Mikrotik RB951G-2HnD Настройка работы : Железо

Впервые столкнулся с Mikrotik-ом.

Сначала думал - да всё просто, что там!
Выяснилось, что не совсем так.
В частности - совсем не понимаю, почему при выключении WiFi устройство перестаёт работать.
Поэтому решил попробовать описать - что делается, как, возможно - почему, что получается, что нет.

Так вот, по порядку.
На самом деле - первоначально была куплена IP-АТС Panasonic.
При "выпуске" АТС в локальную сеть и подключении IP-телефона в локальной сети - всё прекрасно работает.
Если ли же любое из устройств - станция или телефон - находится за NAT - то слышимость на одной из сторон (т.е. на телефоне - слышно, что говорит собеседник, но он не слышит тебя; либо - наоборот).

Т.к. телефон не может сам установить VPN-соединение, то - решено было попробовать использовать два микротика для:
Микротик-1 - VPN-сервер
Микротик-2 - VPN-клиент (по типу "объединение офисов").

Все настройки - делаются через Web-интерфейс.
Не забываем, что в данном случае маски подсетей пишутся не в виде: xxx.zzz.yyy.ccc, а в виде /nn

[spoil=Для памяти - таблица масок]

• 0 - 0.0.0.0
• 1 - 128.0.0.0
• 2 - 192.0.0.0
• 3 - 224.0.0.0
• 4 - 240.0.0.0
• 5 - 248.0.0.0
• 6 - 252.0.0.0
• 7 - 254.0.0.0
• 8 - 255.0.0.0
• 9 - 255.128.0.0
• 10 - 255.192.0.0
• 11 - 255.224.0.0
• 12 - 255.240.0.0
• 13 - 255.248.0.0
• 14 - 255.252.0.0
• 15 - 255.254.0.0
• 16 - 255.255.0.0
• 17 - 255.255.128.0
• 18 - 255.255.192.0
• 19 - 255.255.224.0
• 20 - 255.255.240.0
• 21 - 255.255.248.0
• 22 - 255.255.252.0
• 23 - 255.255.254.0
• 24 - 255.255.255.0
• 25 - 255.255.255.128
• 26 - 255.255.255.192
• 27 - 255.255.255.224
• 28 - 255.255.255.240
• 29 - 255.255.255.248
• 30 - 255.255.255.252
• 31 - 255.255.255.254
• 32 - 255.255.255.255

[/spoil]

Подключаемся к lan-сети Mikrotik-а.
На самом деле - это тоже допущение.
По умолчанию - Ehternet1 - Wan, Ehternet2-Ehternet5 - Lan.
Адрес получаем по DHCP (либо "руками" пишем адрес из диапазона 192.168.88.2 - 192.168.88.254).
Пишем - 192.168.88.1 в адресной строке, и подключаемся с именем admin (пока пароля нет)

В результате - видим примерно такой UI (смотри миниатюру)

Миниатюры

 

Не очень понял, проблема в том, что голосовая телефония не работает? Просто я с Linksys SPA-3102 бодался, в итоге вывод - либо пользоваться STUN-сервером провайдера, к которому подключаются оба абонента, либо налаживать gateway на рутере, который позволит пропускать поток в обе стороны (т.е. не только NAT, но и DNAT). В качестве бонуса у меня в рутере (не на штатной прошивке) автоматическая обработка SIP-потока.
Вариант с VPN, конечно, прикольнее... Безопаснее, как минимум.
Прошивки все обновлял?

Поскольку сам наметил себе этот девайс в кандидаты на следующий рутер, очень интересно.
Никакого опыта использования нет. Одни вопросы :)
Почему страну не указал в вайфае? Зачем тебе режим рутера, если, судя по адресу, WAN локальный? Это провайдер тебе такие уродские адреса выдает или перед микротиком кто-то еще торчит из твоих железок?

Там другая байда...
IP-телефония не от провайдера.
Есть офисная цифровая АТС Panasonic TDA (не помню цифры).
Поставлена взамен обычной офисной аналоговой KX TA-308.
Соответственно - "входящая" телефония обычная, "аналоговая".
К станции - подключены обычные аналоговые телефоны.
Но - так как станция уже чуть-чуть умнее, то она может подключать IP-телефоны (системные телефоны с Ethernet-ом).
Была замена АТС для того, что бы можно было поставить в удалённом офисе этот телефон, который (при выводе АТС "в интернет") найдёт АТС и будет работать как обычный "местный" телефон.
Те люди, что продавали - утверждали, что так всё и будет работать, при чём - легко.
При монтаже и запуске было сказано - "да, только она (станция) NAT-ить не может". И вроде бы - что-то про UPD-пакеты говорилось.
В общем - результат такой, что - при подключении АТС в локальную сеть и включении в неё же (в локальную сеть) IP-телефона - телефон находит АТС, регистрируется и работает.
При выводе АТС "в интернет" (сажаю "голой попой" наружу, благо есть несколько внешних IP) - то телефон так же находит АТС (явно указываю внешний IP), регистрируется, но - связь односторонняя (те есть либо слышишь только ты, либо только тебя. Не помню - находили при этом какую-то зависимость - когда слышно только тебя, когда - наоборот - слышишь только ты). В добавок - через пару часов на станцию начинают атаки (видимо, связанные с попытками зарегистрировать свой IP-телефон и организовать очень выгодный переговорный пункт).

В общем - решили попробовать сделать "объединение офисов через VPN", с тем, что бы телефон и АТС оказались в одной сети, будучи физически разделёнными (Если бы сам IP-телефон мог устанавливать VPN-соединение, то - всё было бы просто. Но увы, этого нет).

Проблема в том, что телефон тоже не должен быть за NAT. Суть в том, что пакеты UDP (не UPD все же) должны свободно ходить в обе стороны. В этом и прикол. Либо STUN-сервер снаружи, который видят обе точки. Поэтому-то при высаживании АТС "голой попой" связь односторонняя. Телефон не виден. Высади телефон "попой" и заработает, правда, да, ломать будут не по детски. Согласен, VPN в данном случае - выход, но, думаю, более правильно сделать STUN-подключение и указать его в телефоне. Это позволит не поднимать VPN на каждой точке, где захочешь телефон поставить снаружи.

Точно так же никакого опыта.
Поэтому решил поднять эту тему здесь, с пошаговым описанием и иллюстрациями - что и как.

Эти настройки - из коробки (единственное - я "поднял" версию прошивки до последней).
Т.е. Wan - получен по DHCP (из моей внутренней сети).
Вложения:
Как выглядит главное меню входа (мы можем войти либо в Web-интерфейс, либо в Telnet). Мне проще через Web, поэтому (пока?) всё пытаюсь сделать в нём.
Понятно, что первым делом меняю настройки WiFi (выбираем страну).
Всегда после изменения - не забываю делать Apply
Потом - ставим часовой пояс
Опять же - Apply и говорим, с какого сервера синхронизируем время.
Указание сервера по имени - не работает, поэтому - сначала узнаю IP-адрес сервера времени time-a.nist.gov - 129.6.15.28, потом - меняю mode на unicast, ставлю этот адрес для синхронизации времени.
Опять же - Apply, и смотрим, что время - верное.

Миниатюры

         

Ну да, прикол именно в этом.
Пошёл читать, что такое STUN-сервер, STUN-подключение.

А поднятие VPN в каждой точке - вот и хочется за счёт сравнительно не дорогого mikrotik-а - решить эту проблему :)

Ну, просто VPN кому-то неудобен, у кого-то рутер уже есть и т.п. Сузить количество раздаваемого оборудования до телефона - плюс, как мне кажется.
Ты загляни в настройки линии в телефоне (кстати, какой он?), там STUN есть? Я пока не видел ни одного войсового телефона без этой настройки.

IPSEC не канает?
какой vpn юзаете?
PPTP?l2TP?IPSEC?OPENVPN?

На текущий момент нет ничего.
Ну, точнее говоря - есть "полуживой" PPTP-сервер в связке с Traffic Inspector, ограниченном по пользователям (а там свои сложности уже при работе с TI).

Мысль (пока) такая:
Микротик-1 - в офисе, поднять на нём VPN-сервер
Свой внешний IP.
Локальная сеть - типа 192.168.10.1/17
В ней - только АТС (будет ещё как минимум одно устройство на стадии настройки/проверки - для понимания работоспособности)

Микротик-2 - "где-то снаружи".
Локальная сеть - типа 192.168.20.1/17
В ней - только телефон (будет ещё как минимум одно устройство на стадии настройки/проверки - для понимания работоспособности)

Микротик-2 устанавливает VPN-соединение с Микротик-1, при этом происходит "объединение" сетей (т.е. всем устройствам из подсети "за" Микротик-1 - 192.168.10.1/17 - доступны все устройства из подсети "за" Микротик-2 - 192.168.20.1/17 и наоборот - из 192.168.20.1/17 доступны все устройства из 192.168.10.1/17).
На сколько я понимаю (здесь уже могут пойти мои ошибки понимания) - это делается за счет создания "объединённой подсети" типа 192.168.30.1/24 (как я понял - возможен вариант и без создания этой "объеденной подсети" за счет прописанных таблиц маршрутизации???).