vpn-Subnet \
    src-address=192.168.1.0/24
/ip route
add distance=1 dst-address=10.0.0.0/8 gateway=10.17.133.1
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name=Mikrotik
/system ntp client
set primary-ntp=64.250.229.100
/tool netwatch
add down-script=":interface pptp-client disable pptp-vpn-Subnet; :interface pptp-client enable pptp-vpn-Subnet;" host=8.8.8.8 interval=5s

Сообщение отредактировал data-centre: 24 February 2014 - 14:19

  • 0

#2 OFFLINE   bionix

bionix

  • Репутация: 91
  • 9813 сообщений

Отправлено 21 July 2013 - 12:18

для организации и кафешек я бы давал предпочтение UniFi
  • 0

#3 OFFLINE   KillA

KillA

  • Репутация: 4
  • 5387 сообщений
  • ГородЗасекречено

Отправлено 21 July 2013 - 13:46

bionix, ставили как то юнифай, после первого перепада напряжение 2 точки из 3-x грохнулись :-D, контроллер их найти не мог и адрес им не вручались .
ЗЫ : 3-я точка осталась, т.к. и вовсе не была подключена . Я бы Ruckus попробывал.

Сообщение отредактировал KillA: 21 July 2013 - 13:47

  • 0

#4 OFFLINE   data-centre

data-centre

  • Репутация: 0
  • 89 сообщений

Отправлено 21 July 2013 - 14:45

bionix, ну начнём с того что юнифай и микротик это немного разного рода устройства. Не стоит сравнивать полноценный роутер с точками доступа с весьма ограниченным функционалом.
Кафе не отель и одного мощного радио модуля хватает для покрытия всей территории. Ну и цена
[merge_posts_bbcode]Добавлено: 2013-07-21 16:52:35[/merge_posts_bbcode]

KillA, ruckus дорогая продукция по сравнению с юнифай.
Не проще ли вам пользоваться стабилизатором?

Сообщение отредактировал data-centre: 21 July 2013 - 14:53

  • 0

#5 OFFLINE   KillA

KillA

  • Репутация: 4
  • 5387 сообщений
  • ГородЗасекречено

Отправлено 21 July 2013 - 14:53

data-centre, и я извеняюсь не правильно выразился, дело было не в перепаде напряжение, а в том, что контроллер юнифая резко отключился, у котроллера был перепад
  • 0

#6 OFFLINE   data-centre

data-centre

  • Репутация: 0
  • 89 сообщений

Отправлено 21 July 2013 - 14:55

KillA, по гарантии не обращались?
  • 0

#7 OFFLINE   KillA

KillA

  • Репутация: 4
  • 5387 сообщений
  • ГородЗасекречено

Отправлено 21 July 2013 - 15:07

data-centre, вернули, но впечатления от этого неприятные остались все же, буквально пару дней он работал.
  • 0

#8 OFFLINE   bionix

bionix

  • Репутация: 91
  • 9813 сообщений

Отправлено 21 July 2013 - 20:33

KillA, питание нужно нормальное делать, а так любая техника выйдет из строя и оставить тебе неприятные впечатления
  • 0

#9 OFFLINE   Anigad

Anigad

    Холост. В пассивном поиске...


  • Репутация: 232
  • 4509 сообщений
  • ГородСогратль

Отправлено 21 July 2013 - 20:49

bionix, нормальное питание можно получить только если построить дома автономную станцию, а из наших электросетей никакими фильтрами, стабилизаторами и упсками, "нормального" питания не сделать...

Сообщение отредактировал Anigad: 21 July 2013 - 20:50

  • 0

#10 OFFLINE   data-centre

data-centre

  • Репутация: 0
  • 89 сообщений

Отправлено 22 July 2013 - 00:51

Хотелось вернуться к обсуждению роутеров Mikrotik а не других брендов. Обсуждение электрического питания и стабилизаторов напряжения возможно в другой теме.

По теме хотелось бы отметить, что Mikrotik может работать не только как точка доступа, но и как станция. То есть, вы можете использовать внешнюю антенну и ловить сигнал с источника на большом расстоянии.

