Компания Mikrotik давно выпускает весьма гибкие и недорогие устройства маршрутизации под общим названием Mikrotik Routerboard. Несмотря на обширную линейку этих устройств, их объединяет единая операционная система – Mikrotik RouterOS. Настройка роутеров Mikrotik для работы с 3CX Phone System совсем не так сложна, как может показаться на первый взгляд. Рассмотрим настройку на примере Wi-Fi роутера RB2011UiAS-2HnD-IN. Данный роутер отлично подойдет для организации доступа в сеть Интернет для небольшой и средней компании.
Внимание! Различные модели Mikrotik могут иметь разные предустановки. В частности, модели для SMB сегмента предустановлены таким образом, чтобы с минимальными настройками обеспечить выход в Интернет через первый порт роутера Eth1. Мы воспользуемся этим преимуществом.
Базовая настройка роутера для выхода в Интернет
Если у вас новый роутер, загрузите утилиту Winbox и подключитесь к устройству по адресу 192.168.88.1 с именем пользователя admin. После подключения нажмите в левом верхнем углу кнопку меню Quick Set.
![image[1]](http://habrastorage.org/getpro/habr/post_images/a5c/b27/396/a5cb27396a03fd8e9a2d8c911c5d97ff.png)
Здесь:
- Обновление прошивки роутера. С этого следует начать и продолжить после перезагрузки устройства.
- Настройки Wi-Fi модуля роутера (если ваша модель его имеет).
- Настройки доступа в Интернет. В данном случае используется PPPoE доступ через порт Ethernet1.
- Настройки локальной сети и DHCP сервера. Внимание! Настройка DHCP сервера требует дополнительных действий, описанных далее.
- Пароль доступа к интерфейсу управления роутера.
Настройки достаточно очевидны. После установки параметров нажмите кнопку Apply или OK..
Настройка DHCP сервера
Перейдите в раздел меню IP > DHCP Server > Options.
Здесь нужно создать новую DHCP опцию 66 и ее значением указать HTTP ссылку для автонастройки ваших IP телефонов. Эту ссылку нужно скопировать из раздела Настройки > Автонастройка телефона консоли управления 3CX. При этом строку нужно взять в одинарные кавычки, например, 'http://192.168.0.2/provisioning/hwz44ph6o9'.
![SNAGHTML5474749b[1]](http://habrastorage.org/getpro/habr/post_images/d0a/733/1ff/d0a7331ff85b4eff781acd6de0ac28ee.png)
Для завершения настройки зайдите в раздел IP > DHCP Server > Networks и донастройте DHCP сервер. В данном примере установлены DNS сервер, имя домена, сервер времени и созданная ранее DHCP опция 66.
![image1[1]](http://habrastorage.org/getpro/habr/post_images/fd0/8d9/485/fd08d9485f8ca6f097abcd0355daef32.png)
Отключение SIP ALG
Для того, чтобы у вас не возникало проблем в работе удаленных подключений в 3CX Phone System, следует отключить встроенный в роутер SIP Application Layer Gateway. Для этого перейдите в раздел IP > Firewall Service Ports и отключите сервис SIP ALG, нажав кнопку с красным крестиком сверху.
![image2[1]](http://habrastorage.org/getpro/habr/post_images/dc4/7cd/ba1/dc47cdba1035b5182af33bba597bd23f.png)
Создание правил сетевого экрана и NAT
Для того, чтобы реализовать в роутере Mikrotik Full Cone NAT, или, другими словами, опубликовать на внешней интерфейсе необходимые порты сервера 3CX Phone System, следует создать набор правил брандмауэра. Все правила создаются единообразно.
Перейдите в раздел IP > Firewall > NAT и нажмите кнопку с изображением плюса для добавления нового правила. В данном примере созданы правила для двух SIP провайдеров с IP адресами 62.64.127.43 и 69.167.178.6. Также созданы правила для внешних подключений HTTPS (порт 443 – статусы доб. номера, индикация присутствия клиентов 3CXPhone и удаленное администрирование сервера) и правила для 3CX Tunnel (порт 5090 UDP и TCP).
![image3[1]](http://habrastorage.org/getpro/habr/post_images/f76/1ff/1c2/f761ff1c20722ff6afc74c6852d9d8c1.png)
Правило для SIP сервера
Параметры устанавливаются во вкладках General и Action.
![image4[1]](http://habrastorage.org/getpro/habr/post_images/18f/a72/0a9/18fa720a96506e3a0665287286a29db1.png)
![image5[2]](http://habrastorage.org/getpro/habr/post_images/b1d/533/152/b1d5331529d02981a548d0b40421abf6.png)
Здесь:
- Направление действия правила
- Внешний адрес, для которого это правило эффективно. В данном случае, это IP адрес SIP провайдера. Внимание! Рекомендуется разрешать внешний входящий SIP и RTP трафик только для необходимых IP адресов, а не для всего Интернета!
- Тип протокола
- Порт сервиса, который публикуется
- Интерфейс, для которого это правило эффективно. В данном случае, это PPPoE интерфейс подключения роутера к Интернет провайдеру
- Действие, которое выполняет правило
- Локальный адрес сервера 3CX Phone System
- Локальный порт публикуемого сервиса
Правила для 3CX Tunnel и HTTPS
Правила настраиваются аналогично, но адрес источника не указывается. То есть, правило действует для любого хоста в Интернет.
![image6[1]](http://habrastorage.org/getpro/habr/post_images/254/37f/fec/25437ffecb2e9e9033d5d528d657dfdd.png)
![image7[1]](http://habrastorage.org/getpro/habr/post_images/114/203/536/11420353662d45b6b2dbe6770d87b938.png)
Опционально: настройка сервера времени NTP
Если вы хотите, чтобы роутер Mikrotik также являлся сервером времени для IP телефонов в вашей сети, необходимо загрузить и установить пакет, запускающий сервер NTP в роутере. Архив пакетов для текущей версии RouterOS можно загрузить здесь (актуально только для RouterOS 6.24!). После загрузки распакуйте архив и перетащите файл ntp-6.24-mipsbe.npk в окно File List, вызываемое боковым меню Files.
Внимание! Загружайте файл пакета в корень файловой системы. После этого перегрузите роутер в меню System > Reboot.
![image8[1]](http://habrastorage.org/getpro/habr/post_images/893/400/846/893400846ae9ab942e14ec86af214447.png)
После перезагрузки включите NTP сервер в меню System > NTP Server.
![image9[1]](http://habrastorage.org/getpro/habr/post_images/d90/08c/e37/d9008ce370a27c3be3354e80a72c7246.png)
В меню System > NTP Client задайте IP адрес предпочитаемого сервера NTP в Интернет для установки точного времени на роутере.
![image10[1]](http://habrastorage.org/getpro/habr/post_images/006/781/46f/00678146f5e434e405d9c2fed733beaa.png)
Также рекомендуется установить текущее время в меню System > Clock.
![image11[1]](http://habrastorage.org/getpro/habr/post_images/bb2/813/c5e/bb2813c5e4b3468dfe0e636881d8e426.png)
На этом настройка роутера Mikrotik для работы с 3CX Phone System завершена.
Конечно, роутеры Mikrotik имеют множество других важных настроек, которые могут использоваться в вашей сети, однако их рассмотрение выходит за рамки этой статьи.
Комментарии (6)
AnViar
12.05.2015 09:52На сколько я знаю, использование RouterBoard в качестве сервера NTP не рекомендуется.
Karroplan
12.05.2015 10:32-2вся эта статья ради двух предложений «для того чтоб телефоны нормально работали с 3cx настройте на dhcp сервере опцию 66 с адресом сервера 3cx. А еще выключите поддержу SIP ALG на фаерволле Microtic, а то SIP-транк через фаерволл/NAT работать не будет»? Не жалко времени потраченного на всю эту статью с картинками и прочим?
хватит засорять хабр мусором!
snezhko Автор
13.05.2015 22:53А вы знаете, для чего и как именно сделать «для того чтоб телефоны нормально работали с 3cx настройте на dhcp сервере опцию 66 с адресом сервера 3cx. А еще выключите поддержу SIP ALG на фаерволле Microtic, а то SIP-транк через фаерволл/NAT работать не будет»?
Если знаете, зачем же было тратить время не статью?
Meklon
Микротики прекрасны. Люблю их безумно за гибкость и просто дикий функционал за их деньги. Но, блин, о чем статья? Как пробросить порты наружу для %servicename%? Абсолютно же стандартные и разжеванные в Wiki действия. Или есть какие-то особые тайные грабли? Простите, но я не заметил.Погорячился, извините. Нашёл пару нюансов, но тем не менее.
snezhko Автор
Из-за этих ньюансов к нам поступает много схожих вопросов. Кроме того, если Вы хорошо знаете Mikrotik, совершенно не факт, что другой специалист так же быстро в нем разберется. А тут готовая пошаговая инструкця, которая просто, как минимум, сэкономит время.
Meklon
Вы правы. Прошу прощения, если обидел.