MikroTik: настройка раздачи интернета с SFP порта по DHCP
Сегодня поговорим про настройку MikroTik для доступа в интернет через sfp порт. Сетка на других портах у нас будет своя. А интернет на sfp порт приходит по DHCP. И так погнали.
MikroTik это – маршрутизаторы, коммутаторы, точки доступа и много другое оборудование которое выпускает Латвийская фирма. Больше всего она получила свою известность именно за недорогие и функциональные устройства. Оборудование компании MikroTik получает всё большее распространение не только в корпоративном сегменте, но и в домашнем.
При первом входе на устройство появляется сообщение с настройками роутера по умолчанию. Те, кто хочет попробовать быстро настроить устройство, могут нажать кнопку OK и далее попробовать настроить свое устройство через режим Quick Set, у кого-то это получится, у кого-то нет, а кто то при первом входе в появившемся окне нажимаем кнопку Remove Configuration, это удалит все заводские настройки. Вот теперь, это абсолютно не настроенное устройство, мы будем конфигурировать под себя. Мы же шарим, да?
Настраиваем:
переименовываем интерфейс sfp1 в sfp1-wan
переименовываем интерфейс ether1 в eth1-lan и другие ether интерфейсы переназываем так же
wlan1 интерфейс выключим и пока не трогаем
Подключаем кабель провайдера в sfp порт устройства настройки получаем по dhcp.
Идем в [IP]=>[DHCP Client]=>[+]=>[Interface: eth1-wan]=>[OK]
Интерфейс sfp1-wan получит IP адрес
Создадим br1-lan и добавим в него на вкладке Ports все интерфейсы eth1-lan eth(сколько у вас портов)-lan
Настроим ip, dhcp-server, добавляем ip на интерфейса br1-lan: [IP]=>[Addresses]=>[+]=>[Address: 172.16.100.1/24; Interface: [br1-lan]=>[OK]
или в командной строке
/ip address add address=172.16.100.1/24 interface=br1-lan
Создаем пул адресов для dhcp
В командной строке /ip pool add name=dhcp-pc ranges=172.16.100.3-172.16.100.254
Включаем прослушку dhcp-запросов на интерфейсе br2-lan
/ip dhcp-server add name=dhcp-pc interface=br1-lan lease-time=04:00:00 address-pool=dhcp-pc
/ip dhcp-server network add address=172.16.100.0/24 dns-server=172.16.100.1 gateway=172.16.100.1 netmask=24
Настройка DNS
Включаем прослушку DNS запросов
/ip dns set allow-remote-requests=yes
Пакетный фильтр
/ip firewall filter
add chain=input protocol=icmp
add chain=input connection-state=new dst-port=80,8291,22 in-interface=br1-lan protocol=tcp src-address=172.16.100.0/24
add chain=input connection-mark=allow_in connection-state=new dst-port=80 in-interface=sfp1-wan protocol=tcp
add chain=input connection-state=new dst-port=53,123 protocol=udp src-address=172.16.100.0/24
add chain=input connection-state=established,related
add chain=output connection-state=!invalid
add chain=forward connection-state=established,new in-interface=br1-lan out-interface=sfp1-wan src-address=172.16.100.0/24
add chain=forward connection-state=established,related in-interface=sfp1-wan out-interface=br1-lan
add action=drop chain=input
add action=drop chain=output
add action=drop chain=forward
NAT
/ip firewall nat
add action=masquerade chain=srcnat out-interface=sfp1-wan src-address=172.16.100.0/24
add action=masquerade chain=srcnat out-interface=br1-lan src-address=192.168.1.0/24 (наша сеть до dhcp)
add action=redirect chain=dstnat dst-port=9999 protocol=tcp to-ports=80
Mangle
/ip firewall mangle
add action=mark-connection chain=prerouting dst-port=9999 new-connection-mark=allow_in protocol=tcp connection-state=new