Mikrotik. Два провайдера. Балансировка.

Итак, у нас есть роутер, который соединяет нашу локальную сеть и два канала в интернет (основной ISP1 и резервный ISP2).

Давайте рассмотрим что же мы можем сделать:

Сразу предупрежу: несмотря на то, что в этой статье буду все описывать для mikrotik, не буду касаться темы скриптов

Failover


У нас появился резервный канал, в который можно направить трафик при отказе основного. Но как сделать, чтобы mikrotik понял, что канал упал?

Простейшее резервирование каналов

Простейший failover можно настроить, используя приоритет маршрута (distance у mikrotik/cisco, metric в linux/windows), а так же механизм проверки доступности шлюза — check-gateway.
Читать дальше

Mikrotik QoS для SIP телефонии

  • VOIP
Раздача интернет- канала на несколько SIP- телефонов в «серой» сети за NAT.

Вообще-то речь пойдет не про QoS… Данный конфиг был найден где-то на просторах англоязычного Интернета и предлагает доволно спорный, но возможно, рабочий вариант приоретизации трафика по размеру пакета. В первоисточнике утверждается, что конфигарация слита с «боевого» роутера, и более того, используется провайдером при подключении абонентов...
# Включаем connection tracking:
/ip firewall connection tracking
set enabled=no generic-timeout=10m icmp-timeout=10s tcp-close-timeout=10s tcp-close-wait-timeout=10s tcp-established-timeout=1d tcp-fin-wait-timeout=10s tcp-last-ack-timeout=10s tcp-syn-received-timeout=5s tcp-syn-sent-timeout=5s tcp-syncookie=no tcp-time-wait-timeout=10s udp-stream-timeout=3m udp-timeout=10s
# В правилах файрвола блокируем весь трафик, относящийся к SMB:
/ip firewall filter
add action=drop chain=forward comment=»» disabled=no dst-port=445 protocol=tcp
add action=drop chain=forward comment=»» disabled=no dst-port=135-139 protocol=tcp
# Маркируем трафик для последующей передачи планировщику пакетов:
/ip firewall mangle
add action=mark-packet chain=prerouting comment=OSPF disabled=no new-packet-mark=ospf passthrough=no protocol=ospf
add action=mark-packet chain=prerouting comment=ICMP disabled=no new-packet-mark=icmp passthrough=no protocol=icmp
add action=mark-packet chain=prerouting comment= «Small Packets» disabled=no new-packet-mark=small packet-size=0-256 passthrough=no
add action=mark-packet chain=prerouting comment= «Large Packets» disabled=no new-packet-mark=large packet-size=257-1550 passthrough=no
# Здесь собственно, сам NAT для раздачи интернета:
/ip firewall nat
add action=src-nat chain=srcnat comment= «SRCNAT ethernet clients on IC->WS» disabled=no out-interface=ether1 src-address=__NATed_Addresses__/24 to-addresses=___INET_ADDRESS___
# Далее идут Service Ports (по терминологии Mikrotik) — то есть ALG:
/ip firewall service-port
set ftp disabled=no ports=21
set tftp disabled=no ports=69
set irc disabled=no ports=6667
set h323 disabled=no
# Следущее правило (SIP ALG, nat sip helper) далеко не везде стоит включать, так как современные SIP — железки и программы прекрасно умеют работать за NAT, и включение SIP ALG может их «запутать».
set sip disabled=no ports=5060,5061
set pptp disabled=no
Читать дальше

Настройка RB750UP

MikroTik RB750UP — универсальное и многофункциональное сетевое устройство со встроенным управляемым PoE-инжектором. 
 
 
После этих действий приступаем к настройке.
Заходим на устройство через Winbox — INTERFACES для ознакомления с возможностями управления.
Настройка Mikrotik RB750UP
Заходим в свойства любого сетевого порта и открываем выпадающий список в пункте, в котором и производится управление питанием — PoE Out, он может принимать следующие значения:
Читать дальше

Добавление диапазона адресов в Address List

Что бы добавить диапазон адресов в адрес лист можно воспользоваться скриптом.

