Домашняя сеть на МГТС + Huawei HG8245H + MikroTik RB951G

МГТС + Huawei HG8245H + MikroTik RB951G
MikroTik как главный роутер · Телефония через Huawei · Гостевой Wi-Fi · Proxmox Backup Server · Торрент-клиенты

Здесь рассказ о моей домашней сети.

Схема сети

Код:

  Оптика МГТС (GPON)  Внешний IP: 92.47.79.19
         │
  [Huawei HG8245H — 192.168.47.1]
   ├── TEL-порт ──────────► Телефон ✅  (VoIP через TR-069 МГТС)
   ├── Гостевой Wi-Fi ────► 192.168.47.x
   │    ├── Интернет ✅ (через Huawei напрямую)
   │    ├── Панель Huawei 192.168.47.1 ✅
   │    ├── Сеть MikroTik 192.168.79.x ❌ изолировано
   │    └── Панель MikroTik ❌ изолировано
   ├── DHCP пул ──────────► .2–.254 (MikroTik всегда .2 — static binding)
   └── DMZ ───────────────────────────────────────────────┐
                                                           │
                               [MikroTik RB951G] ◄─────────┘
                                WAN (ether1): 192.168.47.2
                                LAN (bridge): 192.168.79.1
                                ├── ether2–5 ◄── LAN
                                └── wlan1 CyberWorld ◄── Wi-Fi ✅
                                       │
                     ┌─────────────────┼──────────────────┐
                     │                 │                   │
           [PBS 192.168.79.199]  [Win .79]           [Win .47/.48]
            порты: 8007, 3022    Торрент :62998       Торрент :57999/:57692

  Снаружи:
  ├── 127.0.0.1  ──► PBS (8007, 3022) ✅   Торренты ✅
  ├── 127.0.0.2 ──► PBS (8007, 3022) ✅   Торренты ✅
  ├── 193.145.97.49 ──► PBS (8007, 3022) ✅   (Proxmox VE)
  └── Все остальные ──► Торренты ✅            PBS ❌

Что получу в итоге

Что	Статус	Где
Интернет основной	Работает	MikroTik → 192.168.79.x
Интернет гостевой	Работает	Huawei → 192.168.47.x
Телефония МГТС	Работает	Huawei (TEL-порт)
Wi-Fi основной (CyberWorld)	Работает	MikroTik (wlan1)
Wi-Fi гостевой (HuaweiAdmin)	Работает	Huawei (WLAN)
DHCP основной	192.168.79.x	MikroTik
DHCP гостевой	192.168.47.x	Huawei
DHCP Huawei для MikroTik	Static binding → .2	MikroTik WAN всегда получает .2
Изоляция сетей 47.x ↔ 79.x	Полная	MikroTik Firewall
NAT / Firewall / Порты	Полный контроль	MikroTik
PBS (192.168.79.199) снаружи	Только с разрешённых IP	MikroTik dstnat
Торренты снаружи	Порты 62998, 57999, 57692	MikroTik dstnat
Huawei панель — гостевой Wi-Fi	http://192.168.47.1	Только с 192.168.47.x
Huawei панель — MikroTik LAN	Заблокирован	—
Huawei панель — снаружи	Заблокирован	—
MikroTik Web / Winbox	http://192.168.79.1	Только из 192.168.79.x
Двойной NAT	Нейтрализован DMZ	—

Часть 1 — Настройка Huawei HG8245H

Захожу в веб-интерфейс Huawei:

Код:

  Адрес : http://192.168.100.1  (заводской адрес, до смены)
  Логин : telecomadmin
  Пароль: admintelecom

Если пароль не подходит — МГТС мог его сменить. Попробуйте admin / admin или root / admin, или позвоните в МГТС.

Шаг 1 — Меняю LAN IP Huawei на 192.168.47.1

Перехожу: LAN → LAN Host Configuration

Меняю:

Код:

  IP Address : 192.168.47.1
  Subnet Mask: 255.255.255.0

Нажимаю Apply

После этого шага захожу в панель уже по адресу
http://192.168.47.1

Шаг 2 — Фиксирую IP для MikroTik (Static IP Binding)

MikroTik должен всегда получать адрес 192.168.47.2. Фиксирую его через static binding — пул оставляю полным (.2–.254), чтобы гостевые Wi-Fi клиенты автоматически получали адреса из остатка (.3–.254) без какой-либо дополнительной настройки.

Перехожу: LAN → DHCP Server
Оставляю пул полным (или восстанавливаю, если он был изменён ранее):
Код:
```
  Start IP: 192.168.47.2
  End IP:   192.168.47.254
```
Нажимаю Apply
Перехожу: LAN → DHCP Server → Static IP Binding
MAC-адрес MikroTik — базовый MAC с наклейки снизу роутера, он же присвоен WAN-порту ether1. Добавляю запись:
Код:
```
  MAC Address: AA:BB:CC:DD:EE:FF  ← базовый MAC MikroTik с наклейки (= MAC ether1)
  IP Address:  192.168.47.2
```
Нажимаю Apply

Static binding гарантирует, что .2 всегда достанется MikroTik. Все остальные устройства (гостевой Wi-Fi) получают адреса из свободного диапазона .3–.254 — ничего отдельно настраивать не нужно.

Шаг 3 — Включаю DMZ

DMZ перенаправляет весь входящий трафик с Huawei прямо на MikroTik — именно это делает MikroTik главным роутером для основной сети:

Перехожу: Forward Rules → DMZ Host

Настраиваю:

Код:

  DMZ:          Enable
  Host Address: 192.168.47.2

Нажимаю Apply

Телефонию не трогаю — VoIP и TEL-порт остаются нетронутыми. МГТС управляет телефонией автоматически через TR-069.

Шаг 4 — Настраиваю гостевой Wi-Fi

Включаю основной WLAN Huawei — он будет выполнять роль гостевой сети. Устройства подключённые к нему получат IP в диапазоне 192.168.47.3–254 и будут полностью изолированы от сети MikroTik.

Перехожу: WLAN → Basic

Настраиваю:

Код:

  Enable WLAN:    ON ✅
  SSID:           HuaweiAdmin       ← название не афишировать
  Broadcast SSID: OFF               ← скрытая сеть, не видна в списке
  Security:       WPA2-PSK
  Password:       надёжный пароль

Нажимаю Apply

SSID гостевой сети скрываю (Broadcast SSID: OFF) — она нужна только для доступа к панели Huawei в случае необходимости. Подключение вручную: ввести имя сети HuaweiAdmin и пароль.

Шаг 5 — Отключаю лишнее

TR-069 не трогаю! Через него МГТС автоматически управляет телефонией.

UPnP: Network Application → UPnP → Disable → Apply

SIP ALG: Network Application → ALG → снять галочку SIP ALG → Apply

Телефония при этом не пострадает — VoIP Huawei работает через внутренний SIP-стек, а не через NAT.

DDNS: Network Application → DDNS → Disable → Apply

IPv6: IPv6 → IPv6 WAN → Disable → Apply

Firewall: Security → Firewall Level Configuration → Low → Apply

Полностью не отключаю — Huawei смотрит в интернет, пусть минимальная защита остаётся.

Шаг 6 — Device Access Control

Перехожу: Security → Device Access Control

Разрешаю доступ к панели Huawei только с гостевого Wi-Fi. С LAN MikroTik и снаружи — доступ закрыт.

Код:

  LAN Service (проводные устройства Huawei):
  ├── FTP:    [ ] OFF
  ├── HTTP:   [ ] OFF  ← закрываю, MikroTik в LAN Huawei не заходит
  ├── Telnet: [ ] OFF
  └── SSH:    [ ] OFF

  WiFi Service (гостевой Wi-Fi 192.168.47.x):
  ├── HTTP:   [✅] ON  ← только отсюда доступна панель Huawei
  └── Telnet: [ ] OFF

  WAN Service:
  ├── FTP:    [ ] OFF
  ├── HTTP:   [ ] OFF
  ├── Telnet: [ ] OFF
  └── SSH:    [ ] OFF

  WAN-side Source Address Whitelist: [ ] OFF

WAN-side Source Address Whitelist оставляю выключенным — WAN HTTP и так полностью отключён выше. Если в будущем понадобится удалённый доступ к панели Huawei с конкретных IP, включаю Whitelist, добавляю нужные адреса в формате x.x.x.x/32 и включаю WAN HTTP только для этого диапазона.

Нажимаю Apply

Итог — что сделал на Huawei

Функция	Было	Стало	Почему
LAN IP	192.168.100.1	192.168.47.1	Изолированная сеть
DHCP пул	192.168.100.x	.2–.254 (полный)	MikroTik → .2, гости → .3–.254
Static binding MikroTik	—	192.168.47.2	MikroTik всегда получает .2
DMZ	Выключен	→ 192.168.47.2	MikroTik — главный роутер
Wi-Fi гостевой	Выключен	HuaweiAdmin (скрытый)	Доступ к панели Huawei
UPnP	Включён	Выключен	Порты пробрасывает MikroTik
SIP ALG	Включён	Выключен	Конфликт с NAT MikroTik
DDNS	Включён	Выключен	Есть статический IP
IPv6	Включён	Выключен	Не используется
Firewall	High	Low	Firewall на MikroTik
LAN HTTP доступ	Включён	Выключен	MikroTik не должен видеть панель
WiFi HTTP доступ	Выключен	Включён	Доступ с гостевого Wi-Fi
WAN доступ	Включён	Выключен	Снаружи закрыто полностью
TR-069	Включён	Оставить!	МГТС управляет VoIP
VoIP / TEL-порт	Включён	Оставить!	Телефония работает

Huawei настроен. Перехожу к MikroTik.

Часть 2 — Настройка MikroTik RB951G

Важно — не делаю полный сброс

На роутере уже есть нужные настройки (BlockedSites, блокировки Windows Update и телеметрии, Wi-Fi CyberWorld) — делаю только точечные изменения поверх существующей конфигурации.

Шаг 1 — Меняю LAN IP на 192.168.79.1

После этой команды соединение с MikroTik прервётся — переподключаюсь к Winbox по новому адресу 192.168.79.1

Код:

/ip address remove [find interface=bridge]
/ip address add address=192.168.79.1/24 interface=bridge

Шаг 2 — Обновляю DHCP сервер на диапазон 192.168.79.x

Код:

# Проверяю текущее имя пула перед удалением:
/ip pool print

/ip pool remove [find name=default-dhcp]
/ip pool add name=pool-lan ranges=192.168.79.10-192.168.79.254

/ip dhcp-server set [find] address-pool=pool-lan

/ip dhcp-server network remove [find]
/ip dhcp-server network add \
    address=192.168.79.0/24 \
    gateway=192.168.79.1 \
    dns-server=192.168.79.1

Пул начинается с .10 — адреса .1–.9 свободны для статического назначения роутеру и инфраструктурным устройствам.

Шаг 3 — Фиксирую IP для критических устройств (Static DHCP Leases)

Все устройства, под которые прописаны правила dstnat (PBS, торрент-клиенты), должны всегда получать один и тот же IP. Адреса .199, .79, .47, .48 попадают в диапазон пула .10–.254 — без static lease DHCP может выдать любой из них случайному новому устройству, и проброс портов перестанет работать.

Быстрый способ — через Winbox:
IP → DHCP Server → Leases → найти нужное устройство в dynamic-списке → кнопка Make Static → при необходимости отредактировать IP.

Через терминал:

Код:

# Смотрю имя DHCP-сервера и текущие аренды:
/ip dhcp-server print
/ip dhcp-server lease print

# Добавляю static lease для каждого устройства
# (заменяю MAC-адреса и имя сервера dhcp1 на свои):
/ip dhcp-server lease
add address=192.168.79.199 mac-address=XX:XX:XX:XX:XX:XX server=dhcp1 comment="PBS"
add address=192.168.79.79  mac-address=XX:XX:XX:XX:XX:XX server=dhcp1 comment="Win-79 torrent 62998"
add address=192.168.79.47  mac-address=XX:XX:XX:XX:XX:XX server=dhcp1 comment="Win-47 torrent 57999"
add address=192.168.79.48  mac-address=XX:XX:XX:XX:XX:XX server=dhcp1 comment="Win-48 torrent 57692"

Static lease резервирует адрес за конкретным MAC — DHCP не выдаст его другому устройству, даже если пул включает этот адрес.

Шаг 4 — Настраиваю DNS

Код:

/ip dns set servers=8.8.8.8,1.1.1.1 allow-remote-requests=yes

allow-remote-requests=yes нужен для того, чтобы DHCP-клиенты могли использовать роутер как DNS-сервер (192.168.79.1 указан в dns-server пула). С WAN DNS недоступен — его блокирует правило defconf «drop all not coming from LAN» в input chain.

Шаг 5 — Выключаю UPnP

Код:

/ip upnp set enabled=no

Шаг 6 — Отключаю ненужные сервисы

Код:

/ip service
set telnet   disabled=yes
set ftp      disabled=yes
set api      disabled=yes
set api-ssl  disabled=yes
set www-ssl  disabled=yes
set www      disabled=no port=80
set winbox   disabled=no port=8291
set ssh      disabled=no port=22

SSH оставляю включённым на порту 22 — он доступен только из LAN. С WAN его закрывает правило defconf «drop all not coming from LAN» в input chain: весь входящий трафик с ether1, не являющийся established/related, отбрасывается.

www-ssl (HTTPS-доступ к WebFig, порт 443) по умолчанию выключен, но явно отключаю на случай если был включён вручную ранее.

Шаг 7 — Меняю пароль администратора

Обязательно — текущий пароль нужно сменить.

Код:

/user set admin password="МОЙ_НОВЫЙ_ПАРОЛЬ"

Шаг 8 — Проверяю NAT masquerade

Код:

/ip firewall nat print chain=srcnat

Должна быть строка с action=masquerade на out-interface=ether1. Если нет:

Код:

/ip firewall nat add chain=srcnat \
    out-interface=ether1 \
    action=masquerade \
    comment="NAT — выход в интернет"

Часть 3 — Firewall

Логика правил

Код:

  192.168.47.x (гостевой Huawei):
  ├── → интернет ✅ (через Huawei напрямую, MikroTik не участвует)
  ├── → 192.168.47.1 (панель Huawei) ✅
  ├── → 192.168.79.x ❌ заблокировано MikroTik
  └── → 192.168.79.1 (панель MikroTik) ❌ заблокировано MikroTik

  192.168.79.x (основная сеть MikroTik):
  ├── → интернет ✅ (через MikroTik)
  ├── → 192.168.47.1 (панель Huawei) ❌ заблокировано MikroTik
  ├── → 192.168.47.x ❌ заблокировано MikroTik
  └── → 192.168.79.1 (панель MikroTik) ✅

Код:
Добавляю правила через place-before — они встают перед нужными defconf-правилами. Сначала убеждаюсь что defconf на месте и что дублей нет:

Код:

# Проверяю наличие defconf-правил (вывод не должен быть пустым): /ip firewall filter print where comment~"defconf" # Проверяю отсутствие дублей наших правил: /ip firewall filter print where comment~"Изоляция" /ip firewall filter print where comment~"Torrent" /ip firewall filter print where comment~"PBS"

Если первая команда вернула пустой список — defconf отсутствует. В этом случае place-before не найдёт цель и поставит правило в конец цепочки, что нарушит логику. Нужно либо восстановить defconf (/system reset-configuration no-defaults=no на чистом роутере), либо убрать place-before и расставить правила вручную по нужным позициям.

Код:

/ip firewall filter

# ── Изоляция сетей 192.168.47.x ↔ 192.168.79.x ────────────────────

# Запретить гостевую сеть Huawei → MikroTik LAN
add chain=forward \
    src-address=192.168.47.0/24 \
    dst-address=192.168.79.0/24 \
    action=drop \
    comment="Изоляция: 192.168.47.x → 192.168.79.x запрещено" \
    place-before=[find comment="defconf: drop all from WAN not DSTNATed"]

# Запретить гостевую сеть Huawei → панель MikroTik (включая ICMP)
# place-before ICMP accept — иначе гости смогут пинговать роутер
add chain=input \
    src-address=192.168.47.0/24 \
    action=drop \
    comment="Изоляция: 192.168.47.x → MikroTik роутер запрещено" \
    place-before=[find comment="defconf: accept ICMP"]

# Запретить MikroTik LAN → гостевую сеть и панель Huawei
add chain=forward \
    in-interface=bridge \
    dst-address=192.168.47.0/24 \
    action=drop \
    comment="Изоляция: 192.168.79.x → 192.168.47.x запрещено" \
    place-before=[find comment="defconf: drop all from WAN not DSTNATed"]

# ── Защита роутера ──────────────────────────────────────────────────

# Разрешить Winbox с LAN
add chain=input in-interface=bridge \
    protocol=tcp dst-port=8291 \
    action=accept \
    comment="Winbox с LAN" \
    place-before=[find comment="defconf: drop all not coming from LAN"]

# Разрешить WebFig с LAN
add chain=input in-interface=bridge \
    protocol=tcp dst-port=80 \
    action=accept \
    comment="WebFig с LAN" \
    place-before=[find comment="defconf: drop all not coming from LAN"]

# ── Торренты (открыты для всех снаружи) ────────────────────────────

add chain=forward in-interface=ether1 \
    protocol=tcp dst-port=62998 action=accept \
    comment="Torrent TCP 62998 → 192.168.79.79" \
    place-before=[find comment="defconf: drop all from WAN not DSTNATed"]

add chain=forward in-interface=ether1 \
    protocol=udp dst-port=62998 action=accept \
    comment="Torrent UDP 62998 → 192.168.79.79" \
    place-before=[find comment="defconf: drop all from WAN not DSTNATed"]

add chain=forward in-interface=ether1 \
    protocol=tcp dst-port=57999 action=accept \
    comment="Torrent TCP 57999 → 192.168.79.47" \
    place-before=[find comment="defconf: drop all from WAN not DSTNATed"]

add chain=forward in-interface=ether1 \
    protocol=udp dst-port=57999 action=accept \
    comment="Torrent UDP 57999 → 192.168.79.47" \
    place-before=[find comment="defconf: drop all from WAN not DSTNATed"]

add chain=forward in-interface=ether1 \
    protocol=tcp dst-port=57692 action=accept \
    comment="Torrent TCP 57692 → 192.168.79.48" \
    place-before=[find comment="defconf: drop all from WAN not DSTNATed"]

add chain=forward in-interface=ether1 \
    protocol=udp dst-port=57692 action=accept \
    comment="Torrent UDP 57692 → 192.168.79.48" \
    place-before=[find comment="defconf: drop all from WAN not DSTNATed"]

# ── PBS порт 8007 — только с разрешённых IP ────────────────────────

add chain=forward in-interface=ether1 \
    src-address=127.0.0.1 \
    protocol=tcp dst-port=8007 action=accept \
    comment="PBS 8007 allow 127.0.0.1" \
    place-before=[find comment="defconf: drop all from WAN not DSTNATed"]

add chain=forward in-interface=ether1 \
    src-address=127.0.0.2 \
    protocol=tcp dst-port=8007 action=accept \
    comment="PBS 8007 allow 127.0.0.2" \
    place-before=[find comment="defconf: drop all from WAN not DSTNATed"]

add chain=forward in-interface=ether1 \
    src-address=193.145.97.49 \
    protocol=tcp dst-port=8007 action=accept \
    comment="PBS 8007 allow ProxmoxVE" \
    place-before=[find comment="defconf: drop all from WAN not DSTNATed"]

# ── PBS порт 3022 — только с разрешённых IP ────────────────────────

add chain=forward in-interface=ether1 \
    src-address=127.0.0.1 \
    protocol=tcp dst-port=3022 action=accept \
    comment="PBS 3022 allow 127.0.0.1" \
    place-before=[find comment="defconf: drop all from WAN not DSTNATed"]

add chain=forward in-interface=ether1 \
    src-address=127.0.0.2 \
    protocol=tcp dst-port=3022 action=accept \
    comment="PBS 3022 allow 127.0.0.2" \
    place-before=[find comment="defconf: drop all from WAN not DSTNATed"]

add chain=forward in-interface=ether1 \
    src-address=193.145.97.49 \
    protocol=tcp dst-port=3022 action=accept \
    comment="PBS 3022 allow ProxmoxVE" \
    place-before=[find comment="defconf: drop all from WAN not DSTNATed"]

Часть 4 — NAT: проброс портов

Шаг 1 — Выключаю старые правила если есть (не удаляю)

Код:

/ip firewall nat disable [find chain=dstnat]

Проверяю что все стали X (disabled):

Код:

/ip firewall nat print chain=dstnat

[find chain=dstnat] выбирает все dstnat-правила независимо от их количества. Если правил нет — команда выполнится без ошибок и без эффекта.

Шаг 2 — Создаю правильные правила

Код:

/ip firewall nat

# ── PBS 192.168.79.199 — порт 8007 ────────────────────────────────

add chain=dstnat in-interface=ether1 \
    src-address=127.0.0.1 \
    protocol=tcp dst-port=8007 \
    action=dst-nat to-addresses=192.168.79.199 to-ports=8007 \
    comment="PBS 8007 ← 127.0.0.1"

add chain=dstnat in-interface=ether1 \
    src-address=127.0.0.2 \
    protocol=tcp dst-port=8007 \
    action=dst-nat to-addresses=192.168.79.199 to-ports=8007 \
    comment="PBS 8007 ← 127.0.0.2"

add chain=dstnat in-interface=ether1 \
    src-address=193.145.97.49 \
    protocol=tcp dst-port=8007 \
    action=dst-nat to-addresses=192.168.79.199 to-ports=8007 \
    comment="PBS 8007 ← ProxmoxVE"

# ── PBS 192.168.79.199 — порт 3022 ────────────────────────────────

add chain=dstnat in-interface=ether1 \
    src-address=127.0.0.1 \
    protocol=tcp dst-port=3022 \
    action=dst-nat to-addresses=192.168.79.199 to-ports=3022 \
    comment="PBS 3022 ← 127.0.0.1"

add chain=dstnat in-interface=ether1 \
    src-address=127.0.0.2 \
    protocol=tcp dst-port=3022 \
    action=dst-nat to-addresses=192.168.79.199 to-ports=3022 \
    comment="PBS 3022 ← 127.0.0.2"

add chain=dstnat in-interface=ether1 \
    src-address=193.145.97.49 \
    protocol=tcp dst-port=3022 \
    action=dst-nat to-addresses=192.168.79.199 to-ports=3022 \
    comment="PBS 3022 ← ProxmoxVE"

# ── Торрент 192.168.79.79 — порт 62998 ────────────────────────────

add chain=dstnat in-interface=ether1 \
    protocol=tcp dst-port=62998 \
    action=dst-nat to-addresses=192.168.79.79 to-ports=62998 \
    comment="Torrent TCP 62998 → 192.168.79.79"

add chain=dstnat in-interface=ether1 \
    protocol=udp dst-port=62998 \
    action=dst-nat to-addresses=192.168.79.79 to-ports=62998 \
    comment="Torrent UDP 62998 → 192.168.79.79"

