Настройка маршрутизаторов Mikrotik (ч.3): использование USB-модема для резервного канала

Настройка маршрутизаторов Mikrotik (ч.1): подключение, основные параметры

Настройка маршрутизаторов Mikrotik (ч.2): резервирование интернет-канала

Настройка маршрутизаторов Mikrotik (ч.3): использование USB-модема для резервного канала

Задача:

В данной статье рассмотрим настройку маршрутизатора Mikrotik на работу с USB-модемом. Будем считать, что у нас есть один основной проводной канал. При его отказе должен быть автоматически включен USB-модем (мы для примера взяли МТС) и возобновлен доступ к сети интернет. В первый порт маршрутизатора будет подключен основной провайдер, остальные четыре нужно использовать для локальной сети. Так как почти все действия в первой половине статьи повторяют предыдущую часть, мы будем выполнять их из терминала.

1. Настройка интерфейсов.

#удаляем все текущие настройки роутера (нужно подтвердить нажатием "y")
system reset-configuration no-defaults=yes
#задаем названия интерфесам
/interface ethernet
set [ find default-name=ether1 ] comment=ISP1 name="ether1 - internet I (main)"
set [ find default-name=ether2 ] name="ether2 - local"
set [ find default-name=ether3 ] name="ether3 - local"
set [ find default-name=ether4 ] name="ether4 - local"
set [ find default-name=ether5 ] name="ether5 - local"
#отключаем wi-fi
interface wireless disable wlan1
#создаем bridge
interface bridge add auto-mac=yes name=LAN
#добавляем в bridge порты 
/interface bridge port
add bridge=LAN interface="ether2 - local"
add bridge=LAN interface="ether3 - local"
add bridge=LAN interface="ether4 - local"
add bridge=LAN interface="ether5 - local"

2. Настройка ip-адрсесов и dhcp

#добавляем ip-адрес для локальной сети
ip address add address=192.168.88.1/24 interface=LAN network=192.168.88.0
#получаем настройки по dhcp от первого провайдера
ip dhcp-client add default-route-distance=0 dhcp-options=hostname,clientid disabled=no interface="ether1 - internet I (main)"
#создаем пул адресов для локальной сети
ip pool add name=pool-LAN ranges=192.168.88.5-192.168.88.235
#создаем dhcp-сервер для локальной сети
ip dhcp-server add address-pool=pool-LAN disabled=no interface=LAN name=lan-dhcp
#задаем настройки dhcp
ip dhcp-server network add address=192.168.88.0/24 dns-server=8.8.8.8,10.7.0.77,10.7.48.77 gateway=
    192.168.88.1
#добавляем маршрут в интернет через первого провайдера
ip route add comment=ISP1 distance=1 gateway=10.7.0.1
#маршрут на 8.8.4.4 для проверки канала
ip route add comment=test_ip distance=1 dst-address=8.8.4.4/32 gateway=10.7.0.1

3. Настройка фаервола

#скрываем внутреннюю сеть за NAT
ip firewall nat add action=masquerade chain=srcnat comment=NAT src-address=192.168.88.0/24
#запрещаем соединения со статусом invalid
/ip firewall filter add action=drop chain=input comment="Deny invalid connections" connection-state=invalid
#разрешаем использование протокола icmp
add chain=input comment="Permit icmp" protocol=icmp
#разрешаем все уже установленные соединения
add chain=input comment="Permit established connections" connection-state=established
#разрешаем все зависимые соединения
add chain=input comment="Permit related connections" connection-state=related
#блокируем все новые соединения со всех интерфейсов, кроме LAN
add action=drop chain=input comment="Deny new connections" connection-state=new in-interface=!LAN
#запрещаем ping 8.8.4.4 через ppp-интерфейсы
add action=drop chain=output comment="Deny 8.8.4.4 to reserved internet-channel" dst-address=8.8.4.4 out-interface=all-ppp protocol=icmp

