Сброс настроек роутера микротик. Способы сброса Mikrotik к настройкам по-умолчанию

Оборудование Mikrotik пользуется заслуженной популярностью у профессиональных сетевых инженеров, благодаря редкому сочетанию богатой функциональности, стабильной работы и невысокой цены. Однако что хорошо инженеру, то рядовому пользователю - если не смерть, то боль и страдания как минимум. Mikrotik - оборудование от гиков для гиков , поэтому настраивать его значительно сложнее, чем продукты конкурентов. На этапе начальной настройки и "засыпается" большинство пользователей, решивших причаститься к Mikrotik.

Тем не менее, процесс хоть и нетривиален, но вполне осваиваем. Разберем небольшой пример на базе устройства.

Подготовка

1. Для начала скачиваем WinBox - утилиту для управления устройствами Mikrotik. Работать с ней значительно удобнее, чем через web-интерфейс, установки она не требует. Берем отсюда: http://www.mikrotik.com/download

2. Включаем роутер, к 1-му порту подключаем кабель провайдера Интернет , компьютер - в любой другой.

3. Запускаем WinBox. В нижней секции во вкладке Neighbors , даже при отсутствии соединения с роутером по IP, его будет видно по MAC-адресу:

Логин по умолчанию - admin, пароля нет. Выбираем наше устройство и жмем Connect.

4. После входа в устройство, нам откроется окошко RouterOS Default Configuration. Удаляем конфигурацию по умолчанию , нажав на Remove Configuration :

Из админки нас выбросит, входим заново, как в п. 3.

Настройка сетевых интерфейсов в Mikrotik RB951Ui-2HnD

1. Открываем Interfaces , видим такую картину:

2. По умолчанию все проводные сетевые интерфейсы в Mikrotik называются etherN . Оперировать такими названиями неудобно, поэтому откроем интерфейс ether1 , к которому у нас подключен кабель провайдера, и переименуем его в WAN . В принципе, делать это необязательно - название ни на что не влияет. Но зато сильно упрощает администрирование роутера в будущем.

3. Поочередно открываем интерфейсы ether2 - ether5, переименовываем их в LAN1 - LAN4. На интерфейсе LAN1 параметр Master Port оставляем в положении "none", а на интерфейсах LAN2 - LAN4 переключаем параметр Master Port в положение LAN1 :

Расшифруем то, что было сделано: по умолчанию в роутерах Mikrotik порты не объединены в коммутатор, т.е. не умеют общаться друг с другом. За работу коммутатора отвечает специальный аппаратный чип коммутации, который позволяет разгрузить CPU устройства от коммутации пакетов между портами свитча. Однако работать он будет только в том случае, если будут назначены Master и Slave порты (что и было нами сделано).
Второй вариант создания свитча - программный - предусматривает объединение портов в Bridge. В этом случае коммутацией пакетов будет заниматься CPU, а скорость работы устройства будет существенно ниже максимально возможной, что особенно хорошо заметно на гигабитных портах.

4. Заодно включим беспроводной интерфейс . К его настройке мы вернемся позже:

5. Присваиваем ему более понятное название:

6. Создаем новый Bridge. Для этого открываем пункт меню Bridge и жмем + :

7. Присваеваем мосту название - LAN (т.к. внутри этого моста будут "ходить" пакеты по контуру нашей локальной сети):

8. Переходим во вкладку Ports , жмем на + , чтобы добавить порты в мост:

Из кластера портов LAN1 - LAN4 нам достаточно добавить в мост только LAN1, поскольку для LAN2 - LAN4 он уже является мастер-портом (см. п. 3 данного раздела). Соответственно, параметр Interface - LAN1 , Bridge - LAN . Повторяем такое же действие для интерфейса WLAN :

9. Таким образом получаем следующий список портов внутри моста LAN:

Настройка параметров TCP/IP на Mikrotik

1. Присвоим роутеру IP-адрес . В нашем примере это будет 10.20.30.254 с маской 255.255.255.0 (или /24; вообще запись /24 эквивалентна записи /255.255.255.0, RouterOS понимает оба варианта. Подробности бесклассовой адресации можно выяснить здесь: https://ru.wikipedia.org/wiki/Бесклассовая_адресация). Для этого в меню IP -> Addresses добавим новый адрес и присвоим его интерфейсу LAN (ранее созданный мост):

2. Присвоим внешнему интерфейсу роутера IP-адрес. В данном примере мы рассматриваем сценарий, когда провайдер Интернет предоставляет нам прямой доступ в сеть с белым IP-адресом. Для этого снова жмем на + в меню IP -> Addresses , вводим выданный провайдером адрес и маску , а в качестве интерфейса выбираем WAN :

3. Наш список адресов принял следующий вид:

4. Указываем роутеру, какими DNS-серверами пользоваться ему самому через меню IP -> DNS :

5. Укажем шлюз провайдера Интернета . Для этого создадим в меню IP -> Routes новый маршрут, нажав + , присвоим параметр Dst. Address - 0.0.0.0/0 , Gateway - выданный нам провайдером :

Настройка DHCP на Mikrotik

1. Пора настроить DHCP-сервер, который будет раздавать IP-адреса в локальной сети. Для этого открываем IP -> DHCP Server и нажимаем кнопку DHCP Setup :

2. Выбираем интерфейс , на котором будут раздаваться IP-адреса. В нашем случае - LAN (мы же хотим раздавать IP-адреса только внутри локальной сети?):

3. Вводим адрес сети и ее маску:

4. Вводим адрес шлюза сети, т.е. нашего роутера:

5. Вводим пул адресов, которые роутер будет раздавать подключенным к сети устройствам:

6. Вводим адреса DNS-серверов (на скриншоте - DNS-серверы Google):

7. Вводим срок, на который устройствам выдаются адреса (в формате ДД:ЧЧ:ММ):

8. И после очередного нажатия кнопки Next работа мастера настройки DHCP заканчивается:

Настройка NAT на Mikrotik

1. Настраиваем NAT. В меню IP -> Addresses во вкладке NAT жмем +. Во вкладке General параметр Chain ставим в положение scrnat , Out. Interface - в WAN :

2. Переходим во вкладку Action , и ставим параметр Action в положение masquerade :

Теперь у нас должен появиться доступ в Интернет:

Настройка Wi-Fi на Mikrotik

1. Теперь настроим Wi-Fi. Напомним, что в п. 4-5 раздела "Настройка сетевых интерфейсов в Mikrotik RB951Ui-2HnD", мы уже включили беспроводной интерфейс и присвоили ему новое название.
Теперь открываем меню Wireless , вкладку Security Profiles , а в ней - профиль default .
Отмечаем галочками:
Authentication Types - WPA2 PSK
Unicast Ciphers и Group Ciphers - aes ccm и tkip
В поле WPA2 Pre-Shared Key вводим желаемый пароль для беспроводной сети :

2. Теперь открываем интерфейс WLAN , переходим во вкладку Wireless , выбираем Mode - ap bridge , Band - 2GHz-B/G/N , вводим SSID - название беспроводной сети :

Если у вас есть под рукой компьютер с Wi-Fi, то после этого вы сможете увидеть на нем новую сеть:

Наводим марафет

1. Мы на финишной прямой. Настроим часовой пояс через System -> Clock , где снимем автоопределение часового пояса - Time Zone Autodetect , и выберем нужный часовой пояс (в нашем случае - Europe/Moscow):

2. Установим пароль администратора. Для этого зайдем в System -> Password , где и введем новый пароль :

3. И, наконец, отключим ненужные сервисы для доступа, дабы сделать наш Mikrotik менее уязвимым. Лишними можно считать все сервисы, кроме WinBox , но в данном случае следует исходить из вашей конкретной ситуации. Их список находится в IP -> Services . Нужные оставляем, ненужные выключаем крестиком:

На этом процесс базовой настройки можно считать завершенным! "Долго ли умеючи" (с).

Если вам нужна помощь в конфигурировании Mikrotik любой сложности, то на этот случай у нас есть сертифицированные специалисты, которые.

(для windows), либо mactelnet-client (для linux), конечно у RouterOS есть telnet/http/ssh, но пока про них забываем.

Подключаем ПК к пятому порту Mikrotik(вообще можно использовать любой, кроме первого), переворачиваем устройство и видим на наклейке со штрих-кодом диапазон mac адресов, последний относится к пятому порту, вводим его в окно подключения winbox, либо используем как аргумент mactelnet. Пользователь admin, пароль отсутсвует.

Добавление пользователя

Первым делом создаем нового пользователя и удаляем admin"а, да об этом все забывают.

Переходим: ➙➙[+] .
Name: логин ;
Group: full(полный доступ);
Password: пароль ;
Confirm Password: пароль еще раз .
Подтверждаем нажатием на .
В таблице с пользователями выделяем admin и нажимаем.

Консольная версия

/user add name=логин group=full password=пароль /user remove admin

Отключаемся и заходим на устройство под новым пользователем.

Настройка провайдера

Провайдер будет подключаться в первый порт RouterBOARD, остальные четыре и беспроводной интерфейс отданы под домашнюю подсеть 192.168.10.0/24, адрес роутера в домашней подсети: 192.168.10.1, клиентам сети будут раздаваться адреса из диапазона 192.168.10.100-192.168.10.200.

Способы соединения с провайдером бывают различные, и если на физическом уровне у нас Ethernet (даже если он идет от xDLS-модема), то в качестве сетевых протоколов может быть IPoE (Static или DHCP), PPPoE, L2TP, PPTP или их комбинации (вообще PPTP, L2TP без настроенного IP работать не смогут), в добавок ко всему может быть привязка по mac адресу. Постараюсь рассмотреть наиболее частые случаи.

Но для начала переименовываем интерфейс ether1 в eth1-wan, для удобства: ➙➙➙ .

Консольный вариант

/interface ethernet set name=eth1-wan

Подключаем кабель провайдера в первый порт устройства.

Подмена mac-адреса

Не скажу, что все провайдеры используют привязку по mac, но встречаются такие довольно часто, особенно если используется IPoE для привязки IP и защиты от халявщиков.

Подмену можно совершить только через командный режим, так что нажимаем и вводим:
/interface ethernet set eth1-wan mac-address=00:11:22:33:44:55
где 00:11:22:33:44:55 - mac зарезервированный у провайдера.

Автоматическое получение настроек средствами DHCP.

Наиболее простой вараиант: ➙➙[+]➙➙ .

Консольный вариант

/ip dhcp-client add interface eth1-wan disabled=no

Статическая настройка IP

Тоже простой вариант, но потребуется уточнить у провайдера следующие параметры (значение указаны в качестве примера):
IP (ip адрес): 192.0.2.10;
mask (маска): 255.255.255.0(или /24);
gateway (шлюз): 192.0.2.1;
DNS1: 192.0.2.2;
DNS2: 192.0.2.3.
Добавляем IP на интерфейс: ➙➙[+]➙➙ ;
Добавляем default route: ➙➙[+]➙➙ ;
Добавляем DNS: ➙➙➙ .

Консольный вариант

/ip address add address=192.0.2.10/255.255.255.0 interface=eth1-wan /ip route add dst-address=0.0.0.0/0 gateway=192.0.2.1 check-gateway=ping distance=1 /ip dns set servers=192.0.2.2,192.0.2.3

Настройка PPPoE

PPPoE - туннельный протокол для которого не требуется предварительная настройка IP. Конечно, у провайдера может быть пиринг с другими сетями или доступ в свою сеть без ограничения по скорости, которые работают вне PPPoE интерфейса и требуют добавления отдельного маршрута (DualAccess или Russian PPPoE в SOHO роутерах), но подобная конфигурация выходит за рамки HOWTO для начинающих.

Для конфигурации PPPoE потребуется узнать логин и пароль для подключения к сети (обычно выдаются при заключении договора).

Добавляем туннельный интерфейс: ➙[+]➙ .

На вкладке указываем имя интерфейса Name=tap1-wan и интерфейс провайдера Interface=eth1-wan .

На вкладке указываем логин и пароль для подключения, остальные опции по скриншотам.

Консольный вариант

/interface pppoe-client add interface=eth1-wan name=tap1-wan disabled=no user=логин password=пароль use-peer-dns=yes add-default-route=yes default-route-distance=0

Важно: Если вы используете PPPoE, то в дальнейшем используйте вместо eth1-wan интерфейс tap1-wan.

Настройка L2TP/PPTP

Вот мы и подошли к самому богатому на подводные камни способу подключения. Оба протокола настраиваются схожим образом, но требуют предварительной настройки IP (средствами DHCP, либо статически). Проблема mikrotik в том, что задав адрес сервера доменным именем, он распознает его в адрес один раз и будет использовать только данный адрес, если адрес поменяется (либо провайдер использует RoundRobin DNS и сервер будет перегружен), то велика вероятность остаться без интернета. Со стороны провайдера тоже могут быть забавные вещи, например DNS сервера доступные только из локальной сети, либо необходимость заранее прописать статический маршрут до сервера PPTP/L2TP, если вам посчастливилось стать клиентом желто-полосатого провайдера, можете смело скачивать и изучать соответствующую инструкцию. Вариант с DualAccess L2TP/PPTP тоже возможен.

Добавляем интерфейс PPTP/L2TP: ➙[+]➙ .
На вкладке указываем имя подключения: Name=tun1-wan .
На вкладке указываем сервер PPTP или L2TP, логин и пароль.

Консольный вариант

Для l2tp заменить pptp-client на l2tp-client:
/interface pptp-client add name=tun1-wan disabled=no connect-to=сервер_vpn user=логин password=пароль add-default-route=yes default-route-distance=1 profile=default

Важно: Если вы используете L2TP/PPTP, то в дальнейшем используйте вместо eth1-wan интерфейс tun1-wan.

А как-же Yota?

А просто. Если вам попался USB модем, то скорее всего он будет определяться как ethernet интерфейс в ➙ и достаточно забирать с него IP средствами DHCP. Но для первичной активации модем придется подключить к ПК. Не знаю со всеми моделями модемов так или мне попался неудачный, но без предварительной активации на ПК работать он отказывался.

Другие 3G/4G модемы

Если модем не определяется как сетевая карта, но Mikrotik его видит в ➙➙ , то потребуется создать PPP подключение для интерфейса usb1, в некоторых ситуациях устройство необходимо прежде перевести в режим модема AT командой(ищите на соответствующих форумах). В любом случае вариантов великое множество, один из них описан.

Подготовка интерфейсов для локальной сети

На данный момент интерфейсы ether2-ether5 и wlan1 работают независимо друг от друга, их необходимо объединить в единую среду передачи данных.

Ethernet интерфейсы можно объединить на аппаратном уровне, что повысит скорость передачи данных и снизит нагрузку на CPU (по сравнению с программным мостом). В качестве master port будет использоваться ether5, можно назначить любой, но если появится еще один провайдер, то логично будет подключить его во второй порт (и отключить на нем master port).

Переименовываем ether5 в eth5-lan: ➙➙➙ ;
Переименовываем ether2-ether4 и устанавливаем для них master port: ➙➙➙ .

Консольный вариант

/interface ethernet set name=eth5-lan /interface ethernet set name=eth2-lan master-port=eth5-lan /interface ethernet set name=eth3-lan master-port=eth5-lan /interface ethernet set name=eth4-lan master-port=eth5-lan

Интересный момент. Средствами master port можно объединить интерфейсы принадлежащее одному чипсету, на старших моделях чипсетов может быть несколько (колонка switch), интерфейсы с разных чипсетов объединяются через программный Bridge, ну или пачкордом.

Теперь все локальные Ethernet интерфейсы объединены под именем eth5-lan.

Wireless интерфейс существует отдельно от Ethernet, для объединения потребуется прибегнуть к программному мосту (bridge).

Создаем интерфейс моста: ➙[+]➙➙ ;
Добавляем интерфейсы: ➙➙[+]➙➙
➙➙[+]➙➙

Консольный вариант

/interface bridge add name=br1-lan /interface bridge port add interface=eth5-lan bridge=br1-lan /interface bridge port add interface=wlan1 bridge=br1-lan

Теперь все локальные Ethernet и wlan интерфейсы объединены под именем br1-lan.

Безопасность беспроводной сети

Вещь муторная(точнее муторно ее описывать), но необходимая.

Добавляем профиль безопасности и указываем пароль для беспроводного подключения : ➙➙[+]
Name - название профиля;
WPA/WPA2 Pre-Shared Key - ключи для WPA/WPA2(пароль от wi-fi);
Остальное по скриншоту, в завершении .

Консольный вариант

/interface wireless security-profiles add name=wpa2-protected mode=dynamic-keys authentication-types=wpa-psk,wpa2-psk unicast-chiphers=aes-ccm group-chiphers=aes-ccm wpa-pre-shared-key=ключ_wpa wpa2-pre-shared-key=ключ_wpa2

Активируем и настраиваем беспроводной интерфейс: ➙➙ .
На вкладке :
Mode: ap bridge;
Band: 2gHz-B/G/N. Если ваши беспроводные девайсы выпущены несколько лет назад, то логичнее выбрать 2gHz-B/G. ;
Frequency: auto. В SOHO устройствах этот параметр называется Канал соответствие можно посмотреть по ссылке. Если не уверены что выбрать, оставляйте auto. ;
SSID: Название точки доступа;
Wireless Protocol: 802.11;
Securiity Profile: wpa2-protect. Профиль созданный на предыдущем шаге.;
Bridge Mode: enabled;
Default Authenticate: yes;
Default Forward: yes;
Hide SSID: no. Можно скрыть точку доступа. Но не стоит считать это панацеей. ;
Далее вкладка .
Отключаем все.

Как закончили, нажимаем и пробуем подключиться (ip телефон не получит, но подключение должно установиться).

Консольный вариант

/interface wireless set wlan1 disabled=no ssid=MyRouter mode=ap-bridge band=2ghz-b/g/n frequency=2412 bridge-mode=enabled wireless-protocol=802.11 security-profile=wpa2-protect default-authentication=yes default-forwarding=yes hide-ssid=no /interface wireless nstreme set wlan1 enable-nstreme=no enable-polling=no disable-csma=no

Настройка ip, dhcp-server

Добавляем ip на интерфейса br1-lan: ➙➙[+]➙➙

Консольный вариант

/ip address add address=192.168.10.1/24 interface=br1-lan

Создаем пул адресов для dhcp: ➙➙[+]➙➙

Консольный вариант

/ip pool add name=dhcp-pc address=192.168.10.100-192.168.10.200

Включаем прослушку dhcp-запросов на интерфейсе br1-lan: ➙➙[+]➙➙

Теперь надо определиться какие параметры будут отдаваться по dhcp: ➙➙➙[+]
Address: 192.168.10.0/24;
Gateway: 192.168.10.1;
Netmask: 24;
DNS Servers: 192.168.10.1.
По окончанию .

1. Для начала устанавливаем фирменную программу WinBox с официального сайта производителя. Запускаем её и сразу переходим в раздел Neigbors, где через некоторое время должен отобразиться подключённый роутер. MAC-адрес вновь подключённого девайса нужно скопировать в соответствующее поле Connect to и в подтверждение кликнуть по кнопке Connect. Login указываем любой (на нашем примере это стандартный admin), а поле Password оставляем пустым.

1. После подключения перед нами появиться окно настроек по умолчанию, в котором будут видны все предустановленные параметры. Сбросить их можно при помощи нажатия клавиши Remove Configuration.

Завершающим этапом будет автоматическая перезагрузка устройства, после чего можно начать настраивать его «под себя».

Обновление операционной системы RouterOS

Настоятельно рекомендуем поддерживать актуальное состояние прошивки вашего роутера. Найти все последние релизы RoutersOS также можно в соответствующем разделе официального сайта. Mikrotik RB951G-2HnD основывается на платформе MIPSBE, файлы которой (Main Package) и необходимо скачать. Прошивка подключается к девайсу через утилиту WinBox, что также осуществляется при помощи несложного алгоритма:

1. В левой панели кликаем по опции Files, в результате чего должно появиться окно с подключаемыми файлами. Сюда необходимо скопировать скачанный с официального сайта Main Package.

1. Теперь нужно перезагрузить роутер после чего апдейт вступит в силу. Однако, вполне возможно, что такое обновление не затронет загрузчик системы. Поэтому проверить его версию потребуется вручную. С этой целью в левой панели необходимо выбрать System, а затем RouterBoard. Появившееся окно будет содержать информацию о текущей (Current Firmware) и самой свежей (Upgrade Firmware) версии загрузчика. Если эти параметры различаются, то необходимо запустить процедуру обновления при помощи кнопки Upgrade.

Проверить же версию текущей прошивки роутера можно пройдя по пути System – Packages.

Совет! После того, как устройство получит доступ в интернет, процедура обновления может проходить в автоматическом режиме. Запускается она в окне Package List при помощи кнопки Check For Updates.

Назначение портов

Как уже упоминалось выше, большинство моделей современных роутеров имеют фиксированные настройки портов. Так, своеобразным стандартом является назначение первому порту функции подключения к интернету.

Однако, продукция марки Mikrotik представляет собой исключение из этого правила. Изначально все продукции роутеров от латвийской фирмы равнозначны и пользователь может придать им любые возможные функции. В нашем примере WAN будет подключаться к пятому порту, блок питания – к первому, а все остальные порты для оптимизации трафика будут объединены в свитч.

Справка: Свитч (Switch) – объединяющий элемент любой компьютерной сети , последовательно соединяющий несколько её узлов.

1. Для начала нам нужно будет определить условный мастер-порт, виртуализирующий роутер в сети. Пусть это будет порт под номер один. С этой целью в левой панели переходим в меню Interfaces. Дважды кликаем по порту ethe2 и в параметре Master Port выбираем значение ether1.

1. Аналогичную процедуру выполняем для оставшихся портов. В результате Interface List должен выглядеть так (мастер-порт обозначается пометкой R, порты в составе свитча имеют пометку S):

1. Если роутер также должен будет раздавать Wi-Fi, то для этого свитч вместе с соответствующим интерфейсом должны быть объединены в бридж.

Справка: Функциональность сетевого моста (бридж) аналогичен функционалу свитча с той лишь разницей, что первый используется для создания карт различных интерфейсов (сетевых карт , антенн Wi-Fi и т.д.).

Для этого нам понадобиться одноимённый раздел Bridge в панели управления. Для наших нужд достаточно будет стандартных настроек моста, поэтому в окне Bridge просто нажимаем кнопку с изображением плюса и сохраняем стандартные настройки New Interface.

1. Теперь необходимо добавить порты к только что созданному мосту. Для этих целей служит вкладка Ports окна Bridge, на который последовательно необходимо добавить порты ether1-4 к bridge1, как это показано на скриншоте.

1. Каждый раз при добавлении порта роутер будет отключаться – это нормальный признак перенастройки оборудования. На завершающим этапе необходимо добавить интерфейс подключения к Wi-Fi wlan1. Делается это точно так же – через окно New Bridge Port.

Теперь сетевая структура нашего роутера организовано максимально эффективно, а это значит, что самое время приступить к настройке самого интернет-соединения.

Настройка подключения роутера Mikrotik RB951G-2HnD к внешнему интернету

У провайдеров существует множество способов организации доступа в сеть для конечных абонентов. Но самыми распространёнными являются автообновления по dhcp или сообщение пользователю ряда параметров, которые он самостоятельно вводит в роутер.

В первом случае достаточно пройти в раздел IP и выбрать функцию DCHP Client. В результате откроется окно, в котором в поле Interface следует выбрать значение eher5 (наш порт подключения интернета).

Полученный адрес можно посмотреть в IP-Addresses.

Несколько более сложным процессом является ввод настроек вручную. Обычно провайдер сообщает пользователю такие параметры, как IP, маска подсети, адрес шлюза и DNS.

1. В первую очередь потребуется установить статический IP адрес. Для этого используется тоже окно Adresses, в котором необходимо заполнить, собственно, поле Address (IP провайдера), interface (имя порта, через который подключается интернет – ether5) и Network (маска подсети).

1. Ещё один обязательный этап – задание шлюза. Делается это в подразделе Routes, раздела IP. Кликаем по изображению плюса и в окне добавления нового маршрута (New Route) указываем параметр Gateway (шлюз подсети, сообщаемый провайдеров) и Dst.Address (тут пишем 0.0.0.0/0).

1. Фактически подключение уже настроено, и пользователю доступны любые сетевые ресурсы. Однако, обращаться к ним можно только по прямым IP-адресам. Чтобы получить возможность работы с более привычным www необходимо подключить DNS. Делается это через IP-DNS, где для функции сервер необходимо задать один или несколько серверов вашего провайдера. Не забудьте активировать чекбокс Allow Remote Request.

На этом базовое подключение интернета к роуту заканчивается. Остаётся лишь рассмотреть одну из главных функций устройств данного типа – настройку Wi-Fi.

В данной статье я подробно рассмотрю вопрос базовой настройки роутеров mikrotik на примере бюджетной и самой популярной модели. Данная инструкция подойдет практически к любой модели, так как все они сделаны на базе одной и той же операционной системы.

Введение

Роутеры Mikrotik routerboard достаточно давно появились на рынке, но так до сих пор и не завоевали большую популярность. Хотя свою нишу заняли. Лично я считаю, что это отличный роутер для дома, по надежности у него нет конкурентов. Это действительно маршрутизатор, который можно один раз настроить и забыть. Лично мне еще ни разу не попадалось устройство, которое бы приходилось принудительно перезагружать, чтобы вывести его из комы, как это часто бывает с другими бюджетными железками.

Распространение среди домашних пользователей сдерживает в первую очередь сложность настройки. И хотя более ли менее продвинутому пользователю может показаться, что ничего тут сложного нет. Но на самом деле есть. И я часто сталкивался с просьбами настроить роутер дома для раздачи интернета по wifi, так как купившие по чьей-нибудь рекомендации пользователи сами не могли полностью настроить нужный функционал, хотя инструкций в интернете хватает.

Этот пробел я хочу восполнить и написать подробную пошаговую инструкцию по настройке микротика с нуля для чайников на примере самой подходящей для дома модели. У меня давно подготовлена личная шпаргалка в виде текстового файла . По ней я буквально за 10 минут настраиваю роутер и отдаю пользователю. То есть реально ничего сложного нет, если знаешь, что делаешь. На основе этой шпаргалки я и напишу материал.

Описание Mikrotik RB951G-2HnD

Вот он, герой сегодняшней статьи - . Его описание, отзывы и стоимость можно быстро проверить на сайте. По количеству отзывов уже можно сделать вывод об определенной популярности этого роутера.

Внешний вид устройства.

Важной особенностью этого роутера, которой лично я активно пользуюсь, является возможность запитать его с помощью специального poe адаптер а.

На изображении он справа. Берется стандартный блок питания от роутера и poe адаптер. Блок питания подключается к адаптеру, а от адаптера уже идет патч корд в первый порт routerboard. Маршрутизатор можно повесить на стену в любое место, нет необходимости привязываться к розетке. Сразу отмечу, что запитать роутер можно только poe адаптером микротика. У него другой стандарт и привычные poe свитчи 802.3af не подойдут.

Существует похожая модель RB951Ui-2HnD. Она отличается от описываемой мной только тем, что у нее 100Mb порт, а у RB951G-2HnD 1Gb . Если для вас эти отличия не принципиальны, то можете покупать более дешевую модель. В остальном они идентичны.

Будем потихонечку двигаться дальше. Как проще всего настроить микротик? Я для этого использую стандартную утилиту winbox . Можно пользоваться и , но лично мне намного удобнее winbox. Так что для продолжения настройки скачивайте ее на компьютер.

Сброс настроек роутера

Подключаем роутер к сети, подаем питание и запускаем на компьютере winbox. Переходим на вкладку Neighbors и ждем, когда утилита найдет наш микротик. Это может занять какое-то время. На всякий случай можно нажать Refresh , если роутер долго не обнаруживается.

Нажимаем на мак адрес устройства, он должен будет скопироваться в поле Connect To . Пароль по-умолчанию для входа в роутеры mikrotik - пустой, а пользователь - admin . Вводим имя пользователя, поле с паролем оставляем не заполненным. Нажимаем connect. Нас встречает информационное окно, в котором приведено описание стандартных настроек.

Здесь их можно либо оставить, либо удалить. Я всегда удаляю, так как стандартные настройки чаще всего не подходят под конкретную ситуацию. Приведу несколько примеров, почему это так:

1. Я запитал свой роутер по первому порту через poe адаптер и поэтому вынужден использовать этот порт как локальный. В настройках по-умолчанию этот порт используется как wan порт для получения интернета от провайдер.
2. В настройках по-умолчанию установлено автоматическое получение настроек от провайдера по dhcp. Если у вас другой тип подключения, то вам стандартная настройка не подходит.
3. По-умолчанию устанавливается адресное пространство 192.168.88.0/24. Мне лично не нравятся сетки по-умолчанию, так как если в них случайно воткнуть новое устройство, где будет так же забит умолчательный адрес, то в сети начнутся проблемы. Дома может это и не актуально, но в коммерческих организациях мне приходилось с этим сталкиваться. Поэтому я на всякий случай сетку всегда меняю.

Так что мы нажимаем Remove Configuration , чтобы удалить настройки. После этого роутер перезагрузится. Ждем примерно минуту и подключаемся к нему снова.

Если вы по какой-то причине не удалили сразу предустановки, то выполнить сброс настроек в mikrotik на заводские можно позже. Для этого надо в терминале набрать сначала system , а затем reset . У вас спросят подтверждение и после этого routerboard перезагрузится с заводскими настройками.

Обновление прошивки

После очистки настроек я рекомендую сразу выполнить обновление прошивки роутера Mikrotik. Для этого идем в раздел Download официального сайта и скачиваем нужный файл. В данном случае это платформа mipsbe , пакет для загрузки Main package . Загружаем его на компьютер и подключаемся к роутеру с помощью winbox. Выбираем слева раздел Files . Затем открываем рядом два окна - один с файлом прошивки, второй с winbox и перетаскиваем мышкой файл из папки в winbox в список файлов.

Дожидаемся окончания загрузки прошивки и перезагружаем микротик. Прошивка обновится во время загрузки роутера. Подождать придется минуты 3. Поле этого снова подключаемся к устройству. После обновления прошивки, нужно обновить загрузчик. Делается это в пункте меню System - RouterBoard . Заходите туда, проверяете строки Current Firmware и Upgrade Firmware . Если они отличаются, то жмете кнопку Upgrade . Если одинаковые, то можно ничего не делать.

Проверить версию установленной прошивки можно в разделе System - Packages .

В моем случае версия прошивки - 6.33.3. В будущем, когда на роутере будет настроен интернет, обновляться можно автоматически в этом разделе, нажимая на Check For Updates .

Прошивку обновили, можно приступать к настройке.

Объединение портов в бридж

Одной из особенностей роутеров mikrotik routerboard является отсутствие предустановленных настроек портов. Объясняю на пальцах, что это такое. Покупая обычный бюджетный роутер, вы увидите подписи к портам. На одном из них обязательно будет написано WAN, на других либо ничего не будет написано, либо LAN. То есть у вас уже будет один порт настроен определенным образом для подключения интернета и остальные порты будут объединены в switch для удобства подключения оборудования.

В Mikrotik не так. Там все порты равнозначны и WAN портом может стать абсолютно любой, какой пожелаете. Так как я 1-й порт использую для подключения питания, в качестве WAN у меня будет выступать 5-й порт. А все остальные я объединю в единую сеть с помощью bridge и добавлю к ним wifi интерфейс.

Будем считать, что 1-й порт у нас мастер-порт, хотя это не обязательно, мастер портом может стать любой свободный порт. Укажем всем остальным портам использовать его в качестве мастера. Для этого в winbox идем в раздел Interfaces , выбираем ether2 , два раза нажимаем на него мышкой и попадаем в его настройки. Там ищем поле Master Port , в выпадающем списке выбираем ether1 .

Сохраняем настройку. То же самое проделываем для всех остальных портов, кроме 5-го. Напротив настроенного порта должна появиться буква S .

Мы объединили порты с 1 по 4 в свитч, теперь объединим их с wifi интерфейсом в bridge. Для этого идем в раздел Bridge , нажимаем на плюсик и жмем ОК. Все настройки оставляем по-умолчанию.

У нас появился bridge1. Переходим на вкладку ports и жмем плюсик. Выбираем ether1 и жмем ОК.

Вас отключит от роутера. Так и должно быть, подключайтесь снова. Идем в тот же раздел и еще раз нажимаем плюс и добавляем интерфейс wlan1 . Должно получиться вот так:

Мы объединили все необходимые интерфейсы в бридж для организации единого пространства для всех подключенных устройств.

Настройка статического IP

До этого мы подключались к роутеру по МАК адресу. Сейчас можно ему назначить статический локальный ip адрес, по которому он будет доступен в сети. Для этого идем в раздел IP -> Addresses и жмем плюсик.

Указываете в разделе Address любую подсеть. Я выбрал 192.168.9.0 . Соответственно микротику мы назначаем адрес 192.168.9.1/24 . В качестве интерфейса выбираем bridge1 . Поле Network можно не заполнять, оно заполнится автоматически. Теперь наш роутер доступен и по локальным интерфейсам, и по wifi (который еще предстоит настроить) по адресу 192.168.9.1.

Настройка интернета в микротик

Сейчас самое время подключиться к провайдеру и настроить интернет. Тут трудно охватить все возможные варианты подключения. Их может быть много. Я рассмотрю два самых популярных способа:

1. Вы получаете настройки от провайдера автоматически по dhcp.
2. Провайдер дал вам готовые настройки и вы их вводите вручную.

Как я уже писал ранее, для подключения к провайдеру мы будем использовать 5-й порт. Подключайте провод провайдера.

Для получения настроек по dhcp переходите в winbox в раздел IP -> DHCP Client и жмите плюсик. Выбираете интерфейс ether5 и жмете ОК.

Если вы все сделали правильно, то увидите, какой IP адрес получили. В разделе IP -> Addresses будет информация о настройках.

Рассмотрим вариант, когда провайдер выдал все настройки и вам нужно самим их задать. Будем считать, что наши настройки интернета следующие:

Сначала укажем IP адрес. Делаем все то же самое, что и в предыдущем пункте при настройке статического IP. Только теперь вместо интерфейса bridge1 указываем ether5 и вводим соответствующий адрес - 192.168.1.104/24 . Тут мы сразу указали и адрес и маску подсети.

Дальше нам нужно установить шлюз по-умолчанию. Без этого обязательного шага интернет не заработает. Идем в раздел IP -> Routes и жмем плюсик для добавления шлюза по-умолчанию. В Dst. Address оставляем как есть 0.0.0.0/0 , а в поле Gateway вписываем шлюз провайдера и жмем ОК.

Уже сейчас интернет должен заработать, но без указания DNS сервера обращаться можно только по прямым ip адресам. Например можно пропинговать ip адрес серверов гугла. Открываем New Terminal и проверяем.

Теперь установим DNS сервер. Для этого идем в IP -> DNS , в поле Servers вводим адрес dns сервера провайдера. Если у вас их два, то нажав на треугольничек, направленной вершиной вниз, вы можете ввести еще одно значение. Обязательно ставите галочку напротив Allow Remote Requests .

На этом все, мы полностью установили настройки интернета провайдера. Можно проверить и пропинговать привычный адрес сайта.

На самом маршрутизаторе уже есть выход в интернет. На нам нужно его настроить для пользователей. Для этого продолжаем настройку mikrotik.

Настройка dhcp сервера

Для того, чтобы подключенные устройства могли получать сетевые настройки автоматически с роутера, на нем необходимо настроить DHCP сервер. Делается это не сложно, я сейчас по шагам все распишу. Идем в IP -> DHCP , переходим на вкладку DHCP и нажимаем DHCP Setup . Нам предлагают выбрать интерфейс, на котором будет работать сервер. Выбираем bridge1 .

Жмем next. Теперь нужно выбрать адресное пространство, из которого будут выдаваться ip адреса. По-умолчанию указана подсеть, в которую входит ip адрес роутера. На это подходит, оставляем значение по-умолчанию 192.168.9.0/24 .

Теперь нужно указать диапазон адресов, которые будут выдаваться клиентам. Если вам не принципиально и вы не знаете, зачем его нужно менять, то оставляйте как есть. Будут использованы все свободные адреса подсети.

На последнем этапе вводим адрес dns сервера, который будет выдаваться клиентам. Это может быть как сам микротик, так и dns сервер провайдера. Это не принципиально, но лучше указать сам роутер. Так что пишем туда локальный адрес 192.168.9.1 .

Следующий параметр оставляем по-умолчанию и жмем Next. На этом настройка dhcp сервера для локальной сети закончена.

Если мы сейчас проводом подключим любого клиента к mikrotik, то он получит сетевые настройки, но в интернет выйти не сможет. Не хватает еще одной важной настройки - NAT.

Настройка NAT

NAT это преобразование, или как еще говорят трансляция сетевых адресов. Я не буду рассказывать, что это такое, можно самим почитать в интернете. Все современные роутеры имеют функцию NAT для обеспечения доступа к интернету абонентов. Так что мы тоже настроим NAT в mikrotik.

Идем в раздел IP -> Firewall , открываем вкладку NAT и жмем плюсик. На вкладке General указываем только один параметр Out. Interface - ether5 (интерфейс подключения к провайдеру), все остальное не трогаем.

Переходим на вкладку Action, выбираем в выпадающем списке masquerade . Остальное не трогаем и жмем ОК.

Все, NAT настроили. Теперь если подключить клиента проводом в один из портов, то он получит сетевые настройки по DHCP и будет иметь доступ к интернету. Нам осталось самая малость - настроить wifi для подключения беспроводных клиентов.

Настройка wifi точки доступа в mikrotik

Наш роутер почти готов к работе. Осталось только настроить wi fi точку доступа и можно про него забывать:). Настройка wifi в микротике заслуживает отдельной статьи. Там очень много нюансов и возможностей. Мы сейчас сделаем самую простую настройку, которая подойдет и полностью удовлетворит потребности домашнего wifi роутера. А для более глубоких познаний можно будет воспользоваться отдельным материалом на эту тему.

Первым делом активируем беспроводной интерфейс. По-умолчанию он выключен. Идем в раздел Wireless , выбираем wlan1 и жмем синюю галочку.

Интерфейс из серого станет светлым. Переходим на вкладку Security profiles, два раза жмем мышкой на строчку с профилем default. В поле Mode выбираем dynamic keys . Ставим галочки напротив WPA PSK и WPA2 PSK и aes ccm . В поля WPA Pre-Shared Key и WPA2 Pre-Shares Key вводим пароль от будущей беспроводной сети.

Сохраняем настройки. Возвращаемся на вкладку Interfaces и два раза жмем на wlan1, открываются настройки wifi интерфейса микротика. Переходим на вкладку Wireless. Выставляем настройки как у меня на скриншоте.

Обращаю внимание на следующие настройки:

• SSID - имя вашей беспроводной сети. Пишите то, что хочется.
• Frequency - частота, соответствующая одному из 12-ти каналов. Самое первое значение это первый канал и так далее. Тут рекомендуется выбрать тот канал, который в вашем конкретном случае менее всего занят другими точками доступа. Если вы не знаете что это за каналы и как их проверить, то не обращайте внимания, может выбрать любое значение из списка.

Сохраняете настройки, нажимая ОК. Все, wifi точка доступа на mikrotik настроена, можно проверять. Запускаете любое устройство, ищете вашу сеть, вводите пароль доступа и проверяете интернет. Все должно работать.

На этом основная настройка микротика закончена, но я рекомендую выполнить еще несколько настроек для удобства и безопасности.

Смена пароля администратора по-умолчанию

Как я уже писал ранее, пароль администратора по-умолчанию в mikrotik не задан, он пустой. Имя пользователя - admin . Давайте установим свой пароль для ограничения доступа посторонних к настройкам. Для этого идем в раздел System -> Users . Выбираем единственного пользователя admin , жмем правой кнопкой мыши и выбираем самый последний пункт password.

В открывшемся окошке 2 раза вводим свой пароль и сохраняем его. Теперь, чтобы подключиться через winbox нужно будет указать не только пользователя admin, но и установленный пароль.

Настройка времени

Я рекомендую устанавливать правильное время и включать его автоматическую синхронизацию. Это может пригодиться, если вам понадобится посмотреть какие-нибудь логи и сопоставить время. Если оно не будет установлено, то это трудно сделать. Так что настроим его. Идем в System -> Clock , устанавливаем вручную время, дату и часовой пояс.

Сделаем так, чтобы время автоматически обновлялось через интернет. Идем в раздел System -> SNTP Client . Ставим галочку Enabled , в поле с адресами серверов вводим 193.171.23.163 и 85.114.26.194 . Жмем Apply и наблюдаем результат синхронизации.

Теперь часы роутера всегда будут иметь актуальное время.

На этом базовая настройка роутера mikrotik для домашнего пользования закончена. Можно устанавливать его на место и пользоваться.

Видео

В распоряжении имеется роутер RB751U, который в свою очередь подключен к провайдеру Interzet. В нашу задачу входит, стандартным образом настроить подключение к сети провайдера, локальную и беспроводную сети , правила firewall для безопасной работы в интернет, ну и освоить другие полезные фишки которые пригодятся нам в будущей работе.

Для лучшего понимания процесса настройки, кроме традиционных скриншотов интерфейса RouterOS через Winbox параллельно буду выкладывать CLI-команды, как если бы настройка производилась в терминале или по SSH.

Затем переходим на вкладку Advanced и выставляем значения как на рисунке.

На вкладке HT изменяем следующие параметры.

Нажимаем ОК. Затем переходим на вкладку Security Profiles и выбираем профиль default.

Выставляем режим и тип шифрования, задаем пароль. Нажимаем ОК.

Затем переходим на вкладку Interfaces и включаем интерфейс wlan1.

Для выполнения тех же операций через терминал, набираем следующие команды:

/interface wireless set wlan1 bridge-mode=enabled name=wlan1 disabled=no mode=ap-bridge band=2ghz-b/g/n channel-width=20/40mhz-ht-above ssid=Mikrotik wireless-protocol=802.11 frequency-mode=regulatory-domain country=russia wmm-support=enable distance=indoors periodic-calibration=enabled hw-protection-mode=rts-cts adaptive-noise-immunity=ap-and-client-mode ht-rxchains=0,1 ht-txchains=0,1 ht-guard-interval=long /interface wireless security-profiles set default mode=dynamic-keys authentication-types=wpa2-psk wpa2-pre-shared-key=12345678

Беспроводное подключение через модем Yota у нас будет в качестве резервного канала на случай выхода из строя основного провайдера.

Вставляем модем в usb-порт роутера. В списке интерфейсов должен появится новый интерфейс lte1.

Теперь переходим в меню ip\dhcp-client и выберем в списке интерфейс lte1.

В поле Add Default Router если оставить yes , будет создан маршрут по умолчанию, который в свою очередь отключит маршрут по основному провайдеру, если он есть. Что бы этого не произошло, и маршрут Yota был прописан в качестве дополнительного мы в поле Default Route Distance можем выставить значение 2 и тогда маршрут примет вид отключенного и будет таковым до тех пор пока, не упадет основной маршрут у которого Distance - 1. Но такой маршрут в последствии нельзя будет редактировать (например, задать комментарий), поэтому пока в поле Add Default Router поставим no и создадим маршрут сами.

На вкладке Status, убедимся так же, что роутер получил все необходимые настройки от DHCP-сервера модема.

Переходим в меню IP\Routers. Создаем новый маршрут, в поле Gateway укажем адрес - 10.0.0.1. Distance - 2 и комментарий - gw2.

Нажимаем ОК. Получим примерно следующую картинку.

Здесь у меня первый маршрут (gw1), как раз таки приоритетный и рабочий, просто отключен и поэтому в статусе unreachable, а «ётовский» как раз активный.

Затем добавим два правила на firewall"е. Одно правило для маскарадинга (snat), другое запрещающее любой не разрешенный входящий трафик на интерфейсе lte1.

/ip firewall nat add action=masquerade chain=srcnat out-interface=lte1 /ip firewall filter add chain=input action=drop in-interface=lte1 comment="drop input yota"

7) Настройка SNTP-клиента.

Для отображения корректного времени на устройстве, необходимо настроить SNTP-клиент который в свою очередь будет получать точное время от внешних ntp-серверов. Для этого переходим в меню System\SMTP Client отмечаем галку Enable и вводим ip-адреса первичного и вторичного серверов времени. Нажимаем ОК для сохранения настроек. Для получения самих адресов воспользуемся командой nslookup, например на адрес ru.pool.ntp.org.

А вот для того что бы выставить корректный часовой пояс без ввода команд не обойтись. Для этого в терминале набираем:

/system clock set time-zone-name=Europe/Moscow

Кроме вышеперечисленной команды, добавим сами серверы времени:

/system ntp client set enabled=yes primary-ntp=188.134.70.129 secondary-ntp=46.8.40.31

Посмотреть время на устройстве:

/system clock print

8) Настройка IPTV

Для того что бы настроить IPTV на роутере микротик необходимо предварительно добавить модуль multicast. Для этого переходим на сайт производителя. Выбираем серию устройств для которой будет скачивать пакет. В данном случае это mipsbe... RB700 series . Выбираем All package и скачиваем файл all_packages-mipsbe-x.xx.zip к себе на компьютер. Убедимся, что версия пакета соответствует текущей версии RouterOS, иначе придется обновить и систему тоже. (см. ниже).

Открываем архив all_packages-mipsbe-x.xx.zip и извлекаем от туда фаил multicast-x.xx-mipsbe.npk. В Winbox переходим в меню Files и перетаскиваем мышкой наш файл в окно Files List. Дожидаемся окончания процесса загрузки. Перезагружаем роутер.

Проверяем что пакет multicast установлен в System\Packages.

Что в свою очередь активирует новое дополнительное меню IGMP Proxy в разделе Routing. Открываем Settings и ставим галочку Quick Leave, что по идее должно увеличить скорость переключения каналов, нажимаем Apply для сохранения настроек.

/routing igmp-proxy set query-interval=1s query-response-interval=1s quick-leave=yes

Затем нажимаем «+» и создаем два IGMP Proxy интерфейса, один для внешней сети, который будет принимать поток многоадресной рассылки от провайдера, один для внутренней сети за микротиком, куда трафик будет дальше поступать к устройствам локальной сети.

Создаем первый IGMP proxy интерфейс, который смотрит в сеть провайдера, в нашем случае это ether1 (WAN), в поле Alternative Subnets укажем сеть вещания IPTV (если известна), если нет то поставим 0.0.0.0/0. Отметим галочку напротив Upsteam.

/routing igmp-proxy interface add alternative-subnets=0.0.0.0/0 comment="" disabled=no interface=ether1 threshold=1 upstream=yes

Теперь добавим второй IGMP proxy интерфейс, к которому подключены устройства внутренней сети, компьютер или IPTV-приставка. Задаем внутренний локальный интерфейс, нажимаем ОК.

/routing igmp-proxy interface add comment="" disabled=no interface=bridge1 threshold=1 upstream=no

Следующим шагом, необходимо создать правило на файрволе, разрешающее входящий IGMP-трафик, иначе ничего работать не будет. Для этого, в меню IP – Firewall, на вкладке Filter Rules, добавляем запись: Chain – input; Protocol - igmp; Action – accept. Помещаем созданное правило в начало списка, перед запрещающими.

/ip firewall filter add chain=input action=accept protocol=igmp

Если, мы все правильно настроили, то на вкладке IGMP Proxy\MFC должны появиться динамические правила, а так же пакеты, идущие через них.

Для работы IPTV через wi-fi, нужно в свойствах беспроводного интерфейса wlan1 на вкладке Wireless выставить значение параметра Multicast Helper в Full.

/interface wireless set wlan1 multicast-helper=full

9) Обновление MikroTik RouterOS

Для выполнения процедуры обновления RouterOS скачиваем прошивку с официального сайта. Выбираем, для какой серии устройств будем скачивать пакет обновления. Нас интересует mipsbe... RB700 series . Выбираем Upgrade package. Скачиваем npk-фаил.

Затем, переходим в меню Files и перетаскиваем мышкой наш фаил в окно Files List. Дожидаемся окончания процесса загрузки, после чего, файл должен отобразится в окне Files List.

Затем, перегружаем роутер. После перезагрузки версия RouterOS будет обновлена.

Роутер MikroTik является довольно серьезным инструментом для решения сетевых задач в компаниях и даже небольших провайдерах. Для человека, впервые столкнувшегося с богатством функционала, первоначальная настройка сопряжена с определенными сложностями. В своей статье я пошагово опишу процесс первоначальной настройки маршрутизатора Микротик.

Для подключения сетевого устройства к глобальной сети Интернет нам понадобится:

1. Маршрутизатор MikroTik (для настройки используем Mikrotik RB3011UiAS-2HnD-IN). Он будет раздавать Интернет по кабелю, а также по Wi-Fi на ноутбук, смартфон, телевизор с Wi-Fi или планшет.
2. Подключение от провайдера сети Интернет (Билайн, Онлайм, МГТС, Акадо, НэтБайНэт и другие);
3. Ноутбук с WiFi-картой или компьютер с сетевой картой для подключения по RJ45;

Схема подключения роутера MikroTik:

1. кабель провайдера интернета подключаем в первый порт роутера;
2. компьютер подключаем к сетевому устройству сетевым кабелем в 3 порт, вы можете выбрать любой незанятый;
3. ноутбук и другие беспроводные устройства подключим по Wi-Fi;
4. блок питания включаем в разъем питания роутера MikroTik (находится на обратной стороне маршрутизатора).

Настройка сетевой карты компьютера

Для упрощения настройки роутера MikroTik, сконфигурируем сетевую карту компьютера на получение автоматических настроек сети. Для этого в системе Windows 10 внизу слева в поисковой строке вобьем Центр управления сетями и общим доступом:

Выберем слева “Изменение параметров адаптера”:

Нажимаем правой кнопкой мыши на Ethernet0 (в вашем случаем подключение может именоваться по-другому) и выбираем “Свойства”

Указываем адрес Микротика в качестве шлюза для пересылки запросов в другие сети

Relay запросы от других серверов от других устройств передавать не будем

Оставим резерв на будущее, вдруг мы захотим прописать на серверах статические адреса, и получаем диапазон с 192.168.88.21 по 192.168.88.254

Для преобразования имен в IP адреса буду использовать DNS сервера от Google

Активируем беспроводной интерфейс WiFi на маршрутизаторе Микротик

1. Открываем меню Wireless
2. Выбираем Wi-Fi интерфейс wlan1
3. Нажимаем кнопку Enable (синяя галочка).
   Настройка Wi-Fi точки MikroTik

Создаем пароль для подключения к точке доступа MikroTik:

1. Открываем вкладку Security Profiles
2. Нажимаем кнопку Add (синий плюс)
3. В новом окне в поле Name: указываем имя профиля безопасности
4. Для лучшей безопасности оставляем только регистрацию по протоколу WPA2 PSK
5. В поле WPA2 Pre-Shared Key вводим пароль для доступа к Wi-Fi точке
6. Для сохранения настроек нажимаем кнопку OK.
   Настройка пользователя и пароля Wi-Fi точки MikroTik

Настраиваем режим работы, диапазон, SSID и профиль безопасности wlan1 интерфейса

На закладке WiFi Interfaces двойным нажатием кнопкой мыши на WiFi интерфейсе wlan1 переходим в его настройки. Выбираем вкладку Wireless, далее прописываем следующие параметры соединения:

• Mode: выбираем режим работы ap bridge (точка доступа в режиме моста)
• Band: выбираем в каких стандартах будет работать WiFi точка 2GHz-B/G/N (если выбрать G-диапазон принудительно, соседские точки будут вынуждены снизить свою скорость)
• SSID: прописываем имя точки доступа
• Security Profile выбираем имя профиля безопасности, в котором мы создавали пароль для доступа к WiFi точке

Настройка окончена, нажимаем кнопку ОК

Настройка выполнена, подключаем клиентов к Микротику по WiFi.

Без настройки локальной сети и преобразования сетевых адресов NAT на маршрутизаторе MikroTik на клиентских компьютерах Интернет работать не будет.

Настройка преобразования сетевых адресов NAT

Для того, чтобы каждый компьютер мог обмениваться с другими устройствами в сети Интернет ему нужен “белый” IP адрес, коих всего в мире насчитывается 2^32=4294967296, но если исключить зарезервированные сети, то и того меньше. Так для выхода в сеть Интернет обычно провайдеры предоставляют ограниченное количество IPv4 адресов, то был разработан механизм подмены NAT внутренних IP адресов из сетей: 10.0.0.0/8, 172.16.0.0/12 и 192.168.0.0/24 на внешний IP адрес. Собственно данную полезную функцию мы и включим на нашем роутере MikroTik.

Добавим трансляцию адресов NAT на маршрутизаторе:

1. В меню слева найдем пункт IP, далее перейдем на строку Firewall

С помощью командной строки можно включить NAT довольно быстро

ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade

В качестве исходящего соединения для PPPoE указываем имя PPPoE интерфейса.

Проверим работу на нашем компьютере с установленной операционной системой

В зависимости от модели RouterBOARD , существует несколько способов сброса настроек. Сбросить пароль и настройки MikroTik RouterBOARD можно с помощью кнопки Reset или специального отверстия на плате устройства.

Сброс MikroTik кнопкой Reset

Большинство устройств RouterBOARD оснащены кнопкой Reset .

Чтобы сбросить конфигурацию MikroTik к заводским настройкам выполните следующее:

1. Отключите питание роутера;
2. Нажмите и держите кнопку Reset ;
3. Включите питание роутера;
4. Дождитесь, пока замигает индикатор ACT , и отпустите кнопку Reset .

Примечание: Если вы не отпустите кнопку Reset и дождетесь, когда индикатор ACT перестанет мигать, то устройство перейдет в режим Netinstall для переустановки операционной системы RouterOS.

Сброс MikroTik через специальное отверстие

Все современные платы RouterBOARD имеют специальное отверстие для сброса настроек. В некоторых моделях MikroTik потребуется открыть корпус, чтобы воспользоваться этим отверстием. На других устройствах есть отверстие на корпусе для доступа к сбросу на плате.

Чтобы сбросить конфигурацию MikroTik через специальное отверстие на плате выполните следующее:

1. Отключите питание роутера;
2. Замкните отверстие для сброса металлической отверткой;
3. Включите питание роутера;
4. Подождите, пока сбросится конфигурация, и уберите отвертку.

После сброса роутера, вы сможете зайти в его настройки со стандартным именем пользователя admin без пароля.

Сброс MikroTik джампером на старых моделях

На рисунке изображено расположение джампера для сброса настроек в старых моделях RouterBOARD, например RB133C.

Для сброса настроек в старых моделях MikroTik выполните следующее:

1. Отключите питание роутера;
2. Замкните джампер металлической перемычкой;
3. Включите питание роутера;
4. Подождите, пока сбросится конфигурация, и уберите перемычку.

После сброса роутера, вы сможете зайти в его настройки со стандартным именем пользователя admin без пароля.

Примечание: Не забудьте убрать перемычку после сброса настроек, иначе устройство будет каждый раз сбрасываться при перезагрузке.

Сброс RouterOS установленной на x86

Чтобы сбросить пароли и настройки операционной системы RouterOS, установленной на компьютере x86, необходимо загрузиться с установочного диска с RouterOS. Когда появится окно с выбором пакетов, нажать i и ответить n на вопрос Do you want to keep old configuration? Подтвердите сброс, нажав y .

Не можете попасть в настройки своего роутера Mikrotik и у Вас версия RouterOS 6.29-6.42?
Тогда, вероятнее всего, Ваше оборудование подверглось взлому!
Я бы разделил разновидность нанесённого вреда хакерами в данном случае на три категории:

1. Лёгкий вред: после проведенной атаки был изменён Identity, закрыты порты 8192, 80, 443, зато открыт порт 22, пароль администратора оставлены без изменений;
2. Средний вред: все перечисленные выше порты открыты, но пароль администратора изменён;
3. Тяжёлый вред: пароль администратора изменён, закрыты порты ssh, www, www-ssl Winbox. Доступ только через serial-port и MAC-Winbox.

Я столкнулся со всеми тремя проблемами. Взломаны были как обычные маршрутизаторы на платформе MIPS так и серьезные на PowerPC (ppc).

Легкий взлом

Последствия такой атаки быстро устраняются. Для этого подключаемся к оборудованию по ssh, и введя команду /ip service print, видим, что сервисы, просто-напросто, отключены (Disable).

Следующей командой выключаем сервис winbox.

/ip service enable winbox Остальные подключаются по аналогии или с помощью winbox’а. Убедитесь, что выполнение предыдущей команды прошло успешно. /ip service print

После этого можно подключаться к оборудованию через Winbox, поменять все пароли, выполнить резервное копирование конфигурации и обновить RouterOS.

Средний

Последствия среднего взлома без сторонней программы устранить нельзя. Если интерфейс webfig остается доступным, а пароль злоумышленник изменил, то для восстановления доступа понадобится загрузить программу RouterScan . Официальный сайт: http://stascorp.com/load/1-1-0-56
Скачиваем на компьютер, распаковываем и запускаем. Откроется окно программы. Найдите строку Enter IP Ranges to scan. Справа от этой фразы кликаем по кнопке [E]. Затем в открывшемся диалоговом окне стираем всё и вводим IP-адрес своего роутера. После этого нажимаем кнопку Start Scan.

После сканирования прога выведет связку «Login-Password»

После чего необходимо, как и в первом случае, подключаться к оборудованию, изменить пароли доступа к маршрутизатору, сохранить на компьютер резервную копию конфигурации и установить update.

Тяжелый

А вот тут придется попотеть!
Если первые два типа решаются легко, то для устранения третьей категории взлома понадобится прибегнуть к эксплуатации уязвимости.

Уязвимость, которая эксплуатируется для восстановления паролей описал в статье на своей страничке специалист по кибербезопасности Alireza Mosajja, с ником n0p. https://n0p.me/winbox-bug-dissection/. Он же является автором скрипта для чтения паролей с роутера бездеструктивным методом.

Итак, в RouterOS начиная с версии 6.29 и заканчивая 6.42 с помощью скрипта написанного на Python’е и размещенного в общем доступе на Github, возможно увидеть текущий пароль админа при условии, если порт для подключения с помощью Winbox открыт.

для RouterOS bugfix 6.40.8 и current 6.42.5 и данный метод не подходит

Для запуска понадобится Python с pwntools. Я воспользовался уже установленной версией Ubuntu 16.04 LTS, где скрипт заработал, что называется, «из коробки» — сразу, не потребовав до установить pwntools. Для более ранних дистрибутивов без pwntools воспользуйтесь инструкцией, приведенной в официальной документации к pwntools.
В примере скачиваем в домашнюю директорию пользователя:
owner@mikrotik:~$cd /home/owner/ owner@mikrotik:~$ wget -r https://github.com/BigNerd95/WinboxExploit/archive/master.zip после завершения скачивания у Вас появится вложенные папки github.com/BigNerd65/WinboxExploit/archive/master.zip . Далее распаковываем скаченный архив.
owner@mikrotik:~$ unzip /home/owner/github.com/BigNerd95/WinboxExploit/archive/master.zip
на выходе получится директория WinboxExploit, в которой содержится, интересующий нас скрипт WinboxExploit.py. Запускается всего с одним параметром — IP-адресом, либо MAC-адрес роутера. И если все пройдет успешно, вы увидите историю паролей, применявшихся на роутере, где последний текущий. Важно! Перед применением обязательно удостоверьтесь, что указываемый в параметре скрипта адрес принадлежит вашему собственному роутеру!

После того как вы вернули доступ к управлению роутером задайте новые пароли, выполните резервное копирование конфигурации, скачайте с сайта производителя обновленную прошивку.

Очень надеюсь, что данная статья поможет вам сохранить часы жизни и нервные клетки.

Все современные платы RouterBOARD имеют специальное отверстие для сброса настроек. Например на моделях Mikrotik RB751и Mikrotik RB951 его можно обнаружить на нижней части маршрутизатора.

Чтобы сбросить конфигурацию MikroTik через специальное отверстие на плате выполните следующее:

1 Отключите питание маршрутизатора,
2 Замкните контактную площадку металлической отверткой и удерживайте замкнутой,
3 Включите питание сетевого устройства,
4 Дождитесь пока светодиодный индикатор ACT не начнет мигать (несколько секунд),
5 Разомкните контактную площадку, чтобы очистить конфигурацию.
После сброса роутера, вы сможете зайти в его настройки со стандартным именем пользователя- admin без пароля.

На мой взгляд не совсем удобный способ, поскольку довольно трудно попасть отверткой по контактам, у меня получилось не с первого раза.

Сброс Mikrotik до заводских настроек с помощью кнопки Reset.

На многих маршрутизаторах Mikrotik можно обнаружить кнопку Reset. Например на моделях Mikrotik RB751и Mikrotik RB951 ее можно обнаружить на лицевой стороне маршрутизатора (там где расположены сетевые разъемы).

Что бы сбросить настройки, необходимо выполнить ряд простых операций:
1 Отключите питание роутера;
2 Нажмите и держите кнопку Reset;
3 Включите питание роутера;
4 Дождитесь, пока замигает индикатор ACT, и отпустите кнопку Reset.

Теперь вы можете подключиться к маршрутизатору используя стандартные логин и пароль.

Сброс настроек Mikrotik с помощью программных средств маршрутизатора.

Для того что бы сбросить настройки Mikrotik совсем не обязательно нажимать какие либо кнопки, сбросить настройки можно на интерфейсе маршрутизатора, для этого необходимо подключиться к нему либо с помощью веб интерфейса (стандартные настройки: IP 192.168.88.1 логин - admin без пароля) или с помощью утилиты Winbox. Winbox- бесплатная утилита не требующая установки, с помощью которой можно настроить маршрутизатор Mikotik. Вот ссылка для скачивания этой утилиты с официального сайта http://www.mikrotik.com/download . Запустив утилиту, ведите в поле "Connect To" IP адрес Mikrotik (по умолчанию 192.168.88.1), Login - по умолчанию admin, Password - по умолчанию отсутствует (оставьте это поле пустым). Нажмите кнопку "Connect ".

Не важно каким способом вы попали на интерфейс Mikrotik, выберите в меню "Quick Set" (это поле открыто по умолчанию). Справа в поле System нажмите кнопку "Reset Configuration ".

На вопрос действительно ли вы хотите сбросить настройки, отвечаем согласием, нажимаем "Yes ".

После этого маршрутизатор перегрузится и восстановит заводские настройки.

Сброс настроек Mikrotik с помощью терминального подключения.

К маршрутизаторам Mikrotik можно подключаться используя различные службы (ssh, telnet). С их помощью тоже можно без труда сбросить настройки Mikrotik, для этого достаточно ввести команду System reset-configuration и нажать Enter, на вопрос подтверждения сброса нажмите Y .

Вот пример как это делается в терминале маршрутизатора.

Необходимо учесть, что сбрасывая настройки вы можете удаленно уже не подключиться к сетевому устройству.

Заключение.

Не зависимо от способа сброса настроек, при подключении к Mikrotik, вы увидите следующее окно.

Нажав кнопку "Remove Configuration" вы удалите все настройки маршрутизатора (включая заводские), я не рекомендую такую тотальную чистку, зачастую достаточно сбросить до заводских настроек, для этого нажмите кнопку "Ок ".