За роутерами Mikrotik давно закрепилась слава «сложных» в настройке. Это действительно так, если говорить о начинающих. После обычных роутеров, где производитель практически за руку ведет пользователя от настройки к настройке, RouterOS пугает обилием возможностей и отсутствием привычных интерфейсов. Но не стоит пугаться, если вы имеете начальные знания по устройству и работе сетей, то очень скоро вы будете чувствовать себя как рыба в воде, а настройки иных роутеров наоборот покажутся вам ограниченными. Сегодня мы начнем с базовой настройки, чтобы научить ваш Mikrotik всему тому, что умеют обычные роутеры.
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.
В сети имеется достаточное количество инструкций по настройке роутеров этой марки, с разными подходами к этому процессу, поэтому мы не будем претендовать на истину в последней инстанции, а выразим наше видение этого вопроса. В первую очередь мы считаем, что возможности не должны опережать знания, поэтому не следует сразу браться за настройку сложных сетевых конфигураций. Лучше всего сначала разобраться в базовых настройках и только потом, по мере появления опыта переходить к более сложным схемам.
В свое время, когда вчерашний студент приходил на производство, ему говорили: «Забудь все чему тебя учили, и слушай сюда». Этот подход как никогда справедлив, если вы первый раз берете в руки Mikrotik, забудьте о предыдущем опыте с другими роутерами и готовьтесь осваивать новые подходы.
Прежде всего абсолютно неважно какая именно модель роутера у вас в руках, главное, что внутри находится RouterOS, а значит вам подойдет любая инструкция по настройке, за небольшими поправками, связанными с аппаратными ограничениями (скажем, если в вашей модели отсутствует Wi-Fi, то часть инструкции посвященную настройке беспроводной сети вы можете просто пропустить).
Поэтому для подготовки материалов по Mikrotik мы будем использовать виртуальные машины с RouterOS, прибегая к реальному оборудованию только чтобы показать какие-то специфичные моменты.
- Подготовка к настройке
- Настройка портов и коммутация
- Настройка подключения к интернет
- Настройка сетевых служб (DHCP, DNS) и раздача интернета в локальную сеть
- Настройка межсетевого экрана
- Настройка безопасности роутера
- Что нужно сделать после настройки
- Что такое RoMON?
- Настройка RoMON
- Использование RoMON
- Подключение к роутеру по MAC Telnet
- Смена секрета RoMON
Подготовка к настройке
Во-вторых, начиная с RouterOS 6.41 были изменены настройки коммутации и если вы хотите использовать актуальные инструкции, перед настройкой версию ОС следует обязательно обновить.
Для этого перейдем на сайт производителя в раздел Downloads и скачаем свежую версию Winbox — графической утилиты для настройки, а также свежую версию RouterOS. Представленные на странице пакеты отличаются только архитектурой вашего роутера, если вы ее не знаете, то рядом перечислены все подходящие модели роутеров. В каждом разделе представлено два пакета: Main и Extra, первый — это основная прошивка, то, что находится в вашем устройстве из коробки, второй — дополнительные пакеты, которые можно установить самостоятельно, они нам сейчас не нужны.
Для обновления перейдите в раздел Files и загрузите скачанный ранее пакет c RouterOS, это можно сделать как кнопкой Upload, так и простым перетаскиванием файла в окно. После чего просто перезагрузите устройство: System — Reboot.
![]()
Следующим шагом обновим загрузчик RouterBOOT, для этого перейдем System — Routerboard и сравним текущую версию с доступной прошивкой, для обновления нажмите Upgrade и еще раз перезагрузите устройство.
Настройка портов и коммутация
В старых версиях RouterOS было два варианта настройки коммутации: аппаратный, при помощи чипа коммутации (через мастер-порт) и программный (через мост), в современных версиях используется только один вариант — через мост, при этом чип коммутации будет задействован автоматически, при наличие такой возможности, т.е. коммутация будет по-прежнему выполняться на аппаратном уровне. Более подробно мы коснемся этого момента немного позже.
Открыв раздел Switch можно посмотреть какие чипы коммутации установлены в вашем роутере и какие порты они обслуживают:
Для примера показан RB2011, который имеет два чипа коммутации: первый обслуживает порты ether1-ether5 и spf, второй ether6-ether10. Для портов, обслуживаемых одним чипом, доступна аппаратная коммутация, между портами обслуживаемыми разными чипами коммутация будет программной. Это следует учитывать при распределении портов, скажем если мы для файлового сервера выделим ether7, а для клиентов ether2-ether5, то получим повышенную нагрузку на устройство из-за программной коммутации.
Для новичков сообщим еще одну новость: в Mikrotik нет LAN и WAN портов, любой порт может быть настроен как вам нужно. Есть два внешних канала — настроим два WAN, нужно обслуживать две внутренних сети — не проблема, создадим две группы коммутации.
Оставим пока настройку подключения к провайдеру и объединим локальные интерфейсы в группу коммутации, для этого нам нужно будет создать мост, переходим в раздел Bridge и создаем там сетевой мост bridge1, в комментариях также указываем его принадлежность к LAN.
Затем переходим на закладку Bridge — Ports и последовательно добавляем в мост интерфейсы локальной сети ether1-ether4, обратите внимание на активную по умолчанию опцию Hardware Offload, которая включает аппаратную коммутацию, если она доступна.
Итак, мост создан, порты добавлены, теперь перейдем в Interfaces — Interface List и создадим новый список, которому дадим название local:
А затем добавим в этот список интерфейс нашего локального моста:

