Настройка MikroTik с нуля — полное руководство
Это руководство проведёт вас через полную настройку маршрутизатора MikroTik с нуля. После выполнения всех шагов вы получите рабочий роутер с интернетом, локальной сетью, DNS, DHCP и базовой защитой.
Инструкция актуальна для RouterOS 7.x и подходит для моделей hAP ax2, hAP ax3, hAP ac2, hAP ac3, RB5009, hEX S и других.
1. Подключение и первый вход
Подключите компьютер кабелем в любой порт кроме ether1 (ether1 будет использоваться как WAN). Скачайте WinBox с официального сайта mikrotik.com/download.
В WinBox перейдите на вкладку Neighbors — роутер появится в списке. Подключитесь по MAC-адресу. Логин по умолчанию: admin, пароль пустой (или указан на наклейке устройства).
2. Сброс конфигурации
Если роутер уже использовался — сбросьте конфигурацию без применения дефолтных настроек:
[admin@MikroTik] >/system reset-configuration no-defaults=yes skip-backup=yes
Роутер перезагрузится. После перезагрузки подключитесь снова через WinBox по MAC-адресу.
3. Установка пароля администратора
Первым делом — задайте пароль. Без пароля роутер уязвим:
[admin@MikroTik] >/user set [find name=admin] password="ВашСложныйПароль"
4. Обновление RouterOS
Проверьте текущую версию и обновите до последней стабильной:
[admin@MikroTik] >/system routerboard print /system package update check-for-updates /system package update install
После обновления RouterOS обновите загрузчик:
[admin@MikroTik] >/system routerboard upgrade /system reboot
5. Настройка Bridge
Объедините внутренние порты в один Bridge для локальной сети:
[admin@MikroTik] >/interface bridge add name=bridge-LAN /interface bridge port add bridge=bridge-LAN interface=ether2 add bridge=bridge-LAN interface=ether3 add bridge=bridge-LAN interface=ether4 add bridge=bridge-LAN interface=ether5
6. IP-адрес для локальной сети
Назначьте IP-адрес на bridge-интерфейс:
[admin@MikroTik] >/ip address add address=192.168.88.1/24 interface=bridge-LAN
7. DHCP-сервер
Настройте автоматическую раздачу IP-адресов клиентам:
[admin@MikroTik] >/ip pool add name=pool-LAN ranges=192.168.88.10-192.168.88.254 /ip dhcp-server add name=dhcp-LAN interface=bridge-LAN \ address-pool=pool-LAN lease-time=1d disabled=no /ip dhcp-server network add address=192.168.88.0/24 \ gateway=192.168.88.1 dns-server=192.168.88.1
8. Подключение к интернету
Подключите кабель провайдера в ether1. Если провайдер выдаёт IP по DHCP:
[admin@MikroTik] >/ip dhcp-client add interface=ether1 disabled=no
Если провайдер использует PPPoE:
[admin@MikroTik] >/interface pppoe-client add name=pppoe-WAN interface=ether1 \ user="ваш_логин" password="ваш_пароль" disabled=no
Если провайдер выдал статический IP:
[admin@MikroTik] >/ip address add address=X.X.X.X/24 interface=ether1 /ip route add dst-address=0.0.0.0/0 gateway=X.X.X.1
9. DNS
Настройте DNS-серверы и включите кеширование:
[admin@MikroTik] >/ip dns set servers=1.1.1.1,8.8.8.8 allow-remote-requests=yes
Важно: allow-remote-requests=yes разрешает DNS-запросы со всех интерфейсов. Позже в Firewall мы ограничим доступ только из локальной сети.
10. NAT — выход в интернет
Без NAT (masquerade) клиенты локальной сети не смогут выходить в интернет:
[admin@MikroTik] >/ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade
Если используете PPPoE — замените ether1 на pppoe-WAN.
11. Базовый Firewall
Минимальный набор правил для защиты роутера:
[admin@MikroTik] >/ip firewall filter add chain=input connection-state=established,related action=accept \ comment="Разрешить установленные соединения" add chain=input connection-state=invalid action=drop \ comment="Отбросить невалидные" add chain=input in-interface=bridge-LAN action=accept \ comment="Разрешить из LAN" add chain=input action=drop \ comment="Запретить всё остальное" add chain=forward connection-state=established,related action=accept add chain=forward connection-state=invalid action=drop add chain=forward in-interface=bridge-LAN action=accept \ comment="Разрешить из LAN наружу" add chain=forward action=drop \ comment="Запретить всё остальное"
12. Ограничение сервисов
Отключите ненужные сервисы для безопасности:
[admin@MikroTik] >/ip service set telnet disabled=yes set ftp disabled=yes set www disabled=yes set api disabled=yes set api-ssl disabled=yes set ssh port=2222 set winbox address=192.168.88.0/24
13. Отключение обнаружения из WAN
Запретите обнаружение роутера со стороны интернета:
[admin@MikroTik] >/interface list add name=LAN /interface list add name=WAN /interface list member add interface=bridge-LAN list=LAN /interface list member add interface=ether1 list=WAN /tool mac-server set allowed-interface-list=LAN /tool mac-server mac-winbox set allowed-interface-list=LAN /ip neighbor discovery-settings set discover-interface-list=LAN
14. Проверка
После выполнения всех шагов проверьте:
[admin@MikroTik] ># Пинг до интернета /ping 1.1.1.1 count=3 # Пинг по имени (DNS работает) /ping google.com count=3 # Список DHCP-клиентов /ip dhcp-server lease print # Статус подключения /ip address print /ip route print
Что дальше
После базовой настройки рекомендуем:
- Настроить Wi-Fi — если ваш роутер поддерживает беспроводное подключение
- Настроить VLAN — для разделения сети на сегменты (рабочая, гостевая)
- Настроить VPN — WireGuard для удалённого доступа
- Усилить Firewall — защита от брутфорса, DDoS, сканирования портов
/system reset-configuration no-defaults=yes skip-backup=yes
/user set [find name=admin] password="ВашСложныйПароль"
/system routerboard print
/system package update check-for-updates
/system package update install
/system routerboard upgrade
/system reboot
/interface bridge add name=bridge-LAN
/interface bridge port
add bridge=bridge-LAN interface=ether2
add bridge=bridge-LAN interface=ether3
add bridge=bridge-LAN interface=ether4
add bridge=bridge-LAN interface=ether5
/ip address add address=192.168.88.1/24 interface=bridge-LAN
/ip pool add name=pool-LAN ranges=192.168.88.10-192.168.88.254
/ip dhcp-server add name=dhcp-LAN interface=bridge-LAN \
address-pool=pool-LAN lease-time=1d disabled=no
/ip dhcp-server network add address=192.168.88.0/24 \
gateway=192.168.88.1 dns-server=192.168.88.1
/ip dhcp-client add interface=ether1 disabled=no
/interface pppoe-client add name=pppoe-WAN interface=ether1 \
user="ваш_логин" password="ваш_пароль" disabled=no
/ip address add address=X.X.X.X/24 interface=ether1
/ip route add dst-address=0.0.0.0/0 gateway=X.X.X.1
/ip dns set servers=1.1.1.1,8.8.8.8 allow-remote-requests=yes
/ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade
/ip firewall filter
add chain=input connection-state=established,related action=accept \
comment="Разрешить установленные соединения"
add chain=input connection-state=invalid action=drop \
comment="Отбросить невалидные"
add chain=input in-interface=bridge-LAN action=accept \
comment="Разрешить из LAN"
add chain=input action=drop \
comment="Запретить всё остальное"
add chain=forward connection-state=established,related action=accept
add chain=forward connection-state=invalid action=drop
add chain=forward in-interface=bridge-LAN action=accept \
comment="Разрешить из LAN наружу"
add chain=forward action=drop \
comment="Запретить всё остальное"
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set api disabled=yes
set api-ssl disabled=yes
set ssh port=2222
set winbox address=192.168.88.0/24
/interface list add name=LAN
/interface list add name=WAN
/interface list member add interface=bridge-LAN list=LAN
/interface list member add interface=ether1 list=WAN
/tool mac-server set allowed-interface-list=LAN
/tool mac-server mac-winbox set allowed-interface-list=LAN
/ip neighbor discovery-settings set discover-interface-list=LAN
# Пинг до интернета
/ping 1.1.1.1 count=3
# Пинг по имени (DNS работает)
/ping google.com count=3
# Список DHCP-клиентов
/ip dhcp-server lease print
# Статус подключения
/ip address print
/ip route print