Jump to content
Калькуляторы

Mikrotik RM450 RO 3.6 начальная настройка PPPoE и маршрутизации

Здравствуйте!

Я новичок....

 

Помогите решить мою проблему, а именно:

Нужно подключить сеть к интернету через PPPoE соединение.

Что было сделано:

1. Настроил интерфейс:

ip address add address 192.168.0.254/24 interface ether1

это интерфейс локальной сети.

2. Настроил второй интерфейс который смотрит в сторону провайдера:

ip address add address 10.10.15.26/24 interface ether2

ip посмотрел в DIR-100 который на данный момент поднимает PPPoE.

3. На ether2 добавил PPPoE Client в котором вписал логин и пароль от провайдера.

4. Добавил маршрут по умолчанию:

ip route add gateway=10.10.0.200

который тоже посмотрел в DIR-100

5. Настроил DNS:

ip dns set primary-dns=88.86.82.33 secondary-dns=195.68.135.5 allow-remote-requests=yes

6. На компьютере локальной сети IP - 192.168.0.2 MASK 255.255.255.0 GW 192.168.0.254 DNS 192.168.0.254

7. Настроил NAT, в WEB интерфейсе на ether2 поставил галочку NAT.

 

И после этого на локальном компьютере нет интернета - ping не проходит как ya.ru так и 77.88.21.8

Что было проверено:

На роуторе пинг на 77.88.21.8 интерфейса pppoe проходит (PPPoE поднято), пинг на локальную машину 192.168.0.2 проходит только с помощью ARP (скорее всего на компьютере что то блокирует но думаю это не важно), с локальной машины пинг не проходит на интерфейс ether2(10.10.15.26) - думаю в этом вся проблема.

 

Где у меня ошибка?

Share this post


Link to post
Share on other sites

а что мешает убрать dir-100 совсем?

Share this post


Link to post
Share on other sites
Здравствуйте!

Я новичок....

 

Помогите решить мою проблему, а именно:

Нужно подключить сеть к интернету через PPPoE соединение.

Что было сделано:

1. Настроил интерфейс:

ip address add address 192.168.0.254/24 interface ether1

это интерфейс локальной сети.

2. Настроил второй интерфейс который смотрит в сторону провайдера:

ip address add address 10.10.15.26/24 interface ether2

ip посмотрел в DIR-100 который на данный момент поднимает PPPoE.

3. На ether2 добавил PPPoE Client в котором вписал логин и пароль от провайдера.

4. Добавил маршрут по умолчанию:

ip route add gateway=10.10.0.200

который тоже посмотрел в DIR-100

5. Настроил DNS:

ip dns set primary-dns=88.86.82.33 secondary-dns=195.68.135.5 allow-remote-requests=yes

6. На компьютере локальной сети IP - 192.168.0.2 MASK 255.255.255.0 GW 192.168.0.254 DNS 192.168.0.254

7. Настроил NAT, в WEB интерфейсе на ether2 поставил галочку NAT.

 

И после этого на локальном компьютере нет интернета - ping не проходит как ya.ru так и 77.88.21.8

Что было проверено:

На роуторе пинг на 77.88.21.8 интерфейса pppoe проходит (PPPoE поднято), пинг на локальную машину 192.168.0.2 проходит только с помощью ARP (скорее всего на компьютере что то блокирует но думаю это не важно), с локальной машины пинг не проходит на интерфейс ether2(10.10.15.26) - думаю в этом вся проблема.

 

Где у меня ошибка?

Видимо у вас NAT не настроен. Настройте через винбокс или телнет\консоль. http://wiki.mikrotik.com/wiki/NAT_Tutorial

Share this post


Link to post
Share on other sites
а что мешает убрать dir-100 совсем?

наверное не правильно объяснил, или Вы не правильно поняли..

я и хочу убрать DIR-100...

 

Видимо у вас NAT не настроен. Настройте через винбокс или телнет\консоль. http://wiki.mikrotik.com/wiki/NAT_Tutorial

думаю в этом проблема.

спасибо за ссылку, буду пробовать...

