Четверг
21.09.2017, 20:45
Приветствую Вас Гость | RSS
Главная Каталог статей Регистрация Вход
Меню сайта

Категории раздела
Разное [15]
Документация [18]
Авторские статьи [45]

Поиск

Свежие статьи
Динамическое деление скоро...
port knocking на mikrotik
Установка NGINX без прав R...
Как настроить время (NTP S...
Настраеваем CROND
Биллинг MikBill на UBUNTU
Даунгрейд PHP до версии 5....
Устанавливаем в Ubuntu 10....
Как настроить MySQL
Как настроить ZendOptimize...

Форма входа
Логин:
Пароль:

Главная » Статьи » Авторские статьи

Настройка микротик для провайдера Triolan
1. Подключение.
В стандартной прошивке раутер настроен так — порт 1 предназначен для подключения провайдера, порты 2-5 собраны в свитч для локальной сети и имеют адрес 192.168.88.1/24. Берём патчкорд (прямой или перевёрнутый — без разницы, раутер сам определит тип), соединяем им сетевую карту компа (да, в дальшейшем подразумевается, что на компе — WinXP) и любой из портов 2-5. Сетевой карте назначаем адрес из сетки 192.168.88.0/24 — например, 192.168.88.10/24. Открываем браузер и идём на http://192.168.88.1 , в открывшейся странице ищем и скачиваем утилиту Winbox (в принципе — раутер частично можно настроить и через Webbox, , т.е. через тот же браузер. Но именно что частично — полная настройка возможна только через Winbox или командную строку, тут уж кому как нравится). Запускаем Winbox и подключаемся к раутеру (базово: логин — admin, пароль пустой), заметим, что подключение возможно как по ip, так и по mac-адресу (стандартные mac-адреса портов раутера указаны на упаковке), лично я предпочитаю подключаться по mac.

2. Что мы хотим настроить?
Получить мы хотим счастья и побольше, понятное дело. В данном случае — компы, расположенные в локальной сети за раутером, должны получить прозрачный доступ в интернет, кроме того — провайдер предоставляет сервис IPTV, так что и это нам тоже нужно. Далее — с одного из компов должны скачиваться и раздаваться торренты, к этому компу было бы неплохо настроить доступа по VNC с определённых адресов из интернета (понятно для чего — прицепиться к домашнему компу из офиса и поставить качать на вечер свеженький прон :) ). Ну и, конечно, настраиваем DHCP и DNS — мы же не хотим прописывать сетевые настройки на каждой из машин нашей сети.
Определяемся с портами на раутере:
порт 1 — подключение к провайдеру Triolan
порт 2 — подключение к резервному провайдеру (оставляю на будущее, сейчас временно использую только одно подключение)
порты 3-5 — локальная сеть

3. Настройка.

3.1. Настройка портов
Запускаем Winbox и подключаемся к раутеру в порт 3 по mac-адресу. Заходим в Interfaces, настраиваем и переименовываем порты:
порт 1 — ether1-gateway1 — master port: none
порт 2 — ether2-gateway2 — master port: none
порт 3 — ether3-local-master — master port: none
порт 4 — ether4-local-slave — master port: 3
порт 5 — ether5-local-slave — master port: 3
Что такое master и slave порты? В принципе — всё просто. Master — это независимый порт, с собственным ip-адресом и т.д. Порт slave же получает адрес и всё остальное от назначенного ему master-порта. В нашем случае порты 3-5 образуют своего рода свитч.

