231 сообщение в этой теме

Disclaimer

Все, что написано ниже — не является ни руководством к действию, ни истиной в последней инстанции. Это лишь моя попытка помочь начинающим пользователям MikroTik настроить роутер для работы в сети Билайн. Конструктивные комментарии/предложения — приветствуются.

 

Область применения

Инструкция предназначена для начинающих пользователей MikroTik - абонентов Билайна, использующих подключение по протоколу L2TP. Проверена на моделях mAP, hAP, RB2011.

С высокой доли вероятности будет работать на всех роутерах MikroTik линейки SOHO.

Если на вашем роутере эта инструкция вдруг не сработала - пишите в комменты/личку - постараюсь адаптировать.

 

Самое важное

MikroTik может делать гораздо больше, чем абсолютное большинство домашних SOHO роутеров. Учитывая его цену, найти ему конкурентов довольно непросто. Вероятно, именно поэтому вы его и купили. Но для того, чтобы использовать его в режиме «больше, чем просто мыльница» вам придется разобраться в основах работы сетей. Недостаточно будет просто следовать инструкциям ниже. Вам придется понять каждую строчку вашего конфига, почему вы написали ее именно так, а никак иначе.

 

Обновление Router OS

Все инструкции ниже написаны исходя из предположения, что у вас установлена ROS версии 6.30 или выше. Начиная с этой версии ROS появилась поддержка

*) pptp & l2tp client: when adding default route, add special exception route for a tunnel itself (no need to add it manually anymore);

Теперь не нужны пляски с бубнами лишние манипуляции со статическими маршрутами, ранее совершенно необходимые для работы в сети Билайн.

Как обновить Router OS

 

Сброс настроек

Все инструкции ниже написаны исходя из предположения, что у вас применены дефолтные настройки. Если вы уже начитались других советов/форумов/статей, попробовали все и вся, окончательно запутались, а все равно ничего не работает — сбросьте настройки на дефолтную конфигурацию.

system reset-configuration

 

Как настроить интернет?

Применить QuickSet Home AP как на картинке

e95f1587e9e4t.jpg

Собственно, после этого вся настройка умещается в 2 команды в терминале:

/interface l2tp-client add name=beeline max-mtu=1460 max-mru=1460 connect-to=tp.internet.beeline.ru user=мой-логин password=мой-пароль profile=default add-default-route=yes default-route-distance=0 disabled=no   
/ip firewall nat add action=masquerade chain=srcnat out-interface=beeline

 

Как открыть порты для торрентов?

Сделать статическим адрес для компа, который будет качать торренты

/ip dhcp-server lease make-static numbers=<номер строки с нужным хостом в выводе /ip dhcp-server lease print>

Настроить NAT

/ip firewall nat add action=dst-nat chain=dstnat dst-port=номер-порта in-interface=beeline protocol=udp to-addresses=IP-компа to-ports=номер-порта
/ip firewall nat add action=dst-nat chain=dstnat dst-port=номер-порта in-interface=beeline protocol=tcp to-addresses=IP-компа to-ports=номер-порта

 

Как настроить файрволл?

Базовую настройку файрволла вы уже сделали QuickSet'ом.

Теперь нужно найти там два правила, связанные с вашим внешним интерфейсом (ether1-gateway), и скопировать их, заменив ether1-gateway на beeline.

 

Перед тем как писать любые другие правила в файрволле — убедитесь, что вы хорошо понимаете маршрутизацию пакетов внутри микротика. Пока не поймете — не пишите никаких других правил.

 

Как настроить локальную сеть Билайна?

В локальной сети билайна (до перехода на 100.*) были некоторые полезные ресурсы: retracker,DC хаб, игрушки. В новой сети это все кануло в лету.Если вас еще не перевели на 100.*, имеет смысл сделать следующее:

Настроить dhcp на получение маршрутов по 249 опции:

/ip dhcp-client option add code=55 name=parameter_request_list value=0x0103062179F9
/ip dhcp-client set 0 dhcp-options=hostname,clientid,parameter_request_list

Открыть порты для торрентов в локальную сеть:

/ip firewall nat add action=dst-nat chain=dstnat dst-port=номер-порта in-interface=ether1-gateway protocol=udp to-addresses=IP-компа to-ports=номер-порта
/ip firewall nat add action=dst-nat chain=dstnat dst-port=номер-порта in-interface=ether1-gateway protocol=tcp to-addresses=IP-компа to-ports=номер-порта

 

Как настроить роутер на работу с SIP телефоном от Билайна?

