Полное руководство по настройке Mikrotik для офиса и дома

Маршрутизаторы Mikrotik заслуженно ценятся системными администраторами за свою невероятную гибкость.
Уникальная черта этого оборудования в том, что бюджетный домашний hAP lite и мощный корпоративный маршрутизатор за тысячи долларов работают на одной и той же операционной системе — RouterOS.

Это означает, что, научившись настраивать одно устройство, вы сможете управлять любым оборудованием бренда.
В этой статье мы разберём фундаментальные этапы настройки Mikrotik с нуля до полностью рабочего состояния.

1. Подключение и обновление системы

Первый шаг — получить доступ к устройству и привести его программное обеспечение в актуальное состояние.

Инструмент управления

Для настройки настоятельно рекомендуется использовать утилиту Winbox.
Скачайте её с официального сайта mikrotik.com.

Первое подключение

1. Подключите компьютер кабелем к любому порту роутера (кроме первого, если это конфигурация по умолчанию).
2. Запустите Winbox и перейдите на вкладку Neighbors.
3. Нажмите на MAC-адрес устройства (это важно, так как IP может быть 0.0.0.0).
4. Логин: admin
   Пароль: (пустой) или с наклейки на устройстве.

Обновление (двухэтапный процесс)

В Mikrotik важно обновить не только систему, но и загрузчик.

Обновление RouterOS

1. Перейдите в System → Packages.
2. Нажмите Check for Updates.
3. Рекомендуется выбрать ветку:
   • Long-term — для стабильности
   • Stable — для новых функций
4. Скачайте и установите обновление.

Обновление загрузчика (Routerboard)

1. После перезагрузки зайдите в System → Routerboard.
2. Сравните версии Current Firmware и Upgrade Firmware.
3. Если они отличаются — нажмите кнопку Upgrade и снова перезагрузите роутер.

💡 Дополнение и уточнения

Большинство новых устройств MikroTik (hAP lite, hAP ac, RB и т.д.) поставляются с предустановленной дефолтной конфигурацией (defconf):

• ether1 — WAN с DHCP-client
• остальные порты + Wi-Fi — в bridge
• IP 192.168.88.1/24
• DHCP-сервер
• NAT (masquerade)
• базовый firewall

Если устройство новое, многие шаги ниже уже выполнены — проверьте командой:

/system default-configuration print

Актуальная stable-версия на декабрь 2025 — 7.20.x. Всегда обновляйтесь до последней версии в выбранной ветке для исправлений безопасности.

2. Настройка интернета (WAN)

Предположим, вы настраиваете статический IP (если провайдер выдаёт настройки автоматически по DHCP, этот шаг делает DHCP Client на первом порту).

Нам нужно выполнить три действия в меню IP.

IP-адрес

1. Зайдите в IP → Addresses.
2. Нажмите + и введите адрес, выданный провайдером.
3. Обязательно укажите маску подсети (например, /24), иначе роутер будет считать этот адрес одиночным хостом.
4. Укажите интерфейс (обычно ether1).

Маршрут по умолчанию (шлюз)

1. Зайдите в IP → Routes.

2. Создайте маршрут:

   • Dst. Address: 0.0.0.0/0
   • Gateway: IP-адрес шлюза провайдера

DNS-серверы

1. Зайдите в IP → DNS.
2. В поле Servers укажите публичные DNS (например, 8.8.8.8, 1.1.1.1).
3. Галочка Allow Remote Requests превращает роутер в кэширующий DNS-сервер. Включайте её только если firewall настроен, иначе роутер может быть использован в DDoS-атаках.

3. Локальная сеть (LAN) и DHCP

Теперь настроим внутреннюю сеть, объединив порты и раздав адреса устройствам.

Настройка Bridge

Бридж позволяет объединить физические порты в одну логическую сеть (как в обычном свитче).

1. Откройте меню Bridge и создайте новый интерфейс (обычно bridge1).
2. Перейдите на вкладку Ports и добавьте туда нужные интерфейсы (например, ether2, ether3, wlan1).

Настройка DHCP-сервера

Самый простой способ — использовать мастер настройки.

1. Зайдите в IP → DHCP Server.
2. Нажмите DHCP Setup.
3. Выберите интерфейс бриджа (а не отдельного порта).
4. Нажимайте Next до конца, соглашаясь с предложенными настройками.

💡 Дополнение и уточнения

В дефолтной конфигурации bridge, IP на bridge и DHCP уже настроены. Если выполнить сброс с сохранением defconf:

/system reset-configuration keep-users=yes no-defaults=no

— всё восстановится автоматически.

4. NAT и Firewall (безопасность)

Без этих настроек интернет в локальной сети не заработает, а роутер будет уязвим.

NAT (Masquerade)

Чтобы устройства из локальной сети могли выходить в интернет через один внешний IP:

• IP → Firewall → NAT

• правило:

  • Chain: srcnat
  • Out. Interface: ether1
  • Action: masquerade

Firewall Filter (защита)

Логика защиты Mikrotik строится на цепочках (Chains). Нам нужны Input (трафик к роутеру) и Forward (трафик через роутер).

Базовый «джентльменский набор»:

1. FastTrack — connection-state=established,related
2. Drop invalid
3. Drop Input с WAN — in-interface=ether1

💡 Дополнение и уточнения

Дефолтный firewall уже включает FastTrack, accept established/related/untracked и блокировку input от WAN.

Рекомендуемый базовый набор:

• interface-list: LAN, WAN
• Input: accept established → accept ICMP → accept LAN → drop всё остальное
• Forward: FastTrack → accept established → drop invalid → drop WAN

Всегда меняйте пароль admin:

/user set admin password=strongpassword

И отключайте ненужные сервисы.

5. Беспроводная сеть (Wi-Fi)

1. Перейдите в Wireless.

2. Во вкладке Security Profiles создайте профиль:

   • Mode: dynamic keys
   • WPA2-PSK
   • сложный пароль

3. Откройте wlan1:

   • Mode: ap bridge
   • SSID
   • Security Profile
   • Enable

💡 Дополнение и уточнения

В RouterOS v7+ рекомендуется WPA3-PSK (если клиенты поддерживают). Wi-Fi должен быть добавлен в bridge.

6. Управление скоростью (QoS)

Если один пользователь забивает канал:

• Queues → Simple Queues
• Target: IP или подсеть
• Max Limit: например 10M/10M
• VIP-пользователей размещайте выше в списке

💡 Дополнение и уточнения

Для сложных сценариев используйте Queue Tree, PCQ или CAKE.

7. Резервное копирование

В Mikrotik есть два типа сохранения настроек (Files):

💡 Философия LEGO

Настройка Mikrotik похожа на конструктор LEGO. IP + Route + DNS + NAT — если одного элемента нет, система не работает.

Понимание этой логики — ключ к уверенной работе с Mikrotik.

💡 Финальное дополнение: безопасность

После базовой настройки обязательно:

• измените пароль admin
• создайте отдельного пользователя
• регулярно обновляйте RouterOS
• мониторьте логи и трафик (Tools → Torch, Netwatch)