3.2. Настройка локальной сети
Заходим в IP —> Addresses, удаляем дефолтные настройки, назначаем для ether3-local-master адрес 192.168.0.1/24. Заходим в IP —> DHCP Server, удаляем дефолтные настройки. Далее настраиваем DHCP-сервер (мне удобнее это было сделать из командной строки):
ip pool add name="HomePool" ranges="192.168.0.2-192.168.0.254"
ip dhcp
-server add name="HomeDHCP" interface="ether3-local-master" address-pool="HomePool" disabled="no"
ip dhcp
-server network add address="192.168.0.0/24" gateway="192.168.0.1" dns-server="192.168.0.1" domain="home"

DHCP-сервер настроен, можно проверять на клиентских машинах. Подключившиеся машины можно увидеть в IP —> DHCP Server —> Leases, там же можно назначить выдачу одного и того же адреса для машины с торрент-клиентом (в моём случае — я «привязал» к её mac'у адрес 192.168.0.10)

3.3. Логины и пароли
Теперь самое время немного позаботиться о безопасности. Заходим в System —> Users, добавляем пользователя schwein, группа full, назначаем пароль. Для дефолтного пользователя admin указываем, что Allowed Address — 192.168.0.0/24. Можно, конечно, и вообще его отключить :)

3.4. Настройка подключения к интернету
Заходим в IP —> Addresses, для ether1-gateway1 прописываем наш адрес из сетки провайдера — 109.87.xxx.yyy/24. Указываем маршрут по умолчанию:
ip route add gateway="109.87.xxx.254"

Далее нам надо настроить NAT, дабы машины из локальной сети получали интернет:
ip firewall nat add out-interface="ether1-gateway1" chain="srcnat" action="masquerade"

Настраиваем DNS-сервер:
ip dns set servers="109.86.2.2,109.86.2.21,208.67.222.222"

ну или заходим в IP —> DNS —> Settings, прописываем адреса DNS-серверов, ставим галку на Allow Remote Request
После всего этого — проверяем на клиентских машинах доступ с интернету, всё должно работать :)

3.5. Настраиваем IPTV, фильтрацию пакетов и проброс портов
Для настройки проброса IPTV в локальную сетку нам нужно настроить на раутере igmp proxy. В дефолтной прошивке его нет, потому надо зайти на оффсайт и скачать архив со всеми пакетами для RB750G. Из полученного архива нас интересует пакет multicast.npk, который и заливаем в раутер (детальнее о процессе обновления — здесь). После перезагрузки снова подключаемся к раутеру и настраиваем igmp proxy:
routing igmp-proxy interface add comment="Upstream" disabled="no" interface="ether1-gateway1" threshold="1" upstream="yes" alternative-subnets="10.5.200.0/24"
routing igmp
-proxy interface add comment="Downstream" disabled="no" interface="ether3-local-master" threshold="1"
routing igmp
-proxy set quick-leave="yes" query-interval="00:01:00" query-response-interval="00:00:10"

Вы спросите — а откуда взялась сетка 10.5.200.0/24? Не буду утомлять долгими рассуждениями — когда я настроил прокси без указания этой alternative-subnets, то никакого IPTV на локальном компе не было. Тогда я позакрывал все ненужные приложения, генерящие трафик, на раутере запустил Tools —> Packet Sniffer, подёргал плеер, пытаясь переключаться между каналами, после чего поглядел — какие пакеты куда и как ходят. Так и обнаружился 10.5.200.1 — на всякий случай добавил всю /24 сеть.
Теперь укажем список «внешних» IP-адресов, с которых будет доступны проброс портов по vnc на машину в локалке, а также ssh-соединение с самим раутером:
ip firewall address-list add address="195.49.xxx.yyy" list="Office" comment="Allowed foreign IP"
ip firewall address
-list add address="193.33.xxx.yyy" list="Office" comment="Allowed foreign IP"
ip firewall address
-list add address="193.33.xxx.zzz" list="Office" comment="Allowed foreign IP"

