Настройка pppoe микротик ростелеком
Обновлено: 05.07.2024
Пожалуйста, войдите или зарегистрируйтесь, чтобы добавить комментарий.
Пожалуйста, войдите или зарегистрируйтесь, чтобы ответить на этот вопрос.
5 ответов
1)как-то выходит. Кто знает, какие правила были созданы и где я ошибся?
2)Не настроено наверное.
3)Просто настраивает рекомендуемое оборудование. Если вы взяли себе какой-то другой конфиг, то все ваши грабли.
4)Был бы переводчик, надо, или интерпретатор, чтобы объяснить глубокий смысл этой фразы
1 комментарий
Пожалуйста, войдите или зарегистрируйтесь, чтобы добавить комментарий.
Должен добавить, что при подключении к компьютеру остается, на какой скорости работает сетевая карта. Но проблема 10М/100М скорее всего в кабеле
0 комментариев
Пожалуйста, войдите или зарегистрируйтесь, чтобы добавить комментарий.
Вообще такую диагностику всегда нужно начинать с базы:
1) Вставляем кабель в комп и настраиваем все по инструкции с сайта. Если работает, то переходим к роутеру, если нет - вызываем спецов провайдера.
2) В случае стабильной работы на компьютере пробуем разделить процесс настройки на этапы:
а) Сбросить настройки роутера по умолчанию, использовать настройки по умолчанию.
б) Вставьте кабель провайдера, посмотрите, что связь стабильная и без физических обрывов. В случае с RT отключать dhcp-клиент следует
in) Custom pppo-e client указывает физический порт, имя пользователя и пароль. Если все верно то ссылка должна подняться. Показать маршрут по умолчанию и DNS временно отключены. Если ссылка стабильна, включите отображение маршрута по умолчанию и DNS, проверьте стабильность.
g) Проверяем работу интернета на Микротике без присоединения более одной звонилки, если все норм, то подключаем локалку. Если локальная сеть настроена правильно, все должно работать.
Если на каком-то этапе нет стабильности, то вызываем stage. Честно говоря, я мог бы закончить ваш рассказ, он слишком эмоционален.
Микротик+РТ и все работает норм, самый стабильный из трех подключенных к интернету.
Точка-точка через Ethernet (PPPoE) — это просто метод инкапсуляции пакетов PPP в кадры Ethernet. PPPoE является расширением стандартного протокола точка-точка (PPP) и преемником PPPoA. Стандарт PPPoE определен в RFC 2516. Клиент и сервер PPPoE работают через любой интерфейс уровня Ethernet Layer2 на маршрутизаторе, например, Wireless, Ethernet, EoIP и т. д. Вообще говоря, PPPoE используется для передачи IP-адресов клиентам на основе аутентификация по имени пользователя (а также, при необходимости, по рабочей станции) в отличие от аутентификации только на рабочей станции, где используются статические IP-адреса или DHCP. Не рекомендуется использовать статические IP-адреса или DHCP на тех же интерфейсах, что и PPPoE, по очевидным причинам безопасности.
PPPoE обеспечивает возможность подключения сети узлов через простое мостовое устройство доступа к удаленному концентратору доступа.
- Клиент MikroTik RouterOS PPPoE на любой сервер PPPoE;
- Сервер MikroTik RouterOS (концентратор доступа) к нескольким клиентам PPPoE (клиенты доступны практически для всех операционных систем и большинства маршрутизаторов);
PPPoE состоит из двух отдельных этапов (этапов):
Этап обнаружения
Этап Discovery состоит из четырех шагов. Когда он завершится, оба узла узнают SESSION_ID PPPoE и Ethernet-адрес узла, которые вместе определяют сеанс PPPoE уникальным образом:
- Инициализация активного обнаружения PPPoE (PADI). Клиент PPPoE отправляет пакет PADI на широковещательный адрес. Этот пакет также может заполнять поле «имя службы», если имя службы было введено в свойствах удаленного доступа к сети клиента PPPoE. Если название службы не было введено, это поле не заполняется
- Предложение Active Discovery PPPoE (PADO) — сервер PPPoE или концентратор доступа должен ответить на PADI с помощью PADO, если концентратор доступа может обслуживать поле "service-name", которое было указано в пакете PADI. Если поле «имя службы» не было указано, концентратор доступа ответит пакетом PADO, в котором поле «имя службы» заполнено именами служб, которые может обслуживать концентратор доступа. Пакет PADO отправляется на индивидуальный адрес клиента PPPoE
- Запрос активного обнаружения PPPoE (PADR) — при получении пакета PADO клиент PPPoE отвечает пакетом PADR. Этот пакет отправляется на индивидуальный адрес концентратора доступа. Клиент может получить несколько пакетов PADO, но ответит на первый действительный пакет PADO, полученный клиентом. Если в начальном пакете PADI было пустое поле "имя службы", клиент заполняет поле "имя службы" пакета PADR первым именем службы, которое был возвращен в пакете PADO.
