Время вперед
Для настройки маршрутизаторов MikroTik у нас имеется ряд инструкций, но, к сожалению, некоторые из них уже порядком устарели, либо были написаны для предыдущих версий прошивки маршрутизаторов. Но прогресс неумолим, многое изменилось и в возможностях и даже во внешнем виде самих маршрутизаторов, а посему назрел вопрос актуализации данных руководств.
Общие принципы
Несмотря на то, что потребности у каждого уникальны, данная уникальность прослеживается в деталях, а общие принципы настройки одинаковы у всех. Поэтому, создав общий шаблон конфигурации, мы сможем на порядок ускорить процесс ввода маршрутизатора в работу.
Условно настройки можно условно разделить на несколько групп:
- общие настройки маршрутизатора;
- установка hostname
- настройка NTP
- настройки локальной сети
- настройки подключения к провайдеру на внешнем интерфейсе
- настройки L2TP сервера для подключения клиентов;
- включение сервера L2TP
- создание пользователя
- настройка шифрования
- настройка firewall
- создание зашифрованного тоннеля между удалёнными площадками клиента.
- настройка шифрования тоннеля
- настройка firewall
- создание интерфейса для маршрутизации
Как использовать
Для удобства данные по настройке маршрутизатора собраны в одном месте, в начале файла есть блок переменных и основных настроек, которые необходимо задать. Редактировать весь файл нет необходимости, основные функции по настройки выполнены с использованием переменных, именно их значения вы задаете в блоке настроек.
Вся настройка производится из окна командной строки.
Данный файл конфигурации рассчитан на то, что при первоначальной настройке маршрутизатора вы приняли предложение системы о том, чтобы маршрутизатор создал ряд настроек по умолчанию. Опираясь на эти настройки создается остальная конфигурация маршрутизатора. Конфигурационный файл содержит в себе комментарии, все основные настройки вынесены в начало файла, в отдельный блок настроек. Необходимо заполнить в блоке настроек все необходимые параметры, далее выделить все содержимое файла (Edit > Select All), скопировать содержимое в буфер обмена, переключиться на ваш терминал, в котором уже установлено соединение с маршрутизатором по протоколу ssh (или telnet в случае использования Windows) и вставить содержимое буфера обмена.
Этот процесс выглядит так:
Комментарий
Внутри сам файл на английском, дабы избежать проблем с кодировками, но здесь я могу подробно прокоментировать настройки на великом и могучем. Само собой, не используйте кириллицу внутри файла; линии начинающиеся с # = комментарии.
Полный файл настроек можно скачать по ссылке.
