Какой MikroTik выбрать для дома в 2026 году
Выбор домашнего роутера MikroTik может запутать: десятки моделей с криптованными названиями вроде RBD53iG-5HacD2HnD, разные поколения Wi-Fi, непонятные буквы в артикулах. В этом руководстве разберём актуальные домашние модели MikroTik, сравним их по сценариям использования и дадим конкретные рекомендации: что купить для квартиры, частного дома и домашней лаборатории в 2026 году.
Описание
Критерии выбора домашнего роутера
Прежде чем смотреть конкретные модели, определите свои требования:
| Критерий | Вопросы для себя |
|---|---|
| Площадь помещения | Квартира до 60 м², квартира 60-100 м², частный дом, многоэтажный дом |
| Количество устройств | До 10, 10-30, 30-50, более 50 |
| Скорость провайдера | До 100 Мбит/с, 200-500 Мбит/с, 1 Гбит/с, 2.5 Гбит/с |
| Wi-Fi | Нужен / не нужен (есть отдельные точки доступа) |
| Стандарт Wi-Fi | Wi-Fi 5 (ac), Wi-Fi 6 (ax), Wi-Fi 7 (be) |
| VPN | Не нужен, WireGuard для себя, VPN-сервер для удалённого доступа |
| Бюджет | $25-40, $40-70, $70-100, $100-150 |
Расшифровка названий MikroTik
Названия моделей MikroTik — это сокращения характеристик:
- hAP — home Access Point (домашняя точка доступа)
- hEX — home Ethernet eXtreme (проводной маршрутизатор)
- cAP — ceiling Access Point (потолочная точка доступа)
- ax — Wi-Fi 6 (802.11ax)
- be — Wi-Fi 7 (802.11be)
- lite — упрощённая/бюджетная версия
- S — SFP порт
Модели: подробный обзор
Таблица актуальных моделей
| Модель | Wi-Fi | CPU | RAM | Порты | Скорость WAN | Цена |
|---|---|---|---|---|---|---|
| hAP lite (RB941-2nD) | Wi-Fi 4 (n), 2.4 ГГц | 650 МГц, 1 ядро | 32 МБ | 4x 100M | 100 Мбит/с | ~$25 |
| hAP ax lite (L41G-2axD) | Wi-Fi 6, 2.4 ГГц | IPQ-5010, 2 ядра | 256 МБ | 4x 1G | 1 Гбит/с | ~$40 |
| hEX S (RB760iGS) | Нет | MT7621A, 2 ядра, 880 МГц | 256 МБ | 5x 1G + SFP | 1 Гбит/с | ~$60 |
| hAP ax2 (C52iG-5HaxD2HaxD) | Wi-Fi 6, 2.4+5 ГГц | IPQ-5018, 4 ядра, 1 ГГц | 1 ГБ | 5x 1G | 1 Гбит/с | ~$70 |
| cAP ax (CAPGi-5HaxD2HaxD) | Wi-Fi 6, 2.4+5 ГГц | IPQ-5018, 4 ядра | 1 ГБ | 2x 1G | — | ~$90 |
| hAP ax3 (C53UiG+5HPaxD2HPaxD) | Wi-Fi 6, 2.4+5 ГГц (high power) | IPQ-5018, 4 ядра, 1.8 ГГц | 512 МБ | 4x 1G + 1x 2.5G | 2.5 Гбит/с | ~$100 |
| hAP be3 | Wi-Fi 7, 2.4+5+6 ГГц | Qualcomm, 4 ядра | 1 ГБ | 4x 1G + 1x 2.5G | 2.5 Гбит/с | ~$130 |
hAP lite — бюджетный минимум ($25)
Самый дешёвый MikroTik с Wi-Fi. Подходит для дачи, временного решения или обучения RouterOS. Wi-Fi 4 только в диапазоне 2.4 ГГц, порты 100 Мбит/с, 32 МБ RAM — это минимум для RouterOS 7.
Подходит: дача, обучение, тариф до 100 Мбит/с, 3-5 устройств. Не подходит: основной роутер в квартире, скорости выше 100 Мбит/с.
[admin@MikroTik] ># Базовая настройка hAP lite /system/identity/set name="dacha-router" /interface/wireless/set wlan1 mode=ap-bridge ssid="Dacha-WiFi" \ frequency=2437 channel-width=20/40mhz-Ce \ wireless-protocol=802.11 security-profile=default /interface/wireless/security-profiles/set default \ authentication-types=wpa2-psk wpa2-pre-shared-key="MySecurePass123"
hAP ax lite — бюджетный Wi-Fi 6 ($40)
Отличный выбор для небольшой квартиры. Wi-Fi 6 в диапазоне 2.4 ГГц (без 5 ГГц!), гигабитные порты, 256 МБ RAM. Главное ограничение — отсутствие 5 ГГц диапазона.
Подходит: квартира до 40 м², тариф до 500 Мбит/с, 5-15 устройств. Не подходит: квартира с большим количеством Wi-Fi соседей (2.4 ГГц перегружен), потоковое 4K видео.
hEX S — проводной маршрутизатор ($60)
Без Wi-Fi, но с SFP-портом и мощным процессором для своей цены. Идеален если у вас уже есть отдельные точки доступа Wi-Fi (Unifi, MikroTik cAP) или Wi-Fi не нужен вообще (серверная, лаб).
Подходит: домашняя лаборатория (без Wi-Fi), проводная сеть, тариф до 1 Гбит/с. Не подходит: если нужен Wi-Fi "из коробки".
[admin@MikroTik] ># hEX S: настройка с отдельной точкой доступа на ether5 /system/identity/set name="home-router" # WAN на ether1 /ip/dhcp-client/add interface=ether1 disabled=no # Bridge для LAN (ether2-ether4) /interface/bridge/add name=bridge-lan /interface/bridge/port add bridge=bridge-lan interface=ether2 add bridge=bridge-lan interface=ether3 add bridge=bridge-lan interface=ether4 # ether5 — для точки доступа (trunk с VLAN) /interface/bridge/port/add bridge=bridge-lan interface=ether5 # NAT /ip/firewall/nat/add chain=srcnat out-interface=ether1 action=masquerade
hAP ax2 — золотая середина ($70)
Оптимальный выбор для большинства квартир. Полноценный Wi-Fi 6 в обоих диапазонах (2.4 + 5 ГГц), 1 ГБ RAM, 4-ядерный процессор. Этот роутер справится практически с любой домашней задачей: маршрутизация, NAT, VPN, firewall.
Подходит: квартира до 80 м², тариф до 1 Гбит/с, 15-30 устройств, WireGuard VPN. Не подходит: большой дом (одного роутера не хватит), тариф 2.5 Гбит/с.
[admin@MikroTik] ># Настройка hAP ax2 для квартиры /system/identity/set name="home-hap-ax2" # Wi-Fi 6 настройка через wifi пакет (RouterOS 7.13+) /interface/wifi/security add name=sec1 authentication-types=wpa2-psk,wpa3-psk \ passphrase="VerySecurePassword123" /interface/wifi/configuration add name=cfg-2ghz country=Russia security=sec1 ssid="Home-WiFi" \ channel.band=2ghz-ax channel.width=20/40mhz add name=cfg-5ghz country=Russia security=sec1 ssid="Home-WiFi" \ channel.band=5ghz-ax channel.width=20/40/80mhz /interface/wifi set wifi1 configuration=cfg-2ghz disabled=no set wifi2 configuration=cfg-5ghz disabled=no # WireGuard для удалённого доступа домой /interface/wireguard/add name=wg0 listen-port=51820 /ip/address/add address=10.0.0.1/24 interface=wg0 /interface/wireguard/peers/add interface=wg0 \ public-key="<YOUR_PHONE_PUBLIC_KEY>" \ allowed-address=10.0.0.2/32 comment="iPhone" # Firewall: разрешить WireGuard /ip/firewall/filter/add chain=input protocol=udp dst-port=51820 \ action=accept comment="Allow WireGuard"
Производительность hAP ax2:
| Сценарий | Скорость |
|---|---|
| Routing (без NAT) | ~1.8 Гбит/с |
| NAT masquerade | ~950 Мбит/с |
| WireGuard VPN | ~250-300 Мбит/с |
| Wi-Fi 5 ГГц (1 клиент) | ~500-600 Мбит/с |
| Wi-Fi 2.4 ГГц (1 клиент) | ~150-200 Мбит/с |
cAP ax — потолочная точка доступа ($90)
Не роутер, а точка доступа для расширения покрытия. Крепится на потолок/стену, питается по PoE (802.3af/at). Управляется через CAPsMAN на роутере MikroTik.
Подходит: расширение Wi-Fi покрытия в доме/офисе, mesh-подобная система с CAPsMAN. Не подходит: как единственное устройство (нет NAT, firewall).
[admin@MikroTik] ># На основном роутере: настройка CAPsMAN (Wireless controller) /interface/wifi/capsman set enabled=yes /interface/wifi/provisioning add action=create-dynamic-enabled master-configuration=cfg-5ghz \ slave-configurations=cfg-2ghz comment="Auto-provision cAP ax"
hAP ax3 — максимум для квартиры ($100)
Топовая модель для домашнего использования с Wi-Fi 6. Порт 2.5 GbE для провайдеров с тарифами выше 1 Гбит/с. High power антенны для лучшего покрытия.
Подходит: квартира до 100 м², тариф до 2.5 Гбит/с, 20-40 устройств. Не подходит: многоэтажный дом (нужны дополнительные AP).
[admin@MikroTik] ># Настройка 2.5G порта как WAN /interface/ethernet/set ether1 name=ether1-wan comment="WAN 2.5GbE" # Проверка согласования 2.5G /interface/ethernet/monitor ether1-wan once # rate: 2.5Gbps — работает # rate: 1Gbps — провайдер не поддерживает 2.5G или кабель Cat5
hAP be3 — Wi-Fi 7 ($130)
Первый домашний MikroTik с Wi-Fi 7 (802.11be). Три диапазона: 2.4 + 5 + 6 ГГц. Поддержка MLO (Multi-Link Operation), 4K-QAM, каналы 320 МГц в 6 ГГц.
Подходит: если вы хотите Wi-Fi 7 "на будущее", есть устройства с Wi-Fi 7, тариф 2.5 Гбит/с. Стоит ли ждать: в 2026 году Wi-Fi 7 клиентов становится всё больше (флагманские смартфоны, ноутбуки). Если покупаете роутер на 3-5 лет — hAP be3 оправдан. Если бюджет ограничен — hAP ax2/ax3 по-прежнему отличный выбор.
Преимущества Wi-Fi 7 перед Wi-Fi 6:
| Параметр | Wi-Fi 6 (ax) | Wi-Fi 7 (be) |
|---|---|---|
| Макс. ширина канала | 160 МГц | 320 МГц |
| Модуляция | 1024-QAM | 4096-QAM |
| Multi-Link Operation | Нет | Да |
| Диапазон 6 ГГц | Нет | Да |
| Теор. макс. скорость | ~9.6 Гбит/с | ~46 Гбит/с |
| Реальная скорость (1 клиент) | ~500-800 Мбит/с | ~1-2 Гбит/с |
Рекомендации по сценариям
Квартира до 60 м², бюджет — hAP ax2 ($70)
Это оптимальный выбор. Wi-Fi 6 в обоих диапазонах покроет квартиру до 60 м² без проблем. 1 ГБ RAM достаточно для VPN, firewall, 20+ устройств.
[admin@MikroTik] ># Быстрая настройка hAP ax2 для квартиры /system/identity/set name="apt-router" # WAN /ip/dhcp-client/add interface=ether1 disabled=no # Bridge /interface/bridge/add name=bridge-lan /interface/bridge/port add bridge=bridge-lan interface=ether2 add bridge=bridge-lan interface=ether3 add bridge=bridge-lan interface=ether4 add bridge=bridge-lan interface=ether5 # LAN IP /ip/address/add address=192.168.88.1/24 interface=bridge-lan # DHCP /ip/pool/add name=pool-lan ranges=192.168.88.100-192.168.88.254 /ip/dhcp-server/add name=dhcp-lan interface=bridge-lan \ address-pool=pool-lan lease-time=12h /ip/dhcp-server/network/add address=192.168.88.0/24 \ gateway=192.168.88.1 dns-server=192.168.88.1 # DNS /ip/dns/set allow-remote-requests=yes servers=1.1.1.1,8.8.8.8 # NAT /ip/firewall/nat/add chain=srcnat out-interface=ether1 action=masquerade # Firewall /ip/firewall/filter add chain=input connection-state=established,related action=accept add chain=input connection-state=invalid action=drop add chain=input in-interface=ether1 action=drop add chain=forward connection-state=established,related action=accept add chain=forward connection-state=invalid action=drop add chain=forward in-interface=ether1 connection-state=new \ connection-nat-state=!dstnat action=drop
Квартира 60-100 м² — hAP ax3 ($100)
Для большой квартиры нужны более мощные антенны. hAP ax3 с high power радиомодулями обеспечит стабильное покрытие. Порт 2.5 GbE пригодится для тарифов выше 1 Гбит/с.
Частный дом — hAP ax3 + cAP ax ($100 + $90)
Один роутер не покроет двухэтажный дом. Решение: hAP ax3 как основной роутер на первом этаже + cAP ax на втором этаже (подключение по Ethernet). CAPsMAN обеспечит бесшовный роуминг.
[admin@MikroTik] ># На hAP ax3 (основной роутер + CAPsMAN контроллер) /interface/wifi/capsman/set enabled=yes /interface/wifi/configuration add name=home-5ghz country=Russia ssid="MyHome" \ channel.band=5ghz-ax channel.width=20/40/80mhz \ security.authentication-types=wpa2-psk,wpa3-psk \ security.passphrase="SecurePass123" add name=home-2ghz country=Russia ssid="MyHome" \ channel.band=2ghz-ax channel.width=20/40mhz \ security.authentication-types=wpa2-psk,wpa3-psk \ security.passphrase="SecurePass123" /interface/wifi/provisioning add action=create-dynamic-enabled master-configuration=home-5ghz \ slave-configurations=home-2ghz
Домашняя лаборатория — RB5009 + отдельные AP
Для энтузиастов, которые хотят VLAN, множество VPN-туннелей, контейнеры, продвинутый firewall — hAP ax2/ax3 будет мало. RB5009UG+S+IN ($190) + одна-две cAP ax — идеальная связка.
[admin@MikroTik] ># RB5009: VLAN для homelab /interface/vlan add interface=bridge-lan vlan-id=10 name=vlan10-home add interface=bridge-lan vlan-id=20 name=vlan20-iot add interface=bridge-lan vlan-id=30 name=vlan30-servers add interface=bridge-lan vlan-id=40 name=vlan40-guest /ip/address add address=192.168.10.1/24 interface=vlan10-home add address=192.168.20.1/24 interface=vlan20-iot add address=192.168.30.1/24 interface=vlan30-servers add address=192.168.40.1/24 interface=vlan40-guest # IoT в изолированном VLAN — без доступа к основной сети /ip/firewall/filter add chain=forward in-interface=vlan20-iot dst-address=192.168.10.0/24 \ action=drop comment="IoT -> Home: block" add chain=forward in-interface=vlan20-iot dst-address=192.168.30.0/24 \ action=drop comment="IoT -> Servers: block"
MikroTik vs конкуренты
Краткое сравнение с Keenetic и TP-Link
| Критерий | MikroTik hAP ax2 | Keenetic Hopper | TP-Link Archer AX73 |
|---|---|---|---|
| Цена | ~$70 | ~$100 | ~$80 |
| Wi-Fi 6 | Да (2.4+5 ГГц) | Да (2.4+5 ГГц) | Да (2.4+5 ГГц) |
| Порт 2.5G | Нет | Да (1 порт) | Нет |
| RAM | 1 ГБ | 512 МБ | 512 МБ |
| VPN | WireGuard, IPsec, L2TP, SSTP, OpenVPN | WireGuard, IPsec, OpenVPN | OpenVPN (ограниченно) |
| Firewall | Полноценный (filter, NAT, mangle, raw) | Базовый | Базовый |
| VLAN | Полная поддержка | Частичная | Нет |
| CLI | Полноценный | Ограниченный | Нет |
| Обучение | Высокое (нужно изучать) | Низкое (мастер настройки) | Низкое |
| Автообновления | Нет (вручную) | Да | Да |
| Mesh | CAPsMAN (MikroTik AP) | Встроенный (Keenetic Mesh) | OneMesh |
| Целевая аудитория | Энтузиасты, IT-специалисты | Продвинутые пользователи | Массовый рынок |
MikroTik — для тех, кто хочет полный контроль над сетью, готов потратить время на обучение и ценит гибкость настройки. Лучший VPN, firewall, VLAN.
Keenetic — для тех, кто хочет продвинутый роутер с простой настройкой. Хороший баланс функций и удобства. Популярен в России.
TP-Link — массовый рынок. Простая настройка, но ограниченная функциональность. Слабый VPN, нет VLAN.
Где купить MikroTik в России
По состоянию на 2026 год MikroTik официально не продаётся в России, но доступен через:
- Маркетплейсы: Ozon, Wildberries, Яндекс.Маркет — цены выше, но быстрая доставка
- Специализированные магазины: Wifimag, LanMart, Сетевуха, Wi-Fi Systems
- Авито: б/у и новые устройства, проверяйте серийный номер
- AliExpress: из-за рубежа, долгая доставка, риск подделок
- Латвия/Прибалтика: прямые покупки с доставкой через посредников
При покупке проверяйте:
- Серийный номер на mikrotik.com/verify
- Версия hardware (ревизия платы)
- Наличие лицензии RouterOS (L3, L4 или L5)
Настройка
Универсальная первоначальная настройка для любой модели
[admin@MikroTik] ># 1. Смена пароля (по умолчанию пустой!) /user/set admin password="YourStrongPassword123!" # 2. Создание отдельного пользователя и отключение admin /user/add name=myuser password="AnotherStrongPass456!" group=full # Зайти под myuser, затем: /user/disable admin # 3. Обновление RouterOS /system/package/update/set channel=stable /system/package/update/check-for-updates /system/package/update/install # 4. Настройка DNS /ip/dns/set servers=1.1.1.1,8.8.8.8 allow-remote-requests=yes # 5. NTP (синхронизация времени) /system/ntp/client/set enabled=yes /system/ntp/client/servers/add address=pool.ntp.org # 6. Отключение ненужных сервисов /ip/service/disable telnet,ftp,api,api-ssl /tool/bandwidth-server/set enabled=no /ip/proxy/set enabled=no /ip/socks/set enabled=no # 7. Ограничение доступа к Winbox и SSH /ip/service/set winbox address=192.168.88.0/24 /ip/service/set ssh address=192.168.88.0/24
Проверка
[admin@MikroTik] ># Проверка модели и версии RouterOS /system/resource/print /system/routerboard/print # Проверка Wi-Fi: подключённые клиенты и скорость /interface/wifi/registration-table/print # Скорость WAN-порта /interface/ethernet/monitor ether1 once # Тест скорости (к ближайшему MikroTik) /tool/bandwidth-test address=192.168.88.2 protocol=tcp # Загрузка CPU /system/resource/cpu/print # Температура (hAP ax2/ax3) /system/health/print
Типичные ошибки
1. Не сменили пароль по умолчанию
MikroTik по умолчанию имеет пользователя admin с пустым паролем. Это первое, что проверяют ботнеты. Смените пароль сразу после первого входа.
2. Купили hAP lite для тарифа 500 Мбит/с
hAP lite имеет 100 Мбит/с порты. Физически невозможно получить больше 100 Мбит/с. Для тарифов выше 100 Мбит/с нужны гигабитные порты (hAP ax lite и выше).
3. Выбрали hAP ax lite и жалуются на Wi-Fi
hAP ax lite — это только 2.4 ГГц. В многоквартирном доме 2.4 ГГц диапазон перегружен соседскими сетями. Для комфортного Wi-Fi нужен 5 ГГц — то есть hAP ax2 или выше.
4. Один роутер на большой дом
Wi-Fi сигнал сильно ослабляется стенами, особенно несущими (бетон, кирпич). Один роутер покрывает 60-80 м² в типовой квартире. Для частного дома используйте hAP ax3 + дополнительные точки доступа cAP ax.
5. Не обновляют RouterOS
MikroTik не обновляется автоматически (в отличие от Keenetic). Проверяйте обновления вручную хотя бы раз в месяц:
[admin@MikroTik] >/system/package/update/check-for-updates
Обновления исправляют уязвимости безопасности и добавляют поддержку новых функций.
6. Wi-Fi 7 без устройств с Wi-Fi 7
Покупка hAP be3 имеет смысл только если у вас есть (или скоро будут) устройства с Wi-Fi 7. Для Wi-Fi 6 клиентов hAP be3 работает не лучше hAP ax3 — вы переплатите $30 без практической выгоды. Тем не менее, если покупаете роутер на 4-5 лет вперёд, Wi-Fi 7 — разумная инвестиция, так как к 2028 году большинство новых устройств будут поддерживать этот стандарт.
Итоговые рекомендации
| Сценарий | Рекомендация | Бюджет |
|---|---|---|
| Дача / обучение | hAP lite | $25 |
| Маленькая квартира (до 40 м²) | hAP ax lite | $40 |
| Квартира до 60 м² | hAP ax2 | $70 |
| Большая квартира (60-100 м²) | hAP ax3 | $100 |
| Квартира + Wi-Fi 7 "на будущее" | hAP be3 | $130 |
| Частный дом (2 этажа) | hAP ax3 + cAP ax | $190 |
| Homelab / энтузиаст | RB5009 + cAP ax | $280 |
| Проводная сеть + отдельные AP | hEX S | $60 |
Для большинства домашних пользователей hAP ax2 за $70 — это оптимальный выбор в 2026 году. Он обеспечивает Wi-Fi 6, гигабитную маршрутизацию, мощный VPN и полноценный firewall RouterOS.
# Базовая настройка hAP lite /system/identity/set name="dacha-router" /interface/wireless/set wlan1 mode=ap-bridge ssid="Dacha-WiFi" \ frequency=2437 channel-width=20/40mhz-Ce \ wireless-protocol=802.11 security-profile=default /interface/wireless/security-profiles/set default \ authentication-types=wpa2-psk wpa2-pre-shared-key="MySecurePass123" # hEX S: настройка с отдельной точкой доступа на ether5 /system/identity/set name="home-router" # WAN на ether1 /ip/dhcp-client/add interface=ether1 disabled=no # Bridge для LAN (ether2-ether4) /interface/bridge/add name=bridge-lan /interface/bridge/port add bridge=bridge-lan interface=ether2 add bridge=bridge-lan interface=ether3 add bridge=bridge-lan interface=ether4 # ether5 — для точки доступа (trunk с VLAN) /interface/bridge/port/add bridge=bridge-lan interface=ether5 # NAT /ip/firewall/nat/add chain=srcnat out-interface=ether1 action=masquerade # Настройка hAP ax2 для квартиры /system/identity/set name="home-hap-ax2" # Wi-Fi 6 настройка через wifi пакет (RouterOS 7.13+) /interface/wifi/security add name=sec1 authentication-types=wpa2-psk,wpa3-psk \ passphrase="VerySecurePassword123" /interface/wifi/configuration add name=cfg-2ghz country=Russia security=sec1 ssid="Home-WiFi" \ channel.band=2ghz-ax channel.width=20/40mhz add name=cfg-5ghz country=Russia security=sec1 ssid="Home-WiFi" \ channel.band=5ghz-ax channel.width=20/40/80mhz /interface/wifi set wifi1 configuration=cfg-2ghz disabled=no set wifi2 configuration=cfg-5ghz disabled=no # WireGuard для удалённого доступа домой /interface/wireguard/add name=wg0 listen-port=51820 /ip/address/add address=10.0.0.1/24 interface=wg0 /interface/wireguard/peers/add interface=wg0 \ public-key="<YOUR_PHONE_PUBLIC_KEY>" \ allowed-address=10.0.0.2/32 comment="iPhone" # Firewall: разрешить WireGuard /ip/firewall/filter/add chain=input protocol=udp dst-port=51820 \ action=accept comment="Allow WireGuard" # На основном роутере: настройка CAPsMAN (Wireless controller) /interface/wifi/capsman set enabled=yes /interface/wifi/provisioning add action=create-dynamic-enabled master-configuration=cfg-5ghz \ slave-configurations=cfg-2ghz comment="Auto-provision cAP ax" # Настройка 2.5G порта как WAN /interface/ethernet/set ether1 name=ether1-wan comment="WAN 2.5GbE" # Проверка согласования 2.5G /interface/ethernet/monitor ether1-wan once # rate: 2.5Gbps — работает # rate: 1Gbps — провайдер не поддерживает 2.5G или кабель Cat5 # Быстрая настройка hAP ax2 для квартиры /system/identity/set name="apt-router" # WAN /ip/dhcp-client/add interface=ether1 disabled=no # Bridge /interface/bridge/add name=bridge-lan /interface/bridge/port add bridge=bridge-lan interface=ether2 add bridge=bridge-lan interface=ether3 add bridge=bridge-lan interface=ether4 add bridge=bridge-lan interface=ether5 # LAN IP /ip/address/add address=192.168.88.1/24 interface=bridge-lan # DHCP /ip/pool/add name=pool-lan ranges=192.168.88.100-192.168.88.254 /ip/dhcp-server/add name=dhcp-lan interface=bridge-lan \ address-pool=pool-lan lease-time=12h /ip/dhcp-server/network/add address=192.168.88.0/24 \ gateway=192.168.88.1 dns-server=192.168.88.1 # DNS /ip/dns/set allow-remote-requests=yes servers=1.1.1.1,8.8.8.8 # NAT /ip/firewall/nat/add chain=srcnat out-interface=ether1 action=masquerade # Firewall /ip/firewall/filter add chain=input connection-state=established,related action=accept add chain=input connection-state=invalid action=drop add chain=input in-interface=ether1 action=drop add chain=forward connection-state=established,related action=accept add chain=forward connection-state=invalid action=drop add chain=forward in-interface=ether1 connection-state=new \ connection-nat-state=!dstnat action=drop # На hAP ax3 (основной роутер + CAPsMAN контроллер) /interface/wifi/capsman/set enabled=yes /interface/wifi/configuration add name=home-5ghz country=Russia ssid="MyHome" \ channel.band=5ghz-ax channel.width=20/40/80mhz \ security.authentication-types=wpa2-psk,wpa3-psk \ security.passphrase="SecurePass123" add name=home-2ghz country=Russia ssid="MyHome" \ channel.band=2ghz-ax channel.width=20/40mhz \ security.authentication-types=wpa2-psk,wpa3-psk \ security.passphrase="SecurePass123" /interface/wifi/provisioning add action=create-dynamic-enabled master-configuration=home-5ghz \ slave-configurations=home-2ghz # RB5009: VLAN для homelab /interface/vlan add interface=bridge-lan vlan-id=10 name=vlan10-home add interface=bridge-lan vlan-id=20 name=vlan20-iot add interface=bridge-lan vlan-id=30 name=vlan30-servers add interface=bridge-lan vlan-id=40 name=vlan40-guest /ip/address add address=192.168.10.1/24 interface=vlan10-home add address=192.168.20.1/24 interface=vlan20-iot add address=192.168.30.1/24 interface=vlan30-servers add address=192.168.40.1/24 interface=vlan40-guest # IoT в изолированном VLAN — без доступа к основной сети /ip/firewall/filter add chain=forward in-interface=vlan20-iot dst-address=192.168.10.0/24 \ action=drop comment="IoT -> Home: block" add chain=forward in-interface=vlan20-iot dst-address=192.168.30.0/24 \ action=drop comment="IoT -> Servers: block" # 1. Смена пароля (по умолчанию пустой!) /user/set admin password="YourStrongPassword123!" # 2. Создание отдельного пользователя и отключение admin /user/add name=myuser password="AnotherStrongPass456!" group=full # Зайти под myuser, затем: /user/disable admin # 3. Обновление RouterOS /system/package/update/set channel=stable /system/package/update/check-for-updates /system/package/update/install # 4. Настройка DNS /ip/dns/set servers=1.1.1.1,8.8.8.8 allow-remote-requests=yes # 5. NTP (синхронизация времени) /system/ntp/client/set enabled=yes /system/ntp/client/servers/add address=pool.ntp.org # 6. Отключение ненужных сервисов /ip/service/disable telnet,ftp,api,api-ssl /tool/bandwidth-server/set enabled=no /ip/proxy/set enabled=no /ip/socks/set enabled=no # 7. Ограничение доступа к Winbox и SSH /ip/service/set winbox address=192.168.88.0/24 /ip/service/set ssh address=192.168.88.0/24 # Проверка модели и версии RouterOS /system/resource/print /system/routerboard/print # Проверка Wi-Fi: подключённые клиенты и скорость /interface/wifi/registration-table/print # Скорость WAN-порта /interface/ethernet/monitor ether1 once # Тест скорости (к ближайшему MikroTik) /tool/bandwidth-test address=192.168.88.2 protocol=tcp # Загрузка CPU /system/resource/cpu/print # Температура (hAP ax2/ax3) /system/health/print /system/package/update/check-for-updates