Сообщение отредактировал data-centre: 22 July 2013 - 00:53

  • 0

#11 OFFLINE   data-centre

data-centre

  • Репутация: 0
  • 89 сообщений

Отправлено 22 July 2013 - 22:17

Простой пример настройки Микротик для сети Сабнет:

/interface bridge
add l2mtu=1598 name=bridge1
/interface wireless
set 0 band=2ghz-b/g/n disabled=no frequency=2462 l2mtu=2290 mode=ap-bridge \
ssid=Wi-Fi wireless-protocol=any
/interface ethernet
set 0 comment=Subnet
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool1 ranges=192.168.1.10-192.168.1.200
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=bridge1 lease-time=1d name=\
dhcp1
/interface pptp-client
add add-default-route=yes allow=mschap1,mschap2 connect-to=10.10.0.22 \
disabled=no name=pptp-vpn-Subnet password=xxxx profile=default \
user=user
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
/ip address
add address=10.17.133.16/24 interface=ether1
add address=192.168.1.1/24 interface=bridge1
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=192.168.1.1 gateway=192.168.1.1
/ip dns
set allow-remote-requests=yes servers=10.10.0.101
/ip firewall nat
add action=passthrough chain=unused-hs-chain comment=\
"place hotspot rules here" disabled=yes to-addresses=0.0.0.0
add action=masquerade chain=srcnat out-interface=pptp-vpn-Subnet \
src-address=192.168.1.0/24
/ip route
add distance=1 dst-address=10.0.0.0/8 gateway=10.17.133.1
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name=Mikrotik
/system ntp client
set primary-ntp=64.250.229.100
/tool netwatch
add down-script=":interface pptp-client disable pptp-vpn-Subnet; :interface pptp-client enable pptp-vpn-Subnet;" host=8.8.8.8 interval=5s


Сообщение отредактировал data-centre: 22 July 2013 - 22:27

  • 0

#12 OFFLINE   data-centre

data-centre

  • Репутация: 0
  • 89 сообщений

Отправлено 23 July 2013 - 22:55

BLADEGTS,
Объединение офисов по MPLS
http://wiki.mikrotik...orks_using_MPLS
  • 0

#13 OFFLINE   DrManila

DrManila

    Злой модер


  • Репутация: 73
  • 8364 сообщений
  • ГородМахачкала

Отправлено 24 July 2013 - 00:52

data-centre, такой вопрос, имеем роутер Mikrotik Mikrotik RB751U-2HnD. За ним корпоративная рабочая сеть 192.168.0.0/24. Один из компьютеров в наглую качает торренты, пусть это будет 192.168.0.115, вижу его траффик в настройках Firewall'а, а точнее соединения с разных IP на порт 6881. Внимание вопрос, как не дать этому не хорошему человеку качать торренты (вариант подойти и надавать по башке отпадает, т.к. сейчас ночь и за компом всё равно никто не сидит, а это качать ему не мешает :)). Пробовал варианты добавления его в фильтр, но не удачные.
Второй вопрос, мы используем SIP, поэтому нужно открыть на роутере порт 5060, но говорят что этот порт очень опасно просто так открывать, поэтому вопрос, как открыть его только для определенного IP (IP шлюза провайдера IP телефонии).

Сообщение отредактировал DrManila: 24 July 2013 - 00:56

  • 0

#14 OFFLINE   data-centre

data-centre

  • Репутация: 0
  • 89 сообщений

Отправлено 24 July 2013 - 02:03

DrManila,
По идее должна быть добпавлена следующая команда:

/ip firewall layer7-protocol>
вставить туда:
name=torrentsites
regexp:
^.*(get|GET).+(torrent|

thepiratebay|isohunt|entertane|demonoid|btjunkie|mininova|flixflux|

torrentz|vertor|h33t|btscene|bitunity|bittoxic|thunderbytes|

entertane|zoozle|vcdq|bitnova|bitsoup|meganova|fulldls|btbot|

flixflux|seedpeer|fenopy|gpirate|commonbits).*$
Можно и своего еще добавить.

