Главная
Главная Руководства Роутеры Mikrotik › MikroTik, подключаемся к Дом.ру



Автор:

Статья опубликована: 2020-03-03 22:15:52
Последние правки: 2020-03-12 13:19:38

Статья вторая. Подключаемся к Дом.ру на 5-м порту.

  • Подключаемся к Дом.ру

    - "PPP" -> "Interface" -> "Add New" -> "PPoE Client".



    Interfaces = "ether5". Задаем User и Password.



    - "Use Peer DNS" : используются DNS-сервера, предоставляемые провайдером;
    - "Add Default Route" : DHCP-клиентам это соединение отдается как маршрут по умолчанию.

    Ждем, когда статус сменится на "connected".



    Готово! Мы подключились к провайдеру!

    Но это ещё не всё. Маршрут по умолчанию и DNS у нас есть, они отдаются клиентам, но, чтобы все устройства из локальной сети могли ходить в интернет, надо настроить NAT.


  • NAT

    "Add New"



    Chain : "srcnat"
    Out. Interface : "pppoe-out1"
    Action: "masquerade"





  • Белый список для Firewall

    В интернет из локальной сети будем выпускать не всех, а только избранных из белого списка. Вначале создадим этот список:



    В поле "Name" пишем название списка руками, после этого в следующих записях он будет доступен в выпадающем списке. В поле "Address" записываем ip-адрес устройства из локальной сети.



    Если в роутере настроен DHCP, то там можно задать статические адреса (по mac) и использовать их для создания белого списка.


  • Firewall

    Настроим брандмауер. Вот список правил и порядок их следования. Что представляет из себя каждое правило, расскажу ниже.



    0 - правило добавляется системой.
    1 - запрет forward на интерфейсах bridge1 для устройств LAN не из белого списка. Запрет выхода в интернет. Задан reject для того, чтобы устройство сразу получило ответ о недоступности.





    2, 3 - правила, запрещающие пакеты с "Connection State" = "invalid".


    4, 5 - разрешаем пакеты с "Connection State" = "related" или "established".


    6 - разрешаем входящие для всех на интерфейсах bridge1. Задавать обязательно, иначе потом не сможете достучаться до роутера даже из локалки!


    7 - разрешаем forward (aka выход в интернет) только для ip-адресов из белого списка.



    8 - запрещаем входящие на pppoe-соединении


    9 - запрещаем forward для всего. Это правило должно быть последним.

    Итого: у нас есть подключение к провайдеру, белый список ip-адресов, которым можно в интернет, и мы настроили NAT и брандмауер.