MikroTik RB751G-2HnD — зверь-машина в умелых руках

По умолчанию настройки роутера таковы: первый порт используется как WAN-интерфейс, ожидающий получения настроек по DHCP от провайдера, а порты со второго по пятый вместе с точкой доступа объединены в мост, который обслуживает локальную сеть с поднятым DHCP-сервером. Точка доступа называется MikroTik, работает на первом канале в режиме 802.11 b/g/n и не защищена шифрованием. Уже настроен NAT, а LAN-адрес роутера равен 192.168.88.1. Аккаунт администратора admin не имеет пароля.

Для настройки роутера надо подключиться к любому Ethernet-порту, кроме первого, и отключить все остальные сетевые интерфейсы. Управлять маршрутизатором можно через один из двух веб-интерфейсов, подключение telnet/ssh или, что удобнее всего, через специальную утилиту Winbox для Windows-систем (в Wine тоже работает), которую можно скачать, зайдя в веб-интерфейс по умолчанию (http://192.168.88.1/webfig). Winbox по клику на кнопку с многоточием начнёт искать в сети RouterBoard и предложит подключиться к нему по IP- или MAC-адресу. При подключении утилита предложит загрузить настройки по умолчанию.

Первым делом необходимо обновить прошивку, скачав npk-файл (mipsbe) и просто перетащив его в окно Winbox. При первой перезагрузке (System → Reboot) будут установлены нужные пакеты, а для завершения обновления в System → Routerboard надо нажать кнопку Upgrade. В System → Packages можно отключить ненужные пакеты. Например, вряд ли дома понадобится поддержка IPv6 или MPLS и модуль для организации хот-спота. Проще для настройки воспользоваться вкладкой Quick Set, где выбрать режим Home AP и задать параметры Wi-Fi (802.11, номер канала, тип связи b/g/n, шифрование, списки доступа ACL), WAN-подключения (тип, реквизиты провайдера, MAC-адрес) и локальной сети (адрес роутера, DHCP, NAT, UPnP).

А можно отказаться от настроек по умолчанию и попытаться разобраться самому, как же работает роутер, и получить доступ ко всем его настройкам. Благо дело это не такое уж сложное. На самом деле большинство домашних роутеров работает примерно так же, хотя это и не видно пользователю. Например, для работы локальной сети часть Ethernet-портов (2–5) и Wi-Fi объединяются в беспроводной мост (Bridge), а потом этому интерфейсу назначается IP-адрес (IP → Addresses). Вообще, сетевыми интерфейсами можно управлять как угодно. Например, сделать два WAN-порта.

Альтернативный вариант — использование встроенного коммутатора. В разделе Interfaces для интерфейсов ether3 — ether5 в качестве Master port указывается ether2 и создаётся мост с присвоением IP-адреса, как было показано выше, но в него включаются только ether2 и wlan1. Собственно, в тестах применялся именно этот способ.

Потом настраивается локальный DHCP-сервер (IP → DHCP Server) с помощью мастера DHCP Setup — указывается интерфейс (наш мост), подсеть (та же, что у моста), пул адресов для выдачи, срок аренды, адрес DNS-сервера (опять-таки мост) и так далее. На вкладке Leases можно создать привязки MAC+IP. Пока всё просто. В принципе, можно не настраивать всё с нуля, а подкорректировать нужные параметры. Например, немного повысить производительность Wi-Fi, если у вас нет старых устройств без поддержки 802.11n.

Для начала придётся отредактировать настройки безопасности в Wireless → Security Profiles. Для профиля по умолчанию (default) надо включить WPA2 PSK, AES и задать пароль WPA2 Key. Старые устройства поддерживают только WPA/TKIP. В свойствах интерфейса Mode надо переключить в ap bridge. А ещё полезно включить режим 802.11n only и разрешить работу только 802.11, включить каналы на 40 МГц и выбрать наиболее свободный канал, поменять имя точки доступа (SSID), отключить базовые скорости 802.11b (но лучше не трогать) и включить автокалибровку.

А также включить обе антенны (chain 0+1, antenna a), отключить поллинг nstreme (собственный протокол MikroTik) и уменьшить мощность передатчика до 16–18 дБм (грубо говоря, чтобы точка не «забивала» клиентов). На скриншотах приведён пример такой настройки Wi-Fi — именно его мы будем использовать в тестах. Здесь же можно создать гостевую точку доступа, добавив новый профиль безопасности без шифрования и создав новый интерфейс VirtulAP, который будет его использовать.

Для того чтобы клиенты получили доступ в Сеть, надо включить NAT в разделе IP → Firewall → NAT. Здесь добавляется одно-единственное правило с Chain=srcnat и Action=masquerade. В качестве Src. Address можно указать локальную подсеть. Если провайдер не требует VPN, то через тот же Quick Set можно включить DHCP или прописать IP-адрес. Или же сделать то же самое для внешнего интерфейса в IP → Addresses для статического IP либо включить DHCP-клиент в IP → DHCP Client.

Для VPN-подключения к Сети достаточно добавить соответствующий PPPoE/L2TP/PPTP Client в разделе Interfaces. Остаётся только указать адрес сервера или интерфейс и логин с паролем, а также включить галочки Add default route и Use peer DNS.

Осталось добавить несколько финальных штрихов. Во-первых, прописать в IP → DNS адреса DNS-серверов провайдера, если они не получены автоматически, или какого-нибудь стороннего сервиса и включить галочку Allow Remote Request. Во-вторых, в System → Clock и SNTP Client настроить время и включить синхронизацию с NTP-сервером. В-третьих, убедиться, что Ethernet-порты работают в гигабитном режиме.

В Quick Set не помешает включить UPnP и брандмауэр и убедиться, что всё заработало. Ну и последнее — крайне рекомендуется хотя бы поменять пароль администратора и отключить ненужные варианты доступа к роутеру.

Давайте посмотрим, насколько хорошо всё это сетевое хозяйство справляется с нагрузкой. В качестве тестовых стендов использовались ноутбуки ASUS K42JC (Intel Pentium 6100, 6 Гбайт RAM, Gigabit Ethernet JMicron JMC250) и Panasonic CF-T8 (Intel Core 2 Duo U9300, 3 Гбайт RAM, Gigabit Ethernet Intel 82567LM). Для подключения к беспроводной сети были взяты адаптеры NETGEAR WNDA4100 (WLAN1) и NETGEAR WNDA3100 (WLAN2). Тестирование проводилось с помощью программы Ixia IxChariot 6.7 с профилем High Performance Throughput (см. таблицу ниже) и утилиты iperf 1.7.0.

Производительность локальной сети оказалась вполне приличной. Разве что Wi-Fi периодически переходил на более низкие скорости, что, в общем, нормально. А вот скорости работы с внешней сетью хоть и хороши, но, честно говоря, ожидания были выше. Прямое соединение было в районе 200 Мбит/с. На втором месте — PPPoE со скоростью примерно 130 Мбит/c, а третье место разделили L2TP и PPTP (без MPPE) — около 95–100 Мбит/с.

К USB-порту RB751G-2HnD можно подключить 3G-модем, причём в нашем случае даже не понадобилось указывать какие-либо дополнительные настройки. Для проверки скорости мобильного подключения в сети оператора «Билайн» использовался модем Huawei E173 и — в качестве референса — смартфон Huawei U8800. Результаты, как видите, кардинально не различаются.

Итак, мы рассмотрели простой пример настройки MikroTik RB751G-2HnD и познакомились с частью его функций. С очень малой частью, надо признать, ведь возможности этого замечательного роутера намного шире. Он поддерживает немало протоколов маршрутизации, умеет работать с IPv6 и 3G/4G-модемами, обладает встроенными клиентами и серверами для создания VPN-туннелей, позволяет тонко настраивать правила QoS и брандмауэра, имеет собственный скриптовый язык и планировщик заданий, предоставляет встроенные прокси-сервера SOCKS и HTTP, позволяет быстро развернуть хот-спот и учитывать трафик, есть даже поддержка виртуализации роутера. И это далеко не полный и не самый подробный список возможностей. У MikroTik есть и собственные разработки вроде протоколов беспроводной связи или туннелирования Ethernet, которые тоже поддерживаются роутером.

Это всё, конечно, замечательно, но нельзя не упомянуть о недостатках. По крайней мере в отношении того, что касается обычных домашних пользователей. Во-первых, тут нет и не будет «развлекательных» функций вроде встроенного Bittorrent-клиента, медиасервера и продвинутого файлохранилища. Во-вторых, как и говорилось ранее, настройка всего этого добра не совсем тривиальна. Правда, сказать, что она запредельно сложна, тоже нельзя. В привычных роутерах производитель скрывает от пользователя множество нюансов. В российских прошивках, например, учтены «закидоны» некоторых провайдеров, а то и целых софтверных компаний (не будем показывать пальцем), которые иногда, скажем так, пренебрегают стандартами. Но если что-то не заработает, то пользователь вряд ли сможет самостоятельно решить эту проблему.

Никоим образом не хочется превозносить продукцию MikroTik как идеал. Да-да, в ней тоже бывают баги, и можно нарваться на брак. Но не стоит забывать о самом главном — о цене. MikroTik RB751G-2HnD стоит в России около 2 900 рублей. Есть модель помладше, с Ethernet-портами на 100 Мбит/с и вдвое меньшим объёмом памяти — MikroTik RB751U-2HnD, она примерно на 600 рублей дешевле. Есть более серьёзные и дорогие модели, но в любом случае вряд ли вам кто-то ещё предложит устройства с такими характеристиками за аналогичную цену. Впрочем, тем, кому не по силам возиться с настройками и изучать что-то новое, устройства MikroTik однозначно противопоказаны. Ну а в умелых руках, как было сказано в заголовке, это настоящие зверь-машины.