#########################################################
## System Configuration Variables ##
## Network Setup firmware version used = v6.32.3 ##
## Shortcut.ru kp@shortcut.ru ##
#########################################################
## Выбор режима настройки, нужный режим нужно
## включить, установив значение "true" или выключить, установив "false".
# Настроить общие настройки маршрутизатора
:global BASICSETUP true;
# Настроить L2TP сервер
:global L2TPSETUP true;
# Создание зашифрованного туннеля
:global TUNNELSETUP true;
## Hostname данного машрутизатора
:global SYSTEMHOSTNAME "gateway.shortcut.ru"
## Имя локальной плошадки
:global SITENAME "office";
## Имя удаленной площадки
:global REMOTENAME "branch"
###### Настройки локальной сети (LAN settings)
# IP адрес и CIDR маска локальной сети
:global LANIP "172.22.0.1/24";
# основной шлюз для клиентов из локальной сети (для настройки DHCP server)
:global LANGATEWAY "172.22.0.1";
# Подсеть локальной сети и ее CIDR маска
:global LANSUBNET "172.22.0.0/24";
# Диапазон адресов выдаваемый в аренду локальным клиентам по DHCP
:global LANDHCPPOOL "172.22.0.20-172.22.0.200";
###### Настройки подключения к интернет (WAN settings)
# IP адрес и CIDR маска внешнего интерфейса
:global WANSUBNET "10.100.0.10/24";
# Основной шлюз провайдера интернет
:global WANGATEWAY "10.100.0.1";
# IP адрес внешнего интерфейса
:global WANIP "10.100.0.10";
###### Настройки сервера L2TP (L2TP server settings)
# Диапазон адресов выдаваемый в аренду локальным клиентам по L2TP
:global L2TPPOOL "172.22.0.201-172.22.0.254";
# Пользователь для подключения
:global L2TPUSER "username";
# Пароль для пользователя
:global L2TPPASSWORD "123";
# Пароль для шифрованного соединения (shared secret)
:global L2TPSECRET "123123123";
###### Настройка вашей стороны туннеля GRE (GRE local settings)
# Ваш адрес внутри туннеля и подсеть в CIDR формате
:global TRANSIP "10.10.10.1/30";
# Транспортная подсеть используемая в туннеле
:global TRANSNET "10.10.10.0";
# Пароль для шифрованного соединения (shared secret)
:global TRANSSECRET "letshavefunwithipsec";
###### Настройка внешней стороны туннеля GRE (GRE remote settings)
# Внешний РЕАЛЬНЫЙ ("белый") адрес удаленной площадки
:global REMOTEIPADDR "10.100.0.20";
# Адрес удаленной площадки в туннеле
:global REMOTETRANSPORTIP "10.10.10.2";
# Локальная подсеть, использующаяся на удаленной площадке
:global TUNNET "172.33.0.0/24";
Пример настройки
Имеем следующую схему подключений:
Я приведу здесь только блок с настройками, так как основное тело конфигурации идентично.
Настройки для Office:
######################################################### ## System Configuration Variables ## ## Network Setup firmware version used = v6.32.3 ## ## Shortcut.ru kp@shortcut.ru ## ######################################################### ## Mark needed options "true" or "false" here :global BASICSETUP true; :global L2TPSETUP true; :global TUNNELSETUP true; ## Hostname :global SYSTEMHOSTNAME "gateway.acme.com"; ## name of the local site :global SITENAME "office"; ## name of the remote site :global REMOTENAME "branch"; ###### LAN settings :global LANIP "172.22.0.1/24"; :global LANGATEWAY "172.22.0.1"; :global LANSUBNET "172.22.0.0/24"; :global LANDHCPPOOL "172.22.0.20-172.22.0.200"; ###### WAN settings :global WANSUBNET "10.100.0.10/24"; :global WANGATEWAY "10.100.0.20"; :global WANIP "10.100.0.10"; ###### L2TP server settings :global L2TPPOOL "172.22.0.201-172.22.0.254"; :global L2TPUSER "support"; :global L2TPPASSWORD "123"; :global L2TPSECRET "123123123"; # GRE local settings # this is YOR IP USED INSIDE TUNNEL :global TRANSIP "10.10.10.1/30"; # trasport subnet used inside tunnel :global TRANSNET "10.10.10.0"; :global TRANSSECRET "letshavefunwithipsec"; ###### GRE remote settings # EXTERNAL HOST REAL EXTERNAL ip address :global REMOTEIPADDR "10.100.0.20"; # EXTERNAL NODE IP used inside tunnel :global REMOTETRANSPORTIP "10.10.10.2"; # remote site LAN SUBNET :global TUNNET "172.33.0.0/24";
Настройки для Branch:
######################################################### ## System Configuration Variables ## ## Network Setup firmware version used = v6.32.3 ## ## Shortcut.ru kp@shortcut.ru ## ######################################################### ## Mark needed options "true" or "false" here :global BASICSETUP true; :global L2TPSETUP true; :global TUNNELSETUP true; ## Hostname :global SYSTEMHOSTNAME "gateway.shortcut.ru" ## name of the local site :global SITENAME "branch"; ## name of the remote site :global REMOTENAME "office" ###### LAN settings :global LANIP "172.33.0.1/24"; :global LANGATEWAY "172.33.0.1"; :global LANSUBNET "172.33.0.0/24"; :global LANDHCPPOOL "172.33.0.20-172.33.0.200"; ###### WAN settings :global WANSUBNET "10.100.0.20/24"; :global WANGATEWAY "10.100.0.10"; :global WANIP "10.100.0.20"; ###### L2TP server settings :global L2TPPOOL "172.33.0.201-172.33.0.254"; :global L2TPUSER "username"; :global L2TPPASSWORD "123"; :global L2TPSECRET "123123123"; # GRE local settings # this is YOR IP USED INSIDE TUNNEL :global TRANSIP "10.10.10.2/30"; # trasport subnet used inside tunnel :global TRANSNET "10.10.10.0"; :global TRANSSECRET "letshavefunwithipsec"; ###### GRE remote settings # EXTERNAL HOST REAL EXTERNAL ip address :global REMOTEIPADDR "10.100.0.10"; # EXTERNAL NODE IP used inside tunnel :global REMOTETRANSPORTIP "10.10.10.1"; # remote site LAN SUBNET :global TUNNET "172.22.0.0/24";
СIDR Subnet Table
Дабы не искать в интернете лишний раз.
