Вопросы по настройке роутера

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
gadpaw1
Сообщения: 5
Зарегистрирован: 18 фев 2020, 11:13

Здравствуйте, можете подсказать по нескольким вопросам при настройке роутера для домашнего использования:

1. В Interface list WAN в случае подключения как dhcp client'a добавляем ether1 (интерфейс куда подключен кабель от провайдера)

Для pppoe уже в WAN оставляем только сам pppoe интерфейс ?
Или в таком случае нет защиты от сети провайдера, когда удаляем из списка ether1?

А если еще подключаем iptv через объединение ether1 и ether5 в bridge и далее этот bridge как интерфейс для pppoe.
Получается что pppoe внешняя сеть и bridge имеет внешнюю сеть от провайдера iptv, нам нужно защититься от обеих?
Т. е. что добавляем в список WAN -> pppoe и bridge или что-то одно или все 4 интерфейса (включая ether1 и ether5) ?

2. Если я не хочу создавать внутреннюю локальную сеть из оставшихся портов (ether2-ether3).
Для получения интернета на этих интерфейсах в любом случае необходимо создавать на каждый ether свой bridge, и потом dhcp и т. д?

Или можно как-то прописать самому ether'у -> ip?
В таком варианте не будет работать, т. к. не будет видно самого роутера?

Во всех примерах все строится через bridge, но нет объяснения почему именно так ))

Без bridge должен же работать просто switch без доп. накладных расходов? Или с fastpath на bride - это все не важно?

3. Полное правило на forward'У -> drop all from WAN not DSTNATed (с условием !dstnat) имеет смысл только если у нас есть доступ из вне?
А без доступа из вне можно просто отбрасывать все new без доп. условий?

4. Как работает правило firewall filters - fasttrack?

Например, в стандартной конфигурации, идет разрешение related и established - fasttrack (все что не попало в fasttrack пропускается этим самым правилом).
Далее правило accept related и established, untracked (пропускается все что не попало в fasttrack ) и в конце drop - invalid и new.
В данном варианте вызывает вопросы только разделение, что есть fasttrack, а что пойдет обычным путем.

Больше неопределенности с mark-connections.
Например, помечаем соединения steam, и в самом низу после всех drop'ов добавляем fasttrack с connection mark -> steam (без указания connection state) .
Получается что правило accept related и established, untracked будет пропускать только untracked или частично tracked частично untracked, а какие-то пакеты попадут в fasttrack в самом низу?
А если переместить fasttrack на самый верх, то он будет пропускать и invalid и new и т. д. все помеченные как steam?
(такого вида настройка представлена тут -> https://www.youtube.com/watch?v=k7JlzEcSzAo ...)

И зачем нужны dummy правила - это просто метка что есть fasttrack или они что-то делают?

5. Очереди вроде бы как не работают на fasttrack, но его можно ограничить в que tree через дочерний элемент с меткой -> no-mark.
В таком виде ограничения могут быть подводные камни?

Может быть это можно сделать проще через Interface que?
Upload у меня не получилось ограничить с помощью Interface que((


Извиняюсь за сумбурность в вопросах, только начинаю изучать настройку роутера.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

1. Поймите правильно, понятие WAN - оно у вас в голове, человеку так проще, но микротику все равно. Он маршрутириует сети, для него любой физический порт или любой виртуальный (туннельный, если хотите) канал может быть WAN.
Физические порты, которые будут WAN, из бриджа локальной сети исключаем. Их можно, если нужно, объединять в свой бридж. Это нужно, обычно, для телевидения, но такая схема работает далеко не всегда. Но если достаточно именно бриджа из двух физических интрефейсов, то интерфейс PPPoE "сажают" на бридж (чаще всего провайдер от вас ждет не более одного MAC, поэтому на бридж).

2. Как-то вы сложно мыслите. Для чего такая заморочка? Какой у вас микротик? Вы боитесь, что не хватит производительности? DHCP можно повесить просто на Ether интерфес без создания дополнительных бриджей.

3. Нужны подробности. Что именно вы хотите сделать? Для чего это? Общее правило фаерволла таково: добовляем только то, что нужно и мы хорошо понимаем для чего этого. Все остальное от лукавого. Я бы начал с drop по 53, по протоколу UDP в цепочке input и все! А дальше правила будете добавлять по мере надобности.

4-5. Выяснить точно, как работает фасттрак можно только у разработчиков. Опять же, общее правило таково:
а) мне не нужна маркировка, я использую только NAT, для меня микротик - это чуть умнее, чем тупой свич, я хочу максимальную производительность NAT - нужно включать фасттрак.
б) я купил микротик, чтобы маркировать, роутить, фильтровать (даже на 7 уровне), использовать все его возможности, и я понимаю, что каждое правило снижает общую производительность моего роутера, поэтому я купил RB4011, чтобы вытягивать 500 мегабитный тариф - фастрак нужно выключить.


Общий совет: начните с малого, настройте все просто по-минимому. Читайте и экспериментируйте, пробуйте, начинате снова и так далее... Наскоком изучить все возможности невозможно. Чтобы более или менее разобраться в одной функции может потребоваться несколько часов, а может и дней, а часто до конца изучить эту одну функцию не хватает сил, времени и терпения.

https://www.youtube.com/watch?v=NRcpH3j7JEk
https://mum.mikrotik.com/presentations/ ... 786179.pdf


Ответить