Прозрачный Proxy-сервер с помощью MikroTik

89 вопросов по настройке mikrotik

Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдете для себя полезную информацию в курсе «Настройка оборудования MikroTik».

Firewall

/ip firewall address-list
add address=192.168.200.0/24 list=LAN-Networks
/ip firewall filter
add action=accept chain=input comment=in_Winbox&SSH-Allow connection-state=
new dst-port=2204,56465 protocol=tcp
add action=accept chain=input comment=in_DNS-from-LAN-Allow dst-port=53 
protocol=udp src-address-list=LAN-Networks
add action=accept chain=input comment=in_E&R-Allow connection-state=
established,related
add action=drop chain=input comment=in-DROP-ALL
add action=accept chain=forward comment=frw_E&R&N-Allow connection-state=
established,related,new
add action=drop chain=forward comment=frw_INVALID-DROP connection-state=
invalid

Tp-link tl-wa5210g — где же купить дешевле? топ-30 цен

Tp-link наружная 2,4 ггц 54 мбит/с беспроводная точка доступа высокой мощности, клиент-маршрутизатор wisp, до 27 дбм, чипсет atheros, 2,4 ггц 802.11b/g/n, высокая чувствительность, встроенная 12 дби направленная антенна, всепогодный корпус, поддержка passive poe

Автоматическое переключение wan каналов

Заключительный этап, это настройка скрипта переключения каналов. Ранее я рассказывал более подробно, как он работает. Нам нужно сказать скрипту следующее (в номерах строк):

• Интерфейсы, 2 и 4;
• Что пингуем, 6;
• Глобально задаём поиск по комментариям, 23-24;
• Переключение на основной, 28-29;
• Переключение на резервный, 35-36.

Т.е. мы регулируем переключение метриками в таблице main, плюс попутно чистим все соединения Connection Tracker.

#Main interface name
:global MainIf ether1
#Failover interface name
:global RsrvIf lte1
:local PingCount 1
:local PingTargets {77.88.8.8; 8.8.8.8}
:local host
:local MainIfInetOk false
:local RsrvIfInetOk false
:local MainPings 0
:local RsrvPings 0
foreach host in=$PingTargets do={
:local res [/ping $host count=$PingCount interface=$MainIf]
:set MainPings ($MainPings   $res)
:local res [/ping $host count=$PingCount interface=$RsrvIf]
:set RsrvPings ($RsrvPings   $res)
:delay 1
}
:set MainIfInetOk ($MainPings >= 1)
:set RsrvIfInetOk ($RsrvPings >= 1)
:put "MainIfInetOk=$MainIfInetOk"
:put "RsrvIfInetOk=$RsrvIfInetOk"
:local MainGWDistance [/ip route get [find comment="ISP1"] distance]
:local RsrvGWDistance [/ip route get [find comment="ISP2"] distance]
:put "MainGWDistance=$MainGWDistance"
:put "RsrvGWDistance=$RsrvGWDistance"
if ($MainIfInetOk && ($MainGWDistance >= $RsrvGWDistance)) do={
/ip route set [find comment="ISP1"] distance=10
/ip route set [find comment="ISP2"] distance=20
:put "switched to MAIN internet connection"
/log info "switched to MAIN internet connection"
/ip firewall connection remove [find]
}
if (!$MainIfInetOk && $RsrvIfInetOk && ($MainGWDistance <= $RsrvGWDistance)) do={
/ip route set [find comment="ISP1"] distance=20
/ip route set [find comment="ISP2"] distance=10
:put "switched to RESERVE internet connection"
/log info "switched to RESERVE internet connection"
/ip firewall connection remove [find]
}

Проверяем все ещё раз и создаём скрипт в system. Проверим, что покажет нам запуск скрипта. Интернет отсутствует за lte1. Причина – я забыл вставить сим-карту :). Исправляемся. Теперь на своём домашнем Mikrotik, который выступает провайдером, заблокируем ICMP и посмотрим, как произойдёт переключение каналов. Как мы видим, метрика на резервном маршруте изменилась. Засовываем команду запуска скрипта в планировщик и живём счастливо.

На этом настройка резервного канала 4G с автопереключением на Микротик закончена. Вы можете спокойно отключать один из каналов и у вас все прекрасно будет работать. Единственная рекомендация, интервал запуска скрипта в планировщике не делать менее 15 сек. Т.к. из-за таймаутов по беспроводке, скрипт может запуститься, не успев отработать.

Выход в интернет

На тестовом стенде провайдером будет мой домашний роутер. Я настрою статический адрес, смотрящий с RB951G в мою домашнюю сеть.

Пропишем маршрут последней надежды с метрикой 10.

Как подружить routeros с 4g модемом hilink

На днях досталась мне задачка — отремонтировать YotaStation 4g, собранной на базе RouterBoard 951Ui-2HnD.

Суть ремонта — заводской недочет, а именно MIMO разъемы модема и разъемы антенны отличались, из-за чего разъемы антенны не держались и часто выпадали, что привело к обрыву одного из разъемов и расшатыванию разъемов модема из-за частого «передергивания».

О перепайке и замене провода от антенны я рассказывать не буду — все очевидно, а вот про настройки RouterOS тут как раз и пойдет речь. К сожалению родной модем, поставляемый с данным девайсом был «Stick» (родной Мегафон, у RouterOS имеется нативная поддержка некоторых операторских модемов).

Еще к большему сожалению привел факт того, что модем «Megafon M100-4» (он же Huawei E3272) приобрести уже невозможно, а находящийся сейчас в продаже «Megafon M150-2» (он же Huawei E3372h) не поддерживается роутером. Ну ничего — подумал я — ведь всегда можно перешиться в HiLink! Но тут меня ждал сюрприз…

Комментариев: 1

А что делать, если модем вообще не хочет обнаружатся, его в интерфейсах нет.

источник

Маршруты по умолчанию в новых таблицах

/ip route add distance=10 gateway=192.168.10.1 routing-mark=table-ISP1 add distance=10 gateway=192.168.254.1 routing-mark=table-ISP2

Картина должна выглядеть следующим образом

Направляем трафик по таблицам

/ip route rule add src-address=192.168.10.254/32 table=table-ISP1 add src-address=192.168.254.2/32 table=table-ISP2 add dst-address=192.168.200.0/24 table=main add routing-mark=to-ISP1-MR table=table-ISP1 add routing-mark=to-ISP2-MR table=table-ISP2

Настраиваем ip сервисы и отключаем хелперы

/ip service set telnet disabled=yes set ftp disabled=yes set www disabled=yes set ssh port=2204 set api disabled=yes set winbox port=56465 set api-ssl disabled=yes /ip firewall service-port set ftp disabled=yes set tftp disabled=yes set irc disabled=yes set h323 disabled=yes set sip disabled=yes set pptp disabled=yes set udplite disabled=yes set dccp disabled=yes set sctp disabled=yes

Настройка mikrotik для работы с 3g/lte модемом

В данной статье мы рассмотрим как настроить Mikrotik Hap для работы с модемом Мегафон M150-2. Эта инструкция подойдет для всех устройств MikroTik которые обладают USB портом. Прошивка у USB модемов бывает двух разновидностей — HiLink и Stick. У нас Stick вариант, если у вас HiLink модем, то инструкция будет отличаться.

Если вы ищете понятный и удобный источник информации по микротикам, то вот он: курс «Настройка оборудования MikroTik». Это видеоучебник, где «без воды» собрана вся базовая информация по работе с MikroTik и RouterOS. Для новичков станет прямым руководствам, опытные инженеры смогут освежить и упорядочить знания.

Что бы определить подойдет ли Вам эта инструкция, подключите USB модем к MikroTik, если модем Stick в разделе Interfaes определяется как PPP-out1 подключение, это наш вариант, а HiLink определяется как LTE интерфейс.

Если ваш модем имеет Stick прошивку, то после того как вы его установите в ПК и установите драйвера, то в диспетчере устройств он будет определяться у вас как, модем (в разделе Телефоны и модемы), а также несколько COM портов. Плюс к этому, для того чтобы выйти в интернет, вам придется запускать специальное ПО под названием дашборд (dashboard).

Если же у вас стоит HiLink прошивка, тогда после установки ПО модем у нас определяется как виртуальная сетевая карта и не требуется устанавливать ПО для подключения к интернету. Модем устанавливает соединение с интернетом автоматически, а для управления настройками модема есть web-интерфейс.

В данной статье мы рассмотрим именно модем Мегафон M150-2 со Stick прошивкой.

Подключается к нашему MikroTik с помощью Winbox.

При первом подключении появится окно:

Будет выведен список стандартных настроек, если нажимаем ОК, то они сохраняются, но мы будем настраивать устройство с нуля, по этому нажимаем Remove Configuration, после чего устройство перезагрузится.

Опять открываем Winbox и переходим на вкладку Neighbors, IP адрес у устройства изменился на 0.0.0.0, по этому мы выбираем MAC Adress нашего устройства и нажимаем Connect.

После чего откроется Winbox, но уже без настроек.

Изначально все порты равнозначны и любой может быть настроен на Uplink, поэтому сделаем разграничение кто куда будет смотреть и за что отвечать.

Переходим на вкладку Bridge

Появится окно создания Bridge, имя можно изменить, мы оставляем и нажимаем ОК.

Переходим на вкладку Ports и добавляем все порты кроме первого (его оставляем под WAN), а так же, беспроводной интерфейс wlan1.

В итоге должно получится так:

Число интерфейсов ether зависит от модели роутера.

После добавления портов в бридж они будут прозрачно пропускать трафик сквозь себя и все подключенные устройства смогут обмениваться данными между собой.

На этом настройка Bridge закончена.

Настройка IP адреса

Переходим в IP -> Addresses и нажимаем

В поле Address вбиваем ip адрес нашего роутера и маску подсети 24 — которая означает подсеть 255.255.255.0, в нашем случае 192.168.0.1/24 и выбираем ранее созданный bridge1 и нажимаем ОК.

После этого устройство будет доступно по адресу 192.168.0.1

Настройка DNS.

Что бы роутер мог работать в качестве DNS сервера и отвечать на запросы клиентских компьютеров перейдем в IP->DNS

В поле Dynamic Servers появились DNS сервера автоматически, которые предоставляет Мегафон. Так же ставим галочку Allow Remote Requests и нажимаем OK.

Настройка DHCP сервера

Для того, чтобы подключенные устройства могли получать сетевые настройки автоматически с роутера, на нем необходимо настроить DHCP сервер. Заходим в IP -> DHCP Server и нажимаем DHCP Setup. Интерфейс выбираем ранее созданный bridge1 и нажимаем Next.

Теперь нужно выбрать адресное пространство, из которого будут выдаваться ip адреса. По умолчанию указана подсеть, в которую входит ip адрес роутера. Нажимаем Next.

На второй вкладке видим настройки шлюза

На следующей вкладке предложат заполнить пул адресов, которые будут выдаваться клиентам

Вводим настройки DNS сервера

Время на которое выдается ip адрес (по умолчанию 3 дня)

На последнем шаге появиться окно об успешной настройки DHCP сервера

Далее подключаем наш USB модем к Mikrotik и заходим в раздел Interfaces

Наш модем определился как ppp-out1, открываем это подключение и нажимаем Enable. (Если наш модем не появился, нажимаем и выбираем PPP Client)

Так же в раздел APN вводим APN провайдера, у Мегафона это internet.

На вкладке PPP нажимаем Advanced и в поле «Phone» необходимо указать номер для дозвона, в нашем случае это *99#. Так же снять галочку «Dial On Demand» (установка соединения по требованию), чтобы модем всегда был активен и нажимаем ОК.

Если вы думаете что на этом настройка закончилась — то ошибаетесь. Какие-либо другие модемы, после подобной настройки сразу же бы подняли соединение и получили доступ в интернет, однако, не наш модем, поэтому продолжаем настройку.

Нам нужно сделать самое главное — а именно переключить модем в нужную композицию, иначе соединение не установится. Нажимаем New Terminal и соединяемся с командным AT-портом модема:

/system serial-terminal usb1 channel=1Соединяемся на COM-порт модема и вводим там команду ATE1 для включения локального эха, чтобы вы видели что вы набираете в терминале. Далее вводим команду:

AT^CURC=0 (для того чтобы модем не сыпал в порт RSSI (Received Signal Strength Indication) и прочим)

И наконец вводим команду смены композиции модема:AT^SETPORT=»FF;10,12,16,A2″ — режим «без переключения». Т.е. в данном режиме первичная композиция модема (initial mode) отключена, т.е. задана как FF — Dummy (отсутствие переключения), а вторичная композиция (normal mode) задана как 10,12,16,A2 — т.е. 10 — модем, 12 — PC UI, 16 — RNDIS (у нас его нет), A2 — TF Card Reader.

После чего вынимаем модем из Mikrotik и вставляем его по новой. Модем будет находиться уже в рабочей композиции, поэтому соединение ppp-out1, когда он зарегистрируется в сети оператора должно подняться у вас в Mikrotik автоматически:

Осталось настроить только NAT.

Для этого в меню IP -> Firewall заходим на вкладку NAT и на добавляем новое правило, где указываем Chain — srcnat и Out.interface — ppp-out1

На вкладке Action выбираем действие правила из списка – masquerade. Нажимаем Ok. Теперь все компьютеры в локальной сети могут получить доступ в Интернет.

Настройка безопасности.

В последнее время участились случае, когда различные боты и сетевые вирусы перебирать пароли для получения не санкционированного доступа на устройство. Что бы обезопасить себя от таких проблем следует отключить все службы, предоставляемые устройством, кроме доступа через winbox.

Настройка rb951g под два провайдера

Данный девайс у нас в Blank конфиге. Начинаем все с чистого листа. Модем пока не подключаем.

Настройка автоматического переключения каналов

Для того, чтобы микротик понимал, с какого интерфейса трафик ушёл и на какой пришёл, нам нужно промаркировать его. Так же нам это нужно, чтобы скрипт понимал из-под какого интерфейса есть доступ в интернет, а из-под какого нет. Ранее я это описывал как делать в Winbox (вставить ссылку на dual wan), здесь, я сделаю упор на CLI.

Настройка локальной сети

Создаём Bridge-LAN.

Добавляем порты с ether2-ether5 и wlan1.

Навешиваем на него адрес локальной сети.

Прозрачный proxy-сервер с помощью mikrotik

Прошиваем модем

• Извлекаем его из ПК;
• Удаляем все коннект менеджеры, причём не важно, от какого оператора;
• Устанавливаем последовательно 3 драйвера:

1. HUAWEI_DataCard_Driver_5.05.01.00_Setup;
2. FC_Serial_Driver_Setup;
3. HUAWEI_HiLink_Switch_Driver_Setup;

У меня сразу открылась веб-морда свистка. Если у вас такого не произошло, то просто отключите / подключите его в ПК или сетевой RNDIS интерфейс в центре управления сетями и общим доступом.

Я предлагаю сразу изменить IP адресацию. Заходим во вкладку настройки. Пишем 192.168.254.1 и диапазон раздаваемых адресов сразу изменится. Применяем. У вас выскочит предупреждение что устройство перезагрузится – соглашаемся.

Обращаю ваше внимание на диапазон IP-адресов DHCP, мы в принципе можем выключить их раздачу, но если по какой-либо причине вам это нужно, то лучше эти параметры не менять.

Проверим что адресация изменилась.

Для справки, во вкладке Виртуальный сервер, вы можете настроить проброс портов. Но это больше для тех, у кого статический белый адрес.

Прошивка из stick в hilink

Ранее я говорил, как отличить обе эти прошивки, чем одна лучше другой и т.д. Но для настройки автопереключения каналов в сценарии, когда второй провайдер работает через «свисток» у нас встаёт одна проблема. В Stick прошивке, мы всегда получаем динамический серый адрес из сети провайдера (за исключением случаев с юридическими лицами, там ситуация может быть получше).

И для того, чтобы скрипт переключения каналов отработал корректно, нужно иметь статические адреса на внешних интерфейсах. Причём не важно, отдаёт вам его провайдер белый или серый, главное, чтобы он не менялся. Вот именно эту проблему и решает смена прошивки.

Разлочка под всех операторов

1. Первым делом разлочиваем модем. Вставляем его в ПК, устанавливаем коннект менеджер, вместе с ним и установятся драйвера;
2. Узнаем IMEI модема. Он обычно находится под крышкой, рядом с отсеком SIM-карты;
3. Качаем HUAWEI Unlock code калькулятор;
4. Вводим в поле IMEI и жмем Calc. Сохраняем коды: v201, Flash, и на всякий случай v2;
5. Вставляем симку от другого оператора, вставляем модем в ПК. В коннект менеджере выскочит окошко, с требованием ввести код разблокировки, пишем туда v201 код и жмём ок (если не получилось, то v2 code);

Все, после этого свисток поддерживает всех операторов.

Роутеры wifi tp-link tl-wa5210g | купить в интернет-магазине / оборудование wifi: роутеры wifi, антенны wifi, точки доступа wifi, коммутаторы wifi / ubiquiti edgerouter pro| роутеры wifi| купить в интернет-магазине / tehmark

Создаём правило маркировки для isp1

/ip firewall mangle add action=mark-connection chain=prerouting comment=out-in-ISP1 in-interface= ether1 new-connection-mark=from-ISP1-WAN passthrough=yes add action=mark-routing chain=prerouting connection-mark=from-ISP1-WAN  new-routing-mark=to-ISP1-MR passthrough=yes add action=mark-routing chain=output connection-mark=from-ISP1-WAN  new-routing-mark=to-ISP1-MR passthrough=yes add action=mark-routing chain=output new-routing-mark=to-ISP1-MR passthrough= yes src-address=192.168.10.254

Создаём правило маркировки для isp2

/ip firewall mangle add action=mark-connection chain=prerouting comment=out-in-ISP2 in-interface= lte1 new-connection-mark=from-ISP2-WAN passthrough=yes add action=mark-routing chain=prerouting connection-mark=from-ISP2-WAN  new-routing-mark=to-ISP2-MR passthrough=yes add action=mark-routing chain=output connection-mark=from-ISP2-WAN  new-routing-mark=to-ISP2-MR passthrough=yes add action=mark-routing chain=output new-routing-mark=to-ISP2-MR passthrough= yes src-address=192.168.254.2

Тестовый стенд

• Mikrotik RB951G;
• Megafon M100-4 (он же Huawei E3372);
• RouterOS 6.48.3;
• Статический публичный IP адрес для проводного доступа в интернет.

Tp-link tl-wa5210g купить отзывы и характеристики