MikroTik: Базовая настройка и настройка подключения L2TP от Билайн + IPTV

Подготовка к настройке

Перед настройкой нам нужно обновить прошивку и сбросить все предустановленные настройки.

Если вы не читали первую часть “Mikrotik: выбор домашнего маршрутизатора“, то вкратце повторю как сбросить настройки, по обновлению прошивки читаем первую часть (ближе к концу).

Подключаемся к маршрутизатору патчкордом в любой порт кроме первого и запускаем WinBox. Через некоторое время наш роутер появляется в списке доступных устройств.

На данном этапе НЕ ПОДКЛЮЧАЕМ КАБЕЛЬ ОТ ПРОВАЙДЕРА В НАШ РОУТЕР!

WinBox - первое подключение
WinBox – первое подключение

Клацаем мышкой на MAC-адрес что бы он появился в строке Connect To, в поле Login вводим admin, поле пароля оставляем пустым и нажимаем Connect.

Подключившись идём в меню System – Reset Configuration, выставляем галочки No Default Configuration, Do Not Backup и нажимаем Reset Configuration.

MikroTik - сброс конфигурации
MikroTik – сброс конфигурации

Через некоторое время наш маршрутизатор перезагрузится и снова появится в WinBox, на этот раз уже без IP-адреса. Теперь мы готовы приступить к настройкам.

WinBox - подключение на "чистый" роутер
WinBox – подключение на “чистый” роутер

Снова подключаемся к маршрутизатору и заходим в меню System – Users и добавляем нового пользователя с полными правами.

MikroTik - добавление нового пользователя
MikroTik – добавление нового пользователя

Выходим из WinBox и подключаемся уже новым пользователем

WinBox - подключение новым пользователем
WinBox – подключение новым пользователем

Снова заходим в System – Users и отключаем старого пользователя. Делается это дабы исключить подбор пароля к вашему роутеру, т.к. практически всем известно имя пользователя по умолчанию. В принципе root для этого тоже не слишком подходит, но для примера пойдёт, вы же придумайте свой логин.

WinBox - отключение старого администратора
WinBox – отключение старого администратора

На этом в принципе подготовительную часть можно считать завершённой и далее приступим непосредственно к настройкам.

Настройка портов и моста (bridge)

Сразу оговорюсь что в данном примере я подключение от провайдера буду настраивать на физический пятый порт. Сделано это в целях экономии розетки. У меня роутер установлен далеко от розетки и питание на него я подаю по PoE, PoE-in в моём маршрутизаторе (MikroTik hAP ac²) это первый физический порт (который подписан Internet) и если в него воткнуть шнурок от провайдера то придётся подавать питание через PoE-инжектор – раз розетка, плюс розетка на коммутатор (switch), а раз уж все равно кабель от маршрутизатора тянуть к свитчу, то глупо не задействовать PoE от свитча.

Для тех кто не в курсе – у MikroTik’а нет такого понятия как выделенный WAN-порт как на бытовых маршрутизаторах, тут любой порт может выполнять любую роль. Хоть четырёх провайдеров в него заводите, а пятый порт на свитч ))

В принципе все настройки я старался сделать через bridge, так что никому не помешает потом перетусовать все физичесие порты под свои нужды, на работоспособность это уже никак не повлияет.

Но ближе к делу.

В первую очередь идём в меню Interfaces и отключаем порт ether5, для этого выделяем его и нажимаем на красный крестик. После этого можно безбоязненно подключать к нему кабель от интернет-провайдера. Сделано это что бы исключить попытки вторжения на наше устройство пока оно не настроено. На дальнейшие настройки это никак не повлияет.

MikroTik - отключаем порт
MikroTik – отключаем порт

Далее идём в меню Bridge и добавляем два моста – bridge1-LAN и bridge2-WAN

Далее открываем там же вкладку Ports и добавляем там порты в наши мосты )) Порты ether1-ether4 и wlan1-wlan2 в бридж bridge1-LAN, порт ether5 соответственно в bridge2-WAN

Затем открываем меню Interfaces и на вкладке Interface List добавляем список ls-LAN-all нажав на кнопку Lists. Затем в данный список добавляем bridge1-LAN

На этом настройка портов и мостов закончена, перейдем к настройке локальной сети ))

Настройка локальной сети

Перейдём в меню IP – Addresses и добавим новый адрес (в моём случае это 192.168.253.1, в вашем случае это может быть другой) присвоив его интерфейсу bridge1-LAN. Это и будет адрес нашего маршрутизатора. Адрес нужно добавлять с сетевой маской, так как на скриншоте. В принципе маску можно писать и полной – 192.168.253.1/255.255.255.0

Назначаем IP-адрес маршрутизатору
Назначаем IP-адрес маршрутизатору

Далее нам нужно настроить DHCP-сервер, который будет назначать IP-адреса сетевым устройствам в нашей локальной сети. Для этого перейдём в меню IP – DHCP Server и воспользуемся там мастером настроек нажав кнопку DHCP Setup. В принципе для типовой конфигурации можно со всем согласиться как есть привязав сервер к интерфейсу bridge1-LAN, единственно я добавил гугловские адреса DNS-серверов. Здесь может быть несколько вариантов – взять DNS-сервера от провайдера, добавить свои, добавить гугловские, настроить DNS-сервер на нашем маршрутизаторе и раздавать его. Последнему варианту будет посвящена отдельная статья, а пока оставим так – пусть будет гугл.

И напоследок переименуем наш DHCP-сервер в dhcp1-LAN, пригодится в будущем.

Переименовываем DHCP-сервер
Переименовываем DHCP-сервер

Настройка подключения L2TP на MikroTik

Начнём с настройки DHCP-клиента, для этого перейдем в меню IP – DHCP Client. Откроем вкладку DHCP Client Options и добавим там новый параметр со следующими значениями:

Name: parameter_request_list
Code: 55
Value: 0x010306212A79F9
Настройка DHCP-клиента - добавляем новый параметр
Настройка DHCP-клиента – добавляем новый параметр

Затем на вкладке DHCP Client добавляем нового клиента привязав его к интерфейсу bridge2-WAN.

Add Default Route выбираем special_classless, что позволяет получить classless маршрут, так и маршрут по умолчанию в стиле MS.

Привязка DHCP Client к интерфейсу bridge2-WAN
Привязка DHCP Client к интерфейсу bridge2-WAN

На вкладке Advanced добавляем DHCP Options: clientid, hostname и наш parameter_request_list. По поводу последнего параметра – не знаю точно передаёт ли билайн до сих пор что нибудь, но на всякий случай пусть будет, отключить никогда не поздно. Default Route Distance ставим 10.

Advanced DHCP Options
Advanced DHCP Options
/ip dhcp-client
add add-default-route=special-classless default-route-distance=10 dhcp-options=\
    clientid,hostname disabled=no interface=bridge2-WAN

Теперь настроим непосредственно L2TP подключение.

Перейдём в меню PPP и добавим L2TP Client. Назовём его l2tp-out1-beeline, Max MTU установим 1460, Max MRU 1500. Затем на вкладке Dial Out заполним поля Connect To: tp.internet.beeline.ru, User: ваш логин выданный провайдером, Password: соответственно ваш пароль, поставим галочку Add Default Route, Default Route Distance: 5, снимем галочки с mschap1 и pap

Настройка firewall

Выбираем меню Interfaces и переходим на вкладку Interface List, добавляем новый список ls-WAN-all. Затем в этот список добавляем интерфейсы bridge2-WAN и l2tp-out1-beeline

Меню IP – Firewall на вкладке Address Lists добавляем список под названием LocalNet с нашими адресами – 192.168.253.0/24

Настройка firewall - добавляем список локальных адресов
Настройка firewall – добавляем список локальных адресов

Добавляем привила firewall. Что бы не пихать сюда кучу картинок напишу все правила скриптом, кто не знает, то просто вводите данные команды в окне терминала (меню New Terminal). Данные правила самые базовые, но на первых порах их должно быть достаточно.

/ip firewall filter
#Разрешаем established и related
add action=accept chain=input connection-state=established,related
add action=accept chain=forward connection-state=established,related
#Дропаем все входящие из WAN
add action=drop chain=input in-interface-list=ls-WAN-all
#Дропаем инвалидные соединения
add action=drop chain=forward connection-state=invalid
#Защищаемся от пролома NAT
add action=drop chain=forward connection-nat-state=!dstnat connection-state=new in-interface-list=ls-WAN-all

В результате должно выглядеть так как на скрине ниже, за исключением правил для IPTV, их добавим чуть попозже ))

Список правил firewall
Список правил firewall

На этом этапе можно включить отключенный интерфейс ether5 и попробовать что нибудь попинговать из терминала на MikroTik’е

ping from MikroTik terminal
ping from MikroTik terminal

Как видим интернет на маршрутизаторе уже есть и работает, но если попытаться сделать тоже самое с компьютера из локальной сети то ничего не получится, для этого добавим правила NAT

/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=ls-WAN-all src-address=192.168.253.0/24

После этого у нас появился интернет и в нашей локальной сети.

25. ping from LAN
ping from LAN

Если интернет работает, но некоторые сайты почему то не открываются (не по причине блокировки Роскомнадзором) то можно попробовать добавить правило в Mangle

/ip firewall mangle
add action=change-mss chain=forward new-mss=1360 protocol=tcp tcp-flags=syn tcp-mss=1453-65535

Настройка IPTV

IPTV от билайна можно настроить двумя способами. Если вам удобнее протянуть кабель от приставки непосредственно к вашему MikroTik’у, то проще всего добавить ещё один порт в bridge2-WAN, предварительно удалив его из brifge1-LAN и подключить приставку в этот порт, например так:

Меняем ether4 с bridge1-LAN на bridge2-WAN
Меняем ether4 с bridge1-LAN на bridge2-WAN

Всё, больше ничего делать не нужно. Именно поэтому я для WAN сделал отдельный мост, а не настраивал как внешний интерфейс непосредственно порт ether5.

Если же вам удобнее IPTV-приставку подключить в коммутатор (switch), то продолжим настройку.

С официального сайта MikroTik из раздела Software нужно будет скачать Extra packages для своей версии прошивки. В моём случае это файл all_packages-arm-6.45.1.zip, т.к. я для написания данного материала пользуюсь MikroTik hAP ac² (RBD52G-5HacD2HnD).

Из полученного архива нам нужен файл multicast-6.45.1-arm.npk (в вашем случае может быть другой, в зависимости от архитектуры процессора и версии прошивки).

Для установки данного пакета в наш MikroTik нужно в WinBox открыть меню Files и в открывшееся окно просто перетащить нужный нам файл. Вместо того что бы перетаскивать, можно воспользоваться кнопкой Upload или просто сделать Copy-Paste. У меня почему то не получилось сделать это из WinBox и я воспользовался доступом через web-интерфейс, который в принципе почти полностью повторяет функционал WinBox, за исключением естественно возможности подключения по MAC-адресам. Так же для загрузки можно воспользоваться доступом по FTP или SFTP.

Теперь просто перезагрузим роутер – меню Sytem – Reboot и после перезагрузки данный дополнительный пакет будет установлен в систему, убедиться в этом можно перейдя по меню System – Packages

MikriTik Packages
MikriTik Packages

После установки необходимого нам пакета multicast приступим непосредственно к настройкам.

В меню Bridge открываем bridge1-LAN и включаем там IGMP Snooping

Включаем IGMP Snooping в bridge1-LAN
Включаем IGMP Snooping в bridge1-LAN

Тоже из консоли:

/interface bridge
set bridge1-LAN igmp-snooping=yes

Routing – IGMP Proxy – нажимаем кнопочку Setup и устанавливаем параметры Query Interval: 30 секунд и Query Response Interval: 20 секунд, Quick Leave оставляем выключенным.

Настройка параметров IGMP Proxy
Настройка параметров IGMP Proxy

Из консоли:

/routing igmp-proxy  
set query-interval=30s query-response-interval=20s quick-leave=no

Теперь в IGMP Proxy добавляем интерфейс bridge2-WAN с параметрами Alternative Subnets: 0.0.0.0/0, включаем Upstream и интерфейс bridge1-LAN – никаких параметров не меняем.

Из консоли:

/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=bridge2-WAN upstream=yes
add interface=bridge1-LAN

Осталось добавить пару правил в firewall:

/ip firewall filter  
add chain=input protocol=igmp action=accept  
add chain=forward dst-address=232.0.0.0/5 protocol=udp action=accept

Нужно проследить что бы данные правила были выше первого дропа в цепочке, т.е. правило chain=input protocol=igmp action=accept должно быть выше первого дропа в цепочке input, а правило chain=forward dst-address=232.0.0.0/5 protocol=udp action=accept должно быть выше первого дропа в цепочке forward.

Порядок следования правил в WinBox можно поменять просто перетащив нужное правило на своё место – вверх или вниз. В нашем случае результат будет таким:

Правила firewall для IPTV
Правила firewall для IPTV

Не забывайте к каждому правилу добавлять комментарии, что бы потом не запутаться какое правило за что отвечает.

С настройками IPTV на MikroTik на этом закончим – телевизор показывает ))

Последние необходимые изменения

В принципе у нас уже всё работает, но необходимо внести ещё парочку мелких изменений в настройки нашего MikroTik.

Отключим все неиспользуемые нами сервисы. Для этого перейдём в меню IP – Services и отключим всё, что мы не используем, а для тех что используем ограничим доступ только из локальной сети:

/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.253.0/24
set ssh address=192.168.253.0/24
set api disabled=yes
set winbox address=192.168.253.0/24
set api-ssl disabled=yes

И ограничим обнаружение нашего маршрутизатора только в локальной сети:

/ip neighbor discovery-settings
set discover-interface-list=ls-LAN-all
Настраиваем Neighbor Discovery
Настраиваем Neighbor Discovery

Ну и включим поддержку UPnP для устройств и программ поддерживающих данную технологию, например для торрентов, что бы он смог принимать входящие соединения. Если поддержка UPnP не нужна, то лучше данную опцию не включать, т.к. она может нести в себе определённую угрозу вашей сети.

/ip upnp
set allow-disable-external-interface=yes enabled=yes
/ip upnp interfaces
add interface=bridge1-LAN type=internal
add interface=bridge2-WAN type=external

На этом часть про базовые настройки маршрутизатора на основе RouterOS можно считать завершённой.

За бортом остались настройки Wi-Fi, настройки DNS и много чего ещё, но это уже тема последующих статей.

Все приведённые примеры использовались и работают на маршрутизаторе MikroTik hAP ac² (RBD52G-5HacD2HnD-TC) с версией RouterOS 6.45.1.

Отдельно хочу сказать огромное человеческое спасибо своему хорошему другу Владу Глазкову, без его подсказок и советов данной статьи просто не было бы.

С благодарностью приму конструктивную критику и замечания в комментариях.

Обновление от 20.07.2019: В настройках DHCP клиента в parameter_request_list добавил получение Classless Static Route Option, правда в моём регионе (Красноярск) билайн кажется “забил” на это (

Обновление от 17.10.2019: В настройках DHCP клиента удалён параметр parameter_request_list и Add Default Route изменён с yes (по умолчанию) на special-classless, что позволяет получать как classless маршруты так и маршрут по умолчанию в стиле MS.

MikroTik: Базовая настройка и настройка подключения L2TP от Билайн + IPTV: 16 комментариев

  1. Alex

    При настройке подключения l2tp указан параметр:

    Value: 0x010306212A79F9

    Но на скрине параметр другой. Какой из них верный?

    1. Юрий Грибов Автор записи

      Верный параметр из статьи, на скрине ранний вариант, в нём отсутствует параметр 79 (Classless Static Route Option) добавленный мной позже.

  2. Алексей

    При добавлении опции 55 перестает получать шлюз по умолчанию, соответственно не работает ничего

    1. Юрий Грибов Автор записи

      DHCP Options 55 это список параметров запрашиваемых клиентом с сервера DHCP, в нашем случае с сервера билайн, другое дело отдаёт провайдер их или нет…
      Как показывает практика у билайна нет какого либо стандарта для всех регионов, поэтому я и написал что данную настройку я использую в Красноярске.
      Что касается самих запрашиваемых параметров параметров:

      0x010306212A79F9

      01 (1) – Subnet Mask Value
      03 (3) – Router addresses
      06 (6) – DNS Server addresses
      21 (33) – Static Routing Table
      2A (42) – NTP Server Addresses
      79 (121) – Classless Static Route Option
      F9 (249) – Reserved (Private Use)

      С последним параметром всё интересно, дело в том, что по RFC он попадает в диапазон для частного использования (224-254), но товарищи из Microsoft почему то решили использовать именно данный параметр для передачи маршрутов вместо стандартного 121, а билайн (тут фанфары) тоже передаёт маршруты именно здесь, чем руководствовались инженеры билайн делая такой выбор остаётся загадкой, наверное не расчитывали что к их сети будут подключаться посредством маршрутизаторов, а все будут втыкать их провод непосредственно в компьютер и только на винде.

      В общем стоит поиграться с набором данных правил или вовсе отключить данную опцию, тут к сожалению не угадать с региональными особенностями билайна ((

      А, вот ещё что, возможно имеет смысл запрашивать сначала роуты, а затем всё остальное… Тут порядок тоже может иметь значение.

  3. Ярослав

    Юрий, хорошая инструкция, как раз решил перенастроить из-за проблем в работе билайн.
    Выше вы писали про территориальные особенности “Билайна”. Если не секрет – ваши конфиги применимы к какому городу?

    1. Юрий Грибов Автор записи

      Красноярск
      И спасибо за отзыв )

      1. Ярослав

        Собственно – настроил все, присоединяюсь к комментарию про опцию “55” для DHCP – не получает стандартного Gateway в случае установки. Отключил и все заработало. Проблема воспроизводится в СПб. Автору – спасибо еще раз.

  4. Saha

    По инструкции инет не завёлся.
    По итогу опцию “55” не прописывал. в L2TP Client пришлось добавить профиль и прописать Remote Address 192.168.255.254. После этого все заработало. Регион Краснодар.

    1. Юрий Грибов Автор записи

      Наверное придётся вносить в статью дополнения с региональными поправками из комментариев.
      Сейчас возможности нет поиграться с настройками т.к перешёл к другому провайдеру, билайн буду устанавливать только через пару недель, там ещё поэксперементирую.

  5. Алик Трумкин

    на кой ты это вообще разместил??
    половина настроек по дефолу из коробки идёт 1 в 1 как у тебя, всё что нужно блин это пару правил фаервола добавить и л2тп, зачем сбрасывать всё то что уже настроено ЛУЧШЕ чем у тебя в статье и потом настраивать? Без самодельного велосипеда никак?
    Да и ладно, может тебе самому нравится так делать, но это же потом будут читать люди которые за основу твои бредни возьмут и будут голову себе делать почему то что не должно работать, у них не работает!

    1. Юрий Грибов Автор записи

      1. Как показывает практика, большинство бед MT начинается с дефолтных настроек – если где-то что-то не так, то лучше всё сбросить и в первую очередь дефолтные настройки.
      2. Где вы здесь увидели бредни?
      3. Разместил потому что это мой сайт, на своём можете разместить набор дефолтных настроек и всем сказать что всё и так работает, но вот что то судя по форуму билайна, не хотит оно работать из коробки…
      4. Ну и что бы не быть голословным покажите мне что именно в дефолтных настройках лучше чем у меня? Вполне возможно приму ваш совет и даже может чему научусь кроме грубости.

      1. Алик Трумкин

        1. Сбросить в дефолт и сбросить в ноль, вещи разные, абсолютно. И сбрасывать в ноль в статье с заголовком для хомячков это усложнить задачу для тех кто и так не понимает что делает.
        Настройки микротика по дефолту, подходят для 99% юзеров которым нужен роутер для дома, или для СОХО офиса. Более того, они обновляются от версии к версии разработчиками, т.е. шанс допустить ошибку сводится к минимуму.
        2. Бред это удалить дефолтные правила, и пропустив часть из них вбить их руками. Это можно сделать в целях изучения например, но ты ж инструкцию пишешь для тех кто по картинкам потом это делать будет, по большей части бездумно.
        3. Ну расскажи чем твои РАБОЧИЕ отличаются от дефолтных в пользу работоспособности? )) НЕработающей опцией в DHCP клиенте? )) Ничем же не отличаются.
        Берёшь дефолтный микротик, добавляешь маршруты которые редиски из билайна не удосужились по дхцп отдать, и добавляешь l2tp. В случае с Краснодаром, буквально вчера пришлось добавить маршрут в 0.0.0.0/0 и маршруты на DNS. А ну конечно сам l2tp потом не забыть добавить в wan interface list.
        Но опять же, я знаю куда посмотреть, а человек который в эту статью заглянул и понятия не имеет, что по DHCP как минимум должен прилететь маршрут до DNS и до l2tp сервера, и что если этого не хватает внезапно и руками можно дописать.
        4. пропущено правило forward для состояния established, related остальное же скопировано считай под чистую с дефолтных, и зачем для этого сброс делать? Что бы тоже самое, но самому написать? Оно лучше от этого работать будет? Нет, не будет.

        и к слову, если бы у человека который попросил меня помочь настроить микротик, получилось бы по твоей статье всё сделать, я бы вообще о её существовании не узнал бы никогда, т.е. с целью для чего она написана – помогать людям настроить микротик под билайн, статья явно не справляется.

        ну и ещё напоследок, при правильно настроенном фаерволе (а по дефолту он правильно настроен) трогать сервисы, и переопределять их доступность из определённой сети, для обычного юзера бессмысленно, а для продвинутого – шанс выстрелить себе в ногу.

        1. Юрий Грибов Автор записи

          1. Опечатался в комментарии, естественно имел в виду сбросить в ноль, а не в дефолт.
          Проще всё настроить с нуля, чем разбираться в дефолтной конфигурации в файле экспорта, по крайней мере так точно будешь знать где, что и почему у тебя настроено, особенно полезно новичкам, подтянешь матчасть и узнаешь что и как работает, а если нет желания понимать, то для таких есть асусы, кинетики и разние X-линки.
          2. Частично ответил в 1. Тут можно спорить, можно согласиться и каждый в результате останется прав. Каждый подход имеет место быть ))
          3. От дефолта отличается использованием листов, заодно народ узнает о таком удобном инструменте
          Нужно наверное будет написать ещё про мой базовый конфиг, удобный с моей точки зрения и может тоже кому то пригодится
          4. Спасибо, поправлю, не знаю как так получилось. Для статьи что бы делать скриншоты настраивал один из роутеров с нуля и как то пропустил (

          А что именно не пошло у человека который настраивал по статье? Если про DHCP клиент, то в статье я писал что данная настройка актуальна для Красноярска, для других регионов может отличаться. К сожалению проверить везде возможности нет.

          Не вижу ничего бессмысленного поотключать неиспользуемые сервисы

          Ну и в противоположность наоборот знаю людей которые успешно настроили MT по данной статье, хотя скорее всего пользовались не одним источником ))

          А вообще бессмысленный спор, кто то настраивает отталкиваясь от дефолтной конфигурации (хотя я таких не знаю), кто то с нуля (большинство?). Это как спорить какой файервол лучше – нормально закрытый или нормально открытый, по сути оба хороши если правильно приготовить.

          Еще раз спасибо за ошибку с форвардом, сейчас поправлю.

          1. Алик Трумкин

            в последней версии листы в фаерволе используются (об интерфейс листах я так понимаю речь), ну и в целом уже наверное с пол года как.

          2. Юрий Грибов Автор записи

            Ну значит давно в дефолтный конфиг не заглядывал, раньше листы в нём не использовались. На выходных будет возможность посмотреть

        2. Юрий Грибов Автор записи

          Ещё раз спасибо за обратную связь. Немного поигрался с настройками DHCP клиента и действительно пришёл к выводу о том что опция 55 в том виде как она была приведена в современных реалиях уже лишняя, достаточно Add Default Route изменить с yes на special_classless

Добавить комментарий