Как настроить микротик routerboard rb951g-2hnd

Выбор режима работы

В разделе Configuration необходимо выбрать режим работы беспроводной точки MikroTik.

Режим Router — используют, когда Wi-Fi точку подключают напрямую к кабелю провайдера. В этом случае вам нужно скрыть клиентов, которые подключаются к Wi-Fi точке в отдельную подсеть. Иначе потребовалось бы заключать договор с провайдером на подключение каждого клиента к интернету. В этом режиме интернет-провайдер не видит абонентов, находящихся за беспроводной точкой. Wi-Fi точка играет роль интернет шлюза для клиентов.

Режим Bridge — используют, когда Wi-Fi точку подключают к роутеру. В этом режиме роутер раздает автоматические сетевые настройки клиентам, подключающимся к Wi-Fi точке. При этом абоненты, подключенные к роутеру по кабелю и к беспроводной точке, находятся в одной подсети и могут передавать данные друг другу.

Настройка Simple queue в Mikrotik

Давайте потихоньку переходить к практике. Но перед этим необходимо проверить важную деталь. Для того, чтобы в Mikrotik работали очереди, необходимо обязательно отключить . Для начала настроим равномерное распределение трафика между клиентами. Их у меня будет два:

• 192.168.88.195 — ubuntu18.
• 192.168.88.196 — centos7.
• 10.20.1.23 — сервер в «интернете», к которому будем подключаться и проверять скорость соединения.

Адрес Микротика — 192.168.88.1. Измерять скорость буду с помощью программы iperf. Канал в интернет — 100 Мбит/c. Для начала посмотрим, как будет распределяться канал между клиентами без настройки qos. Для этого просто запускаю iperf на обоих клиентах с разницей в 10 секунд.

Я сначала запустил проверку скорости на ubuntu18, а через 10 секунд на centos7. Видно, что ubuntu сначала качала на полной скорости 100 Мбит/c, а потом, при запуске параллельного теста на centos, снизила скорость на треть. По факту получилось, что кто раньше запустил тест, тот и забрал себе больше канала. Средняя скорость загрузки разных клиентов отличается — 51.9 Mbits/sec у того, кто начал позже, против 79.4 Mbits/sec. Если бы тут работал какой-нибудь торрент клиент, он бы забрал большую часть канала себе.

А теперь сделаем так, чтобы скорость между клиентами распределялась равномерно. Для этого идем в очереди и создаем simple queue.

Я сделал минимально необходимые настройки. Все остальное оставил в дефолте. Это самый простой путь справедливого распределения канала между клиентами. Теперь повторим то же самое тестирование.

Работает четкое равномерное деление скорости интернет канала. В настройке Target у меня указан bridge, в который объединены все интерфейсы локальной сети. Там можно указать адрес или подсеть, например 192.168.88.0/24. Все зависит от того, что конкретно вы хотите сделать и между кем и кем поделить поровну интернет. Если у вас выход из этой локальной сети есть не только в интернет, но и в другие подсети, то укажите в Dst свой wan интерфейс, иначе скорость будет резаться всегда для всех адресов назначения.

Разберу основные параметры, которые есть в simple queue. Напомню, что все это можно посмотреть в .

Target	Как я уже сказал, источник, к которому будет применено queue правило. Можно указать интерфейс или ip адрес.
Dst (destination)	Интерфейс или адрес, куда будет направлен поток с ограничением по queue. Обычно какой-то внешний адрес.
Max Limit	Максимально разрешенная скорость upload/download для данной очереди.
Burst Limit	Максимально разрешенная скорость upload/download для включенного режима Burst.
Burst Threshold	Граница средней скорости, превышение которой выключает режим burst.
Burst Time	Интервал времени, в течении которого выполняется оценка средней скорости передачи данных (average-rate), которая используется для управления режимом burst.
Packet Marks	Здесь выбираются промаркированные пакеты, если используется маркировка.
Limit At	Скорость, которая выделяется очереди гарантированно.
Priority	Приоритет для потоков данной очереди. 1 — максимальный приоритет, 8 — самый низкий.
Queue Type	Выбор типа очереди, перечисленной в Queue Types.
Parent	Очередь, являющейся родителем по отношению к текущей.

Теперь некоторые комментарии к перечисленным параметрам.

Трафик с более высоким приоритетом будет иметь преимущество в достижении скорости, указанной в max-limit

Отсюда следствие — очень важно корректно указывать и следить за max-limit. Обычно его указывают на 5% ниже реальной скорости канала

Сумма параметров max-limit дочерних очередей может превышать лимит родительской очереди, но не может быть меньше limit-at. Приоритет работает только для дочерних очередей, не родительских. Очереди c наивысшим приоритетом будут иметь максимальный шанс на достижение указанного в них max-limit.
С помощью Dst удобно управлять очередями в случае использования нескольких каналов wan. Достаточно указывать их интерфейсы в правилах очередей.
Приоритизировать можно только исходящий трафик! Не все это понимают и пытаются настраивать приоритеты для входящего.
Параметр limit at используется, чтобы гарантировать очереди заданную скорость, если это возможно. При этом он имеет преимущество перед приоритетом. То есть с его помощью можно гарантировать какую-то полосу пропускания трафику с низким приоритетом. Если данный канал не используется полностью, то он доступен другим очередям.

В целом, настройка simple queue в Микротике не представляет какой-то особой сложности и интуитивно понятна. Исключение только параметр Burst. Рассмотрим его отдельно.

Сброс настроек

Если вы что-то перемудрили с настройками и не можете попасть на устройство, выполните его сброс к заводским настройкам.

1. Отключите питание;
2. Зажмите и держите кнопку Reset;
3. Подайте питание;
4. Дождитесь пока начнет мигать индикатор;
5. Отпустите кнопку Reset;
6. После перезагрузки подключитесь к устройству с помощью программы Winbox по MAC адресу, т.к. у устройства может быть IP адрес 0.0.0.0. В этом случае вы не сможете попасть в настройки через Web-интерфейс по стандартному IP адресу 192.168.88.1.
7. В Winbox в появившемся окне нажмите кнопку OK, чтобы применить настройки по умолчанию. В некоторых прошивках данное окно может не появится, а сразу применится стандартная конфигурация.

После этого устройству присвоится стандартный IP адрес 192.168.88.1, и появится доступ к настройкам через Web-интерфейс.

Настройка WiFi

Mirtotik RB961Ui-2Hnd оснащён не плохим чипом, но имеет поддержку только 2,4 Ггц. Настроим его в режиме точки доступа, именем сети Test и паролем 12345678. Чтобы задать пароль, нужно создать Security Profile:

• Имя профиля;
• Mode – dynamic keys;
• Authentication Types – WPA PSK, WPA2 PSK (если есть возможность использоваться только WPA2, то отключайте WPA);
• Сам пароль от сети.

Далее переходим к настройке самой точки. Переходим в WiFi Interfaces и открываем свойства единственного wlan1. Активируем Advanced Mode.

Переходим во вкладку Wireless и задаём настройки согласно скриншоту.

Жмём Apply и Enable.

Приоритет SIP трафика для VOIP

Настроить приоритет SIP трафика можно как минимум двумя принципиально разными способами:

1. Самый простой случай, когда вам нужно настроить приоритет SIP трафика с вашего сервера VOIP в интернет. Для этого можно воспользоваться предыдущим примером с настройкой приоритета по ip, явно создав правило с высоким приоритетом для ip адреса сервера телефонии. Этого будет достаточно, если у вас в сети свой сервер, а все клиенты звонят через него.
2. Если же у вас в сети много sip клиентов, которые напрямую подключаются к voip серверу через интернет и выделить их в отдельную подсеть не представляется возможным, то придется действовать по-другому. Нужно маркировать весь sip трафик и отдавать приоритет на основе этой маркировки. Такой случай разобран выше на примере http трафика.

Так что в зависимости от своей ситуации, подбирайте реализацию приоритета конкретно под ваш случай. Я покажу пример второго способа с маркировкой. Снова идем в IP -> Firewall -> Mangle и добавляем правило маркировки для sip трафика.

add action=mark-packet chain=forward comment=SIP new-packet-mark=SIP passthrough=yes port=5060,5061,10000-20000 protocol=udp

И как обычно, добавляем еще одну simple queue с более высоким приоритетом промаркированного sip трафика.

Думаю, что для sip трафика burst не нужен. Я не могу себе представить ситуацию, когда возможен какой-то резкий скачек трафика у отдельно взятого абонента. Не забывайте про порядок правил очередей. С более высоким приоритетом правила ставим выше.

На практике показать работу приоритета для sip трафика затруднительно. Я не знаю, как практически это сделать. В итоге проверил так. Взял утилиту sipp, которая есть для linux. Далее запустил ее и нагенерировал sip трафик. Убедился, что он попал в правила маркировки, а так же в указанную очередь. Если счетчики пакетов там растут, значит все сделали правильно и приоритезация будет работать. Ведь работу самих очередей мы уже проверили ранее.

