proxy arp mikrotik что это
Manual:IP/ARP
Applies to RouterOS: 2.9, v3, v4 +
Contents
Summary
Sub-menu: /ip arp
Standards: ARP RFC 826
Even though IP packets are addressed using IP addresses, hardware addresses must be used to actually transport data from one host to another. Address Resolution Protocol is used to map OSI level 3 IP addresses to OSI level 2 MAC addreses. Router has a table of currently used ARP entries. Normally the table is built dynamically, but to increase network security, it can be partially or completely built statically by means of adding static entries.
Properties
| Property | Description |
|---|---|
| address (IP; Default: ) | IP address to be mapped |
| interface (string; Default: ) | Interface name the IP address is assigned to |
| mac-address (MAC; Default: 00:00:00:00:00:00) | MAC address to be mapped to |
| published (yes | no; Default: no) | Static proxy-arp entry for individual IP address. When an ARP query is received for the specific IP address, the device will respond with its own MAC address. No need to set proxy-arp on the interface itself for all the MAC addresses to be proxied. The interface will respond to an ARP request only when the device has an active route towards the destination |
Read only properties:
| Property | Description |
|---|---|
| dhcp (yes | no) | Whether ARP entry is added by DHCP server |
| dynamic (yes | no) | Whether entry is dynamically created |
| invalid (yes | no) | Whether entry is not valid |
Note: The default maximum number of ARP entries is 8192. It can be adjusted with the command «/ip settings set max-neighbor-entries=»
ARP Modes
Disabled
If ARP feature is turned off on the interface, i.e., arp=disabled is used, ARP requests from clients are not answered by the router. Therefore, static arp entry should be added to the clients as well. For example, the router’s IP and MAC addresses should be added to the Windows workstations using the arp command:
Enabled
This mode is enabled by default on all interfaces. ARPs will be discovered automatically and new dynamic entries will be added to ARP table.
Proxy ARP
A router with a properly configured proxy ARP feature acts like a transparent ARP proxy between different networks.
This behaviour can be usefull, for example, if you want to assign dial-in (ppp, pppoe, pptp) clients IP addresses from the same address space as used on the connected LAN.
Lets look at example setup from image above. Host A (172.16.1.2) on Subnet A wants to send packets to Host D (172.16.2.3) on Subnet B. Host A has a /16 subnet mask which means that Host A believes that it is directly connected to all 172.16.0.0/16 network (the same LAN). Since the Host A believes that is directly connected it sends an ARP request to the destination to clarify MAC address of Host D. (in case when Host A finds that destination IP address is not from the same subnet it send packet to default gateway.)
Host A broadcasts an ARP request on Subnet A:
Info from packet analyzer software:
With this ARP request, Host A (172.16.1.2) is asking Host D (172.16.2.3) to send its MAC address. The ARP request packet is then encapsulated in an Ethernet frame with the MAC address of Host A as the source address and a broadcast (FF:FF:FF:FF:FF:FF) as the destination address. Layer 2 broadcast means that frame will be sent to all hosts in the same layer 2 broadcast domain which includes the ether0 interface of the router, but does not reach Host D, because router by default does not forward layer 2 broadcast.
Since the router knows that the target address (172.16.2.3) is on another subnet but it can reach Host D, it replies with its own MAC address to Host A.
This is the Proxy ARP reply that the router sends to Host A. Router sends back unicast proxy ARP reply with its own MAC address as the source address and the MAC address of Host A as the destination address, by saying «send these packets to me, and I’ll get it to where it needs to go.»
When Host A receives ARP response it updates its ARP table, as shown:
After MAC table update, Host A forwards all the packets intended for Host D (172.16.2.3) directly to router interface ether0 (00:0c:42:52:2e:cf) and the router forwards packets to Host D. The ARP cache on the hosts in Subnet A is populated with the MAC address of the router for all the hosts on Subnet B. Hence, all packets destined to Subnet B are sent to the router. The router forwards those packets to the hosts in Subnet B.
Multiple IP addresses by host are mapped to a single MAC address (the MAC address of this router) when proxy ARP is used.
Proxy ARP can be enabled on each interface individually with command arp=proxy-arp:
Reply Only
If arp property is set to reply-only on the interface, then router only replies to ARP requests. Neighbour MAC addresses will be resolved using /ip arp statically, but there will be no need to add the router’s MAC address to other hosts’ ARP tables like in case if arp is disabled.
Local Proxy Arp
With local-proxy-arp enabled, the router will respond to all client hosts with the router’s own interface MAC address instead of the other host’s MAC address.
E.g. If Host A (192.168.88.2/24) queries for the MAC address of Host B (192.168.88.3/24), the router would respond with its own MAC address. In other words, if local-proxy-arp is enabled, the router would assume responsibility for forwarding traffic between Host A (192.168.88.2 and Host B 192.168.88.3). All the arp cache entries on Hosts A and B will reference the router’s MAC address. In this case the router is performing local-proxy-arp for the entire subnet 192.168.88.0/24.
An example for RouterOS local-proxy-arp could be a bridge setup with DHCP server and isolated bridge ports where hosts from the same subnet can reach each other only at Layer3 through bridge IP.
Gratuitous ARP
It is possible to create Gratuitous ARP requests in RouterOS. To do so you must use the Traffic-Generator tool, below is an example how to generate a Gratuitous ARP request to update the ARP table on a remote device:
You must change the MAC address (4c5e0c14ef78) and the IP address (0a057a01) to your router’s addresses. The IP address and the MAC address must be from the device that requests an ARP table update. You also need to specify through which interface (ether2) you want to send the Gratuitous ARP request. Make sure that receiving device supports Gratuitous ARP requests.
Записки IT специалиста
Технический блог специалистов ООО»Интерфейс»
Настройка Proxy ARP для VPN-подключений на роутерах Mikrotik
Одним из основных назначений VPN-соединений служит организация доступа удаленных клиентов в локальную сеть. И несмотря на то, что данная тема достаточно широко освещена многие администраторы продолжают сталкиваться со сложностями. Наибольшие затруднения, как правило, вызывает маршрутизация. Отчасти это связано с относительной сложностью данной темы, требующей достаточного уровня теоретических знаний, а отчасти с техническими возможностями реализуемого решения. В некоторых сценариях можно обойтись и без маршрутизации, использовав для доступа в сеть иные технологии, сегодня мы расскажем об одной из них.
Существует два основных сценария построения VPN: обеспечение доступа удаленных клиентских устройств и соединение между собой удаленных сетей. В последнем случае проще, администратор настраивает устройства с обоих сторон туннеля именно так, как считает нужным, а вот клиентские устройства, тут может быть самый разнообразный зоопарк. Установка стороннего ПО, добавление собственных маршрутов, все это может быть достаточно затруднительно, особенно если это личное устройство клиента. Поэтому удаленное подключение желательно выполнять стандартными средствами, с минимальным вмешательством в клиентскую систему.
Описываемый нами способ применим именно для подключения клиентских устройств, применять для объединения сетей его не следует. Его отличительной особенностью является выдача VPN-клиентам адресов из диапазона локальной сети. Давайте рассмотрим следующую схему:
В нашем случае имеется локальная сеть с диапазоном адресов 192.168.111.0/24, в которой находятся сервер 192.168.111.101 и роутер 192.168.111.1, для доступа удаленных клиентов мы подняли на роутере VPN-сервер с локальным адресом 192.168.111.140 и пулом адресов для клиентов 192.168.111.141-149. Нам требуется организовать прозрачный доступ в локальную сеть для подключающихся клиентов (зеленая пунктирная линия).
При этом важно соблюдать ряд правил. Во-первых, диапазон локальной сети клиентов не должен пересекаться с диапазоном сети офиса, поэтому мы настоятельно не рекомендуем использовать в корпоративных сетях диапазоны 192.168.0.0/24, 192.168.1.0/24 и т.д. из-за их широкого применения в устройствах бытового класса. Во-вторых, выделенный для удаленных клиентов диапазон следует исключить для выдачи и назначения устройствам локальной сети. И наконец, локальный адрес VPN-сервера должен быть выделен из локального диапазона и не должен использоваться иными устройствами или интерфейсами роутера.
Сам тип VPN не имеет принципиального значения, но рекомендуется использовать те варианты подключения, стандартные клиенты для которых имеются на целевых клиентских устройствах, это может быть PPTP или L2TP/IPsec.
В нашем примере это будет L2TP-клиент, который успешно подключился к нашему роутеру и получил адрес 192.168.111.148:
На первый взгляд все хорошо, клиент получил адрес из диапазона локальной сети и вроде бы должен взаимодействовать с ней без маршрутизации, но если мы попытаемся получить доступ к указанному нами на схеме серверу, то нас постигнет неудача.
Почему так? Давайте разбираться. Взаимодействие между собой для устройств, находящихся в одной IP-сети (уровень L3 модели OSI) происходит на канальном (L2) уровне. В Ethernet сетях для отправки фрейма (кадра) отправитель должен знать MAC-адрес получателя. Для определения MAC-адреса на основе IP-адреса служит протокол ARP (Address Resolution Protocol).
Когда мы хотим соединиться с узлом 192.168.111.101 хост посылает широковещательный ARP-запрос:
Его получают все узлы сети, но отвечает только обладатель адреса:
Причем обмен практически именно так и происходит, ниже реальный пример ARP-запросов и ответов в локальной сети.
Получив MAC-адрес хост помещает его в ARP-таблицу и в дальнейшем может общаться с данным узлов, не посылая каждый раз ARP-запросы.
Чтобы выйти из этой ситуации можно использовать Proxy ARP, эта технология представляет прокси-сервер для ARP-запросов, позволяя связать на канальном уровне разные сети. Теперь, получив от клиента ARP-запрос сервер ответит MAC-адресом, на который клиент может посылать Ethernet-фреймы.
Существуют разные варианты ARP-прокси, в простейшем случае, который реализован в Mikrotik, роутер ответит на ARP-запрос собственным MAC-адресом, а получив Ethernet-фрейм передаст его на интерфейс, на котором включен Proxy ARP. Таким образом удаленный клиент и узлы локальной сети смогут общаться между собой на канальном уровне без привлечения маршрутизатора (как им кажется).
Для того, чтобы включить Proxy ARP в роутере Mikrotik перейдите в настройки интерфейса, обслуживающего вашу локальную сеть, чаще всего это будет мостовой интерфейс bridge, в нашем случае это один из ether-портов, и в поле ARP установите значение proxy-arp.
После чего снова попробуем получить доступ к серверу и на этот раз все получится:
Как видим, все достаточно несложно и мы полностью стандартными средствами со стороны клиента получили полноценный доступ в локальную сеть за VPN-сервером без настройки маршрутизации и прочих «лишних» движений.
Дополнительные материалы:
Mikrotik
The Dude
Помогла статья? Поддержи автора и новые статьи будут выходить чаще:
Или подпишись на наш Телеграм-канал: 
Настройка Proxy ARP для VPN-подключений на роутерах Mikrotik
Настройка Proxy ARP для VPN-подключений на роутерах Mikrotik
Одним из основных назначений VPN-соединений служит организация доступа удаленных клиентов в локальную сеть. И несмотря на то, что данная тема достаточно широко освещена многие администраторы продолжают сталкиваться со сложностями. Наибольшие затруднения, как правило, вызывает маршрутизация. Отчасти это связано с относительной сложностью данной темы, требующей достаточного уровня теоретических знаний, а отчасти с техническими возможностями реализуемого решения. В некоторых сценариях можно обойтись и без маршрутизации, использовав для доступа в сеть иные технологии, сегодня мы расскажем об одной из них.
