Как настроить микротик routerboard RB951G-2HnD

Под цифрами от 1 до 4 вы видите два варианта отображения, которая меняется в зависимости от того, подключены вы по ip или mac.

5) Статус – при наведении на него мышкой, отобразится дополнительная информация.

6) Так выглядит любой выключенный элемент.

7) Синим цветом подсвечиваются изменяемые элементы настроек.

8) Пример логического или (все кроме того, что тут написано).

9) Самая полезная кнопка Safe mode, перед внесением изменений зажимайте ее, и если вдруг ваши действия приведут к потере доступа к устройству, то mikrotik откатит все изменения назад до того, как вы нажали на нее.

Если вы хотите углубить свои знания по работе с роутерами MikroTik, то наша команда рекомендует пройти курсы которые сделаны на основе MikroTik Certified Network Associate и расширены автором на основе опыта . Подробно читайте ниже.

WinBox порт

WinBox на android

Не так давно на android тоже появился winbox, его можно найти в Play маркет. Называется он там Tik-App. Думая для многих это приложения для андройда окажется полезным.

Настройка winbox mikrotik

Также если мы с микротиком находитесь в одном широковещательном домене, то можно перейти на вкладку «Neighbors» и там они отобразятся, после можно зайти без ip по mac адресу.

89 вопросов по настройке MikroTik

Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдете для себя полезную информацию в курсе «Настройка оборудования MikroTik». 162 видеоурока, большая лабораторная работа и 89 вопросов, на каждый из которых вы будете знать ответ. Подробности и доступ к началу курса бесплатно тут.

Продолжаю рассказ про замечательную серию устройств из Латвии, которые зарекомендовали себя как функциональные и надежные девайсы. В данной статье я подробно рассмотрю вопрос базовой настройки роутеров mikrotik на примере бюджетной и самой популярной модели RB951G-2HnD. Данная инструкция подойдет практически к любой модели, так как все они сделаны на базе одной и той же операционной системы.

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курcе по администрированию MikroTik. Автор курcа, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.

Данная статья является частью единого цикла статьей про Mikrotik.

Введение

Роутеры Mikrotik routerboard достаточно давно появились на рынке, но так до сих пор и не завоевали большую популярность. Хотя свою нишу заняли. Лично я считаю, что это отличный роутер для дома, по надежности у него нет конкурентов. Это действительно маршрутизатор, который можно один раз настроить и забыть. Лично мне еще ни разу не попадалось устройство, которое бы приходилось принудительно перезагружать, чтобы вывести его из комы, как это часто бывает с другими бюджетными железками.

Распространение среди домашних пользователей сдерживает в первую очередь сложность настройки. И хотя более ли менее продвинутому пользователю может показаться, что ничего тут сложного нет. Но на самом деле есть. И я часто сталкивался с просьбами настроить роутер дома для раздачи интернета по wifi, так как купившие по чьей-нибудь рекомендации пользователи сами не могли полностью настроить нужный функционал, хотя инструкций в интернете хватает.

Этот пробел я хочу восполнить и написать подробную пошаговую инструкцию по настройке микротика с нуля для чайников на примере самой подходящей для дома модели RB951G-2HnD. У меня давно подготовлена личная шпаргалка в виде текстового файла. По ней я буквально за 10 минут настраиваю роутер и отдаю пользователю. То есть реально ничего сложного нет, если знаешь, что делаешь. На основе этой шпаргалки я и напишу материал.

Далее предлагаю краткий список того, что мы будем делать в статье, чтобы вы понимали, о чем пойдет речь.

Краткий список действий

Настройка роутера Mikrotik.

• Сброс настроек роутера.Я предлагаю начать настраивать микротик с нуля, без заводских настроек. Это позволяет лучше понять и разобраться в принципах работы устройства.
• Обновление прошивки.
• Объединение портов в бридж.Так как мы разбираем базовую настройку микротика, все порты вместе с wifi будут объединены в единый сетевой бридж, чтобы подключенные к ним устройства могли взаимодействовать друг с другом.
• Настройка ip адреса.В качестве примера покажу, как настроить статический ip адрес в роутере. Это не такая тривиальная и очевидная задача, как в некоторых домашних устройствах.
• Подключение интернета.Показываю, что нужно сделать, чтобы заработал интернет на самом роутере.
• Настройка dhcp сервера.Настраиваю dhcp сервер на микротике, чтобы он раздавал сетевые настройки для всех устройств локальной сети.
• Настройка NAT.Обязательная настройка для того, чтобы интернет заработал у подключенных к mikrotik устройств.
• Настройка Wifi.Показываю базовую настройку wifi в микротике. Только минимально необходимые настройки, чтобы можно было подключаться и выходить в интернет по wifi.
• Смена пароля администратора.Показываю, как задать или изменить пароль доступа к роутеру.
• Настройка времени.Необязательная настройка. С неправильным временем тоже все будет работать, но когда оно установлено правильно и синхронизируется, удобнее и практичнее.

Описание Mikrotik RB951G-2HnD

Вот он, герой сегодняшней статьи — Mikrotik RB951G-2HnD. Его описание, отзывы и стоимость можно быстро проверить на Яндекс.Маркете. По количеству отзывов уже можно сделать вывод об определенной популярности этого роутера.

Внешний вид устройства.

Важной особенностью этого роутера, которой лично я активно пользуюсь, является возможность запитать его с помощью специального poe адаптера.

На изображении он справа. Берется стандартный блок питания от роутера и poe адаптер. Блок питания подключается к адаптеру, а от адаптера уже идет патч корд в первый порт routerboard. Маршрутизатор можно повесить на стену в любое место, нет необходимости привязываться к розетке. Сразу отмечу, что запитать роутер можно только poe адаптером микротика. У него другой стандарт и привычные poe свитчи 802.3af не подойдут.

Существует похожая модель RB951Ui-2HnD. Она отличается от описываемой мной только тем, что у нее 100Mb порт, а у RB951G-2HnD 1Gb. Если для вас эти отличия не принципиальны, то можете покупать более дешевую модель. В остальном они идентичны.

Будем потихонечку двигаться дальше. Как проще всего настроить микротик? Я для этого использую стандартную утилиту winbox. Можно пользоваться и web интерфейсом, но лично мне намного удобнее winbox. Так что для продолжения настройки скачивайте ее на компьютер.

Сброс настроек роутера

Подключаем роутер к сети, подаем питание и запускаем на компьютере winbox. Переходим на вкладку Neighbors и ждем, когда утилита найдет наш микротик. Это может занять какое-то время. На всякий случай можно нажать Refresh, если роутер долго не обнаруживается.

Здесь их можно либо оставить, либо удалить. Я всегда удаляю, так как стандартные настройки чаще всего не подходят под конкретную ситуацию. Приведу несколько примеров, почему это так:

• Я запитал свой роутер по первому порту через poe адаптер и поэтому вынужден использовать этот порт как локальный. В настройках по-умолчанию этот порт используется как wan порт для получения интернета от провайдер.
• В настройках по-умолчанию установлено автоматическое получение настроек от провайдера по dhcp. Если у вас другой тип подключения, то вам стандартная настройка не подходит.
• По-умолчанию устанавливается адресное пространство 192.168.88.0/24. Мне лично не нравятся сетки по-умолчанию, так как если в них случайно воткнуть новое устройство, где будет так же забит умолчательный адрес, то в сети начнутся проблемы. Дома может это и не актуально, но в коммерческих организациях мне приходилось с этим сталкиваться. Поэтому я на всякий случай сетку всегда меняю.

Так что мы нажимаем Remove Configuration, чтобы удалить настройки. После этого роутер перезагрузится. Ждем примерно минуту и подключаемся к нему снова.

Если вы по какой-то причине не удалили сразу предустановки, то выполнить сброс настроек в mikrotik на заводские можно позже. Для этого надо в терминале набрать сначала system, а затем reset. У вас спросят подтверждение и после этого routerboard перезагрузится с заводскими настройками.

Обновление прошивки

После очистки настроек я рекомендую сразу выполнить обновление прошивки роутера Mikrotik. Для этого идем в раздел Download официального сайта и скачиваем нужный файл. В данном случае это платформа mipsbe, пакет для загрузки Main package. Загружаем его на компьютер и подключаемся к роутеру с помощью winbox. Выбираем слева раздел Files. Затем открываем рядом два окна — один с файлом прошивки, второй с winbox и перетаскиваем мышкой файл из папки в winbox в список файлов.

Проверить версию установленной прошивки можно в разделе System — Packages.

В моем случае версия прошивки — 6.43.4. В будущем, когда на роутере будет настроен интернет, обновляться можно автоматически в этом разделе, нажимая на Check For Updates.

Прошивку обновили, можно приступать к настройке.

Объединение портов в бридж

Одной из особенностей роутеров mikrotik routerboard является отсутствие предустановленных настроек портов. Объясняю на пальцах, что это такое. Покупая обычный бюджетный роутер, вы увидите подписи к портам. На одном из них обязательно будет написано WAN, на других либо ничего не будет написано, либо LAN. То есть у вас уже будет один порт настроен определенным образом для подключения интернета и остальные порты будут объединены в switch для удобства подключения оборудования.

В Mikrotik не так. Там все порты равнозначны и WAN портом может стать абсолютно любой, какой пожелаете. Так как я 1-й порт использую для подключения питания, в качестве WAN у меня будет выступать 5-й порт. А все остальные я объединю в единую сеть с помощью bridge и добавлю к ним wifi интерфейс. Для этого идем в раздел Bridge и создаем новый bridge1.

Настройки все оставляем дефолтные. У нас появился bridge1. Переходим на вкладку ports и жмем плюсик. Добавляем в brdige1 все порты, кроме WAN. В моем случае это 5-й порт.

Мы объединили все необходимые интерфейсы в бридж для организации единого пространства для всех подключенных устройств.

Настройка статического IP

Указываете в разделе Address любую подсеть. Я выбрал 192.168.9.0. Соответственно микротику мы назначаем адрес  192.168.9.1/24. В качестве интерфейса выбираем bridge1. Поле Network можно не заполнять, оно заполнится автоматически. Теперь наш роутер доступен и по локальным интерфейсам, и по wifi (который еще предстоит настроить) по адресу 192.168.9.1.

Настройка интернета в микротик

Сейчас самое время подключиться к провайдеру и настроить интернет. Тут трудно охватить все возможные варианты подключения. Их может быть много. Я рассмотрю два самых популярных способа:

• Вы получаете настройки от провайдера автоматически по dhcp.
• Провайдер дал вам готовые настройки и вы их вводите вручную.

Как я уже писал ранее, для подключения к провайдеру мы будем использовать 5-й порт. Подключайте провод провайдера.

Рассмотрим вариант, когда провайдер выдал все настройки и вам нужно самим их задать. Будем считать, что наши настройки интернета следующие:

Сначала укажем IP адрес. Делаем все то же самое, что и в предыдущем пункте при настройке статического IP. Только теперь вместо интерфейса bridge1 указываем ether5 и вводим соответствующий адрес — 192.168.1.104/24. Тут мы сразу указали и адрес и маску подсети.

Уже сейчас интернет должен заработать, но без указания DNS сервера обращаться можно только по прямым ip адресам. Например можно пропинговать ip адрес серверов гугла. Открываем New Terminal и проверяем.

Если у вас внешний IP адрес и вы разрешили удаленные DNS запросы, обязательно выполните настройку firewall и заблокируйте все входящие соединения. Если этого не сделать, то ваш роутер может стать жертвой поддельных dns запросов, которые используют для ddos атак.

На этом все, мы полностью установили настройки интернета провайдера. Можно проверить и пропинговать привычный адрес сайта.

На самом маршрутизаторе уже есть выход в интернет. На нам нужно его настроить для пользователей. Для этого продолжаем настройку mikrotik.

Настройка dhcp сервера

Жмем next. Теперь нужно выбрать адресное пространство, из которого будут выдаваться ip адреса. По-умолчанию указана подсеть, в которую входит ip адрес роутера. На это подходит, оставляем значение по-умолчанию 192.168.9.0/24.

Дальше нужно указать адрес шлюза, который будут получать клиенты. Так как для них шлюзом будет выступать сам микротик, оставляем его адрес, который уже предложен.

Теперь нужно указать диапазон адресов, которые будут выдаваться клиентам. Если вам не принципиально и вы не знаете, зачем его нужно менять, то оставляйте как есть. Будут использованы все свободные адреса подсети.

На последнем этапе вводим адрес dns сервера, который будет выдаваться клиентам. Это может быть как сам микротик, так и dns сервер провайдера. Это не принципиально, но лучше указать сам роутер. Так что пишем туда локальный адрес 192.168.9.1.

Следующий параметр оставляем по-умолчанию и жмем Next. На этом настройка dhcp сервера для локальной сети закончена.

Если мы сейчас проводом подключим любого клиента к mikrotik, то он получит сетевые настройки, но в интернет выйти не сможет. Не хватает еще одной важной настройки — NAT.

Настройка NAT

NAT это преобразование, или как еще говорят трансляция сетевых адресов. Я не буду рассказывать, что это такое, можно самим почитать в интернете. Все современные роутеры имеют функцию NAT для обеспечения доступа к интернету абонентов. Так что мы тоже настроим NAT в mikrotik.

Переходим на вкладку Action, выбираем в выпадающем списке masquerade. Остальное не трогаем и жмем ОК.

Все, NAT настроили. Теперь если подключить клиента проводом в один из портов, то он получит сетевые настройки по DHCP и будет иметь доступ к интернету. Нам осталось самая малость — настроить wifi для подключения беспроводных клиентов.

Настройка wifi точки доступа в mikrotik

Наш роутер почти готов к работе. Осталось только настроить wi fi точку доступа и можно про него забывать :). Настройка wifi в микротике заслуживает отдельной статьи. Там очень много нюансов и возможностей. Мы сейчас сделаем самую простую настройку, которая подойдет и полностью удовлетворит потребности домашнего wifi роутера. А для более глубоких познаний можно будет воспользоваться отдельным материалом на эту тему.

Первым делом активируем беспроводной интерфейс. По-умолчанию он выключен. Идем в раздел Wireless, выбираем wlan1 и жмем синюю галочку.

Сохраняем настройки. Возвращаемся на вкладку Interfaces и два раза жмем на wlan1, открываются настройки wifi интерфейса микротика. Переходим на вкладку Wireless. Выставляем настройки как у меня на скриншоте.

Обращаю внимание на следующие настройки:

• SSID — имя вашей беспроводной сети. Пишите то, что хочется.
• Frequency — частота, соответствующая одному из 12-ти каналов. Самое первое значение это первый канал и так далее. Тут рекомендуется выбрать тот канал, который в вашем конкретном случае менее всего занят другими точками доступа. Если вы не знаете что это за каналы и как их проверить, то не обращайте внимания, может выбрать любое значение из списка.

Сохраняете настройки, нажимая ОК. Все, wifi  точка доступа на mikrotik настроена, можно проверять. Запускаете любое устройство, ищете вашу сеть, вводите пароль доступа и проверяете интернет. Все должно работать.

На этом основная настройка микротика закончена, но я рекомендую выполнить еще несколько настроек для удобства и безопасности.

Смена пароля администратора по-умолчанию

Теперь часы роутера всегда будут иметь актуальное время.

На этом базовая настройка роутера mikrotik для домашнего пользования закончена. Можно устанавливать его на место и пользоваться. На всякий случай рекомендую посмотреть статью с разбором основных ошибок в микротике.

Часто задаваемые вопросы по теме статьи (FAQ)

Подходит ли Микротик для домашнего использования?

Я считаю, что Микротик стоит использовать только тем, кто может его самостоятельно настроить. Если вы не системный администратор, не разбираетесь в сетевых технологиях, лучше поставить какой-то роутер попроще. Я сталкивался с ситуациями, когда пользователь обращается к провайдеру с проблемами доступа в интернет. И когда он говорит провайдеру, что у него устройство Микротик, тех. поддержка провайдера отвечает, что мы не можем помочь с таким устройством. Разбирайтесь сами.

Какую ветку прошивки вы рекомендуете использовать?

Если вас не интересуют нововведения, которые появляются в новых версиях прошивки, я рекомендую использовать ветку long-term. Это самая стабильная версия, куда оперативно вносятся все обновления безопасности.

Можно ли запитать устройства Mikrotik через стандартный poe адаптер 802.3af?

Нет, у Mikrotik свой стандарт poe адаптеров, которые подходят только для устройств этой же фирмы. Он отличается от промышленного стандарта 802.3af, поэтому необходимо приобретать фирменные poe адаптеры Mikrotik.

Из-за чего часто возникают проблемы со связью у устройств компании Apple и роутеров Mikrotik?

Корень проблемы подключения apple устройств, в частности iphone, к микротикам кроется в механизме обновления dhcp leases в режиме сна. Когда iphone или другое устройство apple «засыпает», оно не может корректно обновить dhcp аренду, поэтому при выходе из режима сна wifi сеть бывает недоступна. Частичное решение этой проблемы — делать большой интервал обновления dhcp аренды — несколько часов или суток.

Видео

Если у вас есть желание научиться работать с роутерами микротик и стать специалистом в этой области, рекомендую пройти курcы по программе, основанной на информации из официального курcа MikroTik Certified Network Associate. Помимо официальной программы, в курcах будут лабораторные работы, в которых вы на практике сможете проверить и закрепить полученные знания. Все подробности на сайте Курcы по ИТ.

Стоимость обучения весьма демократична, хорошая возможность получить новые знания в актуальной на сегодняшний день предметной области. Особенности курcов:

• Знания, ориентированные на практику;
• Реальные ситуации и задачи;
• Лучшее из международных программ.

Помогла статья? Подписывайся на telegram канал автора

Анонсы всех статей, плюс много другой полезной и интересной информации, которая не попадает на сайт.

This application helps you remotely connect to the MikroTik router and configure it. There is an option to scan the local network and detect all devices.

Windows XP, Windows Vista, Windows 7, Windows 8, Windows 8.1, Windows 10

Connection

It is possible to create groups for sorting computers, routers and other hardware. You can display the detailed information about every client.

Settings

• free to download and use;
• intended for configuring the routers from MikroTik;
• it is possible to scan the network for active devices;
• there is a grouping functionality for sorting the clients;
• compatible with all modern versions of Windows;

Windows XP, Windows Vista, Windows 7, Windows 8, Windows 8.1, Windows 10, Windows 11

This application provides instruments for improving your internet connection speed. It is compatible with multiple models of dial up, ADSL and cable modems.

Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10, Windows 11

Using this web , you are able to build websites and manage content. Moreover, you have the option to apply a wide range of preset layout styles.

This specialized utility lets you move files back and forth between ESX servers using the Secure Copy protocol instead of the less secure HTTP transfer method.

was designed to help you to analyze the security status of websites. Moreover, you have the option to connect relational databases.

This small utility allows you to quickly unlock full versions of game trials downloaded from Xbox Marketplace. There is support for many popular titles.

Using this straightforward , you are able to release Citrix licenses. Moreover, you have the option to export the main list and save it to a PDF document.

Давайте разберём тему по настройке удалённого доступа к MikroTik через интернет, поговорим о нюансах, с которыми вы столкнитесь в реальном мире, а также ответим на вопрос «Как подключаться к микротику, который находится за микротиком?»

Обращаю ваше внимание, что основополагающим в схеме удалённого подключения через интернет является наличие хотя бы одного публичного IP адреса на пограничном маршрутизаторе.

Что есть у Mikrotik

Давайте взглянем для начала, что вообще есть из сервисов удалённого управления. Открываем IP-Services.

• Первый пункт это обычный API интерфейс без шифрования, второй – соответственно то же самое, но только шифрованный.
• FTP – это не сервис управления, а в принципе сервис, по которому можете сделать свой Mikrotik FTP-сервером для приёма и передачи файлов.
• Winbox — это подключение к роутеру через специальное приложение (этот способ чаще всего используется).
• WWW и WWW-SSL – аналогично пункту выше только через веб.
• Для пунктов с SSL в названии нужен сертификат.

Как видно из скриншота выше, все порты установлены стандартные и все сервисы включены (т.е. по ним можно подключиться).

Основное

Самое важное – это определиться какие методы управления вам необходимы. Рекомендую оставлять 2, максимум 3, остальное отключаем. В моей демонстрации я буду показывать подключение по Winbox, SSH и WEB.

Выделяем все сервисы через CTRL + A, зажимаем CTRL и кликаем на нужные сервисы, отключаем через крестик. В итоге должна получиться следующая картина.

Пожалуй, самая любимая моя вещь. Здесь есть нюанс. Многие для доступа к управлению с телефона оставляют включённый WWW или в лучшем случае WWW-SSL. Я не сторонник выставления любых веб-сервисов наружу т.к. это довольно популярное направление атак. Хитрость заключается в том, что если вы выставляете порт Winbox наружу, то вы легко подключитесь через мобильное приложение TikApp (работает на Android), тем самым двух зайцев одним выстрелом.

Чтобы совсем спокойнее было, я ещё ставлю не стандартный порт. Двойным кликом открываем настройку сервиса и меняем порт.

Далее открываем данный порт на input в firewall.

Подключаемся внутри сети к Winbox по не стандартному порту.

Аналогично и снаружи, по прямому белому адресу или по доменному имени, или по DDNS Mikrotik.

Проверим через TikApp.

Если нажата галочка «Сохранить пароль», то в случае успешного подключения, данные коннекта сохранятся во вкладке «Сохранённые»

SSH

Аналогично предыдущего пункта, изменим порт по умолчанию. Почему мы это делаем? Потому что «желтолицые» ребята не дремлют и сканируют/брутфорсят девайсы с публичными адресами.

И создадим правило фаервола на input с action accept.

В принципе, вы можете не создавать новое, а дописать в предыдущее дополнительный порт через запятую. Но тогда вы не поймёте, что относится к Winbox, а что к SSH. Тут уже все зависит от ваших предпочтений, но конечно, чем меньше правил, тем лучше.

Web

Ранее я говорил, что лучше http-сервисы не выставлять наружу. Сейчас мы разрешим подключаться по web только изнутри компании. Открываем сервис для редактирования и указываем нашу подсеть, применяем.

Столбец Available From изменился. Вы можете указать сколько угодно подсетей и адресов не только для данного сервиса, а для любого в целом.

Если указано хотя бы одна сеть Available From, то сервис не позволит подключиться с других, не подпадающих в диапазон.

В некоторых ситуациях может не устроить, что Winbox и SSH доступны снаружи, тогда в их свойствах добавляете нужные подсети и адреса, к примеру локальную и VPN.

Следующий важный момент в правиле фаервола, это указание Src. Address

В чем вы спросите изюминка?

• Мы защитили сервис на уровне его собственных настроек;
• Запретим доступ к нему (и девайсу в целом) следующими правилами фаервола.

/ip firewall filter

add action=accept chain=input comment=in-E&R-Allow connection-state=established,related

add action=drop chain=input comment=in-All-Drop

Тем самым организовали 2 уровня его защиты.

Подключение к микротику за микротиком RoMON

Тема довольно интересная. Хороша она тем, что простой проброс порта у вас не сработает, как не старайся. К тому же это не безопасно, вы же помните за «желтолицых»?

RoMON – протокол передачи данных, позволяющих подключаться к устройствам на L2. Доступен с RouterOS 6.28. У каждого устройства должен быть ID, обычно он равен MAC адресу интерфейса.

В моем стенде есть домашний роутер и виртуалка за ним CHR. Включим сначала на пограничном роутере Tools – RoMON.

Включаем и задаём пароль. После включения генерится ID.

Если хотите что-то не стандартное на уровне портов, то вам в Ports.

Открываем CHR и делаем то же самое, он даже может не иметь IP адрес, но пароль должен быть идентичен!

Далее берём Winbox, и подключаемся к белому адресу (в моем стенде я буду использовать серый, но сути не меняет, оно будет работать как снаружи, так и внутри) и жмём Connect To RoMON.

Далее открывается вкладка RoMON Neighbors, в которой будут видны, все агенты.

А теперь взгляните на строку подключения.

В этой демонстрации я показал простое использование RoMON, вы можете крутить его, как угодно, в реальной жизни лучше создавать Management VLAN и вешать именно на него.

На этом пожалуй все способы настройки удалённого доступа к Mikrotik закончены. Чтобы не запоминать сложные публичные IP адреса, используйте DNS или DDNS (IP – Cloud).

Хочу разобрать, казалось бы банальную тему использования стандартной программы для управления роутерами. Речь пойдет об использовании утилиты Winbox для подключения, управления и настройки роутеров Mikrotik. Несмотря на то, что простой доступ через Winbox не требует каких-то особых настроек, тем не менее с работой этой утилиты есть много нюансов.

Данная статья является частью единого цикла статьей про Mikrotik.

Отличительной особенностью роутеров Mikrotik от многих производителей сетевого оборудования является фирменная утилита для настройки устройств — Winbox. Я сразу обратил на это внимание, когда первый раз познакомился с микротиками. По первости глаза разбегаются, когда подключаешься через нее к устройству, но если немного освоишься, то понимаешь ее удобство. Несмотря на то, что я могу все, что необходимо, настроить через cli, чаще всего делаю это через winbox.

Особенно удобно, когда надо что-то продебажить. Можно открыть несколько окон внутри программы — тест скорости, список правил firewall для наблюдения за счетчиками, torch для анализа трафика и до кучи график загрузки сетевого интерфейса.

И все это доступно во всей линейке оборудования, даже в самых бюджетных моделях. Вам известно что-то подобное у других производителей в ценовой категории 50-150$? Мне лично нет, но тут я могу заблуждаться. Если у каких-то вендоров есть что-то похожее на Winbox, было бы любопытно узнать об этом.

Где скачать Winbox

Качать winbox последней версии надо строго с официального сайта — https://mikrotik.com/download.

Делаю на этом акцент, потому что одно время при поиске утилиты в поисковиках на первом месте были другие сайты. Кто-то подсуетился и сделал отдельные сайты под этот поисковой запрос. В итоге они были выше основного сайта вендора. Сейчас это уже пофиксили, но вот подобные примеры.

Так же напоминаю, что сайт mikrotik.ru к самой компании Микротик не имеет никакого отношения. Им просто удалось зарегистрировать этот домен и открыть на нем магазин оборудования. Причем продают они устройства разных вендоров. Часто этот сайт очень хорошо ранжируется и может вводить в заблуждение относительно его принадлежности к латвийской компании.

Отдельно добавлю, что версии winbox на русском языке не существует. Как и не существует интерфейса управления в ней с русским языком. И это очень хорошо, так как не происходит недопонимания и двойственности в трактовании и переводе одних и тех же настроек. Англоязычное it сообщество намного больше русскоязычного, поэтому удобнее искать что-то сразу на английском языке. Больше шансов найти информацию.

Winbox для MacOS и Linux

Это может показаться удивительным, но нативного приложения Winbox под Mac или Linux просто не существует. Я не разбираюсь в портировании программного обеспечения в другие операционные системы, поэтому не могу судить, почему дело обстоит именно так. Возможно есть какие-то объективные причины того, почему разработчики Mikrotik не выпускают отдельную версию winbox под Linux или Mac.

Так что у вас не очень много вариантов работы с winbox, если ваша OS не Windows:

• Использовать для этого отдельную виртуальную машину с Windows.
• Использовать Wine.

Для маков существует проект на github — winbox-mac, который позволяет запускать утилиту winbox на macos. Под капотом там обычное виндовое приложение в комплекте с wine. Из-за этого весит эта штуковина более 300 Мб.

Для запуска winbox в linux придется сначала установить wine, а затем запустить виндовую утилиту через нее. Каких-то особых заморочек с этим нет. Все работает сразу без дополнительных настроек. Главное wine поставить. В Ubuntu:

# apt install wine-stable
# wine winbox.exe

В Centos надо подключить репозиторий epel:

# dnf install epel-release
# dnf config-manager —set-enabled PowerTools
# dnf install wine
# wine winbox.exe

Либо можете воспользоваться готовым проектом, где все собрано в одном месте — winbox-installer.

Важный нюанс. При запуске winbox в mac или linux у вас не будет работать Drag & Drop файлов. Это не ошибка, wine просто не поддерживает этот режим.

Как подключиться к Mikrotik через Winbox

Итак, утилиту мы скачали. Теперь рассмотрим варианты подключения к Mikrotik через Winbox. Тут проявляется еще одна очень полезная фишка микротиков. Если ты находишься с ним в одном широковещательном домене, то можно подключиться напрямую, используя mac адрес. Поясню для тех, кто не очень разбирается в теории сетей, о чем тут идет речь.

Расскажу по-простому. Единый широковещательный домен это как-будто вы подключены к микротику через общий свитч. Ваше соединение с ним осуществляется на канальном, втором уровне модели OSI. То есть вам не нужно ничего знать про ip адреса друг друга. Вы можете найти друг друга широковещательным запросом, а свитч вас соединит.

Такая возможность часто спасает, когда вы ошиблись в каких-то настройках ip адреса, или на фаерволе случайно закрыли себе доступ. Вы можете обойти ошибки на уровне ip, подключившись напрямую по mac адресу. Выглядит это следующим образом:

С помощью широковещательного запроса winbox обнаружил все доступные устройства Mikrotik в своем сегменте сети и получил возможность подключиться напрямую по mac адресу. Сразу скажу, что такое соединение менее стабильно, чем по ip. Вытекает это из особенностей протоколов подключения.

При подключении по IP адресу с помощью протокола TCP, осуществляется проверка целостности пакетов и подтверждение их доставки. При подключении по MAC этого не происходит, поэтому подключение менее стабильно. Это объясняет, почему во время подключения по mac часто происходит обрыв соединения и отключение от устройства. В общем случае лучше подключаться по ip адресу.

Когда мне приходилось удаленно настраивать Микротики, я всегда старался оставить себе возможность подключиться к устройству напрямую по mac. Понятно, что это не всегда получится и не всегда спасет, если ты по ошибке отключишь интернет. Но если была возможность подстраховаться, я ее использовал.

Если здесь отключить службу winbox, подключение через эту утилиту будет невозможно.

Доступ к Микротик из интернета

Иногда нужно настроить доступ к микротику снаружи, то бишь через незащищенное соединение по интернету. Без крайней необходимости я не рекомендую этого делать. Уже не раз в routeros находили уязвимости, в результате чего удаленное подключение к Mikrotik оказывалось огромной дырой в безопасности. В конечном счете это приводило к заражению устройства и использование его в качестве участника ботнета или открытого прокси сервера.

Для подключения к Mikrotik по умолчанию Winbox использует TCP PORT 8291. Соответственно, для доступа снаружи, вам необходимо открыть этот порт на Firewall. Я в обязательном порядке рекомендую защитить подобное соединение одним из двух предложенных мной в отдельных статьях способов:

Еще раз подчерку — используйте какую-то защиту. Не оставляйте порт для winbox доступный напрямую через интернет без каких-либо ограничений. Делайте это либо одним из предложенных мной способов, либо открывайте доступ извне по winbox только через vpn.

Запретить доступ по Winbox

Рассмотрим теперь, как нам запретить подключение к микротику через winbox. Для начала запретим доступ по MAC адресу. Делайте это аккуратно, так как не настроив ip адрес и запретив доступ по mac, вы не оставите себе никакой возможности управлять роутером. Ему придется сбрасывать настройки.

Здесь вы можете выбрать списки интерфейсов, с которых разрешено подключение по MAC. Чтобы его запретить, надо выбрать none.

После этого подключиться по mac адресу с помощью winbox будет невозможно.

Собственные списки интерфейсов можно создать в разделе Interfaces, вкладка Interface List.

После этого устройство не даст себя обнаруживать в локальной сети.  С запретом доступа по MAC разобрались, теперь запретим и все остальные подключения. Для этого есть 2 способа:

• Отключить службу Winbox.
• Закрыть tcp порт 8291 на firewall.

В первом случае отключаем службу.

Во втором добавляем правило в firewall.

# ip firewall filter add action=reject chain=input dst-port=8291 protocol=tcp

Подробнее про настройку firewall читайте отдельную статью. Здесь не буду на этом останавливаться.

На этом по запрету доступа через Winbox все. Рассмотрел все возможные варианты блокировки подключения.

Почему winbox не видит Mikrotik по mac

В данном примере микротик виден по mac на всех интерфейсах, кроме динамических. Так же некоторые новички не понимают, что для доступа по mac вы должны быть с устройством в одном широковещательном домене. Подробно я уже об этом рассказал в самом начале. Если между вами есть маршрутизатор, который работает на третьем уровне модели osi, вы не увидите друг друга по мак адресу. Это невозможно технически. В общем случае, конечно.

На некоторых устройствах прописан мак адрес порта на самом устройстве. Если не получается обнаружить микротик в сети, попробуйте вручную вбить этот адрес порта и подключиться напрямую. Только опять же, убедитесь, что вы с этим портом подключены в один и тот же свитч.

Шифрование сохраненных паролей

Для того, чтобы защитить свои сохраненные пароли, используйте шифрование. Для этого нажимайте кнопку Set Master Password на главном экране Winbox и указывайте пароль.

После этого доступа к сохраненным паролям не будет без введения Master Password, так что можно не бояться за сохранность файлов winbox в профиле пользователя. Я очень долгое время не задумывался о сохранности паролей, пока мне один знакомый не показал, как легко и просто забрать все мои сессии и получить доступ к устройствам.

Так что я настоятельно рекомендую всегда использовать Master Password и делать его длинным. Современные майнинговые фермы с кучей видеокарт сильно упрощают brute force не очень сложных паролей.

Заключение

Я постарался разобрать все известные мне нюансы подключения к Mikrotik по Winbox. Некоторые вещи я вообще не знал и не задумывал о них долгое время работы с устройствами. Например, только недавно я разобрал тему с подключением по mac. Узнал, как им управлять, ограничивать, запрещать и т.д. До этого просто не обращал на это внимание и оставлял все по дефолту.

Про шифрование рассказал все в статье. Долго им не пользовался, но последние несколько лет в обязательно порядке устанавливаю Master Password, либо просто не сохраняю пароли в winbox, храня их в keepass. Если я забыл что-то важное или в чем-то ошибся, жду замечаний в комментариях.

Онлайн курcы по Mikrotik

Это инструкция, как пошагово настроить роутер MikroTik с нуля без использования заводской конфигурации.

Подключение роутера MikroTik

Для настройки Wi-Fi роутера MikroTik нам понадобятся:

• кабель провайдера интернета (Triolan, MaxNet, Воля, Airbites, Vega или любые другие);
• компьютер или ноутбук с Wi-Fi;
• роутер MikroTik. Он будет раздавать Интернет по кабелю, а также по Wi-Fi на ноутбук, смартфон, телевизор с Wi-Fi или планшет.

Схема подключения роутера MikroTik:

• кабель провайдера интернета подключаем в первый порт роутера;
• компьютер подключаем к роутеру MikroTik сетевым кабелем в любой LAN порт от 2 до 5;
• ноутбук и другие беспроводные устройства подключим по Wi-Fi;
• блок питания включаем в разъем «Power» роутера MikroTik.

Настройка сетевой карты компьютера

Чтобы на компьютере можно было зайти в настройки роутера Mikrotik, настроим сетевую карту на получение автоматических настроек.

Перейдем в «Изменение параметров адаптера».

Нажимаем правой кнопкой мыши на «Подключение по локальной сети» и выбираем «Свойства»

Нажимаем на «Протокол Интернета версии 4 (TCP/IPv4)» и кнопку «Свойства».

Если сетевая карта не получает автоматически IP адрес из подсети 192.168.88.x, попробуйте его указать вручную (например: 192.168.88.21) или сбросить роутер Mikrotik к заводским настройкам.

Вход в настройки роутера MikroTik

Выполнить настройку роутера MikroTik можно разными способами:

• С помощью браузера, перейдя по адресу 192.168.88.1. В настройках браузера не должен быть указан proxy-сервер!
• Настройка через Telnet.

Мы будем настраивать роутер Mikrotik с помощью программы Winbox.

Подключаемся к роутеру MikroTik:

• Запустите программу и перейдите на вкладку Neighbors;
• В списке отобразится ваш роутер. Нажмите левой кнопкой мыши на его MAC адрес;

Сбросим все настройки роутера MikroTik.

При первом входе у вас появится окно, как на картинке ниже. Нажмите кнопку Remove Configuration и дождитесь перезагрузки устройства.

Если у вас не появилось данное окно, сбросим настройки через меню:

• Выбираем слева меню System — Reset Configuration;
• Поставьте галочку No Default Configuration;
• Нажмите кнопку Reset Configuration.
• Нажмите кнопку Yes и дождитесь перезагрузки устройства.

Описание сетевых интерфейсов

Конфигурация сетевых интерфейсов MikroTik будет выглядеть следующим образом: первый порт ether1 будет подключен к провайдеру (WAN порт), остальные порты ether2-5 будут работать в режиме коммутатора для подключения компьютеров локальной сети.

Чтобы не путать сетевые интерфейсы, опишем их с помощью комментариев.

Входим в настройки MikroTik с помощью программы Winbox.

• Открываем меню Interfaces;
• Выбираем первый интерфейс ether1;
• Нажимаем желтую кнопку Comment;
• Нажимаем кнопку OK.

• Выбираем интерфейс ether2;
• Нажимаем желтую кнопку Comment;
• Нажимаем кнопку OK.

Теперь в списке интерфейсов четко видно их назначение.

Настройка WAN интерфейса MikroTik

Если Ваш провайдер блокирует доступ к сети по MAC адресу, то необходимо сначала изменить MAC адрес WAN порта роутера MikroTik. В противном случае пропустите этот пункт.

Чтобы изменить MAC адрес порта MikroTik, открываем в программе Winbox меню New Terminal и вводим команду:

/interface ethernet set ether1 mac-address=00:01:02:03:04:05

, где ether1 — имя WAN интерфейса, 00:01:02:03:04:05 — разрешенный MAC адрес.

Чтобы вернуть родной MAC адрес порта, нужно выполнить команду:

/interface ethernet reset-mac ether1

, где ether1 — имя интерфейса.

Настройка Dynamic IP

Если интернет провайдер выдает Вам сетевые настройки автоматически, то необходимо настроить WAN порт роутера MikroTik на получение настроек по DHCP:

• Открываем меню IP;
• Выбираем DHCP Client;
• В появившемся окне нажимаем кнопку Add (плюсик);
• В новом окне в списке Interface: выбираем WAN интерфейс ether1;
• Нажимаем кнопку OK для сохранения настроек.

Теперь мы получили IP адрес от провайдера, который отображается в столбце IP Adress.

Проверим, что есть связь с интернетом:

• Открываем меню New Terminal;
• В терминале пишем команду ping 8.8.8.8 (пингуем сайт google) и жмем Enter на клавиатуре.

Как видим, идут пинги по 60ms, значит интернет подключен и работает. Остановить выполнение команды можно комбинацией клавиш на клавиатуре Ctrl+C.

На компьютерах, подключенных к роутеру MikroTik, интернет не будет работать, пока вы не настроите локальную сеть, Firewall и NAT.

Настройка Static IP

Если вы используете статические сетевые настройки, необходимо настроить WAN порт роутера MikroTik вручную.

Настроим статический IP адрес и маску подсети WAN порта MikroTik :

• Открываем меню IP;
• Выбираем Addresses;
• В появившемся окне нажимаем кнопку Add (плюсик);
• В новом окне в поле Address: прописываем статический IP адрес / маску подсети;
• В списке Interface: выбираем WAN интерфейс ether1;
• Для сохранения настроек нажимаем кнопку OK.

Настроим адрес интернет шлюза MikroTik:

• Открываем меню IP;
• Выбираем Routes;
• В появившемся окне нажимаем кнопку Add (плюсик);
• В новом окне в поле Gateway: прописываем IP адрес шлюза;
• Нажимаем кнопку OK для сохранения настроек.

Добавим адреса DNS серверов MikroTik:

• Открываем меню IP;
• Выбираем DNS;
• В появившемся окне нажимаем кнопку Settings;
• В новом окне в поле Servers: прописываем IP адрес предпочитаемого DNS сервера;
• Нажимаем кнопку «вниз» (черный треугольник), чтобы добавить еще одно поле для ввода;
• В новом поле прописываем IP адрес альтернативного DNS сервера;
• Ставим галочку Allow Remote Requests;
• Нажимаем кнопку OK для сохранения настроек.

Проверим, что есть доступ к интернету:

Как видим, идут пинги по 60ms, значит интернет подключен и работает. Остановить выполнение команды можно комбинацией клавиш на клавиатуре Ctrl+C.

Настройка PPPoE

Если вы используете ADSL модем, к которому по сетевому кабелю подключен роутер MikroTik, сначала необходимо настроить ADSL модем в режим Bridge (мост).

Настроим клиентское PPPoE соединение на роутере MikroTik:

• Слева выбираем меню PPP;
• Нажимаем кнопку Add (плюсик);
• Выбираем PPPoE Client.

Настраиваем параметры PPPoE соединения MikroTik:

• В поле Name указываем имя соединения;
• В списке Interfaces выбираем первый WAN порт ether1, который подключен к провайдеру;
• Переходим на вкладку Dial Out;
• В поле Password вводим пароль;
• Ставим галочку Use Peer DNS;
• Нажимаем кнопку OK.

После создания PPPoE соединения напротив него должна появиться буква R, которая говорит о том, что соединение установлено.