Архив метки: Mikrotik

7 Best WiFi Router Brands For Home Or Apartment

So, you are deciding to buy a WiFi Router for your home or apartment and finding which brand will be the best WiFi Router for your home. A lot of brands which manufacture WiFi Router for home usage are available nowadays in the market but all brands are not renowned and don’t provide best performance for home usage. So, before going to buy a WiFi Router, you should have better understanding about Best WiFi Router Brand that provides best WiFi performance and longtime service for your home WiFi devices within your budget.   




To choose a best WiFi Router, you should know the frequency band of the router. WiFi Router operates on 2.4 GHz, 5 GHz and 6 GHz (recently approved) frequency band. The WiFi Router which operates on all frequency bands (known as tri band WiFi router), will provide best performance. 




You should also know the standard that follows the WiFi Router. WiFi Router follows IEEE 802.11 standard which has some variations those operate on different frequency band as the following table.




802.11 StandardFrequency Band
11a and 11ac5GHz
11b and 11g2.4 GHz
11n2.4 GHz and 5GHz
11ax2.4 GHz, 5 GHz and 6GHz (WiFi 6E)
WiFi Standard & Frequency Band




The generation of the WiFi Router is also important. We are currently in WiFi 6 (speed 9.6 Gbps) which is 250% faster than WiFi 5 (bandwidth 3.5 Gbps).




The number of antenna of the WiFi Router is also important. If you have multiple antennas, you will get better WiFi performance. You should also check the gain of the antenna. Higher antenna gain will cover long distance than the lower gain antenna.




Obviously, you should also check the number of CPU core and its frequency. Multicore CPU and higher frequency make the WiFi Router faster. The size of RAM is also should be checked because higher RAM space makes the WiFi performance better. 




home wifi router
Home WiFi Router




Best WiFi Router Brands in 2021




Keeping the above WiFi Router parameters in better understanding, you should now choose the best WiFi Router Brand who manufactures most stable and high-performance WiFi Router for Home or Apartment usage. In the following section we will see some world famous WiFi Router Brands who produce best WiFi Router that can be purchase without any hesitation. 




Top 7 Best WiFi Router Brands




  • Ubiquiti – Country of origin: USA
  • MikroTik Wireless – Country of origin: Latvian
  • TP-Link – Country of origin: China
  • D-Link – Country of origin: Taiwan
  • Linksys – Country of origin: USA
  • ASUS – Country of origin: Taiwan
  • NETGEAR – Country of origin: USA






UBIQUITI




Brand Country: USA 




Founded:  October 2003




Best Ubiquiti WiFi Router Model: AmpliFi™ Alien Router, UniFi® 6 LR AP, UniFi® AP AC PRO, UniFi® AP AC LITE and so on.




Ubiquiti




Ubiquiti is one of the most popular and a renowned WiFi brand who manufactures high quality home WiFi Router. It has both AMPLIFI and UniFi Home WiFi Router. The AMPLIFI series is Mesh WiFi Router for whole home WiFi solution. So, if you have dead zone (where WiFi signal cannot reach normally) in your home, the AMPLIFI series will be your best WiFi solution. But if you have well designed house, UniFi series will be the best WiFi solution four your home or apartment. All Ubiquiti WiFi Routers are plug and play solution but if you wish, you can customize as yourself.




As Ubiquiti produces high quality WiFi Router, the price of Ubiquiti WiFi Router is comparatively higher than other WiFi Router Brands. But if you have well budget, Ubiquiti WiFi Router will be the best WiFi Router for home or apartment. Go to Ubiquiti product page and choose your best WiFi Router and then buy from any online marketplace (amazon, eBay or BestBuy) or contact your local vendor for well-priced Ubiquiti WiFi Router.  




MIKROTIK




Brand Country: Latvian 




Founded:  1996




Best MikroTik WiFi Router Model:  cAP XL ac, cAP ac, hAP ac hAP ac lite and so on.




mikrotik




MikroTik is a brand that is dominating the world routing. So, there is no doubt about the performance and the stability of MikroTik WiFi Router. MikroTik Wireless has both mesh and regular WiFi solution. MikroTik has high-priced and low-priced WiFi Router. So, you will be able to buy MikroTik WiFi Router for home or apartment within your budget. 




Visit MikroTik Wireless product page and choose suitable WiFi Router for your home or apartment and then buy MikroTik WiFi Router from your local vendor or from any online marketplace.  




MikroTik WiFi Routers are also plug and play solution. But it has a powerful RouterOS which has a lot of customizable features those can established a well secured and well organized Home WiFi Network.




TP-LINK




Brand Country: China 




Founded:  1994




Best TP-LINK WiFi Router Model:  Archer GX90, Archer AX90, Archer A10, Archer C2300 and so on.




