Mikrotik + Beeline

mikrotik_logo_new800Версия (если таковая имеется) документа/статьи – 0.01, цель – запуск маршрутизатора в сети Beeline со схемой Dual Access и полноценной поддержкой IPTV через приставку. Все as is, если что-то поломали – сами себе злобные буратины, настройки все производились с маршрутизатором из коробки (out-of-box), никаких доп. действий, если не описано иное – не производилось.

Захотелось наконец заменить Asus WL-500gP V2 на что-то благообразное, выбор пал на Mikrotik RB951G-2HnD. С целью уменьшения домашнего кабельного хозяйства был также закуплен Mikrotik RB260GS, простой управляемый свитч о пяти портах. Все было коллективно закуплено в магазине WiFi Mag, вполне годная контора с правильными ценами и вменяемыми менеджерами на онлайн-поддержке.

Было установлено последнее обновление. Был установлен модуль IGMP proxy. Были прочитаны все интернеты на тему правильного подключения данной железки, RB951G-2HnD, в сеть Билайн. Особенность подключения – кривизна в двух ключевых вещах: коряво настроенный DHCP, который “забывает” отдать правильный default-gw при подключении (ну – не забывает, а RouterOS просто придерживается стандарта RFC3442 в режиме strict, строго следую букве, но не духу), ну и сделанная через известное место схема подключения Dual Access с поднятием l2tp-соединения, с зацикливанием. В результате могу сказать одно – вполне годная вещь, но советовать такое в виде замены асусов-дилинков-тплинков-прочего никому не буду – больше проблем огрести можно, нежели практического результата – к такой штуке нужно приходить самому 😉

Вдаваться сильно в технические детали смысла нет, для шпаргалки просто опишу черновые скрипты, в которых, ИМХО, и так все понятно. Все – as is и к использованию по вкусу, утверждения ниже по тексту обсуждать не готов, только по существу или в плюсике готов отослать к rfc 😉

Для начала создаем профиль ppp-соединения:

В принципе – все прозрачно и очевидно, кроме одной важной вещи – remote-address=192.168.123.123 – наш фейковый, не настоящий адрес, который будет всегда unreachable.

Далее создаем собственно l2tp-соединение:

Здесь есть несколько деталей. Во-первых – connect-to=89.179.17.141 – сейчас можете поставить именно такой, это абсолютно не важно, реальное соединение будет работать по фактическому адресу, который мы получим уже в скрипте чуть ниже. Во-вторых, default-route-distance=2, add-default-route=yes, величины некритичные – так как именно этот “кривой” маршрут никогда не будет использован, в последней итерации я вообще просто их убрал. В-третьих max-mru=1414, max-mtu=1454 – это чистая математика l2tp тоннеля без шифрования поверх IP – то есть если у вас после успешного подключения бОльшая часть сайтов попросту не работает – сами себе злобные буратины, читающие в первую очередь беллитристику в интернетах от недогиков, вычисляторов значений эмпирическим методом 😉

Идем далее. Прописываем занятный-слабочитаемый-скрипт-выгруженный-из-экспорта-конфигруации-который-можно-воткнуть-прямо-в-консоль:

Исходим из того, что наш WAN-интерфейс называется ether1-gateway, l2tp-соединение beeline, в этой итерации я исхожу из предположения, что серый адрес, который я получу от пчел, находится в подсети 10.0.0.0/8, что не правильно, и будет переделано на нечто более универсальное. Во-первых, оно ищет наш маршрут по умолчанию, который нам забыли отдать, и добавляет его. Во-вторых, оно выбирает произвольный адрес l2tp-сервера, и вписывает две вещи – прямой маршрут до него, изменяет настройки l2tp-соединения. Это, пожалуй, и все.

Предпоследний шаг. Добавляем расписание запуска.

Мне удобно сделать это один раз, следующая итерация будет делать ЭТО по вкусу раз в минуту.

Перезагружаемся (/system reboot). Обнаруживаем, что: соединение – поднято, маршруты – прописаны, но канонический ping www.ru не работает. Добавляем последние штрихи:

Проверяем пинг. Все работает.

Дальше – настраиваем по вкусу маскарад в цепочке forward (у меня src-nat), не забываем добавить настройки IGMP proxy для телевизора:

И важное правило в firewall (видимо, полезно напомнить, что правила работают сверху вниз):

Удачной настройки! Happy tuning 🙂

One thought on “Mikrotik + Beeline”

Leave a Reply

Your email address will not be published. Required fields are marked *

My Oracle Support Mobile – вполне себе простой и приятный сайт, пригодный для работы на iPhone/iPad (попробовал) – удобный и быстрый способ посмотреть свои заявки