Mikrotik. FAQ

[vysotsky 9]

Disclaimer

Все, что написано ниже — не является ни руководством к действию, ни истиной в последней инстанции. Это лишь моя попытка помочь начинающим пользователям MikroTik настроить роутер для работы в сети Билайн. Конструктивные комментарии/предложения — приветствуются.

 

Область применения

Инструкция предназначена для начинающих пользователей MikroTik - абонентов Билайна, использующих подключение по протоколу L2TP. Проверена на моделях mAP, hAP, RB2011.

С высокой доли вероятности будет работать на всех роутерах MikroTik линейки SOHO.

Если на вашем роутере эта инструкция вдруг не сработала - пишите в комменты/личку - постараюсь адаптировать.

 

Самое важное

MikroTik может делать гораздо больше, чем абсолютное большинство домашних SOHO роутеров. Учитывая его цену, найти ему конкурентов довольно непросто. Вероятно, именно поэтому вы его и купили. Но для того, чтобы использовать его в режиме «больше, чем просто мыльница» вам придется разобраться в основах работы сетей. Недостаточно будет просто следовать инструкциям ниже. Вам придется понять каждую строчку вашего конфига, почему вы написали ее именно так, а никак иначе.

 

Обновление Router OS

Все инструкции ниже написаны исходя из предположения, что у вас установлена ROS версии 6.30 или выше. Начиная с этой версии ROS появилась поддержка

*) pptp & l2tp client: when adding default route, add special exception route for a tunnel itself (no need to add it manually anymore);

Теперь не нужны пляски с бубнами лишние манипуляции со статическими маршрутами, ранее совершенно необходимые для работы в сети Билайн.

Как обновить Router OS

 

Сброс настроек

Все инструкции ниже написаны исходя из предположения, что у вас применены дефолтные настройки. Если вы уже начитались других советов/форумов/статей, попробовали все и вся, окончательно запутались, а все равно ничего не работает — сбросьте настройки на дефолтную конфигурацию.

system reset-configuration

 

Как настроить интернет?

Применить QuickSet Home AP как на картинке

Собственно, после этого вся настройка умещается в 2 команды в терминале:

/interface l2tp-client add name=beeline max-mtu=1460 max-mru=1460 connect-to=tp.internet.beeline.ru user=мой-логин password=мой-пароль profile=default add-default-route=yes default-route-distance=0 disabled=no   
/ip firewall nat add action=masquerade chain=srcnat out-interface=beeline

 

Как открыть порты для торрентов?

Сделать статическим адрес для компа, который будет качать торренты

/ip dhcp-server lease make-static numbers=<номер строки с нужным хостом в выводе /ip dhcp-server lease print>

Настроить NAT

/ip firewall nat add action=dst-nat chain=dstnat dst-port=номер-порта in-interface=beeline protocol=udp to-addresses=IP-компа to-ports=номер-порта
/ip firewall nat add action=dst-nat chain=dstnat dst-port=номер-порта in-interface=beeline protocol=tcp to-addresses=IP-компа to-ports=номер-порта

 

Как настроить файрволл?

Базовую настройку файрволла вы уже сделали QuickSet'ом.

Теперь нужно найти там два правила, связанные с вашим внешним интерфейсом (ether1-gateway), и скопировать их, заменив ether1-gateway на beeline.

 

Перед тем как писать любые другие правила в файрволле — убедитесь, что вы хорошо понимаете маршрутизацию пакетов внутри микротика. Пока не поймете — не пишите никаких других правил.

 

Как настроить локальную сеть Билайна?

В локальной сети билайна (до перехода на 100.*) были некоторые полезные ресурсы: retracker,DC хаб, игрушки. В новой сети это все кануло в лету.Если вас еще не перевели на 100.*, имеет смысл сделать следующее:

Настроить dhcp на получение маршрутов по 249 опции:

/ip dhcp-client option add code=55 name=parameter_request_list value=0x0103062179F9
/ip dhcp-client set 0 dhcp-options=hostname,clientid,parameter_request_list

Открыть порты для торрентов в локальную сеть:

/ip firewall nat add action=dst-nat chain=dstnat dst-port=номер-порта in-interface=ether1-gateway protocol=udp to-addresses=IP-компа to-ports=номер-порта
/ip firewall nat add action=dst-nat chain=dstnat dst-port=номер-порта in-interface=ether1-gateway protocol=tcp to-addresses=IP-компа to-ports=номер-порта

 

Как настроить роутер на работу с SIP телефоном от Билайна?