4. Подключение модема

Подключаем модем к роутеру и проверяем, появился ли он в списке доступных устройств:

Через terminal 
[admin@MikroTik] > system resource usb print 
 # DEVICE VENDOR                 NAME           SPEED                 
 0 1:1    Linux 3.3.5 ehci_hcd   RB400 EHCI     480 Mbps              
 1 1:2    HUAWEI Technology      HUAWEI Mobile  480 Mbps

Смотрим порты и количество каналов (3 канала от 0 до 2):

Через terminal 
[admin@MikroTik] > port print 
Flags: I - inactive 
 #   DEVICE NAME    CHANNELS USED-BY      BAUD-RATE
 0   1:2    usb1          3                9600

5. Настройка модема

Скорее всего модем будет работать должным образом и с настройками по умолчанию, однако, на всякий случай, приведем здесь основные команды для его настройки (доступно только через терминал). Подключаемся к модему (канал выбираем перебором, ожидая на ввод команды AT ответ OK).

system serial-terminal port=usb1 channel=1
[Ctrl-A is the prefix key]
AT
OK

Во время установленного соединения в консоль будет выводиться некоторая отладочная информация, по которой можно отслеживать запуск устройства и передачу данных. Для настройки модема доступны следующие команды:

AT&F Сброс к заводским настройкам
ATI Просмотр модели модема
AT+CSQ Уровень сигнала
AT+CIMI Узнать SIM IMSI
AT+ZSEC? Просмотр статуса блокировки сети/SIM
AT&W Сохранение настроек в текущий профиль

Выбор режима работы модема:

AT+ZSNT=0,0,0 (Авто) — по умолчанию
AT+ZSNT=0,0,1 Автоматический выбор сети: GSM+WCDMA, предпочтение GSM
AT+ZSNT=0,0,2 Автоматический выбор сети: GSM+WCDMA, предпочтение WCDMA
AT+ZSNT=1,0,0 Автоматический выбор сети: только GSM
AT+ZSNT=2,0,0 Автоматический выбор сети: только WCDMA
AT+ZSNT=0,1,0 Ручной выбор сети: GSM+WCDMA
AT+ZSNT=1,1,0 Ручной выбор сети: только GSM
AT+ZSNT=2,1,0 Ручной выбор сети: только WCDMA

6. Настройка ppp-соединения

После подключения модема в меню «Interfaces» появляется новое соединение с названием «ppp-out1». Для того, чтобы настроить все требуемые параметры необходимо переключиться в расширенный режим настроек, нажав кнопку «Advanced Mode»

Необходимо задать следующие параметры (можно уточнить у вашего оператора связи):

  • APN
  • Phone
  • User
  • Password
  • порт, к которому подключен модем

7. Настройка переключения каналов

Переход системы на резервный канал будем осуществлять с помощью встроенной утилиты Netwatch, с помощью которой будем отслеживать доступность хоста 8.8.4.4 .

При переходе с резервного канала на основной (графа «Up») выполняем:

#включаем маршрут с комментарием "ISP1" (основной канал)
ip route set [find comment="ISP1"] disabled=no
#выключаем интерфейс usb-модема (резервный канал)
interface ppp-client disable [find comment="ISP2"]

При переходе с основного на резервный (графа «Down»):

#отключаем маршрут с комментарием "ISP1" (основной канал)
ip route set [find comment="ISP1"] disabled=yes
#включаем интерфейс usb-модема (резервный канал)
interface ppp-client enable [find comment="ISP2"]

8. Настройки безопасности:

Как и во всех других частях обязательным шагом является задание правильных параметров безопасности и установка сложного пароля администратора

#отключаем обнаружение устройства на всех портах
/ip neighbor discovery
set "ether1 - internet I (main)" comment=ISP1 discover=no
set "ether2 - local" discover=no
set "ether3 - local" discover=no
set "ether4 - local" discover=no
set "ether5 - local" discover=no
set wlan1 discover=no
#отключаем ненужные сервисы
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
#задаем пароль
password