avatar Прямые руки Настройка MikroTik RouterBoard RB951G-2HnD (MikroTik+L2TP Beeline)

Всем привет.
Так уж получилось, что мой Netgiar, который отработал более 4х лет, пал смертью храбрых, он меня всем устраивал, но я его покупал за 3500 руб, а сейчас он стоит 6800 руб-я в шоке от таких ценников, за немного более продвинутый машрутизатор хотят уже 8-12 тыс. руб. В общем, мы с жабой, краями разойтись не смогли…
Давно я слышал про сетевое оборудование от MikroTik, а учитывая что даже «мыльница» от D-link стоит дороже MicroTik + у последнего процессор мощнее, нормальная операционная система внутри и порты гигабитные, в общем думал я не долго, да и выбор был очевиден.

Короче, я стал счастливым обладателем MikroTik RouterBoard RB951G-2HnD Это была присказка, а вот мякотка начинается дальше.
В ходе плясок с бубном выяснилось что, в «нерезиновой» Пчелайн, отнесся к сетевым стандартам «положительно», а именно, взял и «положил» на них, а MikroTik добросовестно их выполнил, тем самым «положив» на Beeline, а я, как пользователь, оказался по середине, естественно без этих ваших интернетов котиков, сисек и прочего сетевого непотребства, короче, преферанса нет, доступных женщин тоже, беда-печаль.
Об этой железке можно сказать вот что, если вам мало обычного роутера, и вы подумываете об установке полноценного шлюза под управлением Linux/FreeBSD (я проходил через этот вариант, работало отлично скорость совершенно не резало) или прости господи Windows, то я вам настоятельно рекомендую посмотреть в сторону этого девайса, скорость совершенно не режет и работает очень стабильно, электричества потребляет копейки, тих и место практически не занимает, ну а если вы хотите за 10 мин все настроить и не париться а также требуется глянцевый корпус и множество разноцветных маргалок, смотрите в направлении сетевого оборудования потребительского класса, там все уже сделано со стороны производителя, остается включить и добавить настройки куда подключаться, но что-то нетривиальное уже не сделать, например, у меня еще проброшен VPN канал на работу, так что из дома я могу по локалке ходить в офис, пользоваться сетевыми принтерами, подключить VoIP телефон к внутреннему серверу Asterisk и использовать другие сетевые сервисы необходимые мне в работе.

Update от 22.12.2015
В сети beeline изменились настройки теперь настраивать маршруты, добавлять параметры DHCP клиента и настраивать соединения L2TP не нужно, эти пункты в мануале можно смело пропускать. Если у вас уже настроен роутер, по данной статье, и сейчас интернет у ваc не работает, то прошу ознакомиться со статьей по способу устранения этой проблемы: Ремонтируем подключение интернет Beeline после изменения работы сети 22.12.2015 на роутере Mikrotik
Если вы настраиваете маршрутизатор впервые и в вашей сети, Beeline использует web авторизацию, то нужно использовать обновленный вариант статьи Настройка MikroTik RouterBoard RB951G-2HnD (MikroTik+Beeline WEB авторизация) он на 100% актуален для Москвы, ну а если у вас все еще используется L2TP, то читаем дальше.

Что мы имеем в наличии

MikroTik RouterBoard RB951G-2HnD-1шт
сетевой кабель от Beeline
Второй комп подключенный к маршрутизатору
У роутера есть 5 сетевых портов + Wi-Fi

Порт №1 будет у нас подключен к сети beeline
Порты с 2-4, а также WLAN1 будут обслуживать локальную сеть.

Все действия выполнялись на MikroTik RouterOS 6.24 версия прошивки 3.19.
После прочтения этой статьи вы поймете, что настроить данный маршрутизатор не сложнее чем приготовить блюдо из доступных ингредиентов, для начала, возьмем пару кило свежих трюфелей, ну и погнали…

Займемся настройкой

Для начала нам нужно зайти в маршрутизатор и выполнить сброс настроек, маршрутизатор не имеет настроек сети и по этому мы будем подключаться по MAC адресу в Winbox, который можно скачать с сайта производителя

первым делом идем в System-> Reset configiration
и выподняем сброс настроек роутера, устновив галку No Default Configuration


Ждем когда система перезагрузится и снова заходим через Winbox
Для начала нам нужно определиться, какие сетевые интерфейсы будут обслуживать локальную сеть.
Обычно ether1 подключают к сети провайдера, остальные интерфейсы обслуживают локальную сеть.
Чтобы не путаться, переименуем ether1 в ether1-ext, чтобы было понятно что это внешний интерфейс (external), который смотрит в сеть провайдера, идем в Interfaces и переименовываем интерфейс ether1


в ether1-ext


IP адреса в сети beeline раздаются по DHCP, поэтому нам необходимо настроить DHCP клиента, который эти настройки будет запрашивать, для этого нам нужно его создать и немного настроить, для этого переходим в IP->DHCP Client жмем на +
Нам необходимо указать какой интерфейс будет слушать наш клиент это ether1-ext (который подключен к сети Beeline) также укажем метрику для этого маршрута, по умолчанию там стоит 0, а мы установим значение 10.
Метрика говорит о том, какой приоритет у данного подключения, чем метрика ниже тем приоритет выше!


Нажимаем OK и откроем вкладку IP -> Routers
У вас прилетели какие-то маршруты, в вашем случае, они, скорее всего, будут другими, но сути это не меняет.

Update от 3.06.15
В мае месяце Beeline изменил IP адресацию в своей локальной сети, теперь используется подсеть 100.ххх.ххх.ххх, но это ничего не меняет, просто теперь необходимо добавлять маршруты через шлюз, который начинается на 100, а далее все как обычно.
Алгоритм настройки устройства остался старый и состоит из следующих шагов:
1) Избавиться от маршрута в локальную сеть билайна 0.0.0.0/0 -добавляем опцию DHCP клиенту
2) Прописываем маршрут к DNS серверам
3) Выясняем в какой подсети находятся VPN сервера
4) Прописываем маршрут в подсеть к VPN серверам
5) Настраиваем подключение к интернет



В списке у нас есть маршрут 0.0.0.0/0-который нам совершенно не подходит, да и маршрутов маловато, необходимо добавить опцию для DHCP-клиента, идем во вкладку DHCP Cleant Options и добавляем новую опцию со следующими значениями:

Переносим точно так как написано т.к. это важно!
DHCP Clent options
Name: parameter_request_list
Code: 55
Valie: 0x01F90321062A


Чтобы выглядело


Жмем ОК и нам остается добавить данную опцию в наш DHCP клиент
Открываем настройки DHCP клиента и в пункте DHCP options добавим параметр parameter_request_list как указано на скриншоте.


Вернемся к окну с маршрутами и видим что список маршрутов пополнился, а именно:

И нет маршрута 0.0.0.0/0, от которого нам требовалось избавиться.

Зайдем в настройки DHCP client и во вкладке Status посмотрим какие настройки к нам приехали от провайдера (свой IP я закрасил!)


Как видно, из скриншота, мы получили настройки DNS серверов, но не получили адрес шлюза, это создает небольшую проблему, которую мы сейчас решим
Проблема в том что система не знает куда ей отправлять пакеты, которые отправлены адресам 85.21.192.3 и 213.234.192.8, мы можем логично предположить что шлюз, в сети провайдера, знает куда отправлять эти пакеты, шлюзом в моей локалке является IP 10.142.0.1 (смотрите предыдущий скриншот в столбце Gateway), но в списке маршрутов нет подсетей 85.21.192.0, 213.234.192.0, чтобы это исправить нам необходимо добавить маршрут руками.
Для начала пропишем статический маршрут к 85.21.192.3


Где:
85.21.192.3- целевой IP адрес
10.142.0.1 — адрес шлюза
Все остальные значения оставляем по умолчанию.
Тогда запись читается так: Все пакеты отправляемые адресу 85.21.192.3 передавать шлюзу 10.142.0.1, который знает куда их отправлять дальше.

Те же действия мы приводим для IP 213.234.192.8

Как читается данная запись?!

В результате у нас появиться 2 новых статических маршрута, на скриншоте подчеркнуто красным:


Давайте проверим что маршруты добавлены правильно и мы можем постучаться до DNS серверов.
Открываем New Terminal
Выполним ping DNS серверов beeline

Команда
ping 85.21.192.3

Тоже самое делаем и со вторым DNS сервером.

Из скриншота видно что пакеты доходят нормально.

Осталось проверить доступность VPN серверов
Адрес VPN сервера Beeline tp.internet.beeline.ru
Попробуем его пинговать, через окно терминала маршрутизатора

ping tp.internet.beeline.ru


Мы видим что пинги не проходят т.к. нет маршрута, нам требуется и его прописать руками.
Для начала нам нужно выяснить, какой IP адрес выдается DNS сервером, т.к. балансировка нагрузки vpn серверов, у Beeline, осуществляется с помощью DNS.
Попробуем узнать какой IP адрес выдается при запросе tp.internet.beeline.ru

Выполним команду 2 раза
put [:resolve tp.internet.beeline.ru]

У меня DNS выдал адреса 85.21.0.250 и 85.21.0.252 в вашем случае они, скорее всего, будут другими!



Пропишем маршрут к этой подсети.
Переходим в IP->Routers, если это окно вы закрыли с прошлого раза, и прописываем маршрут, как и прошлый раз, только в Dst.Adreess указываем не IP адрес, а целую подсеть с маской 24 бита- 85.21.0.0/24
шлюз, как и в прошлый раз, 10.142.0.1 (смотрите кокой шлюз к вам приходит по DHCP!)

Пробудем пинговать tp.internet.beeline.ru и видим что пинги нормально проходят т.к. мы создали статический маршрут в эту подсеть.



Настройка VPN подключения к интернет по L2TP
Раз уж мы прописали маршруты к VPN серверам, то нам можно приступить к настройке подключения к интернет.
Переходим в раздел PPP и переходим во вкладку Profiles
Создадим профиль для нашего подключения, назвать его можно по своему усмотрению, я назвал beeline-L2TP, а в поле Remote Adress указываем IP адрес который будет НЕ доступен в локальной сети провайдера, я выбрал 192.168.255.254, нам также нужно разрешить менять размер MSS в строке Change TCP MSS устанавливаем в положение YES остальные параметры, в этой вкладке, не меняем


Переходим во вкладку Protocols тут все переставляем на NO:

Никаких других настроек профиля, мы не меняем! Жмем OK и наш профиль готов, переходим к настройке подключения L2TP.

Возвращаемся во вкладку Interface и нажимаем на + и выбираем L2TP Client
Придумываем имя для подключения у меня это l2tp-beeline
В полях Max MTU и Max MRU указываем 1420 это важно поле MRRU делаем неактивным, нажав на выпадающее меню (все что менялось помечено красным!)


Переходим во вкладку Dial Out (все что менялось помечено красным!)

В поле Connect To указываем адрес VPN сервера, а это tp.internet.beeline.ru
в поле User указываем ваш логин, который указан в договоре
в поле Password ваш пароль, для подключения к интернет
в поле Profile указываем профиль который мы создали ранее beeline-L2TP
Ставим галку Add Default route
А в поле Default Route Distance указываем 1
В пункте типы шифрования, уберем все галки и оставим только на chap
После этого жмем OK и подключение к интернет установлено, маршрутизатор сам подключится, нам остается только проверить работу, возвращаемся в окно New Terminal и пробуем выполнить пинг yandex



Если пинги проходят, то примите мои поздравления, соединение установлено и все сделано правильно, если не работает, то проверяйте параметры, где-то ошибка.
Если мы попробуем выйти в интернет с наших клиентских устройств, то у нас ничего не получится т.к. не настроена локальная сеть и не прописаны правила для фаерволла для перенаправления пакетов т.е. NAT- из локальной сети и обратно, давайте это исправим…

Настраиваем локальную сеть
Настроим работу локальной сети и доступа по Wi-Fi т.к. у меня нет «свинцовых трусов», а мощность передатчика составляет 1Вт ( что много для однокомнатной квартиры) я решил понизить мощность Wi-Fi передатчика, мы будем настраивать все что коснется внутренней сети в этом разделе.

Все интерфейсы, которые обслуживают локальную сеть, будут объединены в сетевой мост, нам необходимо создать мост, а потом добавить мнтерфейсы, перейдем в раздел Bridge, жмем на +


Добавляем новый мост, bridge1-lan чтобы было понятно за что он отвечает (Local Area Network)


Он появится в списке, теперь нам необходимо добавить в него интерфейсы, переходим во вкладку Ports


Добавляем интерфейсы начиная со ether2 т.к. первый у нас подключен к провайдеру


Сетевой порт добавлен, тоже делаем с остальными


Мы добавили все порты начиная от ether2 и заканчивая wlan1


Теперь нам необходимо добавить адрес для нашей внутренней сети, переходим в IP-> Addresses, жмем + и добавляем IP адрес, наша внутренняя сеть будет иметь адресацию 192.168.1.1 и маской подсети 24 бита что соттветсвует 255.255.255.0 ну и указываем интерфейс, к которому мы все это применим на это у нас bridge1-lan




Чтобы не настраивать руками адреса на клиентских машинах, мы настроим сервер DHCP, переходим в IP->DHCP server нас интересует кнопка DHCP setup и с помощью мастера настроим наш сервер


Указываем интерфейс, который будет использоваться нашим DHCP сервером, а это bridge1-lan


Адресное пространство 192.168.1.0/24


Адрес шлюза, а это наш маршрутизатор, который имеет адрес 192.168.1.1


Укажем размер пула IP адресов, котоые будут выдаваться клиентским устройствам, т.е. мы можем подключить к нашей сети 253 устройства.


IP адреса DNS серверов, которые будут виданы клиентам нашей локальной сети, т.к. сам роутер не умеет разрешать DNS запросы (да это и не его задача), то запросы будут перенаправляться серверам провайдера, можете указать там что вам угодно, например сервера гугла 8.8.8.8


Указываем время аренды адреса, по умолчанию это 3 дня


После выполнения всех действий, мы получаем окно с уведомлением об успешной настройке. Теперь мы можем перезапустить сетевой интерфейс на клиентской машине (или просто выдернуть кабель подключения локальной сети) и мы получим IP адрес от нашего маршрутизатора (адреса выдаются начиная с последнего-такая особенность!), но в интернет мы, пока, выйти не можем т.к. не настроена маршрутизация между нашей локальной сетью и сетью провайдера.


Переходим в IP->Firewall далее во вкладку NAT и создаем новое правило.
Мы разрешим выход в интернет в поле Chain выбираем srcnat в поле Src.Address указываем нашу внутреннюю подсеть 192.168.1.0/24, а в качестве выходного интерфейса, указываем наше VPN подключение к l2tp-beeline и переходим во вкладку Actions


Тут нам необходимо указать какие действия мы применим для пакетов, которые попадают под действия данного правила, а это у нас masquerade жмем OK и правило сохранено.


Создадим разрешающее правило для того чтобы мы могли не только выйти в интернет, но в сеть провайдера, создаем второе правило, только выходной интерфейс у нас будет ether1-ext


Действия, для данного правила, те же


У нас появилось 2 правила маршрутизации пакетов из нашей внутренней сети в сеть провайдера и в подключение L2TP


Проверяем доступность интернет, с клиентского устройства, попинговав yandex, если пакеты бегают, то ваша сеть работает нормально, примите мои поздравления, вам осталось настроить Wi-fi ну и некторые мелочи.


Навастриваем доступ в сеть по Wi-Fi

Для начала, нам необходимо перейти в меню Wireless оттуда в Security Profiles

Создаем профиль безопасности для нашего беспроводного подключения, там уже есть готовый профиль, но мы его использовать не будем, а создадим свой, жмем + придумываем для него имя, я его назвал my Wi-Fi ну и типы аутентификации, желательно оставить только WPA2 PSK т.к. WPA менее безопасный, но это уже решите сами, так что оставляем как есть ну и укажим ключи WPA и WPA2 минимум 8 символов.


Вернемся во вкладку Interfaces беспроводной интерфейс, в данный момент, не активен (выключен), заходим и настраиваем его


Указываем режим работы ap_dridge, частоты для работы, если есть старое оборудование которое не поддерживает стандарт N, я на всякий случай включил B,G,N если какие-то определенные диапазоны, то их всегда можно выставить, но это уже вам в качестве домашнего задания.
SSID -имя сети которое мы будем видеть и по нему подключаться, у меня оно называется Howitmake, можно назвать так как вам нравится больше.
В строке профиля безопасности вбираем профиль который мы создали my Wi-Fi и открываем расширенный режим, чтобы нам можно было управлять мощностью передатчика нажимаем кнопку Advanced Mode все что менялось выделено красным:


нам необходимо найти вкладку TX Power и вот тут возможны варианты, я задал мощность для всех диапазонов, выбрав all rates fixed по умолчанию там стоит 17 dBm я уменьшил до 15, если требуется максимальная дальнобойность, то можно задать 30 dBm, для справки, при установке 20dBm интернет ловится во дворе с помощью телефона, а при 15 всего 1-2 палки сила сигнала, ну а 30 я не ставил, нет необходимости! В общем мощность передатчика настраивается довольно гибко, но это уже вам в качестве факультатива…


Повышаем уровень безопасности устройства

В системе у нас имеется пользователь admin, который обладает большими правами на оборудовании, но не имеет пароля может заходить со всех интерфесов, чтобы это исправить переходим в System -> Users и видим там нашего пользователя admin самое правильное это создать учетную запись с другим именем и паролем, а эту выключить, но можно и ее настроить


Заходим в настройки учетной записи, разрешим вход только из внутренней сети 192.168.1.0/24, ну и придумаем для него пароль, да подлиннее, все что нужно сделать выделено красным.


На роутере есть службы, которые торчат во внешний мир, если вы ими не будете пользоваться, то их надо отключить- в целях бехопасности (то что не используется, должно быть выключено!)
Вырубаем все, оставим только возможность входа по Winbox и то только из нашей локальной сети.


В процессе настройки я умудрился собрать все грабли что были доступны, теперь все работает нормально, пришлось убить целые выходные, правда с перерывом, но все равно, времени ушло прилично…
Основной проблемой является то что интернет работает, но некоторые сайты все равно не открываются через Microtik, данная проблема связана с размером MTU и MRU, ставьте 1420 и все будет работать как часы.

На этом я пожалуй закончу свой рассказ, спасибо что дочитали до конца.
Ну и как всегда, если нашли ошибку пишите в личку или на почту, возникли вопросы, прошу в комментарии…

Ну и результат того что мне удалось из него выжать.


К роутеру можно прикрутить DNS имя, о том как это сделать можно прочитать в статье Использование DDNS в MikroTik
Все что касается оборудования Mikrotik можно посмотреть в на этой странице

77 комментариев

avatar
У нас почему то отказались от микротика — отваливается впн постоянно, некоторые вообще зависали, сейчас хотят купить ZyWALL USG 20 — не попадался вам такой девайс?
avatar
Нет не доводилось.
avatar
подскажите, пожалуйста.
голову сломал уже.
спотыкаюсь на пинге tp.internet.beeline.ru
[admin@MikroTik] > put [:resolve tp.internet.beeline.ru]
85.21.59.43
[admin@MikroTik] > put [:resolve tp.internet.beeline.ru]
85.21.59.33
[admin@MikroTik] > ping tp.internet.beeline.ru         
  SEQ HOST                                     SIZE TTL TIME  STATUS           
    0                                                         no route to host 
    1                                                         no route to host 
    2                                                         no route to host 
    sent=3 received=0 packet-loss=100% 


моя таблица маршрутизации
[admin@MikroTik] /ip route> print
Flags: X - disabled, A - active, D - dynamic, 
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, 
B - blackhole, U - unreachable, P - prohibit 
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 ADS  10.0.0.0/8                         10.174.40.1              10
 1 ADC  10.174.40.0/21     10.174.41.28    EXT10-MAIN                0
 2 ADS  78.107.196.0/22                    10.174.40.1              10
 3 A S  85.21.0.0/24                       10.174.40.1               1
 4   S  85.21.0.0/24                       10.174.40.1               1
 5 X S  85.21.59.43/32                     10.174.40.1               1
 6 A S  85.21.192.0/24                     10.174.40.1               1
 7 ADC  192.168.88.0/24    192.168.88.1    LAN1-MAIN                 0
 8 A S  213.234.192.0/24                   10.174.40.1               1
 9 ADS  233.32.240.0/24                    EXT10-MAIN               10


а вот эта в роутере АСУС
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
85.21.192.3     10.174.40.1     255.255.255.255 UGH   1      0        0 MAN
213.234.192.8   10.174.40.1     255.255.255.255 UGH   1      0        0 MAN
85.21.59.43     10.174.40.1     255.255.255.255 UGH   1      0        0 MAN
233.32.240.0    10.174.41.69    255.255.255.0   UG    0      0        0 MAN
192.168.1.0     *               255.255.255.0   U     0      0        0 LAN
78.107.196.0    10.174.40.1     255.255.252.0   UG    0      0        0 MAN
10.174.40.0     *               255.255.248.0   U     0      0        0 MAN
10.0.0.0        10.174.40.1     255.0.0.0       UG    0      0        0 MAN
default         85.21.59.43     0.0.0.0         UG    0      0        0 WAN
default         10.174.40.1     0.0.0.0         UG    1      0        0 MAN
avatar
Здравствуйте.
У вас нет маршрута куда отправлять пакеты предназначенные IP адресам 85.21.59.43 и 85.21.59.33
В вашем случае, шлюз в вашей локальной сети 10.174.40.1 тогда все пакеты адресованные IP адресу 85.21.59.43 отправлять шлюзу 10.174.40.1, а он уже знает куда их дальше протолкнуть.
Логику уловили?
После прописывания маршрута должны идти пинги к этим IP адресам

Эта картинка подойдет как нельзя лучше
Где:
85.21.192.3- целевой IP адрес (добавьте IP днс сервера)
10.142.0.1 — адрес шлюза (добавьте IP вашего шлюза)
avatar
видимо, не уловил.
я прописываю все, что дает put [:resolve tp.internet.beeline.ru]
а там получается уже 4 адреса.

#      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 ADS  10.0.0.0/8                         10.174.40.1              10
 1 ADC  10.174.40.0/21     10.174.41.28    EXT10-MAIN                0
 2 ADS  78.107.196.0/22                    10.174.40.1              10
 3 A S  85.21.0.0/24                       10.174.40.1               1
 4   S  85.21.0.0/24                       10.174.40.1               1
 5 A S  85.21.59.33/32                     10.174.40.1               1
 6 A S  85.21.59.41/32                     10.174.40.1               1
 7 A S  85.21.59.42/32                     10.174.40.1               1
 8 A S  85.21.192.0/24                     10.174.40.1               1
 9   S  85.21.192.3/32                     10.142.0.1                1
10 A S  89.179.0.0/24                      10.174.40.1               1
11 A S  89.179.76.8/32                     10.174.40.1               1
12 ADC  192.168.88.0/24    192.168.88.1    LAN1-MAIN                 0
13 A S  213.234.192.0/24                   10.174.40.1               1
14   S  213.234.192.8/32                   10.142.0.1                1
15 ADS  233.32.240.0/24                    EXT10-MAIN               10

+ у меня несколько раз сменились ДНС — последняя цифра. я прописал подсеть для них. так нельзя?

пинг идет
[admin@MikroTik] > ping 85.21.59.33
  SEQ HOST                                     SIZE TTL TIME  STATUS                    
    0 85.21.59.33                                56 250 1ms  
    1 85.21.59.33                                56 250 0ms  
    sent=2 received=2 packet-loss=0% min-rtt=0ms avg-rtt=0ms max-rtt=1ms 

[admin@MikroTik] > ping 85.21.192.3
  SEQ HOST                                     SIZE TTL TIME  STATUS                   
    0 85.21.192.3                                56 244 45ms 
    1 85.21.192.3                                56 244 45ms 
    2 85.21.192.3                                56 244 45ms 
    sent=3 received=3 packet-loss=0% min-rtt=45ms avg-rtt=45ms max-rtt=45ms
avatar
все, пинг до ВПН есть
[admin@MikroTik] > ping 85.21.192.3
  SEQ HOST                                     SIZE TTL TIME  STATUS                   
    0 85.21.192.3                                56 244 45ms 
    1 85.21.192.3                                56 244 45ms 
    2 85.21.192.3                                56 244 45ms 
    sent=3 received=3 packet-loss=0% min-rtt=45ms avg-rtt=45ms max-rtt=45ms

однако, далее не идет — не соединяется с сервером. в логах соединение, сессия закрыта, отсоединение. и далее по кругу. как посмотреть более детально?

как оказалось, у меня билайн меняет адреса tp.internet.beeline.ru в 2-х диапазонах: 85.21.59.* и 89.179.76.*
я их прописал, но не помогает. неправильно, видимо. если честно, то как это прописать, я не знаю.

#      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 ADS  10.0.0.0/8                         10.174.40.1              10
 1 ADC  10.174.40.0/21     10.174.41.28    EXT10-MAIN                0
 2 ADS  78.107.196.0/22                    10.174.40.1              10
 3 A S  85.21.0.0/24                       10.174.40.1               1
 4   S  85.21.0.0/24                       10.174.40.1               1
 5   S  85.21.59.0/32                      10.142.0.1                1
 6   S  85.21.59.32/32                     10.142.0.1                1
 7 A S  85.21.59.33/32                     10.174.40.1               1
 8 A S  85.21.59.41/32                     10.174.40.1               1
 9 A S  85.21.59.42/32                     10.174.40.1               1
10   S  85.21.59.46/32                     10.142.0.1                1
11 A S  85.21.192.0/24                     10.174.40.1               1
12   S  85.21.192.3/32                     10.142.0.1                1
13 A S  89.179.0.0/24                      10.174.40.1               1
14   S  89.179.76.0/32                     10.142.0.1                1
15 A S  89.179.76.8/32                     10.174.40.1               1
16 ADC  192.168.88.0/24    192.168.88.1    LAN1-MAIN                 0
17 A S  213.234.192.0/24                   10.174.40.1               1
18   S  213.234.192.8/32                   10.142.0.1                1
19 ADS  233.32.240.0/24                    EXT10-MAIN               10
avatar
если делать по мануалу www.youtube.com/watch?v=l0Dagk0TKPs то пингуется «из коробки», но соединения по l2tp не происходит.
#      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 ADS  0.0.0.0/0                          10.174.40.1               1
 1 ADC  10.174.40.0/21     10.174.41.28    WAN                       0
 2 ADC  192.168.88.0/24    192.168.88.1    LAN                       0

[admin@MikroTik] >> ping tp.internet.beeline.ru
  SEQ HOST                                     SIZE TTL TIME  STATUS             
    0 89.179.76.8                                56 250 0ms  
    1 89.179.76.8                                56 250 0ms  
    sent=2 received=2 packet-loss=0% min-rtt=0ms avg-rtt=0ms max-rtt=0ms
avatar
Ну у вас есть маршрут
0 ADS  0.0.0.0/0                          10.174.40.1               1

который не нужен! его можно убрать добавив параметр для DHCP клиента.
Пинги проходят к ДНС, а к ВПН серверам маршруты прописывали?
avatar
на форуме билайна предложили другой вариант
Повторяю еще раз новую методику настройки:
1) Ставим прошивку 6.30rc
2) Удаляем все статические маршруты
3) Убеждаемся в том, что distance дефолтного маршрута на dhcp клиенте больше, чем на l2tp клиенте.

После это интернет работает с вероятностью 98%.
2% — еще где-то ухитрились накосячить в настройках — что врядли, больше вроде негде.
сделал, но все равно не работает соединение.

у меня целый набор адресов, а не 2:
[admin@HOME] > put [:resolve tp.internet.beeline.ru]
85.21.59.33
[admin@HOME] > put [:resolve tp.internet.beeline.ru]
85.21.59.41
[admin@HOME] > put [:resolve tp.internet.beeline.ru]
85.21.59.33

и т.д. вчера еще и в 3-й позиции менялось.

маршруты как прописать? какую маску с distance?
avatar
вот такую 85.21.59.0/24
Если, в последствии, IP адреса VPN серверов изменятся, то можно и к ним прописать маршруты.
В статье ведь написано, просто измените подсеть VPN серверов и IP адрес шлюза, на те которые получает ваш роутер.
З.Ы. прошивка 6.30rc это релиз-кандидат, со всеми вытекающими, может быть не стабильна!
avatar
заработало. я правда не понял, что привело к этому. с форума билайна помогли. я им выложил конфиг, они подсказали, где изменить.
avatar
доброго времени суток. роутер RB952Ui-5ac2nD. пробую настроить по аналогии, все сделал по инструкции поста, но при наборе попытке «put [:resolve tp.internet.beeline.ru]» выдается одинаковый адрес, после того как прописал маршрут этого адреса ping все равно не проходит? в чем причина.
avatar
Здравствуйте.
Есть несколько вопросов:
1) Какой провайдер и где?
2) Правильно указан шлюз?
3) Правильно прописан маршрут к vpn серверу?
avatar
Добрый.
По порядку:
1. провайдер-билайн, место Санкт-Петербург.
2. шлюз прописывал тот который указан в route list колонка gateway
3. маршрут прописал ВРОДЕ правильно, как в примере (только у меня primary DNS начинается с 213.xxx.xxx.xxx, а secondary с 85.xxx.xxx.xxx)
avatar
поверьте проходят пинги к шлюзу или нет.
ну если шлюз указан правильно и маршрут прописан, то пакеты должны бегать к DNS серверам нормально.
Надеюсь вы прописывали маршрут к шлюзу который к вам прилетел по DHCP, а не скопировали из скриншотов в этой статье?!
avatar
Прохождение ping проверю вечером, часов в 21.00 (по москве) отпишусь. маршрут прописывал по образцу, но данные все брал свои. еще один вопрос: ПОСЛЕ ТОГО КАК прописали маршруты, в DHCP client в строке Gateway должен появиться адрес или нет, у меня не появился.
avatar
записи попадают в Router List, статические маршруты идут с пометкой AS, в статье они помечены красным
avatar
да это есть, только, естественно, адреса и шлюз другие
avatar
маршруты появились не сразу, пришлось перезагружать роутер
avatar
как-то странно, должны применяться сразу
так все заработало на этот раз?
avatar
нет, я это вчера настраивал дома, а сейчас на работе. просто я это запомнил
avatar
ОК, вечером отпишитесь, а то интересно :)
avatar
перенастроил, пинг до шлюза, primary dns и secondary dns проходят. выполнил команду put [:resolve tp.internet.beeline.ru] получил 2 одинаковых ip адреса 83.102.255.52, прописал маршрут от него, но все равно ping до tp.internet.beeline.ru не проходит.
avatar
В списке маршрутов я у вас вижу только статический маршрут
83.102.0.0/24

Добавьте так
83.102.255.52/32
avatar
Стоп
такой маршрут
83.102.255.0/24
avatar
да, я уже это понял. настроил нет по шнурку, осталось только вафля — но этим буду сегодня заниматься
avatar
ну и отлично!
дело было в правильном прописывании маршрута?
avatar
подключил и настроил вафлю, все летает, НО в wireless L2 MTU 1600 и поменять никак, видимо из-за этого не открываются некоторые сайты. как исправить?
avatar
А по проводу все сайты открываются?
avatar
и по проводу тоже не открываются, значит проблема не в этом
avatar
Думаю проблема в размере MTU, вы устанавливали размер MTU для L2TP как указано в статье?
avatar
Посмотрите по форумам или на сайте билайна, возможно у вас в сети другой размер MTU задан
avatar
билайн говорит, что размер MTU 1468, пробовал поставить такой, но результат тот же.
avatar
я не знаю как это понимать, но я поставил частоту работы wi-fi 40 и проблема пропала
avatar
40 это мощность передатчика! Как это связано?!
Заработала метрика, может потому что вы роутер перезагрузили?!
avatar
Отличная статья. только после нее смог все настроить. А не могли бы вы также доходчиво и поэтапно описать настройки для нормальной работы тв-приставки?
avatar
avatar
я так понял, что это в большей степени для ипое. у меня еще старый стандарт — л2тп. сегодня промучившись вроде решил проблему)) я вывел порт с приставкой из общего моста и сделал порт эктернет для него мастером. все работает отлично. правда у народа есть вопросы по безопасности такого варианта, но не вижу проблем, так как это по сути получается как если бы приставку напрямую кабелем подключить. или я ошибаюсь?
avatar
Без разницы, тип подключения не имеет значения
avatar
Привет всем, подскажите как на RB951G-2HND настроить тор?? чтобы весь траффик шел через него минуя провайдера, весь интернет перерыл так и не нашел статью по настройке тор
avatar
ну на Mikrotik, прямо так, сделать не получится.
Можно реализовать такую схему:
client PC ---> | MikroTik vpn client| --> | TOR proxy | ---> |TOR network....

Т.е. ваш роутер подключается к серверу по VPN через который вы и выходите в сеть TOR
Но правайдера вам врядли удастся обойти, вы через него выходите в интернет, да и скорость передачи данных, сети TOR, довольно низкая.
avatar
Ну провайдер не увидит что я через тор сижу для него будет трафик шифрованным, плохо конечно что тор ненастроить на микротике
avatar
ну поднимите OpenVPN, там можете настроить стойкое шифрование, ну а дальше TOR, даже статья на эту тему есть Настраиваем OpenVPN сервер Linux
Если настраивать серьезное шифрование, то сомневаюсь провайдер сможет его взломать, но если известен ваш адрес, а он известен, то к вам просто приедут… А против «термо-ректального криптоанализатора» TOR не поможет :)
avatar
Спасибо, Artful за статью!
Прошу добавить в статью решение вот этой проблемы.

Цитата: forum.nag.ru/forum/index.php?showtopic=71628
«Столкнулся с проблемой в работе l2tp линка на mikrotik rb-750. Перестали работать некоторые web ресурсы, некоторые частично подгружаются, но части контента. При этом пинги, трассировка и телнет на 80 порт проходят на ура, имена резолвятся».
Решение:
ip firewall mangle add chain=forward protocol=tcp tcp-flags=syn tcp-mss=1453-65535 action=change-mss new-mss=clamp-to-pmtu disabled=no
avatar
Здравствуйте.
Пока, ваше предложение, в статью переносить не буду т.к. у меня нет возможности его проверить!
Пускай останется в комментах.
avatar
Большое спасибо за статью!
avatar
Здравствуйте, спасибо за статью! У меня есть пара вопросов:
делал все по гайду, единственное в Update от 3.06.15 у меня не убрался 0.0.0.0/0 с добавлением параметров (и всего 3 поля в routes) — интернет работает, регион Пермь. Интересно с технической точки зрения почему :)
Главная беда это 5Гц антенна (модель hAP ac), устройства видят сеть, но айпишник им не присваивается (делал настройку по аналогии с 2.4Гц). А на второй антенне 2.4Гц все работает, но хотелось бы использовать 5-ти Герцовую. Спасибо!
avatar
Здравствуйте.
Думаю Update от 3.06.15 к вам не применим, я это описывал для Москвы, и он касается только 100й подсети и больше ничего, не обращайте на него внимания.
Чтобы исчез маршрут 0.0.0.0/0 нужно добавить опцию DHCP клиента, народ на форуме билайна пишет что после обновления прошивки, эта опция больше не требуется, я не могу этого подтвердить или опровергнуть, т.к. роутер я не обновлял, исходя из соображений-работает, не лезь.
Обновления на роутер, я накатил, когда его перенастраивал на WEB авторизацию, чем сейчас и пользуюсь. К сожалению, у меня нет возможности проверить этот вариант настроек, т.к. настройки сети биилайн изменились.

По поовду диапазона 5ГГц, его обычно используют когда 2х ГГц диапазон весь занят (нет свободных каналов), он не очень хорошо проникает сквозь стены.
Напишите мне в личку, попробую разобраться с вашей проблемой, но для начала убедитесь что ваши клиентские устройства поддерживают работу с диапазоном в 5ГГц
avatar
Update 27.05.2016
Сегодня утром пропал интернет, проверив все согласно этой статьи. Все правильно. Начал разбираться с типами шифрования и выяснил что chap не работает, а работает pap.
avatar
Здравствуйте. Огромное спасибо. У нас в Хабаровске билайн по старому варианту (первая статья). Все получилось с первого раза. Но в начале статьи есть фраза «у меня еще проброшен VPN канал на работу, так что из дома я могу по локалке ходить в офис». Как настроить микротик?, билайн меня не пускает на работу. Если к своему компу подключаю другой роутер с другим провайдером, то VPN по PPoE сразу подключается.
avatar
Код ошибки 619
avatar
Здравствуйте.
619 ошибка, это параметры безопасности, проверьте в настроках PPTP соединения, у вас наверное включено на VPN сервере шифрование MSCAHP или MSCAHPv2, а на роутере в VPN клиенте, оно, по умолчанию, выключено.
avatar
Мне дали на работе инструкцию где VPN я должен сделать средствами Windows, т.е. у меня есть IP циски на работе, имя и пароль и галочки на шифровании MSCAHP и MSCAHPv2 я ставлю и выбираю протокол PPTP. Суть в том, что созданный VPN клиент на компе дома средствами виндовс подключается к VPN серверу на работе если я соединяюсь скажем через мобильный роутер МТС, а через проводной билайн дома через микротик ошибка 619. Никаких движений по настройке микротика в этом направлении не делал (не знаю как). Все сделано строго по этой статье и все отлично работает (спасибо автору), кроме клиента VPN. До микротика стоял асус и тоже 619.
avatar
по идее вам необходимо настроить клиента который будет подключаться к VPN Beeline а второй будет уже устанавливать соединение с работой, на добавить недостающие настройки шифрования, есть в этой статье.
Если что, пишите мне в личку, попробую вам помочь.
avatar
Здравствуйте! Сделал всё по вашей заметке, всё получилось, работает. НО есть маршрут 0.0.0.0/0 192.168.255.245, я что то сделал ни так, или это норма?
avatar
А вы добавили параметр DHCP Clent options?
avatar
да, и опцию добавил

avatar
Проблема в работе сети есть?
В принципе я ничего плохого не вижу в этом, VPN стал маршрутом по умолчанию и все пакеты будут уходить туда, мало вероятно что вам понадобится внутренняя сеть провайдера.
avatar
Здравствуйте! Бывают обрывы интернета и всё, пока не перезагрузишь MikroTik из Winbox'а интернет ни поднимается. можно ли как то настроить так, чтобы при разрывах он сам пытался пере подключится к интернету?
avatar
надо смотреть в логи, почему соединение обрывается, сам маршрутизатор, должен автоматически подключаться к VPN при обрыве связи
avatar
А возможно посмотреть все логи, допустим за последние сутки? Или после перезагрузки они затираются?
avatar
нет не затираются
конечно можно, у вас есть такой пункт в меню называется Logs
avatar
есть пункт LOg (не Logs), там начинается информация после момента перезагрузки, до — нету… или я ни в том пункте смотрю?
avatar
В том!
Ну подождите когда сеть отвалится и идите смотрите логи, не перезагружая устройство
avatar
Ребят, может кто знает, можно ли на hAP lite (который вертикальный с синей боковушкой!)настроить LED индикатор, нижний который горит только при загрузке, на индикатор WI-FI?
avatar
Я не подскажу, сам не использую
avatar
Здравствуйте.
Настроил по инструкции.
ya.ru и 8.8.8.8 пингуются из окна терминала WinBox-а, а с локальной машины- нет.
+ При добавлении параметра в DHCP Cleant Options новые строки в Routr List не добавились. И адрес шлюза в статусе DHCP client-а не появился.
Не пойму где искать ошибку.
avatar
Здравствуйте.
У вас какой провайдер, возможно параметр DHCP клиента добавлять и не нужно, в Москве, точно не нужно!
Раз от маршрутизатора пакеты доходят внешних адресов, значит подключение работает нормально, остается разрешить маршрутизацию пакетов из локальной сети во вешнюю, настроив NAT, проверьте настройки согласно пункту Настройка локальной сети
avatar
Тоже Билайн. Но судя по форумам настройки в регионах могут отличаться.
avatar
Возможно настройки отличаются от тех что описаны в статье, но у меня нет возможности проверить
avatar
Просто прекрасный материал! Спасибо огромное, настроил все за 15 минут. А до этого сутки возился с разными мануалами.
Есть что добавить? Регистрируйся и оставляй комментарии!