Ну а теперь завершающий штрих — фильтры и проброс портов:
ip firewall filter add chain="input" action="accept" protocol="icmp" comment="Allow ICMP"
ip firewall filter add chain
="input" action="accept" protocol="igmp" comment="Allow IGMP"
ip firewall filter add chain
="input" action="accept" connection-state="established" in-interface="ether1-gateway1" comment="Allow established connections"
ip firewall filter add chain
="input" action="accept" connection-state="related" in-interface="ether1-gateway1" comment="Allow related connections"
ip firewall filter add chain
="input" action="accept" src-address-list="Office" protocol="tcp"dst-port="22" in-interface="ether1-gateway1" comment="Allow SSH"
ip firewall filter add chain
="input" action="drop" in-interface="ether1-gateway1" comment="Drop all"
ip firewall filter add chain
="forward" action="accept" connection-state="established" comment="Allow established connections"
ip firewall filter add chain
="forward" action="accept" connection-state="related" comment="Allow related connections"
ip firewall filter add chain
="forward" action="accept" src-address-list="Office" protocol="tcp" dst-port="5900" comment="Allow VNC"
ip firewall filter add chain
="forward" action="accept" protocol="tcp" dst-port="25245" comment="Allow Torrent"
ip firewall filter add chain
="forward" action="accept" protocol="udp" comment="Allow UDP"
ip firewall filter add chain
="forward" action="accept" protocol="icmp" comment="Allow ICMP"
ip firewall filter add chain
="forward" action="accept" protocol="igmp" comment="Allow IGMP"
ip firewall filter add chain
="forward" action="accept" src-address="192.168.0.0/24" comment="Allow all for local net"
ip firewall filter add chain
="forward" action="accept" dst-address="192.168.0.0/24" comment="Allow all for local net"
ip firewall filter add chain
="forward" action="drop" comment="Drop all"
ip firewall nat add chain
="dstnat" action="dst-nat" protocol="tcp" dst-address="109.87.xxx.yyy" dst-port="25245" to-addresses="192.168.0.10" to-ports="25245" comment="DST-NAT for Torrents"
ip firewall nat add chain
="dstnat" action="dst-nat" protocol="tcp" dst-address="109.87.xxx.yyy" dst-port="5900" to-addresses="192.168.0.10" to-ports="5900" comment="DST-NAT for VNC"


Вот, собственно и всё с базовой настройкой :)


Источник: http://simferopol.in/topic/1058-router-mikrotik-rb750g/

Спонсоры данной статьи


Категория: Авторские статьи | Добавил: -=shurf=- (22.02.2011) | Автор: Schwein
Просмотров: 19206 | Комментарии: 8 | Теги: Триолан и микротик, iptv, пример настройки микротик. | Рейтинг: 0.0/0

Настройка Mikrotik
Mikrotik - списки и группы адр...
Mikrotik - cкидання пароля ()
Защита mikrotik от внешних вто...
Как настроить MySQL
Серверные сценарии ч.1
Mikrotik. Поднимаем VPN туннел...
Mikrotik - QoS, Bandwidth cont...
MCS – система управления Mikro...
Разделение скорости
NAT

Всего комментариев: 4
3  
настроил все по инструкции, но iptv не заработало. фаервол вообще отключил.
куда копать?

4  
Подсказать не могу, так как сам сижу без iptv sad
Скажи какой версии у тебя routerOS и на чем он крутится ?

1  
Привет! пожалуйста помогите мне у нас микротик 1.9.6 установлен ранши я зашел к микротику через сеть winbox сейчас не заходит парол пользовател работает самого компа которое установлен микротик через сеть не работает настроил vpn после этого перестал работат winbox я не знаю какие каманда надо писат на командном сраке пожлуйста Я думаю firewall. Как добавит мой ip к firewall через командный страка мой адрес saloh83@mail.ru заранее спосибо.

2  
на электронку отправил что и как нужно сделать

Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
Профиль
Привет: Гость

Сообщения:

Гость, мы рады вас видеть. Пожалуйста зарегистрируйтесь или войдите!

Реклама

Наш опрос
Нужен ли этому сайту форум?
Всего ответов: 55

Нашел ошибку?
Система Orphus

Статистика

Онлайн всего: 2
Гостей: 1
Пользователей: 1
Kamorkaskn



Бесплатный хостинг uCoz