mikrotik-wiki.ru
Главная
Загрузка...

Миграция с Ubiquiti на MikroTik

RouterOS 7.xРуководства15 мин30 мар. 2026 г.
TelegramVK

Миграция с Ubiquiti на MikroTik — EdgeRouter/UniFi → RouterOS

Ubiquiti Networks долгое время была «младшей альтернативой» MikroTik — EdgeRouter для маршрутизации, UniFi для Wi-Fi. Однако прекращение развития EdgeOS, ограничения UniFi Gateway и закрытость экосистемы заставляют многих администраторов искать замену. MikroTik предлагает сопоставимую или превосходящую функциональность с большей гибкостью и прозрачностью. В этом руководстве — подробное сравнение архитектур, команд и пошаговый план миграции.

Описание

Почему мигрировать с Ubiquiti

EdgeRouter / EdgeOS:

  • EdgeOS (основан на Vyatta/VyOS) фактически прекращён: последние обновления — только security-патчи
  • Ubiquiti сосредоточилась на экосистеме UniFi, EdgeMax-линейка не развивается
  • EdgeRouter-4/6/8/12 сняты с производства, замены нет
  • Нет WireGuard в EdgeOS (только IPsec, OpenVPN)
  • Ограниченный функционал: нет контейнеров, слабый scripting

UniFi Gateway (UDM, UDR, UXG):

  • Закрытая экосистема: настройка только через UniFi Controller (web UI), CLI ограничен
  • Нет доступа к полной конфигурации: многие параметры скрыты в GUI
  • Привязка к облаку: UniFi OS требует аккаунт Ubiquiti, обновления принудительные
  • Ограниченный firewall: зональный firewall через GUI, без гибкости CLI
  • Нет VPN-сервера (или сильно ограничен): WireGuard через Teleport (только для UI)
  • Нет QoS / queues: базовые Smart Queues, нет гибкой настройки

MikroTik — что предлагает взамен:

  • Полный контроль: CLI + WinBox + REST API
  • WireGuard, IPsec, L2TP, SSTP, OpenVPN — все VPN-протоколы
  • Контейнеры: Docker на роутере
  • Мощный scripting и автоматизация
  • Bridge VLAN Filtering: гибкая VLAN-коммутация
  • Нет привязки к облаку: всё работает локально
  • Бессрочная лицензия без подписок

Сравнение архитектур

КомпонентUbiquitiMikroTikКомментарий
МаршрутизаторEdgeRouter / UDM / UXGRB5009, hAP ax3, CCR2004MikroTik: больше выбора
ОС маршрутизатораEdgeOS (Vyatta) / UniFi OSRouterOS 7EdgeOS заморожена
КоммутаторEdgeSwitch / UniFi SwitchCRS326, CRS328, CSS610Сопоставимы
Wi-Fi APUniFi AP (U6, U7)cAP ax, hAP ax3UniFi AP: лучший выбор AP
Wi-Fi контроллерUniFi Controller (Network)CAPsMAN v2UniFi: удобнее GUI
УправлениеUniFi Controller (облако/локал)WinBox + CLI + REST APIMikroTik: гибче
CLIEdgeOS: Vyatta CLI / UniFi: ограниченRouterOS CLIRouterOS: мощнее
Мобильное приложениеUniFi App (отличное)Нет (WinBox Android — неофиц.)Ubiquiti: лучше UX
МониторингUniFi DashboardSNMP + Zabbix/GrafanaUniFi: красивее из коробки

Важное уточнение по Wi-Fi

Если говорить честно — UniFi AP по-прежнему одни из лучших Wi-Fi точек доступа по соотношению цена/качество/управляемость. Миграция Wi-Fi с UniFi на MikroTik cAP оправдана не всегда. Возможен гибридный подход: MikroTik для маршрутизации и коммутации + UniFi AP для Wi-Fi (без UniFi Controller, в standalone mode, или с отдельным controller).

Настройка

Сравнение CLI: EdgeOS (Vyatta) vs RouterOS

Базовые команды

ЗадачаEdgeOS (Vyatta)MikroTik RouterOS
Показать конфигурациюshow configuration/export
Войти в конфигурациюconfigureНе нужно
Применить измененияcommitАвтоматически
СохранитьsaveАвтоматически
ОткатитьrollbackНет встроенного (используйте бэкап)
Имя устройстваset system host-name Router/system/identity/set name=Router
Перезагрузкаreboot/system/reboot
Версияshow version/system/resource/print
Интерфейсыshow interfaces/interface/print
Маршрутыshow ip route/ip/route/print

Настройка интерфейсов

EdgeOS:

code
configure
set interfaces ethernet eth0 address dhcp
set interfaces ethernet eth0 description "WAN"
set interfaces ethernet eth1 address 192.168.1.1/24
set interfaces ethernet eth1 description "LAN"
commit
save

MikroTik:

[admin@MikroTik] >
/ip/dhcp-client/add interface=ether1
/interface/set ether1 comment="WAN"
/ip/address/add address=192.168.1.1/24 interface=ether2
/interface/set ether2 comment="LAN"
# Сохранение автоматическое

DHCP-сервер

EdgeOS:

code
configure
set service dhcp-server shared-network-name LAN subnet 192.168.1.0/24 \
  default-router 192.168.1.1
set service dhcp-server shared-network-name LAN subnet 192.168.1.0/24 \
  dns-server 1.1.1.1
set service dhcp-server shared-network-name LAN subnet 192.168.1.0/24 \
  start 192.168.1.100 stop 192.168.1.200
set service dhcp-server shared-network-name LAN subnet 192.168.1.0/24 \
  lease 86400
commit
save

MikroTik:

[admin@MikroTik] >
/ip/pool/add name=pool-lan ranges=192.168.1.100-192.168.1.200
/ip/dhcp-server/add name=dhcp-lan interface=bridge-lan \
  address-pool=pool-lan lease-time=1d
/ip/dhcp-server/network/add address=192.168.1.0/24 \
  gateway=192.168.1.1 dns-server=1.1.1.1

NAT / Masquerade

EdgeOS:

code
configure
set nat source rule 100 outbound-interface eth0
set nat source rule 100 source address 192.168.1.0/24
set nat source rule 100 translation address masquerade
commit
save

MikroTik:

[admin@MikroTik] >
/ip/firewall/nat/add chain=srcnat out-interface=ether1 \
  src-address=192.168.1.0/24 action=masquerade

Port Forward (DNAT)

EdgeOS:

code
configure
set nat destination rule 10 description "Web Server"
set nat destination rule 10 inbound-interface eth0
set nat destination rule 10 protocol tcp
set nat destination rule 10 destination port 80
set nat destination rule 10 translation address 192.168.1.10
commit
save

MikroTik:

[admin@MikroTik] >
/ip/firewall/nat/add chain=dstnat in-interface=ether1 \
  protocol=tcp dst-port=80 action=dst-nat \
  to-addresses=192.168.1.10 to-ports=80 \
  comment="Web Server"

Firewall: EdgeOS zones vs MikroTik chains

EdgeOS использует зональный firewall (Zone-Based Firewall), унаследованный от Vyatta:

EdgeOS:

code
configure

# Создаём зоны
set zone-policy zone WAN interface eth0
set zone-policy zone LAN interface eth1

# Правила между зонами
set zone-policy zone WAN from LAN firewall name LAN-to-WAN
set zone-policy zone LAN from WAN firewall name WAN-to-LAN

# Набор правил LAN → WAN (разрешить всё)
set firewall name LAN-to-WAN default-action accept

# Набор правил WAN → LAN (запретить, кроме established)
set firewall name WAN-to-LAN default-action drop
set firewall name WAN-to-LAN rule 10 action accept
set firewall name WAN-to-LAN rule 10 state established enable
set firewall name WAN-to-LAN rule 10 state related enable

commit
save

MikroTik (аналогичная логика):

[admin@MikroTik] >
# MikroTik не использует зоны, но может фильтровать по интерфейсам

# Established/Related — пропускаем
/ip/firewall/filter/add chain=forward \
  connection-state=established,related action=fasttrack-connection
/ip/firewall/filter/add chain=forward \
  connection-state=established,related action=accept

# Invalid — отбрасываем
/ip/firewall/filter/add chain=forward \
  connection-state=invalid action=drop

# WAN → LAN: блокируем новые соединения
/ip/firewall/filter/add chain=forward \
  in-interface=ether1 connection-state=new action=drop \
  comment="WAN -> LAN: deny new"

# LAN → WAN: разрешаем
/ip/firewall/filter/add chain=forward \
  in-interface=bridge-lan out-interface=ether1 action=accept \
  comment="LAN -> WAN: allow"

# Input: защита самого роутера
/ip/firewall/filter/add chain=input \
  connection-state=established,related action=accept
/ip/firewall/filter/add chain=input \
  connection-state=invalid action=drop
/ip/firewall/filter/add chain=input in-interface=ether1 action=drop \
  comment="Block WAN input"

Концептуальное различие: EdgeOS назначает интерфейсы в зоны и создаёт ruleset между зонами. MikroTik использует единую цепочку forward с фильтрацией по in-interface / out-interface. Результат одинаковый, но подход MikroTik более гибкий.

VLAN: EdgeSwitch vs MikroTik CRS

EdgeSwitch (CLI):

code
enable
configure
vlan database
vlan 10 name Management
vlan 20 name Users
exit

interface 0/1
switchport mode access
switchport access vlan 20
exit

interface 0/24
switchport mode trunk
switchport trunk allowed vlan 10,20
exit

MikroTik CRS326 (Bridge VLAN Filtering):

[admin@MikroTik] >
/interface/bridge/add name=bridge1 vlan-filtering=no

/interface/bridge/port/add bridge=bridge1 interface=ether1 pvid=20
/interface/bridge/port/add bridge=bridge1 interface=ether24

/interface/bridge/vlan/add bridge=bridge1 tagged=ether24 \
  untagged=ether1 vlan-ids=20
/interface/bridge/vlan/add bridge=bridge1 tagged=ether24 vlan-ids=10

# Management VLAN
/interface/vlan/add name=vlan10 vlan-id=10 interface=bridge1
/ip/address/add address=10.0.10.2/24 interface=vlan10
/ip/route/add dst-address=0.0.0.0/0 gateway=10.0.10.1

/interface/bridge/set bridge1 vlan-filtering=yes

Wi-Fi: UniFi Controller vs CAPsMAN v2

UniFi Controller

  • Централизованное управление всеми UniFi AP
  • Красивый web UI с картой размещения AP, статистикой клиентов
  • Автоматическое назначение каналов и мощности
  • Мобильное приложение для управления
  • Требует отдельный сервер/контроллер (или встроен в UDM)

CAPsMAN v2 (MikroTik)

  • Встроен в RouterOS (на любом MikroTik-роутере)
  • Управление через CLI и WinBox
  • Provisioning — автоматическое подключение новых AP
  • Нет мобильного приложения
  • Нет визуальной карты размещения (но есть в The Dude)
[admin@MikroTik] >
# === CAPsMAN v2: замена UniFi Controller ===

# На центральном роутере (RB5009 или аналог)

# Security profile (аналог UniFi WLAN settings)
/interface/wifi/security/add name=sec-corp \
  authentication-types=wpa2-psk,wpa3-psk \
  passphrase="CorpPassword123!" encryption=ccmp

/interface/wifi/security/add name=sec-guest \
  authentication-types=wpa2-psk \
  passphrase="GuestWiFi" encryption=ccmp

# Configuration (аналог UniFi WiFi Network)
/interface/wifi/configuration/add name=cfg-corp-5g \
  ssid="Corp-Office" security=sec-corp \
  country=Russia \
  channel.frequency=5180,5260,5500 \
  channel.width=20/40/80mhz

/interface/wifi/configuration/add name=cfg-guest-5g \
  ssid="Guest-WiFi" security=sec-guest \
  country=Russia \
  channel.frequency=5180,5260,5500

# Provisioning (аналог UniFi auto-adopt)
/interface/wifi/provisioning/add \
  supported-bands=5ghz-ax \
  master-configuration=cfg-corp-5g \
  slave-configurations=cfg-guest-5g \
  action=create-dynamic-enabled

/interface/wifi/provisioning/add \
  supported-bands=2ghz-ax \
  master-configuration=cfg-corp-2g \
  slave-configurations=cfg-guest-2g \
  action=create-dynamic-enabled

Сравнение функций Wi-Fi:

ФункцияUniFi ControllerCAPsMAN v2
Web UIОтличныйWinBox (хороший)
Мобильное приложениеДа (iOS, Android)Нет
Автоматическое назначение каналовДа (AI WiFi)Через конфигурацию
Roaming 802.11r/k/vДаДа (ROS 7.20+)
Band steeringДаДа
Guest portal (captive portal)Да (Hotspot)Да (/ip/hotspot)
Статистика клиентовПодробная в UIЧерез registration-table
Карта размещения APДаНет (через The Dude)
Количество APЗависит от контроллераБез ограничений
СтоимостьБесплатно (нужен сервер)Бесплатно (встроено)

VPN: EdgeRouter vs MikroTik

EdgeRouter IPsec Site-to-Site:

code
configure
set vpn ipsec auto-firewall-nat-exclude enable
set vpn ipsec ike-group FOO0 proposal 1 encryption aes256
set vpn ipsec ike-group FOO0 proposal 1 hash sha256
set vpn ipsec esp-group FOO0 proposal 1 encryption aes256
set vpn ipsec esp-group FOO0 proposal 1 hash sha256
set vpn ipsec site-to-site peer 198.51.100.1 ike-group FOO0
set vpn ipsec site-to-site peer 198.51.100.1 authentication mode pre-shared-secret
set vpn ipsec site-to-site peer 198.51.100.1 authentication pre-shared-secret "Secret123"
set vpn ipsec site-to-site peer 198.51.100.1 tunnel 1 local prefix 192.168.1.0/24
set vpn ipsec site-to-site peer 198.51.100.1 tunnel 1 remote prefix 192.168.2.0/24
set vpn ipsec site-to-site peer 198.51.100.1 tunnel 1 esp-group FOO0
commit
save

MikroTik WireGuard (рекомендуемая замена IPsec):

[admin@MikroTik] >
# WireGuard: проще, быстрее, надёжнее
/interface/wireguard/add name=wg-tunnel listen-port=13231
/ip/address/add address=10.255.255.1/30 interface=wg-tunnel

/interface/wireguard/peers/add interface=wg-tunnel \
  public-key="<PEER_PUBLIC_KEY>" \
  allowed-address=10.255.255.2/32,192.168.2.0/24 \
  endpoint-address=198.51.100.1 endpoint-port=13231

/ip/route/add dst-address=192.168.2.0/24 gateway=wg-tunnel

# Firewall для WireGuard
/ip/firewall/filter/add chain=input protocol=udp dst-port=13231 \
  action=accept comment="Allow WireGuard"
/ip/firewall/filter/add chain=forward in-interface=wg-tunnel \
  action=accept comment="Allow WG forward"

WireGuard — главное преимущество MikroTik над EdgeRouter. В EdgeOS WireGuard отсутствует (есть только в EdgeRouter через неофициальные пакеты для старых версий). В RouterOS WireGuard встроен и работает стабильно.

EdgeRouter OpenVPN vs MikroTik OpenVPN:

EdgeRouter поддерживает полноценный OpenVPN (TAP/TUN, UDP/TCP). MikroTik OpenVPN — только TCP и TUN (ограничения). Поэтому при миграции с EdgeRouter OpenVPN рекомендуется переходить на WireGuard, а не на MikroTik OpenVPN.

Routing: EdgeRouter vs MikroTik

EdgeOS OSPF:

code
configure
set protocols ospf router-id 1.1.1.1
set protocols ospf area 0 network 10.0.10.0/24
set protocols ospf area 0 network 10.0.20.0/24
set protocols ospf passive-interface eth1
commit
save

MikroTik OSPF (RouterOS 7):

[admin@MikroTik] >
/routing/ospf/instance/add name=ospf-main router-id=1.1.1.1
/routing/ospf/area/add name=backbone instance=ospf-main area-id=0.0.0.0

/routing/ospf/interface-template/add area=backbone \
  interfaces=ether2 networks=10.0.10.0/24 type=broadcast
/routing/ospf/interface-template/add area=backbone \
  interfaces=ether3 networks=10.0.20.0/24 passive

Синтаксис отличается, но логика одинакова. EdgeOS использует Quagga/FRRouting, MikroTik — собственную реализацию (полностью переписанную в RouterOS 7).

Преимущества и недостатки

MikroTik — преимущества:

  • Гибкость: полный доступ к каждому параметру через CLI, WinBox, REST API
  • WireGuard: встроенный, быстрый, простой VPN
  • Контейнеры: Docker-приложения на роутере
  • Scripting: мощная автоматизация (расписание, события, Netwatch)
  • Стоимость: RB5009 ($200) заменяет EdgeRouter + EdgeSwitch + UniFi Gateway
  • Активное развитие: регулярные обновления с новыми функциями
  • Нет привязки к облаку: всё работает автономно
  • Bridge VLAN Filtering: аппаратная VLAN-коммутация

Ubiquiti — преимущества:

  • UniFi экосистема: единый интерфейс для роутера, коммутаторов, AP, камер, доступа
  • UI/UX: красивый, интуитивный web-интерфейс
  • Мобильное приложение: управление сетью с телефона
  • UniFi AP: одни из лучших Wi-Fi AP по соотношению цена/качество
  • Простота: для типовых задач настройка через GUI быстрее, чем CLI
  • Wi-Fi AI: автоматическая оптимизация каналов, мощности, Band Steering
  • UniFi Protect: интегрированное видеонаблюдение

Пошаговый план миграции

Этап 1: аудит текущей сети Ubiquiti

Экспортируйте конфигурацию с EdgeRouter:

[admin@MikroTik] >
# На EdgeRouter
show configuration
show interfaces
show ip route
show nat
show firewall
show vpn

Из UniFi Controller:

  • Экспорт настроек сети (Settings → Backup)
  • Список WLAN (WiFi Networks)
  • Список VLAN
  • Firewall rules
  • Port forwarding rules

Этап 2: выбор оборудования MikroTik

Ubiquiti-устройствоЗамена MikroTikОбоснование
EdgeRouter 4RB5009UG+S+IN8 GbE + SFP+ 10G, мощнее
EdgeRouter XhEX S (RB760iGS)Аналогичный форм-фактор
UDM ProRB5009 + CRS326Раздельные routing и switching
UDR / UDM SERB5009 или hAP ax3Зависит от Wi-Fi потребностей
UniFi Switch 24CRS326-24G-2S+RM24 GbE + 2 SFP+
UniFi Switch 24 PoECRS328-24P-4S+RM24 PoE + 4 SFP+
UniFi Switch 8CRS112-8G-4S-IN8 GbE + 4 SFP
UniFi AP U6 ProcAP axWi-Fi 6, потолочный
UniFi AP U6 LitehAP ax2 (в режиме AP)Бюджетный вариант
UniFi AP U7 ProНет аналога Wi-Fi 7 (hAP be3 — роутер)Ubiquiti опережает

Этап 3: замена EdgeRouter на RB5009

[admin@MikroTik] >
# === Базовая настройка RB5009 (замена EdgeRouter) ===

/system/identity/set name="Office-Router"

# WAN (бывший eth0 на EdgeRouter)
/ip/dhcp-client/add interface=ether1

# Или статический IP:
# /ip/address/add address=203.0.113.2/30 interface=ether1
# /ip/route/add dst-address=0.0.0.0/0 gateway=203.0.113.1

# Bridge для LAN (бывшие eth1-eth4 на EdgeRouter)
/interface/bridge/add name=bridge-lan
/interface/bridge/port/add bridge=bridge-lan interface=ether2
/interface/bridge/port/add bridge=bridge-lan interface=ether3
/interface/bridge/port/add bridge=bridge-lan interface=ether4
/interface/bridge/port/add bridge=bridge-lan interface=ether5

# LAN IP
/ip/address/add address=192.168.1.1/24 interface=bridge-lan

# DHCP
/ip/pool/add name=pool-lan ranges=192.168.1.100-192.168.1.200
/ip/dhcp-server/add name=dhcp-lan interface=bridge-lan \
  address-pool=pool-lan lease-time=8h
/ip/dhcp-server/network/add address=192.168.1.0/24 \
  gateway=192.168.1.1 dns-server=192.168.1.1

# DNS
/ip/dns/set allow-remote-requests=yes servers=1.1.1.1,8.8.8.8

# NAT
/ip/firewall/nat/add chain=srcnat out-interface=ether1 action=masquerade

# Firewall (аналог EdgeRouter зонального firewall)
/ip/firewall/filter/add chain=input connection-state=established,related \
  action=accept
/ip/firewall/filter/add chain=input connection-state=invalid action=drop
/ip/firewall/filter/add chain=input in-interface=ether1 protocol=icmp \
  action=accept comment="Allow ICMP from WAN"
/ip/firewall/filter/add chain=input in-interface=ether1 action=drop \
  comment="Drop all other WAN input"

/ip/firewall/filter/add chain=forward \
  connection-state=established,related action=fasttrack-connection
/ip/firewall/filter/add chain=forward \
  connection-state=established,related action=accept
/ip/firewall/filter/add chain=forward \
  connection-state=invalid action=drop
/ip/firewall/filter/add chain=forward in-interface=ether1 \
  connection-state=new action=drop \
  comment="Block new connections from WAN"

Этап 4: замена UniFi AP на cAP ax

Если вы решили заменить UniFi AP на MikroTik cAP ax:

[admin@MikroTik] >
# === На RB5009: настройка CAPsMAN v2 ===

# Security
/interface/wifi/security/add name=sec-main \
  authentication-types=wpa2-psk,wpa3-psk \
  passphrase="MainWiFi123!" encryption=ccmp

# Configuration
/interface/wifi/configuration/add name=cfg-main-5g \
  ssid="Office-WiFi" security=sec-main \
  country=Russia \
  channel.frequency=5180,5260,5500 \
  channel.width=20/40/80mhz

/interface/wifi/configuration/add name=cfg-main-2g \
  ssid="Office-WiFi" security=sec-main \
  country=Russia \
  channel.frequency=2412,2437,2462 \
  channel.width=20mhz

# Provisioning
/interface/wifi/provisioning/add \
  supported-bands=5ghz-ax \
  master-configuration=cfg-main-5g \
  action=create-dynamic-enabled

/interface/wifi/provisioning/add \
  supported-bands=2ghz-ax \
  master-configuration=cfg-main-2g \
  action=create-dynamic-enabled

На cAP ax — сбросьте к заводским настройкам и подключите в ту же сеть, что и RB5009. CAP автоматически найдёт CAPsMAN и получит конфигурацию.

[admin@MikroTik] >
# Проверяем подключённые AP
/interface/wifi/cap/print

# Проверяем клиентов
/interface/wifi/registration-table/print

Этап 5: гибридный вариант (MikroTik router + UniFi AP)

Если UniFi AP устраивают и менять их нецелесообразно:

[admin@MikroTik] >
# На RB5009: VLAN для UniFi AP

# VLAN для управления AP (UniFi Controller)
/interface/vlan/add name=vlan-unifi-mgmt vlan-id=100 interface=bridge-lan
/ip/address/add address=10.0.100.1/24 interface=vlan-unifi-mgmt

# VLAN для Wi-Fi клиентов (настраивается в UniFi Controller)
/interface/vlan/add name=vlan-wifi-corp vlan-id=20 interface=bridge-lan
/ip/address/add address=10.0.20.1/24 interface=vlan-wifi-corp

/interface/vlan/add name=vlan-wifi-guest vlan-id=50 interface=bridge-lan
/ip/address/add address=10.0.50.1/24 interface=vlan-wifi-guest

# DHCP для VLAN
/ip/pool/add name=pool-wifi-corp ranges=10.0.20.100-10.0.20.250
/ip/dhcp-server/add name=dhcp-wifi-corp interface=vlan-wifi-corp \
  address-pool=pool-wifi-corp lease-time=8h
/ip/dhcp-server/network/add address=10.0.20.0/24 \
  gateway=10.0.20.1 dns-server=10.0.20.1

/ip/pool/add name=pool-wifi-guest ranges=10.0.50.100-10.0.50.250
/ip/dhcp-server/add name=dhcp-wifi-guest interface=vlan-wifi-guest \
  address-pool=pool-wifi-guest lease-time=1h
/ip/dhcp-server/network/add address=10.0.50.0/24 \
  gateway=10.0.50.1 dns-server=1.1.1.1

# Изоляция гостевой сети
/ip/firewall/filter/add chain=forward src-address=10.0.50.0/24 \
  dst-address=10.0.0.0/8 action=drop \
  comment="Guest WiFi: no internal access"

В UniFi Controller настройте WLAN с соответствующими VLAN ID (20 для Corp, 50 для Guest). UniFi AP будут тегировать трафик, а MikroTik — маршрутизировать между VLAN.

Проверка

После миграции выполните комплексную проверку:

[admin@MikroTik] >
# Проверяем базовую связность
/ping 8.8.8.8 count=5
/ping 1.1.1.1 count=5

# Проверяем DNS
/ip/dns/print
# Должны быть серверы и allow-remote-requests=yes

# Проверяем маршруты
/ip/route/print where active=yes
# Должен быть маршрут по умолчанию

# Проверяем NAT
/ip/firewall/nat/print stats
# masquerade должен иметь counter > 0

# Проверяем DHCP-выдачу
/ip/dhcp-server/lease/print
# Клиенты должны получать IP

# Проверяем firewall
/ip/firewall/filter/print stats
# Правила должны срабатывать

# Проверяем VPN (если настроен)
/interface/wireguard/peers/print
# last-handshake, rx, tx

# Проверяем Wi-Fi (если cAP ax)
/interface/wifi/registration-table/print
# Список подключённых клиентов

# Проверяем нагрузку
/system/resource/print
# cpu-load, free-memory, uptime

# Проверяем скорость
/tool/bandwidth-test address=<WAN-gateway> protocol=tcp duration=10s

Типичные ошибки

Попытка воспроизвести commit/save

Проблема: после настройки MikroTik ищут аналог commit и save из EdgeOS.

Решение: в RouterOS все изменения применяются и сохраняются мгновенно. Если вы настроили firewall-правило — оно уже работает. Это и плюс (нет забытого save), и минус (ошибочное правило сразу блокирует трафик). Для безопасности используйте Safe Mode в WinBox (Ctrl+X) — при потере связи изменения откатятся.

Путаница с bridge и switch

Проблема: в EdgeRouter каждый порт — отдельный интерфейс с собственным IP. В MikroTik пытаются сделать так же, но теряют связность.

Решение: в MikroTik для объединения портов в одну L2-сеть используется bridge. Без bridge каждый порт — изолированный интерфейс. Создайте bridge, добавьте порты, назначьте IP на bridge.

Зональный firewall → MikroTik chains

Проблема: привыкли к зонам EdgeOS (WAN/LAN/DMZ), не понимают, как организовать аналогичную защиту в MikroTik.

Решение: используйте in-interface и out-interface в правилах firewall. Для сложных конфигураций создавайте custom chains и jump-правила:

[admin@MikroTik] >
# Аналог зон через custom chains
/ip/firewall/filter/add chain=forward \
  in-interface=ether1 action=jump jump-target=wan-to-lan
/ip/firewall/filter/add chain=forward \
  in-interface=bridge-lan out-interface=ether1 action=jump \
  jump-target=lan-to-wan

/ip/firewall/filter/add chain=wan-to-lan \
  connection-state=established,related action=accept
/ip/firewall/filter/add chain=wan-to-lan action=drop

/ip/firewall/filter/add chain=lan-to-wan action=accept

Потеря UniFi Dashboard

Проблема: привыкли к красивому UniFi Dashboard со статистикой, графиками, картой AP. В MikroTik ничего подобного из коробки.

Решение: для мониторинга MikroTik-сети используйте:

  • Grafana + Prometheus — мониторинг через SNMP или REST API
  • Zabbix — корпоративный мониторинг с шаблонами для MikroTik
  • The Dude — бесплатный инструмент MikroTik для мониторинга и карты сети
  • WinBox — для оперативного управления

Ожидание мобильного приложения

Проблема: UniFi App позволял управлять сетью с телефона. Для MikroTik нет официального мобильного приложения.

Решение: используйте WinBox (есть неофициальная Android-версия), SSH-клиент (Termius, JuiceSSH) или REST API для интеграции с мобильными инструментами. Также доступен WebFig (web-интерфейс RouterOS) через мобильный браузер.

Миграция Wi-Fi без анализа покрытия

Проблема: заменили 5 UniFi AP U6 Pro на 5 cAP ax, но покрытие стало хуже.

Решение: MikroTik cAP ax и UniFi U6 Pro имеют разные характеристики антенн и мощности. При замене AP проведите survey (обследование покрытия) или хотя бы проверьте уровень сигнала в ключевых точках. Может потребоваться другое количество или размещение AP.

Миграция с Ubiquiti на MikroTik — это переход от управляемой простоты к управляемой гибкости. Вы потеряете красивый UI UniFi и мобильное приложение, но получите полный контроль над каждым аспектом сети, WireGuard, контейнеры и отсутствие привязки к облаку. Для сетей, где важна гибкость и прозрачность — MikroTik однозначно лучший выбор. Для тех, кто ценит простоту и единую экосистему — Ubiquiti UniFi по-прежнему хороша, особенно для Wi-Fi.

[admin@MikroTik] >
configure
set interfaces ethernet eth0 address dhcp
set interfaces ethernet eth0 description "WAN"
set interfaces ethernet eth1 address 192.168.1.1/24
set interfaces ethernet eth1 description "LAN"
commit
save
/ip/dhcp-client/add interface=ether1
/interface/set ether1 comment="WAN"
/ip/address/add address=192.168.1.1/24 interface=ether2
/interface/set ether2 comment="LAN"
# Сохранение автоматическое
configure
set service dhcp-server shared-network-name LAN subnet 192.168.1.0/24 \
  default-router 192.168.1.1
set service dhcp-server shared-network-name LAN subnet 192.168.1.0/24 \
  dns-server 1.1.1.1
set service dhcp-server shared-network-name LAN subnet 192.168.1.0/24 \
  start 192.168.1.100 stop 192.168.1.200
set service dhcp-server shared-network-name LAN subnet 192.168.1.0/24 \
  lease 86400
commit
save
/ip/pool/add name=pool-lan ranges=192.168.1.100-192.168.1.200
/ip/dhcp-server/add name=dhcp-lan interface=bridge-lan \
  address-pool=pool-lan lease-time=1d
/ip/dhcp-server/network/add address=192.168.1.0/24 \
  gateway=192.168.1.1 dns-server=1.1.1.1
configure
set nat source rule 100 outbound-interface eth0
set nat source rule 100 source address 192.168.1.0/24
set nat source rule 100 translation address masquerade
commit
save
/ip/firewall/nat/add chain=srcnat out-interface=ether1 \
  src-address=192.168.1.0/24 action=masquerade
configure
set nat destination rule 10 description "Web Server"
set nat destination rule 10 inbound-interface eth0
set nat destination rule 10 protocol tcp
set nat destination rule 10 destination port 80
set nat destination rule 10 translation address 192.168.1.10
commit
save
/ip/firewall/nat/add chain=dstnat in-interface=ether1 \
  protocol=tcp dst-port=80 action=dst-nat \
  to-addresses=192.168.1.10 to-ports=80 \
  comment="Web Server"
configure

# Создаём зоны
set zone-policy zone WAN interface eth0
set zone-policy zone LAN interface eth1

# Правила между зонами
set zone-policy zone WAN from LAN firewall name LAN-to-WAN
set zone-policy zone LAN from WAN firewall name WAN-to-LAN

# Набор правил LAN → WAN (разрешить всё)
set firewall name LAN-to-WAN default-action accept

# Набор правил WAN → LAN (запретить, кроме established)
set firewall name WAN-to-LAN default-action drop
set firewall name WAN-to-LAN rule 10 action accept
set firewall name WAN-to-LAN rule 10 state established enable
set firewall name WAN-to-LAN rule 10 state related enable

commit
save
# MikroTik не использует зоны, но может фильтровать по интерфейсам

# Established/Related — пропускаем
/ip/firewall/filter/add chain=forward \
  connection-state=established,related action=fasttrack-connection
/ip/firewall/filter/add chain=forward \
  connection-state=established,related action=accept

# Invalid — отбрасываем
/ip/firewall/filter/add chain=forward \
  connection-state=invalid action=drop

# WAN → LAN: блокируем новые соединения
/ip/firewall/filter/add chain=forward \
  in-interface=ether1 connection-state=new action=drop \
  comment="WAN -> LAN: deny new"

# LAN → WAN: разрешаем
/ip/firewall/filter/add chain=forward \
  in-interface=bridge-lan out-interface=ether1 action=accept \
  comment="LAN -> WAN: allow"

# Input: защита самого роутера
/ip/firewall/filter/add chain=input \
  connection-state=established,related action=accept
/ip/firewall/filter/add chain=input \
  connection-state=invalid action=drop
/ip/firewall/filter/add chain=input in-interface=ether1 action=drop \
  comment="Block WAN input"
enable
configure
vlan database
vlan 10 name Management
vlan 20 name Users
exit

interface 0/1
switchport mode access
switchport access vlan 20
exit

interface 0/24
switchport mode trunk
switchport trunk allowed vlan 10,20
exit
/interface/bridge/add name=bridge1 vlan-filtering=no

/interface/bridge/port/add bridge=bridge1 interface=ether1 pvid=20
/interface/bridge/port/add bridge=bridge1 interface=ether24

/interface/bridge/vlan/add bridge=bridge1 tagged=ether24 \
  untagged=ether1 vlan-ids=20
/interface/bridge/vlan/add bridge=bridge1 tagged=ether24 vlan-ids=10

# Management VLAN
/interface/vlan/add name=vlan10 vlan-id=10 interface=bridge1
/ip/address/add address=10.0.10.2/24 interface=vlan10
/ip/route/add dst-address=0.0.0.0/0 gateway=10.0.10.1

/interface/bridge/set bridge1 vlan-filtering=yes
# === CAPsMAN v2: замена UniFi Controller ===

# На центральном роутере (RB5009 или аналог)

# Security profile (аналог UniFi WLAN settings)
/interface/wifi/security/add name=sec-corp \
  authentication-types=wpa2-psk,wpa3-psk \
  passphrase="CorpPassword123!" encryption=ccmp

/interface/wifi/security/add name=sec-guest \
  authentication-types=wpa2-psk \
  passphrase="GuestWiFi" encryption=ccmp

# Configuration (аналог UniFi WiFi Network)
/interface/wifi/configuration/add name=cfg-corp-5g \
  ssid="Corp-Office" security=sec-corp \
  country=Russia \
  channel.frequency=5180,5260,5500 \
  channel.width=20/40/80mhz

/interface/wifi/configuration/add name=cfg-guest-5g \
  ssid="Guest-WiFi" security=sec-guest \
  country=Russia \
  channel.frequency=5180,5260,5500

# Provisioning (аналог UniFi auto-adopt)
/interface/wifi/provisioning/add \
  supported-bands=5ghz-ax \
  master-configuration=cfg-corp-5g \
  slave-configurations=cfg-guest-5g \
  action=create-dynamic-enabled

/interface/wifi/provisioning/add \
  supported-bands=2ghz-ax \
  master-configuration=cfg-corp-2g \
  slave-configurations=cfg-guest-2g \
  action=create-dynamic-enabled
configure
set vpn ipsec auto-firewall-nat-exclude enable
set vpn ipsec ike-group FOO0 proposal 1 encryption aes256
set vpn ipsec ike-group FOO0 proposal 1 hash sha256
set vpn ipsec esp-group FOO0 proposal 1 encryption aes256
set vpn ipsec esp-group FOO0 proposal 1 hash sha256
set vpn ipsec site-to-site peer 198.51.100.1 ike-group FOO0
set vpn ipsec site-to-site peer 198.51.100.1 authentication mode pre-shared-secret
set vpn ipsec site-to-site peer 198.51.100.1 authentication pre-shared-secret "Secret123"
set vpn ipsec site-to-site peer 198.51.100.1 tunnel 1 local prefix 192.168.1.0/24
set vpn ipsec site-to-site peer 198.51.100.1 tunnel 1 remote prefix 192.168.2.0/24
set vpn ipsec site-to-site peer 198.51.100.1 tunnel 1 esp-group FOO0
commit
save
# WireGuard: проще, быстрее, надёжнее
/interface/wireguard/add name=wg-tunnel listen-port=13231
/ip/address/add address=10.255.255.1/30 interface=wg-tunnel

/interface/wireguard/peers/add interface=wg-tunnel \
  public-key="<PEER_PUBLIC_KEY>" \
  allowed-address=10.255.255.2/32,192.168.2.0/24 \
  endpoint-address=198.51.100.1 endpoint-port=13231

/ip/route/add dst-address=192.168.2.0/24 gateway=wg-tunnel

# Firewall для WireGuard
/ip/firewall/filter/add chain=input protocol=udp dst-port=13231 \
  action=accept comment="Allow WireGuard"
/ip/firewall/filter/add chain=forward in-interface=wg-tunnel \
  action=accept comment="Allow WG forward"
configure
set protocols ospf router-id 1.1.1.1
set protocols ospf area 0 network 10.0.10.0/24
set protocols ospf area 0 network 10.0.20.0/24
set protocols ospf passive-interface eth1
commit
save
/routing/ospf/instance/add name=ospf-main router-id=1.1.1.1
/routing/ospf/area/add name=backbone instance=ospf-main area-id=0.0.0.0

/routing/ospf/interface-template/add area=backbone \
  interfaces=ether2 networks=10.0.10.0/24 type=broadcast
/routing/ospf/interface-template/add area=backbone \
  interfaces=ether3 networks=10.0.20.0/24 passive
# На EdgeRouter
show configuration
show interfaces
show ip route
show nat
show firewall
show vpn
# === Базовая настройка RB5009 (замена EdgeRouter) ===

/system/identity/set name="Office-Router"

# WAN (бывший eth0 на EdgeRouter)
/ip/dhcp-client/add interface=ether1

# Или статический IP:
# /ip/address/add address=203.0.113.2/30 interface=ether1
# /ip/route/add dst-address=0.0.0.0/0 gateway=203.0.113.1

# Bridge для LAN (бывшие eth1-eth4 на EdgeRouter)
/interface/bridge/add name=bridge-lan
/interface/bridge/port/add bridge=bridge-lan interface=ether2
/interface/bridge/port/add bridge=bridge-lan interface=ether3
/interface/bridge/port/add bridge=bridge-lan interface=ether4
/interface/bridge/port/add bridge=bridge-lan interface=ether5

# LAN IP
/ip/address/add address=192.168.1.1/24 interface=bridge-lan

# DHCP
/ip/pool/add name=pool-lan ranges=192.168.1.100-192.168.1.200
/ip/dhcp-server/add name=dhcp-lan interface=bridge-lan \
  address-pool=pool-lan lease-time=8h
/ip/dhcp-server/network/add address=192.168.1.0/24 \
  gateway=192.168.1.1 dns-server=192.168.1.1

# DNS
/ip/dns/set allow-remote-requests=yes servers=1.1.1.1,8.8.8.8

# NAT
/ip/firewall/nat/add chain=srcnat out-interface=ether1 action=masquerade

# Firewall (аналог EdgeRouter зонального firewall)
/ip/firewall/filter/add chain=input connection-state=established,related \
  action=accept
/ip/firewall/filter/add chain=input connection-state=invalid action=drop
/ip/firewall/filter/add chain=input in-interface=ether1 protocol=icmp \
  action=accept comment="Allow ICMP from WAN"
/ip/firewall/filter/add chain=input in-interface=ether1 action=drop \
  comment="Drop all other WAN input"

/ip/firewall/filter/add chain=forward \
  connection-state=established,related action=fasttrack-connection
/ip/firewall/filter/add chain=forward \
  connection-state=established,related action=accept
/ip/firewall/filter/add chain=forward \
  connection-state=invalid action=drop
/ip/firewall/filter/add chain=forward in-interface=ether1 \
  connection-state=new action=drop \
  comment="Block new connections from WAN"
# === На RB5009: настройка CAPsMAN v2 ===

# Security
/interface/wifi/security/add name=sec-main \
  authentication-types=wpa2-psk,wpa3-psk \
  passphrase="MainWiFi123!" encryption=ccmp

# Configuration
/interface/wifi/configuration/add name=cfg-main-5g \
  ssid="Office-WiFi" security=sec-main \
  country=Russia \
  channel.frequency=5180,5260,5500 \
  channel.width=20/40/80mhz

/interface/wifi/configuration/add name=cfg-main-2g \
  ssid="Office-WiFi" security=sec-main \
  country=Russia \
  channel.frequency=2412,2437,2462 \
  channel.width=20mhz

# Provisioning
/interface/wifi/provisioning/add \
  supported-bands=5ghz-ax \
  master-configuration=cfg-main-5g \
  action=create-dynamic-enabled

/interface/wifi/provisioning/add \
  supported-bands=2ghz-ax \
  master-configuration=cfg-main-2g \
  action=create-dynamic-enabled
# Проверяем подключённые AP
/interface/wifi/cap/print

# Проверяем клиентов
/interface/wifi/registration-table/print
# На RB5009: VLAN для UniFi AP

# VLAN для управления AP (UniFi Controller)
/interface/vlan/add name=vlan-unifi-mgmt vlan-id=100 interface=bridge-lan
/ip/address/add address=10.0.100.1/24 interface=vlan-unifi-mgmt

# VLAN для Wi-Fi клиентов (настраивается в UniFi Controller)
/interface/vlan/add name=vlan-wifi-corp vlan-id=20 interface=bridge-lan
/ip/address/add address=10.0.20.1/24 interface=vlan-wifi-corp

/interface/vlan/add name=vlan-wifi-guest vlan-id=50 interface=bridge-lan
/ip/address/add address=10.0.50.1/24 interface=vlan-wifi-guest

# DHCP для VLAN
/ip/pool/add name=pool-wifi-corp ranges=10.0.20.100-10.0.20.250
/ip/dhcp-server/add name=dhcp-wifi-corp interface=vlan-wifi-corp \
  address-pool=pool-wifi-corp lease-time=8h
/ip/dhcp-server/network/add address=10.0.20.0/24 \
  gateway=10.0.20.1 dns-server=10.0.20.1

/ip/pool/add name=pool-wifi-guest ranges=10.0.50.100-10.0.50.250
/ip/dhcp-server/add name=dhcp-wifi-guest interface=vlan-wifi-guest \
  address-pool=pool-wifi-guest lease-time=1h
/ip/dhcp-server/network/add address=10.0.50.0/24 \
  gateway=10.0.50.1 dns-server=1.1.1.1

# Изоляция гостевой сети
/ip/firewall/filter/add chain=forward src-address=10.0.50.0/24 \
  dst-address=10.0.0.0/8 action=drop \
  comment="Guest WiFi: no internal access"
# Проверяем базовую связность
/ping 8.8.8.8 count=5
/ping 1.1.1.1 count=5

# Проверяем DNS
/ip/dns/print
# Должны быть серверы и allow-remote-requests=yes

# Проверяем маршруты
/ip/route/print where active=yes
# Должен быть маршрут по умолчанию

# Проверяем NAT
/ip/firewall/nat/print stats
# masquerade должен иметь counter > 0

# Проверяем DHCP-выдачу
/ip/dhcp-server/lease/print
# Клиенты должны получать IP

# Проверяем firewall
/ip/firewall/filter/print stats
# Правила должны срабатывать

# Проверяем VPN (если настроен)
/interface/wireguard/peers/print
# last-handshake, rx, tx

# Проверяем Wi-Fi (если cAP ax)
/interface/wifi/registration-table/print
# Список подключённых клиентов

# Проверяем нагрузку
/system/resource/print
# cpu-load, free-memory, uptime

# Проверяем скорость
/tool/bandwidth-test address=<WAN-gateway> protocol=tcp duration=10s
# Аналог зон через custom chains
/ip/firewall/filter/add chain=forward \
  in-interface=ether1 action=jump jump-target=wan-to-lan
/ip/firewall/filter/add chain=forward \
  in-interface=bridge-lan out-interface=ether1 action=jump \
  jump-target=lan-to-wan

/ip/firewall/filter/add chain=wan-to-lan \
  connection-state=established,related action=accept
/ip/firewall/filter/add chain=wan-to-lan action=drop

/ip/firewall/filter/add chain=lan-to-wan action=accept
Руководства / Миграция с Ubiquiti на MikroTik
RouterOS 7.x