Подтверждение сеанса активного обнаружения PPPoE (PADS). Когда PADR получен, концентратор доступа создает уникальный идентификатор сеанса (ID) для сеанса протокола точка-точка (PPP) и возвращает этот идентификатор клиенту PPPoE в пакете PADS. Этот пакет отправляется на индивидуальный адрес клиента.
Завершение сеанса PPPoE:
- Завершение активного обнаружения PPPoE (PADT) — может быть отправлено в любое время после установления сеанса, чтобы указать, что сеанс PPPoE завершен. Он может быть отправлен как сервером, так и клиентом.
Фаза сеанса
Когда этап обнаружения завершен, оба узла знают идентификатор сеанса PPPoE и Ethernet (MAC)-адрес другого узла, которые вместе определяют сеанс PPPoE. Кадры PPP инкапсулируются в кадры сеанса PPPoE, которые имеют тип кадра Ethernet 0x8864.
Когда сервер отправляет подтверждение, а клиент его получает, запускается сеанс PPP, состоящий из следующих этапов:
- Этап согласования LCP
- Этап аутентификации (CHAP/PAP)
- Этап согласования IPCP, на котором клиенту назначается IP-адрес.
Если какой-либо процесс завершается сбоем, фаза установления согласования LCP начинается снова.
Сервер PPPoE отправляет клиенту пакеты Echo-Request для определения состояния сеанса, в противном случае сервер не сможет определить, что сеанс завершен в случаях, когда клиент завершает сеанс без отправка пакета Terminate-Request.
Как правило, максимальный размер кадра Ethernet, который можно передать без фрагментации, составляет 1500 байт. PPPoE добавляет еще 6 байт служебных данных, а поле PPP добавляет еще два байта, оставляя 1492 байта для дейтаграммы IP. Поэтому максимальные значения MRU и MTU PPPoE не должны превышать 1492.
Стеки TCP стараются избегать фрагментации, поэтому используют MSS (максимальный размер сегмента). По умолчанию MSS выбирается как MTU исходящего интерфейса за вычетом обычного размера заголовков TCP и IP (40 байтов), что дает 1460 байтов для интерфейса Ethernet. К сожалению, могут быть промежуточные каналы с меньшим значением MTU, что вызовет фрагментацию. В таком случае стек TCP выполняет обнаружение MTU пути. Предполагается, что маршрутизаторы, которые не могут переслать дейтаграмму без фрагментации, отбрасывают пакет и отправляют ICMP-Fragmentation-Required хосту-отправителю. Когда хост получает такой пакет ICMP, он пытается уменьшить MTU. Это должно работать в идеальном мире, однако в реальном мире многие маршрутизаторы не генерируют дейтаграммы, требующие фрагментации, а также многие брандмауэры отбрасывают все дейтаграммы ICMP.
Обходной путь для этой проблемы — настроить MSS, если он слишком велик.
Свойства
имя пользователя, используемое для аутентификации
Статус
Команда /interface pppoe-client monitor отобразит текущий статус PPPoE.
Доступные свойства только для чтения:
- набор номера,
- подтверждение пароля.
- подключено,
- отключено.
