Как сделать редирект mikrotik

Обновлено: 07.07.2024

Будем настраивать на примере 2 тарифов со скоростями 4Мбит/с и 8Мбит/с.

10.0.0.1 - биллинг
10.0.0.2 - микротик

Шаг 1 - Вывод абонента в интернет, NAT, маскарадинг, редирект, отрицательный баланс
Шаг 2 - Подготовка сервисов, шейперы, ограничение скорости
Шаг 3 - Подготовка и проверка управляющих команд, скрипт отправки команд
Шаг 4 - Отправка Netflow в биллинг
Шаг 5 - Создание НАСа в биллинге
Шаг 6 - Создание Тарифа "Тариф Восьмерка" и Услуги "Трафик 8Мбит"
Шаг 7 - Создание абонента и учетной записи
Шаг 8 - Тестирование и отладка

1.1 Маскарадинг или NAT абонентов для серой адресации

1.2 Редирект заблокированных и несуществующих абонентов на специальную страницу.

Это крайне важно для современного провайдера, в целях повышения лояльности абонентов и снижения нагрузки на техническую поддержку.
Если абонента нет в списке accept_list редиректим его на blocked страницу личного кабинета(где можно сделать кнопку "Диагностика соединения").

1.3 Редирект абонентов с отрицательным балансом на специальную страницу.

Если абонент в списке negbal_list - то редиректим его на negbal страницу личного кабинета

1.4 Блокировка абонентов с отрицательным балансом, заблокированных и несуществующих абонентов

1.5 Разрешить доступ до банков, платежных систем, доверенных сетей и хостов при отрицательном балансе.

Рекомендуется настроить автоматическую синхронизацию с биллингом.

В данной схеме используется простейший шейпер, который не требует предварительного создания очередей на микротике.
Шейперы создаются и применяются к пользователям динамически, при наступлении события rate_set.

3.1 Подготовка команд для оборудования

При IPoE схеме будут использованны следуещие события для управления абонентами на оборудовании:

Мы должны подготовить и проверить соответствующие команды в терминале биллинга.

Разберем на примере отправки команды user_accept для пользователя с логином test1 и ip адресом 10.0.0.101

Аналогичным образом необходимо проверить работу всех команд и проверить, что после их выполнения у абонента есть доступ в интернет, и работает переадресация.
Только после того, как все команды отлажены, приступаем к настройке биллинга.

3.2 Создание скрипта событий

Имя скрипта событий указывается в настройках наса в поле "имя скрипта событий" в веб интерфейсе биллинга.
После первого же события скрипт автоматически создастся из примера, или его можно создать руками командой cp /app/asr_billing//usr/local/share/nas_event_daemon/default.sh.tmplt /app/asr_billing/var/lib/event/mikrotik.sh
В новом файле mikrotik.sh необходимо прописать минимальный набор команд.

Примечание: Пример скрипта событий находится во вложении к этой странице

Для учета трафика требуется включить отправку нетфлоу в бтллинг

  • Укажите ip адрес маршрутизатора
  • Выберите тип наса "Mikrotik + IP"
  • Укажите имя скрипта событий "mikrotik.sh"


Тариф - это набор базовых услуг при заключении договора, в него включены услуги трафика, телефонии и телевидения.
Создадим тариф только с одной включенной услугой - трафик. со скоростью 8Мбит






  • Укажите тпи авторизации "по ip"
  • Назначьте абоненту Пул Адресов, после этого будет предложено выдать адрес из пула
  • Выберете NAS/BRAS "Mikrotik"


После создания абоента для него будет автоматически создана учетная запись и уйдут события добавления абонента на оборудование.

Тестирование схемы включает в себя следующие действия:

  • создание абонента
  • подключение абонентов
  • отключение абонентов при добровольной(из личного абинета абонента) и ручной(из интерфейса биллинга) блокировках
  • отключение/переадресация абонентов при превышении лимита
  • подключение абонентов при приходе оплаты
  • редактирование пользователя, смена лимита или логина или ip
  • изменение скорости при смене тарифа
  • удаление абонента

События, уходящие из биллинга на оборудование можно смотреть в лог-файле командой

Внимание!

Все предоставленные примеры не обязательно являются рабочими, использовать их для настройки своего оборудования без понимания принципа действия не рекомендуется.

Примеры предоставлены исключительно для понимания принципов работы Carbon Billing с сторонним оборудованием.

Также, оборудование нельзя считать запущенным в эксплуатацию, если не все пункты плана внедрения завершены успешно.

Настройка оборудования

В данном примере используется простейший шейпер, который не требует предварительного создания очередей на микротике.

Шейперы создаются и применяются к пользователям динамически, при наступлении события rate_set.

Таким образом на микротике необходимо лишь создать адрес-листы:

  • balance_positive - лист для nat и разрешения выхода в Интернет
  • balance_negative - лист для переадресации пользователей с отрицательным балансом.

Если нужны разные группы пользователей, то можно создать разные адрес листы, и использовать составные листы, например:

Рекомендуется склеивать команды микротика в одну через знак ' ; ' вместо нескольких последовательных ssh тк ssh долго подключается к микротику.

Не рекомендуется использовать более 300-500 пользователей на 1 микротик.

Настройка Carbon Billing (event_inc.sh)

В этом скрипте команды на микротик пересылаются с помощью ssh, а не с помощью radius.

Настройка тарифов

Тарифы настраиваются стандартно, т.к radius параметры при данной схеме не используются, а $ceil_in и $ceil_out передаются микротику по SSH каждый раз при возникновении события rate_set.

Настройка пользователей


Так как микротик не использует Radius, то для пользователей, которые получают доступ в интернет через него необходимо вручную переопределить IP NAS сервера, автоматически этого не произойдет.

Многие начинающие микротиководы задают вопрос, как настроить в mikrotik проброс портов или по-другому перенаправление портов. В данной статье детально, на примерах опишу как настраивать это правильно и что делать, куда смотреть если проброс не работает. Для понимая этого материала вам нужны базовые знания работы NAT, строение ip пакета (то, что в нем есть адрес источника и отправителя) и TCP и UDP протоколы. Также потренироваться все это настраивать можно на эмуляторе eve-ng. Думаю, вы это все знаете, так что давайте начнем.

Если вы хотите углубить свои знания по работе с роутерами MikroTik, то наша команда рекомендует пройти курсы которые сделаны на основе MikroTik Certified Network Associate и расширены автором на основе опыта . Подробно читайте ниже.

Перенаправление портов Mikrotik

Все настройки по прокидыванию портов делаются в разделе IP -> Firewall -> Nat. Ниже опишу все параметры и на примере пробросим RDP 3389 на сервер или компьютер.

Настройка проброса порта rdp на mikrotik

Стрелочками показано в какой раздел заходить, нажимаем + и создадим новое правило NAT. Итак:

  • Chain – здесь выбираем что будем заменять в ip пакете (то есть адрес отправителя или получателя). Для нашего примера с RDP выбираем dstnat.
  • Src. Address – можем указать тут конкретный ip с которого нужно осуществлять проброс порта (то есть если здесь указать 2.45.34.77, то при работающем правиле проброс будет работать только при подключении с этого адреса). Нам этого не надо поэтому оставляем пустым.
  • Dst. Address – здесь указываем белый ip нашего роутера к которому будет подключаться по RDP а он в свою очередь будет натить на сервер. (Здесь имеет смыслю указывать ip если у вас несколько белых адресов на интерфейсе.) В нашем случае оставляем пустым.
  • Protocol – выбираем какой протокол будем пробрасывать (RDP работает по TCP протоколу и порту 3389). Очевидно, выбираем
  • Src. Port – Порт с которого будет подключения. Оставляем пустым, для нашего примера он не нужен.
  • Dst. Port – вот здесь указываем 3389 как писалось выше.
  • Any. Port – бываю случае порты src и dst одинаковые его можно вписать сюда, или когда нужно пробросить все TCP. (оставляем пустым)
  • In. Interface – входящий интерфейс микротика, указываем тот на котором висит белый ip. У меня этот.
  • Out. Interface – исходящий интерфейс, тут можно указать тот который смотрит в вашу локальную сеть а можно и ничего не указывать, тогда mikrotik сам выберет его по адресу подсети.
  • In. Interface list – тут указывается интерфейс лист. То есть, если у вас 2 и более каналов в интернет, их можно все объединить в interface list и указать тут. Тогда не надо будет для каждого провайдера делать правило проброса RDP.
  • Out. Interface List – тоже самое что и 10 пункт только исходящий.

Остальные пункты с 12 по 16 вам сейчас не нужны, они используются для более сложных схем, таких как маркировка трафика и отправка его в конкретную таблицу маршрутизации и тд.

Теперь переходим на вкладку Action на которой мы скажем роутеру что делать с полученным пакетом и куда его отправлять.

Вrладка Action nat

Здесь настраиваем так:

Вот так просто настраивается проброс портов на mikrotik, дальше приведу еще несколько примеров для различных сервисов.

Проброс 80 порта на mikrotik

Бывают ситуации, когда у вас в сети есть веб-сервер с каким-либо сайтом работающем на 80 порту, его можно пробросить точно также как было показано для порта RDP 3389 но лучше сделать по другому.

Проброс 80 порта на роутере

Как видно из скрина выше и ниже, мы делаем dstnat tcp подключений, приходящих на порт 8080 с интерфейса ether1, на ip 192.168.13.100 порт 80.


dstnat 80 порт

Открыть порт на микротик

Чтобы открыть порт на mikrotik вам нужно перейти в раздел firewall и там явно создать разрешающие правило для этого порта. Отмечу что если у вас раздел IP-> Firewall->Filter Rules пуст как на картинке ниже, то это значит что все порты у вас открыты по умолчанию, так как нет запрещающих правил. И лучше бы вам его настроить ото будут ломать пока не взломают.

Пустой Firewall mikrotik

Открыть порт на mikrotik

Советую вам отключить то, что вы не используете, так как чем больше разрешено, тем больше опасности взлома. Вообще вариаций пробросов портов в mikrotik очень много, все их не опишешь, да и думаю это будет лишнем, главное знать как работает технология, а настройка — это дела практике.

89 вопросов по настройке MikroTik

Добрый день! Есть локальная сеть 192.168.1.X в этой сети есть ПК 192.168.1.100 с открытым портом 1111. Этот ПК увезли в другое место. Как мне сделать перенаправление трафика с внутренней сети 192.168.1.X в на внешний ip адрес и порт 1111. Чтоб все ПК которые раньше обращались к 192.168.1.100:1111 не заметили отсутствия 192.168.1.100. Если можно покажите примерами как это делается!

Перенаправление Трафика через маршруты
Ситуация такая имеется сервер у него 2 сетевые карты,1 -связанна с модемом,2 -локальная сеть.Для.

Перенаправление трафика с RouterOS на Kerio Control
Доброго дня, подскажите пожалуйста решение вопроса: Есть Mikrotik RB2011 c установленной RouterOS.

Перенаправление трафика с CISCO на внешний NAT
Подскажите плз как лучше настроить. Схема следующая, | ЛОКАЛЬНАЯ СЕТЬ ---> CISCO ---> NAT (на.

Внешний привод из внутреннего
Значит, ситуация такая: купил ССД, поставил его в ноут вместо винта, а винт вместо привода (ибо не.

это делается посредством проброса портов, либо построением VPN между роутерами
Ответь на вопросы, потом распишу - что да как.

Значит суть в следующем. На том роутере . так и не сказал - какая там подсеть?


Не секрет, что наш народ склонен воспринимать сеть организации, предоставляющую выход в Интернет, как клон своей домашней сети. Поэтому некоторых работников, которые имеют слишком много "свободного" времени так и тянет полазить по социальным сетям, посмотреть фильмы онлайн или сделать между делом "левую" работу.

Такая деятельность не будет приветствоваться ни одним работодателем, который считает вложенные средства и ожидает, что его работники на работе будут заниматься работой.

Не имея специализированных средств для воспрепятствования посещению ряда узлов работниками администратор может предпринять попытку сопоставления таких узлов адресу веб-узла локальной сети, на странице которого будет отображаться грозное уведомление о запрете доступа на запрашиваемый пользователем ресурс, например:


О возможных способах читайте здесь или здесь.

Однако "ушлые" пользователи, начитавшись ряда публикаций в Интернет, при наличии у них доступа к настройкам параметров сетевого адаптера изменяют адреса DNS с назначаемых на, например, серверы Google.


И это может сработать, если администратор не предпримет свои контрмеры, одна их которых заключается в перенаправлении пользовательских запросов DNS на "правильный" DNS.

На MikroTik RouterOS, представляющим из себя удобное и малобюджетное решение по организации единой точки выхода в Интернет, необходимо в Firewall сформировать соответствующее правило.




На рисунке выше укажите свои локальные сети с их масками.


После этого какие бы адреса серверов DNS не вводил пользователь на своём компьютере его запросы к узлам Интернет будут всегда адресоваться "правильному" DNS.


Может быть у администратора в сети все пользователи и хорошие, и дисциплинированные, но в ней он – главный, поэтому, на всякий случай:

Читайте также: