vysotsky 9 Жалоба Опубликовано: 28 июня 2015 (изменено) Disclaimer Все, что написано ниже — не является ни руководством к действию, ни истиной в последней инстанции. Это лишь моя попытка помочь начинающим пользователям MikroTik настроить роутер для работы в сети Билайн. Конструктивные комментарии/предложения — приветствуются. Область применения Инструкция предназначена для начинающих пользователей MikroTik - абонентов Билайна, использующих подключение по протоколу L2TP. Проверена на моделях mAP, hAP, RB2011. С высокой доли вероятности будет работать на всех роутерах MikroTik линейки SOHO. Если на вашем роутере эта инструкция вдруг не сработала - пишите в комменты/личку - постараюсь адаптировать. Самое важное MikroTik может делать гораздо больше, чем абсолютное большинство домашних SOHO роутеров. Учитывая его цену, найти ему конкурентов довольно непросто. Вероятно, именно поэтому вы его и купили. Но для того, чтобы использовать его в режиме «больше, чем просто мыльница» вам придется разобраться в основах работы сетей. Недостаточно будет просто следовать инструкциям ниже. Вам придется понять каждую строчку вашего конфига, почему вы написали ее именно так, а никак иначе. Обновление Router OS Все инструкции ниже написаны исходя из предположения, что у вас установлена ROS версии 6.30 или выше. Начиная с этой версии ROS появилась поддержка *) pptp & l2tp client: when adding default route, add special exception route for a tunnel itself (no need to add it manually anymore); Теперь не нужны пляски с бубнами лишние манипуляции со статическими маршрутами, ранее совершенно необходимые для работы в сети Билайн. Как обновить Router OS Сброс настроек Все инструкции ниже написаны исходя из предположения, что у вас применены дефолтные настройки. Если вы уже начитались других советов/форумов/статей, попробовали все и вся, окончательно запутались, а все равно ничего не работает — сбросьте настройки на дефолтную конфигурацию. system reset-configuration Как настроить интернет? Применить QuickSet Home AP как на картинке Собственно, после этого вся настройка умещается в 2 команды в терминале: /interface l2tp-client add name=beeline max-mtu=1460 max-mru=1460 connect-to=tp.internet.beeline.ru user=мой-логин password=мой-пароль profile=default add-default-route=yes default-route-distance=0 disabled=no /ip firewall nat add action=masquerade chain=srcnat out-interface=beeline Как открыть порты для торрентов? Сделать статическим адрес для компа, который будет качать торренты /ip dhcp-server lease make-static numbers=<номер строки с нужным хостом в выводе /ip dhcp-server lease print> Настроить NAT /ip firewall nat add action=dst-nat chain=dstnat dst-port=номер-порта in-interface=beeline protocol=udp to-addresses=IP-компа to-ports=номер-порта /ip firewall nat add action=dst-nat chain=dstnat dst-port=номер-порта in-interface=beeline protocol=tcp to-addresses=IP-компа to-ports=номер-порта Как настроить файрволл? Базовую настройку файрволла вы уже сделали QuickSet'ом. Теперь нужно найти там два правила, связанные с вашим внешним интерфейсом (ether1-gateway), и скопировать их, заменив ether1-gateway на beeline. Перед тем как писать любые другие правила в файрволле — убедитесь, что вы хорошо понимаете маршрутизацию пакетов внутри микротика. Пока не поймете — не пишите никаких других правил. Как настроить локальную сеть Билайна? В локальной сети билайна (до перехода на 100.*) были некоторые полезные ресурсы: retracker,DC хаб, игрушки. В новой сети это все кануло в лету.Если вас еще не перевели на 100.*, имеет смысл сделать следующее: Настроить dhcp на получение маршрутов по 249 опции: /ip dhcp-client option add code=55 name=parameter_request_list value=0x0103062179F9 /ip dhcp-client set 0 dhcp-options=hostname,clientid,parameter_request_list Открыть порты для торрентов в локальную сеть: /ip firewall nat add action=dst-nat chain=dstnat dst-port=номер-порта in-interface=ether1-gateway protocol=udp to-addresses=IP-компа to-ports=номер-порта /ip firewall nat add action=dst-nat chain=dstnat dst-port=номер-порта in-interface=ether1-gateway protocol=tcp to-addresses=IP-компа to-ports=номер-порта Как настроить роутер на работу с SIP телефоном от Билайна? Не знаю, не пользуюсь Как настроить роутер на работу с TB от Билайна? Не знаю, не пользуюсь Что еще хорошо бы сделать начинающему пользователю MikroTik? Настроить нового пользователя с full правами, дефолтного admin – задизейблить. /user add name=myuser group=full password=mypassword /user disable admin Запретить бродкаст на внешнем туннельном интерфейсе /ip neighbor discovery set beeline discover=no Покурить мануал Изменено 9 июля 2015 пользователем vysotsky 2 Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
poisons 107 Жалоба Опубликовано: 28 июня 2015 Воу-воу, полехчи! Этот конфиг работает на 951 железке при наличии дефолтного конфига. на ccr1009, как пример, работать не будет. Почему? Потому что "конфиг по умолчанию" ожидается, где включен NAT, dhcp клиент и т.п. Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
Kuja Leonhart 71 Жалоба Опубликовано: 28 июня 2015 (изменено) Не думаю, что кто-то покупает в дом ccr1009. Кроме тех кому это надо. А кому надо, то на этом форуме не сидит. Изменено 28 июня 2015 пользователем Kuja Leonhart Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
vysotsky 9 Жалоба Опубликовано: 28 июня 2015 Вы серьезно полагаете, что начинающий пользователь домашнего интернета купит себе железку за 400-500$? Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
poisons 107 Жалоба Опубликовано: 28 июня 2015 Хорошо, поставлю вопрос иначе - откуда такая уверенность в наличии дефолтного конифга на 951? Его легко там может не быть вообще или он может отличаться от ваших ожиданий. Именно в таком виде приезжали железки 3-4 годами ранее, без конфига вообще. Сейчас вроде как новая серия rb3011 пошла, там конфиг есть дефолтный? А какой? ccr1009 привел как пример, на моем устройстве конфига не было вовсе, консольный кабель и вперед, не говоря уже о специфичном bridge-local, который у некоторых таки просто bridge именуется(да-да, по дефолту). Привел его как пример, когда волшебная инструкция не работает. Если уж есть желание, а тем более время - не поленитесь описать настройку железки с 0 без ожидания, что конфиг у нее есть, а так это очередная компиляция соседней темы...Опять найдется дурачек, который таки не разберется с маршрутами или еще с чем. Как пример годной инструкции/FAQ Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
vysotsky 9 Жалоба Опубликовано: 28 июня 2015 @poisons, если дефолтного конфига вдруг нет, есть кнопочка quick set. С шаблоном Home AP - она сделает всю "предварительную работу" для начинающего пользователя MikroTik. Может, от нее лучше плясать в факе? Писать инструкцию по примеру, как вы привели смысла не вижу. 99% местного контингента ее не осилят никогда. Я эту инструкцию старался написать для тех, кто не понимает слова дефолтный маршрут и метрика. А настроить микротик очень хочет. Может, с микротиком он за месяц-другой тру-сетевиком станет? Ну почему не помочь человеку? С другой стороны, сейчас Билайн на ipoe перейдет - вообще большинство будет квик сетом обходится. И инструкций не надо никаких. Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
poisons 107 Жалоба Опубликовано: 28 июня 2015 Может, от нее лучше плясать в факе? Если вы точно знаете, что эта кнопочка делает, то возможно лучше плясать от нее. Желательно что бы результаты нажатия на нее на разных моделях и ревизиях прошивки были бы одинаковы. А когда билайн переедет таки на IPoE - естественно все эти хороводы вокруг коробки будут не нужны. Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
vysotsky 9 Жалоба Опубликовано: 28 июня 2015 Если вы точно знаете, что эта кнопочка делает, то возможно лучше плясать от нее. Желательно что бы результаты нажатия на нее на разных моделях и ревизиях прошивки были бы одинаковы. Вообще не знаю что она делает Поэкспериментирую на досуге... о результатах напишу здесь. Только у меня один девайс подопытный. Надо бы, чтобы кто-то еще проверил. Если результаты будут существенно различаться - значит, не видать новичкам микротика однозначной инструкции. Либо через тернии к звездам, либо ждать им IPoE Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
poisons 107 Жалоба Опубликовано: 28 июня 2015 Вообще не знаю что она делает А я уж тем более. Не нажимал. Предлагаю в первом посте указать, что работает для "такой то модели". На crs125 смогу проверить только к концу августа. Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
vysotsky 9 Жалоба Опубликовано: 29 июня 2015 Скинул у себя конфиг на дефолтный. Там есть все, что надо домашнему пользователю - dhcp, nat, firewall. Потом сделал quick set с home ap - мне только wifi добавил. Вечером поправлю инструкцию и внесу уточнения насчет проверенных моделей. @poisons, спасибо за важный коммент. Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
