Прямые руки → Настройка MikroTik RouterBoard RB951G-2HnD (MikroTik+L2TP Beeline)

Всем привет.
Так уж получилось, что мой Netgiar, который отработал более 4х лет, пал смертью храбрых, он меня всем устраивал, но я его покупал за 3500 руб, а сейчас он стоит 6800 руб-я в шоке от таких ценников, за немного более продвинутый машрутизатор хотят уже 8-12 тыс. руб. В общем, мы с жабой, краями разойтись не смогли…
Давно я слышал про сетевое оборудование от MikroTik, а учитывая что даже «мыльница» от D-link стоит дороже MicroTik + у последнего процессор мощнее, нормальная операционная система внутри и порты гигабитные, в общем думал я не долго, да и выбор был очевиден.

Короче, я стал счастливым обладателем MikroTik RouterBoard RB951G-2HnD… Это была присказка, а вот мякотка начинается дальше.
В ходе плясок с бубном выяснилось что, в «нерезиновой» Пчелайн, отнесся к сетевым стандартам «положительно», а именно, взял и «положил» на них, а MikroTik добросовестно их выполнил, тем самым «положив» на Beeline, а я, как пользователь, оказался по середине, естественно без этих ваших интернетов котиков, сисек и прочего сетевого непотребства, короче, преферанса нет, доступных женщин тоже, беда-печаль.
Об этой железке можно сказать вот что, если вам мало обычного роутера, и вы подумываете об установке полноценного шлюза под управлением Linux/FreeBSD (я проходил через этот вариант, работало отлично скорость совершенно не резало) или прости господи Windows, то я вам настоятельно рекомендую посмотреть в сторону этого девайса, скорость совершенно не режет и работает очень стабильно, электричества потребляет копейки, тих и место практически не занимает, ну а если вы хотите за 10 мин все настроить и не париться а также требуется глянцевый корпус и множество разноцветных маргалок, смотрите в направлении сетевого оборудования потребительского класса, там все уже сделано со стороны производителя, остается включить и добавить настройки куда подключаться, но что-то нетривиальное уже не сделать, например, у меня еще проброшен VPN канал на работу, так что из дома я могу по локалке ходить в офис, пользоваться сетевыми принтерами, подключить VoIP телефон к внутреннему серверу Asterisk и использовать другие сетевые сервисы необходимые мне в работе.

Update от 22.12.2015

В сети beeline изменились настройки теперь настраивать маршруты, добавлять параметры DHCP клиента и настраивать соединения L2TP не нужно, эти пункты в мануале можно смело пропускать. Если у вас уже настроен роутер, по данной статье, и сейчас интернет у ваc не работает, то прошу ознакомиться со статьей по способу устранения этой проблемы: Ремонтируем подключение интернет Beeline после изменения работы сети 22.12.2015 на роутере Mikrotik
Если вы настраиваете маршрутизатор впервые и в вашей сети, Beeline использует web авторизацию, то нужно использовать обновленный вариант статьи Настройка MikroTik RouterBoard RB951G-2HnD (MikroTik+Beeline WEB авторизация) он на 100% актуален для Москвы, ну а если у вас все еще используется L2TP, то читаем дальше.

Что мы имеем в наличии

MikroTik RouterBoard RB951G-2HnD-1шт
сетевой кабель от Beeline
Второй комп подключенный к маршрутизатору
У роутера есть 5 сетевых портов + Wi-Fi

Порт №1 будет у нас подключен к сети beeline
Порты с 2-4, а также WLAN1 будут обслуживать локальную сеть.

Все действия выполнялись на MikroTik RouterOS 6.24 версия прошивки 3.19.
После прочтения этой статьи вы поймете, что настроить данный маршрутизатор не сложнее чем приготовить блюдо из доступных ингредиентов, для начала, возьмем пару кило свежих трюфелей, ну и погнали…

Займемся настройкой

Для начала нам нужно зайти в маршрутизатор и выполнить сброс настроек, маршрутизатор не имеет настроек сети и по этому мы будем подключаться по MAC адресу в Winbox, который можно скачать с сайта производителя

первым делом идем в System-> Reset configiration
и выподняем сброс настроек роутера, устновив галку No Default Configuration


Ждем когда система перезагрузится и снова заходим через Winbox
Для начала нам нужно определиться, какие сетевые интерфейсы будут обслуживать локальную сеть.
Обычно ether1 подключают к сети провайдера, остальные интерфейсы обслуживают локальную сеть.
Чтобы не путаться, переименуем ether1 в ether1-ext, чтобы было понятно что это внешний интерфейс (external), который смотрит в сеть провайдера, идем в Interfaces и переименовываем интерфейс ether1


в ether1-ext


IP адреса в сети beeline раздаются по DHCP, поэтому нам необходимо настроить DHCP клиента, который эти настройки будет запрашивать, для этого нам нужно его создать и немного настроить, для этого переходим в IP->DHCP Client жмем на +
Нам необходимо указать какой интерфейс будет слушать наш клиент это ether1-ext (который подключен к сети Beeline) также укажем метрику для этого маршрута, по умолчанию там стоит 0, а мы установим значение 10.
Метрика говорит о том, какой приоритет у данного подключения, чем метрика ниже тем приоритет выше!


Нажимаем OK и откроем вкладку IP -> Routers
У вас прилетели какие-то маршруты, в вашем случае, они, скорее всего, будут другими, но сути это не меняет.

Update от 3.06.15
В мае месяце Beeline изменил IP адресацию в своей локальной сети, теперь используется подсеть 100.ххх.ххх.ххх, но это ничего не меняет, просто теперь необходимо добавлять маршруты через шлюз, который начинается на 100, а далее все как обычно.
Алгоритм настройки устройства остался старый и состоит из следующих шагов:
1) Избавиться от маршрута в локальную сеть билайна 0.0.0.0/0 -добавляем опцию DHCP клиенту
2) Прописываем маршрут к DNS серверам
3) Выясняем в какой подсети находятся VPN сервера
4) Прописываем маршрут в подсеть к VPN серверам
5) Настраиваем подключение к интернет


В списке у нас есть маршрут 0.0.0.0/0-который нам совершенно не подходит, да и маршрутов маловато, необходимо добавить опцию для DHCP-клиента, идем во вкладку DHCP Cleant Options и добавляем новую опцию со следующими значениями:

Переносим точно так как написано т.к. это важно!

DHCP Clent options
Name: parameter_request_list
Code: 55
Valie: 0x01F90321062A

Чтобы выглядело


Жмем ОК и нам остается добавить данную опцию в наш DHCP клиент
Открываем настройки DHCP клиента и в пункте DHCP options добавим параметр parameter_request_list как указано на скриншоте.


Вернемся к окну с маршрутами и видим что список маршрутов пополнился, а именно:

И нет маршрута 0.0.0.0/0, от которого нам требовалось избавиться.

Зайдем в настройки DHCP client и во вкладке Status посмотрим какие настройки к нам приехали от провайдера (свой IP я закрасил!)


Как видно, из скриншота, мы получили настройки DNS серверов, но не получили адрес шлюза, это создает небольшую проблему, которую мы сейчас решим
Проблема в том что система не знает куда ей отправлять пакеты, которые отправлены адресам 85.21.192.3 и 213.234.192.8, мы можем логично предположить что шлюз, в сети провайдера, знает куда отправлять эти пакеты, шлюзом в моей локалке является IP 10.142.0.1 (смотрите предыдущий скриншот в столбце Gateway), но в списке маршрутов нет подсетей 85.21.192.0, 213.234.192.0, чтобы это исправить нам необходимо добавить маршрут руками.
Для начала пропишем статический маршрут к 85.21.192.3


Где:
85.21.192.3- целевой IP адрес
10.142.0.1 — адрес шлюза
Все остальные значения оставляем по умолчанию.
Тогда запись читается так: Все пакеты отправляемые адресу 85.21.192.3 передавать шлюзу 10.142.0.1, который знает куда их отправлять дальше.

Те же действия мы приводим для IP 213.234.192.8

Как читается данная запись?!

В результате у нас появиться 2 новых статических маршрута, на скриншоте подчеркнуто красным:


Давайте проверим что маршруты добавлены правильно и мы можем постучаться до DNS серверов.
Открываем New Terminal
Выполним ping DNS серверов beeline

Команда

ping 85.21.192.3

Тоже самое делаем и со вторым DNS сервером.

Из скриншота видно что пакеты доходят нормально.

Осталось проверить доступность VPN серверов
Адрес VPN сервера Beeline tp.internet.beeline.ru
Попробуем его пинговать, через окно терминала маршрутизатора

ping tp.internet.beeline.ru

Мы видим что пинги не проходят т.к. нет маршрута, нам требуется и его прописать руками.
Для начала нам нужно выяснить, какой IP адрес выдается DNS сервером, т.к. балансировка нагрузки vpn серверов, у Beeline, осуществляется с помощью DNS.
Попробуем узнать какой IP адрес выдается при запросе tp.internet.beeline.ru

Выполним команду 2 раза

put [:resolve tp.internet.beeline.ru]

У меня DNS выдал адреса 85.21.0.250 и 85.21.0.252 в вашем случае они, скорее всего, будут другими!



Пропишем маршрут к этой подсети.
Переходим в IP->Routers, если это окно вы закрыли с прошлого раза, и прописываем маршрут, как и прошлый раз, только в Dst.Adreess указываем не IP адрес, а целую подсеть с маской 24 бита- 85.21.0.0/24
шлюз, как и в прошлый раз, 10.142.0.1 (смотрите кокой шлюз к вам приходит по DHCP!)

Пробудем пинговать tp.internet.beeline.ru и видим что пинги нормально проходят т.к. мы создали статический маршрут в эту подсеть.

Настройка VPN подключения к интернет по L2TP

Раз уж мы прописали маршруты к VPN серверам, то нам можно приступить к настройке подключения к интернет.
Переходим в раздел PPP и переходим во вкладку Profiles
Создадим профиль для нашего подключения, назвать его можно по своему усмотрению, я назвал beeline-L2TP, а в поле Remote Adress указываем IP адрес который будет НЕ доступен в локальной сети провайдера, я выбрал 192.168.255.254, нам также нужно разрешить менять размер MSS в строке Change TCP MSS устанавливаем в положение YES остальные параметры, в этой вкладке, не меняем


Переходим во вкладку Protocols тут все переставляем на NO:

Никаких других настроек профиля, мы не меняем! Жмем OK и наш профиль готов, переходим к настройке подключения L2TP.

Возвращаемся во вкладку Interface и нажимаем на + и выбираем L2TP Client
Придумываем имя для подключения у меня это l2tp-beeline
В полях Max MTU и Max MRU указываем 1420 это важно поле MRRU делаем неактивным, нажав на выпадающее меню (все что менялось помечено красным!)


Переходим во вкладку Dial Out (все что менялось помечено красным!)

В поле Connect To указываем адрес VPN сервера, а это tp.internet.beeline.ru
в поле User указываем ваш логин, который указан в договоре
в поле Password ваш пароль, для подключения к интернет
в поле Profile указываем профиль который мы создали ранее beeline-L2TP
Ставим галку Add Default route
А в поле Default Route Distance указываем 1
В пункте типы шифрования, уберем все галки и оставим только на chap
После этого жмем OK и подключение к интернет установлено, маршрутизатор сам подключится, нам остается только проверить работу, возвращаемся в окно New Terminal и пробуем выполнить пинг yandex



Если пинги проходят, то примите мои поздравления, соединение установлено и все сделано правильно, если не работает, то проверяйте параметры, где-то ошибка.
Если мы попробуем выйти в интернет с наших клиентских устройств, то у нас ничего не получится т.к. не настроена локальная сеть и не прописаны правила для фаерволла для перенаправления пакетов т.е. NAT- из локальной сети и обратно, давайте это исправим…

Настраиваем локальную сеть

Настроим работу локальной сети и доступа по Wi-Fi т.к. у меня нет «свинцовых трусов», а мощность передатчика составляет 1Вт ( что много для однокомнатной квартиры) я решил понизить мощность Wi-Fi передатчика, мы будем настраивать все что коснется внутренней сети в этом разделе.

Все интерфейсы, которые обслуживают локальную сеть, будут объединены в сетевой мост, нам необходимо создать мост, а потом добавить мнтерфейсы, перейдем в раздел Bridge, жмем на +


Добавляем новый мост, bridge1-lan чтобы было понятно за что он отвечает (Local Area Network)


Он появится в списке, теперь нам необходимо добавить в него интерфейсы, переходим во вкладку Ports


Добавляем интерфейсы начиная со ether2 т.к. первый у нас подключен к провайдеру


Сетевой порт добавлен, тоже делаем с остальными


Мы добавили все порты начиная от ether2 и заканчивая wlan1


Теперь нам необходимо добавить адрес для нашей внутренней сети, переходим в IP-> Addresses, жмем + и добавляем IP адрес, наша внутренняя сеть будет иметь адресацию 192.168.1.1 и маской подсети 24 бита что соттветсвует 255.255.255.0 ну и указываем интерфейс, к которому мы все это применим на это у нас bridge1-lan




Чтобы не настраивать руками адреса на клиентских машинах, мы настроим сервер DHCP, переходим в IP->DHCP server нас интересует кнопка DHCP setup и с помощью мастера настроим наш сервер


Указываем интерфейс, который будет использоваться нашим DHCP сервером, а это bridge1-lan


Адресное пространство 192.168.1.0/24


Адрес шлюза, а это наш маршрутизатор, который имеет адрес 192.168.1.1


Укажем размер пула IP адресов, котоые будут выдаваться клиентским устройствам, т.е. мы можем подключить к нашей сети 253 устройства.


IP адреса DNS серверов, которые будут виданы клиентам нашей локальной сети, т.к. сам роутер не умеет разрешать DNS запросы (да это и не его задача), то запросы будут перенаправляться серверам провайдера, можете указать там что вам угодно, например сервера гугла 8.8.8.8


Указываем время аренды адреса, по умолчанию это 3 дня


После выполнения всех действий, мы получаем окно с уведомлением об успешной настройке. Теперь мы можем перезапустить сетевой интерфейс на клиентской машине (или просто выдернуть кабель подключения локальной сети) и мы получим IP адрес от нашего маршрутизатора (адреса выдаются начиная с последнего-такая особенность!), но в интернет мы, пока, выйти не можем т.к. не настроена маршрутизация между нашей локальной сетью и сетью провайдера.


Переходим в IP->Firewall далее во вкладку NAT и создаем новое правило.
Мы разрешим выход в интернет в поле Chain выбираем srcnat в поле Src.Address указываем нашу внутреннюю подсеть 192.168.1.0/24, а в качестве выходного интерфейса, указываем наше VPN подключение к l2tp-beeline и переходим во вкладку Actions


Тут нам необходимо указать какие действия мы применим для пакетов, которые попадают под действия данного правила, а это у нас masquerade жмем OK и правило сохранено.


Создадим разрешающее правило для того чтобы мы могли не только выйти в интернет, но в сеть провайдера, создаем второе правило, только выходной интерфейс у нас будет ether1-ext


Действия, для данного правила, те же


У нас появилось 2 правила маршрутизации пакетов из нашей внутренней сети в сеть провайдера и в подключение L2TP


Проверяем доступность интернет, с клиентского устройства, попинговав yandex, если пакеты бегают, то ваша сеть работает нормально, примите мои поздравления, вам осталось настроить Wi-fi ну и некторые мелочи.

Навастриваем доступ в сеть по Wi-Fi

Для начала, нам необходимо перейти в меню Wireless оттуда в Security Profiles

Создаем профиль безопасности для нашего беспроводного подключения, там уже есть готовый профиль, но мы его использовать не будем, а создадим свой, жмем + придумываем для него имя, я его назвал my Wi-Fi ну и типы аутентификации, желательно оставить только WPA2 PSK т.к. WPA менее безопасный, но это уже решите сами, так что оставляем как есть ну и укажим ключи WPA и WPA2 минимум 8 символов.


Вернемся во вкладку Interfaces беспроводной интерфейс, в данный момент, не активен (выключен), заходим и настраиваем его


Указываем режим работы ap_dridge, частоты для работы, если есть старое оборудование которое не поддерживает стандарт N, я на всякий случай включил B,G,N если какие-то определенные диапазоны, то их всегда можно выставить, но это уже вам в качестве домашнего задания.
SSID -имя сети которое мы будем видеть и по нему подключаться, у меня оно называется Howitmake, можно назвать так как вам нравится больше.
В строке профиля безопасности вбираем профиль который мы создали my Wi-Fi и открываем расширенный режим, чтобы нам можно было управлять мощностью передатчика нажимаем кнопку Advanced Mode все что менялось выделено красным:


нам необходимо найти вкладку TX Power и вот тут возможны варианты, я задал мощность для всех диапазонов, выбрав all rates fixed по умолчанию там стоит 17 dBm я уменьшил до 15, если требуется максимальная дальнобойность, то можно задать 30 dBm, для справки, при установке 20dBm интернет ловится во дворе с помощью телефона, а при 15 всего 1-2 палки сила сигнала, ну а 30 я не ставил, нет необходимости! В общем мощность передатчика настраивается довольно гибко, но это уже вам в качестве факультатива…

Повышаем уровень безопасности устройства

В системе у нас имеется пользователь admin, который обладает большими правами на оборудовании, но не имеет пароля может заходить со всех интерфесов, чтобы это исправить переходим в System -> Users и видим там нашего пользователя admin самое правильное это создать учетную запись с другим именем и паролем, а эту выключить, но можно и ее настроить


Заходим в настройки учетной записи, разрешим вход только из внутренней сети 192.168.1.0/24, ну и придумаем для него пароль, да подлиннее, все что нужно сделать выделено красным.


На роутере есть службы, которые торчат во внешний мир, если вы ими не будете пользоваться, то их надо отключить- в целях бехопасности (то что не используется, должно быть выключено!)
Вырубаем все, оставим только возможность входа по Winbox и то только из нашей локальной сети.


В процессе настройки я умудрился собрать все грабли что были доступны, теперь все работает нормально, пришлось убить целые выходные, правда с перерывом, но все равно, времени ушло прилично…
Основной проблемой является то что интернет работает, но некоторые сайты все равно не открываются через Microtik, данная проблема связана с размером MTU и MRU, ставьте 1420 и все будет работать как часы.

На этом я пожалуй закончу свой рассказ, спасибо что дочитали до конца.
Ну и как всегда, если нашли ошибку пишите в личку или на почту, возникли вопросы, прошу в комментарии…

Ну и результат того что мне удалось из него выжать.


К роутеру можно прикрутить DNS имя, о том как это сделать можно прочитать в статье Использование DDNS в MikroTik
Все что касается оборудования Mikrotik можно посмотреть в на этой странице