Сканер
Сканер PPPoE позволяет сканировать все активные серверы PPPoE в широковещательном домене уровня 2. Команда для запуска сканера выглядит следующим образом:
Доступные свойства только для чтения:
| Свойство | Описание |
|---|---|
| услуга (строка) | Имя службы, настроенное на сервере |
| mac-address (MAC) | Mac-адрес обнаруженного сервера |
| ac-name (string) | имя концентратора доступа |
| Свойство | Описание |
|---|---|
| аутентификация ( mschap2 | mschap1 | chap | pap; По умолчанию: "mschap2, mschap1, chap, pap") | Алгоритм аутентификации |
| default-profile (string; По умолчанию: "default") | |
| interface (строка; по умолчанию: "") | Интерфейс, к которому подключены клиенты |
| keepalive-timeout (время; по умолчанию: "10") | Определяет период времени (в секундах), по истечении которого маршрутизатор каждую секунду начинает отправлять пакеты проверки активности. Если в течение этого периода времени нет трафика и не приходят ответы проверки активности (т. е. 2 * keepalive-timeout), не отвечающий клиент объявляется отключенным. |
| max-mru ( целое число; по умолчанию: "1480") | Максимальная единица приема. Оптимальным значением является уменьшение MTU интерфейса, через который работает туннель, на 20 (так, для 1500-байтного канала Ethernet установите MTU равным 1480, чтобы избежать фрагментации пакетов) |
| Максимальная единица передачи. Оптимальным значением является уменьшение MTU интерфейса, через который работает туннель, на 20 (так, для 1500-байтного канала Ethernet установите MTU равным 1480, чтобы избежать фрагментации пакетов) | |
| Максимальное количество клиентов, которое может обслуживать AC. '0' = без ограничений. | |
| mrru (целое число: 512..65535 | отключено; по умолчанию: "отключено") | < td >Максимальный размер пакета, который может быть получен по каналу. Если пакет больше MTU туннеля, он будет разделен на несколько пакетов, что позволит отправлять полноразмерные пакеты IP или Ethernet по туннелю.|
| один сеанс за сеанс -host (yes | no; по умолчанию: "no") | Разрешить только один сеанс на хост (определяется MAC-адресом). Если хост попытается установить новый сеанс, старый будет закрыт. |
| service-name (строка; по умолчанию: "")< /td> | Имя службы PPPoE. Сервер будет принимать клиентов, которые отправляют сообщение PADI с именами служб, соответствующими этому параметру, или если поле имени службы в сообщении PADI не установлено. |
Сервер PPPoE (концентратор доступа) поддерживает несколько серверов для каждого интерфейса с разными именами служб. Имя концентратора доступа и имя службы PPPoE используются клиентами для идентификации концентратора доступа для регистрации. Имя концентратора доступа совпадает с идентификатором маршрутизатора, отображаемым перед командной строкой. Идентификатор можно установить в подменю /system identity.
Не назначайте IP-адрес интерфейсу, на который вы будете получать запросы PPPoE.
Указание MRRU означает включение MP (многоканальный PPP) по одному каналу. Этот протокол используется для разделения больших пакетов на более мелкие. Их MRRU жестко запрограммирован на 1614. Этот параметр полезен для преодоления ошибок обнаружения PathMTU. Параметр MP должен быть включен на обоих одноранговых узлах.
Значение keepalive-timeout по умолчанию, равное 10 с, в большинстве случаев подходит. Если вы установите значение 0, маршрутизатор не будет отключать клиентов до тех пор, пока они явно не выйдут из системы или маршрутизатор не будет перезапущен. Чтобы решить эту проблему, можно использовать свойство "один сеанс на хост".
< бр />
Клиент PPPoE
Чтобы настроить MikroTik RouterOS в качестве клиента PPPoE, просто добавьте PPPoE-клиент со следующими параметрами, как в примере:
Сервер PPPoE
Чтобы настроить MikroTik RouterOS в качестве концентратора доступа (сервера PPPoE):
В свое время, когда я купил роутер MikroTik, помимо базовой настройки интернета передо мной стояла задача обеспечить работу IPTV, до этого у меня был установлен D-link Ростелеком. Базовая настройка интернета на самом микротике у меня заняла минут 10, а вот с IPTV пришлось повозиться. Все мануалы, которые я читал тогда, не учитывали многие моменты, до которых я дошел, подбирая настройки многострадального D-link и без которых телевизор в этой схеме нормально работать не будет. В этой статье я хочу обозначить универсальное указание, которое я получил в этой ситуации.
В первую очередь обновите прошивку до последней.Подключаемся к нашему роутеру через Winbox, заходим в [Система] -> [Пакеты] -> [Проверить наличие обновлений]. Если выпущена более новая версия Routeros, чем установлена на вашем устройстве, нажмите «Загрузить и установить», после чего новая версия будет загружена, а маршрутизатор перезапустится.
После выполнения этих действий заходим сюда и выбираем пакеты, которые вы хотите скачать для своего устройства, в моем случае это серия haP и я выбираю дополнительные пакеты для текущей версии (6.43.4 на момент написания) .
Скачается архив, из которого нужно будет разархивировать файл мультикаста, открыть пункт files в winbox и перетащить распакованный нами файл прямо туда. После чего необходимо перезагрузить наш роутер (перейти в [System] -> [Reboot]).
После перезагрузки в разделе Маршрутизация должен появиться пункт IGMP Proxy, если этого не произошло, проверьте предыдущие шаги - установили ли мы нужный пакет (на предмет скачанности устройства, версий прошивок). В случае успеха продолжайте.
В прокси-сервере IGMP на первой вкладке нажмите знак [+], чтобы создать так называемый Upstream. В разделе интерфейс выбираем порт куда вставлен кабель от провайдера, даже если вы используете соединение PPPoE, выбираем физический порт, это очень важный момент. Ставим галочку Upstream и устанавливаем 0.0.0.0/0 в Alternative Subnets и нажимаем OK. Создайте второе правило для Downstream. В интерфейсе выбираем All, галочку upstream не ставим, здесь больше никаких действий не требуется, просто жмем ок и все.
Следующий шаг – настройка брандмауэра. Заходим в [IP]->[Firewall] и [+], создаем новое правило Chain->forward, протокол->udp, In interface->ether1 (порт, в который подключен кабель провайдера). Действие-> принять.
Создайте второе правило для IGMP. Цепочка так же остается forward, протокол->igmp, In interface->ether1, Action->accept. Перетащите созданные правила над запрещающими.
Далее нужно заблокировать прохождение мультикаста — трафика в беспроводную сеть. Перейдите на вкладку [Мост] -> вкладка «Фильтры» -> [+]. Выберите цепочку Output, out. Интерфейс -> wlan1 т.е. наша желаемая беспроводная сеть. На вкладке Advanced в типе пакета выбираем multicast и на вкладке Action назначаем действие drop, то есть бан. Не забудьте нажать ок, чтобы сохранить настройки.
И вот тут наступает пожалуй самый важный момент, если у вас подключение к интернету идет через PPPoE, то вам нужно добавить IP 1.0.0.1 с 30-битной маской на физическом интерфейсе куда подключен кабель от провайдера. Кстати, в этом была проблема, когда я первый раз настраивал микротик, без этого IP ничего не работало, а что именно нужно было вбить, я узнал, открыв настройки D-link. Перейдите в [IP] -> [Адреса] и [+] и добавьте следующие настройки. Если вы используете прямое подключение без поднятия каких-либо туннелей (называется IPoE), то предыдущих шагов будет достаточно и этот пункт пропустите.
Обращаю внимание на очень важный момент, после всех проделанных действий необходимо перезагрузить консоль, если она была включена и затем проверить результат настроек. В случае возникновения проблем в первую очередь советую проверить правила в брандмауэре.
Оператор также может использовать схему с использованием VLAN, в этом случае вам необходимо создать саб-интерфейс с влан-передающим iptv на том порту, в который у вас есть кабель от провайдера, можете попробовать узнать свой номер через техподдержку.Заходим в [interfaces] -> [VLAN] и нажимаем [+] для создания нового, указываем его имя, это не имеет значения и нам для удобства нужно администрирование, нам нужно указать VLAN ID, который дает провайдер, например взять 234 в порте интерфейса, к которому подключен кабель провайдера. Нажмите "ОК".
Затем создаем новый бридж и добавляем туда созданный VLAN и порт в который подключена ваша приставка, для начала нужно убрать этот порт с другого бриджа если он задействован в любом.