Share this post


Link to post
Share on other sites

вот конфиг для микротика под ваши задачи

 

/interface pppoe-client
add-default-route=yes dial-on-demand=yes disabled=no interface=PROVIDER_IF max-mru=1480 max-mtu=1480 mrru=disabled name=pppoe_internet password=PASSWORD use-peer-dns=no user=USERNAME
/ip address
add address=192.168.0.254/24 disabled=no interface=LOCAL_IF
add address=10.10.15.26/24 disabled=no interface=PROVIDER_IF
/ip dhcp-server network
add address=192.168.0.0/24 dns-server=88.86.82.33,195.68.135.5 gateway=192.168.0.254
/ip dns
set allow-remote-requests=yes cache-max-ttl=1w cache-size=2048KiB max-udp-packet-size=512 primary-dns=88.86.82.33 secondary-dns=195.68.135.5
/ip firewall address-list
add address=192.168.0.0/24 disabled=no list=Local-net
/ip firewall connection tracking
set enabled=yes generic-timeout=10m icmp-timeout=10s tcp-close-timeout=10s tcp-close-wait-timeout=10s tcp-established-timeout=30m \
    tcp-fin-wait-timeout=10s tcp-last-ack-timeout=10s tcp-syn-received-timeout=5s tcp-syn-sent-timeout=5s tcp-syncookie=no \
    tcp-time-wait-timeout=10s udp-stream-timeout=3m udp-timeout=10s
/ip firewall nat
add action=masquerade chain=srcnat comment="local net to internet" disabled=no out-interface=pppoe_internet src-address-list=Local-net
add action=masquerade chain=srcnat comment="local net to peering" disabled=no out-interface=PROVIDER_IF src-address-list=Local-net

это минимальные настройки. работать будет если залить на чистую систему.

проверяем, настраиваем файрволл и т.д.

Share this post


Link to post
Share on other sites

подскажите еще вопрос, в route list некоторые маршруты отображаются синим цветом

это нормально, или это не правильная запись?

Share this post


Link to post
Share on other sites

kostil

спасибо, но мне хотелось бы по порядку разобраться что и как,

что бы потом уверенно себя в этом чувствовать...

при попытке ввода первой же команды у меня ошибка...

пробовал настроить от сюда: тут

но споткнулся на добавлении шлюза по умолчании, то есть посмотрел в статусе подключения DIR-100

а он там такой же как и IP....

делаю команду:

ip route add gateway=10.0.0.2

проверяю:

ip route print

и в итоге перед маршрутом стоит буква u вместо r

я так понимаю это не правильно?

уже замучился с этим роутером.... пятый день пошел :)

подскажите по порядку что нужно настраивать для такой схемы?

Имеем свич за которым локальная сеть из нескольких компьютеров - 192.168.0.0/24

Имеем провайдера который дает интернет с авторизацией по PPPoE

1. На интерфейсе который смотрит на провайдера нужно прописывать IP который выдал провайдер?

2. На интерфейсе который смотрит в локальную сеть нужно прописать IP из этого диапазона - 192.168.0.0/24?

3. PPPoE нужно поднимать на интерфейсе который смотрит в сторону провайдера? (понимаю что глупый вопрос, но я не знаю что еще делать).

4. NAT нужно настраивать на обоих интерфейсах?

и подходят ли эти команды?

ip firewall nat add chain=srcnat action=masquerade out-interface=!ether1

ip firewall nat add chain=srcnat action=masquerade out-interface=!ether2

5. Нужно ли настраивать DNS на роуторе?

на DIR-100 этого не делал...

6. Ище что то нужно?

 

пока все, с этим бы разобраться...

 

P.S.

boo

попробовал по Вашей ссылке, но не получилось....все так просто написано, но я наверное что то не так делаю...

Edited by sherwood

Share this post


Link to post
Share on other sites
kostil

спасибо, но мне хотелось бы по порядку разобраться что и как,

что бы потом уверенно себя в этом чувствовать...

при попытке ввода первой же команды у меня ошибка...

пробовал настроить от сюда: тут

но споткнулся на добавлении шлюза по умолчании, то есть посмотрел в статусе подключения DIR-100

а он там такой же как и IP....

делаю команду:

ip route add gateway=10.0.0.2

проверяю:

ip route print

и в итоге перед маршрутом стоит буква u вместо r

я так понимаю это не правильно?

это значит что шлюз недоступен.
уже замучился с этим роутером.... пятый день пошел :)

подскажите по порядку что нужно настраивать для такой схемы?

Имеем свич за которым локальная сеть из нескольких компьютеров - 192.168.0.0/24

Имеем провайдера который дает интернет с авторизацией по PPPoE

1. На интерфейсе который смотрит на провайдера нужно прописывать IP который выдал провайдер?

нужно, если провайдер отдает их статикой а не динамикой. если динамика - то dhcp клиент.
2. На интерфейсе который смотрит в локальную сеть нужно прописать IP из этого диапазона - 192.168.0.0/24?
так точно

/ip address add address=192.168.0.254/24 disabled=no interface=LOCAL_IF

3. PPPoE нужно поднимать на интерфейсе который смотрит в сторону провайдера? (понимаю что глупый вопрос, но я не знаю что еще делать).
да

/interface pppoe-client
add-default-route=yes dial-on-demand=yes disabled=no interface=PROVIDER_IF max-mru=1480 max-mtu=1480 mrru=disabled name=pppoe_internet password=PASSWORD use-peer-dns=no user=USERNAME

4. NAT нужно настраивать на обоих интерфейсах?

и подходят ли эти команды?

ip firewall nat add chain=srcnat action=masquerade out-interface=!ether1

ip firewall nat add chain=srcnat action=masquerade out-interface=!ether2

сомневаюсь что они подойдут. прописывать маскарад нужно на двух интерфейсах ( PPPoE и ether...) в том случае если нужно что бы была доступна локальная сеть провайдера и интернет. если нужен только тырнет достаточно прописать NAT только на PPPoE

в примере с локалкой

/ip firewall nat
add action=masquerade chain=srcnat comment="local net to internet" disabled=no out-interface=pppoe_internet src-address-list=Local-net
add action=masquerade chain=srcnat comment="local net to peering" disabled=no out-interface=PROVIDER_IF src-address-list=Local-net

5. Нужно ли настраивать DNS на роуторе?

на DIR-100 этого не делал...

нужно если будешь использовать его как дополнительный DNS сервер для локальной сети. если нет, то просто отдаешь провайдерские DNS по DHCP локальным компам.
6. Ище что то нужно?
Внимание ;)

 

P.S.

залей роутер заново, и на чистый конфиг накати то что я тебе писал выше.

замени:

LOCAL_IF - на имя интерфейса смотрящего в твой свитч домашний

PROVIDER_IF - имя интерфейса смотрящего к провайдеру

USERNAME - логин от pppoe

PASSWORD - пароль от pppoe

и будет тебе счастье.

 

 

Share this post


Link to post
Share on other sites

kostil

 

спасибо, справился по этой инструкции - тут

а про NAT для локальной сети провайдера - это Вы имели ввиду для того что бы можно было видеть компьютеры

локальной сети провайдера?

если да, то мне это не нужно..

а вот у провайдера есть внутренние ресурсы - FTP, сетевая статистика ..... для этого нужно поднимать NAT на интерфейсе где поднято PPPoE?

Share this post


Link to post
Share on other sites

На двух интерфейсах RM450 подняты два PPPoE от разных провайдеров.

Проблема в том, что не могу настроить два маршрута по умолчанию...

Я так понимаю, что два маршрута по умолчанию быть не должно...

Поднимается одновременно только один, второй в это время выделен синим

цветом, то есть не доступен...

Как решить эту проблему?

Надо направить пользователей по разным провайдерам...

Share this post


Link to post
Share on other sites
На двух интерфейсах RM450 подняты два PPPoE от разных провайдеров.

Проблема в том, что не могу настроить два маршрута по умолчанию...

Я так понимаю, что два маршрута по умолчанию быть не должно...

Поднимается одновременно только один, второй в это время выделен синим

цветом, то есть не доступен...

Как решить эту проблему?

Надо направить пользователей по разным провайдерам...

а задача какая стоит? два линка для балансировки нагрузки или же отказоустойчивости (один работает, если валится один подключается второй)?

Share this post


Link to post
Share on other sites

Я просто учусь...

А в итоге хочется добиться:

Есть сервер Win2003Server, через него в интернет выходит несколько компьютеров,

так как в Windows, а точнее в билинговой программе не очень хороший шейпер,

поэтому хочется вынести с компьютера шейпер с ограничением скорости по клиентам и всего чего можно добиться от RM450 в этом направлении, поднять на нем три PPPoE от разных провайдеров, направить клиентов на разные каналы и в случае падения одного переключать всех на другого или третьего....

поэтому и пытаюсь разобраться в этом...хочется по порядку разобраться что да как....

если Вы мне в этом поможете буду очень признателен....если это очень большой материал - можно за вознаграждение...

Edited by sherwood

Share this post


Link to post
Share on other sites

спасибо, хорошие ссылки...

учится так учится...

сразу вопрос по первой ссылке...

там говорится, что доступный маршрут будет с наименьшей (0) дистанцией и при падении его (проверка пингом) становится доступным второй...

это хорошо, но мне изначально нужно, что бы разные IP ходили по разным каналам, я так понимаю нужны эти правила?

поднимаем три шлюза от разных провайдеров с проверкой пинг:

/ ip route add dst-address=0.0.0.0/0 gateway=10.0.0.1,10.0.1.1,10.0.2.1 check-gateway=ping

и направить пользователей на разные интерфейсы:

/ip firewall nat add chain=srcnat src-address=172.17.1.50 action=masquerade out-interface=!PPPoE-prov1

/ip firewall nat add chain=srcnat src-address=172.17.1.51 action=masquerade out-interface=!PPPoE-prov2

/ip firewall nat add chain=srcnat src-address=172.17.1.52 action=masquerade out-interface=!PPPoE-prov3

последнее правило составлял сам по кусочкам, в нем я хотел пустить пользователя с IP 172.17.1.50 через PPPoE-prov1,

правда не знаю сработает так или нет...

и вопрос - если у меня много пользователей их наверное надо забить в адрес лист, так как там можно указать чей это IP?

сразу еще вопрос:

у меня настроен firewall штатным средством, то есть из WEB интерфейса поставил галку и получил следующее:

 

33a2928fa36f.jpg

 

интересует вопрос...правила на прохождения определенных IP нужно указывать в какой последовательности до или после правил с - drop?

или это не имеет значения?

пока все...

Share this post


Link to post
Share on other sites

На первый взгляд правила NAT похожи на правду. Пробуй, и смотри будет работать или нет.

Address-lists нужно пользоваться обязательно - это намного удобней чем для каждого пользователя добавлять отдельное правило. Распихал их по группам и на каждую группу по правилу. Когда нужно из одной группы в другую пользователя перенес.

 

Картинка с правилами что-то не загрузилась. Вебмордой никогда не пользовался, только консоль или Winbox. Примеры правил есть в wiki.mikrotik.com. Конкретно здесь очень доступно как пакет проходит роутер http://wiki.mikrotik.com/wiki/Packet_Flow.

В кратце, если пакет попадает на правило drop то он отбрасывается и дальше не обрабатывается. Соответственно правила прописанные после правила с drop бесполезны.

Share this post


Link to post
Share on other sites
На первый взгляд правила NAT похожи на правду. Пробуй, и смотри будет работать или нет.

Address-lists нужно пользоваться обязательно - это намного удобней чем для каждого пользователя добавлять отдельное правило. Распихал их по группам и на каждую группу по правилу. Когда нужно из одной группы в другую пользователя перенес.

 

Картинка с правилами что-то не загрузилась. Вебмордой никогда не пользовался, только консоль или Winbox. Примеры правил есть в wiki.mikrotik.com. Конкретно здесь очень доступно как пакет проходит роутер http://wiki.mikrotik.com/wiki/Packet_Flow.

В кратце, если пакет попадает на правило drop то он отбрасывается и дальше не обрабатывается. Соответственно правила прописанные после правила с drop бесполезны.

на картинке правила firewall такие:

 

ip firewall filter add chain forward connection-state=invalid action=drop comment="Drop invalid connection packets"

ip firewall filter add chain forward connection-state=established action=accept comment="Allow established connections"

ip firewall filter add chain forward connection-state=related action=accept comment="Allow related connections"

ip firewall filter add chain forward protocol=udp action=accept comment="Allow UDP"

ip firewall filter add chain forward protocol=icmp action=accept comment="Allow ICMP Ping"

ip firewall filter add chain forward action=accept in-interface=!PPPoE-prov1 comment="Allow connection to router from local network"

ip firewall filter add chain forward connection-state=invalid action=drop comment="Drop everything else"

 

создать группы я и хотел, только не нашел где и как...

создать получается только Address-lists....

Share this post


Link to post
Share on other sites

Создаешь адрес листы а потом пихаешь их куда хочешь. Хочешь получатьль, хочешь отправитель.

Share this post


Link to post
Share on other sites
Создаешь адрес листы а потом пихаешь их куда хочешь. Хочешь получатьль, хочешь отправитель.

я думал, что там можно создать группы в которых создаем адрес-лист, а потом если надо например перенаправить

пользователей из этой группы на какой нибудь интерфейс или изменить им скорость, создается всего одно правило и указывается эта группа....

значит правильно я понял, что если мне нужно например перенаправить несколько пользователей на разные интерфейсы

и ограничить им например скорость, то нужно будет для каждого пользователя создавать правила?

хотя ты вроде писал, что можно создать группу....или я что то не понял?

Share this post


Link to post
Share on other sites

вот пример использования адреслистов для разбития на группы

/ip firewall address-list add list=group1 address=192.168.1.15
/ip firewall address-list add list=group1 address=192.168.1.16
/ip firewall address-list add list=group1 address=192.168.1.25
/ip firewall address-list add list=group1 address=192.168.1.37
/ip firewall address-list add list=group2 address=192.168.1.65
/ip firewall address-list add list=group2 address=192.168.1.69
/ip firewall address-list add list=group2 address=192.168.1.97
/ip firewall address-list add list=vip address=192.168.1.197
/ip firewall address-list add list=vip address=192.168.1.199
/ip firewall address-list add list=vip address=192.168.1.195

/ip firewall nat add chain=srcnat src-address-list=group1 action=masquerade out-interface=PPPoE-prov1
/ip firewall nat add chain=srcnat src-address-list=group2 action=masquerade out-interface=PPPoE-prov2
/ip firewall nat add chain=srcnat src-address-list=vip action=masquerade out-interface=PPPoE-prov3

 

 

Share this post


Link to post
Share on other sites

здорово..... как то не додумался, что можно так...

я пробовал создавать лист где писал в имени Фамилию пользователя для того что бы удобно было

а, у тебя еще проще....в имени пишем название группы, IP это IP клиента и добавляем комментарий

где пишем его фамилию....

потом можно будет к группам создавать правила такие как ограничение скорости и самое главное

для чего я это затеваю - это настроить шейпер, что бы торренщики не клали канал....

 

еще вопрос для общего развития:

если например на интерфейсе ether1 настраиваю адрес 192.168.0.1/24 и включаю туда сеть с 192.168.0.2-254

а второй интерфейс ether2 настраиваю как 172.16.0.1/24 и включаю туда сеть с 172.16.0.2-254

маршрутами соответственно у компьютеров прописываю сетевые интерфейсы в сети ether1 192.168.0.1 и в сети ether2 172.16.0.1....

будут ли эти сети доступны друг другу?

то есть компьютер с 192.168.0.20 будет видеть 172.16.0.20 и наоборот?

или нужно прописать статические маршруты на RB450, если да то какие?

Edited by sherwood

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this