Приведу пример изменения диапазона IP адресов для локально сети. По умолчанию используется 192.168.88.0/24, но бывают случаи когда в организации используется другая подсеть и необходимо установить новый MikroTik или когда в одной сети используется несколько MikroTik устройств, или пользователи используют несколько MikroTik маршрутизаторов подключенных цепочкой.
Читать далее «MikroTik. Как изменить IP адреса локальной сети»Архивы рубрик:MikroTik
Скрипт резервного копирования MikroTik
В этой статье я приведу пример скрипта для резервного копирования конфигурации MikroTik устройств.
Читать далее «Скрипт резервного копирования MikroTik»Настройка DHCP Snooping на MikroTik
Приведу пример настройки DHCP Snooping на MikroTik (RouterOS), чтобы блокировать сторонние DHCP сервера:
Читать далее «Настройка DHCP Snooping на MikroTik»Настройка Hairpin NAT на RouterOS (Mikrotik)
В этой статье я приведу пример настройки Hairpin NAT на RouterOS (Mikrotik).
Бываю случаи когда в локальной сети находится например сервер или видеорегистратор, порты к которому проброшены в фаерволе, но подключиться можно только из других сетей, а из локальной сети получается только по локальному IP адресу, но не по внешнему, что на WAN интерфейсе маршрутизатора.
Читать далее «Настройка Hairpin NAT на RouterOS (Mikrotik)»Настройка Loop Protect в RouterOS (MikroTik)
Наконец-то начиная с версии RouterOS v6.37 и выше появилась защита от петель.
Loop Protect можно включить на интерфейсах ethernet, vlan, eoip, eoipv6.
Через WEB и Winbox на странице настроек интерфесов, открыв меню Interfaces.
Через CLI, нужно перейти в необходимое подменю:
/interface ethernet /interface vlan /interface eoip /interface eoipv6
Настройка UPnP в MikroTik
UPnP (Universal Plug and Play) — универсальная автоматическая настройка сетевых устройств, автоматически открывает порты для p2p приложений, игр и т.д.
Читать далее «Настройка UPnP в MikroTik»Настройка MikroTik пополам как роутер и свич
Приведу пример настройки MikroTik как два разных устройства, коммутатор(свич) и маршрутизатор(роутер).
Порты 1-5 и sfp1 будут работать как свич, в качестве роутера будут порты: LAN 6-9 и wlan1, WAN — 10.
Настройка VPN IPSec/L2TP сервера на Mikrotik
Приведу пример настройки VPN IPSec/L2TP сервера на Mikrotik, чтобы можно было подключаться к нему из Windows, MacBook, iPhone и т.д.
1) Добавим диапазон IP-адресов для DHCP открыв «IP» — «Pool» и указав:
Name: vpn_pool
Addresses: 192.168.5.1-192.168.5.15
Next pool: none
Из терминала так:
ip pool add name=vpn_pool ranges=192.168.5.1-192.168.5.15
2) Добавим профиль в «PPP» — «Profiles»
Name: l2tp_profile
Local address: vpn_pool (можно указать default 192.168.88.1)
Remote address: vpn_pool
Change TCP MSS: yes
Остальное не трогаем и оставим в default
Из терминала так:
ppp profile add change-tcp-mss=yes local-address=vpn_pool name=l2tp_profile remote-address=vpn_pool
3) Добавим пользователя в «PPP» — «Secrets»
Name: ЛОГИН
Password: ПАРОЛЬ
Service: l2tp
Profile: l2tp_profile
Из терминала так:
ppp secret add name=ЛОГИН password=ПАРОЛЬ profile=l2tp_profile service=l2tp
4) Включим сервер в «PPP» — «Interface» — «L2TP Server»
Enabled: yes
MTU/MRU: 1450
Keepalive Timeout: 30
Default profile: l2tp_profile
Authentication: mschap2
Use IPSec: yes
IPSec Secret: КЛЮЧ_ШИФРОВАНИЯ (также указывается в клиентах)
Из терминала так:
interface l2tp-server server set authentication=mschap2 default-profile=l2tp_profile enabled=yes ipsec-secret=КЛЮЧ use-ipsec=yes
5) «IP» — «IPSec» — «Peers»
Address: 0.0.0.0/0
Port: 500
Auth method: pre shared key
Exchange mode: main l2tp
Passive: yes (set)
Secret: КЛЮЧ_ШИФРОВАНИЯ (также указывается в клиентах)
Policy template group: default
Send Initial Contact: yes
NAT Traversal: yes
My ID Type: auto
Generate policy: port override
Lifitime: 1d 00:00:00
DPD Interval: 120
DPD Maximum failures: 5
Proposal check: obey
Hash algorithm: sha1
Encryption Algorithm: 3des aes-128 aes-256
DH Group: modp 1024
Из терминала так:
ip ipsec peer add address=0.0.0.0/0 enc-algorithm=aes-256,aes-128,3des exchange-mode=main-l2tp generate-policy=port-override passive=yes secret=КЛЮЧ
6) «IP» — «IPSec» — «Proposals»
Name: default
Auth algorithms: sha1
Enrc. algorithms: 3des, aes-256 cbc, aes-256 ctr
Life time: 00:30:00
PFS Group: mod 1024
Из терминала так:
ip ipsec proposal set [ find default=yes ] enc-algorithms=aes-256-cbc,aes-256-ctr,3des
7) «Firewall» — «Add New»
Добавим первое правило разрешающее входящие VPN соединения:
Chain: Input
Protocol: udp
Any. Port: 1701,500,4500
Action: Accept
И второе:
Chain: Input
Protocol: ipsec-esp
Action: Accept
Из терминала так:
ip firewall filter add chain=input action=accept protocol=udp port=1701,500,4500 ip firewall filter add chain=input action=accept protocol=ipsec-esp
Правила должны находится в начале списка.
На этом настройка завершена, можно подключаться.
Смотрите также:
Настройка удаленного доступа в маршрутизаторах Mikrotik
Резервное копирование конфигурации MikroTik
Сделать резервную копию конфигурации MikroTik устройств можно несколькими способами:
Читать далее «Резервное копирование конфигурации MikroTik»Ограничение скорости на MikroTik через Queues
Понадобилось однажды на секторной антенне ограничить трафик для любителей покачать торрентами. Точку настраивал и описывал в этой статье — MikroTik RB912UAG-2HPnD (BaseBox 2) + Ubiquiti Sector. В моём случае скорость регулирует биллинг, но захотелось для теста ограничить средствами MikroTik.
Читать далее «Ограничение скорости на MikroTik через Queues»