Расширенные настройки Mikrotik RouterOS: статический DHCP сервер
Как известно, DHCP (Dynamic Host Configuration Protocol) или протокол динамической конфигурации узла, это сетевой протокол который позволяет компьютерам и другим устройствам, подключенным к локальной сети автоматически получать IP-адрес и другие параметры, необходимые для работы в этой сети по протоколам TCP/IP.
В базовой настройке Mikrotik RouterOS для сетевого оборудования Mikrotik мы уже настраивали параметры DHCP сервера для того чтобы наш роутер автоматически раздавал параметры нашей сети и IP адреса всем подключенным компьютерам, как по проводному, так и по беспроводному интерфейсам. Как следует из названия самого протокола, раздача происходит динамически. Однако, часто бывают такие ситуации, когда есть необходимость постоянно выделять один и тот же IP адрес конкретному компьютеру или устройству. Это может быть сервер базы данных или сетевой накопитель NAS, так как у них должен быть постоянный адрес для обеспечения бесперебойной работы сети. Можно конечно же, прописать этот адрес вручную, но это не всегда удобно, например в случае, когда таких устройств в сети много. Поэтому мы рассмотрим вариант настройки Static DHCP сервера, который может выдавать клиентам постоянные IP адреса, идентифицируя их MAC адресу.
Для настройки Mikrotik RouterOS для сетевого оборудования Mikrotik в утилите Winbox мы переходим в раздел IP — DHCP Server. Где в одноименном окне мы открываем вкладку Leases, на которой мы видим все подключенные устройства их MAC адреса и предоставленные им в аренду IP адреса.
Буква D в самой левой колонке, обозначает, что этому устройству, адрес был присвоен динамически.
Если мы хотим назначить конкретный IP адрес определенному компьютеру или устройству, мы должны два раза кликнуть на этой строчке, и в открывшемся окне, нажать кнопку Make Static, что сделает выдачу этому устройству статического адреса, автоматическим.
После чего, в списке, это устройство будет уже без буквы D.
Если же нас не устраивает его IP адрес, или нам нужно его сменить, то мы еще раз делаем двойной клик на этом устройстве, и в открывшемся окне, на вкладке General, мы можем изменить выделяемый адрес.
Сохраняем настройки нажатием кнопки Ok.
Теперь при следующих подключениях, этому устройству, будет всегда присваиваться указанный нами IP адрес.
Если же устройство никогда до этого не подключалась к вашей сети, и его нет в списке, то можно добавить его вручную. Для этого на вкладке Leases мы добавляем новую запись кнопкой “+”, где вписываем MAC адрес нового устройства и IP адрес, который будет ему выделяться.
НЕТ случайным клиентам или Только статические записи на DHCP сервере
Предположим, что мы настроили DHCP сервер, но мы еще не знаем, кому будем выдавать IP адреса и при этом нежелательно, чтобы IP адреса достались случайным клиентам.
Рис.2. Mikrotik RouterBoard DHCP сервер Static Only
Чтобы избежать назначение IP адресов случайным клиентам, в настройках DHCP сервера в поле Address Pool устанавливаем значение Static Only.
Рис.3. Получение IP адреса
Попытка получить IP адрес от DHCP сервера, потерпела неудачу. После того как для DHCP сервера, было установлено значение Static Only, IP адреса от DHCP сервера, будут получать только те клиенты, для которых была добавлена соответствующая запись.
Рис.4. Добавляем статическую запись
Добавляем статическую запись, для назначения IP адреса клиенту, указав соответствие mac и IP адреса.
Рис.5. Статическая запись добавлена
В результате клиент с заданным mac адресом, должен получить от DHCP сервера, IP адрес 192.168.88.33.
Рис.6. Успешное назначение IP адреса
В результате повторной попытки, получение IP адреса увенчалась успехом.
О том, что IP адрес был назначен заданному узлу, свидетельствует запись во вкладке Leases.
Если Вы нашли ошибку в тексте, то выделите ее мышкой и нажмите Ctrl + Enter или нажмите здесь.
Большое спасибо за Вашу помощь! Мы скоро исправим ошибку!
Сообщение не было отправлено. Пожалуйста, попробуйте еще раз.
Сообщение об ошибке
Ваш комментарий (не обязательно):
- Google+
Об авторе Evgenij_Rudchenko
9 Comments
В мене не праює! Все роблю по інструкції! Коли я в сепе на ПК вписую любу статичну ір, то Пк підключається до інтернету. Що робити?
Все правильно. Так и должно быть. DHCP сервер тут не причем. Смотрите в сторону Firewall
после вышеописанных процедур делаем в ip-arp make static для каждой записи, после чего на интерфейсе, который смотрит в локалку, для arp сделать reply-only. Тогда при несоответствии айпи маку или наоборот, интернет работать не будет.
А возможна ли такая конфигурация !?
например 1-й пул не задавать, а зделать исключительно статик онли для известных хостов, например с 192.168.1.1 по192.168.1.100. И зделать гостевой пул 192.168.1.101-192.168.1.150.
Т.е. в результате, что бы первые 100 хостов были чётко привязаны к мак адресам, а гостевые 50 получали адрес динамически.
Если выбрать статик онли, то будут выдаваться адреса только для маков которые есть у сервера. Лучше выдавать для гостей из другой подсети
Попробовал. Первый этап с настройкой статик онли прошел нормально. А вот с выдачей для гостей из другой подсети проблема. Новый DHCP сервер с гостевым пулом на тот же интерфейс не вешается, ругается что интерфейс занят другим DHCP, что логично. Создавать DHCP сервер на другом интерфейсе может быть проблемой если кол-во интерфейсов ограничено. А даже если создать и пустить его в ту же физическую сеть, не будут ли два DHCP сервера конфликтовать друг с другом и перетаскивать от одного к другому хосты ??
Разобрался сам. Если нужно сделать жесткую привязку маков к айпи адресам и в той же подсети сделать гостевой пул из 20-ти адресов, создаем пул на эти 20 адресов, и его указываем в найстройках DHCP сервера. А те айпи адреса которые нужно привязать к мак адресам, добавляем руками в закладке Lease, или в терминале в таком виде
add address=192.168.1.30 comment=(необязательно) disabled=no mac-address=01:01:01:01:01:01 \
server=(имя сервера)
На выходе мы имеем автоматическое присвоение 20-ти айпи адресов в гостевом пуле, а все остальные необходимые айпи адреса привязываем к мак адресам в закладке Lease. Всё работает.
Доброго времени суток!
Уже третьи сутки голову ломаю с настройкой DHCP. Вроде и все просто, и не первый раз навстраиваю, а не выходит дать инет пользователям и все!
Привязал на вкладке Leases IP пользователей к их MAC. В свойствах сетевой, которая на них смотрит (LAN) поставил static only, создал ограничивающие скорость правила на каждый IP. Но одни пользователи появляются в таблице ARP и в них инет работает, другие не появляются вообще и инет у них не работает, но адрес они получают тот, что привязан во вкладке Leases к МАС. Третьи начинают работать, если внести их вручную в таблицу ARP…. Статически сеть отказывается работать вообще. Выключил DHCP, выставил на LAN статику… и потерял связь с микротиком, несмотря на то, что ввожу адрес на своей сетевой вручную- связи нет(.
Фигня какая-то! Уже сегодня настолько все достало, что подключил обратно старый MONOWALL. Подскажите что за паскудство может быть?
Сделал статистик онли, и теперь не могу подключиться к микротику через винбокс, висит надпись логинг и все… что теперь делать?
Mikrotik: настройка интернета
Настройка интернета на роутерах Mikotik для простого пользователя задача непростая. Роутер Mikrotik снабжен своей собственной OC с интерфейсом на базе Linux. Здесь нет простых настроек, которые все привыкли видеть в большинстве роутеров, предназначенных для дома или малого офиса. Но для быстрой и более удобной настройки подключения роутера к интернету можно воспользоваться функцией «QuickSet».
Настройка интернета на роутерах Mikotik для простого пользователя задача непростая. Роутер Mikrotik снабжен своей собственной OC с интерфейсом на базе Linux. Здесь нет простых настроек, которые все привыкли видеть в большинстве роутеров, предназначенных для дома или малого офиса. Но для быстрой и более удобной настройки подключения роутера к интернету можно воспользоваться функцией «QuickSet».
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik . Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.
Для подключения к роутеру будем использовать программу WinBox, которую можно скачать с официального сайта http://www.mikrotik.com/download/winbox.exe .
Переходим на вкладку Neighbors, выбираем устройство и жмем Connect.
При первом входе в интерфейс роутера появится предложение установить конфигурацию по умолчанию либо удалить ее. Рекомендую воспользоваться удалением базовыхнастроек и настроить все с нуля.
Если диалогового окна для сброса настроек при входе нет, то настройки можно сбросить здесь «System\Reset Configuration«. Обязательно ставим галочку на пункте «No Default Configuration«, чтобы после сброса не применялась настройка по умолчанию.
Быстрая настройка интернета с помощью QuickSet.
В мастере быстрой настройки «Quick Set» предусмотрено несколько режимов работы роутера:
- CAP: Контролируемая точка доступа, которая управляется CAPsMAN сервером
- CPE: Режим клиента, который подключается к точке доступа AP.
- Home AP: Домашняя точка доступа. Этот режим подходит для упрощенной настройки доступа к интернету.
- PTP Bridge AP: Создает точку доступа для подключения к ней удаленного клиента
PTP Bridge CPE и создания единой сети. - PTP Bridge CPE: Клиент для подключения к удаленной точки доступа PTP Bridge AP.
- WISP AP: Режим похожий на Home AP, но предоставляет более продвинутые возможности.
Выбираем режим Home AP и приступаем к настройке роутера в качестве обычной точки доступа к интернету, которую можно использовать для небольшого офиса и дома.
Настраиваем WiFi.
Network Name: Название сети. Это название будут видеть тот кто подключается к вашей сети по WiFi.
Frequency: в обычной ситуации лучше оставить значение Auto. роутер сам подберет оптимальную частоту работы.
Band: Диапазон частот для домашнего роутера 2GHz-only-N. Если в сети есть старые устройства, работающие по протоколам 802.11b или 802.11g, тогда нужно будет выбрать режим 2GHz-B/G/N, но будет потеря в скорости соединения.
Use Access List (ACL): Используется для того чтобы ограничить доступ по WiFi. Прежде чем включать эту опцию необходимо создать список клиентов, которым разрешен доступ. Выбираем из списка подключенных клиентов и нажимаем кнопу Copy To ACL.
В обычной ситуации этой функцией лучше не пользоваться т.к. аутентификация по паролю обеспечивает достаточные ограничения.
WiFi Password: укажите здесь пароль для подключения к роутеру по WiFi.
WPS Accept: эта кнопка используется для упрощенного подключения устройств, которые поддерживают режим WPS. Такими устройствами могут быть принтеры или видеокамеры, на которых затруднен ввод пароля вручную. В первую очередь включить WPS нужно на подключаемом устройстве, а затем нажать кнопку роутера «WPS Accept».
Guest Network: эта функция позволяет создать отдельную гостевую сеть WiFi. Те, кто подключаются через гостевой WiFi, не будут иметь доступа к вашему роутеру, локальной сети и устройствам, находящимся в ней. Используйте гостевую сеть для повышения сетевой безопасности.
Задайте пароль в поле «Guest WiFi Password» и ограничение скорости на скачивание «Limit Download Speed«
Wireless Clients: здесь можно увидеть подключенные
в данный момент по WiFi устройства. В таблице показан MAC-адрес, IP-адрес, продолжительность подключения, качество сигнала и ACL (список разрешенных устройств)
Настраиваем интернет.
Здесь мы указываем те параметры подключения, которые нам передал провайдер интернета.
Port: Указываем физический порт, к которому подключен кабель провайдера
Adress Acquisition: указывем способ получения IP адреса. В моем случае адрес статический. При PPPoE подключении указываем логин, пароль и адрес pppoe-сервера.
MAC Address: физический адрес устройства, который будет видеть провайдер. Имеет смысл менять если вы Mikrotik ставите вместо другого роутера, а у провайдера на маршрутизаторе установлена привязка по mac-адресу.
MAC server / MAC Winbox: позволяет подключаться к роутеру используя его mac-адрес. Может пригодится при отладке или восстановлении, когда роутер недоступен по ip-адресу.
Discovery: позволяет распознавать роутер другими роутерами Mikrotik.
Настройка локальной сети.
IP Address: указываем ip-адрес устройства в нашей локальной сети.
Netmask: маску оставляем наиболее распространенную для большинства случаев 255.255.255.0.
Bridge All LAN Ports: объединяем все порты роутера в общий коммутационный узел, позволяя всем подключенным устройствам находится в одной сети и обнаруживать друг друга.
DHCP Server: включаем сервер автоматической раздачи ip-адресов устройствам, подключенным к роутеру.
NAT: должен быть включен для трансляции ip-адресов из локальных в публичные, иначе устройства локальной сети не получат возможность выйти в интернет.
UPnP: эту опцию лучше не активировать, если нет необходимости т.к. она позволяет выполнять автоматический проброс стандартных локальных портов в интернет. Порты лучше пробрасывать вручную, чтобы злоумышленники не знали их адреса.
Настройку VPN рассматривать в рамках данной статьи не будем. Отмечу лишь, что она так же доступна в QuickSet и может пригодится тем, кто использует VPN-туннели для объединения нескольких локальных сетей или устройств в одну частную сеть через интернет.
Настройка интернета вручную.
Настройка провайдера интернета на роутере Mikrotik вручную предполагает наличие у вас необходимых знаний в области сетевых технологий и более детального знания интерфейса Router OS и его консоли.
Сбрасываем настройки роутера в System > Reset Configuration .
Переименуем порт в списке интерфейсов «ether1-WAN«, чтобы сразу было понятно к какому порту подключен провайдер.
Вариант для любителей консоли:
Меняем MAC-адрес если до Mikrotik работал другой роутер, а провайдер интернета сделал привязку на своем маршрутизаторе к mac-адресу. Вместо нулей пишите mac своего старого роутера.
Настройка WiFi.
Открываем в меню пункт Wireless, выбираем WiFi интерфейс и включаем, нажав галочку, если он неактивен.
Заходим в настройки интерфейса двойным кликом и выбираем вкладку Security Profiles. Создаем свой профиль или редактируем существующий.
- Authentication Types: способ идентификации выбираем WPA2 PSK — он более надежен чем WPA, EAP — использует проверку подлинности внешнем сервером, актуален для корпоративных сетей;
- Unicast Ciphers и Group Ciphers: тип шифрования включаем aes com — это более современный и быстрый тип шифрования, tkip стоит включать если на каком-то устройстве, вероятно устаревшем, возникают проблемы с подключением;
- WPA2 Pre-Shared Key: задаем пароль для подключения к точке доступа WiFi.
Переходим на вкладку WiFi interfaces. В настройках беспроводного интерфейса, во вкладке Wireless прописываем следующие настройки для WiFi:
- Mode: ap bridge, включаем режим точки доступа;
- Band: 2GHz-only-N, этот способ вещания лучше всего подходит для большинства современных беспроводных устройств;
- Frequency: Auto, режим автоматического выбора частоты вещания;
- SSID: Вводим название беспроводной сети;
- Wireless Protocol: 802.11;
- Security Profile: default, выбираем тот который настроили ранее.
Настройка локальной сети.
Первый порт подключен к провайдеру. Оставшиеся порты будут использоваться для подключения устройств локальной сети. Для того чтобы порты находились в одной физической сети и могли коммутировать подключения их необходимо объединить в мост.
Создаем мост.
Для создания моста переходим в Bridge. Нажимаем плюсик и вписываем название моста, например «bridge-local».
Добавляем в мост порты. Открываем вкладку Ports. Жмем плюс и один за другим добавляем все порты, кроме того к которому подключен интернет, в мост bridge-local.
/interface bridge port
add bridge=bridge-local interface=ether2
add bridge=bridge-local interface=ether3
add bridge=bridge-local interface=ether4
add bridge=bridge-local interface=ether5
add bridge=bridge-local interface=wlan1
Присваиваем мосту IP-адрес. Пункт меню IP > Adresses.
Теперь у нас все порты, включая WiFi, закоммутированны и могут пересылать пакеты между собой. Остается настроить шлюз выхода в интернет.
Включаем сервер DHCP.
Определяем пул ip-адресов, которые будет раздавать DHCP server устройствам локальной сети. Выбираем в меню пункт IP/Pool. Через плюсик добавляем новый пул, вводим название и диапазон адресов.
Переходим к включению DHCP сервера IP > DHCP Server. Создаем новый DHCP сервер, указываем имя, интерфейс и пул адресов.
Во вкладке Networks указываем настройки, которые сервер будет передавать своим клиентам: адрес сети, маску сети, шлюз и DNS серверы. Маску лучше указывать сразу после адреса, через слеш.
После того как мы подготовили локальную сеть, можно перейти к настройке шлюза для выхода в интернет.
Настройка интернета.
Настройка подключения к интернету зависит от способа, предоставленного вам провайдером. Наиболее распространенный способ без использования статического ip адреса — подключение по технологии PPPoE. Так же рассмотрим часто используемые варианты с выделенным IP и динамическим получением IP-адреса от DHCP провайдера.
Подключение к провайдеру по PPPoE.
Открываем PPP и создаем новое соединение PPPoE Client. Интерфейс выбираем тот куда подключен провод провайдера.
На вкладке Dial Out вписываем имя и пароль для подключения. Отмечаем галочкой пункт Use Peer DNS, который обозначает что адреса DNS серверов будем получать от провайдера. Add Default Route добавляет маршрут, используемый по умолчанию, в таблицу маршрутизации.
Подключение к провайдеру по технологии PPTP или L2TP происходит способом аналогичным PPPoE. Разница лишь в том, что при добавлении PPTP Client или L2TP Client во вкладке Dial Out необходимо указать, помимо логина и пароля, адрес сервера.
Подключение по статическому IP.
Для образца возьмем такие параметры подключения, полученные от провайдера:
Адрес: 10.20.30.41
Маска: 255.255.255.248
Шлюз: 10.20.30.42
Для DNS используем серверы Google: 8.8.8.8, 8.8.4.4
Настраиваем IP-конфигурацию интерфейса, к которому подключен провод провайдера: IP > Adresses.
Добавляем маршрут для пакетов, направленных в интернет: IP > Routes. Адрес назначения для пакетов интернета Dst. Address: 0.0.0.0/0, шлюз Gateway: 10.20.30.42. Включаем проверку доступности шлюза Check Gateway: ping.
Добавляем адреса DNS-серверов. IP > DNS.
Настройка подключения по DHCP.
Этот вариант самый простой по настройке. Переходим IP > DHCP Client. Указываем интерфейс, подключенный к провайдеру. Остальные настройки оставляем как есть.
Отмеченные галочками Use Peer DNS и Use Peer NTP означают полчения от провайдера адресов DNS сервера и сервера синхронизации времени NTP. Add Default Roue добавляет маршрут, используемый по умолчанию, в таблицу маршрутизации.
После настройки подключения к провайдеру необходимо выполнить настройку NAT. NAT выполняет трансляцию локальных ip-адресов в публичный адрес, предоставленный провайдером. Если этого не сделать, то трафик в интернет уходить не будет.
Настройка NAT.
Добавляем в NAT правило трансляции локальных адресов.
IP > Firewall > Nat. Добавляем новое правило. Указываем, что трафик исходящий Chain: srcnat. Выбираем интерфейс исходящего трафика Out. Interface: Ether1-WAN или pppoe-out1, в зависимости от настройки подключения к провайдеру.
Далее переключаемся на вкладку Action и выбираем masquerade.
Теперь во всем трафике, идущем в интернет, локальные адреса преобразуются в публичный адрес провайдера и сервера-адресаты знают куда отвечать. А это значит, что интернет должен работать.
Остается один не менее важный вопрос — это безопасность вашего роутера. Для предотвращения взлома вашего роутера необходимо настроить Firewall. О том, как это сделать, читайте здесь.
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik . Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.
Привязка IP-адреса к MAC-адресу сетевой карты в Mikrotik
Start Date — Дата начала выполнения задания.
Start Time — Время начала выполнения скрипта.
Interval — Интервал времени, через который задание будет запускаться на выполнение снова.
On Event — Задание.
Прописываем название задания, например VLAN1-ARP, дату и время начала выполнения скрипта можно оставить по-умолчанию. Интервал ставим 1 минута. В поле задания используем следующий скрипт, который реализует привязку ip к mac:
:foreach i in [/ip arp find dynamic=yes interface= VLAN1 ] do=
Обратите внимание: В данном примере интерфейс на котором будет включена привязка является VLAN1. Вместо VLAN1 укажите интерфейс на котором вы хотите осуществить привязку.
4. Вот, собсвенно говоря и все. Сбросить MAC-адрес можно в таблице ARP ( IP > ARP )