Не знаю, не пользуюсь :rolleyes:

 

Как настроить роутер на работу с TB от Билайна?

Не знаю, не пользуюсь :rolleyes:

 

Что еще хорошо бы сделать начинающему пользователю MikroTik?

Настроить нового пользователя с full правами, дефолтного admin – задизейблить.

/user add name=myuser group=full password=mypassword
/user disable admin

Запретить бродкаст на внешнем туннельном интерфейсе

/ip neighbor discovery set beeline discover=no

Покурить мануал

Редактировано пользователем vysotsky
2

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Воу-воу, полехчи!

Этот конфиг работает на 951 железке при наличии дефолтного конфига. на ccr1009, как пример, работать не будет.

Почему? Потому что "конфиг по умолчанию" ожидается, где включен NAT, dhcp клиент и т.п.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не думаю, что кто-то покупает в дом ccr1009. Кроме тех кому это надо. А кому надо, то на этом форуме не сидит.

Редактировано пользователем Kuja Leonhart
0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вы серьезно полагаете, что начинающий пользователь домашнего интернета купит себе железку за 400-500$? :rolleyes:

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Хорошо, поставлю вопрос иначе - откуда такая уверенность в наличии дефолтного конифга на 951? Его легко там может не быть вообще или он может отличаться от ваших ожиданий. Именно в таком виде приезжали железки 3-4 годами ранее, без конфига вообще. Сейчас вроде как новая серия rb3011 пошла, там конфиг есть дефолтный? А какой?

ccr1009 привел как пример, на моем устройстве конфига не было вовсе, консольный кабель и вперед, не говоря уже о специфичном bridge-local, который у некоторых таки просто bridge именуется(да-да, по дефолту). Привел его как пример, когда волшебная инструкция не работает.

 

Если уж есть желание, а тем более время - не поленитесь описать настройку железки с 0 без ожидания, что конфиг у нее есть, а так это очередная компиляция соседней темы...Опять найдется дурачек, который таки не разберется с маршрутами или еще с чем.

Как пример годной инструкции/FAQ

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@poisons, если дефолтного конфига вдруг нет, есть кнопочка quick set. С шаблоном Home AP - она сделает всю "предварительную работу" для начинающего пользователя MikroTik. Может, от нее лучше плясать в факе?

 

Писать инструкцию по примеру, как вы привели смысла не вижу. 99% местного контингента ее не осилят никогда.

Я эту инструкцию старался написать для тех, кто не понимает слова дефолтный маршрут и метрика. А настроить микротик очень хочет. Может, с микротиком он за месяц-другой тру-сетевиком станет? :rolleyes:

Ну почему не помочь человеку?

 

С другой стороны, сейчас Билайн на ipoe перейдет - вообще большинство будет квик сетом обходится. И инструкций не надо никаких.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Может, от нее лучше плясать в факе?

Если вы точно знаете, что эта кнопочка делает, то возможно лучше плясать от нее. Желательно что бы результаты нажатия на нее на разных моделях и ревизиях прошивки были бы одинаковы.

А когда билайн переедет таки на IPoE - естественно все эти хороводы вокруг коробки будут не нужны.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если вы точно знаете, что эта кнопочка делает, то возможно лучше плясать от нее. Желательно что бы результаты нажатия на нее на разных моделях и ревизиях прошивки были бы одинаковы.

Вообще не знаю что она делает :rolleyes:

Поэкспериментирую на досуге... о результатах напишу здесь. Только у меня один девайс подопытный. Надо бы, чтобы кто-то еще проверил. Если результаты будут существенно различаться - значит, не видать новичкам микротика однозначной инструкции.

Либо через тернии к звездам, либо ждать им IPoE :D

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Вообще не знаю что она делает

А я уж тем более. Не нажимал. Предлагаю в первом посте указать, что работает для "такой то модели".

