Как на Mikrotik отследить кто тратит траффик
Линейка домашних маршрутизаторов Mikrotik довольно часто используется как точка выхода в сеть Интернет. Типовая проблема, возникающая в этой области — маленькая скорость. Иначе говоря «Кто съел весь Интернет?!». Если подобный вопрос периодически всплывает в вашей голове — возможно эта статья поможет немного разобраться в вопросе.
Как ни странно, но проблемы с самим каналом — это не единственная возможная проблема медленного Интернета. Наиболее часто встречающиеся причины:
- Нехватка вычислительных ресурсов самого устройства.
- Некорректная настройка, ошибки в работе, устройство взломано.
- Кто-то забивает весь канал 🙂
- Проблемы на стороне провайдера (авария, переход на резервные мощности и т.д.).
Из списка этих причин только последний пункт от нас никак не зависит, поэтому решение вопроса чисто организационное. Звоним на линию техподдержки и говорим, что у нас Микротик (этого бывает достаточно, для того, чтобы провайдер признал, что проблемы на их стороне. /юмор/)
Настройка роутинга интернета через VPN сервер на MikroTik
В связи с тем, что вопрос использования частных VPN серверов ставится все чаще, поскольку все больше и больше ресурсов блокируются на территории страны без разбора, то я рекомендую следующее решение. Вы устанавливаете свой частный VPN сервер заграницей (например, на базе CentOS), а в вашем офисе или квартире вы ставите сетевое оборудование, которое маршрутизирует весь ваш трафик через этот VPN сервер. В качестве такого устройства — надежного и стабильного я рекомендую использовать роутеры MikroTik.
В этой статье я рассказываю, как настроить роутер MikroTik для маршрутизации интернет трафика через VPN на примере hAP ac lite. К сожалению, все статьи, что я читал на эту тему обзорные и не полные, в них отсутствуют некоторые необходимые шаги.
Предположим, что ваш роутер подключен к интернет через Ethernet и провайдер выдает IP динамически. Пусть наш Ethernet порт подключенный к кабеля провайдера называется в Mikrotik «ether1 wan» и он получил IP 10.54.194.83/20 и ходит он через шлюз 10.54.192.1. Создадим VPN туннель поверх этого соединения.
1. Откройте Winbox Mikrotik.
2. Добавьте новый интерфейс PPTP:
- «Interfaces» > «+» >PPTP Client
- «Name»: любое
- «Type»: PPTP Client
3. Далее выберите вкладку «Dial Out»
- «Connect to»: IP или FQDN вашего сервера
- «User»:
- «Password»:
- «Profile»: default encryption
- «Keepalive Timeout»: 60 или оставьте пустым
- Add default route: enable
- Default route distance: 1
- «Allow»: mschap2, mschap1, chap (только если требует VPN сервер)
Нажимаем Apply и проверяем, что соединение установилось — статус connected, running.
4. Переходим на вкладку «IP» > «Route List» и проверяем в таблице наличие маршрута созданного VPN подключением.
Если ваш VPN сервер выдает IP адреса сети 172.16.0.0/16, то должна появиться строка Dst. address = 172.16.0.1 с gateway = «your_VPN_conenction reachable». Reachable здесь показывает, что само соединение работает и доступно.
Помимо этого должна появиться строка Dst. address = 0.0.0.0/0 с gateway = «your_VPN_conenction reachable» и distance = 1. Если такой строки нет, то её нужно создать, нажав + в окне Routes.
Поскольку Ethernet WAN соединение, которое является DHCP клиентом, создает свою запись в маршрутах с сетью назначения 0.0.0.0/0 и дистанцией = 1, то это будет конфликтовать с VPN туннелем. Необходимо удалить эту строку, чтобы запись с distance = 1 осталась одна. Далее, необходимо добавить статический маршрут через сеть провайдера с адресом назначения 0.0.0.0/0, но дистанцией 2 или более. Это нужно для того, чтобы в случае, когда VPN не доступен или отключен, пустить весь трафик через через шлюз провайдера.
Также проверьте, что для работы сети провайдера есть динамический или статический маршрут с дистанцией 0 и интерфейсом по умолчанию — вашим WAN портом. В нашем случае это 10.54.194.83/20, ходящий через DHCP WAN интерфейс 10.54.194.83.
