Полный гайд по настройке домашнего MikroTik

Базовая настройка маршрутизатора MikroTik для дома сводится к пяти шагам: подключение кабеля провайдера в порт ether1, вход в интерфейс (Winbox или WebFig), создание правил маскерадинга (NAT) для доступа в интернет, настройка DHCP-сервера для раздачи адресов устройствам и конфигурация беспроводной сети с надежным шифрованием. Весь процесс занимает 15–20 минут даже у новичка.

MikroTik часто считают сложным оборудованием для инженеров, но современные модели серии hAP (home access point) созданы специально для квартир и домов. Они предлагают стабильность корпоративного уровня при цене бытового роутера. В этой инструкции мы пройдем путь от распаковки до защищенной домашней сети, избегая лишней теории и сосредоточившись на практических действиях.

Подготовка оборудования и первый вход

В отличие от многих потребительских роутеров, MikroTik «из коробки» не имеет настроенного мастера с яркими картинками на всех моделях, хотя новые версии ОС (RouterOS v7) значительно упростили этот процесс.

1. Физическое подключение. Подключите кабель от провайдера в порт ether1 (часто он подписан как Internet или выделен цветом). Ваш компьютер соедините патч-кордом с любым другим портом (например, ether2).
2. Питание. Включите роутер в розетку и подождите 1–2 минуты до полной загрузки.
3. Вход в систему.
   • Запустите Winbox. Во вкладке Neighbors должно появиться ваше устройство. Нажмите на его MAC-адрес.
   • Логин по умолчанию: admin. Пароль пустой. Нажмите Connect.
   • Если используете браузер, введите адрес 192.168.88.1 (стандартный адрес MikroTik).

Настройка доступа в Интернет (WAN)

Первая задача — заставить роутер видеть интернет. Логика зависит от типа подключения, который использует ваш провайдер. Перейдите в меню IP -> Addresses (для статики) или Interfaces (для динамики/PPPoE).

Вариант А: Динамический IP (DHCP)

Самый частый вариант. Провайдер сам выдает адрес.

1. Зайдите в IP -> DHCP Client.
2. Нажмите + (добавить).
3. В поле Interface выберите ether1 (порт провайдера).
4. Убедитесь, что стоит галочка Add Default Route.
5. Нажмите OK. Статус должен стать bound.

Вариант Б: Статический IP

Если провайдер выдал вам конкретные цифры (IP, Маска, Шлюз, DNS).

1. Зайдите в IP -> Addresses.
2. Нажмите +. В поле Address введите ваш IP с маской (например, 185.22.10.5/24).
3. В поле Interface выберите ether1.
4. Далее перейдите в IP -> Routes, добавьте маршрут (+):
   • Dst. Address: 0.0.0.0/0
   • Gateway: IP шлюза провайдера.
5. В IP -> DNS пропишите серверы (можно публичные: 8.8.8.8, 1.1.1.1), поставьте галочку Allow Remote Requests.

Вариант В: PPPoE / L2TP / PPTP

Требуется логин и пароль.

1. Перейдите в PPP -> интерфейсы (+).
2. Выберите тип (например, PPPoE Client).
3. Вкладка General: Interface ether1.
4. Вкладка Dial Out: введите User и Password от договора.
5. Вкладка IP: убедитесь, что стоит галочка Add Default Route.

Организация локальной сети (LAN) и DHCP

Теперь нужно настроить внутреннюю сеть, чтобы ваши телефоны и ноутбуки получали адреса автоматически. По умолчанию MikroTik часто уже имеет настройки на подсети 192.168.88.0/24, но лучше проверить или пересоздать их чисто.

1. IP-адрес роутера.

   • Меню IP -> Addresses. Добавьте адрес для локальной сети, например: 192.168.10.1/24.
   • Интерфейс: выберите порт, к которому подключены домашние устройства (или создайте мост Bridge, объединив порты ether2–ether5 и Wi-Fi, если хотите единую сеть). Совет: для простоты новичкам рекомендуется использовать встроенный мост bridge-local или создать новый мост в разделе Bridge.

2. Настройка пула адресов.

   • Меню IP -> Pool. Создайте пул (+):
   • Name: local-pool
   • Addresses: 192.168.10.100-192.168.10.200

3. Запуск DHCP-сервера.

   • Самый быстрый способ — мастер: IP -> DHCP Server -> кнопка DHCP Setup.
   • Выберите интерфейс вашей локальной сети (или мост).
   • Мастер сам подтянет адрес шлюза, сеть и предложит созданный пул. Нажимайте Next до завершения.

Настройка трансляции адресов (NAT)

Даже если интернет на роутере появился, устройства внутри сети (с адресами вида 192.168.x.x) не смогут выйти во внешний мир без правила Masquerade. Оно подменяет внутренние адреса на внешний адрес провайдера.

1. Перейдите в IP -> Firewall.
2. Откройте вкладку NAT.
3. Нажмите + для добавления правила.
4. Вкладка General:
   • Chain: srcnat
   • Out. Interface: выберите ваш порт провайдера (ether1 или интерфейс туннеля pppoe-out1).
5. Вкладка Action:
   • Action: masquerade
6. Нажмите OK.

Теперь проверьте доступ в интернет с подключенного компьютера (ping 8.8.8.8).

Конфигурация беспроводной сети (Wi-Fi)

Настройка зависит от модели. В старых моделях (до 2020 года) и некоторых новых используется пакет wireless, в новейших (ax-серии) — wifi (WifiWave2). Рассмотрим универсальный подход для большинства домашних моделей (hAP ac², ac³, lite²).

1. Перейдите в меню Wireless (или Interfaces -> найдите wlan1/wlan2).
2. Дважды кликните по интерфейсу.
3. Вкладка Wireless:
   • Mode: ap bridge (точка доступа).
   • Band: выберите частоту (2.4GHz или 5GHz). Для 5 ГГц выберите канал шириной 20/40/80 MHz CE.
   • Frequency: auto или конкретный свободный канал.
   • SSID: имя вашей сети (например, Home_WiFi_5G).
   • Убедитесь, что стоит галочка Enable.
4. Вкладка Security Profile (или кнопка Security Profile сверху):
   • Создайте новый профиль (+).
   • Mode: dynamic keys.
   • Authentication Types: отметьте WPA2 PSK (или WPA3 если все устройства поддерживают).
   • Unicast/Group Ciphers: aes ccm.
   • Pre-Shared Key: придумайте сложный пароль (минимум 12 символов).
5. Примените профиль к интерфейсу и нажмите OK.

Повторите процедуру для второго диапазона (если роутер двухдиапазонный), задав другое имя сети (например, Home_WiFi_2.4G), чтобы устройства могли выбирать лучшую частоту.

Базовая безопасность и защита

MikroTik по умолчанию имеет открытый доступ к некоторым сервисам. Минимальная защита обязательна.

1. Отключение лишних сервисов.

   • Меню IP -> Services.
   • Оставьте включенным только то, чем пользуетесь (обычно winbox и ssh или https для веб-интерфейса).
   • Отключите telnet, ftp, www (незащищенный веб), если они не нужны.
   • Для оставшихся сервисов можно ограничить доступ по адресу (Available From), указав только вашу подсеть (например, 192.168.10.0/24).

2. Брандмауэр (Firewall).

   • В RouterOS v7 есть встроенный скрипт защиты. Зайдите в System -> Scripts. Найдите скрипт defconf или используйте команду в терминале: /tool/fetch url="https://raw.githubusercontent.com/.../firewall-script.rsc" (если есть доступ к репозиториям), но проще включить стандартную защиту.
   • Простой ручной метод: в IP -> Firewall -> Filter Rules добавьте правило:
     • Chain: input
     • Connection State: new,untracked
     • In. Interface List: WAN (или ваш порт провайдера)
     • Action: drop
     • Comment: "Drop WAN input"
   • Важно: Это правило должно быть самым последним в списке, после разрешающих правил для установленных соединений (connection state=established,related accept).

Частые ошибки при настройке

Часто задаваемые вопросы (FAQ)

Нужно ли обновлять RouterOS сразу после покупки? Да. Зайдите в System -> Packages -> Check for Updates. Новые версии закрывают уязвимости и улучшают стабильность Wi-Fi. Перед обновлением сделайте резервную копию (Files -> Backup).

Как сбросить настройки, если я всё сломал? Выключите роутер из розетки. Зажмите кнопку Reset (может потребоваться скрепка). Не отпуская кнопку, включите питание. Держите кнопку, пока индикатор USR (или ACT) не начнет мигать. Отпустите. Роутер загрузится с заводскими настройками (логин admin, без пароля).

Можно ли настроить гостевую сеть? Да. Для этого нужно создать второй мост (Bridge), добавить в него виртуальный интерфейс Wi-Fi (Virtual AP) и настроить для него отдельный DHCP и правила фаервола, запрещающие доступ к основной подсети (LAN).

Почему скорость по Wi-Fi ниже, чем по кабелю? Проверьте ширину канала в настройках беспроводной сети. Для 2.4 ГГц ставьте 20 MHz (стабильнее) или 20/40 MHz. Для 5 ГГц — 40/80 MHz. Также убедитесь, что выбран свободный канал, а не перегруженный соседями.