Virtual ethernet mikrotik что это

Обновлено: 07.07.2024

Сетевая операционная система Mikrotik RouterOS, имеет огромное количество всевозможных функций и дополнительных возможностей. И вот, одной из таких достаточно полезных, но при этом загадочных функций, является MetaRouter. А загадочная она потому, что о ней очень мало информации, особенно на русском языке. Так что сегодня, мы постараемся приподнять завесу этой загадочности.

Так что же такое MetaRouter? А это не что иное, как система виртуализации. Другими словами - виртуальная машина на базе операционной системы. Создав виртуальный маршрутизатор, при помощи MetaRouter, вы можете сделать отдельную, полностью изолированную конфигурацию, работающую независимо от конфигурации физического маршрутизатора.

Управление данной функцией, осуществляется через одноименный раздел утилиты Winbox или же, web-интерфейса устройства работающего под управлением RouterOS.

Для того, что бы создать виртуальный маршрутизатор, в окне MetaROUTER, нужно воспользоваться кнопкой +.

Здесь мы должны указать имя виртуальной машины, в поле Name, а так же, выделить для ее работы часть оперативной и Flash памяти.

После создания виртуального образа, нужно перейти на вкладку Interfaces и указать интерфейсы, которые будут работать под его управлением. Причем это могут быть как физические инетрфейсы, например ether4 и ether5, так виртуальные на базе локального моста (Bridge).

Добавляется новый порт, кнопкой +. После чего, мы выбираем к какому из виртуальных образов, мы добавляем порт - поле Virtual Machine и его тип, dynamic или static.

При этом, если мы “отдаем” данному маршрутизатору наши физические интерфейсы, то мы выбираем их из списка Static Interface.

А если же, создаем виртуальный, то выбираем в какой из локальных мостов, он будет входить.

После того, как виртуальный маршрутизатор создан и нужные интерфейсы добавлены, мы можем увидеть их в основном списке интерфейсов.

Управление виртуальным маршрутизатором, осуществляется в окне его свойств. Здесь можно получить доступ с командной строке (кнопка Console), можно остановить или запустить его (кнопки Start и Shut down) или же перезагрузить (кнопка Reboot). А так же, получить информацию о его состоянии, используемом пространстве памяти и т.д.

Доступ к настройкам конфигурации виртуального маршрутизатора, можно получить, как и в случае с физическим устройством, посредством утилиты Winbox, через web-интерфейс, telnet, SSH и даже посредством собственного программного обеспечения, работающего с RouterOS API. Одним словом, это полноценный маршрутизатор.

Однако, это отнюдь не все возможности и преимущества виртуальной машины MetaRouter. Более интересен тот факт, что в качестве операционной системы для виртуального маршрутизатора, можно использовать не только Mikrotik RouterOS, но и специально собранные образы других систем на базе ядра Linux. Так, например, можно самостоятельно собрать образ популярной сетевой операционной системы OpenWRT, с необходимым вам набором пакетов, и установить его в MetaRouter. Или же, скачать уже готовый образ.

Давайте рассмотрим как это сделать. Для начала мы возьмем уже собранный имидж OpenWRT, который можно свободно найти в сети Интенет. И зальем файл openwrt-mr-mips-rootfs-18961.tar.gz на маршрутизатор, в раздел Files.

После чего, переходим в раздел меню MetaROUTER и нажимаем на кнопку Inport Image. Где из выпадающего списка File Name, выбираем файл имиджа. После чего, нажимаем кнопку Start и ждем окончания процесса создания виртуального роутера и установки в него операционной системы.

По завершению которого, мы можем увидеть вновь созданный виртуальный маршрутизатор в общем списке.

После чего, по аналогии с действиями описанными выше, мы добавляем интерфейсы на вкладке Interfaces и можем приступать к настройке OpenWRT. Сделать это можно при помощи командной консоли (командной строки), вызвать которую, можно в свойствах виртуальной машины, нажав на кнопку Console.

Здесь же, можно перезагрузить, остановить или запустить виртуальный образ, при помощи соответствующих кнопок.

И именно таким образом, благодаря функции MetaRouter, можно значительно расширить функционал операционной системы Mikrotik RouterOS. Например, чаще всего, она используется для обеспечения работы интернет телефонии (VoIP), путем установки популярного свободно распространяемого программного обеспечения Asterisk. Или же, для поддержки популярного proxy сервера squid, который так же может быть установлен на OpenWTR.

VLAN (Virtual Local Area Network) позволяет в коммутаторах или роутерах создать несколько виртуальных локальных сетей на одном физическом сетевом интерфейсе. Простой и удобный способ разделения трафика между клиентами или базовыми станциями, использование VLAN.

Технология VLAN заключается в том, что к сетевому кадру (2-й уровень) прибавляется дополнительный заголовок tag, который содержит служебную информацию и VLAN ID. Значения VLAN ID могут быть от 1 — 4095. При этом 1 зарезервирована как VLAN по умолчанию.

При работе с VLAN важно понимать, что такое тегированный и нетегированный трафик. Тегированный трафик (с идентификатором влана) в основном идет между коммутаторами и серверами. Обычные же компьютеры (особенно под управлением ОС Windows) не понимают тегированный трафик. Поэтому на тех портах, которые смотрят непосредственно на рабочие станции или в сеть с неуправляемым коммутатором, выдается нетегированный трафик. Т.е. от сетевого кадра отрезается тег. Это также происходит, если на порту настроен VLAN >

Также существует понятие, как trunk (Транк). Транком называют порты коммутатора, по которым идет трафик с разными тегами. Обычно транк настраивается между коммутаторами, чтобы обеспечить доступ к VLAN с разных коммутаторов.

Использование VLAN на оборудовании Mikrotik

Роутеры и коммутаторы Mikrotik поддерживают до 250 VLANs на одном Ethernet интерфейсе. Создавать VLAN его можно не только на Ethernet интерфейсе, но и на Bridge, и даже на туннеле EoIP. VLAN может быть построен в другом VLAN интерфейсе, по технологии “Q-in-Q”. Можно делать 10 и более вложенных VLAN, только размер MTU уменьшается с каждым разом на 4 байта.

Разберем использование VLAN на примере. Задача:

  • Создать VLAN для HOTSPOT (172.20.22.0/24)
  • Создать VLAN для VIOP-телефонии (172.21.22.0/24)
  • Изолировать сети 172.20.22.0/24, 172.21.22.0/24 друг от друга и от доступа в сеть 10.5.5.0/24
  • Назначить Ether2 порт, на работу в сети 172.20.22.0/24 (VLAN)
  • Назначить Ether3, Ether4 на работу в сети 172.21.22.0/24 (VLAN)


Создание VLAN интерфейсов

Создаем VLAN2 (ID=2), VLAN3 (ID=3) и назначаем их на Bridge интерфейс LAN. Интерфейс LAN будет выступать в качестве Trunk соединения.

В статье приведу результат решения задачи по организации маршрутизации между виртуальными машинами на VMware с использованием MikroTik CHR, причем с организацией доступа по VPN до виртуальных машин из внешней сети.

Введение

Определим исходную задачу:

  1. В наличии сервер с объемом памяти 96 Гб, 24 CPU и 22 TB дискового пространств
  2. К серверу подключены 2 линии:
  • одна служит для менеджмента и управления VMware;
  • со второй приходят два VLAN — один для доступа во внутреннюю сеть организации и с выходом в интернет, со второго приходят реальные адреса.

Для того, чтобы больше не использовать адресное пространство организации необходимо внутри сервера для ресурса из 3 виртуальных машин определить собственное адресное пространство и закрыть ресурс для доступа других ресурсов из 3 машин.

Необходимо блокировать трафик с виртуальных машин, который идет не на прокси организации.

Каждый ресурс из трех виртуальных машин предназначен для одного человека, ему также необходимо предоставить доступ для работы из дома.

На сервере стоит VMware ESXi 6, для маршрутизации будет использоваться MikroTik CHR 6.42

Настройка VMware

Как уже определили на сервер приходят два VLAN, один будет служить для доступа виртуальных машин в сеть организации и доступа в интернет через прокси организации, второй необходим для наличия реального адреса и доступа к виртуальным машинам из вне.

Средствами VMware на виртуальном свитче создадим отдельные интерфейсы:


В итоге получаем следующую настройку для виртуальной машины с MikroTik CHR:


Настройка MikroTik CHR

Первоначально определим понятные названия интерфейсов и дадим комментарии для понимания какой интерфейс какому пулу виртуальных машин предназначен.

Каждому интерфейсу присвоим IP адрес, в том числе интерфейсу, который будет иметь реальный адрес.

Определим набор сетей. В каждом пуле машин на одной виртуальной машине установлен Windows Server 2012 на котором настроен AD и DNS, поэтому для каждой сети IP адрес этой виртуальной машины будет выступать в качестве DNS.

Для каждого интерфейса определим пул адресов, который будет выдавать DHCP сервер и активируем Add ARP For Leases. Тем самым препятствуя ручному назначению IP адреса для виртуальной машины.

Add ARP For Leases — Создаёт в таблице ARP записей сопоставление MAC — IP для клиентов получивших аренду у DHCP и позволяет совместно с IP/ARP организовывать MAC фильтрацию на микротик.

Так как необходимо обеспечить доступ к виртуальным машинам из сети Интернет, то сразу подготовим пул адресов для клиентов, когда они будут подключаться через L2TP/IPsec.

В новых версиях RouterOS появилась возможность создавать списки, поэтому все локальные интерфейсы объединим в один список для облегчения настроек firewall.

Определим список IP адресов прокси и в правилах firewall укажем, что трафик со всех локальных интерфейсов, если он не идет на адреса прокси, будет блокироваться. Сразу укажем правило для запрета ICMP и заблокируем трафик между локальными интерфейсами.

Также определим NAT, в котором весь трафик с локальных адресов будет выходить через интерфейс, который смотрит в сеть организации.

Настройка MikroTik CHR:L2TP/IPsec

Для организации доступа из внешней сети активируем L2TP сервер и создадим для каждого пользователя свои учетные данные и собственный интерфейс. Каждый пользователь сможет создавать только одно соединение одновременно. Так как, часть пользователей использует Windows 10, то в настройках безопасности дополнительно активируем 3DES алгоритм шифрования.
В настройках firewall укажем, что каждый пользователь может обращаться только в свою сеть (на конкретный локальный интерфейс) по определенным портам (RPD и SSH) и заблокируем любой другой трафик. Дополнительно разрешим доступ для l2tp с интерфейса, который имеет реальный адрес.
Для облегчения нагрузки на сеть организации для каждого пользователя сделаем ограничение в скорости.
В итоге получаем следующие настройки, приведу часть настроек для одного пользователя.

Помимо настройки соединения на домашней машине клиента, дополнительно клиент прописывает маршрут до разрешенной ему сети, однако, благодаря правилам firewall, если клиент указал маршрут не до своей сети, то до виртуальных машин указанной сети он доступ получить не сможет.

Маркировка трафика

SSH block list

Так как у нашего MikroTik имеется реальный адрес, то возникают попытки подбора пароля со стороны сети Интернет по протоколу SSH, поэтому в firewall добавим ряд правил для блокировки таких IP адресов.

На момент создания данной статьи в списки блокировок было порядком 400 адресов.

Итого

В итоге получаем на выходе настроенный виртуальный mikrotik, который выполняет маршрутизацию трафика, обеспечивает возможность подключения со стороны Интернет по l2tp/ipsec и обладает настройками firewall для разграничения пользователей и интерфейсов.

Спасибо gecube. Для MikroTik CHR необходимо приобретать лицензию, иначе каждый интерфейс ограничен скоростью 1 мбит, либо можно активировать trial на 60 дней с полным функционалом. Стоимость и градация лицензий.. Безлимитная лицензия ограничивается только скоростью ваших интерфейсов.

Функция VLAN (Virtual Local Area Network) позволяет создать несколько виртуальных интерфейсов на одном физическом сетевом интерфейсе. С помощью VLAN можно разделять или объединять сегменты локальной сети, независимо от ее физической топологии. О том, что такое виртуальная локальная сеть, доступно написано в статье что такое VLAN.

В этой статье мы рассмотрим пример разделения гостевой Wi-Fi сети и Wi-Fi сети предприятия с помощью VLAN. Будет подробно описана настройка VLAN в роутере MikroTik и Wi-Fi точке доступа EnGenius.

Описание задачи: Есть локальная сеть предприятия, к которой подключены компьютеры по кабелю и ноутбуки по Wi-Fi. В комнате для совещаний нужно предоставить свободный доступ (HotSpot) к интернету по Wi-Fi, но в целях безопасности требуется изолировать гостей от сети предприятия.

Для решения задачи понадобится оборудование с поддержкой функции VLAN. В примере будет использоваться следующее оборудование:

Рассмотрим упрощенную схему локальной сети предприятия.Кабель провайдера с интернетом подключается к роутеру. К роутеру по сетевому кабелю подключены компьютеры предприятия . Также к маршрутизатору подключена физически одна Wi-Fi точка доступа. На ней созданы две виртуальные Wi-Fi точки с названиями Office и HotSpot. К Office будут подключаться по Wi-Fi ноутбуки предприятия, а к HotSpot — гостевые ноутбуки для выхода в интернет.

Схема разделения сети с помощью VLAN

Wi-Fi точка HotSpot изолирована в отдельную виртуальную сеть с названием VLAN2. Сеть предприятия не будем выносить в отдельный VLAN, чтобы не усложнять схему и настройку.

1. Настройка MikroTik VLAN

Приступим к настройке оборудования. В первую очередь настроим роутер MikroTik RB750.

1.1 Сброс настроек роутера

Настройку роутера MikroTik будем выполнять с чистой конфигурации. Поэтому полностью сбросим конфигурацию роутера через программу Winbox:

Сброс конфигурации MikroTik

После перезагрузки роутера откройте Winbox, и в появившемся окне нажмите кнопку Remove Configuration для очистки конфигурации.

Очистка конфигурации MikroTik

1.2 Настройка WAN порта

Настроим WAN порт роутера, к которому подключен кабель провайдера. Как выполнить статические настройки или PPPoE можете посмотреть в статье настройка роутера MikroTik. В нашем случае маршрутизатор получает настройки от провайдера автоматически по DHCP, поэтому делаем динамическую настройку:

Настройка WAN порта MikroTik

После этого в столбце IP Adress появится IP адрес WAN порта, полученный от провайдера.

Получение IP адреса по DHCP MikroTik

Проверяем наличие соединения с интернетом:

Пошли пинги по 20ms, значит есть соединение с интернетом. Завершаем выполнение ping нажатием клавиш Ctrl+C.

ping MikroTik

Внимание! На компьютерах, подключенных к роутеру MikroTik, интернет не будет работать, пока не будет выполнена настройка NAT.

1.3 Объединение LAN портов в Bridge

Чтобы компьютеры офисной сети, подключенные по кабелю к разным LAN портам роутера, могли связываться друг с другом, объединим порты роутера в мост Bridge.

Добавляем интерфейс Bridge:

Объединение портов MikroTik в Bridge

Добавляем LAN порты в Bridge:

Добавляем LAN порты в Bridge

Добавьте аналогичным образом в bridge_main порты ether3, ether4 и ether5. В итоге у вас должен появиться список портов, как на рисунке ниже.

Список портов Bridge

1.4 Добавление VLAN интерфейса

Создадим на интерфейсе bridge_main виртуальный интерфейс с названием vlan2, который позволит изолировать Wi-Fi точку HotSpot от сети предприятия.

Добавление VLAN интерфейса в MikroTik

Настройка VLAN MikroTik

Назначение IP адресов локальным сетям

Компьютеры сети предприятия и гостевой будут находиться в разных подсетях. Сеть предприятия будет использовать подсеть 192.168.88.1/24, а гостевая сеть 192.168.10.1/24. Настроим IP адреса локальных сетей.

