Звоните нам: +375 (29) 3245385, +375 (29) 7505994, +375 (25) 9164238

Межсетевой экран, брендмауэр или Firewall выполняет фильтрацию пакетов являясь таким образом инструментом обеспечивающим безопасность и управление потоками данных, проходящими через маршрутизатор. Вместе с трансляцией сетевых адресов NAT файервол служит инструментом предотвращения несанкционированного проникновения в сеть компании. Возможно и наоборот применением фильтрации пакетов совместно с транспарентными Proxy серверами и NAT добиться запрета на использование определённых ресурсов и внешних сетей. Полезно Firewall использовать для ограничения доступа к заведомо незащищенным службам. Он может служить препятствием для внедрения ложных данных с помощью уязвимых служб злоумышленником. Также через него возможен контроль доступа к узлам сети, регистрирование попыток доступа как извне, так и из внутренней сети. Можно регламентировать порядок доступа к сети, осуществлять уведомление о подозрительной деятельности, попытках зондирования или атаки на узлы сети или сам экран. 

В этой статье я опишу как можно настроить QoS на MikroTik для работы, скажем в небольшой корпоративной сети до 42 компьютеров. Предлагаемая ниже схема маркировки пакетов и шейпинга трафика позволяет получать хорошие задержки при практически полной загрузке канала интернета. Так же можно добиться довольно быстрого открытия страниц при скачке торрентов другими пользователями. Канал делится поровну между качающими в любой конкретный момент пользователями. В общем, это хорошо реализованая идея динамического шейпинга на микротик. Кроме того предлагается пиринговый трафик отделить от основного и шейпить по другому.

Научимся создавать сеть между удалёнными друг от друга офисами, находящимися например в разных городах или даже странах на примере MikroTik. Такие сети можно строить между любыми маршрутизаторами имеющими PPtP сервера и клиенты. Будь то Windows Server или DD-WRT вы тоже их сможете соединить с вашим MikroTik по стандартному тунелирующему протоколу PPtP. Будем рассматривать простой случай - два маршрутизатора марки MikroTik и необходима сеть на третьем уровне OSI.

Настройка начинается с активации PPtP сервера на первом MikroTik. Кроме всего прочего он должен иметь статический адрес в интернете. Более подробно про настройку pptp сервера читайте здесь.

В этой статье я опишу как можно настроить маршрутизатор MikroTik RB 750 для совместной работы с модемом промсвязь и его аналогов для использования интернета скажем небольшой корпоративной сетью на 30 машин.Предлагаемая ниже схема маркировки пакетов и шейпинга трафика не позволяет получать хорошие задержки при практически полной загрузке канала интернета в отличии от схемы с Simple Queue. Но тут так же можно добиться довольно быстрого открытия страниц при скачке торрентов другими пользователями. Канал делится поровну между качающими в любой конкретный момент пользователями. В общем это идея динамического шейпинга на микротик. Преимущества данного метода управления полосой в его простой реализации и низком требовании к апаратной части маршрутизатора. На том же самом маршрутизаторе Queue Tree может занимать в два раза меньше ресурсов процессора чем шейпинг той же полосы с помощью Simple Queue.

Поверх шифрованных PPtP, L2TP соединений на Mikrotik через интернет можно наводить EoIP тунели. Преимуществом данного тунеля является корректная работа сетевого окружения Windows, ведь все компьютеры теперь находятся в одном широковещательном домене. Недостатком является увеличение на 40% количества передаваемых данных и невозможность использовать политики 3-его уровня для фильтрации трафика пользователей. Кроме того помните основное правило создания таких сетей - в одном широковещательном домене не должно быть более 50 компьютеров. Хотя если такой тунель наведён через медленное соединение с интернетом компьютеров должно быть ещё меньше, так как постоянно генерируемый компьютерами Windows трафик обеспечивающий работу сетевого окружения попросту полностью его заполнит. В этом случае для полезного трафика не останется свободной полосы.

Если вы уже настроили L2TP, PPtP, PPPoE, OpenVPN сервер на MikroTik то вам остаётся узнать азы управления пользователями в этой роутерной операционной системе. Можно управлять локальными IP адресами, списками пользователей, максимальным временем сессии, временем простоя соединения, максимальным количеством принятых отправленных данных, DNS, WINS серверами, сжатием данных, шифрованием, ограничивать скорость в тунеле, ограничивать количество тунелей с одного акаунта, привязывать акаунты к MAC и IP адресам сетевых карт пользователей. Многое возможно настроить на маршрутизаторе даже если у вас в сети нет радиус сервера. Расказать про функционал предоставляемый Router OS по настройке пользовательских тунелей должна эта статья.

Как часто вам приходилось вносить изменения в настройки маршрутизатора а потом жалеть об этом. Как же ускорить откат своих действий на более ранние этапы? Автоматизировать это помогут вам эти скрипты. Приходилось ли вам терять последние настройки маршрутизатора в результате поломки жёсткого диска вашего програмного маршрутизатора?  Думаю да. Помочь избежать подобных ситуаций и уменьшить трудозатраты на обслуживание поможет эта статья. Итак настроим маршрутизатор на автоматическое создание файла содержащего настройки и отправку его на E-Mail с определённой частотой.

Существует иногда необходимость расширить зону действия Wi-Fi сети там где невозможно уже проложить витую пару. Конечно можно использовать WDS мосты между точками доступа Wi-Fi, но ёмкость такой сети и стабильность зачастую невысокая. Кроме того в помещении очень быстро происходит угасание сигнала Wi-Fi и за 3-мя стенами он уже может полностью отсутствовать, а для усиления его необходимо, чтобы он в месте размещения WDS репитера был стабильным. На выручку приходит технология Powerline, которая как и Wi-Fi за последние несколько лет стала значительно доступнее из-за значительного снижения цены на оборудование и увеличившегося его ассортимента. В отличии от Wi-Fi по технологии PowerLine можно передавать также и широковещательный трафик IPTV. Кроме того оборудование PowerLine разных производителей совместимо между собой. Из недостатков могу назвать лишь невысокую ёмкость сети ограничивающаяся зачастую 16 адаптерами. Есть еще ограничение на количество сетей: на 1 фазу не более 4-ёх.

Доброго времени суток тем кто следит за моим блогом! После длительного перерыва поделюсь своим новым опытом использования технологии vlan на MikroTik.  Иногда существует необходимость в корпоротивных сетях отделять компьютеры друг от друга. Часто необходимо создать отдельную подсеть Wi-Fi для гостей компании. Также разделение сети на виртуальные сегменты используют ethernet провайдеры. Изоляция нужна по ряду причин: предотвратить прослушку трафика пользователей с помощью атаки "человек по середине" из-за несовершенства ARP протокола, отсечь возможность получать доступ к корпоративным данным посторонним людям. Рассмотрим простейший способ использования технологии vlan. Суть технологии: трафик нескольких сетей между свичами и роутерами бегает вместе с разными метками, но когда приходит к пользовательским устройствам - метки снимаются. Пользователи трафик с метками просматривать не могут. Мы будем создавать несколько Wi-Fi сетей без возможности доступа на 2-ом уровне OSI между ними.

Зачастую не все USB 3G/4G модемы работают с маршрутизаторами стабильно. Выясняется, что даже программная перезагрузка MikroTik не позволяет их вывести из ступора. К счастью в некоторых Routerboard предусмотрено отключение питания USB порта на какое-то время. Сегодня мы рассмотрим как сделать аппаратный сброс модема программными средствами роутера. 

Страница 1 из 2

Последние комментарии

  • Алекс Написал Алекс Июль 18, 2017 Вот это иструкция... Всё просто и понятно....
  • Vlad Написал Vlad Июль 05, 2017 Добрый день! Адрес 192.168.8.1 - ето адрес чего у Вас? Там где Сделаем маршрут для второго провайдера с меткой ....…
  • Юрий Написал Юрий Июнь 22, 2017 Здравствуйте. Прошу проконсультировать. На модеме М-200А все настройки сделаны правильно, беспроводный интернет работает, ноутбук работает. Но проблема в смартфоне с…

banner 3

Подписаться на новости

Подписаться на новости

Ключевое слово

Авторизация