1. Подключение.
В стандартной прошивке раутер настроен так — порт 1 предназначен для
подключения провайдера, порты 2-5 собраны в свитч для локальной сети и
имеют адрес 192.168.88.1/24. Берём патчкорд (прямой или перевёрнутый —
без разницы, раутер сам определит тип), соединяем им сетевую карту компа
(да, в дальшейшем подразумевается, что на компе — WinXP) и любой из
портов 2-5. Сетевой карте назначаем адрес из сетки 192.168.88.0/24 —
например, 192.168.88.10/24. Открываем браузер и идём на http://192.168.88.1
, в открывшейся странице ищем и скачиваем утилиту Winbox (в принципе —
раутер частично можно настроить и через Webbox, , т.е. через тот же
браузер. Но именно что частично — полная настройка возможна только через
Winbox или командную строку, тут уж кому как нравится). Запускаем
Winbox и подключаемся к раутеру (базово: логин — admin, пароль пустой),
заметим, что подключение возможно как по ip, так и по mac-адресу
(стандартные mac-адреса портов раутера указаны на упаковке), лично я
предпочитаю подключаться по mac.
2. Что мы хотим настроить?
Получить мы хотим счастья и побольше, понятное дело. В данном случае —
компы, расположенные в локальной сети за раутером, должны получить
прозрачный доступ в интернет, кроме того — провайдер предоставляет
сервис IPTV, так что и это нам тоже нужно. Далее — с одного из компов
должны скачиваться и раздаваться торренты, к этому компу было бы неплохо
настроить доступа по VNC с определённых адресов из интернета (понятно
для чего — прицепиться к домашнему компу из офиса и поставить качать на
вечер свеженький прон  ). Ну и, конечно, настраиваем DHCP и DNS — мы же не хотим прописывать сетевые настройки на каждой из машин нашей сети.
Определяемся с портами на раутере:
порт 1 — подключение к провайдеру Triolan
порт 2 — подключение к резервному провайдеру (оставляю на будущее, сейчас временно использую только одно подключение)
порты 3-5 — локальная сеть
3. Настройка.
3.1. Настройка портов
Запускаем Winbox и подключаемся к раутеру в порт 3 по mac-адресу. Заходим в Interfaces, настраиваем и переименовываем порты:
порт 1 — ether1-gateway1 — master port: none
порт 2 — ether2-gateway2 — master port: none
порт 3 — ether3-local-master — master port: none
порт 4 — ether4-local-slave — master port: 3
порт 5 — ether5-local-slave — master port: 3
Что такое master и slave порты? В принципе — всё просто. Master — это
независимый порт, с собственным ip-адресом и т.д. Порт slave же получает
адрес и всё остальное от назначенного ему master-порта. В нашем случае
порты 3-5 образуют своего рода свитч.
3.2. Настройка локальной сети
Заходим в IP —> Addresses, удаляем дефолтные настройки, назначаем для
ether3-local-master адрес 192.168.0.1/24. Заходим в IP —> DHCP
Server, удаляем дефолтные настройки. Далее настраиваем DHCP-сервер (мне
удобнее это было сделать из командной строки):
ip pool add name="HomePool" ranges="192.168.0.2-192.168.0.254"
ip dhcp-server add name="HomeDHCP" interface="ether3-local-master" address-pool="HomePool" disabled="no"
ip dhcp-server network add address="192.168.0.0/24" gateway="192.168.0.1" dns-server="192.168.0.1" domain="home"
DHCP-сервер настроен, можно проверять на клиентских машинах.