Не знаю, не пользуюсь

 

Как настроить роутер на работу с TB от Билайна?

Не знаю, не пользуюсь

 

Что еще хорошо бы сделать начинающему пользователю MikroTik?

Настроить нового пользователя с full правами, дефолтного admin – задизейблить.

/user add name=myuser group=full password=mypassword
/user disable admin

Запретить бродкаст на внешнем туннельном интерфейсе

/ip neighbor discovery set beeline discover=no

Покурить мануал

Редактировано Июль 9, 2015 пользователем vysotsky

[poisons 107]

Воу-воу, полехчи!

Этот конфиг работает на 951 железке при наличии дефолтного конфига. на ccr1009, как пример, работать не будет.

Почему? Потому что "конфиг по умолчанию" ожидается, где включен NAT, dhcp клиент и т.п.

[Kuja Leonhart 71]

Не думаю, что кто-то покупает в дом ccr1009. Кроме тех кому это надо. А кому надо, то на этом форуме не сидит.

Редактировано Июнь 28, 2015 пользователем Kuja Leonhart

[vysotsky 9]

Вы серьезно полагаете, что начинающий пользователь домашнего интернета купит себе железку за 400-500$?

[poisons 107]

Хорошо, поставлю вопрос иначе - откуда такая уверенность в наличии дефолтного конифга на 951? Его легко там может не быть вообще или он может отличаться от ваших ожиданий. Именно в таком виде приезжали железки 3-4 годами ранее, без конфига вообще. Сейчас вроде как новая серия rb3011 пошла, там конфиг есть дефолтный? А какой?

ccr1009 привел как пример, на моем устройстве конфига не было вовсе, консольный кабель и вперед, не говоря уже о специфичном bridge-local, который у некоторых таки просто bridge именуется(да-да, по дефолту). Привел его как пример, когда волшебная инструкция не работает.

 

Если уж есть желание, а тем более время - не поленитесь описать настройку железки с 0 без ожидания, что конфиг у нее есть, а так это очередная компиляция соседней темы...Опять найдется дурачек, который таки не разберется с маршрутами или еще с чем.

Как пример годной инструкции/FAQ

[vysotsky 9]

@poisons, если дефолтного конфига вдруг нет, есть кнопочка quick set. С шаблоном Home AP - она сделает всю "предварительную работу" для начинающего пользователя MikroTik. Может, от нее лучше плясать в факе?

 

Писать инструкцию по примеру, как вы привели смысла не вижу. 99% местного контингента ее не осилят никогда.

Я эту инструкцию старался написать для тех, кто не понимает слова дефолтный маршрут и метрика. А настроить микротик очень хочет. Может, с микротиком он за месяц-другой тру-сетевиком станет?

Ну почему не помочь человеку?

 

С другой стороны, сейчас Билайн на ipoe перейдет - вообще большинство будет квик сетом обходится. И инструкций не надо никаких.

[poisons 107]

Может, от нее лучше плясать в факе?

Если вы точно знаете, что эта кнопочка делает, то возможно лучше плясать от нее. Желательно что бы результаты нажатия на нее на разных моделях и ревизиях прошивки были бы одинаковы.

А когда билайн переедет таки на IPoE - естественно все эти хороводы вокруг коробки будут не нужны.

[vysotsky 9]

Если вы точно знаете, что эта кнопочка делает, то возможно лучше плясать от нее. Желательно что бы результаты нажатия на нее на разных моделях и ревизиях прошивки были бы одинаковы.

Вообще не знаю что она делает

Поэкспериментирую на досуге... о результатах напишу здесь. Только у меня один девайс подопытный. Надо бы, чтобы кто-то еще проверил. Если результаты будут существенно различаться - значит, не видать новичкам микротика однозначной инструкции.

Либо через тернии к звездам, либо ждать им IPoE

[poisons 107]

Вообще не знаю что она делает

А я уж тем более. Не нажимал. Предлагаю в первом посте указать, что работает для "такой то модели".

На crs125 смогу проверить только к концу августа.

