Mikrotik роутер

Подключите Mikrotik к интернету через порт ether1, используя кабель провайдера. Откройте веб-интерфейс Winbox или зайдите через IP 192.168.88.1 (логин admin, пароль по умолчанию пустой). Сразу смените пароль в разделе System → Users – это первое, что нужно сделать для безопасности.

Перейдите в IP → DHCP Client, добавьте клиента на интерфейс ether1, если провайдер использует автоматическую раздачу адресов. Для статического IP укажите параметры вручную в IP → Addresses. Проверьте подключение командой ping 8.8.8.8 в терминале.

Настройте локальную сеть: добавьте пул адресов в IP → Pool (например, 192.168.88.100-192.168.88.200), затем создайте DHCP-сервер в IP → DHCP Server, выбрав интерфейс bridge-local и указав шлюз 192.168.88.1. Устройства теперь будут получать адреса автоматически.

Подключение и первичная настройка Mikrotik RouterOS

Введите логин admin и оставьте поле пароля пустым, если роутер новый. Сразу смените пароль в разделе System > Users, чтобы исключить несанкционированный доступ.

Перейдите в Quick Set для базовой настройки. Выберите режим работы: Home AP для беспроводной сети или Router для проводного подключения к провайдеру. Укажите тип WAN-соединения (PPPoE, DHCP или Static) в соответствии с данными от интернет-провайдера.

Настройте Wi-Fi в разделе Wireless. Задайте имя сети (SSID) в поле SSID, выберите частоту 2.4GHz или 5GHz и установите пароль в Security Profile. Для лучшей защиты используйте режим шифрования WPA2 или WPA3.

Проверьте подключение к интернету, открыв любой сайт. Если страницы не загружаются, убедитесь, что в IP > DHCP Client есть активный DHCP-клиент на WAN-интерфейсе.

Обновите RouterOS через System > Packages, чтобы получить последние исправления. Перед обновлением создайте резервную копию конфигурации в Files > Backup.

Настройка DHCP-сервера для автоматической раздачи IP-адресов

Откройте WinBox, подключитесь к роутеру и перейдите в раздел IP → DHCP Server. Нажмите DHCP Setup, чтобы запустить мастер настройки.

• Выберите интерфейс, на котором будет работать DHCP (обычно это bridge-local или LAN-порт).
• Укажите пул адресов для раздачи, например: 192.168.88.100-192.168.88.200.
• Задайте маску подсети (255.255.255.0 для стандартных сетей).
• Введите шлюз – IP-адрес самого роутера (например, 192.168.88.1).
• Укажите DNS-серверы: можно использовать адреса провайдера или публичные (8.8.8.8, 1.1.1.1).
• Установите срок аренды адреса (по умолчанию – 10m для теста или 1d для стабильной работы).

После завершения настройки проверьте работу DHCP:

1. Подключите устройство к сети.
2. Убедитесь, что оно получило IP из указанного диапазона.
3. Попробуйте пропинговать шлюз (ping 192.168.88.1).

Для тонкой настройки зайдите в IP → DHCP Server → Leases. Здесь можно:

• Фиксировать IP за устройствами (нажмите Make Static).
• Просматривать список подключённых клиентов.
• Добавлять резервации для принтеров или серверов.

Если DHCP не работает, проверьте:

• Активен ли сервер (вкладка IP → DHCP Server).
• Нет ли конфликтов с другим DHCP-сервером в сети.
• Корректность firewall-правил (разрешен ли трафик на порт 67/68).

Создание и управление беспроводной сетью (Wi-Fi)

Откройте раздел Wireless в интерфейсе RouterOS и перейдите на вкладку Interfaces. Нажмите Add, чтобы создать новую беспроводную сеть. Выберите режим AP Bridge, если раздаёте Wi-Fi, или Station, если подключаетесь к другой точке доступа.

Настройка базовых параметров Wi-Fi

Укажите имя сети в поле SSID – используйте латиницу и избегайте спецсимволов. В списке Band выберите 2GHz-B/G/N для совместимости со старыми устройствами или 5GHz-A/N/AC для высокой скорости. Установите Channel Width на 20/40MHz для 2.4 ГГц и 80MHz для 5 ГГц.

Включите WPA2-PSK в разделе Security Profile и задайте сложный пароль длиной от 12 символов. Отключите поддержку WPA и TKIP – они снижают безопасность.

Оптимизация покрытия и стабильности

Проверьте загруженность каналов через Frequency Usage в меню Scan. Выберите наименее загруженный канал вручную или активируйте Auto Channel. Уменьшите Tx Power до 15–20 dBm, если клиенты находятся близко – это снизит помехи.

Для гостевого доступа создайте отдельный Virtual AP с включённой опцией Isolate Clients. Это предотвратит доступ гостевых устройств к основной сети. Ограничьте скорость для гостевой сети через Queue – например, установите лимит 5 Мбит/с на загрузку и отдачу.

Регулярно обновляйте RouterOS через System → Packages – новые версии улучшают работу Wi-Fi. Если сигнал слабый, добавьте внешнюю антенну или настройте WDS между роутерами MikroTik.

Настройка межсетевого экрана (Firewall) для защиты сети

Создайте правило в Firewall, блокирующее все входящие соединения из интернета, кроме необходимых. В Mikrotik перейдите в IP → Firewall → Filter Rules, добавьте новое правило с действием drop и интерфейсом WAN в цепочке input.

Разрешите доступ к внутренним сервисам только с доверенных IP-адресов. Например, для удалённого управления роутером добавьте правило с действием accept для порта 8291 (WinBox) и укажите IP-адреса администраторов в поле Src. Address.

Защитите сеть от сканирования портов и DDoS-атак. Включите защиту от SYN-флуда: в разделе IP → Firewall → Filter Rules создайте правило с протоколом tcp, флагом syn-only и действием drop для цепочки input.

Настройте NAT для безопасного выхода в интернет. В цепочке srcnat укажите интерфейс WAN и действие masquerade. Это скроет внутренние IP-адреса от внешних сетей.

Блокируйте нежелательный трафик с помощью списков адресов. Добавьте в IP → Firewall → Address Lists известные вредоносные IP-подсети, затем создайте правило с действием drop для этих адресов.

Проверяйте логи Firewall в Log для анализа подозрительной активности. Настройте уведомления о критических событиях через Tools → Email.

Организация гостевого доступа с ограничением прав

Создайте отдельную VLAN для гостевой сети, чтобы изолировать трафик от основной сети. В MikroTik перейдите в Interfaces → VLAN, добавьте новый интерфейс и укажите родительский порт (например, ether2) и идентификатор VLAN (например, 100).

Настройте DHCP-сервер для автоматической раздачи IP-адресов гостям. В разделе IP → DHCP Server создайте новый пул адресов (например, 192.168.10.100-192.168.10.200) и привяжите его к VLAN-интерфейсу. Укажите шлюз (192.168.10.1) и DNS-серверы (например, 8.8.8.8).

Ограничьте скорость и доступ к ресурсам через очередь. В Queues → Simple Queues добавьте новое правило для подсети гостей:

Заблокируйте доступ к внутренним IP-адресам. В IP → Firewall → Filter Rules добавьте правило:

• Цепочка: forward
• Src. Address: 192.168.10.0/24
• Dst. Address: 192.168.1.0/24 (основная сеть)
• Action: drop

Для Wi-Fi гостей создайте отдельный SSID в Wireless → Security Profiles. Используйте WPA2-PSK с простым паролем. В настройках точки доступа выберите созданный VLAN-интерфейс вместо bridge.

Проверьте работу: подключитесь к гостевой сети и убедитесь, что внутренние ресурсы недоступны, а скорость ограничена заданными значениями.

Настройка VPN для удаленного доступа к локальной сети

Для безопасного подключения к локальной сети через интернет используйте VPN. MikroTik поддерживает несколько вариантов, но PPTP и L2TP/IPsec подойдут для большинства задач.

Настройка PPTP-сервера

Откройте Winbox и выполните следующие шаги:

1. Перейдите в PPP → вкладка Interface → нажмите «+» и выберите PPTP Server.
2. В поле Listen укажите IP-адрес роутера (например, 192.168.88.1).
3. Перейдите во вкладку Profiles → создайте новый профиль с именем remote-access.
4. В разделе Local Address укажите IP роутера, в Remote Address – диапазон для выдачи клиентам (например, 192.168.89.2-192.168.89.10).

Создайте пользователя для доступа:

• Откройте PPP → Secrets → добавьте нового пользователя.
• В поле Name введите логин, в Password – пароль.
• Выберите профиль remote-access и сохраните.

Настройка L2TP/IPsec

L2TP с IPsec надежнее, но требует чуть больше действий.

1. Задайте общий ключ в IP → IPsec → Proposals (например, strongpassword123).
2. Включите L2TP-сервер в PPP → Interface → L2TP Server.
3. Активируйте опцию IPsec и проверьте туннель, перезапустив соединение на клиенте.

Разрешите подключение через брандмауэр:

• Откройте IP → Firewall → вкладка Filter Rules.
• Добавьте правило с действием accept для протокола gre и портов 1701-1723.

На клиентском устройстве используйте логин и пароль, настроенные в PPP Secrets. Для L2TP укажите общий ключ IPsec.