Подключившиеся машины можно увидеть в IP —> DHCP Server —> Leases,
там же можно назначить выдачу одного и того же адреса для машины с
торрент-клиентом (в моём случае — я «привязал» к её mac'у адрес
192.168.0.10)
3.3. Логины и пароли
Теперь самое время немного позаботиться о безопасности. Заходим в System
—> Users, добавляем пользователя schwein, группа full, назначаем
пароль. Для дефолтного пользователя admin указываем, что Allowed Address
— 192.168.0.0/24. Можно, конечно, и вообще его отключить
3.4. Настройка подключения к интернету
Заходим в IP —> Addresses, для ether1-gateway1 прописываем наш адрес
из сетки провайдера — 109.87.xxx.yyy/24. Указываем маршрут по умолчанию:
ip route add gateway="109.87.xxx.254"
Далее нам надо настроить NAT, дабы машины из локальной сети получали интернет:
ip firewall nat add out-interface="ether1-gateway1" chain="srcnat" action="masquerade"
Настраиваем DNS-сервер:
ip dns set servers="109.86.2.2,109.86.2.21,208.67.222.222"
ну или заходим в IP —> DNS —> Settings, прописываем адреса DNS-серверов, ставим галку на Allow Remote Request
После всего этого — проверяем на клиентских машинах доступ с интернету, всё должно работать
3.5. Настраиваем IPTV, фильтрацию пакетов и проброс портов
Для настройки проброса IPTV в локальную сетку нам нужно настроить на
раутере igmp proxy. В дефолтной прошивке его нет, потому надо зайти на оффсайт
и скачать архив со всеми пакетами для RB750G. Из полученного архива нас
интересует пакет multicast.npk, который и заливаем в раутер (детальнее о
процессе обновления — здесь). После перезагрузки снова подключаемся к раутеру и настраиваем igmp proxy:
routing igmp-proxy interface add comment="Upstream" disabled="no" interface="ether1-gateway1" threshold="1" upstream="yes" alternative-subnets="10.5.200.0/24"
routing igmp-proxy interface add comment="Downstream" disabled="no" interface="ether3-local-master" threshold="1"
routing igmp-proxy set quick-leave="yes" query-interval="00:01:00" query-response-interval="00:00:10"
Вы спросите — а откуда взялась сетка 10.5.200.0/24? Не буду утомлять
долгими рассуждениями — когда я настроил прокси без указания этой
alternative-subnets, то никакого IPTV на локальном компе не было. Тогда я
позакрывал все ненужные приложения, генерящие трафик, на раутере
запустил Tools —> Packet Sniffer, подёргал плеер, пытаясь
переключаться между каналами, после чего поглядел — какие пакеты куда и
как ходят. Так и обнаружился 10.5.200.1 — на всякий случай добавил всю
/24 сеть.
Теперь укажем список «внешних» IP-адресов, с которых будет доступны
проброс портов по vnc на машину в локалке, а также ssh-соединение с
самим раутером:
ip firewall address-list add address="195.49.xxx.yyy" list="Office" comment="Allowed foreign IP"
ip firewall address-list add address="193.33.xxx.yyy" list="Office" comment="Allowed foreign IP"
ip firewall address-list add address="193.33.xxx.zzz" list="Office" comment="Allowed foreign IP"
Ну а теперь завершающий штрих — фильтры и проброс портов:
ip firewall filter add chain="input" action="accept" protocol="icmp" comment="Allow ICMP"
ip firewall filter add chain="input" action="accept" protocol="igmp" comment="Allow IGMP"
ip firewall filter add chain="input" action="accept" connection-state="established" in-interface="ether1-gateway1" comment="Allow established connections"
ip firewall filter add chain="input" action="accept" connection-state="related" in-interface="ether1-gateway1" comment="Allow related connections"
ip firewall filter add chain="input" action="accept" src-address-list="Office" protocol="tcp"dst-port="22" in-interface="ether1-gateway1" comment="Allow SSH"
ip firewall filter add chain="input" action="drop" in-interface="ether1-gateway1" comment="Drop all"
ip firewall filter add chain="forward" action="accept" connection-state="established" comment="Allow established connections"
ip firewall filter add chain="forward" action="accept" connection-state="related" comment="Allow related connections"
ip firewall filter add chain="forward" action="accept" src-address-list="Office" protocol="tcp" dst-port="5900" comment="Allow VNC"
ip firewall filter add chain="forward" action="accept" protocol="tcp" dst-port="25245" comment="Allow Torrent"
ip firewall filter add chain="forward" action="accept" protocol="udp" comment="Allow UDP"
ip firewall filter add chain="forward" action="accept" protocol="icmp" comment="Allow ICMP"
ip firewall filter add chain="forward" action="accept" protocol="igmp" comment="Allow IGMP"
ip firewall filter add chain="forward" action="accept" src-address="192.168.0.0/24" comment="Allow all for local net"
ip firewall filter add chain="forward" action="accept" dst-address="192.168.0.0/24" comment="Allow all for local net"
ip firewall filter add chain="forward" action="drop" comment="Drop all"
ip firewall nat add chain="dstnat" action="dst-nat" protocol="tcp" dst-address="109.87.xxx.yyy" dst-port="25245" to-addresses="192.168.0.10" to-ports="25245" comment="DST-NAT for Torrents"
ip firewall nat add chain="dstnat" action="dst-nat" protocol="tcp" dst-address="109.87.xxx.yyy" dst-port="5900" to-addresses="192.168.0.10" to-ports="5900" comment="DST-NAT for VNC"
Вот, собственно и всё с базовой настройкой
Источник: http://simferopol.in/topic/1058-router-mikrotik-rb750g/ |