Simple queue vs Queue Tree

В Mikrotik присутствуют 2 типа очередей:

• Simple Queues — простой тип очередей.
• Queue Tree — очереди из иерархических деревьев с правилами.

Отличий у этих очередей много. Показываю наиболее значимые в виде таблицы. Автор этой таблицы — Дмитрий Скоромнов. По крайней мере я ее увидел у него.

Разница между Simple queue и Queue Tree

Опция	Simple Queue	Queue Tree
Порядок правил	играет роль	не играет роль
Маркировка трафика	возможна	обязательная
Время действия правила	возможно	не возможно
График загрузки	есть	нет

В целом, настройка Simple Queues более простая и очевидная, в то время как Queue Tree позволяют строить более сложные конфигурации QOS с обязательным использованием маркировки в Mangle. В случае же с Simple Queues в простых ситуациях достаточно будет информации об адресах источника и получателя. Маркировать ничего не придется.

Что же выбрать для настройки QOS — Simple queue или Queue Tree? Я советую начать с простых очередей. Если ваша задача не решается с их помощью, переходите на иерархические деревья правил с маркировкой. И еще нужно понимать, что Simple queue это частный случай Queue Tree, поэтому при использовании обоих типов очередей нужно внимательно смотреть на то, чтобы правила не пересекались в разных очередях.

Настройка времени

Я рекомендую устанавливать правильное время и включать его автоматическую синхронизацию. Это может пригодиться, если вам понадобится посмотреть какие-нибудь логи и сопоставить время. Если оно не будет установлено, то это трудно сделать. Так что настроим его. Идем в System -> Clock, устанавливаем вручную время, дату и часовой пояс.

Сделаем так, чтобы время автоматически обновлялось через интернет. Идем в раздел System -> SNTP Client. Ставим галочку Enabled, в поле с адресами серверов вводим 193.171.23.163 и 85.114.26.194. Жмем Apply и наблюдаем результат синхронизации.

Теперь часы роутера всегда будут иметь актуальное время.

На этом базовая настройка роутера mikrotik для домашнего пользования закончена. Можно устанавливать его на место и пользоваться. На всякий случай рекомендую посмотреть статью с разбором основных ошибок в микротике.

MikroTik firewall. Общее описание

Основное назначение брандмауэра является то, что на основании правил разрешать или запрещать передачу данных из одной сети в другую.

Что не умеет брандмауэр MikroTik:

• Блокировать сайты по категориям;
• Сканирование на вирусы в режиме реального времени;
• Создание отчетов;
• Биллинг;

Настройка безопасности маршрутизатора MikroTik может быть реализована двумя способами:

• Нормально открытый. Данный способ организации защиты предполагает, что все будет разрешено, что не запрещено;
• Нормально закрытый. При этом виде настройки firewall все запрещено, что не разрешено.

Для данной статьи мы рассмотрим пример нормально закрытого брандмауэра. Так как, на мой взгляд, нормально открытый имеет ряд недостатков:

• Большие затраты для решения, что запрещать;
• Из-за большого количества условий может значительно снизиться производительность роутера.

В случае неправильной настройки бранмауэра и потери доступа к устройству, данная функция поможет восстановить подключение, отменив внесенные изменения. Подробнее узнать о безопасном режиме можно в материале: MikroTik Safe Mode.

Место брандмауэра на Packet Flow:

Firewall на MikroTik. Порядок расположения правил

Работу брандмауэра MikroTik условно можно разделить на две части: условие (если…) и действие (то…). Могут содержать несколько условий, при этом, чтобы правило сработало должны быть выполнены все условия.

Правила должны состоять в цепочке (chain):

• одной из трех предопределенных: Input, Output, Forward;
• пользовательской (action=jump).

А также подразделяются на терминирующие и нетерминирующие:

• терминирующие: accept, drop, fasttrack, reject, tarpit;
• нетерминирующие: add dst to address list, add source to address list, jump, log, return, passthrough.

Терминирующие правила содержат окончательное действие – принять, отклонить.

Нетерминирующие – просто производят какой-то процесс – занести в лог, добавить в address list.

При настройке firewall MikroTik важно соблюдать последовательность правил, так как обрабатываются они по порядку и сразу с нужной цепочки. Обработка заканчивается после первого совпадения с терминирующим правилом

Если совпадения нет, то пакет отправляется на следующий этап обработки по схеме прохождения трафика

Обработка заканчивается после первого совпадения с терминирующим правилом. Если совпадения нет, то пакет отправляется на следующий этап обработки по схеме прохождения трафика.

Настройка устройства

Адрес роутера MikroTik по умолчанию 192.168.88.1, логин admin пароль пустой.

Управлять роутером можно через веб интерфейс или через более удобную программу WinBox (скачать с официального сайта).

На этом список возможностей управления не закончен, но для ознакомления мы будем использовать управление через Winbox.

Запускаем программу Winbox, указываем адрес подключения 192.168.88.1, логин admin, пароль оставляем пустым, нажимаем Connect.

Обратите внимание, на вкладки Managed и Neighbors

Изображение 2. Winbox обнаружение устройства MikroTik через Neighbours

На роутерах MikroTik, по умолчанию запущена служба обнаружения в сети Neighbors и если подключение по IP адресу или имени недоступно, попробуйте подключиться выбрав MAC Address роутера через вкладку Neighbors. При первом подключении появляется окно запроса использования стандартной конфигурации.

Удаляем стандартную конфигурацию, нажимаем Remove Configuration.

Изображение 3. Окно конфигурации по-умолчанию MikroTik

Если нас выбрасывает из панели управления роутером, подключимся снова через ➙➙➙

Задаем пароль администратора роутера ➙➙➙➙[пароль/подтверждение]➙

Изображение 4. Установка пароля администратора MikroTik

Рекомендуется отключить учетную запись admin, создавая свою учетную запись с правами администратора, можете сделать это позже.

Настраиваем адрес роутера для локальной сети, кабель локальной сети подключаем во второй порт устройства ether2.

➙➙➙[Address: 192.168.137.1/24; Interface:ether2]➙

Изображение 5. Задаем IP адрес устройства MikroTik в локальной сети

Теперь роутер доступен по адресу 192.168.137.1, из локальной сети подключенной к порту 2 (ether2).

Обратите внимание, в первой строке находится адрес полученный роутером MikroTik от модема включенного в первый порт (ether1-WAN). Буква D означает автоматически присвоенное значение (DHCP сервер на модеме)

Буква D означает автоматически присвоенное значение (DHCP сервер на модеме).

Подключение к провайдеру по PPPoE

Если у Вас подключение к провайдеру по PPPoE, то по идее можно пропустить два предыдущих пункта, но часто провайдеры предоставляют доступ к каким-то локальным ресурсам в своей сети, и если они вам нужны то сперва следует выполнить настройку подключения к провайдеру по DHCP и затем вернуться к этому пункту. В бытовых роутерах это зачастую называется DualAccess или Russian PPPoE, до версии прошивки 6.0 на Микротик настройка такого доступа требовала некоторых танцев, но теперь все работает из коробки, поэтому не будем останавливаться на этом моменте. Перед настройкой соединения PPPoE, Вы должны знать логин и пароль, которые у большинства провайдеров выдаются при подключении и часто написаны на специальном листке с настройками.

Добавляем интерфейс: PPP > + > PPPoE Client затем на вкладке General задаем желаемое имя интерфейса Name = ISP1 и выбираем порт куда подключен кабель от провайдера Interface = WAN1. На вкладке Dial Out укажите логин и пароль и проверьте что остальные галочки стоят как на скринах ниже:

Или команда для консоли:

/interface pppoe-client add interface=WAN1 name=ISP1 disabled=no user=Логин password=Пароль use-peer-dns=yes add-default-route=yes default-route-distance=0

Далее в качестве интерфейса смотрящего в интернет будет выступать ISP1 его и будем использовать в настройках.

NAT

Заветная кнопка, которая выпускает пользователей в интернет IP – Firewall – NAT. Создаём правило маскардинга:

• Цепочка — src-nat;
• Src. Address – 192.168.0.0/24;
• Out. Interface – ISP WAN.

Action – masquerade.

А теперь прочтём правило: если есть пакеты, исходящие с сети 192.168.0.0/24 в неизвестном направлении, то отправляем их через интерфейс ISP-WAN подменяя адрес, который имеется на внешнем интерфейсе.

Если у вас статический адрес от провайдера, то вы можете оптимизировать нагрузку использовав вместо masquerade – src-nat указав внешний IP, в моем случае это 10.200.143.124.

