MIKROTIK × Huawei B525s-23a — jak uruchomić bridge mode (IP passthrough) i podać Internet do WAN MikroTika

Dodano dnia przez Dawid Sobieraj

Poniżej opisuję sprawdzony przez nas sposób na przepuszczenie adresu IP z modemu Huawei B525s-23a bezpośrednio do MikroTika. Efekt: MikroTik widzi LTE jako klasyczne łącze WAN (bez podwójnego NAT-u), a cały routing, NAT i firewall przejmuje MikroTik.

Ważne ostrzeżenia

  • Bridge mode w B525s-23a wymaga nowszego/nieoficjalnego firmware. Producent/Operator tego nie wspiera – aktualizujesz na własne ryzyko (utrata gwarancji, możliwość „uceglenia”, brak aktualizacji online).
  • Po włączeniu bridge:
    • działa tylko jedno urządzenie po kablu (MikroTik),
    • NAT, DHCP, Wi-Fi, Virtual Server/DMZ na Huawei są wyłączone,
    • zarządzanie web UI modemu może być ograniczone lub niedostępne, dopóki nie wrócisz z bridge.
  • W testach wdrożeniowych rozwiązanie działało stabilnie.

Co będzie potrzebne

  • Huawei B525s-23a z wgranym firmware wprowadzającym opcję Bridge Mode.
  • Aktywna karta SIM z poprawnym APN.
  • MikroTik (np. ether1 jako WAN).
  • Jeden przewód Ethernet: LAN z Huawei → ether1 (WAN) w MikroTiku.

Krok 1. Aktualizacja firmware (na własne ryzyko)

  1. Zrób kopię konfiguracji B525.
  2. Zaloguj się do panelu (zwykle 192.168.8.1Update / Local update).
  3. Wgraj firmware, który dodaje Bridge Mode.
  4. Po restarcie sprawdź, czy w menu pojawiła się pozycja Settings → Security → Bridge Mode.

PLIK FIRMWARE DO POBRANIA

Do pobrania: HUAWEI B525s-23a – bridge mode ipv6-firmware download

Uwaga: część wersji brandowanych przez operatorów ukrywa tę opcję – bez zamiany firmware jej nie zobaczysz.

Krok 2. Włączenie Bridge Mode na Huawei

  1. Wejdź: Settings → Security → Bridge Mode.
  2. Zaznacz Enable bridge modeApply (modem się zrestartuje).
  3. Wyłącz Wi-Fi w Huawei (i tak nie będzie użyteczne).
  4. Włóż kartę SIM, ustaw właściwy APN (przed włączeniem bridge) i sprawdź rejestrację w sieci.

W trybie bridge B525 przepuści adres (najczęściej z DHCP operatora) bezpośrednio do urządzenia podłączonego kablem.

Krok 3. Połączenie fizyczne

  • Podłącz jeden kabel: LAN1 (Huawei) → ether1 (MikroTik).
  • Nie wpinaj przed MikroTikiem żadnego switcha – bridge zwykle „przepuszcza” IP do jednego MAC-a.

Krok 4. Konfiguracja MikroTika (wariant domyślny — DHCP)

W terminalu MikroTika:

# 1) Ustaw WAN (ether1) jako klienta DHCP
/ip dhcp-client add interface=ether1 use-peer-dns=no add-default-route=yes disabled=no

# 2) (Opcjonalnie) Własne DNS dla LAN i cache na MT
/ip dns set servers=1.1.1.1,8.8.8.8 allow-remote-requests=yes

# 3) Źródłowe NAT (jeśli MT ma robić NAT dla sieci LAN)
/ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade comment="NAT -> LTE (bridge)"

# 4) Minimalna ochrona routera od strony WAN
/ip firewall filter
add chain=input connection-state=established,related action=accept comment="keep established/related"
add chain=input in-interface=ether1 action=drop comment="blokuj dostęp do routera z WAN"

# 5) Kontrola – czy dostaliśmy adres i trasę?
/ip dhcp-client print detail
/ip address print
/ip route print

Po chwili /ip dhcp-client powinien pokazać status bound, a w /ip route zobaczysz bramę od operatora.

Krok 5. Konfiguracja MikroTika (wariant ręczny – stały publiczny IP)

Jeśli operator przydzielił statyczny adres i parametry:

# podstaw swoje wartości
/ip address add address=<Twoje_IP>/xx interface=ether1 comment="WAN LTE statyczny"
/ip route add dst-address=0.0.0.0/0 gateway=<Brama_operatora>
/ip dns set servers=<DNS1>,<DNS2> allow-remote-requests=yes

# NAT i firewall jak w wariancie DHCP (jeżeli NAT ma być na MT)

Testy połączenia

/tool ping 8.8.8.8 count=10
/tool ping google.com count=10

Brak odpowiedzi? Sprawdź:

  • czy APN na Huawei był ustawiony przed włączeniem bridge,
  • czy MikroTik dostał adres z DHCP (nie 0.0.0.0),
  • czy operator nie przypisuje adresu z puli CGNAT (10.x.x.x, 100.64.0.0/10) – port-forward z Internetu wtedy nie zadziała (rozwiązanie: VPN/serwer pośredniczący albo publiczny IP u operatora).

Jak zarządzać Huawei w bridge?

W wielu wersjach po włączeniu bridge panel B525 bywa niedostępny. Najprościej:

  • na czas zmian wyłącz bridge (reset do fabrycznych przyciskiem),
  • albo podłącz laptop bezpośrednio do B525 i zarządzaj z osobnej sieci.

Odwrócenie zmian (powrót z bridge)

  • Odłącz MikroTika, podłącz komputer bezpośrednio do B525.
  • Jeśli panel nie odpowiada, przytrzymaj RESET ~10–15 s (przywraca tryb routera).
  • Przywróć kopię konfiguracji, włącz Wi-Fi/NAT według potrzeb.

Najczęstsze pytania

Czy to daje publiczny IPv4?
Niekoniecznie. Bridge usuwa podwójny NAT po stronie Ciebie, ale jeśli operator daje adres z CGNAT, nadal nie wystawisz usług bez dodatkowych rozwiązań.

Czy mogę podpiąć switch przed MikroTikiem?
Nie. W bridge B525 zwykle „przepuszcza” IP tylko do jednego urządzenia (MAC). Switch powoduje niestabilności.

Co z VoIP/Virtual Server na Huawei?
W bridge te funkcje są wyłączone – wszystkim zarządza MikroTik.

Podsumowanie

  1. Wgraj firmware z opcją Bridge Mode (na własne ryzyko).
  2. Włącz Bridge Mode w B525s-23a.
  3. Połącz B525 → MikroTik (ether1/WAN) jednym kablem.
  4. Na MikroTiku ustaw DHCP client (lub ręczną adresację), NAT i firewall.

Rozwiązanie usuwa podwójny NAT i pozwala traktować LTE jak normalne łącze WAN na MikroTiku. W naszych wdrożeniach działa stabilnie i przewidywalnie.

Dodaj komentarz