Архивы рубрик:MikroTik

Настройка Hairpin NAT на RouterOS (Mikrotik)

В этой статье я приведу пример настройки Hairpin NAT на RouterOS (Mikrotik).

Бываю случаи когда в локальной сети находится например сервер или видеорегистратор, порты к которому проброшены в фаерволе, но подключиться можно только из других сетей, а из локальной сети получается только по локальному IP адресу, но не по внешнему, что на WAN интерфейсе маршрутизатора.

Читать далее «Настройка Hairpin NAT на RouterOS (Mikrotik)»

Настройка Loop Protect в RouterOS (MikroTik)

Наконец-то начиная с версии RouterOS v6.37 и выше появилась защита от петель.
Loop Protect можно включить на интерфейсах ethernet, vlan, eoip, eoipv6.
Через WEB и Winbox на странице настроек интерфесов, открыв меню Interfaces.

Через CLI, нужно перейти в необходимое подменю:

/interface ethernet
/interface vlan
/interface eoip
/interface eoipv6

Читать далее «Настройка Loop Protect в RouterOS (MikroTik)»

Настройка UPnP в MikroTik

UPnP (Universal Plug and Play) — универсальная автоматическая настройка сетевых устройств, автоматически открывает порты для p2p приложений, игр и т.д.

В Winbox настройки можно найти открыв «IP» — «UPnP«.

Для включения поставим галочку напротив Enabled.

Теперь нужно указать интерфейсы, нажмем «Interfaces» и «Add New«.
Добавим внешний (external) WAN порт, обычно это ether1-gateway.
Добавим внутренний (internal) порт или бридж, например bridge.
На этом настройка завершена.

Приведу пример как это будет выглядеть через консоль:

ip upnp set enabled=yes
ip upnp interfaces add interface=ether1-gateway type=external
ip upnp interfaces add interface=bridge type=internal

Настройка MikroTik пополам как роутер и свич

Приведу пример настройки MikroTik как два разных устройства, коммутатор(свич) и маршрутизатор(роутер).
Порты 1-5 и sfp1 будут работать как свич, в качестве роутера будут порты: LAN 6-9 и wlan1, WAN — 10.

Читать далее «Настройка MikroTik пополам как роутер и свич»

Настройка VPN IPSec/L2TP сервера на Mikrotik

Приведу пример настройки VPN IPSec/L2TP сервера на Mikrotik, чтобы можно было подключаться к нему из Windows, MacBook, iPhone и т.д.

1) Добавим диапазон IP-адресов для DHCP открыв «IP» — «Pool» и указав:
Name: vpn_pool
Addresses: 192.168.5.1-192.168.5.15
Next pool: none
Из терминала так:

ip pool add name=vpn_pool ranges=192.168.5.1-192.168.5.15

2) Добавим профиль в «PPP» — «Profiles»
Name: l2tp_profile
Local address: vpn_pool (можно указать default 192.168.88.1)
Remote address: vpn_pool
Change TCP MSS: yes
Остальное не трогаем и оставим в default
Из терминала так:

ppp profile add change-tcp-mss=yes local-address=vpn_pool name=l2tp_profile remote-address=vpn_pool

3) Добавим пользователя в «PPP» — «Secrets»
Name: ЛОГИН
Password: ПАРОЛЬ
Service: l2tp
Profile: l2tp_profile
Из терминала так:

ppp secret add name=ЛОГИН password=ПАРОЛЬ profile=l2tp_profile service=l2tp

4) Включим сервер в «PPP» — «Interface» — «L2TP Server»
Enabled: yes
MTU/MRU: 1450
Keepalive Timeout: 30
Default profile: l2tp_profile
Authentication: mschap2
Use IPSec: yes
IPSec Secret: КЛЮЧ_ШИФРОВАНИЯ (также указывается в клиентах)
Из терминала так:

interface l2tp-server server set authentication=mschap2 default-profile=l2tp_profile enabled=yes ipsec-secret=КЛЮЧ use-ipsec=yes

5) «IP» — «IPSec» — «Peers»
Address: 0.0.0.0/0
Port: 500
Auth method: pre shared key
Exchange mode: main l2tp
Passive: yes (set)
Secret: КЛЮЧ_ШИФРОВАНИЯ (также указывается в клиентах)
Policy template group: default
Send Initial Contact: yes
NAT Traversal: yes
My ID Type: auto
Generate policy: port override
Lifitime: 1d 00:00:00
DPD Interval: 120
DPD Maximum failures: 5
Proposal check: obey
Hash algorithm: sha1
Encryption Algorithm: 3des aes-128 aes-256
DH Group: modp 1024
Из терминала так:

ip ipsec peer add address=0.0.0.0/0 enc-algorithm=aes-256,aes-128,3des exchange-mode=main-l2tp generate-policy=port-override passive=yes secret=КЛЮЧ

6) «IP» — «IPSec» — «Proposals»
Name: default
Auth algorithms: sha1
Enrc. algorithms: 3des, aes-256 cbc, aes-256 ctr
Life time: 00:30:00
PFS Group: mod 1024
Из терминала так:

ip ipsec proposal set [ find default=yes ] enc-algorithms=aes-256-cbc,aes-256-ctr,3des

7) «Firewall» — «Add New»
Добавим первое правило разрешающее входящие VPN соединения:
Chain: Input
Protocol: udp
Any. Port: 1701,500,4500
Action: Accept
И второе:
Chain: Input
Protocol: ipsec-esp
Action: Accept
Из терминала так:

ip firewall filter add chain=input action=accept protocol=udp port=1701,500,4500
ip firewall filter add chain=input action=accept protocol=ipsec-esp

Правила должны находится в начале списка.

На этом настройка завершена, можно подключаться.

Смотрите также:
Настройка удаленного доступа в маршрутизаторах Mikrotik

Резервное копирование конфигурации MikroTik

Сделать резервную копию конфигурации MikroTik устройств можно несколькими способами:

1) Через веб интерфейс или WinBox слева в меню выбрать Files и нажать клавишу Backup и еще раз Backup, после чего в памяти устройства будет создан файл с резервной копией настроек. Например после сброса настроек устройства их можно будет восстановить из этого файла, там же открыв Files, выбрав нужный файл и нажав кнопку Restore, устройство перезагрузится.
Из терминала, посмотреть список файлов в памяти, сделать резервную копию и восстановиться из нее можно так:

file print
system backup save name=file
system backup load name=file

Из этого файла выполнить восстановление можно лишь на том устройстве где он был сделан, так как восстанавливаются также mac-адреса интерфейсов.

2) Следующий вариант, это экспортировать конфигурацию (список команд) в файл, которые потом можно выполнить на других устройствах, тем самым перенести конфигурацию.
Об этом я писал в слеюдующей статье Как посмотреть конфигурацию MikroTik

Ограничение скорости на MikroTik через Queues

Понадобилось как-то на секторной антенне ограничить трафик для любителей покачать торрентами. Точку настраивал и описывал в этой статье — MikroTik RB912UAG-2HPnD (BaseBox 2) + Ubiquiti Sector. В моём случае скорость регулирует биллинг, но захотелось для теста ограничить средствами MikroTik.

Хочу заметить что если включена функция FastTrack, то Simple Queues не будут работать.

Приведу пример команды добавления queue правила (где 192.168.50.0/24 подсеть для которой ограничивается скорость):

queue simple add name=queue1 target=192.168.50.0/24 max-limit=3M/3M

Если для для подсети ограничена скорость и кому-то нужно из этой сети убрать ограничение, то добавим новое правило в котором укажем max-limit=0/0 и разместим его в начале списка.

Через WEB и Winbox откроем слева меню Queues и в первой вкладке Simple Queues нажмем Add New и укажем:

Name: имя ограничения на свое усмотрение
Target: для кого будет действовать ограничение, например вся подсеть 192.168.50.0/24 или один адрес 192.168.50.144/32
Max Limit: тут укажем ограничение скорости закачки и отдачи
Жмем OK и простое правило готово.

Можно также указать время когда нужно ограничивать скорость, тогда правило будет автоматически включаться и выключаться.

Как ловить широковещательный флуд на MikroTik устройствах

Понадобилось как-то в одной сети определить откуда идут скачки широковещательного трафика, из-за которых на устройствах повышалась загрузка процессора и появлялись перебои с интернетом.
Сетевое оборудование использовалось от MikroTik.

Подключившись к MikroTik указанной ниже командой посмотрим статистику трафика на портах, а именно приходящий на порт широковещательный трафик «Rx Broadcast«, так как это счетчик пакетов, то цифра должна расти если приходит флуд, если не меняется, то все хорошо:

interface ethernet print stats interval=1

Вот пример просмотра статистики конкретного порта (где ether2 — имя интерфейса, оно может быль разным, зависит от того как его назвали при настройке):

interface ethernet print stats from ether2 interval=1

Посмотреть список портов/интерфейсов можно командой:

interface print

Таким способом по цепочке дойдем до конечного порта от которого идет broadcast флуд и если нужно отключим его командой (где NUMBER — номер порта по порядку в таблице которую можно посмотреть командой выше):

interface disable NUMBER

Для включения порта:

interface enable NUMBER

Через WEB или Winbox можно посмотреть статистику открыв слева меню Interfaces и во вкладке Interface посмотрим каждый интерфейс.

Пример обнуления статистики портов:

interface ethernet reset-counters ether2
interface ethernet reset-counters ether2,ether3,ether4,ether5

На CRS моделях MikroTik, можно включить контроль broadcast трафика, к примеру 100 пакетов в секунду на порт ether3 (аналогично для других портов):

interface ethernet switch ingress-port-policer add port=ether3 rate=100 meter-unit=packet packet-types=broadcast

В дальнейшем можно наблюдать за сетью например через систему Zabbix, в которой настроить отображение графиков широковещательных пакетов и если счетчик пакетов начинает расти, то система уведомит об этом.

Решение ошибки «router was rebooted without proper shutdown» в MikroTik

Попросили как-то выяснить причину частой перезагрузки роутера MikroTik.
В логах при включении устройства постоянно отображалась ошибка:

Читать далее «Решение ошибки «router was rebooted without proper shutdown» в MikroTik»