Настройка маршрутизаторов Mikrotik (ч.3): использование USB-модема для резервного канала

    Настройка маршрутизаторов Mikrotik (ч.1): подключение, основные параметры

    Настройка маршрутизаторов Mikrotik (ч.2): резервирование интернет-канала

    Настройка маршрутизаторов Mikrotik (ч.3): использование USB-модема для резервного канала


    Задача:

       В данной статье рассмотрим настройку маршрутизатора Mikrotik на работу с USB-модемом. Будем считать, что у нас есть один основной проводной канал. При его отказе должен быть автоматически включен USB-модем (мы для примера взяли МТС) и возобновлен доступ к сети интернет. В первый порт маршрутизатора будет подключен основной провайдер, остальные четыре нужно использовать для локальной сети. Так как почти все действия в первой половине статьи повторяют предыдущую часть, мы будем выполнять их из терминала.

    1. Настройка интерфейсов.

    #удаляем все текущие настройки роутера (нужно подтвердить нажатием "y")
    system reset-configuration no-defaults=yes
    #задаем названия интерфесам
    /interface ethernet
    set [ find default-name=ether1 ] comment=ISP1 name="ether1 - internet I (main)"
    set [ find default-name=ether2 ] name="ether2 - local"
    set [ find default-name=ether3 ] name="ether3 - local"
    set [ find default-name=ether4 ] name="ether4 - local"
    set [ find default-name=ether5 ] name="ether5 - local"
    #отключаем wi-fi
    interface wireless disable wlan1
    #создаем bridge
    interface bridge add auto-mac=yes name=LAN
    #добавляем в bridge порты 
    /interface bridge port
    add bridge=LAN interface="ether2 - local"
    add bridge=LAN interface="ether3 - local"
    add bridge=LAN interface="ether4 - local"
    add bridge=LAN interface="ether5 - local"
    

    2. Настройка ip-адрсесов и dhcp

    #добавляем ip-адрес для локальной сети
    ip address add address=192.168.88.1/24 interface=LAN network=192.168.88.0
    #получаем настройки по dhcp от первого провайдера
    ip dhcp-client add default-route-distance=0 dhcp-options=hostname,clientid disabled=no interface="ether1 - internet I (main)"
    #создаем пул адресов для локальной сети
    ip pool add name=pool-LAN ranges=192.168.88.5-192.168.88.235
    #создаем dhcp-сервер для локальной сети
    ip dhcp-server add address-pool=pool-LAN disabled=no interface=LAN name=lan-dhcp
    #задаем настройки dhcp
    ip dhcp-server network add address=192.168.88.0/24 dns-server=8.8.8.8,10.7.0.77,10.7.48.77 gateway=\
        192.168.88.1
    #добавляем маршрут в интернет через первого провайдера
    ip route add comment=ISP1 distance=1 gateway=10.7.0.1
    #маршрут на 8.8.4.4 для проверки канала
    ip route add comment=test_ip distance=1 dst-address=8.8.4.4/32 gateway=10.7.0.1
    

    3. Настройка фаервола

    #скрываем внутреннюю сеть за NAT
    ip firewall nat add action=masquerade chain=srcnat comment=NAT src-address=192.168.88.0/24
    #запрещаем соединения со статусом invalid
    /ip firewall filter add action=drop chain=input comment="Deny invalid connections" connection-state=invalid
    #разрешаем использование протокола icmp
    add chain=input comment="Permit icmp" protocol=icmp
    #разрешаем все уже установленные соединения
    add chain=input comment="Permit established connections" connection-state=established
    #разрешаем все зависимые соединения
    add chain=input comment="Permit related connections" connection-state=related
    #блокируем все новые соединения со всех интерфейсов, кроме LAN
    add action=drop chain=input comment="Deny new connections" connection-state=new in-interface=!LAN
    #запрещаем ping 8.8.4.4 через ppp-интерфейсы
    add action=drop chain=output comment="Deny 8.8.4.4 to reserved internet-channel" dst-address=8.8.4.4 out-interface=all-ppp protocol=icmp
    

    4. Подключение модема

       Подключаем модем к роутеру и проверяем, появился ли он в списке доступных устройств:

     

     

     

    Через terminal
    [admin@MikroTik] > system resource usb print 
     # DEVICE VENDOR                 NAME           SPEED                 
     0 1:1    Linux 3.3.5 ehci_hcd   RB400 EHCI     480 Mbps              
     1 1:2    HUAWEI Technology      HUAWEI Mobile  480 Mbps              

     

     

     

          Смотрим порты и количество каналов (3 канала от 0 до 2):

     

     

     

    Через terminal
    [admin@MikroTik] > port print 
    Flags: I - inactive 
     #   DEVICE NAME    CHANNELS USED-BY      BAUD-RATE
     0   1:2    usb1          3                9600     

     

     

     

    5. Настройка модема

       Скорее всего модем будет работать должным образом и с настройками по-умолчанию, однако, на всякий случай, приведем здесь основные команды для его настройки (доступно только через терминал). Подключаемся к модему (канал выбираем перебором, ожидая на ввод команды AT ответ OK).

    system serial-terminal port=usb1 channel=1
    [Ctrl-A is the prefix key]
    AT
    OK
    

       Во время установленного соединения в консоль будет выводиться некоторая отладочная информация, по которой можно отслеживать запуск устройства и передачу данных. Для настройки модема доступны следующие команды:

     AT&F  Сброс к заводским настройкам
     ATI  Просмотр модели модема
     AT+CSQ  Уровень сигнала
     AT+CIMI  Узнать SIM IMSI
    AT+ZSEC? Просмотр статуса блокировки сети/SIM
    AT&W Сохранение настроек в текущий профиль

     

       Выбор режима работы модема:

    AT+ZSNT=0,0,0 (Авто) — по умолчанию
    AT+ZSNT=0,0,1 Автоматический выбор сети: GSM+WCDMA, предпочтение GSM
    AT+ZSNT=0,0,2 Автоматический выбор сети: GSM+WCDMA, предпочтение WCDMA
    AT+ZSNT=1,0,0 Автоматический выбор сети: только GSM
    AT+ZSNT=2,0,0 Автоматический выбор сети: только WCDMA
    AT+ZSNT=0,1,0 Ручной выбор сети: GSM+WCDMA
    AT+ZSNT=1,1,0 Ручной выбор сети: только GSM
    AT+ZSNT=2,1,0 Ручной выбор сети: только WCDMA

     

     6. Настройка ppp-соединения

       После подключения модема в меню "Interfaces" появляется новое соединение с названием "ppp-out1". Для того, чтобы настроить все требуемые параметры необходимо переключиться в расширенный режим настроек, нажав кнопку "Advanced Mode"

       Необходимо задать следующие параметры (можно уточнить у вашего оператора связи):

    • APN
    • Phone
    • User
    • Password
    • порт, к которому подключен модем

     

     

     7. Настройка переключения каналов 

       Переход системы на резервный канал будем осуществлять с помощью встроенной утилиты Netwatch, с помощью которой будем отслеживать доступность хоста 8.8.4.4 .

     

       При переходе с резервного канала на основной (графа "Up") выполняем: 

    #включаем маршрут с комментарием "ISP1" (основной канал)
    ip route set [find comment="ISP1"] disabled=no
    #выключаем интерфейс usb-модема (резервный канал)
    interface ppp-client disable [find comment="ISP2"]
    

       При переходе с основного на резервный (графа "Down"):

    #отключаем маршрут с комментарием "ISP1" (основной канал)
    ip route set [find comment="ISP1"] disabled=yes
    #включаем интерфейс usb-модема (резервный канал)
    interface ppp-client enable [find comment="ISP2"]
    

     

    8. Настройки безопасности:

       Как и во всех других частях обязательным шагом является задание правильных параметров безопасности и установка сложного пароля администратора

    #отключаем обнаружение устройства на всех портах
    /ip neighbor discovery
    set "ether1 - internet I (main)" comment=ISP1 discover=no
    set "ether2 - local" discover=no
    set "ether3 - local" discover=no
    set "ether4 - local" discover=no
    set "ether5 - local" discover=no
    set wlan1 discover=no
    #отключаем ненужные сервисы
    /ip service
    set telnet disabled=yes
    set ftp disabled=yes
    set www disabled=yes
    set ssh disabled=yes
    set api disabled=yes
    set api-ssl disabled=yes
    #задаем пароль
    password