Настройка подключения к интернет
В зависимости от вашего провайдера способ подключения к интернет может быть разным. Чаще всего встречается прямое подключение, когда провайдер раздает настройки по DHCP или PPPoE подключение (используется федеральным провайдером Ростелеком). Мы будем рассматривать далее прямое подключение, однако если у вас коммутируемый доступ (PPPoE или VPN), то вам потребуется перейти в раздел PPP и создать коммутируемое подключение типа Client, ниже показан пример для PPPoE Ростелеком. В качестве используемого интерфейса укажите внешний интерфейс ether5:
Затем на закладке Dial Out укажите данные для подключения к серверу провайдера и если вы хотите использовать его DNS-сервера установите флаг Use Peer DNS.

В дальнейшем, вместо внешнего интерфейса ether5 вам потребуется указывать ваш коммутируемый интерфейс pppoe-out1.
Более подробно про настройку VPN-подключений в Mikrotik вы можете прочитать в нашей статье Настройка VPN-подключения в роутерах Mikrotik.

Для коммутируемых подключений DHCP-клиент настраивать не нужно, интерфейс получит адрес самостоятельно, чтобы убедиться в этом, еще раз откроем IP — Addresses, где должен появиться еще один адрес с индексом D (динамический) и принадлежащий коммутируемому подключению.

Настройка сетевых служб (DHCP, DNS) и раздача интернета в локальную сеть
Одной из наиболее важных сетевых служб является DHCP, сегодня уже все привыкли, что достаточно просто подключиться к сети, неважно, проводом или через Wi-Fi, а все настройки будут произведены в автоматическом режиме. Поэтому мы тоже начнем с DHCP, для этого перейдем в IP — DHCP Server и запустим мастер настройки сервера DHCP Setup. Первым шагом потребуется указать рабочий интерфейс сервера — указываем сетевой мост bridge1, который мы настроили для локальной сети.

Завершаем работу мастера и переходим на закладку Leases, здесь, по мере подключения, будут появляться клиенты, которым ваш роутер начнет выдавать адреса. Обратите внимание на «фирменную» особенность Mikrotik — он начинает выдавать адреса начиная с конца диапазона, т.е. от 199 до 100.
Следующим шагом настроим DNS-сервер, сделать это очень просто, открываем IP — DNS и добавляем в список вышестоящие DNS, это могут быть сервера провайдера или публичные службы, если вы получаете сетевые настройки от провайдера через DHCP, то его DNS-сервера уже будут указаны, они располагаются в разделе Dynamic Servers и не подлежат редактированию. Если вы добавите собственные сервера, то они будут иметь более высокий приоритет, в нашем случае указаны сервера OpenDNS.
Для того, чтобы сервер мог обслуживать запросы клиентов локальной сети, не забудьте установить флаг Allow Remote Requests.
Базовые сетевые службы настроены, но доступа в интернет у клиентов пока нет, для этого осталось настроить службу трансляции адресов — NAT. Переходим в IP — Firewall — NAT и добавим новое правило, на закладке General в поле Src. Address укажем нашу локальную сеть 192.168.186.0/24, а в поле Out. Interface — внешний интерфейс, в нашем случае ether5. Если же вы используете коммутируемое подключение, то здесь следует указать его, например, pppoe-out1.

Теперь можем перейти на клиентский ПК и убедиться, что сетевые настройки получены и доступ в интернет есть.
Если вы используете торренты или иной софт, требующий принимать входящие подключения, то следует также настроить службу UPnP, которая позволяет сетевому ПО автоматически осуществлять проброс нужных портов на роутере. Откроем IP — UPnP, включим службу и перейдем к настройке интерфейсов, нажав на кнопку Interfaces.

Теперь если мы запустим на клиенте торрент, то в IP — Firewall — NAT созданные автоматически правила для проброса портов, если же закрыть торрент-клиент, то данные правила исчезнут. Это удобно и безопасно, а также позволяет полноценно использовать современные сетевые приложения.
Настройка межсетевого экрана
Сетевой экран, он же файрволл или брандмауэр (оба этих слова обозначают в английском и немецком языках противопожарную стену) является важнейшей частью роутера и было бы серьезной ошибкой выставить устройство в интернет не настроив брандмауэр. Поэтому перейдем в IP — Firewall — Filter Rules и приготовимся остаться тут надолго. Вообще-то гораздо быстрее и проще настроить межсетевой экран из командной строки, но так как наш материал рассчитан на начинающих, то мы будем это делать при помощи графического интерфейса Winbox.
Существует два основных состояния брандмауэра: нормально открытый, когда разрешено все, что не запрещено, и нормально закрытый, когда запрещено все, что не разрешено. Логично, что для внутренней сети следует использовать первую политику, а для внешней — вторую. По умолчанию все цепочки брандмауэра Mikrotik (а он построен на iptables) находятся в состоянии ACCEPT, т.е. разрешено.
Начнем с подключений к самому роутеру или цепочки input. В первую очередь добавим правило-пустышку разрешающее подключение к устройству из локальной сети. Почему «пустышку»? Потому что это и так разрешено, но данное правило будет нашей страховкой от случайного «выстрела в ногу», когда мы случайно запретим себе доступ к устройству. Правило-пустышка расположенное первым сработает раньше всех добавленных позже правил, в отличие от действия по умолчанию, которое сработает только тогда, если ни одно правило не подошло.
Итак, добавляем новое правило и указываем в нем Chain (цепочка) — input, Src. Address — 192.168.186.0/24 — диапазон вашей сети и In. Interface — bridge1, локальный интерфейс. Действия задаются на закладке Action, но так как accept (разрешить) уже установлено по умолчанию, то можно просто нажать OK.
Следующим правилом разрешим входящие подключения на внешнем интерфейсе для уже установленных и связанных соединений, создаем новое правило: Chain — input, In. Interface — ether5, в Connection State устанавливаем флаг established и related, так как действие у нас снова accept, то просто сохраняем правило.


Ниже располагаем разрешающие правила для различного типа входящего трафика. Обязательно разрешим роутеру принимать протокол ICMP: Chain — input, Protocol — icmp, In. Interface — ether5. I CMP — это не только пинги, но и гораздо более важные вещи, например, определение минимального MTU канала связи (.

И самым последним создаем правило запрещающее все остальные подключения к роутеру: Chain — input, In. Interface — ether5, на закладке Action и ставим действие drop.
Если у вас коммутируемое подключение, то продублируйте правило для интерфейса, который смотрит в сеть провайдера, в большинстве случаев это избыточно, но вполне оправдано с точки зрения безопасности.
В последствии дополнительные разрешающие правила следует размещать ниже правила запрещающего invalid, но выше правила блокирующего все входящие подключения.
Данный набор правил является минимально необходимым и надежно закрывает ваше устройство от внешней сети, оно даже не будет отвечать на пинги, также невозможны внешние подключения. На наш взгляд выставлять управление устройством, особенно Winbox во внешнюю сеть — плохая идея, если же вам требуется удаленный доступ к роутеру, то следует использовать иные методы, например, через VPN.
При наличии базовых знаний по работе сетей работу с брандмауэром Mikrotik нельзя назвать сложной, особенно если вы работали с iptables (который здесь и находится «под капотом»), понимая откуда должен прийти пакет и куда попасть — создание новых правил не должно вызывать затруднений.
Закончим с собственными соединениями роутера и перейдем к транзитным, т.е. от клиентов локальной сети в интернет и обратно. За это отвечает цепочка forward, но прежде, чем переходить к правилам следует обратить внимание на еще одну фирменную технологию. Она называется Fasttrack и предусматривает упрощенную передачу пакетов, что позволяет значительно повысить производительность роутера. Однако это достигается ценой того, что к такому трафику не могут быть применены многие правила брандмауэра и иные сетевые технологии (подробнее можно прочитать на официальном сайте).
Так нужен ли Fasttrack? Смотрите сами, мы взяли RB2011 и прокачали через него при помощи Speedtest поток в 90 Мбит/с (при тарифе в 100 Мбит/с) сначала с отключенным Fasttrack:
Фактически мы уже положили роутер на лопатки, загрузив CPU на 100% при помощи только одного теста. В реальной жизни несколько активно использующих сеть клиентов сделают это даже на более узком канале. Говорить о какой-то сложной обработке трафика или каких-либо продвинутых сетевых функциях увы уже не приходится.
Включим Fasttrack и повторим тест:
![]()
Как видим, картина существенно изменилась, полная утилизация канала уже не вызывает предельной загрузки роутера и остается вполне достаточно ресурсов для реализации каких-то продвинутых сетевых конфигураций или создания сложных правил обработки трафика.
Поэтому первым делом добавим следующее правило: Chain — forward, Connection State: established, related, а на закладке Action установим действие fasttrack connection.

Таким образом мы пустим через Fasstrack все пакеты уже установленных транзитных соединений, и скажем честно, особой потребности как-то сложно обрабатывать такой трафик на роутере нет. Простую фильтрацию можно легко достичь предварительной обработкой и маркировкой пакетов, а на что-то более сложное у Mikrotik не хватит ресурсов, в этом случае есть смысл задуматься о полноценном роутере с прокси на базе Linux.
Остальной трафик из локальной сети в интернет мы никак не трогаем, потому что по умолчанию все и так разрешено, а любые дополнительные разрешающие правила окажутся пустышками, бесцельно расходующими вычислительные ресурсы роутера. Поэтому будем сразу закрываться от доступа из всемирной сети. Но прежде точно также разрешим уже установленные и связанные соединения: Chain — forward, In. Interface — ether5, Out. Interface — bridge1, ниже в Connection State устанавливаем флаги established и related, действие accept.

Запретим пакеты в состоянии invalid: Chain — forward, In. Interface — ether5, Connection State — invalid, действие drop. Ниже, если необходимо, размещаем разрешающие правила, для доступа извне в локальную сеть.
Затем закрываемся от внешнего мира: Chain — forward, In. Interface — ether5, Out. Interface — bridge1, Connection NAT State — ! dstnat, действие drop. Общий принцип здесь такой же, как и в цепочке input, разрешаем установленные и связанные соединения, запрещаем invalid, потом идут собственные правила и запрет всего остального трафика. Единственный момент, в данном правиле мы поставили исключение для dstnat-трафика, т.е. для проброшенных наружу портов, если этого не сделать, то правила созданные UPnP будут работать некорректно. В итоге вы должны получить следующую конфигурацию брандмауэра:
![]()
Это — минимально достаточная базовая конфигурация, которая обеспечивает необходимый уровень безопасности и на которую мы будем опираться в наших следующих материалах.
Настройка безопасности роутера
Основная настройка нашего роутера закончена, он уже может быть введен в эксплуатацию и обслуживать запросы клиентов локальной сети. А мы тем временем перейдем к дополнительным настройкам, которые существенно влияют на безопасность устройства.
Прежде всего перейдем в IP — Services, здесь перечислены включенные сетевые службы самого роутера, смело отключаем все неиспользуемые, включая и веб-интерфейс. Честно говоря, мы вообще не видим в нем смысла, так как по внешнему виду он полностью повторяет Winbox, но несколько менее удобен в использовании.
Обычно мы оставляем только Winbox и SSH, для Winbox не будет лишним задать диапазон допустимых адресов для подключения, ограничив их локальной сетью. При необходимости можно указать несколько сетей (сеть офиса и сеть филиала).

![]()
Обнаружение устройства и возможность подключения к нему по MAC-адресу — несомненно удобно, но также только в локальной сети. Открываем Tools — MAC Server и устанавливаем в Allowed Interface List список интерфейсов local.


Настройка беспроводной сети Wi-Fi
Данный раздел мы не зря вынесли в самый конец, потому как общие шаги настройки роутера что с беспроводным модулем, что без него абсолютно одинаковые. Поэтому имеет смысл прежде выполнить все общие этапы настройки, а затем те, кому нужно дополнительно настроят у себя беспроводную сеть. Мы не будем здесь касаться всех аспектов настройки Wi-Fi на Mikrotik — это тема отдельной статьи, а дадим только базовые настройки.
Если мы откроем раздел Wireless то увидим один или два беспроводных интерфейса (для моделей 2,4 + 5 ГГц), которые будут из коробки выключены. Но не будем спешить их включать, перед тем как настраивать Wi-Fi будет не лишним изучить обстановку в эфире. Для этого сначала нажмем кнопку Freq. Usage и оценим загрузку каналов.
Как мы помним, в диапазоне 2,4 ГГц существуют три независимых канала, которые предпочтительно использовать: 1 (2412 МГц), 6 (2437 МГц) и 11 (2462 МГц), поэтому начнем наблюдать. Сразу видим, что начало диапазона занято довольно плотно и использование 11-го канала может сначала показаться хорошей идеей.