Отличие masquerade от src-nat не только в этом. Когда Mikrotik пропускает новое соединение через себя, он проверяет, какой адрес задан на Out Interface, берет самый младший, подставляет его и отправляет наружу. И так с каждым новым соединением. Помимо этого, если у вас дёрнется WAN интерфейс и стоит masquerade, то все соединения с Connection Tracker удалятся, т.е. все сессии будут закрыты, и пользователь сразу это заметит. В случае src-nat вы можете регулировать какой адрес подставлять, если их несколько, и не разрывает соединения в случае кратковременного падения WAN.

Если вы в процессе траблшутинга не хотите в дампе видеть не понятный трафик, то рекомендую отключать всяческие хелперы. По опыту работы замечались проблемы с голосом, проходящим через NAT.

Настройка работы в режиме Bridge

Выберите в разделе Configuration режим работы Bridge.

Если вы хотите, чтобы Wi-Fi точка получала сетевые настройки от роутера автоматически по DHCP, то в разделе Bridge выполните следующие настройки:

• Address Acquisition — выберите Automatic;
• MAC Address — оставляем без изменений.

Мне больше нравится указывать IP адрес Wi-Fi точки вручную, чтобы потом точно знать где ее искать. Поэтому я использую статические сетевые настройки.

Если вы используете статические сетевые настройки, в разделе Bridge выполните следующие настройки:

• Address Acquisition — выберите Static;
• IP Address — введите IP адрес Wi-Fi точки. Он должен быть из одной подсети с роутером;
• Netmask — выберите маску 255.255.255.0;
• Gateway — введите IP адрес шлюза (IP адрес вашего роутера);
• DNS Servers — укажите адреса DNS серверов. Можно указать адрес роутера или адрес DNS сервера Google 8.8.8.8.

Приоритет трафика по IP

Продолжим настройку qos на основе очередей, создав несколько правил, одно из которых будет давать приоритет трафику от конкретного IP. Для этого создаем 3 simple queue — одна основная и две зависимые. Как я уже говорил ранее, приоритеты работают только в дочерних очередях, не родительских.

Общая родительская очередь. Дальше идут потомки.

Указываем ip адрес источника, для которого увеличиваем приоритет, и выбираем родителя. Остальное все то же самое, что в первом правиле.

Здесь мы дополнительно указываем limit-at, чтобы для этого потока оставалось немного пропускной способности даже в то время, когда весь канал будет занят более приоритетным трафиком.

Должен получиться такой набор иерархически упорядоченных правил.

/queue simple
add dst=ether1-wan1 max-limit=98M/98M name=wan1 target=""
add max-limit=98M/98M name=IP-196-hi-Ppriority parent=wan1 priority=7/7 target=192.168.88.196/32
add limit-at=10M/10M max-limit=98M/98M name=all parent=wan1 target=192.168.88.0/24

Важно следить за нумерацией правил. Пакеты попадают в правила по порядку

Как только подходящее правило найдено, пакет идет по нему. Поэтому правила с более узкими сегментами надо всегда поднимать выше общих правил, захватывающих весь остальной трафик.

Теперь запускаем тестирование приоритета трафика по ip. Сначала я запустил проверку скорости на машине с ip адресом, для которого приоритет не настроен. Загрузка началась на максимальной скорости для этой очереди. Через 6 секунд я стартовал такой же тест на машине с ip — 192.168.88.196, для которой мы увеличили приоритет с 8 до 7. Напомню, что меньше значение приоритета, тем он выше по факту. Нет необходимости ставить числа сильно ниже дефолта. Достаточно разницы на одну единицу, чтобы один трафик получил приоритет над другим.

В итоге мы видим, что сначала была максимальная загрузка трафика на первой машине, потом приоритет был отдан второй, а у первой осталась скорость из значения limit-at. После того, как более приоритетный трафик кончился, вся доступная полоса пропускания опять досталась первому ip.

Возможности QOS в Микротике

Для начала кратко рассмотрим, какие основные возможности QOS есть в Микротике.

• Ограничение скорости и приоритезация на основании ip, mac, порта и интерфейса (например wifi), подсети, протокола и др.
• Возможности кратковременного увеличения скорости.
• Настройка различных лимитов по времени суток.
• Распределение ширины канала между пользователями равномерно или по каким-то правилам.
• И многое другое.

Вся настройка qos производится в отдельном разделе интерфейса управления под названием Queues (очереди).

В Микротике существуют несколько типов очередей, о которых мы поговорим далее.

