1. При первой загрузке Mikrotik удаляем все настройки нажатием на Remove Configuration
2. Окно терминала "New Terminal" и вводим данные те что курсивом в это окно:
Создаем мосты для гостевой и локальной сети
/interface
bridge
add
name=Guest-bridge
add
name=bridge-local
3. Включаем WiFi
/interface
wireless
enable
[find name=wlan1]
4. Устанавливаем параметры для рабочей WiFi сети
/interface
wireless
set [find name=wlan1]
band=2ghz-b/g/n channel-width=20/40mhz-ht-above l2mtu=1600 mode=ap-bridge name=Lan_wlan
ssid=Work_WiFi
4а. Переименовываем интерфейс WiFi для удобства
/interface wireless
set [find name=wlan1] name=LAN_wlan
5. Переименовываем интерфейсы для удобства, разделяем порты, для локальной сети ставим 5,4,3
/interface
ethernet
set [ find
default-name=ether1 ] name=WAN1
set [ find
default-name=ether2 ] name=WAN2
set [ find
default-name=ether4 ] master-port=ether3
set [ find
default-name=ether5 ] master-port=ether3
6. Устанавливаем методы авторизации для WiFi сети (рабочей и гостевой)
/interface
wireless security-profiles
set [ find
default=yes ] authentication-types=wpa2-psk eap-methods="" mode=\
dynamic-keys wpa2-pre-shared-key=2651227978669147
add
authentication-types=wpa-psk,wpa2-psk eap-methods="" \
management-protection=allowed
name=Guest_security supplicant-identity=""
7. Добавляем виртуальный интерфейс гостевой WiFi сети
/interface
wireless
add default-forwarding=no disabled=no name=Guest_wlan master-interface=Lan_wlan name=Guest_wlan security-profile=Guest_security ssid=Guest_WiFi
add default-forwarding=no disabled=no name=Guest_wlan master-interface=Lan_wlan name=Guest_wlan security-profile=Guest_security ssid=Guest_WiFi
8. Устанавливаем блокировку социальных сетей
/ip
firewall layer7-protocol
add
name=social regexp="^.+(vk.com|vkontakte|odnoklassniki|odnoklasniki|fall-in-love|loveplanet|my.mail.ru).*\$"
9. Настраиваем HotSpot на триальное время 20минут,
/ip hotspot
profile
set [ find
default=yes ] login-by=http-chap,trial trial-uptime=20m/0s
Файлы для редиректа на страницу авторизации и ее настройки Настройка здесь
10. Здесь настройка IPsec до удаленного маршрутизатора
/ip ipsec
proposal
set [ find
default=yes ] enc-algorithms=3des lifetime=8h
11. Окружение локальной сети для рабочей и гостевой области
/ip pool
add
name=dhcp_Local ranges=192.168.121.40-192.168.121.254
add
name=dhcp_guest ranges=10.0.0.2-10.0.0.254
12. Поднимаем DHCP сервер для раздачи гостевой и рабочей области
/ip
dhcp-server
add
address-pool=dhcp_Local disabled=no interface=bridge-local lease-time=3d \
name=dhcp_Local
add
address-pool=dhcp_guest disabled=no interface=Guest-bridge lease-time=1h \
name=dhcp_Guest
13. Добавляем в HotSpot область которую необходимо обслуживать
/ip hotspot
add
address-pool=dhcp_guest disabled=no idle-timeout=none interface=\
Guest-bridge name=HotSpot
14. Ограничиваем скорость для Guest_WiFi
/queue
simple
add
name=HotSpot queue=hotspot-default/hotspot-default target=Guest-bridge \
total-limit-at=1M total-max-limit=1M
15. Устанавливаем профиль пользователей для WiFi сети
/ip hotspot
user profile
set [ find
default=yes ] insert-queue-before=HotSpot keepalive-timeout=1h \
shared-users=unlimited
16. Указываем порты для мостов локальной
/interface
bridge port
add
bridge=bridge-local interface=ether3
add
bridge=bridge-local interface=LAN_wlan
add
bridge=Guest-bridge interface=Guest_wlan
17. Указываем IP адреса провайдеров и локальных сетей
/ip address
add
address=95.47.133.90/24
comment=WAN_ISP1 interface=WAN1 network=\
95.47.133.0
add
address=194.136.172.158/30
comment=WAN_ISP2 interface=WAN2 network=\
194.136.172.156
add
address=192.168.121.1/24
comment=LAN interface=bridge-local network=\
192.168.121.0
add
address=10.0.0.1/24 comment=Guest_Bridge interface=Guest-bridge network=\
10.0.0.0
18. Указываем настройки для раздачи по DHCP для рабочей и гостевой сети
/ip
dhcp-server network
add
address=10.0.0.0/24 comment=Guest_lan dns-server=10.0.0.1 gateway=\
10.0.0.1
add
address=192.168.121.0/24
comment=lan dns-server=\
194.85.128.10,212.44.130.6,95.182.72.5,95.182.72.7
domain=mydomen \
gateway=192.168.121.1
19. Настройки DNS от провайдеров
/ip dns
set
allow-remote-requests=yes servers=95.132.72.5,194.85.128.10
/ip dns
static
add
address=192.168.121.1 name=router
20. Листы для доступа и блокировок (192.168.100.0/24 этим цветом окрашен удаленный маршрутизатор D-Link DFL)
/ip
firewall address-list
add
address=192.168.100.0/24
list="Access list"
add address=95.17.221.230
list="Access list"
add
address=192.168.100.0/24
list=VPN_List
add
address=192.168.121.0/24
list=CU_BLOCK_SOCIAL
21. Устанавливаем фильтрацию трафика
/ip
firewall filter
add
action=passthrough chain=unused-hs-chain comment=\
"place hotspot rules here"