TP-Link




TP-Link is also a so popular and renowned WiFi Router Brand. Any kind of WiFi Router can be found in TP-Link WiFi solution. TP-Link has both mesh and regular WiFi 6 supported wireless Router. So, you have flexibility to choose the best WiFi Router for your home or apartment from TP-Link wireless solution.




Another big advantage of TP-Link WiFi Router is that it is so cheaper compared to any other WiFi Router Brands in the market but there is no compromise of WiFi performance and stability. So, you can buy a TP-Link WiFi Router for home or apartment without any hesitation.




TP-Link WiFi Router is a worldwide famous WiFi Router. So, you can collect a TP-Link WiFi Router so easily even from your nearest electronics shop. Find a suitable WiFi Router within your budget from TP-Link product page and buy the best WiFi Router for your home or apartment from any online marketplace or electronics shop.






D-LINK




Brand Country: Taiwan




Founded:  1996




Best D-LINK WiFi Router Model:  DIR-X1860 v.B, R15, DIR 1950, DIR 1360 and so on.




d-link




D-Link is the most popular and one of the best WiFi Router Brands. D-Link also produces both mesh and regular WiFi 6 supported Router. D-Link has reputation for manufacturing high quality WiFi Router with high performance and long stability. So, D-Link WiFi Router can be used for any purpose and any home decoration.




D-Link WiFi Router is also available anywhere of the world.  So, you can buy D-Link WiFi Router from any online marketplace, local vendors or even from your next-door electronics shop. Visit D-Link WiFi Router page and choose the best WiFi Router within your budget and collect it for your home or apartment.




LINKSYS




Brand Country: USA




Founded:  1988




Best LINKSYS WiFi Router Model:  AXE6600, MR6350, E7350, E5600 and so on.




linksys




Linksys is a world-famous home WiFi Router Brand. Linksys produces both mesh and regular WiFi 6 supported Router. Linksys WiFi Router is a so reliable Router. So, you can buy a Linksys WiFi Router if you want a high quality and high performed WiFi network for your home or apartment.




As Linksys produces high quality and most stable WiFi Router, the price of the Linksys WiFi Router is higher compared to other WiFi brands that produce home WiFi Router. But if you have well budget, Linksys WiFi Router will be the best WiFi Router for your home or apartment. Visit Linksys WiFi Router page and choose the best WiFi Router and order the Router from any online marketplace or local vendors.




ASUS




Brand Country: Taiwan




Founded:  1989




Best ASUS WiFi Router Model:  RT-AX82U, RT-AX86U, RT-AC68U, RT-AC58U V3 and so on.




asus




ASUS is a world-famous brand that produces WiFi Router based on latest technology. ASUS is the fast brand that has produced WiFi 6E Router. So, ASUS WiFi Router is always a faster and more reliable WiFi Router. ASUS has both mesh and regular WiFi solution. So, you can buy ASUS WiFi Router whatever your home design and size.




ASUS WiFi Router has a lot of price variation. So, you can buy an ASUS WiFi Router whatever your budget. ASUS WiFi Router is available worldwide even you can find ASUS WiFi Router in your local electronics shop. So, visit ASUS WiFi Router page and choose the best WiFi Router for your home or apartment within your budget.






NETGEAR




Brand Country: USA




Founded:  1996




Best NETGEAR WiFi Router Model: AXE11000, AX1800, AC1750, AC1900 and so on.




netgear




NETGEAR is also a so popular brand that produces only WiFi Router for home and business. NETGEAR has also produced WiFi 6E Router. It has both mesh and regular WiFi Router. So, NETGEAR WiFi Router can be used for any kind of home sizes.




NETGEAR produces a lot of WiFi Routers which have price variation. So, you can buy a NETGEAR WiFi Router based on your home or apartment size and budget. Visit NETGEAR WiFi Router page and choose the best WiFi Router for your home and collect it from any online marketplace or from your local vendors.




How to get Best WiFi Router Brand for Home or Apartment has been discussed in this article. I hope you will now be able to buy the best WiFi Router for your home or apartment wireless connection. However, if you face any confusion to choose the best WiFi Router for your home, feel free to discuss in comment or contact me from Contact page. I will try my best to stay with you.



2021-09-18T23:20:57
Best Technology of Computer Science

MikroTik Hotspot Configuration with ECMP Load Balancing

MikroTik Hotspot is one of the most popular services in MikroTik RouterOS and day be day the demand of Hotspot service is increasing. MikroTik Hotspot can be used in any Airport, Hotel, Restaurant, Campus, Camp, Office or any ISP network. It is also possible to establish a WiFi Broadband Network with the MikroTik Hotspot service. How to configure MikroTik Hotspot was discussed in one of my previous articles. Although MikroTik Hotspot configuration is not so difficult but sometimes we face difficulties to configure MikroTik Hotspot with load balancing. So, in this article we are going to see how to configure MikroTik Hotspot Server with ECMP load balancing and link redundancy technique.




ECMP Load Balancing and Link Redundancy Configuration




ECMP is a so easy but stable load balancing and link redundancy technique in MikroTik RouterOS. ECMP can be configured for both equal or unequal bandwidth link. For this article configuration, we assume that we have equal bandwidth uplink connections which are named as ISP1 and ISP2. We have also a LAN interface (either bridge or physical interface) named as LAN where Hotspot will be configured.




So, at first we will assign IP address on ISP1, ISP2 and LAN interfaces. Issue the following commands to assign IP addresses on these interfaces. Don’t forget to replace IP information according to your network.





/ip address

add address=192.168.10.10/24 interface=ISP1 network=192.168.10.0

add address=172.22.2.2/24 interface=ISP2 network=172.22.2.0

add address=10.10.0.1/23 interface=LAN network=10.10.0.0




Now we will assign DNS IP so that our Router can communicate to public domain. Issue the following command to assign DNS IP addresses.





/ip dns

set servers=8.8.8.8,8.8.4.4




We will now configure NAT so that Hotspot users can get internet access. Issue the following command to configure firewall NAT.





/ip firewall nat

add action=masquerade chain=srcnat out-interface=ISP1

add action=masquerade chain=srcnat out-interface=ISP2




We will now configure route according to ECMP load balancing technique. Issue the following commands to configure route for ECMP load balancing.







/ip route

add check-gateway=ping distance=1 gateway=172.22.2.1,192.168.10.1




ECMP load balancing and link redundancy configuration is now complete. But we have a little issue here. If we want to access MikroTik Router from public area, the connection will be failed because any connection that was established from ISP1 interface can be routed over ISP2 interface.




To overcome this issue, we need to tell if any connection established from ISP1 should be routed over ISP1 interface and vice versa. For this, we will create some mangle rules to mark connection and routing. Issue the commands to mark ISP1 and ISP2 connections and routing.





/ip firewall mangle
add action=mark-connection chain=input in-interface=ISP1 new-connection-mark=isp1_conn passthrough=no
add action=mark-connection chain=input in-interface=ISP2 new-connection-mark=isp2_conn passthrough=no
add action=mark-routing chain=output connection-mark=isp1_conn new-routing-mark=to_isp1 passthrough=no
add action=mark-routing chain=output connection-mark=isp2_conn new-routing-mark=to_isp2 passthrough=no




Now run the following commands to route these marked packets properly through ISP1 and ISP2 interfaces.





/ip route
add check-gateway=ping distance=1 gateway=192.168.10.1 routing-mark=to_isp1
add check-gateway=ping distance=1 gateway=172.22.2.1 routing-mark=to_isp2




ECMP load balancing and link redundancy configuration has been completed. We will now configure MikroTik Hotspot that will use this ECMP load balancing.




Hotspot Configuration with ECMP Load Balancing Network




MikroTik Hotspot can easily be configured with Winbox. So, we will now configure MikroTik Hotspot using Winbox. Login to MikroTik Router with Winbox software and follow the following steps to configure Hotspot with Winbox.






  • From Winbox, go to IP > Hotspot menu item. Hotspot window will appear now.
  • Click on Servers tab and then click on Hotspot Setup button. Hotspot Setup window will appear now.
  • Choose LAN interface from Hotspot Interface drop-down menu. If you have bridge interface created before and want to setup Hotspot Server on bridge interface, choose the bridge interface from drop-down menu. Now click Next button.
  • By default LAN Gateway IP will be assigned on Local Address of Network input field. Masquerade Network checkbox must be unchecked. Click Next button.
  • Choose address pool for Hotspot Server from where IP address will be assigned to clients. Normally, it will show network IP range without gateway IP. We can change default range as we wish or can keep the default range. Click Next button.
  • If you have SSL certificate, you can import by choosing import other certificate option. But Select none as we do not have any SSL certificate now. Click Next button.
  • If you have SMTP server, you can put SMTP Server address in IP Address of SMTP Server input box. As we have no SMTP Server, keep it blank. Click Next button.
  • DNS servers that we have provided in basic configuration will automatically be assigned in DNS Servers input field. So, nothing to do just click Next button.
  • Now it is time to put DNS name and it is a mandatory field. DNS name will be used to get Hotspot login page. So, put a standard DNS name such as systemzone.mk or systemzone.net etc. and click Next button.
  • Now put a local Hotspot User. By default it is admin. We can keep this user or change as our wish. Also put password in Password field for the User. Click Next button.
  • Hotspot Server setup has been completed and you will get a successful message now.




Hotspot Server with ECMP load balancing and link redundancy is now ready. You can now create Hotspot user profile and user and can use Hotspot service smoothly.




MikroTik Hotspot Server with ECMP Load Balancing
MikroTik Hotspot Server




How to configure MikroTik Hotspot with ECMP load balancing has been discussed in this article. I hope, you will now be able to configure MikroTik Hotspot with ECMP load balancing. However, if you face any confusion, feel free to discuss in comment or contact me from Contact page. I will try my best to stay with you.



2021-09-04T16:35:51
MikroTik Hotspot Tutorials & Guides

Ограничим скорость подсети на Mikrotik — queue, pcq

Ограничим скорость подсети на Mikrotik, а также зададим лимиты каждому клиенту этой подсети, для этого используем simple queue, и алгоритм очереди pcq.

Читать далее…

MTCNA тренинг Минск 12-15 мая 2021.

Этот небольшой обзор предназначен для тех, кто еще не решился сходить на тренинг по курсу MTCNA. Все описанные вопросы интересовали меня, перед сборами на этот тренинг и, поэтому решено было их описать.

В нашей организации есть оборудование MikroTik и так как, кроме меня им ни кто не управляет, нужно было отправиться на курсы. Были планы пройти тренинг и сдать экзамен летом, во время отпуска в Питере т.к. в РБ (где, я вобщем-то и обитаю) MTCNA редкость. Неожиданно курсы сами приехали в Минск.

Зачем все это нужно.

1.Чтоб повысить уровень своих знаний.

2.Быть в теме современных тенденций и направлений сетевых технологий.

3.Закрепить достигнутые результаты с помощью сертификата.

В Интернете на сегодняшний день огромное море информации, в которой очень легко запутаться. Курсы и тренинги помогают структурировать и систематизировать информацию, подсказывают правильные методики действий, объясняют с чего начать и куда двигаться дальше.

 

Почему MikroTik.

Основное то, что роутеры MikroTik работают в сети нашей организации. Попали они туда случайно и за время работы показали себя с хорошей стороны. Так же можно определить следующие причины.

1.Низкая цена оборудования.

2.Широкий функционал для большого количества потребностей.

3.Гибкость и обилие настроек.

4.Однотипность ОС у любого оборудования.

5.Надежность в работе.

Со временем приходит понимание, что микротик проще  чем циско и удобнее чем прочие де-линки, а главное, оборудование гораздо дешевле. Возможности копеешного девайса такие же, как и у топового роутера благодаря единой RouterOS. Вероятно, что для меня еще вызывает удобство в работе с MikroTik — это приложение для выполнения настроек – WinBox.

 

MTCNA.

MTCNA – первый начальный курс из 10. Курс предназначен для системных  администраторов, работающих с MikroTik. Содержание курса можно посмотреть на официальном сайте, нажав на картинку ниже.

После успешной сдачи экзамена, и получения сертификата открывается доступ к следующим уровням обучения. Сертификат действителен в течение трех лет. После этого срока можно пройти пересдачу экзамена.

 

Организация и проведение.

Требования для участия.

К MTCNA нужно прийти с базовыми знаниями сетевых технологий. Требуется знать структуру модели OSI и понимать процессы хотя-бы до 3-4-го уровня. В первую очередь нужно знать расшифровку DHCP, DNS, NAT, Firewall и зачем они нужны. Как создать статический маршрут.  На каком уровне работают MAC-адреса, а на каком IP. Понимать, что такое широковещательный домен, какой в нем ходит трафик. И все прочее, что относится к основам. Перед походом на курсы, желательно освежить знания (если они были получены ранее, например, в колледже универе или на других курсах) или получить эти знания, если их не было. Для этого желательно посмотреть видео подобной тематики в Интернете.

Очень приветствуется наличие сертификата от производителей какого-то другого оборудования, например CISCO.

 

Где проводится.

Для проведения обучения использовался конференц-зал «Модерн». Он расположен в двухэтажном здании, пристроенном справа к гостинице «Юбилейная» в Минске. Зал находится на 2м этаже.

Найти место проведения можно по Интернет-картам ориентируясь на гостиницу «Юбилейная». Удобный доступ в центре города недалеко от метро.

 

Как записаться.

Записаться можно позвонив по телефону указанному на сайте NetAir или написать сообщение по электронной почте, которую можно найти там же. Нужно следить за объявлениями о появлении тренингов.

Стоимость в районе 750 бел.руб (около 300$).

В большинстве пришедшие люди были направлены от организаций и по командировке.

 

Преподаватель.

Официальный тренер и замечательный преподаватель Алексей Чудин. Объясняет все доступно, понятно. Без проблем отвечает на любые вопросы по теме сетевых технологий и тренинга. Обладает большим опытом и рассказывает интересные истории из практики работы с MikroTik.

 

Расписание и порядок занятий.

Занятия.

В Минске предыдущий тренинг проходил лишь год назад (в 2020г) поэтому в зале был аншлаг. Все места были заняты. Вроде даже кому-то пришлось отказать. Среди слушателей были представители МТС, Белфармация, МТИС и др. Уровень подготовки разный. Были те, кто уже работает с микротик, циско или другим оборудованием, но так же были те, кто с микротиком не знаком.

На тренинг необходимо взять ноут-бук и патч-корд 2м. Роутер MikroTik нести не обязательно, его дадут. Так же дают блокнот и ручку. Конспект лучше вести потому-то многие вопросы потом попадаются на экзамене.

Занятия проходят с 9:00 до 18:00. Время пролетает очень быстро. Информации очень много. Объяснение происходит в быстром плотном темпе. Лучше записывать, потому что информации много и то, что было очевидно понятно, через час уже забылось. Желательно познакомится с MikroTik до курсов. Посмотреть какие-нибудь обучающие лекции в ютубе. Купить популярную модель микротика с wi-fi домой (например hap mini). Попробовать настроить.

Если до курсов не знать MikroTik, хотя так тоже можно, много полезной информации пролетит мимо. Особенно хорошо если с оборудованием MikroTik уже есть опыт некоторой работы, естественно есть вопросы, на которые тренер готов ответить.

На первом занятии, чтоб сориентироваться в назначении и цене, представляются модели оборудования. MikroTik охватил почти все области сетевого оборудования. Но есть и исключения – например, у микротика нет adsl-устройств. Для многих технология adsl еще очень актуальна.

Перечень устройств и их цену можно посмотреть на странице оборудования официального сайта MikroTik.

Для подключения группы в общую сеть использовалось несколько коммутаторов Cloud Router Switch.

В коммутатор подключается роутер MikroTik, а от него уже ноут-бук. В другую сторону подключен роутер тренера и шлюз в интернет.

По мере продвижения и изучения wi-fi, проводная сеть в зале перешла в беспроводную. Роутер на каждом столе был подключен к главному роутеру через wi-fi.

Между лекциями проходят лабораторные работы.

Если в ЛР требуется 2 роутера, например для создания туннелей, то задействывается роутер соседа.

После 1.5 часа занятий кофе-пауза. Желающие могут выпить кофе с нормальными вкусняшками. Так же каждому предлагается небольшая бутылка воды.

Перерыв на обед с 13:00 до 14:00. Проходит он в ресторане гостиницы «Юбилейная». Все на высшем уровне. Стоимость обеда входит в стоимость тренинга.

Экзамен.

Экзамен можно сдавать только с официальным тренером. Просто зарегистрироваться на сайте MikroTik и сдать экзамен не получится.

Предварительно нужно создать аккаунт на официальном сайте. Фамилия и имя на английском языке должны быть записаны так, как хотелось бы видеть их в сертификате. Все это тренер объясняет на занятии. Доступ на экзамен по приглашению тренера из электронной почты. Перед экзаменом группу фотографируют – это обязательное требование MikroTik.

Перед экзаменом все в психическом стрессе. Но волноваться не нужно. Все будет ок.

Желательно заготовить открытые вкладки браузера с калькулятором масок сетей и перечнем диапазонов IP-адресов. Можно пользоваться настройками меню роутера, чтоб проверить варианты ответов.

Нажимаем кнопку старт по команде тренера. После этого есть 1 час чтоб ответить на 25 вопросов. Получается 2.5 мин на вопрос.

Перед тестом появится несколько информационных сообщений. В одном сообщаются условия и запрет на распространение вопросов.

Тест на английском языке. Вопросы не гуглятся. Искать информацию в Интернете довольно сложно. Время ограничено, нужно быстро ориентироваться.

Некоторые вопросы требуют логический ответ на основе знаний. Например, указать маршрут, по которому пойдет пакет и на выбор 4 маршрута. Есть простые вопросы.

На экзамене не желательно отвлекаться или отвлекать соседей. Нужно пройти по всем вопросам и расставить предполагаемые ответы. Потом пойти по списку второй раз и поразмышлять подробнее.

Кто-то завершил экзамен за 30мин. Мне понадобился полный час. 1 человек вроде не сдал и пошел на пересдачу т.к. набрал проценты в промежутке между 50 и 60. Мой результат 97%. На 100% ни кто не сдал.

После прохождения теста в личном кабинете в разделе Training >> My certificates  появляется сертификат. Его можно распечатать при необходимости и повесить в рамке на работе)

На этом обзор завершается. Желаю всем дальнейшего продвижения в саморазвитии, не бойтесь идти на экзамен, за этим сертификатом или за другими. Спасибо тренеру. Привет группе. Всем успешной сдачи!



2021-05-26T10:02:20
Настройка ПО

MikroTik –L2TP/IPsec VPN (Remote Access).

Упрощенная настройка L2TP/IPsec. К ЛВС и серверу в главном здании учреждения необходимо подключить 12 отделов, в каждом из которых 1-2 ПК через VPN. Все отделы пространственно расположены за городом и у них есть доступ в Интернет через ADSL модемы.

Освоить MikroTik Вы можете с помощью онлайн-куса
«Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Схема подключения удаленных пользователей на рисунке ниже.

В результате настроек создается L2TP туннель, через который передается информация с IPsec  шифрованием.

На стороне пользователя VPN настраивается средствами Windows.

В главном здании VPN создан с помощью роутера MikroTik RB750Gr3 с прошивкой 6.48.1

Следует отметить, что в названной модели роутера отсутствует аппаратная поддержка IPsec и вся нагрузка по этому делу ложится на процессор.

Первоначальная настройка роутера выполнена по этой инструкции.

Все настройки выполняются из локальной сети через WinBox.

 

Порядок действий.

1.Создание профиля доступа.

2.Активация сервера L2TP.

3.Назначение IP-адреса клиентам VPN.

4.Создание пользователя VPN.

5.Создание интерфейса.

6.Правила Firewall.

7.Настройка VPN соединения клиента в Windows 10.

8.Подключение VPN соединения.

 

1.Создание профиля VPN

Профиль нужно создать до активации сервера L2TP, потому что его нужно указывать в настройках этого самого сервера.

1.Выполняем действия в меню PPP

2.Переходим на вкладку Profiles.

3.Нажимаем синий крест (плюс).

4.Переходим на вкладку Generals.

Вводим настройки:

5.Name: L2TP-REMOTE-ACCESS (любое понятное имя латиницей).

6.Local Address: 192.168.20.1 (адрес роутера в VPN)

7.Change TCP MSS: yes

8.Переходим на вкладку Protocols и выполняем настройка 9, 10, 11 как на картинке.

MPLS: yes —  передача пакетов по меткам. wiki

Compression: (сжатие данных) no —  используется при медленных каналах.

Encryption: (шифрование данных) yes — по согласованию с клиентом.

 

На вкладке Limits можно настроить лимит сессии, время отключения при бездействии, ограничение скорости подключения, одно подключение (Only one).

Настройки вкладок Queue и Scripts не изменялись.

Через командную строку терминала:



 

2.Активация сервера L2TP.

1.В боковом меню выбираем PPP.

2.В открывшемся окне PPP переходим на вкладку Interface.

3.В верхней панели нажимаем кнопку L2TP Server.

4.В открывшемся окне ставим галочку напротив Enable.

5.Default Profile: L2TP-REMOTE-ACCESS  указываем созданный ранее профиль

6.Authentication: mschap2 (остальные варианты отключаем)

7.Use IPsec: yes

8.IPsec Secret: 12345Password

9.Нажимаем кнопку «ОК».

Через командную строку терминала:



 

3.Назначение IP-адреса клиентам VPN.

Первый вариант – создать пул IP-адресов и раздавать их пользователям в автоматическом режиме.

Второй вариант – указать статический IP-адрес.

Так как в нашем случае всего 12 пользователей VPN, укажем для них статические IP-адреса из сети 192.168.20.0 Делается это при создании пользователя.

 

4.Создание пользователя.

1.Выполняем действия в меню PPP

2.Переходим на вкладку Secrets.

3.Нажимаем синий крест (плюс).

В открывшемся окне вводим:

4.Name: Remote-user1 (имя пользователя )

5.Password: Password1234 (сложный пароль из латинских букв и цифр разного регистра)

6.Service: L2TP

7.Profile: L2TP-REMOTE-ACCESS (созданный ранее профиль, выбираем из выпадающего списка)

8.Remote Address: 192.168.20.11 (статический IP для пользователя)

9.Нажимаем кнопку «ОК».

Через командную строку терминала:



Создаем необходимое количество пользователей аналогичными действиями.

 

5.Создание интерфейса.

Действие не обязательное, но в некоторых ситуациях может пригодится.

Если не создавать статический интерфейс, то он автоматически создается динамически при подключении пользователя.

 

6.Правила firewall.

Создадим два правила, одно для разрешения протокола IPsec, второе для доступа к необходимым портам.

Правило разрешения IPsec.

Переходим по меню  1 IP >> 2 Firewall >> 3 Filter Rules.

4.Нажимаем синий крест (плюс), в открывшемся окне на вкладке General (5) вводим настройки:

6.Chain: input (вход)

7.Protocol: ipsec-esp (протокол)

8.In Interface: ether1 (внешний интерфейс)

9.Жмем Apply для сохранения.

10.Переходим на вкладку Action.

11.Action: accept (разрешающее действие).

12.Нажимаем ОК для сохранения.

Через командную строку терминала:



 

Правило для открытия портов 500, 1701, 4500.

Переходим по меню  1 IP >> 2 Firewall >> 3 Filter Rules.

4.Нажимаем синий крест (плюс), в открывшемся окне на вкладке General (5) вводим настройки:

6.Chain: input (вход)

7.Protocol: UDP (протокол)

8.Dst. Port: 500, 1701, 4500 (порты назначения)

9.In Interface: ether1 (внешний интерфейс)

10.Переходим на вкладку Action.

11.Action: accept

12.Нажимаем кнопку ОК для сохранения правила.

Через командную строку терминала:



В списке правил появятся два новых. Расположить их желательно верху списка.

К правилам добавлены комментарии для ясности.

 

Правило NAT.

NAT masquerade правило для трафика VPN. Правило создается на вкладке NAT аналогично предыдущим правилам.

Через командную строку терминала:



*правило NAT для VPN трафика не является обязательным, но в некоторых случаях может пригодиться

7.Настройка VPN соединения клиента в Windows 10.

Удаленный компьютер подключен в Интернет. В этом ПК переходим в управление сетями.

Панель управления >> Сеть и Интернет >> Центр управления сетями и общим доступом.

Создаем новое подключение.

Среди вариантов подключения выбираем – «Подключение к рабочему месту».  Далее.

Выбираем – «Использовать мое подключение к Интернету (VPN)».

В следующем пункте указываем внешний статический IP-адрес роутера или внешний идентификатор MikroTik(1234567891443.sn.mynetname.net у каждого роутера свой).

В поле имя пишем любое понятное имя латинскими буквами. Отмечаем галочкой «Запомнить учетные данные».

Нажимаем кнопку «Создать».

Отредактируем свойства созданного VPN подключения в сетевых соединениях.

В свойствах переходим на вкладку безопасность. Указываем следующие параметры.

1.Тип VPN: Протокол L2TP с IPsec (L2TP/IPsec).

2.Дополнительные параметры.

======-Для проверки подлинности использовать общий ключ;

======-Ключ: 12345Password (вводим ключ IPsec);

======-Нажимаем ОК.

3.Шифрование данных: обязательное (отключится если нет шифрования)

4.Разрешить следующие протоколы – отмечаем точкой.

5.Протокол Microsoft CHAP версия 2 (MS-CHAPv2).

6.Кнопка «ОК» для сохранения настроек.

Переходим на вкладку сеть.

В свойствах указываем IP-адрес для клиента и предпочитаемый DNS.

Переходим на вкладку «Дополнительно».

Настройка – Использовать основной шлюз в удаленной сети. В нашем случае галочка убрана. Нажимаем ОК для сохранения.  Настройки в свойствах VPN-соединении у клиента завершены.

 

Если галочка стоит.

Весь трафик пойдет через MikroTik. В этом случае его можно контролировать, и он попадает под все правила и настройки роутера. Недостаток в замедлении скорости работы Интернета у клиента и дополнительной нагрузке на роутер.

Чтоб убедится, что трафик идет именно через роутер, на клиенте нужно запустить ping (когда VPN уже настроен и запущен в работу) на любой общедоступный сервер.

В роутере трафик можно отследить через Torch или в IP>>Firewall>>Connections.

Как видно, с IP-адреса одного из клиентов VPN пинг на IP 8.8.8.8 по протоколу icmp проходит через MikroTik (при условии установленной галочки в доп. свойствах).

 

Если галочка не стоит.

Если галочку убрать и переподключиться к VPN, то пинг на сервер гугл (8.8.8.8) уже не проходит через роутер. Он идет через основной шлюз ПК в Интернет.

Но также не проходит пинг в нужную сеть. ПК клиента не знает, через какой шлюз ему идти в сеть за VPNом. Для решения этого вопроса нужно создать статический маршрут в ПК клиента.

1.В командной строке (от имени администратора) вводим:



Находим сетевое соединение относящееся к VPN. Его номер 26.

При каждом новом создании VPN-соединения его номер меняется.