< /p>
В свойствах самого моста при возникновении проблем я рекомендую отключить STP.
В принципе, я описал достаточно подробную инструкцию на эту тему. Это все. Если есть вопросы и замечания, пишите в комментариях, готов ответить.
Интернет в MikroTik уже появился, для случаев раздачи Ip нужно настроить DHCP Server. Либо может быть прописана статика в запущенной сети ПК из подсети следующего компьютера.
Статья третья. Подключаем в качестве второго провайдера Ростелеком на 4-м порту. Каждый клиент из локальной сети будет находиться в Интернете через одного из провайдеров. Внимание! Настройке необходимо произвести подключение к маршрутизатору LAN, так как шаги, описанные в этой статье, могут привести к потере связи с маршрутизатором извне!
Во второй статье мы подключились к Дом.ру на пятом порту, к Ростелекому будем подключаться на пятом порту. Четвертый порт у нас в составе bridge1, а потому его надо было предварительно удалить.
закрытиеОтам "Мост", вкладка "Порты", где из списка удаляем "ether4".
- "PPP" -> "Интерфейс" -> "Добавить новый" -> "Клиент PPoE".
Интерфейсы = "ether4". Задаем пользователя и пароль.
Ждем, когда статус сменится на "подключен".
Готово! Мы подключились к провайдеру!
В результате каждого провайдера необходимо снять флажок "Добавить маршрут по умолчанию".
Но помните, если вы намерены использовать DNS-сервер маршрутизатора, а также проверить с его обновлением, то маршрут по умолчанию необходим, необходимо оставить галочку на оставшихся провайдерах, а в значении параметра «Расстояние маршрута по умолчанию» будет 2.
>
- "IP" -> "Брандмауэр" -> Вкладка "NAT" -> "Добавить новый".
- Chain = srcnat
- Out.Interface = pppoe-out2
- Action = masquerade
Итого, у нас в списке должно быть два, правила для Дом.ру и Ростелекома.
После настройки для Дом.ру у нас есть только белый список, где обнаружены ip-адреса технических устройств, которые можно найти в Интернете. Теперь же мы предлагаем два списка, где будут разрешены IP-адреса для каждого из провайдеров. Один и тот же IP должен быть только в одном списке. Также нам необходим список «LAN», где будет определяться локальная подсеть.
- "IP" -> "Брандмауэр" -> Вкладка "Списки адресов" -> "Добавить новый".
Делаем список с учетом подсетью.
- Включено = ВКЛ
- Имя = LAN
- Адрес = 192.168.25.0/24 "Маршруты" -> "Добавить новый".
Для того, чтобы правильно маршрутизировать пакеты в первом или втором провайдере, мы будем использовать маркировку пакетов, которые основаны на списках адресов, мы наблюдаем на обнаружении атак, а также маркируем связи.
- "IP" -> "Брандмауэр" -> Вкладка "Mangle" -> "Добавить новый".
Mangle правило номер 0
- Комментарий = LAN to ISP-DOMRU
- Enabled = ON
- Chain = prerouting
- Src.Address List = LAN-TO-DOMRU
- Dst.Address Список = ! LAN
- Действие = пометить маршрутизацию
- Новая пометка маршрутизации = ISP-DOMRU
Как работает: если устройство с ip-адресом из списка LAN-TO-DOMRU предлагает не к ip-адресу из списка LAN (т.е., ломится в интернет), то маркируем этот пакет для отправки через маршрут для провайдера Дом.ру
Мангл правило номер 1
- Comment = LAN to ISP-RT
- Enabled = ON
- Chain = prerouting
- Src.Address List = LAN-TO-RT
- Dst.Address Список = ! LAN
- Действие = отметка маршрутизации
- Новая маршрутизация Отметка = ISP-RT
Как работает: если устройство с ip из списка LAN-TO-RT предлагает не к ip из списка LAN (об этом говорит включенный перед LAN восклицательный знак), то маркируем этот пакет для отправки через маршрут для провайдера Ростелеком.