[vysotsky 9]

Скинул у себя конфиг на дефолтный.

Там есть все, что надо домашнему пользователю - dhcp, nat, firewall. Потом сделал quick set с home ap - мне только wifi добавил.

Вечером поправлю инструкцию и внесу уточнения насчет проверенных моделей.

 

@poisons, спасибо за важный коммент.

[strator 1]

В качестве сравнения брендов по производству роутеров . Согласен что трудно найти конкурента микротику . Но для настройки роутера mikrotik не нужно лесть в корень системы и тем более менять внутренние настройки .... и тем более с бубнами бекать...

Редактировано Июнь 29, 2015 пользователем strator

[vysotsky 9]

Обновил шапку.

Комментарии, уточнения, проверки на других моделях - приветствуются

[poisons 107]

Не лишним было бы вырубить ip neighbor discovery set numbers=ether1 discover=no на внешних интерфейсах.

Смысла на внешних интерфейсах оно не несет, но лишний бродкаст ни к чему.

Так же по firewall. Тиковские диаграмы прохождения трафика никоим образом не помогут новичку хоть как то настроить себе фаервол, хотя бы на уровне "запретить устройству выход во вне и оставить домашнюю локалку"

Предлагаю в 2 словах пробежаться по основным цепочкам, в которых можно и нужно создавать правила

1) input - там проходит любой трафик, dst которого сам роутер. Изменяя правила в этой цепочке мы можем открывать управление роутером снаружи, разрешить пинг самого роутера снаружи и т.п.

2) forward - там проходит любой трафик, который течет из одного интерфейса роутера в другой. Пример, нам нужно закрыть одному ПК доступ в интернет.

ip firewall filter add action=drop chain=forward src-address=192.168.1.20 in-interface=bridge-local

При этом хорошо бы разобрать полеты с forward с ключами established и related. Ну или хотя бы намекнуть, что они есть%)

[vysotsky 9]

Вот такой конфиг в части discovery и FW у меня накатывает quickset:

/ip neighbor discovery set ether1-gateway discover=no
/ip firewall filter
add chain=input comment="default configuration" protocol=icmp
add chain=input comment="default configuration" connection-state=established,related
add action=drop chain=input comment="default configuration" in-interface=ether1-gateway
add action=fasttrack-connection chain=forward comment="default configuration" connection-state=established,related
add chain=forward comment="default configuration" connection-state=established,related
add action=drop chain=forward comment="default configuration" connection-state=invalid
add action=drop chain=forward comment="default configuration" connection-nat-state=!dstnat connection-state=new in-interface=ether1-gateway
/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" out-interface=ether1-gateway

 

Про discovery - согласен, добавлю его запрет на туннельном интерфейсе.

А вот про FW, думаю не надо добавлять. Дефолтный конфиг делает вполне неплохой набор правил для начинающего домашнего пользователя.

Если написать - для одних будет слишком сложно, другие начнут создавать себе правила во всех цепочках без разбору и жаловаться, что у них ничего не работает. Тем, кто вообще ничего не знает про сетевую маршрутизацию - FW настраивать ни к чему, а кто понимает и хочет настроить - разберется в настройке и без этой инструкции.

[ShurikG 3]

Применить QuickSet Home AP как на картинке

Собственно, после этого вся настройка умещается в 2 команды в терминале:

/interface l2tp-client add name=beeline max-mtu=1460 max-mru=1460 connect-to=tp.internet.beeline.ru user=мой-логин password=мой-пароль profile=default add-default-route=yes default-route-distance=0 disabled=no   
/ip firewall nat add action=masquerade chain=srcnat out-interface=beeline

Создал новый профиль по этой схеме , всё работает , но почему-то в квиксете указывается WISP AP , переставляю на HOME AP(с подтверждением ) - на глазах обратно в WISP AP перескакивает . Версия прошивки 6.30rc26

Редактировано Июль 6, 2015 пользователем ShurikG

[vysotsky 9]

Создал новый профиль по этой схеме , всё работает , но почему-то в квиксете указывается WISP AP , переставляю на HOME AP(с подтверждением ) - на глазах обратно в WISP AP перескакивает . Версия прошивки 6.30rc26

Возможно, глюк винбокса. Раз уж пробовать беты, так может и его?

