• количество компьютеров в офисе вырастет, и настраивать сеть на каждом из них станет утомительным занятием,
• всему офису нужно будет закрыть выход на «нехорошие сайты» вообще, и на некоторые — в частности,
• загрузка видео и музыки — удовольствие дорогое, а потому оно должно быть доступно только «избранным»,
• компьютеру тов. Иванова нужно будет полностью закрыть доступ, а компьютеру тов. Петрова — закрыть только http,
• офис будут посещать гости, которых нужно будет пустить в интернет, и при этом к ним не должны будут применяться описанные выше ограничения, однако для них нужно будет установить минимально-комфортную скорость канала,
• когда-нибудь руководство потребует огласить имена героев-любителей «покачать» в рабочее время.

DHCP

Издержки, связанные с настройкой сети на рабочих местах, можно устранить с помощью встроенного в RouterOS сервера DHCP.

Настройка сервера DHCP проводится в три этапа. Сначала задаем пул IP-адресов, которые будут раздаваться клиентским компьютерам:

/ip pool add name="OfficePool" ranges="192.168.0.2-192.168.0.254"

Затем создаем экземпляр DHCP-сервера, который будет слушать указанный интерфейс (в нашем случае это «зеленый» ether4) и выдавать IP-адреса из ранее созданного пула:

/ip dhcp-server add name="OfficeDHCP" interface="ether4" address-pool="OfficePool" disabled="no"

И, наконец, определяем адреса шлюза по умолчанию и сервера DNS, которые будут использоваться в нашей сети. В качестве этих адресов укажем IP-адрес «зеленого» интерфейса:

/ip dhcp-server network add address="192.168.0.0/24" gateway="192.168.0.1" dns-server="192.168.0.1" domain="office"

Готово. Для проверки подключим клиентский компьютер к нашему маршрутизатору, и посмотрим реакцию DHCP-сервера:

/ip dhcp-server lease print
Flags: X - disabled, R - radius, D - dynamic, B - blocked
 #   ADDRESS       MAC-ADDRESS       HOST-NAME SERVER     RATE-LIMIT STATUS
 0 D 192.168.0.254 00:1B:38:4F:38:8C acer5720g OfficeDHCP            bound

и клиентского компьютера:

C:\ipconfig /all

Ethernet adapter Подключение по локальной сети:
   DNS-суффикс подключения . . . . . : office
   Описание. . . . . . . . . . . . . : Broadcom NetLink (TM) Gigabit Ethernet
   Физический адрес. . . . . . . . . : 00-1B-38-4F-38-8C
   DHCP включен. . . . . . . . . . . : Да
   Автонастройка включена. . . . . . : Да
   IPv4-адрес. . . . . . . . . . . . : 192.168.0.254(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Аренда получена. . . . . . . . . . : 19 июня 2009 г. 6:39:49
   Срок аренды истекает. . . . . . . . . . : 22 июня 2009 г. 6:39:49
   Основной шлюз. . . . . . . . . : 192.168.0.1
   DNS-серверы. . . . . . . . . . . : 192.168.0.1
   NetBios через TCP/IP. . . . . . . . : Включен

Все выглядит замечательно, так что попробуем достучаться до интернета:

C:\>ping intacta.ru
При проверке связи не удалось обнаружить узел intacta.ru. Проверьте имя узла и
повторите попытку.

Не работает! Впрочем, так и должно быть, ведь мы не настроили сервер DNS.

DNS

Зачем нам нужен свой DNS-сервер, если провайдерские DNS-серверы успешно справляются со своими задачами? Собственный DNS-сервер позволит, во-первых, организовать адресацию хостов нашей сети по человеко-удобным именам вместо IP-адресов, и, во-вторых, построить первый барьер на пути доступа к «нехорошим» сайтам.

Настройка DNS-сервера выполняется командой:

/ip dns set primary-dns="208.67.220.220" secondary-dns="194.85.61.20" allow-remote-requests="yes"

С этого момента наш маршрутизатор будет отвечать на DNS-запросы клиентов. Ответы он будет искать в собственной базе данных (/ip dns static), а не найдя их там, переадресует запрос первичному (primary-dns) или, при необходимости, вторичному (secondary-dns) DNS-серверу.

Пополнить собственную базу DNS-сервера можно командой:

/ip dns static add address="192.168.0.100" name="printer.office"

после чего можно будет обращаться к хосту по имени:

C:\>ping printer

Обмен пакетами с printer.office [192.168.0.100] с 32 байтами данных:
Ответ от 192.168.0.100: число байт=32 время<1мс TTL=64
Ответ от 192.168.0.100: число байт=32 время<1мс TTL=64
Ответ от 192.168.0.100: число байт=32 время<1мс TTL=64

Если в команде /ip dns static add указать фиктивный IP-адрес:

/ip dns static add address="127.0.0.1" name="porno.com"

то по имени хост может быть и будет пинговаться (однако это будет уже совсем другой хост), но любой другой доступ к нему, например, из браузера, будет невозможен.

Начиная с версии 3.0rc7 RouterOS позволяет в качестве DNS-имени хоста использовать регулярные выражения в нотации POSIX basic. Это значит, что одной командой можно заблокировать сразу группу хостов. Так команда:

/ip dns static add address="127.0.0.1" name=".*porno.*"

заблокирует доступ к любому хосту, в имени которого в любом месте встречается слово porno.

По команде:

/ip dns static add address="127.0.0.1" name=".*\\.porno\\.com"

будет закрыт доступ ко всем хостам в домене porno.com.

А команда:

/ip dns static add address="127.0.0.1" name=".*porno\\.com"

прикроет доступ ко всем хостам, чье имя заканчивается сочетанием porno.com.

OpenDNS

Вы, наверное, обратили внимание на адрес 208.67.220.220 (первичный сервер DNS), который ранее не фигурировал в списке параметров подключения к интернету. Это адрес одного из двух DNS-серверов службы OpenDNS.

Служба OpenDNS после бесплатной регистрации и несложной настройки позволяет в задаче блокирования доступа к «нехорошим» сайтам задействовать ресурсы мирового сообщества, которое занимается категоризацией сайтов. На момент написания этой заметки доступно 54 категории, таких как «Порнография», «Социальные сети» и «Политика». При настройке OpenDNS можно выбрать категории, доступ к которым необходимо запретить.

К сожалению, иногда в работе OpenDNS случаются сбои. Например, этой зимой были проблемы с доступом к сайту mail.ru и к сайтам, которые хостятся в RU-Center. Для страховки от таких сбоев в качестве вторичного DNS-сервера необходимо использовать DNS-сервер провайдера.

Прямое подключение

Предположим, что при подключении к интернету провайдер выдал нам такие параметры:

• IP-адрес: 213.180.204.8,
• Маска: 255.255.255.240 (или /28),
• Шлюз: 213.180.204.1,
• DNS-серверы: 194.85.61.20, 193.232.130.14.

Настройка этих параметров на маршутизаторе тривиальна:

/ip address add interface="ether5" address="213.180.204.8/28"
/ip route add gateway="213.180.204.1"
/ip dns set primary-dns="194.85.61.20"
/ip dns set secondary-dns="193.232.130.14"

и сразу после их установки непосредственно на маршрутизаторе будет доступ в интернет, в чем можно легко убедиться:

/ping intacta.ru
195.208.0.16 64 byte ping: ttl=55 time=24 ms
195.208.0.16 64 byte ping: ttl=55 time=8 ms
195.208.0.16 64 byte ping: ttl=55 time=36 ms
3 packets transmitted, 3 packets received, 0% packet loss
round-trip min/avg/max = 8/22.6/36 ms

Теперь позаботимся о клиентах — настроим «зеленый» порт:

/ip address add interface="ether4" address="192.168.0.1/24"

и включим NAT на «красном»:

/ip firewall nat add out-interface="ether5" chain="srcnat" action="masquerade"

Офис счастлив, так как с этого момента интернет работает на всех компьютерах локальной сети, у которых:

• IP-адрес принадлежит сети 192.168.0.0/24,
• в качестве шлюза указан IP-адрес «зеленого» порта нашего маршрутизатора, т. е. 192.168.0.1,
• в качестве DNS-серверов указаны провайдерские DNS-серверы.

PPTP-подключение

Рассмотрим другую популярную схему подключения к интернету. Предположим, что мы подключены к «серой» сети провайдера с такими параметрами:

• IP-адрес: 10.0.200.2,
• Маска: 255.255.255.0 (или /24),
• Шлюз: 10.0.200.1.

В «серой» сети провайдера есть какие-то бесплатные ресурсы, и мы желаем ими пользоваться. А для доступа в интернет провайдер требует установить PPTP-соединение с сервером 10.0.0.1, используя логин MyLogin и пароль MyPassword.

DNS-серверы используются те же, что и ранее, т. е. 194.85.61.20 и 193.232.130.14.

С точки зрения «зеленого» интерфейса, эта схема не отличается от уже описанной. А вот «красных» интерфейсов у нас будет два: один из них — это Ethernet в «серой» провайдерской сети, второй — PPTP-соединение с доступом в интернет.

