Создание домашней сети на базе устройств MikroTik: Часть 1

Создание домашней сети на базе устройств MikroTik: Часть 1
Предлагаю Вам рассмотреть изучение работы на хорошем примере домашнего использования роутеров и маршрутизаторов MikroTik.
Мы построим с Вами единую локальную сеть на разных устройствах и с разными провайдерами. Установим систему мониторинга Dude и сможем настраивать и следить за оборудованием из любого места, где есть интернет.
С чего весь замес:
Переехал я как-то от родителей, а мой ПК с медиа-сервером Plex, уехал вместе со мной. Домашние любят смотреть фильмы, соответственно нужно было “удлинить” мою локальную сеть на две квартиры между которыми порядка 90 км.
Для организации этой задачи я соответственно выбрал роутеры фирмы MikroTik.
1. hAP ac (RB962UiGS-5HacT2HnT) “Не путать с hAP ac Lite!!!”
2. hEX (RB750Gr3)
Оба роутера достаточно мощные. Именно на их примере я буду приводить пример построения сети.
Давайте посмотрим, что из себя представляет первая модель роутера:
1. hAP ac (RB962UiGS-5HacT2HnT)

Так выглядит сам роутер, с других сторон ничего нет))

Блок-диаграмма разводки
Давайте взглянем на его технические характеристики:
–Частота процессора 720 Мгц.
–Количество ядер процессора 1.
–Диапазон входящего напряжения 11-57В.
–Уровень лицензии 4.
–Коэффициенты усиления антенн 2,5 дБи (2.4 ГГц) / 2 дБи (5 ГГц)
–Беспроводная сеть на 2.4 ГГц реализована с помощью модуля, встроенного непосредственно в процессор Qualcomm QCA9558 802.11 b/g/n с поддержкой MIMO 3×3:3
– Беспроводная сеть на 5 ГГц реализована на отдельном чипе Qualcomm QCA9880. Количество каналов также равно трем, т.е. используется конфигурация MIMO 3×3:3
–Используется USB 2.0
–Доступно 128 Мб оперативной памяти
– 16 Мб флеш-памяти. Честно говоря ожидал тут увидеть побольше места. 16 Мб как-то маловато…
–Поддерживается PoE In, а также PoE Out, на первом и последнем порту соответственно. Прошу заметить, уровень энергопотребления данной модели при максимуме нагрузки составляет 17 Вт. Для примера стандартные порты MikroTik PoE Out рассчитаны на 12 Вт(24В 0,5А). Будьте внимательны!
– 5 гигабитных портов RJ-45 и один слот SFP.

В работе

Теперь перейдем ко второй модели
Прошу сразу заметить, роутер без Wi-Fi модулей. Позже расскажу, почему именно так.
2. RB750Gr3

Достаточно компактная модель

В случае объединения портов на свиче, между процессором и портами шина будет иметь пропускную способность в 1 Гбит.

Если же порты не объединять, порты eth1/eth3/eth5 будут подключены к ЦП гигабитной шиной, оставшиеся eth2/eth4 будут иметь независимую шину в 1 Гбит
–Процессор MediaTek (Ralink) MT7621A Dual-Core / 2 х 880 МГц. Данный процессор работает по 2 потока на ядро, соответственно Вы видите 4 CPU в системе.
-Архитектура MIPS1004Kc (1004KEc)
-Диапазон входящего напряжения 8-30В.
-Уровень лицензии 4.
-Доступно 256 Мб оперативной памяти (DDR3(L) SDRAM объемом 2 Гбит)
16 Мб флеш-памяти (Winbond 25Q128FVSG). Опять??? Немного непонятна политика компании. Благо есть слот под SD карту и USB 2.0 порт!
-Слот под SD карту!
-Используется USB 2.0
-Поддержка аппаратного ускорения шифрования.
-5 гигабитных портов RJ-45
-Поддерживается только PoE In

Давайте определим, что нам необходимо сделать:
1. Подключить hAP ac к интернету. (У провайдера был заказан Публичный статический IP)
2. Подключить hEX к интернету. (Без статического IP)
3. Настроить защищенное соединение между роутерами
4. Настроить общение клиентов, подключенных к нашим роутерам между собой, как будто все они находятся в одной подсети.
Плюс, нам необходимо иметь на каждом роутере свой DHCP сервер. Это важно, чтобы, если на одном из роутеров пропал интернет, локальные устройства не потеряли сетевые адреса и чтобы “ходили” в интернет только через свой роутер. Так, мы снизим нагрузку на туннель.
Давайте построим схему реализации:
Если что-то Вам покажется не знакомым, не пугайтесь, по ходу дела я буду рассказывать, что и для чего необходимо.

На первый взгляд ничего сложного быть не должно

Вкратце разберем, что и как.
Сами модели роутеров могут быть не только именно эти, подобную схему можно организовать и на другом оборудовании MikroTik.
Но я выбрал именно эти модели. У Вас, возможно, будет что-то другое. Основной принцип настройки не изменится т.к. операционная система идентична.
Тут мы активируем OpenVPN сервер на роутере hAP ac и создаем клиентское OpenVPN подключение к OpenVPN серверу.
Опытные пользователи могут со мной не согласиться, мол, “Зачем тут OpenVPN? Будет достаточно PPTP или L2TP…”
OpenVPN я выбрал за его надежность. PPTP или L2TP почему-то у меня периодически “отваливался” и приходилось на hAP ac его переподключать. А вот OpenVPN работает до сих пор без единой запинки.
Пусть даже MikroTik и поддерживает OpenVPN исключительно по TCP протоколу(Ждем 7 версии RoS с OpenVPN по UDP).
После этого поверх адресов 172.16.10.1 и 172.16.10.2 поднимаем EoIP туннель.
Преимущество этих типов туннелей в том, что их можно добавлять в сетевой мост.
И снова да ))) OpenVPN интерфейсы в режиме Ethernet также можно добавлять в мост, но тут я столкнулся с еще одним подводным камнем. При отключении интерфейса на одной из сторон, на другой стороне переставал работать сетевой мост. Соответственно клиенты другого роутера не могли выходить в интернет, да и вообще как-то оперировать локальной сетью(они ведь получают IP по DHCP).
С EoIP такого нет.
Почему RB750Gr3? Все просто, он поддерживает такую вещь, как DUDE сервер и стоит не дорого. Что это и с чем его кушать Вы можете ознакомиться на оф сайте MikroTik, в следующих статьях разберем, что с ним делать:
The DUDE.
Еще к RB750Gr3 подключена точка доступа в виде роутера ASUS RT-AC66U. Он был базовым роутером, до момента моего переезда. Теперь будет работать на Wi-Fi =)
Полагаю, Вам уже должно быть интересно).
Ведь судя по схеме, мы можем уйти от задания маршрутов и просто построить локальную сеть на большом удалении локальных зон друг от друга. Для дома или дома+дачи такая схема в самый раз.
Еще мы сможем добавлять другие зоны к общей локальной сети аналогичным методом. Например, дачу с IP камерами для наблюдения, гараж с бесперебойным блоком питания и также IP камерами.
Думаю диапазона в 254 адреса будет достаточно для такой организации(Если нужно больше, можно использовать другую маску подсети 255.255.0.0).

 

Источник оригинальной статьи: https://gregory-gost.ru/