Только я успел написать эту инструкцию - Билайн перешел на IPOE почти во всей Москве. Для него вообще почти ничего настраивать не надо. Но в регионах l2tp еще долго будет - так что пусть живет.

 

Какая железка у вас кстати?

[ShurikG 3]

hap lite rb941-2nd

 

Через этот винбокс -

[vysotsky 9]

Не знаю, почему перескакивает на wisp тогда. У меня не скачет. Я на 6.30rc7 сижу сейчас.

Насколько я понимаю, wisp делает все тоже самое, что home - только опций по настройке чуть больше.

 

Подождем релиза, посмотрим как в нем будет.

[Golden dragon 4]

6.30 релизнулась.

http://www.mikrotik.com/download

[poisons 107]

Такие посты лучше в твиттер писать, ни релиз нотес под катом, ни расшифровки релиз нотес. Зачем?

 

*) wireless - added WMM power save suport for mobile devices;

*) firewall - sip helper improved, large packets no longer dropped;

*) fixed encryption 'out of order' problem on SMP systems;

*) email - fix sending multiple consecutive emails;

*) fixed router lockup on leap seconds with installed ntp package;

*) ccr - made hardware watchdog work again (was broken since v6.26);

*) console - allow users with 'policy' policy to change script owner;

*) icmp - use receive interface address when responding with icmp errors;

*) ipsec - fail ph2 negitioation when initiator proposed key length

does not match proposal configuration;

*) timezone - updated timezone information to 2015e release;

*) ssh - added option '/ip ssh stong-crypto'

*) wireless - improve ac radio coexistence with other wireless clients, optimized

transmit times to not interfere with other devices;

*) console - values of $".id", $".nextid" and $".dead" are avaliable for

use in 'print where' expressions;

*) console - ':execute' command now accepts script source in "{}" braces,

like '/system scripts add source=' does;

*) console - ':execute' command now returns internal number of running job,

that can be used to check and stop execution. For example:

:local j [:execute {/interface print follow where [:log info "$name"]}]

:delay 10s

:do { /system script job remove $j } on-error={}

*) console - firewall 'print' commands now show all entries including

dynamic, 'all' argument now has no effect;

*) ipsec - increase replay window to 128;

*) fixed file transfer on devices with large RAM memory;

*) pptp - fixed "encryption got out of sync" problem;

*) ppp - disable vj tcp header compression;

*) api - reduce api tcp connection keepalive delay to 30 seconds,

will timeout idle connections in about 5 minutes;

*) pptp & l2tp & sstp client: support the case were server issues its tunnel

ip address the same as its public one;

*) removed wireless package from routeros bundle package,

new wireless-fp is left in place and wireless-cm2 added as option;

*) pptp & l2tp client: when adding default route, add special exception route for

a tunnel itself (no need to add it manually anymore); - эту вещь они рожали столько лет....

*) improved connection list: added connection packet/byte counters,

added separate counters for fasttrack, added current rate display,

added flag wheather connection is fasttracked/srcnated/dstnated,

removed 2048 connection entry limit;

*) tunnels - eoip, eoipv6, gre,gre6, ipip, ipipv6, 6to4 tunnels

have new property - ipsec-secret - for easy setup of ipsec

encryption and authentication;

*) firewall - added ipsec-policy matcher to check wheather packet

was/will be ipsec processed or not;

*) possibility to disable route cache - improves DDOS attack

handling performance up to 2x (note that ipv4 fastpath depends on route cache);

*) fasttrack - added dummy firewall rule in filter and mangle tables

to show packets/bytes that get processed in fasttrack and bypass firewall;

*) fastpath - vlan interfaces support fastpath;

*) fastpath - partial support for bonding interfaces (rx only);

*) fastpath - vrrp interfaces support fastpath;

*) fixed memory leak on CCR devices (introduced in 6.28);

*) lte - improved modem identification to better support multiple identical modems;

*) snmp - fix system scripts table;

 

Редактировано Июль 8, 2015 пользователем poisons

[Golden dragon 4]

Такие посты лучше в твиттер писать, ни релиз нотес под катом, ни расшифровки релиз нотес. Зачем?

 

Наверное потому что кто ждал 6.30, тем моё сообщение напомнило.

На остальных оно и не расчитывалось.

 

p.s.