2.Вводим маршрут



192.168.1.0 mask 255.255.255.0 — сеть назначения с маской

192.168.20.1 – IP-адрес VPN-сервера (VPN шлюз)

metric 1 –  метрика

if 26 – номер интерфейса (который определили выше)

-p – сохранение маршрута при перезагрузке ПК.

 

После этих действий вводим еще раз команду



Видим постоянный маршрут, который означает, что для доступа к сети с IP-адресом 192.168.0.0 (которая за VPN) нужно идти в шлюз 192.168.20.1.

Пинг начинает проходить и доступ к ресурсам в сети расположенной после VPN появляется.

Прохождению пинга могут препятствовать:

-антивирус (добавить сеть в доверенные или приостановить защиту на время настроек)

-брандмауэр Windows (отключить)

-сетевое обнаружение (включить)

-правила firewall в MikroTik (проверить  наличие/отсутствие и расположение).

 

Удаление маршрута (если понадобится).



 

8.Подключение VPN соединения.

В нижней правой части экрана клиентского ПК нажимаем на значок сети, выбираем из раскрывшегося списка нужное соединение и нажимаем кнопку «Подключится».

В окне авторизации вводим учетные данные пользователя VPN.

После правильного ввода учетных данных произойдет подключение.  VPN начнет работать.

 

Как узнать что шифрование IPsec.

В PPP>>Active Connections виден тип шифрования. Если настройка не сработала и шифрование MPPE128 нужно перезагрузить роутер.

Освоить MikroTik Вы можете с помощью онлайн-куса
«Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.



2021-05-01T11:51:24
Настройка ПО

MikroTik Netwatch – отправка оповещения.

Netwatch — это инструмент мониторинга заданного хоста через ICMP запросы (ping) с последующим выполнением скрипта в случае его доступности или недоступности.

Освоить MikroTik Вы можете с помощью онлайн-куса
«Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

В нашей ЛВС бывают случаи пропадания электроэнергии. Для оповещения о подобной ситуации в серверной была разработана следующая схема:

— оборудование по доступу в Интернет работает через ИБП, которых хватает на 20мин, после пропадания внешнего электропитания 220В;

— Netwatch мониторит с интервалом 1мин. небольшой неиспользуемый управляемый коммутатор с IP адресом, который включен напрямую в сеть 220В без ИБП;

— при пропадании электропитания пропадает связь в первую очередь с неиспользуемым коммутатором и в течение 1мин. роутер отправляет письмо на электронную почту, еще 5-10 мин. пока админ увидит это письмо и есть еще 10 мин чтоб предпринять какие-либо действия или узнать на какое время пропала электроэнергия. Для более оперативного реагирования можно использовать месенджер-бота. Далее, о том, как это настроено.

 

Настройка отправки e-mail.

Первоначально требуется настройка электронной почты в MikroTik по этой инструкции.

 

Настройка Netwatch.

Переходим в Tools >> Netwatch и создаем новое задание.

Host: 192.168.100.250 – сетевое устройство, которое отслеживается.

Interval: 1 сек – период отправки icmp запросов.

Timeout: 1000мсек (1сек) время ожидания ответа – не изменяем.

 

Вкладка UP.

В поле On Up указываем скрипт, который выполнится при появлении связи с необходимым хостом:



 

Вкладка Down.

В поле On Down указываем скрипт, который выполнится при пропадании связи с необходимым хостом:



Нажимаем ОК для сохранения настроек.

Через командную строку терминала:



Из скрипта убран кириллический шрифт, т.к. он не воспроизводится в командной строке микротика и некоторые кавычки для читаемости.

При отправке письма на несколько адресов в скрипт нужно добавить:



 

Отправка сообщения в Вайбер.

Так как у админов в нашей организации служебный Вайбер просматривается почти сразу, после прихода сообщения, решено было подключить его к мониторингу обстановки. Последовательность действий следующая:

1.Активируем Вайбер-Бота на сайте https://wwpager.ru/ (1 бот с одной почтой бесплатно)

На ПК должен быть установлен Вайбер. Ссылка с сайта откроется в Вайбере. После активации бота сообщением /start в ответ прилетит информация с электронной почтой, привязанной к Вайбер-боту вида 123456789@wwpager.ru

Подробное описание на сайте данного сервиса.

2.Указываем полученный адрес в скриптах Netwatch вместо или вместе с основным адресом.

В результате, в нашем случае сообщения приходят в Вайбер и на электронную почту Яндекс. В процессе настроек, ошибки и неудачные попытки отправок сообщений с описанием причины можно отслеживать в логе роутера.

Кроме указанного выше назначения этим способом в нашей ЛВС мониторится множество других сетевых устройств.

Освоить MikroTik Вы можете с помощью онлайн-куса
«Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.



2021-04-23T15:12:34
Настройка ПО