Mikrotik. FAQ

[vadbav3 0]

Добрый день всем!

Начитавшись, какой замечательный Микротик, решил купить hAP AC.

Огромная просьба помочь. Потому что техподдержка послала сюда и молодой человек сказал, что лучше бы я Асус взял... Я просидел всю ночь, вкурил кучу советов и в итоге запутался напрочь....

Вводная: Вологда, L2TP, версия РоутерОС: 6.40.6 , нужен интернет и ТВ (причем две приставки с HDD).

Я не могу его настроить, чтобы хотя бы был Интернет, про ТВ пока и не мечтаю.

А) делаю всё как в "Основные настройки Микротик" в теме форума про Микротик (то есть пытаюсь запустить три команды через терминал):

1) первая команда (интерфейс L2tp) нормально запускается,

2) а вот при попытке запустить вторую команду, выдается "не найден такой интерфейс", если правильно понимаю, то речь идет о ether1-gateway. Если запустить вторую команду с 

interface=ether1

то всё нормально (если до начал команды отключить уже имеющийся ether1, иначе он выдает, что уже есть такой и команда не исполняется.

3) третья команда исполняется.

 

Интернет не появляется. При попытке отпинговать выдает, что не найдены DNS

И сейчас уже не помню где, но встречал, что "l2tp не готов" или что-то в этом роде (вроде в IP-Firewall-NAT)

Попробовал какую-то инструкцию мега мудреную с пропиской всяких айпи и прочего, на удивление что-то заработало (по вай-фай появился интернет, но очень медленный: 20мбит вместо 100 положенных), но по локалке он не раздавался, поэтому я снес эти настройки, так как было полчетвертого утра и я уже вообще не понимал, что делал.

 

Я так понимаю, что проблема в том, что у меня нет какого gateway (он везде в ЧАВО встречается и даже в этих трех командах) или еще в чем-то :)))))

Я понимаю, что прошу очень многого, но есть какая-то возможность загрузить рабочий конфиг на мой hap ac? или как-то мне объяснить на пальцах, как настроить, чтобы всё работало (и интернет, и два тв). Если есть в Вологде специалисты, я готов компенсировать ваше потраченное время! Или же дистанционно.

Спасибо, если откликнетесь. Так обидно, специально потратился на хорошую мощную вещь с запасом (5 герц), а даже настроить не могу...

 

P.S. Приношу извинения, если путанно объясняю, ребенок разбудил в семь утра, собирать конструктор лего, так что спал всего три часа...

Изменено 21 апреля 2018 пользователем vadbav3
вспомнил, где увидел

[ Ni©olas 156]

@vadbav3 тут ест основные настройки для микротика, собранные по всему форуму. общие рекомендации: сбросить настройки к дефолтны, обновить до последней актуальной прошивки, базовая настройка безопасности роутера. после этого можно пробовать поднять l2tp соединение, настроить роутинг и маскарад.

по поводу тв, рекомендуемый провайдером способ просмотра - настройка через "тв-порт".

[vadbav3 0]

Николас, я пробовал так два раза (сбрасывал, потом три команды).

Может быть дело в "базовая настройка безопасности роутера". Этого я не делал, так как не знаю, что это и откуда взять? И как настроить? Спасибо, что откликнулись!!!

 

[ Ni©olas 156]

актуальная прошивка для hAP AC - 6.42 на момент написания сообщения.

базовая настройка безопасности, как я ее называю, это дополнительные настройки после применения дефолтного конфига после сброса настроек. заключается она в создании нового пользователя с полными правами и отключением учетки admin. еще можно отключить все сервисы по удаленному доступу из вне, если не планируете настраивать роутер не из дома. и просмотр с напильником дефолтных настроек firewall.

вот после этого можно начинать настройку тв-порта для подключения приставки, и настройку l2tp соединения.

хотя, можно обновить прошивку после настройки интернета. шаг 1 - сброс конфига к заводским настройкам и применение дефолтного конфига. шаг 2 - настройки базовой безопасности. шаг 3 - настройка тв-порта. шаг 4 - настройка интернета.

Изменено 21 апреля 2018 пользователем  Ni©olas

[vadbav3 0]

Николас, спасибо!

И правда, не заметил, что немного поновее.

Обновил (правда, как-то очень быстро, но показывает, что теперь 6.42).