Существует два основных сценария построения VPN: обеспечение доступа удаленных клиентских устройств и соединение между собой удаленных сетей. В последнем случае проще, администратор настраивает устройства с обоих сторон туннеля именно так, как считает нужным, а вот клиентские устройства, тут может быть самый разнообразный зоопарк. Установка стороннего ПО, добавление собственных маршрутов, все это может быть достаточно затруднительно, особенно если это личное устройство клиента. Поэтому удаленное подключение желательно выполнять стандартными средствами, с минимальным вмешательством в клиентскую систему.
Описываемый нами способ применим именно для подключения клиентских устройств, применять для объединения сетей его не следует. Его отличительной особенностью является выдача VPN-клиентам адресов из диапазона локальной сети. Давайте рассмотрим следующую схему:
Настройка Proxy ARP для VPN-подключений на роутерах Mikrotik
В нашем случае имеется локальная сеть с диапазоном адресов 192.168.111.0/24, в которой находятся сервер 192.168.111.101 и роутер 192.168.111.1, для доступа удаленных клиентов мы подняли на роутере VPN-сервер с локальным адресом 192.168.111.140 и пулом адресов для клиентов 192.168.111.141-149. Нам требуется организовать прозрачный доступ в локальную сеть для подключающихся клиентов (зеленая пунктирная линия).
При этом важно соблюдать ряд правил. Во-первых, диапазон локальной сети клиентов не должен пересекаться с диапазоном сети офиса, поэтому мы настоятельно не рекомендуем использовать в корпоративных сетях диапазоны 192.168.0.0/24, 192.168.1.0/24 и т.д. из-за их широкого применения в устройствах бытового класса. Во-вторых, выделенный для удаленных клиентов диапазон следует исключить для выдачи и назначения устройствам локальной сети. И наконец, локальный адрес VPN-сервера должен быть выделен из локального диапазона и не должен использоваться иными устройствами или интерфейсами роутера.
Сам тип VPN не имеет принципиального значения, но рекомендуется использовать те варианты подключения, стандартные клиенты для которых имеются на целевых клиентских устройствах, это может быть PPTP или L2TP/IPsec.
В нашем примере это будет L2TP-клиент, который успешно подключился к нашему роутеру и получил адрес 192.168.111.148:
На первый взгляд все хорошо, клиент получил адрес из диапазона локальной сети и вроде бы должен взаимодействовать с ней без маршрутизации, но если мы попытаемся получить доступ к указанному нами на схеме серверу, то нас постигнет неудача.
Почему так? Давайте разбираться. Взаимодействие между собой для устройств, находящихся в одной IP-сети (уровень L3 модели OSI) происходит на канальном (L2) уровне. В Ethernet сетях для отправки фрейма (кадра) отправитель должен знать MAC-адрес получателя. Для определения MAC-адреса на основе IP-адреса служит протокол ARP (Address Resolution Protocol).
Когда мы хотим соединиться с узлом 192.168.111.101 хост посылает широковещательный ARP-запрос:
Его получают все узлы сети, но отвечает только обладатель адреса:
Причем обмен практически именно так и происходит, ниже реальный пример ARP-запросов и ответов в локальной сети.
Получив MAC-адрес хост помещает его в ARP-таблицу и в дальнейшем может общаться с данным узлов, не посылая каждый раз ARP-запросы.
Но что же пошло не так в нашем случае? VPN-клиент 192.168.111.148 считая себя частью сети 192.168.111.0/24 для доступа к 192.168.111.101 пошлет соответствующий широковещательный ARP-запрос, чтобы выяснить его MAC-адрес. Но VPN-соединение — это не IP-сеть, а структура точка-точка и единственным узлом, который получит ARP-запрос будет VPN-сервер 192.168.111.140, а так как он не является искомым адресом, то «скромно» промолчит. Клиент не получит на свой запрос ответа и с целевым узлом связь установить не удастся.
Чтобы выйти из этой ситуации можно использовать Proxy ARP, эта технология представляет прокси-сервер для ARP-запросов, позволяя связать на канальном уровне разные сети. Теперь, получив от клиента ARP-запрос сервер ответит MAC-адресом, на который клиент может посылать Ethernet-фреймы.
Существуют разные варианты ARP-прокси, в простейшем случае, который реализован в Mikrotik, роутер ответит на ARP-запрос собственным MAC-адресом, а получив Ethernet-фрейм передаст его на интерфейс, на котором включен Proxy ARP. Таким образом удаленный клиент и узлы локальной сети смогут общаться между собой на канальном уровне без привлечения маршрутизатора (как им кажется).
Для того, чтобы включить Proxy ARP в роутере Mikrotik перейдите в настройки интерфейса, обслуживающего вашу локальную сеть, чаще всего это будет мостовой интерфейс bridge, в нашем случае это один из ether-портов, и в поле ARP установите значение proxy-arp.
После чего снова попробуем получить доступ к серверу и на этот раз все получится:
Как видим, все достаточно несложно и мы полностью стандартными средствами со стороны клиента получили полноценный доступ в локальную сеть за VPN-сервером без настройки маршрутизации и прочих «лишних» движений.
Proxy arp mikrotik что это
Mikrotik, первоначальная настройка. Часть 1.
Решил начать серию статей на тему настроек RouterOS Mikrotik. Вы скажете, на просторах интернета их и так полно, и будете правы. Не буду претендовать на эксклюзив, скажу более, основная масса информации будет взята именно оттуда, остальное свой опыт, и да, все что будет описано абсолютно работоспособно, т.к. проверено лично. Так для чего же спросите вы? Все просто, в первую очередь я как всегда пишу для самого себя (в свете развивающегося склероза) шпаргалки. Некоторые задачи появляются не так часто, поэтому несколько забываются и приходится искать нюансы, опять же где? именно, на просторах интернета. Во вторую, постоянно гуглить и искать, где точней описано то или иное уже порядком поднадоело, хочется, что б все было в одном месте, быстро и постоянно доступно. Я не буду объяснять элементарные вещи, надеясь, что читатель, т.е. вы, обладаете начальными знаниями. Для настройки будем использовать исключительно Winbox и графический интерфейс, хотя возможно будет и консольный вариант. Итак, начнем, от очень простого к простому.
Подключаемся к любому порту кроме первого, запускаем Winbox (он у нас пуст), переходим на вкладку Neighbors, жмем на MAC адрес (он перенесется в поле Connect To:), вводим логин admin (пароль отсутствует) и жмем кнопку Connect.
Все мы подключились. При первом запуске появится предложение загрузить базовую конфигурацию или сбросить ее.
Выбираем Remove Configuration. Маршрутизатор перезагрузится. Подключаемся еще раз и видим:
Теперь немного отвлечемся от маршрутизатора и определимся, что обязательно должна включать в себя базовая настройка. На мой взгляд, она должно выглядеть так:
1 Создание нового пользователя и отключение (удаление) admin’a
2 Настройка адреса маршрутизатора;
3 Настройка DHCP сервера;
4 Настройка Firewall;
5 Настройка WLan;
6 Настройка доступа к провайдеру
Это обязательный минимум и настраивать будем именно в этой последовательности.
Перед тем как начать, хочу обратить внимание на вкладку Quick Set
На ней можно произвести практически всю первоначальную настройку, но сделая это, вы не поймете принципа настройки, иногда может начать казаться, что настройки дублированы. Поэтому мы не будем трогать эту вкладку, а будем настраивать все по порядку из мест прямо для этого предназначенных. А в конце настройки, вы увидите, что и откуда появилось на этой вкладке или наоборот, что где создается при вводе настроек на ней. Но, что б понять второе, надо идти первым путем.
1 Создание нового пользователя и отключение (удаление) admin’a
В левом меню нажимаем System->Users, в открывшемся окне нажимаем на плюс
Name – логин
Group – full
В поля Password и Confirm Passwords вводим новый пароль.
Жмем OK. Пользователь создан. Стандартного пользователя admin отключаем или удаляем.
2 Настройка адреса маршрутизатора
В левом меню нажимаем Bridge, в открывшемся окне нажимаем на плюс,
В окне New Interface в поле Name вводим имя нашего моста. Имя ввести можно любое, главное, что б самому потом понять, что это и для чего. Предлагаю назвать его банально: bridge_local (локальный мост), в поле ARP выбираем proxy-arp, жмем OK.
Переходим на вкладку Ports, жмем плюс
В поле Interface выбираем ether2, в поле Bridge выбираем созданный ранее bridge_local. Повторяем для всех последующих интерфейсов в зависимости от модели. В итоге у нас должно оказаться четыре порта для пяти-портовых или девять для десяти-портовых устройств, плюс интерфейс wlan1 для устройств с Wi-Fi.
Есть еще вариант объединением интерфейсов на аппаратном уровне, когда один из интерфейсов устанавливается первичным master, а остальные вторичными slave,а в мост добавляется только первичный, но его я рассматривать не буду, т.к. считаю его менее гибким в дальнейшем. Хотя как пишут, аппаратный снижает нагрузку на процессор и увеличивает пропускную способность, но я не заметил огромных нагрузок на процессор и падения пропускной способности.
Address – в поле вводится адрес с маской. Задаем адрес нашего маршрутизатора 192.168.20.254/24 (в меру привычки шлюз в сети всегда назначаю последним адресом, об этой привычке подробней в статье о настройках dhcp)
Network – вводим адрес сети 192.168.20.0
Interface – выбираем из списка bridge_local
Сохраняем (OK). Итак, мы присвоили нашему роутеру на виртуальном интерфейсе bridge_local адрес 192.168.20.254, теперь можно разлогиниться и зайти уже не по MAC, а по IP. Маршрутизатор по этому адресу будет доступен с любого интерфейса кроме ether1.
3 Настройка DHCP сервера
Открываем IP->Pool жмем плюс
Name – pool_local
Addresses – 192.168.20.1-192.168.20.49
Открываем IP->DHCP Servers жмем плюс заполняем как на скиншоте
Name – dhcp_local
Interface – bridge_local
Lease Time – указываем время в формате чч.мм.сс. если указать больше часа 60.00.00 то время отобразится 1d 00:00:00. На начальном этапе лучше оставить 10 минут(можно и меньше), т.к. если будете играть с привязкой IP по MAC быстрей обновиться привязка (без перезагрузок). После окончания, в зависимости от места использования установить большее время, для дома оптимально сутки, для офиса 10 часов, для кафе (Wi-Fi) 30 минут.
Address Pool – pool_local
И отмечаем Add ARP For Leases
Переходим на вкладку Networks жмем плюс
Заполняем. (Это то, что мы будем раздавать клиентам по DHCP)
Address – 192.168.20.0/24 (внимательно, это адрес сети, последний ноль)
Gateway – 192.168.20.254 (адрес нашего маршрутизатора)
Netmask – 24 (маска нашей сети)
DNS Servers – 192.168.20.254 (в качестве dns для клиентов используется маршрутизатор)
NTP Servers – 192.168.20.254 (если установлен пакет NTP, то маршрутизатор можно использовать для синхронизации времени в сети)
Сохраняем. DHCP сервер создан и готов к работе.
4 Настройка Firewall
Главное и я не побоюсь единственное правило для пакетов при настройке Firewall:
«Что НЕ РАЗРЕШЕНО. то ЗАПРЕЩЕНО. »
Ограничимся десятью основными правилами. Открываем IP->Firewall вкладка Filter Rules. Как видим, она у нас пуста, жмем плюс и начинаем создавать правила.
Здесь нам понадобятся две вкладки General и Action
Вкладка General
Chain – input/output/forward То, к каким пакетам будет применяться правило входящие/исходящие/проходящие (перенаправленные) относительно маршрутизатора
Src. Adress – адрес источника пакета
Dst. Adress – адрес назначения пакета
Protocol – используемый протокол передачи
In. Interface – интерфейс на который приходит пакет
In. Interface List – список интерфейсов на который приходит пакет
Connection State – тип соединения invalid/established/related/new/untracked (соединения: не соотнесенное/существующее/Связанное/новое/ детально разберем значения в следующих статьях)
Вкладка Action
Action – действие которое надо применить к пакету. Из действий мы рассмотрим сейчас только accept/drop (разрешить/запретить)
У большинства параметров перед полем ввода есть чекбокс, если его отметить и указать значение, то поле «читается» как «все кроме указанного» ( на вкладке Firewall перед значением будет стоять знак восклицания).
И так первое правило
Разрешаем подключаться к нашему маршрутизатору через telnet, ssh, web, winbox с определенного IP внешней сети
Chain – input
Src. Adress – XXX.XXX.XXX.XXX (адрес с которого мы разрешим подключение)
Dst. Adress – XXX.XXX.XXX.XXX (внешний адрес маршрутизатора, можно неуказывать)
Protocol – tcp (протокол по которому происходит соединение, то же можно не указывать. После сохранения, перед названием протокола появляется его номер)
Dst. Port – 22,23,80,9821 (несколько портов вводится через запятую без пробела. То же можно не указывать)
In. Interface – ether1 ( на этом интерфейсе мы будем настраивать доступ к провайдеру, в принципе и его можно не указывать
Вкладка Action
Action – accept (разрешаем доступ)
Сохраняем. Вы спросите зачем я указал столько параметров и во всех кроме первого написал можно не указывать? Ну во первых, следующие правила я не буду расписывать, вы их увидите на скриншоте. Во вторых при использовании всех полей понятней для чего конкретно служит правило. В третьих, если вы открываете скажем доступ к маршрутизатору со своего рабочего места с белым IP адресом используемым исключительно вами, достаточно будет указать IP источника, но если вы хотите получать доступ к маршрутизатору из общественных сетей то разрешения необходимо давать узкие и желательно менять стандартные порты (о портах в следующий раз).
И так первое правило создали, разрешили доступ из дома к работе.
Второе правило, разрешает доступ к маршрутизатору с любого интерфейса добавленного в bridge_local, т.е. из локальной сети. Главное его ни когда не отключать. При работе маршрутизатора в общественном месте (офис, кафе), рекомендуется убрать общественные интерфейсы такие как wlan из разрешенных для доступа к маршрутизатору. Или, если доступ производится с одного рабочего места, установить значение Src. Adress
Третьим правилом разрешаем все входящие соединения на порт 53 по протоколу udp с любых интерфейсов добавленных в bridge_local. Разрешаем устройствам локальной сети пользоваться dns сервером на нашем маршрутизаторе
Четвертое разрешает icmp (ping) с любого интерфейса.
Пятое разрешает все пакеты существующих соединений.
Шестое разрешает все пакеты связанных соединений.
Теперь надо настроить правило трансляции адресов. Переходим на вкладку NAT (Network Address Translation), нажимаем плюс, использовать будем те же вкладки General и Action.
Вкладка General
Chain – srcnat (обрабатываются пакеты из внутренней сети во внешнюю)
Out. Interface – ether1 (обрабатываются пакеты отправленные на интерфейс ether1)
Вкладка Action
Action – masquerading (подменяем всем пакетам внутренний серый ip на внешний белый)
Далее переходим на вкладку Service Ports, выделяем все (Ctrl+A) и нажимаем красный крест (отключаем все сервисные порты)
На этом начальная настройка Firewall закончена.
5 Настройка WLan
Я не буду подробно описывать настройку в этой статье. Для старта настроек не много. Позже я планирую написать статьи с детальным описанием настроек основных интерфейсов и функций.
Переходим в Wireless.
Сначала переходим на вкладку Security Profiles, жмем плюс и создаем новый профиль. Название как хотите, ключи (пароли) не менее восьми знаков одинаковые оба, остальное как на скриншоте
Переходим на вкладку Interfaces где у нас присутствует один интерфейс wlan1. Если он не активен, активируем его (выделяем и нажимаем синюю галочку), далее двойной клик на интерфейсе. Справой стороны жмем кнопку Advanced Mode (расширенный режим) и устанавливаем параметры
Вкладка General
Name – wlan1 (Можно оставить можно переименовать)
ARP – proxy-arp
Вкладка Wireless
Вкладка Advanced
Distance – выбираем indoors
Вкладка HT
Отмечаем все чекбоксы у TxChains и Rx Chains
Вкладка TX Power
Tx Power Mode – all rates fixed
Tx Power – 15 dBm
6 Настройка доступа к провайдеру
Итак. Если я ни чего не забыл, а я могу, то нам осталось настроить соединение с провайдером. Учитывая что вариантов больше одного, решил остановиться на двух, которые в большинстве случаев (по крайней мере у нас в городе) являются основными, статическое и динамическое назначение. А вот настройку VPN мы рассмотрим в одной ближайшей (отдельной) статье. Почему именно так? Просто статья и так уже содержит много букв, и не буду усугублять.
Динамическое подключение (Получение настроек от провайдера по DHCP).
Переходим IP->DHCP Client. Жмем плюс. Выбираем в поле Interface наш интерфейс, смотрящий в сторону провайдера, в данном случае ether1. Под полем Interface есть два чек бокса Use Peer DNS и Use Peer NTP. Они отвечают за получение от провайдера адресов DNS и NTP серверов. Мой провайдер не выдает адреса NTP серверов, поэтому отметку с чек бокса я снял и использую локальный NTP. Сохраняем. Проверяем получили ли адрес от провайдера
Во вкладках DHCP Client и Address List у нас появился назначенный интерфейсу ether1 адрес. На вкладке Address List у назначенного адреса в первом столбце есть флаг D, который означает что адрес присвоен автоматически (DHCP).
Переходим IP->DNS. В поле Dynamic Servers у нас должны появиться адреса DNS сервера(ов) которые выдал нам провайдер. В верхнее поле Servers мы можем добавить любой DNS на свое усмотрение. Зачем? Об этом в следующих статьях. Так же обязательно отмечаем чек бокс Allow Remote Request. Сохраняем.
Статическое подключение (Ввод полученных настроек вручную).
Используем настройки выданные нам провайдером (адреса придуманы для примера):
IP 40.50.60.70
Mask 255.255.255.0 (24)
Gateway 40.50.60.1
DNS 40.50.61.2 и 40.50.61.3
Для настройки используются три вкладки, Address List, DNS Setting и Route List.
В Address List в поле Address вводим адрес и маску, в поле Network сеть, в поле Interface выбираем интерфейс смотрящий в сторону провайдера ether1. Сохраняем
В DNS Setting в поле Servers вводим адрес DNS. Для того что б ввести второй адрес необходимо нажать на стрелку вниз справа от поля. Сохраняем.
В Route List нам надо добавить Gateway (шлюз). Сохраняем.
В итоге Address List, DNS Setting и Route List будут выглядеть так
На этом начальная настройка закончена. Как обещая в самом начале, показываю откуда берутся настройки на вкладке быстрой настройки Quick Set.
На этом первоначальная настройка выполнена. Ждите продолжение.