Итак, настраиваем первый «красный» интерфейс:

/ip address add interface="ether5" address="10.0.200.2/24"
/ip route add dst-address="10.0.0.0/8" gateway="10.0.200.1"
/ip dns set primary-dns="194.85.61.20"
/ip dns set secondary-dns="193.232.130.14"

Обратите внимание на изменение в схеме маршрутизации. Ранее мы указывали шлюз по умолчанию, на который «заворачивался» весь трафик. Теперь у нас шлюзом по умолчанию будет другой конец PPTP-соединения, когда оно будет установлено. А до этого момента, нам все-таки нужно знать, как дойти до PPTP-сервера и до бесплатных ресурсов провайдера. Поэтому в команде /ip route add появился параметр dst-address.

Теперь создаем второй «красный» интерфейс — PPTP-соединение:

/interface pptp-client add name="MyPPTP" connect-to="10.0.0.1" user="MyLogin" password="MyPassword" add-default-route="yes"
/interface enable "MyPPTP"

И, наконец, настраиваем NAT на обоих «красных» интерфейсах:

/ip firewall nat add out-interface="ether5" chain="srcnat" action="masquerade"
/ip firewall nat add out-interface="MyPPTP" chain="srcnat" action="masquerade"

miniROUTER в мини-офисе

miniROUTER оснащен пятью независимыми Ethernet-портами. Один из них задействован для подключения к провайдеру. А оставшиеся можно объединить так, чтобы они работали, как обычный коммутатор. Значит, если в офисной сети не более четырех компьютеров, то никакое другое сетевое оборудование приобретать не нужно.

Для такого объединения нужно выбрать любой свободный порт (пусть это будет ether4) в качестве главного (master), а остальные порты прописать в подчинение (slave) ему таким образом:

/interface ethernet set "ether1" master-port="ether4"
/interface ethernet set "ether2" master-port="ether4"
/interface ethernet set "ether3" master-port="ether4"

Можно сделать это и с помощью любого FTP-клиента. Предварительно на маршрутизаторе нужно включить FTP-сервер:

/ip service enable ftp

После того, как файл загружен, нужно перезагрузить маршрутизатор

/system reboot

и подождать пару минут.

Запись

installed routeros-mipsle-3.23

в журнале загрузившегося маршрутизатора подтверждает, что обновление операционной системы прошло успешно. Посмотреть журнал можно с помощью команды

/log print

В составе упомянутого дистрибутива, кроме собственно операционной системы, находится и обновление firmware. Узнать версии firmware можно так:

/system routerboard print
       routerboard: yes
             model: "miniROUTER"
     serial-number: "10CF01CE1B53"
  current-firmware: "2.8"
  upgrade-firmware: "2.18"

а обновить — так:

/system routerboard upgrade

Инструменты для управления

MikroTik предлагает три инструмента для управления RouterOS: браузер (в терминах MikroTik это называется Webbox), командную строку и специализированное приложение Winbox.

Webbox

Webbox позволяет управлять настолько небольшим подмножеством параметров RouterOS, что использовать этот инструмент нецелесообразно.

Командная строка

Из командной строки доступны все возможности RouterOS (вы ожидали другого?). Работать с командной строкой удобно благодаря функциям расцветки синтаксиса и автодополнения (по клавише [Tab]).

Все доступные команды собраны в древовидную иерархию по типу файловой системы. Ваше текущее положение в этой иерархии отображается в промпте. Доступ к конкретной команде может быть осуществлен либо с указанием абсолютного пути в этой иерархии (в этом случае неважно, где именно вы сейчас находитесь), например:

[admin@MyTik /routing] > /interface ethernet print

либо с указанием относительного пути, например так:

[admin@MyTik /interface] > ethernet print

или даже так:

[admin@MyTik /routing] > .. interface ethernet print

Для доступа к командной строке, кроме стандартных telnet и ssh, можно использовать RS-232 и фирменный протокол MAC Telnet.

MAC Telnet позволяет обращаться к маршрутизатору по его MAC-адресу, что может быть полезным в некоторых случаях, например, если вы не знаете IP-адрес маршрутизатора. Разумеется, между вами и маршрутизатором не должно быть других маршрутизаторов, так как информация о MAC-адресах теряется на промежуточных маршрутизаторах. Клиентское приложение для MAC Telnet — это Winbox.

Winbox

Winbox — это Windows-приложение (работающее, кстати, и в Linux под Wine) позволяющее «рулить» маршрутизатором с помощью полноценного GUI. В Winbox доступны практически все возможности RouterOS. Исключение составляют лишь редко используемые. Но и это не проблема, так как из Winbox возможен доступ к командной строке. Доступные команды организованы в иерархию меню, аналогичную иерархии командной строки.

Управлять маршрутизатором с помощью Winbox можно как по IP-адресу, так и по MAC-адресу (функция MAC Winbox аналогична функции MAC Telnet).