В нашем примере сеть VPN это de4.vpnbook.com, VPN сеть доступна через шлюз — 172.16.36.1 с дистанцией 0. Этот маршрут добавлен автоматически VPN соединением (динамические маршруты букву D в первой колонке):
VPN маршруты в Mikrotik
5. Осталось только добавить несколько правил файервола, которые разрешат использование PPTP.
Для этого открываем раздел IP> → Firewall → NAT и нажимаем +. Перед нами открывается страница добавления нового правила, заполняем её следующим образом:
- На закладке General:
- Chain: srcnat
- Out interface: название вашего PPTP соединения
- Action: masquerade.
L2TP клиент настраивается аналогично, разница во 2 и 3 шаге. Также там необходимо включить IPsec и ввести ввести ключ IPsec в поле IPsec secret.
[Посещений: 17 369, из них сегодня: 1]
Быстрый способ
Через графический интерфейс
Приведенные ниже манипуляции подразумевают, что вы уже настроили IP-адреса двум внешним интерфейсам, прописали маршруты и сделали правила masquerade.
Если у вас статические IP-адреса от обоих провайдеров, то простейшая настройка резервирования сводится к установке приоритетов маршрутов на первого и второго провайдера.
Зайти в IP => Routes и для маршрута на Провайдера-1 указываем Check Gateway=ping и Distance=5. В настройках маршрута на Провайдера-2 указываем Check Gateway=ping и Distance=10. Значения параметра Distance не обязательно должны быть такими. Важно, что бы значения для Провайдера-1 было меньше чем для Провайдера-2. Как правило, статические маршруты имеют приоритет (Distance) равный единице. Для примера мы привели другое значение. При такой схеме весь трафик будет идти через Провайдера-1, путь через Провайдера-2 будет резервным. Шлюзы обоих провайдеров будут периодически пинговаться, и при недоступности шлюза Провайдера-1 маршрут на него будет отключен, а трафик пойдет по маршруту на Провайдера-2. После того, как шлюз Провайдера-1 станет опять доступным трафик опять пойдет через него.
Недостатком данной схемы является то, что в ней проверяется не наличие Интернета, а именно доступность следующего узла. Часто встречаются ситуации, когда оборудование провайдера (следующий узел) доступно, а интернета нет. Очень яркий пример это Интернет через ADSL-модем. Соседний узел (ADSL-модем) будет доступным, а Интернет нет.
Для первого Интернет-канала:
Для второго Интернет-канала:
Через консоль
Первый маршрутизатор:
/ip route
add check-gateway=ping distance=5 gateway=10.1.100.254Второй маршрутизатор:
/ip route
add check-gateway=ping distance=10 gateway=10.1.200.254Объединение двух ЛВС через MikroTik.
Это описание немного сокращено в 2021г чтоб акцентировать внимание на рассматриваемой теме.
Есть роутер микротик и две ЛВС. Выполним настройки так, чтоб компьютеры обменивались пакетами на сетевом уровне и имели доступ в Интернет.
Освоить MikroTik Вы можете с помощью онлайн-куса «Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.
Использован MikroTik RB750Gr3 с прошивкой 6.49.
В разъем №1 подключаем провод от внешней сети (Интернет).
В разъем №2 подключаем провод от коммутатора ЛВС 8.
В разъем №3 подключаем провод от коммутатора ЛВС 9.
В сетевых адаптерах компьютеров сетей установлено получение IP-адреса по DHCP.
Внешний IP-адрес для выхода в Интернет прилетает так же по DHCP.
1.Подключение к роутеру, сброс конфигурации.
Подключаемся через WinBox по MAC-адресу.
Сбрасываем конфигурацию роутера на пустую (blank).
No Default Configuration — не оставлять дефолтную конфигурацию;
Do Not Backup — не делать резервную копию перед сбросом конфигурации.
Через командную строку терминала.
. Следует помнить, что удаляя базовые настройки, удалятся параметры безопасности. Если роутер будет работать шлюзом в Интернет необходимо настроить параметры безопасности (интерфейсы доступа, учетные записи, фильтры и прочие настройки).