Идем далее и добавляем:
/ip firewall filter>
add chain=forward src-address=192.168.1.0/24 layer7-protocol=torrentsites action=drop comment=torrentsites
add chain=forward src-address=192.168.1.0/24 protocol=17 dst-port=53 layer7-protocol=torrentsites action=drop comment=dropDNS
add chain=forward src-address=192.168.1.0/24 content=torrent action=drop comment=keyword_drop
add chain=forward src-address=192.168.1.0/24 content=tracker action=drop comment=trackers_drop
add chain=forward src-address=192.168.1.0/24 content=getpeers action=drop comment=get_peers_drop
add chain=forward src-address=192.168.1.0/24 content=info_hash action=drop comment=info_hash_drop
add chain=forward src-address=192.168.1.0/24 content=announce_peers action=drop comment=announce_peers_drop
add chain=forward src-address=192.168.1.0/24 p2p=all-p2p action=drop comment=p2p_drop
Здесть тоже можно добавить от себя :)

соответственно адрес 192.168.1.0/24 заменяется на ваш 192.168.0.115/32

И после перезагрузки роутера, когда клиент инициирует сессию, роутер дожен его хлопнуть :)
  • 0

#15 OFFLINE   DrManila

DrManila

    Злой модер


  • Репутация: 73
  • 8364 сообщений
  • ГородМахачкала

Отправлено 24 July 2013 - 02:31

data-centre, мне кажется проблемно угадать все порталы которые может использовать пользователь, т.к. их сами понимаете очень большое количество. Хотелось бы ограничение на уровне портов и адреса пользователя, кстати, при указании конкретного IP смысла указывать маску нет, роутер сам её удаляет если прописать.
  • 0

#16 OFFLINE   data-centre

data-centre

  • Репутация: 0
  • 89 сообщений

Отправлено 24 July 2013 - 03:09

DrManila,
Сложность в том, что определить порты не возможно.
Последнее правило расчитано как раз на блокировку p2p траффика:
add chain=forward src-address=192.168.1.0/24 p2p=all-p2p action=drop comment=p2p_drop

  • 0

#17 OFFLINE   DrManila

DrManila

    Злой модер


  • Репутация: 73
  • 8364 сообщений
  • ГородМахачкала

Отправлено 01 August 2013 - 20:46

data-centre, Сохраняются ли настройки при переходе с RouterOS 5 на 6?

Сообщение отредактировал DrManila: 01 August 2013 - 20:47

  • 0

#18 OFFLINE   data-centre

data-centre

  • Репутация: 0
  • 89 сообщений

Отправлено 02 August 2013 - 02:03

DrManila, Нет, настройки не сохраняются.
Я не советую вам пока использовать шестую версию.
По пятерке достаточно много документации и она на данный момент достаточно стабильна.
  • 0

#19 OFFLINE   data-centre

data-centre

  • Репутация: 0
  • 89 сообщений

Отправлено 07 August 2013 - 02:40

Хотелось бы довавить, для владельцев устройств Mikrotik - уровень WiFi сигнала можно контролировать, изменяя значение Tx power.
Изображение
  • 0

#20 OFFLINE   KillA

KillA

  • Репутация: 4
  • 5387 сообщений
  • ГородЗасекречено

Отправлено 16 August 2013 - 09:24

data-centre, есть два микротика у микротика А адрес допустим 10.10.10.1 (внутри есть адрес 192.168.115.5), у микротика Б адрес 10.10.10.2 (внутри есть адрес 192.168.100.8), А и Б соеденены через ОВПН, нужно иметь обеспечить полный доступ от 192.168.100.8 к 192.168.115.5 , я делаю мангл пакетов на роутере Б из 192.168.100.8 к 192.168.115.5 и маршутизирую с используя маркировку мангла к 10.10.10.1.
Теперь такая ситуация, что 192.168.100.8 Видит 192.168.115.5, к примеру все UDP порты закрыты, показывает мол межсетевой экран стоит ( сканировал из Lanspy) , а TCP многие показывает , но не все ! Стоят и другие правила, так вот как найти правила которые мешают видеть полностью ?
  • 0




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных