Прямые руки → Настройка MikroTik RouterBoard RB951G-2HnD (MikroTik+Beeline WEB авторизация)

Всем доброго времени суток, так получилось что 22.12.2015 Beeline в своей сети изменил вид авторизации для доступа в интернет.
Раньше чтобы попасть в интерент, нужно было настраивать L2TP подключение, теперь, по крайней мере в Москве, этого делать не нужно.
Я допускаю что эти изменения коснулись не всех регионов где присутсвует провайдер Beeline, по этому оставляю старый вариант статьи без изменений с которой можно ознакомиться по ссылке Настройка MikroTik RouterBoard RB951G-2HnD (MikroTik+L2TP Beeline)
Ну а для тех кого затрагивают эти изменения, прошу ознакомиться с обновленным вариантом статьи. Лично мне эти изменения очень нравятся, т.к. это уменьшает объём работы по настройке, а как следствие, уменьшение точек отказа, простота настройки и повышение надежности работы системы ( с клиентской стороны! ). Как это реализовано на стороне провайдера я не знаю, но надеюсь что они очень хорошо оттестировали систему перед ее внедрением.

Статья использует часть из моей старой статьи, но некоторые детали я изменил, в соответствии с современными реалиями.

Начинаем настройку маршрутизатора

Выполняем сброс настроек системы, для этого через Winbox заходим настройки маршрутизатора, сам Winbox качаем с сайта производителя подключение выполняется по MAC адресу.


Первым делом идем в System-> Reset configiration
и выполняем сброс настроек роутера, устновив галку No Default Configuration


Ждем когда система перезагрузится и снова заходим через Winbox
Для начала нам нужно определиться, какие сетевые интерфейсы будут обслуживать локальную сеть.
Обычно ether1 подключают к сети провайдера, остальные интерфейсы обслуживают локальную сеть.
Чтобы не путаться, переименуем ether1 в ether1-ext, чтобы было понятно что это внешний интерфейс (external), который смотрит в сеть провайдера, идем в Interfaces и переименовываем интерфейс ether1


в ether1-ext


IP адреса в сети beeline раздаются по DHCP, поэтому нам необходимо настроить DHCP клиента, который эти настройки будет запрашивать, для этого нам нужно его создать и немного настроить, для этого переходим в IP->DHCP Client жмем на +
Нам необходимо указать какой интерфейс будет слушать наш клиент это ether1-ext (который подключен к сети Beeline) метрику для этого маршрута оставим по умолчанию.
Метрика говорит о том, какой приоритет у данного подключения, чем метрика ниже тем приоритет выше!


Нажимаем OK и откроем вкладку IP -> Routers
У вас прилетели какие-то маршруты, в вашем случае, они, скорее всего, будут другими, но сути это не меняет.
У нас приехали маршруты локальной сети

Если мы зайдем в настройки DHCP клиента IP->DHCP Client и раскроем настройки интерфейса ether1-ext, то мы увидим какой адрес нам достался

Это адрес локальной сети beeline и с него нельзя выйти в интернет.

Настраиваем локальную сеть

Настроим работу локальной сети и доступа по Wi-Fi т.к. мощность передатчика составляет 1Вт ( что много для однокомнатной квартиры) я решил понизить мощность Wi-Fi передатчика, мы будем настраивать все что коснется внутренней сети в этом разделе.

Все интерфейсы, которые обслуживают локальную сеть, будут объединены в сетевой мост, нам необходимо создать мост, а потом добавить мнтерфейсы, перейдем в раздел Bridge, жмем на +


Добавляем новый мост, bridge1-lan чтобы было понятно за что он отвечает (Local Area Network)


Он появится в списке, теперь нам необходимо добавить в него интерфейсы, переходим во вкладку Ports


Добавляем интерфейсы начиная со ether2 т.к. первый у нас подключен к провайдеру


Сетевой порт добавлен, тоже делаем с остальными


Мы добавили все порты начиная от ether2 и заканчивая wlan1


Теперь нам необходимо добавить адрес для нашей внутренней сети, переходим в IP-> Addresses, жмем + и добавляем IP адрес, наша внутренняя сеть будет иметь адресацию 192.168.1.1 и маской подсети 24 бита что соттветсвует 255.255.255.0 ну и указываем интерфейс, к которому мы все это применим на это у нас bridge1-lan




Чтобы не настраивать руками адреса на клиентских машинах, мы настроим сервер DHCP, переходим в IP->DHCP server нас интересует кнопка DHCP setup и с помощью мастера настроим наш сервер


Указываем интерфейс, который будет использоваться нашим DHCP сервером, а это bridge1-lan


Адресное пространство 192.168.1.0/24


Адрес шлюза, а это наш маршрутизатор, который имеет адрес 192.168.1.1


Укажем размер пула IP адресов, котоые будут выдаваться клиентским устройствам, т.е. мы можем подключить к нашей сети 253 устройства.


IP адреса DNS серверов, которые будут виданы клиентам нашей локальной сети, т.к. сам роутер не умеет разрешать DNS запросы (да это и не его задача), то запросы будут перенаправляться серверам провайдера, можете указать там что вам угодно, например сервера гугла 8.8.8.8


Указываем время аренды адреса, по умолчанию это 3 дня


После выполнения всех действий, мы получаем окно с уведомлением об успешной настройке. Теперь мы можем перезапустить сетевой интерфейс на клиентской машине (или просто выдернуть кабель подключения локальной сети) и мы получим IP адрес от нашего маршрутизатора (адреса выдаются начиная с последнего-такая особенность!), но в интернет мы, пока, выйти не можем т.к. не настроена маршрутизация между нашей локальной сетью и сетью провайдера.


Переходим в IP->Firewall далее во вкладку NAT и создаем новое правило.

Создадим разрешающее правило для того чтобы мы могли отправлять пакеты из нашей локальной сети, в сеть провайдера, создаем правило, в качестве выходного интерфейса у нас будет ether1-ext который подключен к сети beeline


Действия, для данного правила, указываем masquerade


У нас появилось правило маршрутизации пакетов из нашей внутренней сети в сеть провайдера.

Навастриваем доступ в сеть по Wi-Fi

Для начала, нам необходимо перейти в меню Wireless оттуда в Security Profiles


Создаем профиль безопасности для нашего беспроводного подключения, там уже есть готовый профиль, но мы его использовать не будем, а создадим свой, жмем + придумываем для него имя, я его назвал my Wi-Fi ну и типы аутентификации, желательно оставить только WPA2 PSK т.к. WPA менее безопасный, но это уже решите сами, так что оставляем как есть ну и укажим ключи WPA и WPA2 минимум 8 символов.


Вернемся во вкладку Interfaces беспроводной интерфейс, в данный момент, не активен (выключен), заходим и настраиваем его


Указываем режим работы ap_dridge, частоты для работы, если есть старое оборудование которое не поддерживает стандарт N, я на всякий случай включил B,G,N если какие-то определенные диапазоны, то их всегда можно выставить, но это уже вам в качестве домашнего задания.
SSID -имя сети которое мы будем видеть и по нему подключаться, у меня оно называется Howitmake, можно назвать так как вам нравится больше.
В строке профиля безопасности вбираем профиль который мы создали my Wi-Fi и открываем расширенный режим, чтобы нам можно было управлять мощностью передатчика нажимаем кнопку Advanced Mode все что менялось выделено красным:


Нам необходимо найти вкладку TX Power и вот тут возможны варианты, я задал мощность для всех диапазонов, выбрав all rates fixed по умолчанию там стоит 17 dBm я уменьшил до 15, если требуется максимальная дальнобойность, то можно задать 30 dBm, для справки, при установке 20dBm интернет ловится во дворе с помощью телефона, а при 15 всего 1-2 палки сила сигнала, ну а 30 я не ставил, нет необходимости! В общем мощность передатчика настраивается довольно гибко, но это уже вам в качестве факультатива…


Нам осталось подключиться к интернет, пробуем зайти на любой сайт и нас перекидывает на форму авторизации beeline


Вводим свои данные, (логин и пароль) от личного кабинета и через 10 мин у нас появится доступ в интернет. Если посде появления доступа в интернет вы зайдете в IP-> DHCP Client во вкладку Status то можно увидеть что теперь нам прилетели другие IP адреса, это белый IP адрес, который доступен из интернет. Также заходим в IP->Routers и видим что у нас прилетели новые маршруты.
Авторизация в сети Beeline теперь идет по MAC адресам, соответственно если к вас изменится MAC адрес, то система вас попросит снова ввести данные для подключения, если оборудование не меняется, то и форма авторизации не будет вам надоедать, что на мой взгляд, просто шикарно!!!

Повышаем уровень безопасности устройства

В системе у нас имеется пользователь admin, который обладает большими правами на оборудовании, но не имеет пароля может заходить со всех интерфесов, чтобы это исправить переходим в System -> Users и видим там нашего пользователя admin самое правильное это создать учетную запись с другим именем и паролем, а эту выключить, но можно и ее настроить


Заходим в настройки учетной записи, разрешим вход только из внутренней сети 192.168.1.0/24, ну и придумаем для него пароль, да подлиннее, все что нужно сделать выделено красным.


На роутере есть службы, которые торчат во внешний мир, если вы ими не будете пользоваться, то их надо отключить- в целях бехопасности (то что не используется, должно быть выключено!)
Вырубаем все, оставим только возможность входа по Winbox и то только из нашей локальной сети.


Ну и последнее, если вы все настроили и вас все устраивает, то сильно рекомендую выполнить резервное копирование настроек маршрутизатора, в случае какого-то сбоя или если вы напутаете с настройками, то всегда сможете откатиться на рабочие настройки-без лишних сложностей, лично у меня, восстановление настроек маршрутизатора занимает по времени-временя на перезагрузку маршрутизатора. Переходим в File, жмем кнопку backup придумываем имя файла и ставим галку не шифровать и сохраняем файл на диск, если у вас не подсоединена флешка, то сохраняем во внутреннюю память маршрутизатора, но лучше все это кидать на флешку, как это сделано у меня, пример на скриншоте.


К роутеру можно прикрутить DNS имя, о том как это сделать можно прочитать в статье Использование DDNS в MikroTik
Все что касается оборудования Mikrotik можно посмотреть в на этой странице