| Subnet Mask | CIDR Prefix | Total IP’s | Usable IP’s | Number of Class C networks |
|---|---|---|---|---|
| 255.255.255.255 | /32 | 1 | 1 | 1/256th |
| 255.255.255.254 | /31 | 2 | 0 | 1/128th |
| 255.255.255.252 | /30 | 4 | 2 | 1/64th |
| 255.255.255.248 | /29 | 8 | 6 | 1/32nd |
| 255.255.255.240 | /28 | 16 | 14 | 1/16th |
| 255.255.255.224 | /27 | 32 | 30 | 1/8th |
| 255.255.255.192 | /26 | 64 | 62 | 1/4th |
| 255.255.255.128 | /25 | 128 | 126 | 1 half |
| 255.255.255.0 | /24 | 256 | 254 | 1 |
| 255.255.254.0 | /23 | 512 | 510 | 2 |
| 255.255.252.0 | /22 | 1024 | 1022 | 4 |
| 255.255.248.0 | /21 | 2048 | 2046 | 8 |
| 255.255.240.0 | /20 | 4096 | 4094 | 16 |
| 255.255.224.0 | /19 | 8192 | 8190 | 32 |
| 255.255.192.0 | /18 | 16,384 | 16,382 | 64 |
| 255.255.128.0 | /17 | 32,768 | 32,766 | 128 |
| 255.255.0.0 | /16 | 65,536 | 65,534 | 256 |
| 255.254.0.0 | /15 | 131,072 | 131,070 | 512 |
| 255.252.0.0 | /14 | 262,144 | 262,142 | 1024 |
| 255.248.0.0 | /13 | 524,288 | 524,286 | 2048 |
| 255.240.0.0 | /12 | 1,048,576 | 1,048,574 | 4096 |
| 255.224.0.0 | /11 | 2,097,152 | 2,097,150 | 8192 |
| 255.192.0.0 | /10 | 4,194,304 | 4,194,302 | 16,384 |
| 255.128.0.0 | /9 | 8,388,608 | 8,388,606 | 32,768 |
| 255.0.0.0 | /8 | 16,777,216 | 16,777,214 | 65,536 |
| 254.0.0.0 | /7 | 33,554,432 | 33,554,430 | 131,072 |
| 252.0.0.0 | /6 | 67,108,864 | 67,108,862 | 262,144 |
| 248.0.0.0 | /5 | 134,217,728 | 134,217,726 | 1,048,576 |
| 240.0.0.0 | /4 | 268,435,456 | 268,435,454 | 2,097,152 |
| 224.0.0.0 | /3 | 536,870,912 | 536,870,910 | 4,194,304 |
| 192.0.0.0 | /2 | 1,073,741,824 | 1,073,741,822 | 8,388,608 |
| 128.0.0.0 | /1 | 2,147,483,648 | 2,147,483,646 | 16,777,216 |
| 0.0.0.0 | /0 | 4,294,967,296 | 4,294,967,294 | 33,554,432 |