Starlink REV4 + Mikrotik. Контроль интернет трафика на судне с помощью Микротика

Приветствую! В этой статье предлагаю вам ознакомиться с небольшой инструкцией по настройке роутера Микротик в связке со Старлинком REV4 для использования интернета на судне. 

Сразу скажу, что я не являюсь специалистом в этой области, поэтому могу допускать ошибки. По крайней мере, пишу эту статью из своего личного опыта использования микротика. Если вы найдете ошибки или знаете лучшие варианты настройки микротика, то прошу делиться своими знаниями в комментариях к статье :)

В статье "Starlink на судне. Опыт эксплуатации глобального интернета на судне" я рассматривал вариант контроля интернет трафика с помощью приложений, что не является эффективным способом. Возможно этот способ кому-то и подойдет, по крайней мере мы пользовались таким образом интернетом, а тот трафик, который не учитывался приложениями, мы разделяли по́ровну. 

Когда речь идет о 20ти и более пользователях, то такой вариант точно не подойдет и необходимо использовать дополнительное оборудование. В данном плане очень хорошо себя зарекомендовал маршрутизатор Микротик.

Схема подключения довольно простая. Т.е. мы подключаем микротик к роутеру старлинка, и уже от микротика коннектим наши дополнительные роутеры, свичи, ноутбуки напрямую и т.д.

Роутер Gen 3 Старлинка

Моя схема интернета на судне выглядит так: Роутер Gen 3 Старлинка (Палуба С) - Микротик RB750GR3 (без Wi-Fi модуля) (Палуба С) - Роутер TP-Link 335E 2.4 Hz (Палуба С) - Wi-Fi усилители Cudy 2.4 GHz + MERCUSYS 2.4 GHz (Палуба D + Мостик) - Wi-Fi усилитель Mi Xiaomi 2.4 GHz (Палуба B).

Роутер TP-Link

Таким образом в схеме участвует Микротик, роутер TP-Link и три усилителя Wi-Fi. Усилители Cudy и Mi Xiaomi подключены напрямую к роутеру TP-Link. А усилитель MERCUSYS подключен к усилителю Cudy. Такая схема покрывает все палубы надстройки, при этом на нежилых палубах A (камбуз) и Main Deck также есть интернет, но он слабее чем на остальных палубах.

Усилители Wi-Fi Cudy и MERCUSYS

Усилитель Wi-Fi Mi Xiaomi

Роутер Старлинка в схеме лимитного интернета не участвует, его используем только для безлимитного подключения к интернету. Кроме того для безлимитного интернета усилители приходится перенастраивать на работу от Старлинка.

Усилитель Wi-Fi Cudy AC1200

В статье я рассматриваю Микротик RB750GR3 (без Wi-Fi модуля). Также есть модели с вай-фай модулями, их настройка немного отличается.

Видео по базовой настройке микротика 

На ютубе вы можете найти множество видео по настройке микротиков под разные нужны для разных проектов. Для примера я вам выложил некоторые из них. Они не являются полноценными инструкциями, впрочем как и эта статья, но для получения начальных знаний очень подходят.

Настройка роутера Mikrotik с нуля

Базовая настройка роутеров Mikrotik

Первоначальная настройка Микротика

1. Скачиваем программу WinBox на официальном сайте. Можно также производить настройку через браузер, но лучше использовать WinBox.

2. Подключаем (на вход, первый порт) Mikrotik с помощью лановского кабеля к одному из выходов RJ45 роутера Старлинк. Первый порт (интернет порт) должен быть подключен к роутеру старлинка.

3. Подключаем один из выходов (например, третий выход) Микротика с помощью лановского кабеля к ноутбуку.

4. Включаем питание Микротика.

Первоначальную настройку микротика я делал через кабель, в дальнейшем можно будет использовать Wi-Fi самого старлинка, т.к. микротик уже будет настроен.

5. Запускаем WinBox, во вкладке Neighbors находим наш микротик. Войти в его настройки можно по MAC адресу или по IP 192.168.88.1. Логин по умолчанию "admin", пароль пустой. В дальнейшем, когда все будет настроено, в него можно будет заходить по IP адресу через вай-фай старлинка. Нажимаем "Connect".

Запуск WinBox

6. Сброс настроек. После входа вы увидите окно "RouterOS Default Configuration". Это стандартные заводские настройки маршрутизатора. Эти настройки необходимо скинуть с помощью "Remove Configuration". Также можно сбросить настройки с помощью кнопки Reset на маршрутизаторе. Устройство перезагрузится. Доступ в него после такой операции будет по MAC адресу. Заходим через WinBox в настройки микротика после перезагрузки. 

Кстати, установите свой пароль на микротик в разделе System - Password.

7. Interfaces. Заходим в интерфейсы и видим все доступные интерфейсы в микротике (если у вас есть Wi-Fi модуль, то тут ещё будут интерфейсы 2.4 и 5 ГГц вай-фай).

Интерфейсы микротика

Настраиваем интерфейсы. "Ethernet 1" я назвал ether1-Starlink для удобства. К нему подключен роутер старлинка. "Ethernet 2" - ether2-Router, к нему подключен роутер Tp-Link, "Ethernet 3" - ether3-Laptop, к нему подключен ноутбук. В моем случае ether3 уже не активен, я его выключил, т.к. больше не пользуюсь настройкой микротика через кабель. Порты ether4 и ether5 я также выключил, т.к. ими не пользуюсь.

Важно! От версии микротика и программного обеспечения (прошивки) зависят настройки. В разных версиях они могут отличаться, но примерно одинаковые.

8. Bridge. Заходим во вкладку "Мост" и создаем мост. Нажимаем "плюс" и создаем мост с названием "bridge-hotspot".

Создание моста "bridge-hotspot"

Мост "bridge-hotspot"

Переходим во вкладку "Ports" и добавляем все интерфейсы, кроме первого ether1-Starlink, в наш мост. Для этого нажимаем "плюс", выбираем интерфейс, выбираем мост и "Apply".

ether2-Router добавляем в мост "bridge-hotspot"

Все интерфейсы объединены в мост "bridge-hotspot"

9. IP Addresses. Заходим во вкладку IP - Addresses и создаем IP-сеть. Нажимаем "плюс" и для интерфейса ether1-Starlink устанавливаем 192.168.1.142/24 в сети 192.168.1.0. Для bridge-hotspot устанавливаем 192.168.90.1/24 в сети 192.168.90.0.

IP ether1-Starlink

Внимание! Вы можете использовать другие названия интерфейсов, мостов, хотспотов. Также можете использовать другие IP адреса. В статье названия и IP адреса указаны для примера.

10. IP Pool. Заходим IP - Pool и создаем диапазон IP адресов для наших интерфейсов как на скриншоте ниже. Нажимаем "плюс", вбиваем название пула и диапазон IP адресов. Например, bridge-hotspot-pool будет использоваться для моста bridge-hotspot и будет раздавать IP адреса в диапазоне 192.168.90.2-192.168.90.254. Присваивание пулов будет сделано в настройке DHCP сервера. В этом диапазоне IP адресов будут заходить пользователи в интернет через HOTSPOT. IP адрес 192.168.90.1 - это IP bridge-hotspot - страница входа пользователей в интернет через браузер (на этой странице они будут вводить логин и пароль для входа в интернет).

Диапазон IP адресов для интерфейсов

11. DHCP server. Создаем DHCP сервер, чтобы маршрутизатор мог автоматически раздавать IP адреса в наш мост. Переходим IP - DHCP Server. Нажимаем DHCP Setup и настраиваем наш сервер.

Выбираем bridge-hotspot, адресное пространство (Address Space) 192.168.90.0/24, Gateway - 192.168.90.1. Address pool выбираем bridge-hotspot-pool. Название dhcp1-Bridge.

Создаем DHCP сервер

12. Firewall. Заходим в IP - Firewall. Во вкладке NAT добавляем правило Chain - srcnat, Out. Interface выбираем ether1-Starlink. Вкладка Action выбираем masquerade и Apply.

Firewall NAT

13. DHCP Client. Заходим в IP - DHCP Client и создаем клиент для интерфейса ether1-Starlink.

DHCP Client

На скриншоте видно что наш интерфейс получил IP адрес 192.168.1.142. Этот IP адрес уже будет использоваться для входа в WinBox, а также в RADIUS Server (об этом ниже).

14. DNS. Заходим IP - DNS. Забиваем IP адреса Google (8.8.8.8, 8.8.4.4). Обязательно ставим галочку "Allow Remote Requests" и нажимаем Apply.

Настройка DNS

15. Hotspot. Создаем Hotspot сервер для bridge-hotspot с помощью опции Hotspot Setup. Ниже вы можете посмотреть скриншоты моих настроек сервера и сервер-профиля. Подробно описывать процесс не буду, смотрите видео в разделе RADIUS Server. Важно в профиле сервера установить флажок Use RADIUS.

Hotspot

Hotspot Setup

Hotspot Server Profile

Hotspot Server Profile Login

Hotspot Server Profile RADIUS

В данной статье я буду настраивать профили Hotspot через RADIUS Server. Можно использовать настройки в IP - Hotspot, но здесь для администратора очень мало информации и возможностей. Поэтому я использовал RADIUS Server, который немного сложнее настраивается. 

Ниже вы можете посмотреть настройки пользователей в разделе Hotspot (можно задать логины, пароли, лимиты), есть статистика трафика.

New Hotspot User

New Hotspot User Limits

New Hotspot User Statistics

Для начала вы можете использовать настройки пользователей в Hotspot. Если вам не понравятся возможности администрирования профилей, то рекомендую использовать RADIUS Server.

16. RADIUS Server. Для настройки радиус сервера рекомендую посмотреть видео ниже, т.к. в одной статье уместить всю эту информацию очень сложно. Смотрите видео, если что-то непонятно задавайте вопросы в комментариях. По ходу чтения статьи вы увидите на что необходимо акцентировать внимание.

Видео по настройке RADIUS Server

Дополнительное видео по настройке радиус сервера

При настройке радиус сервера вам понадобится дополнительный пакет User Manager. Проверить его наличие в вашем микротике вы можете в разделе System - Packages.

User Manager

Если у вас нет этого пакета, то как его установить вы можете посмортеть видео ниже.

Установка User Manager в Микротик

После создания Hotspot сервера и профиля сервера необходимо создать Radius Server. Переходим во вкладку RADIUS и нажимаем "плюс". Тут важно создать пароль (в разделе Secret), который потом нужно ввести в Shared secret при создании роутера в Mikrotik User Manager (описано ниже). Ставим галочки "ppp" и "hotspot".

New Radius Server

Во вкладке Incoming ставим галочку Accept.

17. Mikrotik User Manager. Перезагружаем микротик с помощью опции System - Reboot. Дальше через браузер заходим по IP адресу 192.168.1.142/userman (в моем случае). Логин admin, пароль пустой.

Mikrotik User Manager

Здесь уже мы имеем доступ к гибкой настройке всех пользователей, которые подключаются к интернету. Правда сначала этих пользователей необходимо создать.

Заходим во вкладку Routers и добавляем (Add) новый роутер с названием HOTSPOT SERVER. IP адрес 127.0.0.1, Shared secret - это пароль, который использовался при создании радиус сервера.

Router details

Во вкладке Customers можно настроить права админов. Самое главное тут задать пароль входа в Mikrotik User Manager, который был пустой по умолчанию.

Дальше создаем профили (тарифные планы).

Заходим во вкладку Profiles и создаем профили с помощью кнопки "плюс", а во вкладке Limitations создаем ограничения с помощью кнопки Add.

Profiles

Limitations

На скриншоте выше видно что профиль "10 Mbps 10 GB" имеет ограничение на скорость (загрузки или скачивания) всего 10 Мбит/с (1.25 Мбайт/с) и общий трафик 9.3 GiB (гибибайта), что примерно равно 10ти гигабайтам.

После создания профилей и ограничений мы можем их связать между собой в этом же меню.

Profiles & Limitations

Остается только создать пользователей, у которых будут свои логины, пароли, а также ограничения. Для этого переходим во вкладку Users и добавляем пользователей. Здесь всё интуитивно понятно.

Добавление нового пользователя

Здесь нужно указать логин, пароль. По желанию можно указать IP адрес, а также Shared Users (количество устройств на аккаунт). Важно в пункте Assign profile выбрать ранее созданный профиль (тарифный план).

Mikrotik User Manager очень удобное решение для контроля интернет трафика среди членов экипажа. Можно легко задавать тарифные планы, контролировать трафик и даже вести денежные подсчеты.

Mikrotik User Manager — это система управления пользователями, встроенная в устройства MikroTik RouterOS, предоставляющая функциональность для управления доступом к сетевым ресурсам, биллингом и мониторингом. Она особенно полезна для интернет-провайдеров, владельцев хостелов, гостиниц и других организаций, предоставляющих интернет-услуги по модели платного или ограниченного доступа.

Основные возможности MikroTik User Manager:

1. Авторизация и аутентификация:

   • Управление учетными записями пользователей с разными уровнями доступа.
   • Поддержка RADIUS-сервера для централизованной аутентификации пользователей.
   • Аутентификация по MAC-адресу, имени пользователя и паролю.

2. Биллинг и учет трафика:

   • Возможность создания тарифных планов на основе времени, объема трафика или скорости.
   • Подсчет использования трафика, времени подключения и контроль баланса пользователей.
   • Поддержка предоплаченных и постоплаченных тарифов.

3. Поддержка ваучеров:

   • Генерация ваучеров (пин-кодов) для временного доступа к интернету. Часто используется в кафе, гостиницах и других публичных местах.

4. Отчеты и мониторинг:

   • Ведение логов активности пользователей, включая время подключения, объем потребленного трафика и информацию о сессиях.
   • Генерация отчетов для администраторов сети с детальной информацией по пользователям и их активности.

5. Управление группами пользователей:

   • Возможность создания групп пользователей с разными правами доступа и параметрами (скорость, время использования и др.).

6. Поддержка различных протоколов и интерфейсов:

   • Может интегрироваться с HotSpot сервисом для управления доступом через веб-интерфейс.
   • Совместим с различными типами подключения (PPP, PPTP, L2TP, PPPoE, и др.).

7. Интерфейс и настройка:

• Веб-интерфейс для управления, который позволяет удобно администрировать систему без необходимости использования командной строки.
• Возможность экспорта и импорта данных пользователей для резервного копирования.

После того как все настройки выполнены можно использовать интернет по отдельным профилям. 

Авторизация через микротик на телефоне

Меню авторизации на скриншоте выше не установлено по умолчанию в микротике. Оно сделано дополнительно. 

Таким образом мы сделали базовые настройки микротика для раздачи и контроля интернет трафика среди членов экипажа. С помощью этой статьи вы сможете сделать первоначальную настройку микротика и запустить систему в работу. Дальше можете углублять свои знания и экспериментировать. 

Кстати, на телефоне есть очень хорошее приложение Mikrotik, с помощью которого можно управлять микротиком также как по WinBox.

Ниже предлагаю также инструкцию как блокировать торрент трафик в микротике (для более продвинутых пользователей). Очень важно заблокировать возможность использовать торренты в старлинке, т.к. это может вызвать в дальнейшем проблемы (если кто-то что-то скачает через торрент).

Блокировка торрент трафика в микротике через Firewall

Чтобы заблокировать торрент-трафик на маршрутизаторе MikroTik, можно настроить правила в фаерволе, которые будут фильтровать и блокировать известные порты и протоколы, используемые торрент-клиентами. Однако торрент-трафик может использовать различные порты и даже шифрование, что затрудняет его блокировку. Вот примерный набор правил, который поможет заблокировать основной торрент-трафик.

1. Блокировка популярных портов для BitTorrent

Большинство клиентов BitTorrent используют порты в диапазоне 6881-6889 по умолчанию. Также торрент-клиенты могут использовать случайные порты, но блокировка стандартных портов — это первый шаг.

Правило для блокировки исходящего торрент-трафика:

/ip firewall filter

add chain=forward protocol=tcp dst-port=6881-6889 action=drop comment="Block outgoing BitTorrent ports"

add chain=forward protocol=udp dst-port=6881-6889 action=drop comment="Block outgoing BitTorrent ports"

Правило для блокировки входящего торрент-трафика:

add chain=forward protocol=tcp src-port=6881-6889 action=drop comment="Block incoming BitTorrent ports"

add chain=forward protocol=udp src-port=6881-6889 action=drop comment="Block incoming BitTorrent ports"

2. Блокировка DHT (Distributed Hash Table)

Технология DHT используется в BitTorrent для работы без трекера, и для блокировки DHT можно заблокировать UDP-пакеты на портах 6881 и 6969.

add chain=forward protocol=udp dst-port=6881,6969 action=drop comment="Block DHT traffic"

3. Блокировка связи через трекеры

Трекеры часто используют порты 80 (HTTP) и 443 (HTTPS) для обмена информацией о пирах. Их блокировка напрямую нецелесообразна, но можно блокировать обращения к известным торрент-трекерам через DNS.

Правило для блокировки DNS-запросов к трекерам (через IP-адреса): Для этого сначала нужно определить IP-адреса популярных трекеров и добавить их в адресный список:

/ip firewall address-list

add list=bittorrent address=1.2.3.4 comment="Tracker 1"

add list=bittorrent address=5.6.7.8 comment="Tracker 2"

После этого можно создать правило, блокирующее доступ к этим трекерам:

/ip firewall filter

add chain=forward dst-address-list=bittorrent action=drop comment="Block BitTorrent trackers"

4. Блокировка L7-фильтрами

MikroTik поддерживает Layer7-фильтры, которые могут использоваться для блокировки пакетов, содержащих определенные сигнатуры, характерные для BitTorrent.

Создание L7-правила для фильтрации торрентов:

/ip firewall layer7-protocol

add name=bittorrent regexp="^\\x13BitTorrent protocol"

Добавление правила в фаервол:

/ip firewall filter

add chain=forward layer7-protocol=bittorrent action=drop comment="Block BitTorrent traffic using L7 filter"

5. Ограничение соединений на устройство

Ограничение количества одновременных соединений для устройств в сети также может помочь в борьбе с торрент-трафиком, так как торрент-клиенты создают множество соединений.

/ip firewall filter

add chain=forward connection-limit=100,32 action=drop comment="Limit concurrent connections per IP"

6. Блокировка WebRTC

Некоторые торрент-клиенты используют WebRTC для прямого обмена трафиком между устройствами. Для блокировки WebRTC можно создать правило:

/ip firewall filter

add chain=forward protocol=udp dst-port=3478-3481 action=drop comment="Block WebRTC"

Рекомендации:

1. Периодически проверяйте логи и следите за активностью трафика, чтобы выявить возможные обходы правил.
2. Современные клиенты могут использовать шифрование, что делает блокировку менее эффективной. В таких случаях более радикальные методы могут включать ограничение скорости для трафика P2P или применение контент-фильтрации.
3. Для более точной блокировки можно использовать DPI (Deep Packet Inspection) решения.

Эти настройки помогут снизить активность BitTorrent-трафика, но стоит помнить, что полная блокировка может быть затруднительной из-за адаптивности современных торрент-клиентов.

Firewall Layer7 Protocols

На скриншоте выше вы видите списки популярных сайтов торрент трекеров для блокировки в фаерволе.

Вариантов настроек блокировки торрентов много и лучше использовать несколько сразу. Но тут также важно не перегрузить микротик этими самыми настройками.

Если у вас остались вопросы или вы испытываете проблемы в настройке микротика для старлинка, то пишите в комментариях к статье, постараюсь помочь. Надеюсь эта статья была для вас полезной. Удачи в этом нелегком пути!

А теперь самое главное! Ко второму порту микротика мы подключили роутер Tp-Link, настроили интерфейс ether2-Router с пулом IP адресов на раздачу подключенным устройствам, но раздаются IP адреса у нас из пула bridge-hotspot-pool. Почему так? Дело в том, что роутер Tp-Link работает в режиме Access point (Точка доступа). В другом режиме он с микротиком работать не будет (вернее будет, но интернета не будет). То есть по сути этот роутер нужен микротику просто как вай-фай модуль.

Подключение Wi-Fi усилителей к роутеру Tp-Link на микротике. Wi-Fi усилители вроде не сложно подключать к другим роутерам, но вот чтобы подключить усилитель к Tp-Link, который настроен под микротик в режиме точки доступа - это другая история. В нашем случае необходимо сначала отключить хотспот bridge-hotspot, т.е. поставить его в Disable, потом подключить усилитель к Tp-Link (по инструкции к усилителю) и после этого включить хотспот. Этот вариант подойдет не для всех усилителей, поэтому если у вас после включения Enable хотспота bridge-hotspot не подключается к интернету через усилитель, то необходимо сделать bypass этого усилителя по MAC адресу. Для этого заходим в IP - Hotspot - IP Bindings, нажимаем "Плюс" и добавляем MAC адрес нашего усилителя в поле MAC Address, в поле Server ставим bridge-hotspot, в поле Type  - bypassed.

Добавляем MAC адрес усилителя CUDY в IP Bindings

Таким образом после подключения к вай-фай усилителю CUDY перекидывает на страницу авторизации микротика. А вот усилитель MERCUSYS не удалось настроить по процедуре описанной выше, поэтому его пришлось подключать к усилителю CUDY по обычной процедуре.

Важно! Если произойдёт блэкаут микротика, то последняя сессия (израсходованный трафик) не учитывается. Если вы отключаете микротик от питающей сети, то проверьте нет ли активных пользователей (IP - HotSpot - Active), при необходимости завершите их сессии (Remove) и только потом отключайте микротик от сети.

P.S. Хотел написать более подробную статью, но, к сожалению, объём очень большой и не хватает сил и времени. Постараюсь в дальнейшем заполнить пробелы.

Кстати, все необходимые файлы и инструкции для настройки микротика под Старлинк вы можете найти в нашем закрытом телеграмм канале Marine Engineering Manuals.

UPD. Следующая статья по теме: "Микротик и Старлинк на судне. Проблемы и решения". В ней рассматриваю проблемы, которые возникают при использовании связки "старлинк и микротик".