>Следующие четыре правила необходимы, если вы хотите гарантированно достучаться снаружи до админки своего маршрутизатора, и чтобы определить, пакеты, пришедшие от каждого провайдера, отправлялись ему же. У меня они отключены и хакеры ожидают своего рода лотерея.
Мангл правило номер 2
- Комментарий = ввод от ISP-DOMRU
- Включено = ВКЛ
- Цепочка = ввод
- Вх. Интерфейс = pppoe-out1
- Действие = пометить соединение
- Новое соединение Пометить = ОТ-ИСП-ДОМРУ
Как работает: если есть входящий пакет от провайдера Дом.ру, то маркируем соединение как "FROM-ISP-DOMRU".
Мангл правило номер 3
- Комментарий = к ISP-DOMRU
- Включено = ON
- Цепочка = выход
- Метка соединения = FROM-ISP-DOMRU
- Действие = отметка маршрутизации
/>- Новая метка маршрутизации = ISP-DOMRU
Как работает: все исходящие соединения, промаркированные как "FROM-ISP-DOMRU", отправляем по маршруту с меткой "ISP-DOMRU".
Мангл правило номер 4
- Комментарий = вход от ISP-RT
- Включено = ВКЛ.
- Цепочка = вход
- In.Interface = pppoe-out2
- Действие = пометить соединение />- Метка нового подключения = FROM-ISP-RT
Как работает: если есть входящий пакет от провайдера Ростелеком, то маркируем соединение как "FROM-ISP-RT".
Мангл правило номер 5
- Comment = to ISP-RT
- Enabled = ON
- Chain = output
- Connection Mark = FROM-ISP-RT
- Action = mark route
/>- Новая метка маршрутизации = ISP-RT
Как работает: все исходящие соединения, промаркированные как "FROM-ISP-RT", отправляем по маршруту с меткой "ISP-RT".
Брандмауэр. Настройки настройки от настроек одного провайдера.
1, 2 - правила, запрещающие "неправильные" пакеты:
- Chain = input
- Connection State = invalid
- Action = drop
------ ----
- Цепочка = пересылка
- Состояние соединения = недействительное
- Действие = сброс
3 - правило, разрешающее локальные интерфейсы:
- Chain = Input
- In.Interface = bridge1
- Action = accept
4 - правило, разрешающее IP-адреса из списка LAN-TO-DOMRU, помещения в интернет через провайдера Дом.ру:
- Chain = forward
- In.Interface = brudge1
- Список исходных адресов = LAN-TO-DOMRU
- Действие = принять
5 - правило, разрешающее IP-адреса из списка LAN-TO-RT, помещения в интернет через провайдера Ростелеком:
- Chain = forward
- In.Interface = brudge1
- Src .Список адресов = LAN-TO-RT
- Действие = принять
6, 7 - правила для ICMP-пакетов (у меня они заблокированы, но если вам надо делать трассировку до роутера или ping, то их нужно разрешить):
- Chain = input
- Protocol = 1 (icmp)
- Action = accept
------
- Chain = forward
- Protocol = 1 (icmp)
- Action = accept< /p>
8, 9 - правила блокировки входящих пакетов провайдера Дом.ру:
- Chain = input
- In.Interface = ppoe-out1
- Action = drop
-- ----
- Chain = input
- In.Interface = ether5
- Action = reject
- Reject With = icmp network unreachable
10, 11 - блокирующие входящие пакеты правила провайдера Ростелеком:
- Chain = input
- In.Interface = ppoe-out2
- Action = drop
---- --
- Chain = input
- In.Interface = ether4
- Action = reject
- Reject With = icmp network unreachable
12, 13 - разрешаем все установленные соединения:
- Цепочка = вход
- Состояние соединения = установлено, связанно
- Действие = принять
15 - запрещаем все остальное
- Chain = forward
- Action = drop
Вы спросите - как после 13 идет правила сразу 15 и я вам отвечу - это фотошоп. Были добавлены другие правила для проброса портов снаружи, к этой статье они не относятся и я их удалил.
Читайте также:
- Включение Asrock
- Как научить yandex station быть смелым
- Как правильно открыть txt-файл времени в удобочитаемом виде
- Нужно ли расторгать договор с интернет-провайдером при переходе на другого провайдера
- Как перенести лицензию на xbox 360