Настройка роутинга интернета через VPN сервер на MikroTik

Как на Mikrotik отследить кто тратит траффик

Линейка домашних маршрутизаторов Mikrotik довольно часто используется как точка выхода в сеть Интернет. Типовая проблема, возникающая в этой области — маленькая скорость. Иначе говоря «Кто съел весь Интернет?!». Если подобный вопрос периодически всплывает в вашей голове — возможно эта статья поможет немного разобраться в вопросе.

Как ни странно, но проблемы с самим каналом — это не единственная возможная проблема медленного Интернета. Наиболее часто встречающиеся причины:

  1. Нехватка вычислительных ресурсов самого устройства.
  2. Некорректная настройка, ошибки в работе, устройство взломано.
  3. Кто-то забивает весь канал 🙂
  4. Проблемы на стороне провайдера (авария, переход на резервные мощности и т.д.).

Из списка этих причин только последний пункт от нас никак не зависит, поэтому решение вопроса чисто организационное. Звоним на линию техподдержки и говорим, что у нас Микротик (этого бывает достаточно, для того, чтобы провайдер признал, что проблемы на их стороне. /юмор/)

Настройка роутинга интернета через VPN сервер на MikroTik

В связи с тем, что вопрос использования частных VPN серверов ставится все чаще, поскольку все больше и больше ресурсов блокируются на территории страны без разбора, то я рекомендую следующее решение. Вы устанавливаете свой частный VPN сервер заграницей (например, на базе CentOS), а в вашем офисе или квартире вы ставите сетевое оборудование, которое маршрутизирует весь ваш трафик через этот VPN сервер. В качестве такого устройства — надежного и стабильного я рекомендую использовать роутеры MikroTik.

В этой статье я рассказываю, как настроить роутер MikroTik для маршрутизации интернет трафика через VPN на примере hAP ac lite. К сожалению, все статьи, что я читал на эту тему обзорные и не полные, в них отсутствуют некоторые необходимые шаги.

Предположим, что ваш роутер подключен к интернет через Ethernet и провайдер выдает IP динамически. Пусть наш Ethernet порт подключенный к кабеля провайдера называется в Mikrotik «ether1 wan» и он получил IP 10.54.194.83/20 и ходит он через шлюз 10.54.192.1. Создадим VPN туннель поверх этого соединения.

1. Откройте Winbox Mikrotik.

2. Добавьте новый интерфейс PPTP:

  • «Interfaces» > «+» >PPTP Client
  • «Name»: любое
  • «Type»: PPTP Client

3. Далее выберите вкладку «Dial Out»

  • «Connect to»: IP или FQDN вашего сервера
  • «User»:
  • «Password»:
  • «Profile»: default encryption
  • «Keepalive Timeout»: 60 или оставьте пустым
  • Add default route: enable
  • Default route distance: 1
  • «Allow»: mschap2, mschap1, chap (только если требует VPN сервер)

Нажимаем Apply и проверяем, что соединение установилось — статус connected, running.

4. Переходим на вкладку «IP» > «Route List» и проверяем в таблице наличие маршрута созданного VPN подключением.

Если ваш VPN сервер выдает IP адреса сети 172.16.0.0/16, то должна появиться строка Dst. address = 172.16.0.1 с gateway = «your_VPN_conenction reachable». Reachable здесь показывает, что само соединение работает и доступно.

Помимо этого должна появиться строка Dst. address = 0.0.0.0/0 с gateway = «your_VPN_conenction reachable» и distance = 1. Если такой строки нет, то её нужно создать, нажав + в окне Routes.

Поскольку Ethernet WAN соединение, которое является DHCP клиентом, создает свою запись в маршрутах с сетью назначения 0.0.0.0/0 и дистанцией = 1, то это будет конфликтовать с VPN туннелем. Необходимо удалить эту строку, чтобы запись с distance = 1 осталась одна. Далее, необходимо добавить статический маршрут через сеть провайдера с адресом назначения 0.0.0.0/0, но дистанцией 2 или более. Это нужно для того, чтобы в случае, когда VPN не доступен или отключен, пустить весь трафик через через шлюз провайдера.

Также проверьте, что для работы сети провайдера есть динамический или статический маршрут с дистанцией 0 и интерфейсом по умолчанию — вашим WAN портом. В нашем случае это 10.54.194.83/20, ходящий через DHCP WAN интерфейс 10.54.194.83.

В нашем примере сеть VPN это de4.vpnbook.com, VPN сеть доступна через шлюз — 172.16.36.1 с дистанцией 0. Этот маршрут добавлен автоматически VPN соединением (динамические маршруты букву D в первой колонке):

VPN маршруты в Mikrotik

VPN маршруты в Mikrotik

5. Осталось только добавить несколько правил файервола, которые разрешат использование PPTP.

Для этого открываем раздел IP> → FirewallNAT и нажимаем +. Перед нами открывается страница добавления нового правила, заполняем её следующим образом:

  • На закладке General:
    • Chain: srcnat
    • Out interface: название вашего PPTP соединения
    • Action: masquerade.

    L2TP клиент настраивается аналогично, разница во 2 и 3 шаге. Также там необходимо включить IPsec и ввести ввести ключ IPsec в поле IPsec secret.

    [Посещений: 17 369, из них сегодня: 1]

    Быстрый способ

    Через графический интерфейс

    Приведенные ниже манипуляции подразумевают, что вы уже настроили IP-адреса двум внешним интерфейсам, прописали маршруты и сделали правила masquerade.

    Если у вас статические IP-адреса от обоих провайдеров, то простейшая настройка резервирования сводится к установке приоритетов маршрутов на первого и второго провайдера.

    Зайти в IP => Routes и для маршрута на Провайдера-1 указываем Check Gateway=ping и Distance=5. В настройках маршрута на Провайдера-2 указываем Check Gateway=ping и Distance=10. Значения параметра Distance не обязательно должны быть такими. Важно, что бы значения для Провайдера-1 было меньше чем для Провайдера-2. Как правило, статические маршруты имеют приоритет (Distance) равный единице. Для примера мы привели другое значение. При такой схеме весь трафик будет идти через Провайдера-1, путь через Провайдера-2 будет резервным. Шлюзы обоих провайдеров будут периодически пинговаться, и при недоступности шлюза Провайдера-1 маршрут на него будет отключен, а трафик пойдет по маршруту на Провайдера-2. После того, как шлюз Провайдера-1 станет опять доступным трафик опять пойдет через него.

    Недостатком данной схемы является то, что в ней проверяется не наличие Интернета, а именно доступность следующего узла. Часто встречаются ситуации, когда оборудование провайдера (следующий узел) доступно, а интернета нет. Очень яркий пример это Интернет через ADSL-модем. Соседний узел (ADSL-модем) будет доступным, а Интернет нет.

    Для первого Интернет-канала:

    Резервирование Интернет-канала с помощью маршрутизатора МикроТик, простой способ, маршрутизатор №1

    Для второго Интернет-канала:

    Резервирование Интернет-канала с помощью маршрутизатора МикроТик, простой способ, маршрутизатор №2

    Через консоль

    Первый маршрутизатор:

    /ip route
    add check-gateway=ping distance=5 gateway=10.1.100.254

    Второй маршрутизатор:

    /ip route
    add check-gateway=ping distance=10 gateway=10.1.200.254

    Объединение двух ЛВС через MikroTik.

    Это описание немного сокращено в 2021г чтоб акцентировать внимание на рассматриваемой теме.

    Есть роутер микротик и две ЛВС. Выполним настройки так, чтоб компьютеры обменивались пакетами на сетевом уровне и имели доступ в Интернет.

    Освоить MikroTik Вы можете с помощью онлайн-куса «Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

    Использован MikroTik RB750Gr3 с прошивкой 6.49.

    В разъем №1 подключаем провод от внешней сети (Интернет).

    В разъем №2 подключаем провод от коммутатора ЛВС 8.

    В разъем №3 подключаем провод от коммутатора ЛВС 9.

    В сетевых адаптерах компьютеров сетей установлено получение IP-адреса по DHCP.

    Внешний IP-адрес для выхода в Интернет прилетает так же по DHCP.

    1.Подключение к роутеру, сброс конфигурации.

    Подключаемся через WinBox по MAC-адресу.

    Сбрасываем конфигурацию роутера на пустую (blank).

    No Default Configuration — не оставлять дефолтную конфигурацию;

    Do Not Backup — не делать резервную копию перед сбросом конфигурации.

    Через командную строку терминала.

    . Следует помнить, что удаляя базовые настройки, удалятся параметры безопасности. Если роутер будет работать шлюзом в Интернет необходимо настроить параметры безопасности (интерфейсы доступа, учетные записи, фильтры и прочие настройки).

    Подключаемся к роутеру еще раз по MAC-адресу.

    2.Назначение адресации для портов (LAN).

    Для порта ether2 назначим IP-адрес 192.168.8.1

    Для порта ether3 назначим IP-адрес 192.168.9.1

    Каждый порт будет «смотреть» в свою сеть.

    IP >> Addresses >> Нажимаем синий плюс >> В окне New Address вводим параметры:

    Mikrotik пингует а компьютер нет

    1) тормозит DNS
    2) тормоза связаны с тем что канал забивается
    3) загрузка ЦП микротика , правила итд

    Проц максимум загружается на 24% , правила все пробовал удалить.

    Какая версия routeros? Давно обновлялись? Что есть подозрительного в логах и конфиге?

    Artemii, самая последняя 6.43.7, в логах тишина

    значит канал забивается,
    или может вы не тем пользуетесь к примеру вам нужен ccr а вы юзаете Hap lite) на весь офис

    Здравствуйте,
    скопируйте сюда конфигурацию с проблемного маршрутизатора

    ЦИТРУС, # model = RouterBOARD 962UiGS-5HacT2HnT
    # serial number = ***********
    /interface bridge
    add admin-mac=64:D1:54:9E:BC:BF arp=proxy-arp auto-mac=no name=bridgelan
    /interface ethernet
    set [ find default-name=ether1 ] comment=WAN mac-address=54:B8:0A:53:A8:80
    speed=100Mbps
    set [ find default-name=ether2 ] comment=LAN speed=100Mbps
    set [ find default-name=ether3 ] speed=100Mbps
    set [ find default-name=ether4 ] speed=100Mbps
    set [ find default-name=ether5 ] speed=100Mbps
    set [ find default-name=sfp1 ] advertise=
    10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full disabled=yes
    /interface pppoe-client
    add add-default-route=yes disabled=no interface=ether1 max-mru=1492 max-mtu=
    1400 name=pppoe-out1 password=******* use-peer-dns=yes user=********
    /interface wireless
    set [ find default-name=wlan1 ] adaptive-noise-immunity=ap-and-client-mode
    band=2ghz-b/g/n country=romania disabled=no disconnect-timeout=15s
    distance=indoors frequency=auto frequency-mode=regulatory-domain
    hw-protection-mode=rts-cts hw-retries=10 mode=ap-bridge multicast-helper=
    full name=wlan2,4 on-fail-retry-time=1s ssid=********
    wireless-protocol=802.11 wmm-support=enabled wps-mode=disabled
    set [ find default-name=wlan2 ] adaptive-noise-immunity=ap-and-client-mode
    band=5ghz-onlyac channel-width=20/40/80mhz-Ceee country=romania disabled=
    no disconnect-timeout=15s distance=indoors frequency-mode=
    regulatory-domain hw-protection-mode=rts-cts mode=ap-bridge
    multicast-helper=full name=wlan5 on-fail-retry-time=1s radio-name=
    ********** ssid=********* wireless-protocol=802.11 wmm-support=
    enabled wps-mode=disabled
    /interface wireless nstreme
    set «wlan2,4» enable-polling=no
    set wlan5 enable-polling=no
    /interface wireless security-profiles
    set [ find default=yes ] authentication-types=wpa2-psk eap-methods=»» mode=
    dynamic-keys supplicant-identity=MikroTik wpa2-pre-shared-key=**********
    add authentication-types=wpa2-psk eap-methods=»» mode=dynamic-keys name=
    profile1 supplicant-identity=»» wpa2-pre-shared-key=********
    /ip hotspot profile
    set [ find default=yes ] html-directory=flash/hotspot
    /ip pool
    add name=dhcp_pool0 ranges=192.168.1.2-192.168.1.254
    /ip dhcp-server
    add address-pool=dhcp_pool0 disabled=no interface=bridgelan lease-time=3d10m
    name=dhcp1
    /interface bridge port
    add bridge=bridgelan interface=ether2
    add bridge=bridgelan interface=wlan2,4
    add bridge=bridgelan interface=wlan5
    add bridge=bridgelan interface=ether3
    add bridge=bridgelan interface=ether4
    add bridge=bridgelan interface=ether5
    /ip address
    add address=192.168.1.1/24 interface=bridgelan network=192.168.1.0
    /ip cloud
    set ddns-enabled=yes
    /ip dhcp-server network
    add address=192.168.1.0/24 gateway=192.168.1.1
    /ip dns
    set allow-remote-requests=yes
    /ip firewall filter
    add action=drop chain=input dst-port=53 in-interface=pppoe-out1 protocol=tcp
    add action=drop chain=input dst-port=53 in-interface=pppoe-out1 protocol=udp
    add action=drop chain=input in-interface=pppoe-out1
    /ip firewall nat
    add action=masquerade chain=srcnat out-interface=pppoe-out1
    /ip service
    set telnet disabled=yes
    set ftp disabled=yes
    set www disabled=yes
    set api disabled=yes
    set api-ssl disabled=yes
    /system clock
    set time-zone-name=Asia/Yakutsk
    /system identity
    set name=*********

Оцените статью
Fobosworld.ru
Добавить комментарий

Adblock
detector