it-консалтинг и аутсорсинг
что мы делаем контакты блог

Быстрая настройка маршрутизаторов MikroTik

Константин Печененко 21.04.2016

south-park-internet-router-640x359

Время вперед

Для настройки маршрутизаторов MikroTik у нас имеется ряд инструкций, но, к сожалению, некоторые из них уже порядком устарели, либо были написаны для предыдущих версий прошивки маршрутизаторов. Но прогресс неумолим, многое изменилось и в возможностях и даже во внешнем виде самих маршрутизаторов, а посему назрел вопрос актуализации данных руководств.

Общие принципы

Несмотря на то, что потребности у каждого уникальны, данная уникальность прослеживается в деталях, а общие принципы настройки одинаковы у всех. Поэтому, создав общий шаблон конфигурации, мы сможем на порядок ускорить процесс ввода маршрутизатора в работу.

Условно настройки можно условно разделить на несколько групп:

  • общие настройки маршрутизатора;
    • установка hostname
    • настройка NTP
    • настройки локальной сети
    • настройки подключения к провайдеру на внешнем интерфейсе
  • настройки L2TP сервера для подключения клиентов;
    • включение сервера L2TP
    • создание пользователя
    • настройка шифрования
    • настройка firewall
  • создание зашифрованного тоннеля между удалёнными площадками клиента.
    • настройка шифрования тоннеля
    • настройка firewall
    • создание интерфейса для маршрутизации

Как использовать

Для удобства данные по настройке маршрутизатора собраны в одном месте, в начале файла есть блок переменных и основных настроек, которые необходимо задать. Редактировать весь файл нет необходимости, основные функции по настройки выполнены с использованием переменных, именно их значения вы задаете в блоке настроек.

Вся настройка производится из окна командной строки.
Данный файл конфигурации рассчитан на то, что при первоначальной настройке маршрутизатора вы приняли предложение системы о том, чтобы маршрутизатор создал ряд настроек по умолчанию. Опираясь на эти настройки создается остальная конфигурация маршрутизатора. Конфигурационный файл содержит в себе комментарии, все основные настройки вынесены в начало файла, в отдельный блок настроек. Необходимо заполнить в блоке настроек все необходимые параметры, далее выделить все содержимое файла (Edit > Select All), скопировать содержимое в буфер обмена, переключиться на ваш терминал, в котором уже установлено соединение с маршрутизатором по протоколу ssh (или telnet в случае использования Windows) и вставить содержимое буфера обмена.

Этот процесс выглядит так:

mikrotik-out

Комментарий

Внутри сам файл на английском, дабы избежать проблем с кодировками, но здесь я могу подробно прокоментировать настройки на великом и могучем. Само собой, не используйте кириллицу внутри файла; линии начинающиеся с # = комментарии.

Полный файл настроек можно скачать по ссылке.

#########################################################
## System Configuration Variables                      ##
## Network Setup   firmware version used = v6.32.3     ##
## Shortcut.ru    kp@shortcut.ru                       ##
#########################################################

## Выбор режима настройки, нужный режим нужно 
## включить, установив значение "true" или выключить, установив "false".

# Настроить общие настройки маршрутизатора
:global BASICSETUP true;
# Настроить L2TP сервер
:global L2TPSETUP true;
# Создание зашифрованного туннеля
:global TUNNELSETUP true;

## Hostname данного машрутизатора
:global SYSTEMHOSTNAME "gateway.shortcut.ru"
## Имя локальной плошадки
:global SITENAME "office";
## Имя удаленной площадки
:global REMOTENAME "branch"

###### Настройки локальной сети (LAN settings)

# IP адрес и CIDR маска локальной сети
:global LANIP "172.22.0.1/24";
# основной шлюз для клиентов из локальной сети (для настройки DHCP server)
:global LANGATEWAY "172.22.0.1";
# Подсеть локальной сети и ее CIDR маска 
:global LANSUBNET "172.22.0.0/24";
# Диапазон адресов выдаваемый в аренду локальным клиентам по DHCP
:global LANDHCPPOOL "172.22.0.20-172.22.0.200";

###### Настройки подключения к интернет (WAN settings)

# IP адрес и CIDR маска внешнего интерфейса
:global WANSUBNET "10.100.0.10/24";
# Основной шлюз провайдера интернет
:global WANGATEWAY "10.100.0.1";
# IP адрес внешнего интерфейса
:global WANIP "10.100.0.10";

###### Настройки сервера L2TP (L2TP server settings)

# Диапазон адресов выдаваемый в аренду локальным клиентам по L2TP
:global L2TPPOOL "172.22.0.201-172.22.0.254";
# Пользователь для подключения
:global L2TPUSER "username";
# Пароль для пользователя
:global L2TPPASSWORD "123";
# Пароль для шифрованного соединения (shared secret)
:global L2TPSECRET "123123123";

###### Настройка вашей стороны туннеля GRE (GRE local settings)

# Ваш адрес внутри туннеля и подсеть в CIDR формате
:global TRANSIP "10.10.10.1/30";
# Транспортная подсеть используемая в туннеле
:global TRANSNET "10.10.10.0";
# Пароль для шифрованного соединения (shared secret)
:global TRANSSECRET "letshavefunwithipsec";

###### Настройка внешней стороны туннеля GRE (GRE remote settings)

# Внешний РЕАЛЬНЫЙ ("белый") адрес удаленной площадки
:global REMOTEIPADDR "10.100.0.20";
# Адрес удаленной площадки в туннеле
:global REMOTETRANSPORTIP "10.10.10.2";
# Локальная подсеть, использующаяся на удаленной площадке
:global TUNNET "172.33.0.0/24";

Пример настройки

Имеем следующую схему подключений:

mikrotik-netmap

Я приведу здесь только блок с настройками, так как основное тело конфигурации идентично.