Подключаемся к роутеру еще раз по MAC-адресу.
2.Назначение адресации для портов (LAN).
Для порта ether2 назначим IP-адрес 192.168.8.1
Для порта ether3 назначим IP-адрес 192.168.9.1
Каждый порт будет «смотреть» в свою сеть.
IP >> Addresses >> Нажимаем синий плюс >> В окне New Address вводим параметры:
Mikrotik пингует а компьютер нет
1) тормозит DNS
2) тормоза связаны с тем что канал забивается
3) загрузка ЦП микротика , правила итдПроц максимум загружается на 24% , правила все пробовал удалить.
Какая версия routeros? Давно обновлялись? Что есть подозрительного в логах и конфиге?
Artemii, самая последняя 6.43.7, в логах тишина
значит канал забивается,
или может вы не тем пользуетесь к примеру вам нужен ccr а вы юзаете Hap lite) на весь офисЗдравствуйте,
скопируйте сюда конфигурацию с проблемного маршрутизатораЦИТРУС, # model = RouterBOARD 962UiGS-5HacT2HnT
# serial number = ***********
/interface bridge
add admin-mac=64:D1:54:9E:BC:BF arp=proxy-arp auto-mac=no name=bridgelan
/interface ethernet
set [ find default-name=ether1 ] comment=WAN mac-address=54:B8:0A:53:A8:80
speed=100Mbps
set [ find default-name=ether2 ] comment=LAN speed=100Mbps
set [ find default-name=ether3 ] speed=100Mbps
set [ find default-name=ether4 ] speed=100Mbps
set [ find default-name=ether5 ] speed=100Mbps
set [ find default-name=sfp1 ] advertise=
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full disabled=yes
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 max-mru=1492 max-mtu=
1400 name=pppoe-out1 password=******* use-peer-dns=yes user=********
/interface wireless
set [ find default-name=wlan1 ] adaptive-noise-immunity=ap-and-client-mode
band=2ghz-b/g/n country=romania disabled=no disconnect-timeout=15s
distance=indoors frequency=auto frequency-mode=regulatory-domain
hw-protection-mode=rts-cts hw-retries=10 mode=ap-bridge multicast-helper=
full name=wlan2,4 on-fail-retry-time=1s ssid=********
wireless-protocol=802.11 wmm-support=enabled wps-mode=disabled
set [ find default-name=wlan2 ] adaptive-noise-immunity=ap-and-client-mode
band=5ghz-onlyac channel-width=20/40/80mhz-Ceee country=romania disabled=
no disconnect-timeout=15s distance=indoors frequency-mode=
regulatory-domain hw-protection-mode=rts-cts mode=ap-bridge
multicast-helper=full name=wlan5 on-fail-retry-time=1s radio-name=
********** ssid=********* wireless-protocol=802.11 wmm-support=
enabled wps-mode=disabled
/interface wireless nstreme
set «wlan2,4» enable-polling=no
set wlan5 enable-polling=no
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods=»» mode=
dynamic-keys supplicant-identity=MikroTik wpa2-pre-shared-key=**********
add authentication-types=wpa2-psk eap-methods=»» mode=dynamic-keys name=
profile1 supplicant-identity=»» wpa2-pre-shared-key=********
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp_pool0 ranges=192.168.1.2-192.168.1.254
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=bridgelan lease-time=3d10m
name=dhcp1
/interface bridge port
add bridge=bridgelan interface=ether2
add bridge=bridgelan interface=wlan2,4
add bridge=bridgelan interface=wlan5
add bridge=bridgelan interface=ether3
add bridge=bridgelan interface=ether4
add bridge=bridgelan interface=ether5
/ip address
add address=192.168.1.1/24 interface=bridgelan network=192.168.1.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-server network
add address=192.168.1.0/24 gateway=192.168.1.1
/ip dns
set allow-remote-requests=yes
/ip firewall filter
add action=drop chain=input dst-port=53 in-interface=pppoe-out1 protocol=tcp
add action=drop chain=input dst-port=53 in-interface=pppoe-out1 protocol=udp
add action=drop chain=input in-interface=pppoe-out1
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-out1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/system clock
set time-zone-name=Asia/Yakutsk
/system identity
set name=*********