[admin@MikroTik] > :for x from=2 to=253 do={ /ip firewall address-list add list=
Block_List address="192.168.0.$x" }

Где FROM -начало to -конец диапазона

address=«192.168.0.$x» — это под сеть

"" сеть закрывается такими скобками
Читать дальше

Прозрачный мост на Mikrotik RouterOS с использованием PPtP и EoIP

В статье описывается как создать тунель EoIP через PPtP соединение. EoIP это специфический метод от Mikrotik для построения моста ethernet трафика через маршрутизируемую сеть, например через интернет. Основная проблема в EoIP если ее использовать в качестве “VPN”, она не шифрованная. Поэтому в данной статье мы постоим тунель EoIP через шифрованный PPtP тунель. Так же доступны другие методы построения шифрованного соединения (OpenVPN например), рассмотрим их в следующий раз. Метод, описанный здесь, протестирован на Mikrotik RouterOS начиная с версии 2.8.

На картинке схема сети, которую нам нужно получить:


Нашей целью будет построение прозрачного моста между ethernet сетями через интернет. Туннель PPtP нужен только для шифрования трафика, т.к. EoIP не шифруется.

Для начала построим PPtP туннель. Левый роутер (12.12.10.2) будет выступать в роли PPtP сервера, а правый (12.21.11.1) в роли клиента.

Левый роутер:
/interface pptp-server server set enabled=yes

/ppp secret
add name=«USERNAME» service=pptp password=«PASS» \
local-address=192.168.10.1 remote-address=192.168.10.2 \
disabled=no


Обращаю внимание на то, что адреса туннеля не должны пересекаться с адресами локальной сети.

Правый роутер:
/interface pptp-client
add name=«pptp-tunnel1» connect-to=12.12.10.2 \
user=«USERNAME» password=«PASS» \
profile=default-encryption add-default-route=no \
disabled=no


PPtP настроен и вы можете посмотреть его статус в интерфейсе Winbox в “Interfaces” и “PPP->Interfaces”. IP адреса можно посмотреть в “IP->Addresses”.

Теперь добавим EoIP туннель. Настройки практически одинаковые, кроме адреса куда конектится.

Слева:
/interface eoip add name=eoiptunnel remote-address=192.168.10.2 \
tunnel-id=101 disabled=no


Справа:
/interface eoip add name=eoiptunnel remote-address=192.168.10.1 \
tunnel-id=101 disabled=no

Параметр tunnel-id должен быть одинаковым.

Ну и добавим мост (на обоих роутерах):
/interface bridge add name=bridge1

Еще добавим порты, которые будут мостом между сетями. У нас порт LAN на Mikrotik называется ether1.

/interface bridge port add bridge=bridge1 interface=ether1

Оригинальная статья Mikrotik RouterOS transparent bridge using PPtP and EoIP
Читать дальше

Обновление Mikrotik и установка доп. пакетов.

Обновление Микротика очень даже простая штука, заходим на www.mikrotik.com/download выбираем нужную платформу, качаем Upgrade package и после закачки копируем файл на сам микротик. Делается это через Winbox (Проще всего) заходите в раздел FILES и и просто перетаскиваете файл в окно винбокса в открытый files. После идём в system — reboot. После перезагрузки обновление установится автоматически с сохранением всех настроек.

Установка дополнительных пакетов так же проходит максимально просто.Заходим на www.mikrotik.com/download выбираем нужную платформу, качаем All packages. После закачки открываем архив, выбираем нужный нам пакет, например multicast и копируем данный пакет в микротик. Делается это через Winbox (Проще всего) заходите в раздел FILES и просто перетаскиваете файл в окно винбокса в открытый files. После идём в system — reboot. После перезагрузки пакет установится автоматически.
Читать дальше

Проброс портов в Микротике

Находя в сети различные инструкции по работе с Mikrotik RouterOS, я обратил внимание, что большинство из них малоинформативны — в лучшем случае они представлены в виде скриншотов Winbox со скудными комментариями, в худшем — просто груда строк для командной строки, из которых что-либо понять вообще нет никакой возможности.
Поэтому я решил написать небольшой набор инструкций, в которых буду объяснять, не только ЧТО нужно выполнить, но и ЗАЧЕМ и ПОЧЕМУ.

Итак, начнём с самого простого и, в тоже время, нужного — проброс порта из внутренней сети «наружу».

Любую сеть можно схематично представить вот в таком виде:


Посмотрим немного подробнее, на примере роутера Mikrotik RB951-2n. У него 5 портов, плюс модуль WiFi.
Читать дальше