По инструкции работает с 0 на RB2011

Редактировано Июль 8, 2015 пользователем Golden dragon

[vysotsky 9]

Действительно очень долгожданное обновление для абонентов билайна.

Я все ждал, кто будет быстрее: микротик с релизом 6.30 или билайн с айпое. В моем случае билайн успел раньше

[Golden dragon 4]

Действительно очень долгожданное обновление для абонентов билайна.

Я все ждал, кто будет быстрее: микротик с релизом 6.30 или билайн с айпое. В моем случае билайн успел раньше

 

Всё равно тема полезная

Добавь в шапку что rb2011 протестен и работает по инструкции плз.

[vysotsky 9]

@Golden dragon, Спасибо, добавил

[Golden dragon 4]

@Golden dragon, Спасибо, добавил

А из "с большой долей вероятности будет работать" не убрал

И в кавычки возьми как остальные модели в списке работающих... (И да - я хренов перфекционист! )

Редактировано Июль 8, 2015 пользователем Golden dragon

[Cheerful 0]

Билайн ввёл и у меня Web-авторизацию.

Всё нормально, интернет работает, авторизовался через браузер на компьютере, на ноуте тоже интернет есть.

Только вот микротик по-старинке всё долбится с логинами-паролями, маршрутами и т.д.

Что лучше сделать, перенастроить или оставить как есть - пусть долбит?

Модель RB751G-2HnD, версия почему-то 6.4 (от 12.09.2013)

Редактировано Июль 8, 2015 пользователем Cheerful

[lastbyte32 2]

Билайн ввёл и у меня Web-авторизацию.

Всё нормально, интернет работает, авторизовался через браузер на компьютере, на ноуте тоже интернет есть.

Только вот микротик по-старинке всё долбится с логинами-паролями, маршрутами и т.д.

Что лучше сделать, перенастроить или оставить как есть - пусть долбит?

Модель RB751G-2HnD, версия почему-то 6.4 (от 12.09.2013)

да что там перенастривать то? потушили ppp да убрали маршруты

[Cheerful 0]

да что там перенастривать то? потушили ppp да убрали маршруты

Спасибо!

PPP сделал Disable. И, судя по логу, микротик перестал стучаться к провайдеру. Больше ничего не трогал.

Редактировано Июль 8, 2015 пользователем Cheerful

[vysotsky 9]

@Cheerful, раз такие вопросы возникают, то лучше сброс настроек до дефолтных + квиксет. Все, на ipoe дальше все само будет работать как надо.

 

@Golden dragon, убрал кавычки отовсюду - не люблю лишнее. Добавил про l2tp.

Перфекционизм для тех, кто пользуется скриптами - вещь необходимая

[ Ni©olas 153]

 

Как настроить роутер на работу с SIP телефоном от Билайна?

Не знаю, не пользуюсь

 

настройки по-умолчанию (ресет роутера с дефолтным конфигом), район с ipoe. телефон работает (меня слышно, я слышу). mikrotik rb9512n. прошивка 6.30.1

 

 

 

mtr -rc 10  msk.sip.beeline.ru
Password:
Start: Tue Jul 21 21:17:52 2015
HOST: iMac-user.local             Loss%   Snt   Last   Avg  Best  Wrst StDev
 1.|-- router                     0.0%    10    0.4   0.4   0.3   0.4   0.0
 2.|-- 78.107.125.157             0.0%    10    0.7   0.6   0.5   0.7   0.0
 3.|-- vpn250-l0.msk.corbina.net  0.0%    10    0.9   0.7   0.6   1.0   0.0
 4.|-- 10.2.248.112               0.0%    10    1.2   1.1   1.0   1.2   0.0
 5.|-- ko-crs-be12.corbina.net    0.0%    10    3.0   4.0   1.4   5.2   1.1
 6.|-- rti-bb-be7.corbina.net     0.0%    10    2.0   1.9   1.7   2.0   0.0
 7.|-- 8m-avp-bb-te2-1.corbina.n  0.0%    10    1.7   1.6   1.2   2.6   0.0
 8.|-- 10.25.0.33                 0.0%    10    2.4   2.6   2.3   4.0   0.5
 9.|-- 10.25.0.50                 0.0%    10    1.1   1.1   1.0   1.1   0.0

 

 

Редактировано Июль 21, 2015 пользователем  Ni©olas