Обзор RB5009UG+S+IN
RouterOS 7.xОбзоры железа11 мин30 мар. 2026 г.
MikroTik RB5009UG+S+IN — обзор для продвинутых
RB5009UG+S+IN — это флагманский маршрутизатор MikroTik для малого и среднего бизнеса, выпущенный в 2021 году и актуальный по сей день. Он занимает нишу между домашними hAP и операторскими CCR: достаточно мощный для офиса на 50-100 человек, но компактный и доступный по цене (~$190). В этом обзоре разберём железо, производительность, типовые сценарии и настроим RB5009 для офиса с VLAN, firewall и VPN.
Описание
Технические характеристики
| Параметр | Значение |
|---|---|
| CPU | Marvell Armada 7040, 4 ядра ARM Cortex-A72, 1.4 ГГц |
| RAM | 1 ГБ DDR4 |
| Хранилище | 1 ГБ NAND + microSD слот |
| Ethernet | 7 x Gigabit Ethernet (10/100/1000) |
| 2.5 GbE | 1 x 2.5 Gigabit Ethernet (ether1) |
| SFP+ | 1 x SFP+ (1G/10G) |
| PoE | PoE-in на ether1 (802.3af/at), PoE-out на ether8 (пассивный, до 25 В) |
| Потребление | до 20 Вт (типичное ~12 Вт) |
| Охлаждение | Пассивное (без вентилятора) |
| Размер | 220 x 125 x 22 мм |
| Монтаж | Настольный, настенный, DIN-рейка, стойка 19" (с адаптером) |
| ОС | RouterOS v7 (ARM64) |
| Лицензия | L5 (Level 5) |
| Цена | ~$190 (март 2026) |
Обратите внимание: CPU — это Cortex-A72, а не A53 как в ранних ревизиях документации. Это мощное 4-ядерное ARM-ядро с out-of-order execution, что даёт заметное преимущество в задачах шифрования.
Для кого этот роутер
RB5009 создан для трёх основных сценариев:
- Офис 50-100 человек — маршрутизация, NAT, firewall, VLAN, DHCP, DNS
- Edge-роутер провайдера — подключение клиентов, PPPoE-сервер, bandwidth management
- VPN-концентратор — WireGuard/IPsec для удалённых сотрудников, site-to-site VPN
Сравнение с конкурентами
| Параметр | RB5009UG+S+IN | RB4011iGS+5HacQ2HnD | CCR2004-1G-12S+2XS | hAP ax3 |
|---|---|---|---|---|
| CPU | 4x A72 1.4 ГГц | 4x A72 1.4 ГГц | 4x A72 1.7 ГГц | 4x A53 1.8 ГГц |
| RAM | 1 ГБ DDR4 | 1 ГБ DDR3 | 4 ГБ DDR4 | 512 МБ |
| 2.5 GbE | 1 порт | Нет | Нет | 1 порт |
| SFP+ | 1 x 10G | 1 x 10G | 2 x 25G + 12 x 10G | Нет |
| Wi-Fi | Нет | 802.11ac Wave2 | Нет | Wi-Fi 6 |
| PoE-in | Да (802.3af/at) | Нет | Нет | Нет |
| Цена | ~$190 | ~$180 (снят с производства) | ~$450 | ~$100 |
| Назначение | Роутер, VPN | Роутер + Wi-Fi | Операторский маршрутизатор | Домашний роутер |
RB5009 vs RB4011: RB5009 — это эволюция RB4011. Похожий CPU, но DDR4 вместо DDR3, 2.5 GbE порт, PoE-in/out, более компактный корпус. Нет встроенного Wi-Fi — это осознанный выбор: для офиса лучше отдельные точки доступа (cAP ax, cAP XL ac).
RB5009 vs CCR2004: CCR2004 — это другой класс устройства. Больше SFP+ портов (12 штук + 2x25G), больше RAM, предназначен для операторов и дата-центров. Для офиса — избыточен и дороже.
RB5009 vs hAP ax3: hAP ax3 — домашний роутер с Wi-Fi 6. CPU слабее (Cortex-A53), 512 МБ RAM. Для маршрутизации и VPN RB5009 значительно быстрее.
Производительность
Все тесты проведены на RouterOS 7.20 с включённым hardware offload где возможно.
| Сценарий | Пропускная способность | CPU загрузка |
|---|---|---|
| Routing (IP forwarding) | ~5 Гбит/с | 15-20% |
| NAT (masquerade, 1 правило) | ~3 Гбит/с | 40-50% |
| NAT + Firewall (20 правил) | ~2.5 Гбит/с | 50-60% |
| IPsec (AES-256-GCM, IKEv2) | ~500 Мбит/с | 90-95% |
| WireGuard | ~900 Мбит/с | 80-85% |
| PPPoE Server (100 сессий) | ~2 Гбит/с | 30-40% |
| Fasttrack + NAT | ~4 Гбит/с | 10-15% |
Ключевые выводы:
- Routing без NAT с hardware offload достигает почти линейной скорости портов
- WireGuard значительно быстрее IPsec благодаря более лёгкой криптографии
- Fasttrack даёт колоссальный прирост при NAT — используйте его
- SFP+ порт может выдать 10 Гбит/с для routing, но NAT ограничит до ~3 Гбит/с
Настройка
Базовая настройка RB5009 для офиса
Сценарий: офис на 50 человек, интернет через 2.5 GbE порт (ether1), локальная сеть на портах ether2-ether8, SFP+ для uplink к коммутатору.
[admin@MikroTik] ># === Идентификация устройства === /system/identity/set name="Office-GW" # === Обновление RouterOS до последней версии === /system/package/update/check-for-updates /system/package/update/install # === Настройка портов === # ether1 (2.5 GbE) — WAN /interface/ethernet/set ether1 name=ether1-wan comment="WAN 2.5GbE" # ether2-ether7 — LAN bridge /interface/bridge/add name=bridge-lan comment="LAN bridge" /interface/bridge/port add bridge=bridge-lan interface=ether2 add bridge=bridge-lan interface=ether3 add bridge=bridge-lan interface=ether4 add bridge=bridge-lan interface=ether5 add bridge=bridge-lan interface=ether6 add bridge=bridge-lan interface=ether7 # ether8 — Management (отдельный порт с PoE-out) /interface/ethernet/set ether8 name=ether8-mgmt comment="Management + PoE-out" # SFP+ — подключение к коммутатору L2 (trunk) /interface/ethernet/set sfp-sfpplus1 name=sfp-trunk comment="Uplink to switch"
Настройка VLAN
[admin@MikroTik] ># === VLAN на bridge === /interface/bridge/set bridge-lan vlan-filtering=no # Включим позже # VLAN 10 — Сотрудники /interface/vlan/add interface=bridge-lan vlan-id=10 name=vlan10-staff # VLAN 20 — Бухгалтерия /interface/vlan/add interface=bridge-lan vlan-id=20 name=vlan20-accounting # VLAN 30 — Гостевой Wi-Fi /interface/vlan/add interface=bridge-lan vlan-id=30 name=vlan30-guest # VLAN 99 — Management /interface/vlan/add interface=bridge-lan vlan-id=99 name=vlan99-mgmt # Bridge VLAN таблица /interface/bridge/vlan add bridge=bridge-lan vlan-ids=10 tagged=bridge-lan,sfp-trunk \ untagged=ether2,ether3,ether4,ether5 add bridge=bridge-lan vlan-ids=20 tagged=bridge-lan,sfp-trunk \ untagged=ether6,ether7 add bridge=bridge-lan vlan-ids=30 tagged=bridge-lan,sfp-trunk add bridge=bridge-lan vlan-ids=99 tagged=bridge-lan,sfp-trunk # PVID для untagged портов /interface/bridge/port set [find interface=ether2] pvid=10 set [find interface=ether3] pvid=10 set [find interface=ether4] pvid=10 set [find interface=ether5] pvid=10 set [find interface=ether6] pvid=20 set [find interface=ether7] pvid=20 # IP-адреса для VLAN /ip/address add address=192.168.10.1/24 interface=vlan10-staff add address=192.168.20.1/24 interface=vlan20-accounting add address=192.168.30.1/24 interface=vlan30-guest add address=192.168.99.1/24 interface=vlan99-mgmt
DHCP-серверы для VLAN
[admin@MikroTik] ># DHCP Pool для каждого VLAN /ip/pool add name=pool-staff ranges=192.168.10.100-192.168.10.250 add name=pool-accounting ranges=192.168.20.100-192.168.20.250 add name=pool-guest ranges=192.168.30.100-192.168.30.250 # DHCP серверы /ip/dhcp-server add name=dhcp-staff interface=vlan10-staff address-pool=pool-staff \ lease-time=8h add name=dhcp-accounting interface=vlan20-accounting \ address-pool=pool-accounting lease-time=8h add name=dhcp-guest interface=vlan30-guest address-pool=pool-guest \ lease-time=1h # DHCP сети /ip/dhcp-server/network add address=192.168.10.0/24 gateway=192.168.10.1 \ dns-server=192.168.10.1 domain=office.local add address=192.168.20.0/24 gateway=192.168.20.1 \ dns-server=192.168.20.1 domain=office.local add address=192.168.30.0/24 gateway=192.168.30.1 \ dns-server=192.168.30.1 domain=office.local
WAN и NAT
[admin@MikroTik] ># DHCP-клиент на WAN /ip/dhcp-client/add interface=ether1-wan disabled=no \ add-default-route=yes use-peer-dns=yes # NAT masquerade /ip/firewall/nat/add chain=srcnat out-interface=ether1-wan \ action=masquerade comment="NAT masquerade" # Fasttrack для ускорения NAT /ip/firewall/filter add chain=forward action=fasttrack-connection \ connection-state=established,related comment="Fasttrack" add chain=forward connection-state=established,related action=accept
Firewall
[admin@MikroTik] >/ip/firewall/filter # === Input chain === add chain=input connection-state=established,related action=accept add chain=input connection-state=invalid action=drop add chain=input protocol=icmp action=accept add chain=input in-interface=ether1-wan action=drop \ comment="Drop all from WAN" # === Forward chain === add chain=forward connection-state=established,related action=accept add chain=forward connection-state=invalid action=drop # Сотрудники — полный доступ add chain=forward in-interface=vlan10-staff out-interface=ether1-wan \ action=accept comment="Staff -> Internet" # Бухгалтерия — полный доступ add chain=forward in-interface=vlan20-accounting out-interface=ether1-wan \ action=accept comment="Accounting -> Internet" # Гости — только HTTP/HTTPS add chain=forward in-interface=vlan30-guest out-interface=ether1-wan \ protocol=tcp dst-port=80,443 action=accept \ comment="Guest -> Internet HTTP/HTTPS only" add chain=forward in-interface=vlan30-guest out-interface=ether1-wan \ protocol=udp dst-port=53 action=accept \ comment="Guest -> DNS" # Гости не видят локальную сеть add chain=forward in-interface=vlan30-guest \ dst-address=192.168.0.0/16 action=drop \ comment="Guest -> LAN block" # Drop всё остальное add chain=forward action=drop comment="Drop all other forward"
WireGuard VPN для удалённых сотрудников
[admin@MikroTik] ># Создаём WireGuard интерфейс /interface/wireguard/add name=wg-remote listen-port=13231 \ comment="VPN для удалённых сотрудников" # IP-адрес для WireGuard /ip/address/add address=10.10.10.1/24 interface=wg-remote # Добавляем пиров (удалённые сотрудники) /interface/wireguard/peers add interface=wg-remote public-key="<PUBLIC_KEY_PEER1>" \ allowed-address=10.10.10.2/32 comment="Иванов — ноутбук" add interface=wg-remote public-key="<PUBLIC_KEY_PEER2>" \ allowed-address=10.10.10.3/32 comment="Петров — ноутбук" # Разрешить VPN-трафик в firewall /ip/firewall/filter add chain=input protocol=udp dst-port=13231 action=accept \ comment="Allow WireGuard" place-before=[find where comment="Drop all from WAN"] # Разрешить VPN-клиентам доступ к LAN add chain=forward in-interface=wg-remote dst-address=192.168.10.0/24 \ action=accept comment="VPN -> Staff LAN" add chain=forward in-interface=wg-remote dst-address=192.168.20.0/24 \ action=accept comment="VPN -> Accounting LAN" # DHCP-сервер не нужен — WireGuard использует статические IP
Включение VLAN filtering
[admin@MikroTik] ># ВАЖНО: включать VLAN filtering только после полной настройки! # Иначе потеряете доступ к роутеру # Убедитесь, что management IP настроен на VLAN 99 # и вы подключены через правильный порт /interface/bridge/set bridge-lan vlan-filtering=yes
Проверка
Мониторинг системы
[admin@MikroTik] ># Общая информация /system/resource/print # Загрузка CPU по ядрам /system/resource/cpu/print # Температура процессора (важно для пассивного охлаждения!) /system/health/print # Использование RAM /system/resource/print # Смотрите: free-memory, total-memory # Время работы /system/resource/print # Смотрите: uptime # Версия RouterOS /system/package/print
Мониторинг портов
[admin@MikroTik] ># Статус всех ethernet-портов /interface/ethernet/print # Скорость и дуплекс конкретного порта /interface/ethernet/monitor ether1-wan once # Статус SFP+ (модель модуля, температура, мощность) /interface/ethernet/monitor sfp-trunk once # Трафик по интерфейсам /interface/print stats
Проверка VLAN
[admin@MikroTik] ># Bridge VLAN таблица /interface/bridge/vlan/print # Проверить, что VLAN filtering работает /interface/bridge/print # MAC-адреса в bridge /interface/bridge/host/print where bridge=bridge-lan
Проверка производительности
[admin@MikroTik] ># CPU profiler — что нагружает процессор /tool/profile/print # Conntrack таблица — количество соединений /ip/firewall/connection/print count-only # Средняя пропускная способность /interface/monitor-traffic ether1-wan once
Типичные ошибки
1. Перегрев при высокой нагрузке
RB5009 использует пассивное охлаждение. При температуре окружающей среды 30°C и высокой нагрузке (IPsec, много NAT-сессий) процессор может нагреться до 75-80°C. Это не критично (throttling начинается при 105°C), но влияет на долговечность.
Решение: обеспечьте вентиляцию. Не устанавливайте в закрытый шкаф без принудительного обдува. Если монтируете в стойку — оставляйте промежуток между устройствами.
[admin@MikroTik] ># Мониторинг температуры /system/health/print # cpu-temperature: 65°C — нормально # cpu-temperature: 85°C — обеспечьте охлаждение
2. SFP+ модуль не определяется
RB5009 поддерживает не все SFP+ модули. Гарантированно работают:
- MikroTik S+RJ10 (10G медь)
- MikroTik S+31DLC10D (10G SM)
- MikroTik S+85DLC03D (10G MM)
- Большинство Cisco/Intel совместимых модулей
[admin@MikroTik] ># Диагностика SFP+ /interface/ethernet/monitor sfp-trunk once # Если модуль не определяется, проверьте: # 1. Совместимость модуля # 2. Контакты (вытащить-вставить) # 3. Обновите RouterOS до последней stable
3. PoE-out не работает
PoE-out на ether8 — пассивный, не 802.3af/at. Он выдаёт то же напряжение, что получает на PoE-in (ether1), минус потери. Это подходит для MikroTik устройств с пассивным PoE, но НЕ для стандартных 802.3af/at устройств.
[admin@MikroTik] ># Проверить PoE статус /interface/ethernet/poe/print # Мощность PoE-out /interface/ethernet/poe/monitor ether8 once
4. Потеря доступа при включении VLAN filtering
Если включить vlan-filtering=yes без правильной настройки management VLAN — потеряете доступ к роутеру.
Решение: перед включением vlan-filtering убедитесь:
- Management VLAN настроен
- IP-адрес назначен на VLAN-интерфейс
- DHCP или статический IP на вашем компьютере в management VLAN
- Вы подключены к правильному порту
Если потеряли доступ — сбросьте конфигурацию кнопкой Reset (удержание 5 секунд при включении).
5. Fasttrack не работает с некоторыми функциями
Fasttrack несовместим с:
- Queue (ни Simple Queue, ни Queue Tree)
- Mangle (маркировка пакетов)
- IPsec policy routing
Если вам нужен QoS — отключите Fasttrack:
[admin@MikroTik] ># Проверить наличие Fasttrack правила /ip/firewall/filter/print where action=fasttrack-connection # Отключить (не удалять — может понадобиться) /ip/firewall/filter/disable [find where action=fasttrack-connection]
Рекомендации по эксплуатации
Обновление прошивки
[admin@MikroTik] ># Проверить текущую версию /system/package/print # Переключиться на stable канал обновлений /system/package/update/set channel=stable # Проверить наличие обновлений /system/package/update/check-for-updates # Установить обновление (роутер перезагрузится) /system/package/update/install # Обновить RouterBOARD firmware (после обновления RouterOS) /system/routerboard/print # Если current-firmware < upgrade-firmware: /system/routerboard/upgrade /system/reboot
Резервное копирование
[admin@MikroTik] ># Бинарный бэкап (полный, включая пароли) /system/backup/save name=rb5009-backup encryption=aes-sha256 \ password=SecureBackupPass123 # Экспорт конфигурации (текстовый, без паролей) /export file=rb5009-config # Скачать бэкап через SFTP или Winbox: Files -> rb5009-backup.backup
Контейнеры на RB5009
Начиная с RouterOS 7.4, MikroTik поддерживает Docker-подобные контейнеры. RB5009 с 1 ГБ RAM и 1 ГБ NAND — минимально подходящая платформа для запуска контейнеров. Это позволяет развернуть на роутере дополнительные сервисы: Pi-hole (DNS-фильтрация), Prometheus node exporter (мониторинг), MQTT broker и другие.
[admin@MikroTik] ># Включение поддержки контейнеров (требует перезагрузки) /system/device-mode/update container=yes # После перезагрузки /container/config/set registry-url=https://registry-1.docker.io \ tmpdir=disk1/tmp # Создание VETH-интерфейса для контейнера /interface/veth/add name=veth-pihole address=172.17.0.2/24 \ gateway=172.17.0.1 # IP для gateway /ip/address/add address=172.17.0.1/24 interface=veth-pihole # Запуск контейнера Pi-hole /container/add remote-image=pihole/pihole:latest \ interface=veth-pihole root-dir=disk1/pihole \ envlist=pihole-env start-on-boot=yes /container/envs/add name=pihole-env key=TZ value="Europe/Moscow" /container/envs/add name=pihole-env key=WEBPASSWORD value="admin123"
Ограничения контейнеров на RB5009:
| Параметр | Ограничение |
|---|---|
| RAM для контейнеров | ~500 МБ (остальное для RouterOS) |
| Хранилище | 1 ГБ NAND (используйте microSD для данных) |
| CPU | Делится с RouterOS, нет изоляции ядер |
| Сеть | Через VETH, без macvlan |
Для серьёзных нагрузок контейнеры лучше запускать на отдельном сервере. На RB5009 контейнеры подходят для лёгких задач: DNS-фильтрация, мониторинг, MQTT.
Сравнение с альтернативами в ценовом диапазоне $150-250
В этом ценовом диапазоне RB5009 конкурирует не только с другими MikroTik, но и с решениями других производителей:
| Устройство | Цена | Проводные порты | VPN производительность | Особенности |
|---|---|---|---|---|
| RB5009UG+S+IN | $190 | 7x1G + 1x2.5G + SFP+ | WG ~900 Мбит/с | RouterOS, контейнеры |
| Ubiquiti EdgeRouter 4 | $200 | 3x1G + 1 SFP | WG ~400 Мбит/с | EdgeOS (Vyatta) |
| TP-Link ER7206 | $130 | 4x1G + 1 SFP | IPsec ~200 Мбит/с | Omada controller |
| Juniper SRX300 | $400+ | 6x1G | IPsec ~300 Мбит/с | JunOS, enterprise |
RB5009 выигрывает по соотношению цена/производительность, особенно в задачах VPN и маршрутизации. Однако для тех, кто привык к Ubiquiti или Juniper — переход на RouterOS потребует времени на обучение.
Подходит ли RB5009 как PPPoE-сервер для провайдера
Да, RB5009 может работать как PPPoE-сервер для небольшого провайдера (до 100-200 абонентов). Важные параметры:
[admin@MikroTik] ># Создание PPPoE-сервера /interface/pppoe-server/server/add service-name=ISP-PPPoE \ interface=bridge-lan default-profile=pppoe-profile \ max-mtu=1480 max-mru=1480 # Профиль PPPoE /ppp/profile/add name=pppoe-profile local-address=10.0.0.1 \ remote-address=pppoe-pool dns-server=10.0.0.1 \ rate-limit=50M/100M # Пул адресов /ip/pool/add name=pppoe-pool ranges=10.0.0.100-10.0.0.250 # Секреты (учётные записи абонентов) /ppp/secret/add name=user001 password=pass001 service=pppoe \ profile=pppoe-profile
Производительность PPPoE на RB5009: до 200 одновременных сессий при суммарном трафике ~2 Гбит/с с загрузкой CPU около 30-40%.
RB5009UG+S+IN — это оптимальный выбор для офиса, где нужна высокая производительность маршрутизации, VLAN-сегментация, VPN для удалённых сотрудников и всё это в компактном корпусе без вентилятора. За свои $190 это один из лучших маршрутизаторов в своём классе. Он занимает уникальную нишу: мощнее любого домашнего hAP, дешевле операторских CCR, и при этом достаточно компактный для установки в небольшой серверный шкаф или на DIN-рейку.
[admin@MikroTik] >
# === Идентификация устройства === /system/identity/set name="Office-GW" # === Обновление RouterOS до последней версии === /system/package/update/check-for-updates /system/package/update/install # === Настройка портов === # ether1 (2.5 GbE) — WAN /interface/ethernet/set ether1 name=ether1-wan comment="WAN 2.5GbE" # ether2-ether7 — LAN bridge /interface/bridge/add name=bridge-lan comment="LAN bridge" /interface/bridge/port add bridge=bridge-lan interface=ether2 add bridge=bridge-lan interface=ether3 add bridge=bridge-lan interface=ether4 add bridge=bridge-lan interface=ether5 add bridge=bridge-lan interface=ether6 add bridge=bridge-lan interface=ether7 # ether8 — Management (отдельный порт с PoE-out) /interface/ethernet/set ether8 name=ether8-mgmt comment="Management + PoE-out" # SFP+ — подключение к коммутатору L2 (trunk) /interface/ethernet/set sfp-sfpplus1 name=sfp-trunk comment="Uplink to switch" # === VLAN на bridge === /interface/bridge/set bridge-lan vlan-filtering=no # Включим позже # VLAN 10 — Сотрудники /interface/vlan/add interface=bridge-lan vlan-id=10 name=vlan10-staff # VLAN 20 — Бухгалтерия /interface/vlan/add interface=bridge-lan vlan-id=20 name=vlan20-accounting # VLAN 30 — Гостевой Wi-Fi /interface/vlan/add interface=bridge-lan vlan-id=30 name=vlan30-guest # VLAN 99 — Management /interface/vlan/add interface=bridge-lan vlan-id=99 name=vlan99-mgmt # Bridge VLAN таблица /interface/bridge/vlan add bridge=bridge-lan vlan-ids=10 tagged=bridge-lan,sfp-trunk \ untagged=ether2,ether3,ether4,ether5 add bridge=bridge-lan vlan-ids=20 tagged=bridge-lan,sfp-trunk \ untagged=ether6,ether7 add bridge=bridge-lan vlan-ids=30 tagged=bridge-lan,sfp-trunk add bridge=bridge-lan vlan-ids=99 tagged=bridge-lan,sfp-trunk # PVID для untagged портов /interface/bridge/port set [find interface=ether2] pvid=10 set [find interface=ether3] pvid=10 set [find interface=ether4] pvid=10 set [find interface=ether5] pvid=10 set [find interface=ether6] pvid=20 set [find interface=ether7] pvid=20 # IP-адреса для VLAN /ip/address add address=192.168.10.1/24 interface=vlan10-staff add address=192.168.20.1/24 interface=vlan20-accounting add address=192.168.30.1/24 interface=vlan30-guest add address=192.168.99.1/24 interface=vlan99-mgmt # DHCP Pool для каждого VLAN /ip/pool add name=pool-staff ranges=192.168.10.100-192.168.10.250 add name=pool-accounting ranges=192.168.20.100-192.168.20.250 add name=pool-guest ranges=192.168.30.100-192.168.30.250 # DHCP серверы /ip/dhcp-server add name=dhcp-staff interface=vlan10-staff address-pool=pool-staff \ lease-time=8h add name=dhcp-accounting interface=vlan20-accounting \ address-pool=pool-accounting lease-time=8h add name=dhcp-guest interface=vlan30-guest address-pool=pool-guest \ lease-time=1h # DHCP сети /ip/dhcp-server/network add address=192.168.10.0/24 gateway=192.168.10.1 \ dns-server=192.168.10.1 domain=office.local add address=192.168.20.0/24 gateway=192.168.20.1 \ dns-server=192.168.20.1 domain=office.local add address=192.168.30.0/24 gateway=192.168.30.1 \ dns-server=192.168.30.1 domain=office.local # DHCP-клиент на WAN /ip/dhcp-client/add interface=ether1-wan disabled=no \ add-default-route=yes use-peer-dns=yes # NAT masquerade /ip/firewall/nat/add chain=srcnat out-interface=ether1-wan \ action=masquerade comment="NAT masquerade" # Fasttrack для ускорения NAT /ip/firewall/filter add chain=forward action=fasttrack-connection \ connection-state=established,related comment="Fasttrack" add chain=forward connection-state=established,related action=accept /ip/firewall/filter # === Input chain === add chain=input connection-state=established,related action=accept add chain=input connection-state=invalid action=drop add chain=input protocol=icmp action=accept add chain=input in-interface=ether1-wan action=drop \ comment="Drop all from WAN" # === Forward chain === add chain=forward connection-state=established,related action=accept add chain=forward connection-state=invalid action=drop # Сотрудники — полный доступ add chain=forward in-interface=vlan10-staff out-interface=ether1-wan \ action=accept comment="Staff -> Internet" # Бухгалтерия — полный доступ add chain=forward in-interface=vlan20-accounting out-interface=ether1-wan \ action=accept comment="Accounting -> Internet" # Гости — только HTTP/HTTPS add chain=forward in-interface=vlan30-guest out-interface=ether1-wan \ protocol=tcp dst-port=80,443 action=accept \ comment="Guest -> Internet HTTP/HTTPS only" add chain=forward in-interface=vlan30-guest out-interface=ether1-wan \ protocol=udp dst-port=53 action=accept \ comment="Guest -> DNS" # Гости не видят локальную сеть add chain=forward in-interface=vlan30-guest \ dst-address=192.168.0.0/16 action=drop \ comment="Guest -> LAN block" # Drop всё остальное add chain=forward action=drop comment="Drop all other forward" # Создаём WireGuard интерфейс /interface/wireguard/add name=wg-remote listen-port=13231 \ comment="VPN для удалённых сотрудников" # IP-адрес для WireGuard /ip/address/add address=10.10.10.1/24 interface=wg-remote # Добавляем пиров (удалённые сотрудники) /interface/wireguard/peers add interface=wg-remote public-key="<PUBLIC_KEY_PEER1>" \ allowed-address=10.10.10.2/32 comment="Иванов — ноутбук" add interface=wg-remote public-key="<PUBLIC_KEY_PEER2>" \ allowed-address=10.10.10.3/32 comment="Петров — ноутбук" # Разрешить VPN-трафик в firewall /ip/firewall/filter add chain=input protocol=udp dst-port=13231 action=accept \ comment="Allow WireGuard" place-before=[find where comment="Drop all from WAN"] # Разрешить VPN-клиентам доступ к LAN add chain=forward in-interface=wg-remote dst-address=192.168.10.0/24 \ action=accept comment="VPN -> Staff LAN" add chain=forward in-interface=wg-remote dst-address=192.168.20.0/24 \ action=accept comment="VPN -> Accounting LAN" # DHCP-сервер не нужен — WireGuard использует статические IP # ВАЖНО: включать VLAN filtering только после полной настройки! # Иначе потеряете доступ к роутеру # Убедитесь, что management IP настроен на VLAN 99 # и вы подключены через правильный порт /interface/bridge/set bridge-lan vlan-filtering=yes # Общая информация /system/resource/print # Загрузка CPU по ядрам /system/resource/cpu/print # Температура процессора (важно для пассивного охлаждения!) /system/health/print # Использование RAM /system/resource/print # Смотрите: free-memory, total-memory # Время работы /system/resource/print # Смотрите: uptime # Версия RouterOS /system/package/print # Статус всех ethernet-портов /interface/ethernet/print # Скорость и дуплекс конкретного порта /interface/ethernet/monitor ether1-wan once # Статус SFP+ (модель модуля, температура, мощность) /interface/ethernet/monitor sfp-trunk once # Трафик по интерфейсам /interface/print stats # Bridge VLAN таблица /interface/bridge/vlan/print # Проверить, что VLAN filtering работает /interface/bridge/print # MAC-адреса в bridge /interface/bridge/host/print where bridge=bridge-lan # CPU profiler — что нагружает процессор /tool/profile/print # Conntrack таблица — количество соединений /ip/firewall/connection/print count-only # Средняя пропускная способность /interface/monitor-traffic ether1-wan once # Мониторинг температуры /system/health/print # cpu-temperature: 65°C — нормально # cpu-temperature: 85°C — обеспечьте охлаждение # Диагностика SFP+ /interface/ethernet/monitor sfp-trunk once # Если модуль не определяется, проверьте: # 1. Совместимость модуля # 2. Контакты (вытащить-вставить) # 3. Обновите RouterOS до последней stable # Проверить PoE статус /interface/ethernet/poe/print # Мощность PoE-out /interface/ethernet/poe/monitor ether8 once # Проверить наличие Fasttrack правила /ip/firewall/filter/print where action=fasttrack-connection # Отключить (не удалять — может понадобиться) /ip/firewall/filter/disable [find where action=fasttrack-connection] # Проверить текущую версию /system/package/print # Переключиться на stable канал обновлений /system/package/update/set channel=stable # Проверить наличие обновлений /system/package/update/check-for-updates # Установить обновление (роутер перезагрузится) /system/package/update/install # Обновить RouterBOARD firmware (после обновления RouterOS) /system/routerboard/print # Если current-firmware < upgrade-firmware: /system/routerboard/upgrade /system/reboot # Бинарный бэкап (полный, включая пароли) /system/backup/save name=rb5009-backup encryption=aes-sha256 \ password=SecureBackupPass123 # Экспорт конфигурации (текстовый, без паролей) /export file=rb5009-config # Скачать бэкап через SFTP или Winbox: Files -> rb5009-backup.backup # Включение поддержки контейнеров (требует перезагрузки) /system/device-mode/update container=yes # После перезагрузки /container/config/set registry-url=https://registry-1.docker.io \ tmpdir=disk1/tmp # Создание VETH-интерфейса для контейнера /interface/veth/add name=veth-pihole address=172.17.0.2/24 \ gateway=172.17.0.1 # IP для gateway /ip/address/add address=172.17.0.1/24 interface=veth-pihole # Запуск контейнера Pi-hole /container/add remote-image=pihole/pihole:latest \ interface=veth-pihole root-dir=disk1/pihole \ envlist=pihole-env start-on-boot=yes /container/envs/add name=pihole-env key=TZ value="Europe/Moscow" /container/envs/add name=pihole-env key=WEBPASSWORD value="admin123" # Создание PPPoE-сервера /interface/pppoe-server/server/add service-name=ISP-PPPoE \ interface=bridge-lan default-profile=pppoe-profile \ max-mtu=1480 max-mru=1480 # Профиль PPPoE /ppp/profile/add name=pppoe-profile local-address=10.0.0.1 \ remote-address=pppoe-pool dns-server=10.0.0.1 \ rate-limit=50M/100M # Пул адресов /ip/pool/add name=pppoe-pool ranges=10.0.0.100-10.0.0.250 # Секреты (учётные записи абонентов) /ppp/secret/add name=user001 password=pass001 service=pppoe \ profile=pppoe-profile
Обзоры железа / Обзор RB5009UG+S+IN
RouterOS 7.x