Настройка IP адреса сети предприятия:

Назначение IP адреса сети предприятия

Настройка IP адреса гостевой сети:

Назначение IP адреса гостевой сети

1.5 Настройка пула адресов

Компьютерам сети предприятия и гостевой сети будем по DHCP присваивать IP адреса из разных подсетей. Сеть предприятия будет использовать диапазон 192.168.88.2–192.168.88.254, а гостевая сеть 192.168.10.2–192.168.10.254. Зададим с помощью пула диапазоны IP адресов.

Добавляем диапазон IP адресов предприятия:

Настройка пула IP адресов предприятия

Добавляем диапазон IP адресов гостевой сети аналогичным образом:

IP адресов хотспота

1.6 Настройка DHCP серверов

Чтобы компьютеры получали сетевые настройки автоматически, необходимо настроить DHCP сервера. Поскольку у нас будут две сети, то нужно настроить два DHCP сервера.

Настраиваем DHCP сервер внутренней сети предприятия:

Настройка DHCP сервера предприятия

Настраиваем DHCP сервер гостевой сети аналогичным образом:

Настройка DHCP сервера хотспота

Теперь переходим на вкладку Networks и добавляем наши сети:

Добавляем сеть предприятия:

Сеть офиса

Добавляем гостевую сеть:

Сеть хотспота

1.7 Настройка DNS сервера

Настройка DNS сервера MikroTik

1.8 Включение NAT

Чтобы компьютеры имели выход в интернет, нужно настроить NAT для двух сетей.

Настройка NAT для внутренней сети предприятия:

Настройка NAT MikroTik

Параметры NAT MikroTik

Настройка маскарадинга MikroTik

Настройка NAT для гостевой сети выполняется аналогичным образом, только используется другой диапазон IP адресов и порт vlan2:

1.9 Изоляция подсетей

Чтобы компьютеры из офисной сети и сети хотспота не видели друг друга, нужно изолировать подсети. Это можно сделать двумя способами: через Firewall или правила маршрутизации Route Rules. Мы опишем, как изолировать подсети в MikroTik с помощью Route Rules.

Изоляция подсетей в MikroTik

Добавляем второе правило аналогичным образом, только меняем местами подсети.


Настройка роутера MikroTik для использования VLAN выполнена. Теперь приступим к настройке точки доступа EnGenius EAP150 с поддержкой VLAN.

2 Настройка EnGenius VLAN

Подробная инструкция по настройке точки доступа EnGenius EAP150 описана в статье настройка точки доступа EnGenius EAP150. Мы остановимся на основных моментах настройки устройства.

Подключаем точку доступа к компьютеру, заходим в ее Web-интерфейс по IP адресу 192.168.1.1. Вводим Username: admin, Password: admin и приступаем к настройке.

2.1 Создание двух виртуальных Wi-Fi точек

EnGenius: Настройка режима Access Point

EnGenius: Настройка Wi-Fi точек

2.2 Настройка безопасности

На Wi-Fi точку Office нужно установить пароль для подключения к внутренней сети предприятия.

EnGenius: Настройка безопасности

Ко второй Wi-Fi точке HotSpot будем предоставлять доступ без пароля.

2.3 Настройка VLAN виртуальной точки HotSpot

Как вы помните, в роутере MikroTik создан виртуальный интерфейс vlan2 с идентификатором 2. Чтобы связать Wi-Fi точку HotSpot с интерфейсом роутера vlan2 , нужно точке HotSpot также присвоить идентификатор 2.

EnGenius: Настройка VLAN

2.4 Настройка LAN

Можно использовать статические или динамические сетевые настройки LAN порта. Мы введем статические настройки сети, чтобы сразу знать, на каком IP адресе будет находиться точка.

EnGenius: Настройка LAN

DHCP сервер MikroTik: Определение IP адреса по MAC адресу

Теперь можно отключить Wi-Fi точку доступа EnGenius от компьютера и подключить в любой порт роутера MikroTik.

Подключитесь по очереди к Wi-Fi точкам Office и HotSpot, проверьте работу интернета и какие IP адреса присваиваются клиентам.

Описанная задача и процесс настройки разделенной гостевой сети и сети организации часто применяется в кафе, ресторанах, торговых центрах и гостиницах. Надеемся, данная инструкция поможет вам в решении аналогичных задач.

Читайте также: