Mikrotik rb951g 2hnd настройка

Подключите роутер к компьютеру через Ethernet-кабель в порт №1. Откройте браузер и введите 192.168.88.1 в адресной строке. Логин – admin, пароль по умолчанию оставьте пустым или попробуйте admin, если поле не пропускает пустое значение.

Первым делом смените пароль администратора. В меню System → Users выберите пользователя admin, нажмите Edit и задайте надежный пароль. Без этого шага оставлять роутер в сети небезопасно.

Перейдите в IP → DHCP Client и проверьте, что интерфейс ether1 получает адрес от провайдера. Если используется PPPoE, добавьте соединение в PPP → PPPoE Client, укажите логин и пароль из договора.

Настройте Wi-Fi в разделе Wireless. Выберите интерфейс wlan1, задайте имя сети (SSID) и пароль в подразделе Security Profiles. Для лучшего сигнала установите режим 802.11gn и ширину канала 20/40 MHz.

Подключение и первичная настройка роутера

Подключите MikroTik RB951G-2HnD к электросети с помощью блока питания 12V 0.5A. Вставьте кабель от интернет-провайдера в порт ether1 – он автоматически назначится WAN-интерфейсом.

Для доступа к веб-интерфейсу соедините компьютер с любым LAN-портом (ether2-ether5) и откройте браузер. Введите адрес 192.168.88.1. Логин и пароль по умолчанию – admin (поле пароля оставьте пустым).

В разделе Quick Set выберите тип подключения: DHCP для динамического IP или PPPoE, если провайдер требует авторизацию. Укажите логин и пароль из договора.

Настройте Wi-Fi в меню Wireless. Задайте имя сети (SSID), например, HomeNet, и режим безопасности WPA2-PSK. Используйте пароль длиной от 8 символов с цифрами и буквами.

Поменяйте пароль администратора в разделе System → Users. Удалите или измените учетную запись admin, добавив новый профиль с правами full.

Сохраните конфигурацию кнопкой Apply в правом верхнем углу. Перезагрузите роутер через меню System → Reboot, если изменения не вступили сразу.

Настройка интернет-подключения (PPPoE, DHCP, Static)

Выберите тип подключения, который предоставляет ваш провайдер: PPPoE, DHCP или Static. Для настройки зайдите в WinBox или веб-интерфейс MikroTik и откройте раздел IP → DHCP Client или Interfaces.

1. Настройка PPPoE

Если провайдер использует PPPoE:

• Перейдите в Interfaces → PPPoE Client.
• Нажмите +, выберите интерфейс (обычно ether1).
• Введите логин и пароль от провайдера.
• Включите опции Add Default Route и Use Peer DNS.
• Нажмите Apply и проверьте соединение.

2. Настройка DHCP

Если провайдер раздает IP автоматически:

• Откройте IP → DHCP Client.
• Нажмите +, выберите интерфейс (например, ether1).
• Убедитесь, что стоит галочка Use Peer DNS.
• Сохраните настройки – роутер получит IP автоматически.

3. Настройка Static IP

Если провайдер выдал фиксированный IP-адрес:

• Перейдите в IP → Addresses.
• Добавьте новый адрес: укажите интерфейс (ether1) и вручную введите IP, маску (например, 192.168.1.2/24).
• В IP → Routes добавьте маршрут: Gateway – шлюз провайдера (например, 192.168.1.1).
• В IP → DNS укажите DNS-серверы (8.8.8.8, 1.1.1.1 или от провайдера).

После настройки проверьте интернет через Ping в терминале или вкладке Tools → Ping. Если соединение не работает, убедитесь, что кабель подключен к правильному порту, а настройки провайдера введены без ошибок.

Создание и защита Wi-Fi сети

Зайдите в раздел Wireless в интерфейсе WinBox и выберите вкладку Security Profiles. Создайте новый профиль, указав:

• Имя – например, Home_WiFi_Secure.
• Режим безопасности – WPA2-PSK (не используйте WEP или WPA).
• Ключ – пароль длиной от 12 символов с цифрами, буквами и спецсимволами.
• Шифрование – AES (не TKIP).

Настройка беспроводного интерфейса

Перейдите в Interfaces → Wireless, выберите свой интерфейс (обычно wlan1) и задайте:

• SSID – уникальное имя сети, без личных данных.
• Mode – AP Bridge.
• Band – 2GHz-B/G/N для совместимости со старыми устройствами.
• Frequency – выберите канал вручную (1, 6 или 11 для 2.4 ГГц) или оставьте auto.
• Security Profile – выберите созданный ранее профиль.

Дополнительная защита

В разделе IP → Firewall добавьте правило для блокировки внешнего доступа к роутеру через Wi-Fi:

• Chain – input.
• Protocol – tcp.
• Dst. Port – 8291 (WinBox), 80 (HTTP), 22 (SSH).
• In. Interface – ваш Wi-Fi интерфейс.
• Action – drop.

Отключите WPS в настройках Wireless – эта функция уязвима к взлому.

Настройка локальной сети (LAN) и IP-адресации

Откройте WinBox, подключитесь к роутеру и перейдите в раздел IP → Addresses. Здесь задайте IP-адрес для локального интерфейса, например, 192.168.88.1/24, чтобы устройство стало шлюзом для домашней сети.

Назначение DHCP-сервера

В IP → DHCP Server нажмите DHCP Setup и выберите интерфейс bridge-local или ether2, если используете отдельный порт. Укажите пул адресов, например, 192.168.88.100-192.168.88.200, чтобы автоматически раздавать IP-адреса устройствам.

Проверьте настройки DNS в DHCP-сервере: в поле DNS Servers пропишите 192.168.88.1 (роутер) или публичные адреса, такие как 8.8.8.8.

Фиксированные IP для устройств

Для статических адресов перейдите в IP → DHCP Server → Leases, найдите нужное устройство и нажмите Make Static. Затем в IP → DHCP Server → Static задайте конкретный IP, например, 192.168.88.10 для принтера.

Если устройство не поддерживает DHCP, вручную назначьте IP из той же подсети, что и роутер, например, 192.168.88.30, с маской 255.255.255.0 и шлюзом 192.168.88.1.

Проверьте связность: подключите устройство к сети и выполните ping 192.168.88.1 в командной строке. Если пакеты проходят, настройка выполнена верно.

Организация проброса портов и доступа извне

Для проброса портов на MikroTik RB951G-2HnD откройте веб-интерфейс RouterOS и перейдите в раздел IP → Firewall → NAT. Нажмите Add New, выберите dstnat и укажите внешний порт в поле Dst. Port, например, 8080 для веб-сервера.

Настройка правил NAT

В поле Protocol выберите нужный тип трафика – tcp, udp или both. В разделе Action укажите dst-nat, затем введите локальный IP-адрес устройства (например, 192.168.88.100) и внутренний порт (80 для HTTP). Нажмите Apply, чтобы сохранить правило.

Проверка доступности извне

Убедитесь, что внешний IP-адрес маршрутизатора статический или используйте DynDNS для динамических адресов. Проверить проброс можно через сервисы вроде portchecktool.com – введите внешний порт и убедитесь, что он открыт. Если соединение не работает, проверьте встроенный фаерволл и настройки безопасности на целевом устройстве.

Для дополнительной защиты ограничьте доступ по IP, добавив правило в Firewall → Filter Rules с параметром Src. Address, указав доверенные адреса. Это снизит риск несанкционированного доступа.

Блокировка рекламы и нежелательного трафика

Добавьте список доменов рекламных серверов в фильтр MikroTik, чтобы заблокировать их на уровне маршрутизатора. Скачайте актуальный список, например, с StevenBlack/hosts, и загрузите его в роутер.

Создайте новый список адресов в разделе IP → Firewall → Address Lists. Нажмите Add New, укажите название (например, AdBlock_List) и вставьте загруженные домены.

Настройте фильтрацию в фаерволе. Перейдите в IP → Firewall → Filter Rules, добавьте новое правило с действием drop. В поле Dst. Address List выберите созданный список. Примените правило ко всем интерфейсам.

Для блокировки DNS-запросов к рекламным серверам измените настройки DNS. В IP → DNS → Static добавьте записи типа A или CNAME, перенаправляющие запрещённые домены на локальный IP (например, 0.0.0.0).

Проверьте работу блокировки через команду /tool dns lookup host=example.adserver.com. Если ответ содержит 0.0.0.0, фильтрация активна.

Обновляйте список раз в месяц. Используйте скрипт для автоматической загрузки новых записей. Добавьте его в System → Scripts и настройте выполнение по расписанию.