МГТС + Huawei HG8245H + MikroTik RB951G
MikroTik как главный роутер · Телефония через Huawei · Гостевой Wi-Fi · Proxmox Backup Server · Торрент-клиенты
MikroTik как главный роутер · Телефония через Huawei · Гостевой Wi-Fi · Proxmox Backup Server · Торрент-клиенты
Здесь рассказ о моей домашней сети.
Схема сети
Код:
Оптика МГТС (GPON) Внешний IP: 92.47.79.19
│
[Huawei HG8245H — 192.168.47.1]
├── TEL-порт ──────────► Телефон ✅ (VoIP через TR-069 МГТС)
├── Гостевой Wi-Fi ────► 192.168.47.x
│ ├── Интернет ✅ (через Huawei напрямую)
│ ├── Панель Huawei 192.168.47.1 ✅
│ ├── Сеть MikroTik 192.168.79.x ❌ изолировано
│ └── Панель MikroTik ❌ изолировано
├── DHCP пул ──────────► только 192.168.47.2 (только для MikroTik)
└── DMZ ───────────────────────────────────────────────┐
│
[MikroTik RB951G] ◄─────────┘
WAN (ether1): 192.168.47.2
LAN (bridge): 192.168.79.1
├── ether2–5 ◄── LAN
└── wlan1 CyberWorld ◄── Wi-Fi ✅
│
┌─────────────────┼──────────────────┐
│ │ │
[PBS 192.168.79.199] [Win .79] [Win .47/.48]
порты: 8007, 3022 Торрент :62998 Торрент :57999/:57692
Снаружи:
├── 34.252.4.124 ──► PBS (8007, 3022) ✅ Торренты ✅
├── 145.252.4.124 ──► PBS (8007, 3022) ✅ Торренты ✅
├── 193.145.97.49 ──► PBS (8007, 3022) ✅ (Proxmox VE)
└── Все остальные ──► Торренты ✅ PBS ❌Что получим в итоге
| Что | Статус | Где |
|---|---|---|
| Интернет основной |  Работает | MikroTik → 192.168.79.x |
| Интернет гостевой | Работает | Huawei → 192.168.47.x |
| Телефония МГТС | Работает | Huawei (TEL-порт) |
| Wi-Fi основной (CyberWorld) | Работает | MikroTik (wlan1) |
| Wi-Fi гостевой (HuaweiAdmin) | Работает | Huawei (WLAN) |
| DHCP основной | 192.168.79.x | MikroTik |
| DHCP гостевой | 192.168.47.x | Huawei |
| DHCP Huawei для MikroTik |  Пул сужен до .2–.2 | Только для MikroTik WAN |
| Изоляция сетей 47.x ↔ 79.x | Полная | MikroTik Firewall |
| NAT / Firewall / Порты | Полный контроль | MikroTik |
| PBS (192.168.79.199) снаружи | Только с разрешённых IP | MikroTik dstnat |
| Торренты снаружи | Порты 62998, 57999, 57692 | MikroTik dstnat |
| Huawei панель — гостевой Wi-Fi | http://192.168.47.1 | Только с 192.168.47.x |
| Huawei панель — MikroTik LAN |  Заблокирован | — |
| Huawei панель — снаружи | Заблокирован | — |
| MikroTik Web / Winbox | http://192.168.79.1 | Только из 192.168.79.x |
| Двойной NAT | Нейтрализован DMZ | — |
Часть 1 — Настройка Huawei HG8245H
Захожу в веб-интерфейс Huawei:
Код:
Адрес : http://192.168.100.1 (заводской адрес, до смены)
Логин : telecomadmin
Пароль: admintelecom
Шаг 1 — Сменить LAN IP Huawei на 192.168.47.1
- Перехожу: LAN → LAN Host Configuration
- Меняю:
Код:IP Address : 192.168.47.1 Subnet Mask: 255.255.255.0 - Нажимаю Apply
После этого шага захожу в панель уже по адресу
Шаг 2 — Зафиксировать IP для MikroTik и сузить DHCP пул
Настраиваю DHCP так чтобы Huawei выдавал адреса только MikroTik — один единственный адрес 192.168.47.2. Все остальные адреса диапазона 192.168.47.x будет получать гостевой Wi-Fi.