strator 1 Жалоба Опубликовано: 29 июня 2015 (изменено) В качестве сравнения брендов по производству роутеров . Согласен что трудно найти конкурента микротику . Но для настройки роутера mikrotik не нужно лесть в корень системы и тем более менять внутренние настройки .... и тем более с бубнами бекать... Изменено 29 июня 2015 пользователем strator Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
vysotsky 9 Жалоба Опубликовано: 29 июня 2015 Обновил шапку. Комментарии, уточнения, проверки на других моделях - приветствуются Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
poisons 107 Жалоба Опубликовано: 30 июня 2015 Не лишним было бы вырубить ip neighbor discovery set numbers=ether1 discover=no на внешних интерфейсах. Смысла на внешних интерфейсах оно не несет, но лишний бродкаст ни к чему. Так же по firewall. Тиковские диаграмы прохождения трафика никоим образом не помогут новичку хоть как то настроить себе фаервол, хотя бы на уровне "запретить устройству выход во вне и оставить домашнюю локалку" Предлагаю в 2 словах пробежаться по основным цепочкам, в которых можно и нужно создавать правила 1) input - там проходит любой трафик, dst которого сам роутер. Изменяя правила в этой цепочке мы можем открывать управление роутером снаружи, разрешить пинг самого роутера снаружи и т.п. 2) forward - там проходит любой трафик, который течет из одного интерфейса роутера в другой. Пример, нам нужно закрыть одному ПК доступ в интернет. ip firewall filter add action=drop chain=forward src-address=192.168.1.20 in-interface=bridge-local При этом хорошо бы разобрать полеты с forward с ключами established и related. Ну или хотя бы намекнуть, что они есть%) Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
vysotsky 9 Жалоба Опубликовано: 30 июня 2015 Вот такой конфиг в части discovery и FW у меня накатывает quickset: /ip neighbor discovery set ether1-gateway discover=no /ip firewall filter add chain=input comment="default configuration" protocol=icmp add chain=input comment="default configuration" connection-state=established,related add action=drop chain=input comment="default configuration" in-interface=ether1-gateway add action=fasttrack-connection chain=forward comment="default configuration" connection-state=established,related add chain=forward comment="default configuration" connection-state=established,related add action=drop chain=forward comment="default configuration" connection-state=invalid add action=drop chain=forward comment="default configuration" connection-nat-state=!dstnat connection-state=new in-interface=ether1-gateway /ip firewall nat add action=masquerade chain=srcnat comment="default configuration" out-interface=ether1-gateway Про discovery - согласен, добавлю его запрет на туннельном интерфейсе. А вот про FW, думаю не надо добавлять. Дефолтный конфиг делает вполне неплохой набор правил для начинающего домашнего пользователя. Если написать - для одних будет слишком сложно, другие начнут создавать себе правила во всех цепочках без разбору и жаловаться, что у них ничего не работает. Тем, кто вообще ничего не знает про сетевую маршрутизацию - FW настраивать ни к чему, а кто понимает и хочет настроить - разберется в настройке и без этой инструкции. Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
ShurikG 3 Жалоба Опубликовано: 6 июля 2015 (изменено) Применить QuickSet Home AP как на картинке Собственно, после этого вся настройка умещается в 2 команды в терминале: /interface l2tp-client add name=beeline max-mtu=1460 max-mru=1460 connect-to=tp.internet.beeline.ru user=мой-логин password=мой-пароль profile=default add-default-route=yes default-route-distance=0 disabled=no /ip firewall nat add action=masquerade chain=srcnat out-interface=beeline Создал новый профиль по этой схеме , всё работает , но почему-то в квиксете указывается WISP AP , переставляю на HOME AP(с подтверждением ) - на глазах обратно в WISP AP перескакивает . Версия прошивки 6.30rc26 Изменено 6 июля 2015 пользователем ShurikG Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