На crs125 смогу проверить только к концу августа.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Скинул у себя конфиг на дефолтный.

Там есть все, что надо домашнему пользователю - dhcp, nat, firewall. Потом сделал quick set с home ap - мне только wifi добавил.

Вечером поправлю инструкцию и внесу уточнения насчет проверенных моделей.

 

@poisons, спасибо за важный коммент.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В качестве сравнения брендов по производству роутеров . Согласен что трудно найти конкурента микротику . Но для настройки роутера mikrotik не нужно лесть в корень системы и тем более менять внутренние настройки .... и тем более с бубнами бекать...

Редактировано пользователем strator
0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Обновил шапку.

Комментарии, уточнения, проверки на других моделях - приветствуются :rolleyes:

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не лишним было бы вырубить ip neighbor discovery set numbers=ether1 discover=no на внешних интерфейсах.

Смысла на внешних интерфейсах оно не несет, но лишний бродкаст ни к чему.

Так же по firewall. Тиковские диаграмы прохождения трафика никоим образом не помогут новичку хоть как то настроить себе фаервол, хотя бы на уровне "запретить устройству выход во вне и оставить домашнюю локалку"

Предлагаю в 2 словах пробежаться по основным цепочкам, в которых можно и нужно создавать правила

1) input - там проходит любой трафик, dst которого сам роутер. Изменяя правила в этой цепочке мы можем открывать управление роутером снаружи, разрешить пинг самого роутера снаружи и т.п.

2) forward - там проходит любой трафик, который течет из одного интерфейса роутера в другой. Пример, нам нужно закрыть одному ПК доступ в интернет.

ip firewall filter add action=drop chain=forward src-address=192.168.1.20 in-interface=bridge-local

При этом хорошо бы разобрать полеты с forward с ключами established и related. Ну или хотя бы намекнуть, что они есть%)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот такой конфиг в части discovery и FW у меня накатывает quickset:

/ip neighbor discovery set ether1-gateway discover=no
/ip firewall filter
add chain=input comment="default configuration" protocol=icmp
add chain=input comment="default configuration" connection-state=established,related
add action=drop chain=input comment="default configuration" in-interface=ether1-gateway
add action=fasttrack-connection chain=forward comment="default configuration" connection-state=established,related
add chain=forward comment="default configuration" connection-state=established,related
add action=drop chain=forward comment="default configuration" connection-state=invalid
add action=drop chain=forward comment="default configuration" connection-nat-state=!dstnat connection-state=new in-interface=ether1-gateway
/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" out-interface=ether1-gateway

 

Про discovery - согласен, добавлю его запрет на туннельном интерфейсе.

А вот про FW, думаю не надо добавлять. Дефолтный конфиг делает вполне неплохой набор правил для начинающего домашнего пользователя.

Если написать - для одних будет слишком сложно, другие начнут создавать себе правила во всех цепочках без разбору и жаловаться, что у них ничего не работает. Тем, кто вообще ничего не знает про сетевую маршрутизацию - FW настраивать ни к чему, а кто понимает и хочет настроить - разберется в настройке и без этой инструкции.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Применить QuickSet Home AP как на картинке

e95f1587e9e4t.jpg

Собственно, после этого вся настройка умещается в 2 команды в терминале:

/interface l2tp-client add name=beeline max-mtu=1460 max-mru=1460 connect-to=tp.internet.beeline.ru user=мой-логин password=мой-пароль profile=default add-default-route=yes default-route-distance=0 disabled=no   
/ip firewall nat add action=masquerade chain=srcnat out-interface=beeline

Создал новый профиль по этой схеме , всё работает , но почему-то в квиксете указывается WISP AP , переставляю на HOME AP(с подтверждением ) - на глазах обратно в WISP AP перескакивает . Версия прошивки 6.30rc26

Редактировано пользователем ShurikG
0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создал новый профиль по этой схеме , всё работает , но почему-то в квиксете указывается WISP AP , переставляю на HOME AP(с подтверждением ) - на глазах обратно в WISP AP перескакивает . Версия прошивки 6.30rc26

Возможно, глюк винбокса. Раз уж пробовать беты, так может и его? :rolleyes:

Только я успел написать эту инструкцию - Билайн перешел на IPOE почти во всей Москве. Для него вообще почти ничего настраивать не надо. Но в регионах l2tp еще долго будет - так что пусть живет.

 

Какая железка у вас кстати?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

hap lite rb941-2nd

 

Через этот винбокс -

068e14293a15.png

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не знаю, почему перескакивает на wisp тогда. У меня не скачет. Я на 6.30rc7 сижу сейчас.

Насколько я понимаю, wisp делает все тоже самое, что home - только опций по настройке чуть больше.

 

Подождем релиза, посмотрим как в нем будет.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Такие посты лучше в твиттер писать, ни релиз нотес под катом, ни расшифровки релиз нотес. Зачем?

 

*) wireless - added WMM power save suport for mobile devices;

*) firewall - sip helper improved, large packets no longer dropped;

*) fixed encryption 'out of order' problem on SMP systems;

*) email - fix sending multiple consecutive emails;

*) fixed router lockup on leap seconds with installed ntp package;

*) ccr - made hardware watchdog work again (was broken since v6.26);

*) console - allow users with 'policy' policy to change script owner;

*) icmp - use receive interface address when responding with icmp errors;

*) ipsec - fail ph2 negitioation when initiator proposed key length

does not match proposal configuration;

*) timezone - updated timezone information to 2015e release;

*) ssh - added option '/ip ssh stong-crypto'

*) wireless - improve ac radio coexistence with other wireless clients, optimized

transmit times to not interfere with other devices;

*) console - values of $".id", $".nextid" and $".dead" are avaliable for

use in 'print where' expressions;

*) console - ':execute' command now accepts script source in "{}" braces,

like '/system scripts add source=' does;

*) console - ':execute' command now returns internal number of running job,

that can be used to check and stop execution. For example:

:local j [:execute {/interface print follow where [:log info "$name"]}]

:delay 10s

:do { /system script job remove $j } on-error={}

*) console - firewall 'print' commands now show all entries including

dynamic, 'all' argument now has no effect;

*) ipsec - increase replay window to 128;

*) fixed file transfer on devices with large RAM memory;

*) pptp - fixed "encryption got out of sync" problem;

*) ppp - disable vj tcp header compression;

*) api - reduce api tcp connection keepalive delay to 30 seconds,

will timeout idle connections in about 5 minutes;

*) pptp & l2tp & sstp client: support the case were server issues its tunnel

ip address the same as its public one;

*) removed wireless package from routeros bundle package,

new wireless-fp is left in place and wireless-cm2 added as option;

*) pptp & l2tp client: when adding default route, add special exception route for

a tunnel itself (no need to add it manually anymore); - эту вещь они рожали столько лет....

*) improved connection list: added connection packet/byte counters,

added separate counters for fasttrack, added current rate display,

added flag wheather connection is fasttracked/srcnated/dstnated,

removed 2048 connection entry limit;

*) tunnels - eoip, eoipv6, gre,gre6, ipip, ipipv6, 6to4 tunnels

have new property - ipsec-secret - for easy setup of ipsec

encryption and authentication;

*) firewall - added ipsec-policy matcher to check wheather packet

was/will be ipsec processed or not;

*) possibility to disable route cache - improves DDOS attack

handling performance up to 2x (note that ipv4 fastpath depends on route cache);

*) fasttrack - added dummy firewall rule in filter and mangle tables

to show packets/bytes that get processed in fasttrack and bypass firewall;

*) fastpath - vlan interfaces support fastpath;

*) fastpath - partial support for bonding interfaces (rx only);

*) fastpath - vrrp interfaces support fastpath;

*) fixed memory leak on CCR devices (introduced in 6.28);

*) lte - improved modem identification to better support multiple identical modems;

*) snmp - fix system scripts table;

 

Редактировано пользователем poisons
0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Такие посты лучше в твиттер писать, ни релиз нотес под катом, ни расшифровки релиз нотес. Зачем?

 

Наверное потому что кто ждал 6.30, тем моё сообщение напомнило.

На остальных оно и не расчитывалось.

 

p.s.

По инструкции работает с 0 на RB2011

Редактировано пользователем Golden dragon
0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Действительно очень долгожданное обновление для абонентов билайна.

Я все ждал, кто будет быстрее: микротик с релизом 6.30 или билайн с айпое. В моем случае билайн успел раньше :rolleyes:

1

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Действительно очень долгожданное обновление для абонентов билайна.

Я все ждал, кто будет быстрее: микротик с релизом 6.30 или билайн с айпое. В моем случае билайн успел раньше :rolleyes:

 

Всё равно тема полезная :)

Добавь в шапку что rb2011 протестен и работает по инструкции плз.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@Golden dragon, Спасибо, добавил

1

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@Golden dragon, Спасибо, добавил

А из "с большой долей вероятности будет работать" не убрал :D

И в кавычки возьми как остальные модели в списке работающих... (И да - я хренов перфекционист! :))

Редактировано пользователем Golden dragon
0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Билайн ввёл и у меня Web-авторизацию.

Всё нормально, интернет работает, авторизовался через браузер на компьютере, на ноуте тоже интернет есть.

Только вот микротик по-старинке всё долбится с логинами-паролями, маршрутами и т.д.

Что лучше сделать, перенастроить или оставить как есть - пусть долбит?

Модель RB751G-2HnD, версия почему-то 6.4 (от 12.09.2013)

Редактировано пользователем Cheerful
0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Билайн ввёл и у меня Web-авторизацию.

Всё нормально, интернет работает, авторизовался через браузер на компьютере, на ноуте тоже интернет есть.

Только вот микротик по-старинке всё долбится с логинами-паролями, маршрутами и т.д.

Что лучше сделать, перенастроить или оставить как есть - пусть долбит?

Модель RB751G-2HnD, версия почему-то 6.4 (от 12.09.2013)

да что там перенастривать то? потушили ppp да убрали маршруты :)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

да что там перенастривать то? потушили ppp да убрали маршруты :)

Спасибо!

PPP сделал Disable. И, судя по логу, микротик перестал стучаться к провайдеру. Больше ничего не трогал.

Редактировано пользователем Cheerful
0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@Cheerful, раз такие вопросы возникают, то лучше сброс настроек до дефолтных + квиксет. Все, на ipoe дальше все само будет работать как надо.

 

@Golden dragon, убрал кавычки отовсюду - не люблю лишнее. Добавил про l2tp.

Перфекционизм для тех, кто пользуется скриптами - вещь необходимая :rolleyes:

1

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

Как настроить роутер на работу с SIP телефоном от Билайна?

Не знаю, не пользуюсь :rolleyes:

 

настройки по-умолчанию (ресет роутера с дефолтным конфигом), район с ipoe. телефон работает (меня слышно, я слышу). mikrotik rb9512n. прошивка 6.30.1

 

 

 

mtr -rc 10  msk.sip.beeline.ru
Password:
Start: Tue Jul 21 21:17:52 2015
HOST: iMac-user.local             Loss%   Snt   Last   Avg  Best  Wrst StDev
 1.|-- router                     0.0%    10    0.4   0.4   0.3   0.4   0.0
 2.|-- 78.107.125.157             0.0%    10    0.7   0.6   0.5   0.7   0.0
 3.|-- vpn250-l0.msk.corbina.net  0.0%    10    0.9   0.7   0.6   1.0   0.0
 4.|-- 10.2.248.112               0.0%    10    1.2   1.1   1.0   1.2   0.0
 5.|-- ko-crs-be12.corbina.net    0.0%    10    3.0   4.0   1.4   5.2   1.1
 6.|-- rti-bb-be7.corbina.net     0.0%    10    2.0   1.9   1.7   2.0   0.0
 7.|-- 8m-avp-bb-te2-1.corbina.n  0.0%    10    1.7   1.6   1.2   2.6   0.0
 8.|-- 10.25.0.33                 0.0%    10    2.4   2.6   2.3   4.0   0.5
 9.|-- 10.25.0.50                 0.0%    10    1.1   1.1   1.0   1.1   0.0

 

 

Редактировано пользователем  Ni©olas
0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Зарегистрироваться на нашем форуме.


Register a new account

Авторизоваться

Уже имеете аккаунт? Авторизоваться здесь.


Авторизоваться сейчас