disabled=yes
add action=drop
chain=output comment="Drop ping on Google from WAN2_ISP" \
dst-address=8.8.4.4 out-interface=WAN2
add
chain=input comment="Remote Control" src-address-list="Access
list"
add
chain=input comment="Allow Ping" protocol=icmp
add
chain=input comment="Allow ipsec-esp" protocol=ipsec-esp
add
chain=input comment="Default accept established" connection-state=\
established
add
action=drop chain=input in-interface=WAN1
add
action=drop chain=input in-interface=WAN2
add
chain=forward connection-state=established
add
chain=forward connection-state=related
add
action=drop chain=forward connection-state=invalid
add
chain=input comment="Allow IKE" dst-port=501 in-interface=WAN2
protocol=\
tcp
add
action=drop chain=forward comment="Guest access"
dst-port=!80,8080,443 \
protocol=tcp src-address=10.0.0.0/24
add
action=drop chain=forward dst-address-list=VPN_List src-address=\
10.0.0.0/24
/ip
firewall nat
add
action=passthrough chain=unused-hs-chain comment=\
"place hotspot rules here"
disabled=yes
add
chain=srcnat comment="Allow trafic VPN" dst-address-list=VPN_List \
src-address=192.168.121.0/24
add
action=masquerade chain=srcnat out-interface=WAN1
add
action=masquerade chain=srcnat out-interface=WAN2
add action=masquerade
chain=srcnat comment="masquerade hotspot network" \
out-interface=Guest-bridge
/ip
firewall service-port
set tftp
disabled=yes
set irc
disabled=yes
set h323
disabled=yes
set pptp
disabled=yes
22. Устанавливаем пир до удаленного маршрутизатора
/ip ipsec
peer
add address=95.17.221.230/32 enc-algorithm=3des
generate-policy=port-strict \
lifetime=1h mode-config=request-only
nat-traversal=no secret=2545542 \
send-initial-contact=no
23. Прописываем маршруты наших сетей
/ip route
add
comment=WAN_ISP2 distance=1 gateway=194.136.172.157
add
comment=WAN_ISP1 distance=2 gateway=95.47.133.1
add
distance=1 dst-address=192.168.100.0/24
gateway=bridge-local
24. Отключаем лишние сервисы которые мы не будем обслуживать
/ip service
set telnet
disabled=yes
set ftp
disabled=yes
set www
disabled=yes
set ssh
disabled=yes
set api
disabled=yes
set api-ssl
disabled=yes
25. Устанавливаем автоматическое обновление времени с серверов
/system
clock
set time-zone-name=Europe/Moscow
/system ntp
client
set
enabled=yes primary-ntp=91.226.136.136 secondary-ntp=109.195.19.73
26. Пишем скрипт: Пингуем адрес 8.8.4.4, если пинг пропал, то включаем WAN_ISP2, если пинг восстановился, то переключаем обратно. Интервал пинга 30 секунд.
/tool netwatch
add down-script="/ip route enable [find comment =\"WAN_ISP2\"]" host=8.8.4.4 interval=30s
up-script="/ip route disable [find comment =\"WAN_ISP2\"]"
add down-script="/ip route enable [find comment =\"WAN_ISP2\"]" host=8.8.4.4 interval=30s
up-script="/ip route disable [find comment =\"WAN_ISP2\"]"
27. Блокировка Torrent
Блокирует исключительно только торрент-траффик.
/ip firewall filter
add ac=drop ch=forward p2p=a
add ac=drop ch=forward in-int=bridge-local pr=udp cont=«d1:ad2:id20:» dst-port=1025-65535 packet-s=95-190
add ac=drop ch=forward in-int=bridge-local pr=tcp cont=«info_hash=» dst-port=2710,80
не обязательно, то что ниже:
— Блокируем скачку .torrent файлов:
add ac=drop ch=forward cont="\r\nContent-Type: application/x-bittorrent" out-in=bridge-local pr=tcp src-p=80
— Блокируем локальный торрент:
add ac=drop ch=forward cont="\r\nInfohash: " in-in=bridge-local pr=udp dst-port=6771
Команды, там где "\r\n… "- вставлять только через консоль.
/ip firewall filter
add ac=drop ch=forward p2p=a
add ac=drop ch=forward in-int=bridge-local pr=udp cont=«d1:ad2:id20:» dst-port=1025-65535 packet-s=95-190
add ac=drop ch=forward in-int=bridge-local pr=tcp cont=«info_hash=» dst-port=2710,80
не обязательно, то что ниже:
— Блокируем скачку .torrent файлов:
add ac=drop ch=forward cont="\r\nContent-Type: application/x-bittorrent" out-in=bridge-local pr=tcp src-p=80
— Блокируем локальный торрент:
add ac=drop ch=forward cont="\r\nInfohash: " in-in=bridge-local pr=udp dst-port=6771
Команды, там где "\r\n… "- вставлять только через консоль.
Настройка DFL здесь
Примечание: В DFL необходимо приписать два ip адреса от провайдера и когда происходит автоматическое переключение на WAN_ISP2 микротик, необходимо вручную на DFL менять ip адрес в ipsec и при возобновлении WAN_ISP1 менять обратно. DFL не умеет освобождать SAs (автоматом, либо работает криво)
Примечание: В DFL необходимо приписать два ip адреса от провайдера и когда происходит автоматическое переключение на WAN_ISP2 микротик, необходимо вручную на DFL менять ip адрес в ipsec и при возобновлении WAN_ISP1 менять обратно. DFL не умеет освобождать SAs (автоматом, либо работает криво)
Всем удачи в работе. Ты если Чё, ЗАХОДИ!
Комментариев нет:
Отправить комментарий