Основные моменты

Стоит понимать, что роутинг работает на третьем уровне (L3), для ее работы нужны IP адреса. В роутерах Mikrotik есть определённый алгоритм работы RouterOS, он описан в Packet Flow Diagram v6. Нас интересует диаграмма Packet Flow Chains.

Можно задать очень интересный вопрос. Все мы знаем, что в заголовке IP пакета есть отправитель и получатель, в процессе его передачи, эти данные не меняются. Так же из определения выше мы знаем, что routing работает на L3, т.е. с IP адресами, на их основе и строятся маршруты. Но как же так, в настройках адаптера клиента указан IPшник основного шлюза, в таблицах маршрутизации так же указаны адреса роутеров, через которые доступны нужные сети. Как так получается, что источник и получатель не меняются в процессе передачи? (а они действительно не меняются).

Также вы можете воспользоваться статьёй про настройку Микротика с нуля, она подойдёт для всех моделей роутеров.

Все дело в том, что, когда ваш клиентский комп хочет передать данные через шлюз, он делает arp-запрос на его IPшник (не broadcast), шлюз ему отвечает, происходит подстановка MAC шлюза в качестве получателя, на канальном уровне (L2) в ethernet кадр и данные отправляются. Шлюз получивший такой кадр, смотрит в IP заголовок, понимает, что получатель за пределами его локальной базы данных маршрутов, находит подходящий роут (об этом далее), делает arp-запрос нужного роутера, отправляет ethernet (если допустим это обычная сеть) кадр с MACом нужного роутера, и так до самого конца. Интересная штука выходит, IP адреса в пути следования не меняются, а MAC меняются.

Популярным вопросом у многих начинающих админов является «Я задал маршрут в нужную сеть, почему не работает?». На самом деле, пакеты долетают куда надо (если нет блокирующих правил по пути), т.е. в одну сторону. В связи с этим вам встречные вопросы:

• А вы задали обратный маршрут до вас?
• Как сеть назначения узнает, куда слать ответные пакеты?

Алгоритмы выбора маршрута:

• Самый высокий приоритет имеет сеть/адрес /32 маской. Чем уже маска, тем приоритетнее;
• Default Route имеет самый наименьший приоритет 0.0.0.0/0.

После выбора маршрута происходит выбор по метрике, чем меньше метрика, тем приоритетнее:

• distance=0 — наивысшая метрика;
• distance=254 – наименьшая метрика;
• distance=255 – недоступный маршрут.

Пора перейти от теории к практике.

Если вы хотите углубить свои знания по работе с роутерами MikroTik, то наша команда рекомендует пройти курсы которые сделаны на основе MikroTik Certified Network Associate и расширены автором на основе опыта . Подробно читайте .

Видео настройки capsman

Онлайн курсы по Mikrotik

Если у вас есть желание научиться работать с роутерами микротик и стать специалистом в этой области, рекомендую пройти курсы по программе, основанной на информации из официального курса MikroTik Certified Network Associate. Помимо официальной программы, в курсах будут лабораторные работы, в которых вы на практике сможете проверить и закрепить полученные знания. Все подробности на сайте .

Стоимость обучения весьма демократична, хорошая возможность получить новые знания в актуальной на сегодняшний день предметной области. Особенности курсов:

• Знания, ориентированные на практику;
• Реальные ситуации и задачи;
• Лучшее из международных программ.

Настройка NAT

Чтобы дать клиентам доступ к интернету, необходимо настроить NAT. Для этого откройте меню IP — Firewall, перейдите на вкладку NAT и нажмите красный плюсик для добавления нового правила.

В открывшемся окне на вкладке General вводим следующие параметры:

• Src. Address укажите 10.1.0.0/16. Это означает, что все клиенты нашей сети с адресами от 10.1.0.1 до 10.1.254.254 будут работать через NAT.
• Dst. Address укажите с восклицательным знаком ! 10.0.0.0/8. Это означает не использовать NAT при обращении к IP-адресам, начинающимся на 10.xxx.xxx.xxx. Т.е. клиенты внутри сети смогут обращаться друг к другу напрямую без использования NAT.

Чтобы у вас не было проблем с маршрутизацией, мы не рекомендуем использовать подсеть адресов или выходной интерфейс в настройках NAT .

Перейдите на вкладку Action, выберите в списке мasquerade и нажмите кнопку OK.

После этого в списке появится правило NAT, и клиенты смогут получить доступ в интернет.

p>