- Перехожу: LAN → DHCP Server
- Сужаю пул для проводных устройств:
Код:Start IP: 192.168.47.2 End IP: 192.168.47.2 - Нажимаю Apply
- Перехожу: LAN → DHCP Server → Static IP Binding
- Смотрю MAC-адрес MikroTik на наклейке снизу роутера и добавляю запись:
Код:MAC Address: AA:BB:CC:DD:EE:FF ← MAC MikroTik с наклейки IP Address: 192.168.47.2 - Нажимаю Apply
Шаг 3 — Включить DMZ
DMZ перенаправляет весь входящий трафик с Huawei прямо на MikroTik — именно это делает MikroTik главным роутером для основной сети:
- Перехожу: Forward Rules → DMZ Host
- Настраиваю:
Код:DMZ: Enable Host Address: 192.168.47.2 - Нажимаю Apply
Шаг 4 — Настроить гостевой Wi-Fi
Включаю основной WLAN Huawei — он будет выполнять роль гостевой сети. Устройства подключённые к нему получат IP в диапазоне 192.168.47.3–254 и будут полностью изолированы от сети MikroTik.
- Перехожу: WLAN → Basic
- Настраиваю:
Код:Enable WLAN: ON ✅ SSID: HuaweiAdmin ← название не афишировать Security: WPA2-PSK Password: надёжный пароль - Нажимаю Apply
Шаг 5 — Отключить всё лишнее
UPnP: Network Application → UPnP → Disable → Apply
SIP ALG: Network Application → ALG → снять галочку SIP ALG → Apply
DDNS: Network Application → DDNS → Disable → Apply
IPv6: IPv6 → IPv6 WAN → Disable → Apply
Firewall: Security → Firewall Level Configuration → Low → Apply
Шаг 6 — Device Access Control
Перехожу: Security → Device Access Control
Разрешаю доступ к панели Huawei только с гостевого Wi-Fi. С LAN MikroTik и снаружи — доступ закрыт.
Код:
LAN Service (проводные устройства Huawei):
├── FTP: [ ] OFF
├── HTTP: [ ] OFF ← закрываю, MikroTik в LAN Huawei не заходит
├── Telnet: [ ] OFF
└── SSH: [ ] OFF
WiFi Service (гостевой Wi-Fi 192.168.47.x):
├── HTTP: [✅] ON ← только отсюда доступна панель Huawei
└── Telnet: [ ] OFF
WAN Service:
├── FTP: [ ] OFF
├── HTTP: [ ] OFF
├── Telnet: [ ] OFF
└── SSH: [ ] OFF
WAN-side Source Address Whitelist: [ ] OFFИли добавлю еще доступность белых списков (Enable the WAN-side Source Address Whitelist)
перечислив там ip подсети
127.0.0.1/32 пример ввода моих ip адресов
Нажимаю Apply
Итог — что сделали на Huawei
| Функция | Было | Стало | Почему |
|---|---|---|---|
| LAN IP | 192.168.100.1 | 192.168.47.1 | Изолированная сеть |
| DHCP пул (проводной) | 100 адресов | Только .2–.2 | Только для MikroTik WAN |
| DHCP пул (гостевой Wi-Fi) | — | 192.168.47.3–254 | Гостевые устройства |
| DMZ | Выключен | → 192.168.47.2 | MikroTik — главный роутер |
| Wi-Fi гостевой | Выключен | HuaweiAdmin | Доступ к панели Huawei |
| UPnP | Включён | Выключен | Порты пробрасывает MikroTik |
| SIP ALG | Включён | Выключен | Конфликт с NAT MikroTik |
| DDNS | Включён | Выключен | Есть статический IP |
| IPv6 | Включён | Выключен | Не используется |
| Firewall | High | Low | Firewall на MikroTik |
| LAN HTTP доступ | Включён | Выключен | MikroTik не должен видеть панель |
| WiFi HTTP доступ | Выключен | Включён | Доступ с гостевого Wi-Fi |
| WAN доступ | Включён | Выключен | Снаружи закрыто полностью |
| TR-069 | Включён | Оставить! | МГТС управляет VoIP |
| VoIP / TEL-порт | Включён | Оставить! | Телефония работает |
На этом настройка Huawei завершена.
Часть 2 — Настройка MikroTik RB951G
Важно — не делаю полный сброс
На роутере уже есть нужные настройки (BlockedSites, блокировки Windows Update и телеметрии, Wi-Fi CyberWorld) — делаю только точечные изменения поверх существующей конфигурации.
Шаг 1 — Изменить LAN IP на 192.168.79.1
Код:
/ip address remove [find interface=bridge]
/ip address add address=192.168.79.1/24 interface=bridgeШаг 2 — Обновить DHCP сервер на диапазон 192.168.79.x
Код:
/ip pool remove [find name=default-dhcp]
/ip pool add name=pool-lan ranges=192.168.79.10-192.168.79.254
/ip dhcp-server set [find] address-pool=pool-lan
/ip dhcp-server network remove [find]
/ip dhcp-server network add \
address=192.168.79.0/24 \
gateway=192.168.79.1 \
dns-server=192.168.79.1Шаг 3 — DNS
Код:
/ip dns set servers=8.8.8.8,1.1.1.1 allow-remote-requests=yesШаг 4 — Выключить UPnP
Код:
/ip upnp set enabled=noШаг 5 — Отключить ненужные сервисы
Код:
/ip service
set telnet disabled=yes
set ftp disabled=yes
set api-ssl disabled=yes
set www disabled=no port=80
set winbox disabled=no port=8291
set ssh disabled=no port=22Шаг 6 — Сменить пароль администратора
Код:
/user set admin password="МОЙ_НОВЫЙ_ПАРОЛЬ"Шаг 7 — Проверить NAT masquerade
Код:
/ip firewall nat print chain=srcnatДолжна быть строка с action=masquerade на out-interface=ether1. Если нет:
Код:
/ip firewall nat add chain=srcnat \
out-interface=ether1 \
action=masquerade \
comment="NAT — выход в интернет"Часть 3 — Firewall
Логика правил
Код:
192.168.47.x (гостевой Huawei):
├── → интернет ✅ (через Huawei напрямую, MikroTik не участвует)
├── → 192.168.47.1 (панель Huawei) ✅
├── → 192.168.79.x ❌ заблокировано MikroTik
└── → 192.168.79.1 (панель MikroTik) ❌ заблокировано MikroTik
192.168.79.x (основная сеть MikroTik):
├── → интернет ✅ (через MikroTik)
├── → 192.168.47.1 (панель Huawei) ❌ заблокировано MikroTik
├── → 192.168.47.x ❌ заблокировано MikroTik
└── → 192.168.79.1 (панель MikroTik) ✅
Код:
/ip firewall filter
# ── Изоляция сетей 192.168.47.x ↔ 192.168.79.x ────────────────────
# Запретить гостевую сеть Huawei → MikroTik LAN
add chain=forward \
src-address=192.168.47.0/24 \
dst-address=192.168.79.0/24 \
action=drop \
comment="Изоляция: 192.168.47.x → 192.168.79.x запрещено" \
place-before=[find comment="defconf: drop all from WAN not DSTNATed"]
# Запретить гостевую сеть Huawei → панель MikroTik
add chain=input \
src-address=192.168.47.0/24 \
action=drop \
comment="Изоляция: 192.168.47.x → MikroTik роутер запрещено" \
place-before=[find comment="defconf: drop all not coming from LAN"]
# Запретить MikroTik LAN → гостевую сеть и панель Huawei
add chain=forward \
in-interface=bridge \
dst-address=192.168.47.0/24 \
action=drop \
comment="Изоляция: 192.168.79.x → 192.168.47.x запрещено" \
place-before=[find comment="defconf: drop all from WAN not DSTNATed"]
# ── Защита роутера ──────────────────────────────────────────────────
# Разрешить Winbox с LAN
add chain=input in-interface=bridge \
protocol=tcp dst-port=8291 \
action=accept \
comment="Winbox с LAN" \
place-before=[find comment="defconf: drop all not coming from LAN"]
# Разрешить WebFig с LAN
add chain=input in-interface=bridge \
protocol=tcp dst-port=80 \
action=accept \
comment="WebFig с LAN" \
place-before=[find comment="defconf: drop all not coming from LAN"]
# ── Торренты (открыты для всех снаружи) ────────────────────────────
add chain=forward in-interface=ether1 \
protocol=tcp dst-port=62998 action=accept \
comment="Torrent TCP 62998 → 192.168.79.79" \
place-before=[find comment="defconf: drop all from WAN not DSTNATed"]
add chain=forward in-interface=ether1 \
protocol=udp dst-port=62998 action=accept \
comment="Torrent UDP 62998 → 192.168.79.79" \
place-before=[find comment="defconf: drop all from WAN not DSTNATed"]
add chain=forward in-interface=ether1 \
protocol=tcp dst-port=57999 action=accept \
comment="Torrent TCP 57999 → 192.168.79.47" \
place-before=[find comment="defconf: drop all from WAN not DSTNATed"]
add chain=forward in-interface=ether1 \
protocol=udp dst-port=57999 action=accept \
comment="Torrent UDP 57999 → 192.168.79.47" \
place-before=[find comment="defconf: drop all from WAN not DSTNATed"]
add chain=forward in-interface=ether1 \
protocol=tcp dst-port=57692 action=accept \
comment="Torrent TCP 57692 → 192.168.79.48" \
place-before=[find comment="defconf: drop all from WAN not DSTNATed"]
add chain=forward in-interface=ether1 \
protocol=udp dst-port=57692 action=accept \
comment="Torrent UDP 57692 → 192.168.79.48" \
place-before=[find comment="defconf: drop all from WAN not DSTNATed"]
# ── PBS порт 8007 — только с разрешённых IP ────────────────────────
add chain=forward in-interface=ether1 \
src-address=34.252.4.124 \
protocol=tcp dst-port=8007 action=accept \
comment="PBS 8007 allow 34.252.4.124" \
place-before=[find comment="defconf: drop all from WAN not DSTNATed"]
add chain=forward in-interface=ether1 \
src-address=145.252.4.124 \
protocol=tcp dst-port=8007 action=accept \
comment="PBS 8007 allow 145.252.4.124" \
place-before=[find comment="defconf: drop all from WAN not DSTNATed"]
add chain=forward in-interface=ether1 \
src-address=193.145.97.49 \
protocol=tcp dst-port=8007 action=accept \
comment="PBS 8007 allow ProxmoxVE" \
place-before=[find comment="defconf: drop all from WAN not DSTNATed"]
# ── PBS порт 3022 — только с разрешённых IP ────────────────────────
add chain=forward in-interface=ether1 \
src-address=34.252.4.124 \
protocol=tcp dst-port=3022 action=accept \
comment="PBS 3022 allow 34.252.4.124" \
place-before=[find comment="defconf: drop all from WAN not DSTNATed"]
add chain=forward in-interface=ether1 \
src-address=145.252.4.124 \
protocol=tcp dst-port=3022 action=accept \
comment="PBS 3022 allow 145.252.4.124" \
place-before=[find comment="defconf: drop all from WAN not DSTNATed"]
add chain=forward in-interface=ether1 \
src-address=193.145.97.49 \
protocol=tcp dst-port=3022 action=accept \
comment="PBS 3022 allow ProxmoxVE" \
place-before=[find comment="defconf: drop all from WAN not DSTNATed"]Часть 4 — NAT: проброс портов
Шаг 1 — Выключить старые правила если есть (не удалять)
Код:
/ip firewall nat disable numbers=0,1,2,3,4,5,6,7,8,9,10,11Проверяю что все стали X (disabled):
Код:
/ip firewall nat print chain=dstnatШаг 2 — Создать правильные правила
Код:
/ip firewall nat
# ── PBS 192.168.79.199 — порт 8007 ────────────────────────────────
add chain=dstnat in-interface=ether1 \
src-address=34.252.4.124 \
protocol=tcp dst-port=8007 \
action=dst-nat to-addresses=192.168.79.199 to-ports=8007 \
comment="PBS 8007 ← 34.252.4.124"
add chain=dstnat in-interface=ether1 \
src-address=145.252.4.124 \
protocol=tcp dst-port=8007 \
action=dst-nat to-addresses=192.168.79.199 to-ports=8007 \
comment="PBS 8007 ← 145.252.4.124"
add chain=dstnat in-interface=ether1 \
src-address=193.145.97.49 \
protocol=tcp dst-port=8007 \
action=dst-nat to-addresses=193.168.79.199 to-ports=8007 \
comment="PBS 8007 ← ProxmoxVE"
# ── PBS 192.168.79.199 — порт 3022 ────────────────────────────────
add chain=dstnat in-interface=ether1 \
src-address=34.252.4.124 \
protocol=tcp dst-port=3022 \
action=dst-nat to-addresses=192.168.79.199 to-ports=3022 \
comment="PBS 3022 ← 34.252.4.124"
add chain=dstnat in-interface=ether1 \
src-address=145.252.4.124 \
protocol=tcp dst-port=3022 \
action=dst-nat to-addresses=192.168.79.199 to-ports=3022 \
comment="PBS 3022 ← 145.252.4.124"
add chain=dstnat in-interface=ether1 \
src-address=193.145.97.49 \
protocol=tcp dst-port=3022 \
action=dst-nat to-addresses=193.168.79.199 to-ports=3022 \
comment="PBS 3022 ← ProxmoxVE"
# ── Торрент 192.168.79.79 — порт 62998 ────────────────────────────
add chain=dstnat in-interface=ether1 \
protocol=tcp dst-port=62998 \
action=dst-nat to-addresses=192.168.79.79 to-ports=62998 \
comment="Torrent TCP 62998 → 192.168.79.79"
add chain=dstnat in-interface=ether1 \
protocol=udp dst-port=62998 \
action=dst-nat to-addresses=192.168.79.79 to-ports=62998 \
comment="Torrent UDP 62998 → 192.168.79.79"
# ── Торрент 192.168.79.47 — порт 57999 ────────────────────────────
add chain=dstnat in-interface=ether1 \
protocol=tcp dst-port=57999 \
action=dst-nat to-addresses=192.168.79.47 to-ports=57999 \
comment="Torrent TCP 57999 → 192.168.79.47"
add chain=dstnat in-interface=ether1 \
protocol=udp dst-port=57999 \
action=dst-nat to-addresses=192.168.79.47 to-ports=57999 \
comment="Torrent UDP 57999 → 192.168.79.47"
# ── Торрент 192.168.79.48 — порт 57692 ────────────────────────────
add chain=dstnat in-interface=ether1 \
protocol=tcp dst-port=57692 \
action=dst-nat to-addresses=192.168.79.48 to-ports=57692 \
comment="Torrent TCP 57692 → 192.168.79.48"
add chain=dstnat in-interface=ether1 \
protocol=udp dst-port=57692 \
action=dst-nat to-addresses=192.168.79.48 to-ports=57692 \
comment="Torrent UDP 57692 → 192.168.79.48"Часть 5 — Проверка работы
Через терминал MikroTik
Код:
# IP на bridge должен быть 192.168.79.1
/ip address print
# DHCP раздаёт 192.168.79.x
/ip dhcp-server print
/ip dhcp-server network print
# Старые dstnat с флагом X (disabled), новые без X
/ip firewall nat print chain=dstnat
# Filter — правила изоляции и проброса на месте
/ip firewall filter print
# Сервисы — telnet/ftp/api-ssl выключены
/ip service printС устройств в сети
- Основной Wi-Fi CyberWorld — интернет работает
- Гостевой Wi-Fi HuaweiAdmin — интернет работает
- Телефон — гудок есть, звонки работают
- С гостевого Wi-Fi:
— панель Huawei открывается
- С гостевого Wi-Fi:
— недоступно
- С гостевого Wi-Fi: любое устройство 192.168.79.x — недоступно
- С основной сети:
— панель MikroTik
- С основной сети:
— недоступно
- PBS — открывается с разрешённых IP
- Торрент-клиенты — порты открыты снаружи
Полная таблица доступа
| Откуда | Интернет | Huawei 192.168.47.1 | MikroTik 192.168.79.1 | PBS 8007/3022 | Торренты |
|---|---|---|---|---|---|
| Гостевой Wi-Fi (192.168.47.x) | через Huawei | | | | |
| Основная сеть (192.168.79.x) | через MikroTik | | | | |
| 34.252.4.124 / 143.252.4.124 | — | | | | |
| 193.145.97.49 (Proxmox VE) | — | | | | |
| Все остальные снаружи | — | | | | только торренты |
Часть 6 — Резервная копия
После завершения всех настроек сохраняю бэкап:
Код:
/system backup save name=backup-finalСкачать: Files → backup-final.backup → Download
МГТС · Huawei HG8245H · MikroTik RB951G · Proxmox Backup Server · Гостевой Wi-Fi · Изоляция сетей · Статический IP · DMZ · VoIP
Если есть пожелания по обзору какого-либо вопроса не представленного на сайте - пиши в комментариях