Однако не будем спешить и понаблюдаем немного подольше, как оказалось — не зря! На 11-ом канале время от времени отмечались сильные всплески непонятного характера, по которым можно было предположить наличие там не точки доступа, а какого-то иного источника излучения. Поэтому наиболее подходящим в этой ситуации можно назвать 6-й канал.

Закроем это окно и нажмем кнопку Scanner, который покажет нам все работающие в диапазоне точки доступа, при этом обращаем внимание на уровень сигнала. Сигнал в -35 dBm принимается за 100%, -95 dBm — 1%, шкала между этими значениями линейная, т.е. -65 dBm — 50%.
Как видим, на выбранном нами 6 канале есть только одна более-менее мощная точка с сигналом -59 dBm, что, впрочем, не сильно страшно, внутриканальные помехи достаточно легко преодолеваются на уровне протокола, что нельзя сказать о межканальных. С этим здесь достаточно неплохо, мощных источников на соседних каналах практически нет, чего не скажешь о начале диапазона, где есть очень мощная точка -27 dBm на первом канале (в реальности она стоит в 20 см от тестируемого нами роутера).
С каналом определились, теперь создадим профиль безопасности для нашей беспроводной сети в Wireless — Security Profiles. В нем оставляем только протокол WPA2 PSK и указываем ключ сети (пароль от Wi-Fi).

Теперь переходим в настройки интерфейса wlan1 и на закладке Wireless последовательно меняем следующие опции: Mode — ap bridge — устанавливает режим точки доступа, Band — 2GHz-only-N — только n-режим, Channel Width — 20 MHz — одна из спорных настроек, устанавливает ширину канала, но в условиях реальной загруженности диапазона 2,4 ГГц в городских условиях мы считаем что стабильные 75 Мбит/с (при стандартной ширине канала в 20 МГц) лучше, чем 150 Мбит/с время от времени (при 40 МГц).
Далее указываем желаемый SSID, опцию Wireless Protocol устанавливаем, как 802.11, в Security Profile указываем созданный нами ранее профиль и выключаем WPS: WPS Mode — disabled. На этом базовая настройка беспроводной сети закончена.

![]()
Более подробно о настройке беспроводных сетей вы можете прочитать в нашей статье: Расширенная настройка Wi-Fi на роутерах Mikrotik. Режим точки доступа
Что нужно сделать после настройки
Мы рекомендуем создавать резервную копию после каждого изменения настроек роутера, это не займет много времени, но позволит существенно его сэкономить в нештатной ситуации.
![]()
Несмотря на то, что статья получилась весьма обширная, особых сложностей при настройке роутеров Mikrotik нет, если вы понимаете, что делаете, то с приобретением опыта настройка не будет занимать у вас много времени. В наших последующих статьях мы также будем подразумевать, что читатель владеет базовой настройкой на уровне данной статьи и не будем возвращаться к описанным здесь вопросам.
Replace ‘test’ with the name of the account you want to change it to.
Disable unused interfaces
Having interfaces enabled when your router is in a publicly accessable location can mean someone can physically go up to the router, and plug a cable in. To prevent this, disable any unused interfaces.
Show the interfaces on your device
This will vary greatly depending on your hardware.
Example output:
Flags: D — dynamic, X — disabled, R — running, S — slave
# NAME TYPE ACTUAL-MTU L2MTU
0 R ether1 ether 1500
1 R ether2 ether 1500
2 R ether3 ether 1500
3 R ether4 ether 1500
4 R ether5 ether 1500
Disable one of the interfaces
In this example we will disable ether4.
Replace ether4 with the name of the interface you want to disable.
Check to ensure its disabled
The X in the 2nd column shows that it has been disabled.
Disable unused services
Show the services that are available on the router.
/ip service print
Флаги: X — отключено, I — недействительно
# НАЗВАНИЕ АДРЕС ПОРТА СЕРТИФИКАТ
0 телнет 23
1 фтп 21
2 www 80
3 сш 22
4 XI www-ssl 443 нет
5 API 8728
6 винбокс 8291
7 api-ssl 8729 нет
Отключите все неиспользуемые службы, особенно небезопасные, такие как telnet.
Этот пример команды отключит службу telnet.
Примечание. Правила брандмауэра должны быть настроены так, чтобы ограничить доступ к службам, которые вы не хотите отключать.
Убедитесь, что служба отключена
Было бы лучше отключить все незащищенные/незашифрованные/неиспользуемые сервисы.
Вот пример разрешения только ssh:
Отключить доступ через Telnet по MAC-адресу
Функцию MAC-сервера можно использовать для доступа к устройству Mikrotik/RouterOS только по MAC-адресу, даже если на маршрутизаторе не установлен IP-адрес. Хотя это может быть очень удобно на доверенной частной стороне сети, вам не нужно включать это на ненадежном интерфейсе.
Просмотр состояния MAC-сервера
/tool mac-server print
Флаги: X — отключено, * — по умолчанию
# ИНТЕРФЕЙС
0 * все
Отключите MAC-сервер на всех интерфейсах.
Убедитесь, что он отключен:
Примечание: если вам нужен доступ через Telnet по MAC-адресу, настройте его только на доверенные частные сетевые интерфейсы.
Отключить доступ WinBox по MAC-адресу
По сути, это тот же процесс, что и выше, но с добавлением опции mac-winbox.
Проверить статус сервера MAC WinBox
/tool mac-server mac-winbox print
Отключить MAC WinBox на всех интерфейсах
Пример вывода после отключения
Примечание: если вам нужен доступ к WinBox по MAC-адресу, настройте его только на доверенные частные сетевые интерфейсы.
Отключить пинг MAC-сервера
Опять же, очень похоже на две вышеупомянутые функции.
Показать статус
/tool mac-server ping print
/tool mac-server ping set enable=no
Убедитесь, что он отключен
Отключить обнаружение соседей на публичных интерфейсах
Обнаружение соседних устройств может быть удобным инструментом, но нет необходимости включать его на общедоступном интерфейсе.
Просмотр текущего состояния интерфейсов обнаружения соседей
/ip распечатка обнаружения соседей
Флаги: X — отключено
# ИМЯ
0 эфир1
1 эфир2
2 эфир3
3 эфир4
4 эфир5
Отключить обнаружение соседей на публичных интерфейсах
В этом примере я отключу обнаружение соседей на интерфейсе ether5
убедитесь, что он отключен
Включить надежную криптографию SSH
Проверьте, какие настройки SSH вы сейчас используете
/ip ssh print
включена переадресация: нет
всегда-разрешить-пароль-логин: нет
сильная криптография: нет
размер ключа хоста: 2048
Включить надежную криптографию
/ip ssh set strong-crypto=yes
Убедитесь, что он был применен
Включить фильтрацию обратного пути
Проверьте настройки IP
/ip settings print
ip-forward: да
отправить-перенаправления: да
принять-источник-маршрут: нет
принять-перенаправления: нет
безопасные перенаправления: да
rp-фильтр: нет
tcp-syncookies: нет
максимальное число соседей: 8192
тайм-аут arp: 30 с
icmp-скорость-лимит: 10
icmp-маска скорости: 0x1818
маршрутный кеш: да
разрешить быстрый путь: да
ipv4-fast-path-active: да
пакеты ipv4-быстрого пути: 0
ipv4-байты быстрого пути: 0
ipv4-fasttrack-активный: нет
ipv4-fasttrack-пакеты: 0
ipv4-fasttrack-bytes: 0
Включить фильтрацию обратного пути
/ip settings set rp-filter=strict
Убедитесь, что он теперь включен
Отключить SOCKS-сервер
В настоящее время сервер SOCKS всегда должен быть отключен, если только у вас нет необычного сценария использования, когда что-то должно его использовать. В этом случае убедитесь, что он недоступен с общедоступных интерфейсов через фильтр брандмауэра.
Проверить статус сервера SOCKS
/ip socks print
включено: нет
порт: 1080
тайм-аут простоя соединения: 2 м
макс-соединений: 200
В этом примере она уже отключена (включено=нет)
Отключить SOCKS-сервер
/ip socks set enabled=no
Отключить тестовый сервер пропускной способности
Проверьте состояние тестового сервера пропускной способности
/tool bandwidth-server print
включено: да
аутентифицировать: да
выделить-udp-порты-от: 2000
максимальное количество сеансов: 100
Отключить инструмент сервера пропускной способности
/инструментальная полоса пропускания-сервера включена=нет
Подтвердите, что служба отключена
Отключить удаленные DNS-запросы
RouterOS может выступать в роли кэширующего DNS-сервера. If you dont wish to use this feature, its best to disable it, if its not already disabled.
Check the status
/ip dns print
servers:
dynamic-servers:
allow-remote-requests: no
max-udp-packet-size: 4096
query-server-timeout: 2s
query-total-timeout: 10s
max-concurrent-queries: 100
max-concurrent-tcp-sessions: 20
cache-size: 2048KiB
cache-max-ttl: 1w
cache-used: 9KiB
Note: in this example, its already disabled (allow-remote-requests=no).
Disable remote DNS requests
/ip dns set allow-remote-requests=no
Other / General
Keep your router up to date. Bugs and exploits are found from time to time on all devices, and your router is no different. Please ensure you are running a current version of the RouterOS operating system.
Оборудование Mikrotik предоставляет администраторам богатые возможности по управлению и администрированию, включая инструменты удаленного доступа. Вы можете без проблем настраивать роутер, находящийся за многие километры от вашего рабочего места и никого этим сегодня не удивить. Тем не менее бывают задачи, когда нужно получить управление оборудованием, к которому не имеется прямого доступа, в этом случае нам на помощь придет специальная технология от Mikrotik — RoMON.
Что такое RoMON?
RoMON (Router Management Overlay Network) — специальная технология компании Mikrotik предназначенная для обнаружения одноранговых устройств с Router OS и построения сети управления между ними. Для этого используется давно известная всем администраторам Mikrotik возможность подключения к устройству по MAC-адресу. RoMON позволяет обнаруживать устройства в общем широковещательном сегменте L2 и устанавливать связи между ними, при этом работа не ограничена только одним широковещательным сегментом, мы можем соединять роутеры как гирлянды и управлять ими с любого доступного нам устройства.
Рассмотрим следующую схему:
У нас имеется условная цепочка из роутеров R1 — R2 — R3, при этом возможность каким-либо образом подключиться извне мы имеем только к последнему. Задача — настроить удаленный доступ к управлению всеми устройствами. Мы специально не стали обозначать каких-либо сетей или адресов роутеров, потому что это не имеет никакого значения, единственное условие — любые два роутера должны видеть друг друга по L2 и иметь возможность соединиться через MAC-Telnet. При этом роутер R3 может ничего не знать о существовании R1, но для построения RoMON сети вполне достаточно, что он имеет соединение с роутером R2, который в свою очередь соединяется с R1.
Таким образом можно строить достаточно длинные цепочки между роутерами не снижая уровень безопасности и не создавая подключений извне туда, где это будет нежелательно, да и защитить одно устройство, с которого будет осуществляться доступ к остальному сетевому оборудованию проще, чем поддерживать безопасность множества узлов.
Настройка RoMON
Настройка RoMON проста, для этого откроем Winbox на целевом роутере и перейдем в Tools — RoMON, в открывшемся окне установите флаг Enabled и укажите в поле Secrets секретную фразу для взаимной аутентификации роутеров. Внутри RoMON сети устройства определяются при помощи идентификаторов, в качестве которых используется один из MAC-адресов устройства, это может быть неудобно, поэтому можно задать собственные идентификаторы, для этого откорректируйте поле ID.
Те же действия в терминале:
/tool romonset enabled=yes id=00:00:00:00:00:01 secrets=MySecret
На этом настройку можно бы было и закончить, но в этом случае RoMON будет работать на всех интерфейсах, что нежелательно по соображениям безопасности. Поэтому выполним ряд дополнительных настроек. В предыдущем окне нажмем кнопку Ports и прежде всего запретим подключаться с любого интерфейса. Откроем единственную имеющуюся запись с указанием в поле Interface — all и установим для нее флаг Forbid.

Теперь настроим отдельные правила для портов, как правило нет никаких проблем определить какой именно порт роутера смотрит в сторону другого устройства, в нашем случае это будут порты ether1 и ether5, при этом будем считать, что ether1 находится по схеме слева от роутера, а ether5 — справа. Т.е. для R1 задействован только ether1, для R3 — ether5, а для R2 — оба указанных порта.
Для добавления правила нажмем плюс и в открывшемся окне укажем желаемый порт и секрет для него. Обращаем ваше внимание, что RoMON использует вначале секрет, указанный для порта, а в его отсутствии глобальный секрет, который мы указали при включении RoMON.
Также отметим еще один доступный параметр — Cost — это «стоимость» подключения, может оказаться полезен, если к одному роутеру могут вести несколько цепочек и вы хотите явно отдать приоритет одной из них. Чем меньше суммарная стоимость маршрута — тем выше его приоритет.
Теперь вариант команд для терминала, здесь мы приведем пример для роутера R2 и настроим сразу два интерфейса:
Аналогичные настройки следует выполнить на каждом роутере входящем в цепочку. Никаких особых сложностей они не представляют.
Некоторые важные уточнения: RoMON не использует шифрование, защита передаваемых данных полностью лежит на прикладном приложении, вы можете использовать Winbox или SSH. Секрет используется только для взаимной аутентификации роутеров и должен быть одинаков у всех устройств входящих в сеть управления. Мы рекомендуем задавать как локальный секрет для порта, так и глобальный, что повысит уровень безопасности даже при неверных настройках RoMON (открыт доступ со всех портов).
Использование RoMON
Согласно условиям задачи мы имеем возможность подключения через Winbox к роутеру R3. Теперь, после того как настроили RoMON мы можем подключиться к сети управления нажав на кнопку Connect To RoMON и указав при этом параметры доступа к нужному роутеру.
После чего ниже появится полный список роутеров в сети управления и мы можем получить доступ к любому из них используя идентификатор, для доступа к роутерам следует использовать учетные данные существующих пользователей, секрет RoMON используется исключительно для взаимной аутентификации устройств и указывать его нигде не надо.
При этом вы всегда можете видеть текущую стоимость подключения, количество устройств в цепочке и их идентификаторы, а также краткие сведения об устройствах, включающие модель и версию RouterOS.
Подключение к роутеру по MAC Telnet
Данная тема не относится напрямую к RoMON, но очень близко связана с ней. В процессе работы у вас может появиться удаленное новое устройство, которое либо нужно настроить для работы в удаленной сети, либо вообще после настройки передать далее. И хорошо если у вас есть возможность подключиться к одному из узлов удаленной сети, запустить там Winbox и выполнить необходимые настройки. А если нет?
Второй вариант — это настройка RoMON, как мы видели, для этого нужно получить доступ к каждому устройству, что тоже не всегда возможно. Что делать? Выезжать на точку? Не спешите, в большинстве случаев все можно сделать удаленно.
По умолчанию обнаружение и подключение через MAC Telnet доступны на всех портах, кроме «внешнего», таким в SOHO-устройствах обычно является ether1, поэтому достаточно подключить новое устройство в сеть любым портом, кроме первого. Затем переходим на контролируемое устройство, имеющее доступ в тот же широковещательный сегмент что и новый роутер и открываем IP — Neighbor где мы можем увидеть всех соседей в одноранговой сети. Все что нам понадобится отсюда — это MAC-адрес нужного устройства.
После чего открываем терминал и выполняем команду:
/tool mac-telnet host=01:12:34:56:78:90
Где 01:12:34:56:78:90 — MAC-адрес требуемого устройства. Теперь мы можем полноценно работать с данным роутером в терминале, даже можем выполнить полный сброс, доступ через MAC Telnet будет активирован по умолчанию:
/system reset-configuration no-defaults=yes skip-backup=yes
После чего достаточно активировать RoMON и получить полный доступ к устройству.
Смена секрета RoMON
В процессе эксплуатации сети RoMON может возникнуть потребность изменить секрет, либо установить его, если вы ранее не использовали аутентификацию, очень важно сделать это так, чтобы не потерять в процессе смены секрета доступ к управляемым устройствам. К счастью, сделать это несложно, нужно лишь строго соблюдать необходимую последовательность действий.
Напомним, что RoMON не использует шифрование, а секретная фраза используется для вычисления хеш-функции при помощи которой производится аутентификация сообщений, таким образом, все узлы, которые владеют секретом могут убедиться, что пакет пришел от доверенного узла и примут его.
RoMON позволяет указать несколько секретов, как глобальных, так и для порта. При этом сам узел будет использовать первый в списке секрет, но сможет принимать пакеты с хешами сформированными при помощи любых других секретов, перечисленных в списке. Эту возможность мы и будем использовать.
Откроем список секретов и добавим в него новый секрет, при этом первым в списке располагаем старый секрет (выделен желтым), а ниже новый секрет (выделено зеленым).
В терминале это будет выглядеть так, для глобального секрета:
/tool romonset enabled=yes id=00:00:00:00:00:02 secrets=old_secret,new_secret
/tool romon portadd disabled=no interface=ether5 secrets=old_secret,new_secret
Данный шаг следует выполнить на всех управляемых устройствах. После чего каждое из них будет продолжать использовать старый секрет, но сможет принимать пакеты с хешем сформированным при помощи нового секрета.
Выполнив указанное действие переходим к следующему: для каждого из устройств в списке паролей ставим первым новый секрет, а вторым старый. Также повторяем это действие на всех управляемых устройствах. Теперь роутеры для связи друг с другом будут использовать новые секреты, но смогут принимать пакеты со старым хешем.
На первый взгляд процедура может показаться немного сложной и избыточной, но именно такой порядок действий гарантирует что вы не потеряете связь ни с одним устройством в процессе изменения секретов на них. Также учтите, что пустой секрет тоже является секретом и, если вы до этого не использовали аутентификацию в качестве старого секрета следует оставлять пустое поле, а в терминале использовать пустое значение, состоящее из двух, идущих подряд, кавычек.
Как видим, RouterOS предоставляет администратору достаточно широкий круг простых и удобных инструментов управления и RoMON — один из них. Он не претендует на универсальность и его нельзя однозначно рекомендовать к употреблению везде где-только можно, но в ряде сценариев он может оказаться незаменимым, обеспечивая привычный уровень удобства администрирования даже при отсутствии прямого доступа к устройству.