vysotsky 9 Жалоба Опубликовано: 6 июля 2015 Создал новый профиль по этой схеме , всё работает , но почему-то в квиксете указывается WISP AP , переставляю на HOME AP(с подтверждением ) - на глазах обратно в WISP AP перескакивает . Версия прошивки 6.30rc26 Возможно, глюк винбокса. Раз уж пробовать беты, так может и его? Только я успел написать эту инструкцию - Билайн перешел на IPOE почти во всей Москве. Для него вообще почти ничего настраивать не надо. Но в регионах l2tp еще долго будет - так что пусть живет. Какая железка у вас кстати? Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
ShurikG 3 Жалоба Опубликовано: 6 июля 2015 hap lite rb941-2nd Через этот винбокс - Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
vysotsky 9 Жалоба Опубликовано: 6 июля 2015 Не знаю, почему перескакивает на wisp тогда. У меня не скачет. Я на 6.30rc7 сижу сейчас. Насколько я понимаю, wisp делает все тоже самое, что home - только опций по настройке чуть больше. Подождем релиза, посмотрим как в нем будет. Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
Golden dragon 4 Жалоба Опубликовано: 8 июля 2015 6.30 релизнулась. http://www.mikrotik.com/download 1 Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
poisons 107 Жалоба Опубликовано: 8 июля 2015 (изменено) Такие посты лучше в твиттер писать, ни релиз нотес под катом, ни расшифровки релиз нотес. Зачем? *) wireless - added WMM power save suport for mobile devices; *) firewall - sip helper improved, large packets no longer dropped; *) fixed encryption 'out of order' problem on SMP systems; *) email - fix sending multiple consecutive emails; *) fixed router lockup on leap seconds with installed ntp package; *) ccr - made hardware watchdog work again (was broken since v6.26); *) console - allow users with 'policy' policy to change script owner; *) icmp - use receive interface address when responding with icmp errors; *) ipsec - fail ph2 negitioation when initiator proposed key length does not match proposal configuration; *) timezone - updated timezone information to 2015e release; *) ssh - added option '/ip ssh stong-crypto' *) wireless - improve ac radio coexistence with other wireless clients, optimized transmit times to not interfere with other devices; *) console - values of $".id", $".nextid" and $".dead" are avaliable for use in 'print where' expressions; *) console - ':execute' command now accepts script source in "{}" braces, like '/system scripts add source=' does; *) console - ':execute' command now returns internal number of running job, that can be used to check and stop execution. For example: :local j [:execute {/interface print follow where [:log info "$name"]}] :delay 10s :do { /system script job remove $j } on-error={} *) console - firewall 'print' commands now show all entries including dynamic, 'all' argument now has no effect; *) ipsec - increase replay window to 128; *) fixed file transfer on devices with large RAM memory; *) pptp - fixed "encryption got out of sync" problem; *) ppp - disable vj tcp header compression; *) api - reduce api tcp connection keepalive delay to 30 seconds, will timeout idle connections in about 5 minutes; *) pptp & l2tp & sstp client: support the case were server issues its tunnel ip address the same as its public one; *) removed wireless package from routeros bundle package, new wireless-fp is left in place and wireless-cm2 added as option; *) pptp & l2tp client: when adding default route, add special exception route for a tunnel itself (no need to add it manually anymore); - эту вещь они рожали столько лет.... *) improved connection list: added connection packet/byte counters, added separate counters for fasttrack, added current rate display, added flag wheather connection is fasttracked/srcnated/dstnated, removed 2048 connection entry limit; *) tunnels - eoip, eoipv6, gre,gre6, ipip, ipipv6, 6to4 tunnels have new property - ipsec-secret - for easy setup of ipsec encryption and authentication; *) firewall - added ipsec-policy matcher to check wheather packet was/will be ipsec processed or not; *) possibility to disable route cache - improves DDOS attack handling performance up to 2x (note that ipv4 fastpath depends on route cache); *) fasttrack - added dummy firewall rule in filter and mangle tables to show packets/bytes that get processed in fasttrack and bypass firewall; *) fastpath - vlan interfaces support fastpath; *) fastpath - partial support for bonding interfaces (rx only); *) fastpath - vrrp interfaces support fastpath; *) fixed memory leak on CCR devices (introduced in 6.28); *) lte - improved modem identification to better support multiple identical modems; *) snmp - fix system scripts table; Изменено 8 июля 2015 пользователем poisons Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