Сбросил. Как делать нового пользователя, увы, пока не разобрался. Напильником работать не умею, к своему стыду, поэтому просто отключил все правила в файрволе.

Вот что показывает (прилагаю скрины)

 

 

 

Изменено 21 апреля 2018 пользователем vadbav3

[vadbav3 0]

вот скрины. Интернет так и не поднялся. Пишет, что l2tp NOT READY

Изменено 22 апреля 2018 пользователем  Ni©olas
добавил спойлер

[ Ni©olas 156]

тунель не поднят. покажите настройки тунеля

[vadbav3 0]

Николас, я увы, даже не знаю, что это. прилагаю скрины routes  и bridge, если это не то, подскажите, пожалуйста, где их взять через винбокс?

 

 

Изменено 21 апреля 2018 пользователем vadbav3

[vadbav3 0]

Изменено 22 апреля 2018 пользователем  Ni©olas
добавил спойлер

[ Ni©olas 156]

в winbox PPP-Interface. там дабл клик по созданному ранее тунелю и скрины первых двух вкладок

[vadbav3 0]

Вот такое там

Изменено 22 апреля 2018 пользователем  Ni©olas
добавил спойлер

[ Ni©olas 156]

во вкладке new terminal введите ping tp.internet.beeline.ru посмотрим, видит ли сервер билайна ваш роутер

[vadbav3 0]

Николас, вообще не видит. Как  я понял, что-то с мак-адресом и днс

Изменено 22 апреля 2018 пользователем  Ni©olas
добавил спойлер

[ Ni©olas 156]

да, не видит ваш роутер адрес. возможно проблемы в днс. как настроен ip-dhcp-client и ip-dns ?

[vadbav3 0]

вот так. я тут сам ничего не менял, то есть дефолтные настройки (плюс три команды)

Изменено 22 апреля 2018 пользователем  Ni©olas
добавил спойлер

[vadbav3 0]

Изменено 22 апреля 2018 пользователем  Ni©olas
добавил спойлер

[ Ni©olas 156]

нет маршрута в сеть билайн, хотя должен быть на 10 подсеть

Изменено 22 апреля 2018 пользователем  Ni©olas

[vadbav3 0]

Стал копаться, оказалось, что почему-то в квиксетапе поменялась галка с автоматик на Статик. Вернул обратно. Интернет не появился, пинг тоже даёт ошибку, что не видит мак и днс, но в разделе роут-лист появилось вот это. Что теперь делать?

Изменено 22 апреля 2018 пользователем  Ni©olas
добавил спойлер

[vadbav3 0]

Где-то встречал (вроде даже здесь), что при подмене мак-адреса (со старого роутера), Микротик начинает работать.

[ Ni©olas 156]

вообще, очень странный конфиг. предлагаю сделать сброс конфига, применение дефолтного конфига и выложите тут выхлоп команды export из терминала winbox. провод билайна при этом должен быть подключен в порт 1. wi-fi пока не настраивайте.

Изменено 22 апреля 2018 пользователем  Ni©olas

[vadbav3 0]

сделал reset congiguration.

После входа через винбокс появилось вот такое окно (два скрина). А команда учзщке дала вот такой результат. Я ничего не настраивал не менял. в тексте мак-адрес поменял на хх-хх-хх-хх-хх

[admin@MikroTik] > export
# jan/02/1970 00:04:05 by RouterOS 6.42
# software id = IA8V-GGVS
#
# model = RouterBOARD 962UiGS-5HacT2HnT
# serial number = 8A7708DD88DA
/interface bridge
add admin-mac=xx:xx:xx:xx:xx:xx auto-mac=no comment=defconf name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \
    disabled=no distance=indoors frequency=auto mode=ap-bridge ssid=\
    MikroTik-6BDA54 wireless-protocol=802.11
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=20/40/80mhz-Ceee \
    disabled=no distance=indoors frequency=auto mode=ap-bridge ssid=\
    MikroTik-6BDA53 wireless-protocol=802.11
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=sfp1
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
    192.168.88.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=ether1
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
    invalid
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=\
    out,none out-interface-list=WAN
/system routerboard settings
set silent-boot=no
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
 

Изменено 22 апреля 2018 пользователем  Ni©olas
добавил спойлер

[ Ni©olas 156]

так. теперь с подключенным билайновским кабелем в первый порт выхлопы команд

/ip address print

/ip route print
 

[vadbav3 0]

Николас, получается вот так:

	[admin@MikroTik] > /ip address print
Flags: X - disabled, I - invalid, D - dynamic 
 #   ADDRESS            NETWORK         INTERFACE                                                                                                                                                            
 0   ;;; defconf
     192.168.88.1/24    192.168.88.0    bridge                                                                                                                                                               
 1 D 10.84.0.217/21     10.84.0.0       ether1
	

                                                                                                                                                              
[admin@MikroTik] > /ip route print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit 
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 ADS  10.0.0.0/8                         10.84.0.1                 1
 1 ADC  10.84.0.0/21       10.84.0.217     ether1                    0
 2 ADS  78.107.196.0/22                    10.84.0.1                 1
 3 ADC  192.168.88.0/24    192.168.88.1    bridge                    0
[admin@MikroTik] > 
	

 

Изменено 22 апреля 2018 пользователем  Ni©olas
добавил спойлер

[ Ni©olas 156]

теперь должен пинговаться сервер билайна. введите команду, заменив логин и пароль на свои. и после показать результат  еще одной команды  /interface print

	/interface l2tp-client
add add-default-route=yes allow=chap allow-fast-path=yes connect-to=tp.internet.beeline.ru disabled=no max-mru=1500 max-mtu=1460 mrru=1600 name=Beeline password=PaSw0Rd user=user_name
	

Изменено 22 апреля 2018 пользователем  Ni©olas

[vadbav3 0]

Николас, сделал. Вот что получается (заменил мак-адрес на хх):

	[admin@MikroTik] >> interface print       
Flags: D - dynamic, X - disabled, R - running, S - slave 
 #     NAME                                TYPE       ACTUAL-MTU L2MTU  MAX-L2MTU MAC-ADDRESS      
 0  R  ether1                              ether            1500  1598       4074 xx:xx:xx:xx:xx:4D
 1  RS ether2                              ether            1500  1598       4074 xx:xx:xx:xx:xx:4E
 2   S ether3                              ether            1500  1598       4074 xx:xx:xx:xx:xx:4F
 3   S ether4                              ether            1500  1598       4074 xx:xx:xx:xx:xx:50
 4   S ether5                              ether            1500  1598       4074 xx:xx:xx:xx:xx:51
 5   S sfp1                                ether            1500  1600       4076 xx:xx:xx:xx:xx:52
 6   S wlan1                               wlan             1500  1600       2290 xx:xx:xx:xx:xx:54
 7   S wlan2                               wlan             1500  1600       2290 xx:xx:xx:xx:xx:53
 8     Beeline                             l2tp-out  
 9  R  ;;; defconf
       bridge                              bridge           1500  1598            xx:xx:xx:xx:xx:xx
[admin@MikroTik] >> 
	

Изменено 22 апреля 2018 пользователем  Ni©olas
добавил спойлер

[vadbav3 0]

Забыл уточнить, до прописки интерфейса л2тп пинг не проходил опять выдавал ошибку мак и днс

[ Ni©olas 156]

соединение настроено, но оно не поднялось. значит от провайдера что-то не пришло. хотя у меня тунель поднялся с дефолтной настройкой и одной введенной команды.

посмотрите видео, возможно там будет решение проблемы маршрутов

 

[vadbav3 0]

Николас, спасибо. И отдельное спасибо, что водитель со мной.

Там, конечно, начало видео не обнадеживает ("это видео для тех, кто разбирается в бу-бу-бу..."

Если реально проблема на стороне Билайна, то чувствую , буду продавать Микротик, при попытке к ним обратиться, посылают на форум.

Но покупаю видео, может, что там есть...

[ Ni©olas 156]

что пишет /ip dns print ? если пусто попробуйте добавить днс адреса билайна

	/ip dns
set allow-remote-requests=yes servers=85.21.192.3
set allow-remote-requests=yes servers=213.234.192.8
	

Изменено 26 июля 2018 пользователем  Ni©olas

[vadbav3 0]

Вот что там было (скрин).

Добавил два маршрута, как вы предложили, в итоге пинг ничего не даёт (потери 100% пакетов). 

Изменено 23 апреля 2018 пользователем  Ni©olas
добавил спойлер