Настройки для Office:


#########################################################
## System Configuration Variables                      ##
## Network Setup   firmware version used = v6.32.3     ##
## Shortcut.ru    kp@shortcut.ru                       ##
#########################################################

## Mark needed options "true" or "false" here
:global BASICSETUP true;
:global L2TPSETUP true;
:global TUNNELSETUP true;

## Hostname
:global SYSTEMHOSTNAME "gateway.acme.com";
## name of the local site
:global SITENAME "office";
## name of the remote site
:global REMOTENAME "branch";

###### LAN settings
:global LANIP "172.22.0.1/24";
:global LANGATEWAY "172.22.0.1";
:global LANSUBNET "172.22.0.0/24";
:global LANDHCPPOOL "172.22.0.20-172.22.0.200";

###### WAN settings
:global WANSUBNET "10.100.0.10/24";
:global WANGATEWAY "10.100.0.20";
:global WANIP "10.100.0.10";

###### L2TP server settings
:global L2TPPOOL "172.22.0.201-172.22.0.254";
:global L2TPUSER "support";
:global L2TPPASSWORD "123";
:global L2TPSECRET "123123123";

# GRE local settings
# this is YOR IP USED INSIDE TUNNEL
:global TRANSIP "10.10.10.1/30";
# trasport subnet used inside tunnel
:global TRANSNET "10.10.10.0";
:global TRANSSECRET "letshavefunwithipsec";

###### GRE remote settings
# EXTERNAL HOST REAL EXTERNAL ip address
:global REMOTEIPADDR "10.100.0.20";
# EXTERNAL NODE IP used inside tunnel
:global REMOTETRANSPORTIP "10.10.10.2";
# remote site LAN SUBNET
:global TUNNET "172.33.0.0/24";

Настройки для Branch:


#########################################################
## System Configuration Variables                      ##
## Network Setup   firmware version used = v6.32.3     ##
## Shortcut.ru    kp@shortcut.ru                       ##
#########################################################

## Mark needed options "true" or "false" here
:global BASICSETUP true;
:global L2TPSETUP true;
:global TUNNELSETUP true;

## Hostname
:global SYSTEMHOSTNAME "gateway.shortcut.ru"
## name of the local site
:global SITENAME "branch";
## name of the remote site
:global REMOTENAME "office"

###### LAN settings
:global LANIP "172.33.0.1/24";
:global LANGATEWAY "172.33.0.1";
:global LANSUBNET "172.33.0.0/24";
:global LANDHCPPOOL "172.33.0.20-172.33.0.200";

###### WAN settings
:global WANSUBNET "10.100.0.20/24";
:global WANGATEWAY "10.100.0.10";
:global WANIP "10.100.0.20";

###### L2TP server settings
:global L2TPPOOL "172.33.0.201-172.33.0.254";
:global L2TPUSER "username";
:global L2TPPASSWORD "123";
:global L2TPSECRET "123123123";

# GRE local settings
# this is YOR IP USED INSIDE TUNNEL
:global TRANSIP "10.10.10.2/30";
# trasport subnet used inside tunnel
:global TRANSNET "10.10.10.0";
:global TRANSSECRET "letshavefunwithipsec";

###### GRE remote settings

# EXTERNAL HOST REAL EXTERNAL ip address
:global REMOTEIPADDR "10.100.0.10";
# EXTERNAL NODE IP used inside tunnel
:global REMOTETRANSPORTIP "10.10.10.1";
# remote site LAN SUBNET
:global TUNNET "172.22.0.0/24";

СIDR Subnet Table

Дабы не искать в интернете лишний раз.

Subnet Mask CIDR Prefix Total IP’s Usable IP’s Number of Class C networks
255.255.255.255 /32 1 1 1/256th
255.255.255.254 /31 2 0 1/128th
255.255.255.252 /30 4 2 1/64th
255.255.255.248 /29 8 6 1/32nd
255.255.255.240 /28 16 14 1/16th
255.255.255.224 /27 32 30 1/8th
255.255.255.192 /26 64 62 1/4th
255.255.255.128 /25 128 126 1 half
255.255.255.0 /24 256 254 1
255.255.254.0 /23 512 510 2
255.255.252.0 /22 1024 1022 4
255.255.248.0 /21 2048 2046 8
255.255.240.0 /20 4096 4094 16
255.255.224.0 /19 8192 8190 32
255.255.192.0 /18 16,384 16,382 64
255.255.128.0 /17 32,768 32,766 128
255.255.0.0 /16 65,536 65,534 256
255.254.0.0 /15 131,072 131,070 512
255.252.0.0 /14 262,144 262,142 1024
255.248.0.0 /13 524,288 524,286 2048
255.240.0.0 /12 1,048,576 1,048,574 4096
255.224.0.0 /11 2,097,152 2,097,150 8192
255.192.0.0 /10 4,194,304 4,194,302 16,384
255.128.0.0 /9 8,388,608 8,388,606 32,768
255.0.0.0 /8 16,777,216 16,777,214 65,536
254.0.0.0 /7 33,554,432 33,554,430 131,072
252.0.0.0 /6 67,108,864 67,108,862 262,144
248.0.0.0 /5 134,217,728 134,217,726 1,048,576
240.0.0.0 /4 268,435,456 268,435,454 2,097,152
224.0.0.0 /3 536,870,912 536,870,910 4,194,304
192.0.0.0 /2 1,073,741,824 1,073,741,822 8,388,608
128.0.0.0 /1 2,147,483,648 2,147,483,646 16,777,216
0.0.0.0 /0 4,294,967,296 4,294,967,294 33,554,432