Golden dragon 4 Жалоба Опубликовано: 8 июля 2015 (изменено) Такие посты лучше в твиттер писать, ни релиз нотес под катом, ни расшифровки релиз нотес. Зачем? Наверное потому что кто ждал 6.30, тем моё сообщение напомнило. На остальных оно и не расчитывалось. p.s. По инструкции работает с 0 на RB2011 Изменено 8 июля 2015 пользователем Golden dragon Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
vysotsky 9 Жалоба Опубликовано: 8 июля 2015 Действительно очень долгожданное обновление для абонентов билайна. Я все ждал, кто будет быстрее: микротик с релизом 6.30 или билайн с айпое. В моем случае билайн успел раньше 1 Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
Golden dragon 4 Жалоба Опубликовано: 8 июля 2015 Действительно очень долгожданное обновление для абонентов билайна. Я все ждал, кто будет быстрее: микротик с релизом 6.30 или билайн с айпое. В моем случае билайн успел раньше Всё равно тема полезная Добавь в шапку что rb2011 протестен и работает по инструкции плз. Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
vysotsky 9 Жалоба Опубликовано: 8 июля 2015 @Golden dragon, Спасибо, добавил 1 Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
Golden dragon 4 Жалоба Опубликовано: 8 июля 2015 (изменено) @Golden dragon, Спасибо, добавил А из "с большой долей вероятности будет работать" не убрал И в кавычки возьми как остальные модели в списке работающих... (И да - я хренов перфекционист! ) Изменено 8 июля 2015 пользователем Golden dragon Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
Cheerful 0 Жалоба Опубликовано: 8 июля 2015 (изменено) Билайн ввёл и у меня Web-авторизацию. Всё нормально, интернет работает, авторизовался через браузер на компьютере, на ноуте тоже интернет есть. Только вот микротик по-старинке всё долбится с логинами-паролями, маршрутами и т.д. Что лучше сделать, перенастроить или оставить как есть - пусть долбит? Модель RB751G-2HnD, версия почему-то 6.4 (от 12.09.2013) Изменено 8 июля 2015 пользователем Cheerful Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
lastbyte32 2 Жалоба Опубликовано: 8 июля 2015 Билайн ввёл и у меня Web-авторизацию. Всё нормально, интернет работает, авторизовался через браузер на компьютере, на ноуте тоже интернет есть. Только вот микротик по-старинке всё долбится с логинами-паролями, маршрутами и т.д. Что лучше сделать, перенастроить или оставить как есть - пусть долбит? Модель RB751G-2HnD, версия почему-то 6.4 (от 12.09.2013) да что там перенастривать то? потушили ppp да убрали маршруты Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
Cheerful 0 Жалоба Опубликовано: 8 июля 2015 (изменено) да что там перенастривать то? потушили ppp да убрали маршруты Спасибо! PPP сделал Disable. И, судя по логу, микротик перестал стучаться к провайдеру. Больше ничего не трогал. Изменено 8 июля 2015 пользователем Cheerful Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
vysotsky 9 Жалоба Опубликовано: 9 июля 2015 @Cheerful, раз такие вопросы возникают, то лучше сброс настроек до дефолтных + квиксет. Все, на ipoe дальше все само будет работать как надо. @Golden dragon, убрал кавычки отовсюду - не люблю лишнее. Добавил про l2tp. Перфекционизм для тех, кто пользуется скриптами - вещь необходимая 1 Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
Ni©olas 161 Жалоба Опубликовано: 21 июля 2015 (изменено) Как настроить роутер на работу с SIP телефоном от Билайна? Не знаю, не пользуюсь настройки по-умолчанию (ресет роутера с дефолтным конфигом), район с ipoe. телефон работает (меня слышно, я слышу). mikrotik rb9512n. прошивка 6.30.1 mtr -rc 10 msk.sip.beeline.ru Password: Start: Tue Jul 21 21:17:52 2015 HOST: iMac-user.local Loss% Snt Last Avg Best Wrst StDev 1.|-- router 0.0% 10 0.4 0.4 0.3 0.4 0.0 2.|-- 78.107.125.157 0.0% 10 0.7 0.6 0.5 0.7 0.0 3.|-- vpn250-l0.msk.corbina.net 0.0% 10 0.9 0.7 0.6 1.0 0.0 4.|-- 10.2.248.112 0.0% 10 1.2 1.1 1.0 1.2 0.0 5.|-- ko-crs-be12.corbina.net 0.0% 10 3.0 4.0 1.4 5.2 1.1 6.|-- rti-bb-be7.corbina.net 0.0% 10 2.0 1.9 1.7 2.0 0.0 7.|-- 8m-avp-bb-te2-1.corbina.n 0.0% 10 1.7 1.6 1.2 2.6 0.0 8.|-- 10.25.0.33 0.0% 10 2.4 2.6 2.3 4.0 0.5 9.|-- 10.25.0.50 0.0% 10 1.1 1.1 1.0 1.1 0.0 Изменено 21 июля 2015 пользователем Ni©olas Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах