Микротик – бюджетное сетевое оборудование с которым я познакомился лет 7 назад, тогда ещё железки были либо дорогие (хотя сравнительно дешевле брендового оборудования типа Cisco) и достать Mikrotik на тот момент было достаточно сложно, если не ошибаюсь продавала лишь 1 компания в Москве, но, можно было купить версию для ПК (как и сейчас). Возникла необходимость как минимум контролировать трафик филиалов, а так же поднимать VPN для удаленного решения срочных вопросов филиалов, ну и кроме того безусловно хотелось максимальную безопасность, так как до этого интернет раздавался и поднимался по средствам машины на Windows XP одного из сотрудников филиала, что, в принципе было не очень хорошим вариантом как по безопасности так и по надежности.
В итоге выбор пал на Mikrotik, который устанавливали на древние, но рабочие машины типа Pentium 166, которого вполне хватало для всех нужд. Машины мы предварительно настраивали – либо сам микротик поднимал соединение, либо модем подключенный к сетевухе компьютера (сетевух было 2 – одна на инет, вторая на офисный хаб). Из 10 филиалов, по моему не с первого раза заработало лишь у двух, но мы тут же поднастроили с местными приходящими админами под нашим телефонным контролем, остальные встали «с нуля» без каких либо проблем. Всегда старались делать так, чтобы модем был бриджем, а поднимал соответственно соединение микротик, когда это не представлялось быть возможным (к примеру в случае когда провайдер ни в какую не давал пароль от своего модема), тогда мы договаривались хотя бы на настройку редиректа порта для настройки Winbox’ом (такое было лишь в одном случае).
Со временем мы заменили издыхающие системники на железки от микротика, тогда они уже стали доступными для всех. Итак, перейдем к разбору настроек, для начала подключаем микротик к нашему системнику, так можно будет подключиться и по MAC адресу и по IP, если не хотите замарачиваться – подрубайтесь к порту ether1 (первый порт на микротике), ip по умолчанию 192.168.88.1, логин admin без пароля, то есть настроив сетевуху на адрес 192.168.88.2 мы легко попадем на адрес микротика с помощью утилиты Winbox. К сожалению или счастью я не буду показывать настройки с нуля, покажу уже настроенный Mikrotik Routerboard rb500, который у нас настроен на резервный ADSL канал. Итак, в левой панели входим в вкладку Interfaces
Тут у меня настроены 2 интерфейса (из 3):
adsl_rezerv – порт в который воткнут adsl модем в режиме бридж, если посмотреть ниже то можно увидеть pppoe-out1 (pppoe клиент для поднятия соединения)
ether2 – свободный порт
local_network – порт подключенный к локальной сети
Вроде все просто. Порты я заранее обозвал так как мне удобней. Забегая вперед скажу что у нас стоит NetFlow Analyzer Essential Edition, данные об интерфейсах, в том числе и имя интерфейса передаются по snmp с помощью того же Mikrotik’a, дабы каждый раз не вспоминать на каком интерфейсе смотреть трафик. Безусловно есть и бесплатные утилиты, но мы выбрали Netflow Analyzer как наиболее простой в использовании и обладающим очень приятным интерфейсом, да, потратились, но ни грамму не жалею об этом.
Переходим в список IP адресов, для этого в том же Winbox’e нажимаем IP -> Addresses:
Тут мы видим список адресов, в моем случае один IP адрес внешний (дается провайдером, при подъеме PPPoE интерфейса) (первый замазанный зеленым), буква D впереди означает что интерфейс Динамический (т.к. предоставляется провайдером и заранее не прописан в микротике)
Далее идут 2 ip адреса в локальной сети, один мне необходим для IP телефонии (она у меня размещена в сети 172.168.2.1) , второй для общей локальной сети офиса (192.168.2.9), третий для adsl модема, но он не обязательный, так как соединение поднимается по pppoe, а соответственно честно сказать он тут и нафиг не нужен.
Теперь создаем PPPoE соединение, для интернет соединения, для этого, заходим слева в меню в вкладку PPP, в открывшемся окне в вкладке Interfaces нажимаем красный плюс и PPPoE Client:
В следующем окне задаем интерфейс на котором у нас находится модем, так как мы все заранее обозвали – то название интерфейса в нашем случае adsl_reserv, так же можно задать MTU и имя соединения, я эти параметры не трогаю:
В вкладке Dial Out прописываем логин и пароль предоставленный провайдером, так же должны быть галки Add Default Route (для того чтобы весь интернет трафик шел через этот интерфейс) и Use Peer DNS, если нет иных DNS серверов или Вы не используете к примеру бесплатные гугловские, у меня доверия к гугловским серверам меньше чем к провайдерским, поэтому, эту галку я ставлю.
На этом все, нажимаем кнопку OK и в случае если данные для аутентификации заданы верно, кабель подключен к рабочему ADSL модему либо просто к Ethernet интерфейсу провайдера, то соединение должно быть тут же установлено, сразу пойдут цифры аптайма, в моем случае это 12 дней :)
Далее, настраиваем так чтобы IP микротика принимал входящие DNS запросы, для этого заходим в левой панели в IP и выбираем DNS:
Далее в открывшемся окне заходим в настройки путем нажатия на кнопку Settings, где ставим галку Allow Remote Requests, в Primary и Secondary DNS у нас уже должны быть значения полученные после поднятия провайдером PPPoE соединения, если по каким то причинам их нет, можем воспользоваться гугловским 8.8.8.8 написав например его в Primary DNS:
Далее не отходя от темы настроим запрет на входящие DNS запросы из интернета, если этого не сделать Вас могут использовать как DNS сервер, чего собственно не хотелось бы, перейдем в пункт IP -> Firewall:
Создаем правило в вкладке Filter Rules, путем нажатия кнопки плюс :
В правиле указываем – chain: input (входящие соединения), Protocol: 17 (udp) т.к. dns запросы у нас приходят по udp. Dst Port 53 (порт назначения с внешнего айпи адреса), в in. interface указываем на каком интерфейса нам слушать это соединение, в данном случае раз интернет соединение поднимается интерфейсом pppoe-out1, то его и указываем. В вкладке Action, указываем drop, чтобы соединение рвалось при входящих запросах к DNS из вне:
Остальные вкладки я не трогал. Нажимаем кнопку OK. Подобным же способом блокируем и остальные порты, если это необходимо. Далее перейдем в том же пункте в вкладку NAT:
Тут к примеру у меня прописаны не только прямой доступ через NAT при использовании микротика, как шлюз со стороны локальной сети, но и кучу редиректов, остановимся пока на прямом доступе. Бывает так что по какой-либо причине пользователю не нужен доступ через Proxy, а необходим прямой доступ, к примеру когда какая-либо программа просто не умеет использовать Proxy. Итак, нажмем кнопку плюс и создадим новое правило. В chain укажем srcnat:
В вкладке Advanced в пунке Src. Address List указываем вручную название листа где мы будем писать ip адреса тем кто может использовать прямой инет, у меня этот лист называется просто unlim, если Вы не планируете вести такой лист, а просто хотите дать всем прямой инет при использовании микротика в качестве шлюза пропускаем этот пункт, не указывая ничего в Src Address List. :
В вкладке Action указываем masquerade:
Нажимаем кнопку OK
Если Вы указывали лист Src. Address List в вкладке Advanced и собираетесь использовать списки, кому разрешен условно прямой инет, то переходим в вкладку Address Lists
И создаем новую запись нажимая на кнопку плюс, где указываем имя листа (мы его указывали в Src. Address List) и адрес к которому принадлежит запись – в нашем примере 192.168.2.1 :
Нажимаем кнопку ОК, если необходимо добавить ещё записей – алгоритм то же.
Теперь наш роутер готов к полноценной работе.
В следующей части расскажу — настройка DHCP сервера (в моем офисе он уже есть, поэтому в документации я его не рассматривал), про настройку NAT для переадресации портов в практических целях, настройка Taffic Flow для последующего анализа трафика, NTP клиента, сервера (с упрощенным внедрением в офисе)