# ── Торрент 192.168.79.47 — порт 57999 ────────────────────────────

add chain=dstnat in-interface=ether1 \
    protocol=tcp dst-port=57999 \
    action=dst-nat to-addresses=192.168.79.47 to-ports=57999 \
    comment="Torrent TCP 57999 → 192.168.79.47"

add chain=dstnat in-interface=ether1 \
    protocol=udp dst-port=57999 \
    action=dst-nat to-addresses=192.168.79.47 to-ports=57999 \
    comment="Torrent UDP 57999 → 192.168.79.47"

# ── Торрент 192.168.79.48 — порт 57692 ────────────────────────────

add chain=dstnat in-interface=ether1 \
    protocol=tcp dst-port=57692 \
    action=dst-nat to-addresses=192.168.79.48 to-ports=57692 \
    comment="Torrent TCP 57692 → 192.168.79.48"

add chain=dstnat in-interface=ether1 \
    protocol=udp dst-port=57692 \
    action=dst-nat to-addresses=192.168.79.48 to-ports=57692 \
    comment="Torrent UDP 57692 → 192.168.79.48"

Часть 5 — Проверка работы

Через терминал MikroTik

Код:

# IP на bridge должен быть 192.168.79.1
/ip address print

# DHCP раздаёт 192.168.79.x
/ip dhcp-server print
/ip dhcp-server network print

# Static leases для PBS и торрент-клиентов на месте
/ip dhcp-server lease print

# Старые dstnat с флагом X (disabled), новые без X
/ip firewall nat print chain=dstnat

# Filter — правила изоляции и проброса на месте
/ip firewall filter print

# Сервисы — telnet/ftp/api/api-ssl/www-ssl выключены, www/winbox/ssh включены
/ip service print

С устройств в сети

Основной Wi-Fi CyberWorld — интернет работает
Гостевой Wi-Fi HuaweiAdmin — интернет работает
Телефон — гудок есть, звонки работают
С гостевого Wi-Fi:
http://192.168.47.1
— панель Huawei открывается
С гостевого Wi-Fi:
http://192.168.79.1
— недоступно
С гостевого Wi-Fi: любое устройство 192.168.79.x — недоступно
С гостевого Wi-Fi: ping 192.168.79.1 — недоступно
С основной сети:
http://192.168.79.1
— панель MikroTik
С основной сети:
http://192.168.47.1
— недоступно
PBS снаружи — https://92.47.79.19:8007
открывается с разрешённых IP
PBS изнутри LAN — https://192.168.79.199:8007
открывается напрямую
Торрент-клиенты — порты открыты снаружи

PBS доступен изнутри сети только по внутреннему адресу 192.168.79.199:8007, не по внешнему IP. Hairpin NAT (обращение к самому себе через внешний адрес) не настроен — в этом нет необходимости, поскольку внутренний адрес всегда доступен напрямую.

Полная таблица доступа

Откуда	Интернет	PBS 8007/3022	Торренты
Гостевой Wi-Fi (192.168.47.x)	через Huawei
Основная сеть (192.168.79.x)	через MikroTik	по 192.168.79.199
127.0.0.1 / 127.0.0.2	—
193.145.97.49 (Proxmox VE)	—
Все остальные снаружи	—		только торренты

Часть 6 — Резервная копия

После завершения всех настроек сохраняю два типа бэкапа:

Код:

# Бинарный бэкап — восстанавливает полностью одной командой:
/system backup save name=backup-final

# Текстовый экспорт — читаемый скрипт, не зависит от версии RouterOS:
/export file=config-export-final

Скачать: Files → backup-final.backup / config-export-final.rsc → Download

Храню оба файла на компьютере. Бинарный бэкап восстанавливает всё за 1 минуту на том же железе. Текстовый экспорт пригодится при смене роутера или обновлении RouterOS — его можно прочитать, понять и применить частично.

МГТС · Huawei HG8245H · MikroTik RB951G · Proxmox Backup Server · Гостевой Wi-Fi · Изоляция сетей · Статический IP · DMZ · VoIP

Поиск

Поиск

Домашняя сеть на МГТС + Huawei HG8245H + MikroTik RB951G

Комментарии

Информация о статье

Ещё в Сети и серверы

Ещё от Guru

Поделиться этой статьёй