Настройка и оптимизация Wi-Fi на Mikrotik

Продолжаем рублику Микротик для чайников. В данной статье рассматривается пошаговая настройка маршрутизаторов MikroTik с установленной RouterOS 7 для дома и небольшого офиса с нуля. Обычно такая настройка включает в себя настройку работы в локальной сети, настройку Wi-Fi, настройку Firewall, настройку доступа в сеть интернет и настройки безопасности устройства.

Так как объем материала получается достаточно большим, то статья будет разбита на две части, в первой части будет изложен материал по настройке локальной сети, минимально необходимая настройка Firewall и подключение к сети интернет. Этого вполне достаточно чтобы устройства, подключенные проводом, имели доступ в интернет.

Если у вас уже есть настроенное устройство с версией RouterOS 6, и вы собираетесь обновиться до 7 версии, то настраивать с нуля его нет необходимости, обновление обычно происходит без каких-либо проблем.

Описанные в статье настройки производились на RouteOS версии 7.6, т.к. данная операционная система едина для всех маршрутизаторов компании MikroTik, то на каком устройстве будет производится настройка не имеет абсолютно никакого значения, различия в устройствах обычно только в установленном железе и количестве портов.

Подготовка к настройке

Скачиваем последнюю версию WinBox с сайта MikroTik, (прямые ссылки для версии WinBox_x32 и WinBox_x64), RouterOS версии 7.6 требует версию WinBox не ниже 3.37.

В настройках сетевой карты компьютера выставляем получение IPv4 адреса по DHCP. В Windows 10 это можно сделать двумя способами:

Способ 1. Пуск -> Параметры -> Сеть и Интернет -> Свойства (Ethernet) -> Редактировать (Параметры IP). Изменение параметров IP -> Автоматически (DHCP).

Включаем MikroTik и подключаем его патч-кордом к компьютеру, в какой порт на MikroTik особого значения не имеет, но на устройствах с настройками по умолчанию, обычно, первый порт настроен на подключение к провайдеру, остальные собраны в Bridge для подключения устройств локальной сети, поэтому лучше выбрать Ethernet порт отличный от первого.

ВНИМАНИЕ! Провод провайдера в MikroTik не подключать! Это будет сделано позднее.

Подключение к MikroTik и сброс текущей конфигурации

Запускаем WinBox, на вкладке Neighbors должно отобразиться найденное устройство. Подключиться можно либо по MAC адресу, либо по IP адресу, для удобства, чтобы не набирать руками можно нажать на соответствующее поле.

Делаем полный сброс конфигурации, переходим System -> Reset Configuration, в открывшемся окне выбираем No Default Configuration и Do Not Backup, нажимаем кнопку Reset Configuration. Здесь пункт No Default Configuration — не загружать заводские настройки по умолчанию, получаем полностью ненастроенное устройство. Пункт Do Not Backup — перед сбросом не делать резервную копию устройства, если устройство ранее было настроено и данные настройки Вам дороги как светлая память о прошлом, то данный пункт можно не выбирать.

Настройка локальной сети

Создаем Bridge интерфейс, в котором будут объединены Ethernet порты и Wlan интерфейсы локальной сети, по сути создаем Switch работающий в локальной сети. Выбираем Bridge, в открывшемся окне на вкладке Bridge нажимаем +. В окне создания нового интерфейса в поле Name вводим удобное для понимая в дальнейшем наименование и нажимаем OK.

Добавляем в созданный Bridge интерфейс порты, к которым будут подключаться компьютеры и устройства, работающие в локальной сети.

Небольшое отступление для тех, кто не понимает, что мы делаем, остальные смело листают к следующему абзацу. В 99% домашних роутерах, будь то D-Link, Tp-Link, Asus или Xiaomi уже всё сделано производителем из коробки и изменить это нельзя. Один порт сделан для подключения к провайдеру, он подписан WAN и, скорее всего выделен отдельным цветом, остальные порты (как правило их четыре) и модули беспроводной связи объединены в один Switch, а точнее в Bridge интерфейс, которому назначен адрес что-то из 192.168.1.1. В MikroTik так реализовано в конфигурации по умолчанию, порт с цифрой 1 предназначен для подключения к провайдеру, порты 2 — 5 и Wlan объединены в один Bridge. Но MikroTik и прекрасен тем, что конфигурацию можно настроить под себя, например, порт 1 задействовать под основного провайдера, порт 2 под резервного провайдера, порт 3 и 4 объединить в один Bridge для локальной сети где будут домашние компьютеры, а порты 4 и 5 (6, 7, 8 столько, сколько есть на устройстве) объединены в Bridge где будут подключены устройства умного дома. При этом ограничить доступ к сети IoT устройств из локальной сети или сделать чтобы IoT устройства ходили в интернет через второго провайдера. Здесь мы не будем рассматривать сложные конфигурации и ограничимся самой обычной, на уровне домашнего маршрутизатора из поднебесной.

Итак, на вкладке Ports добавляем Ethernet интерфейсы в созданный Bridge. Нажимаем +, в открывшемся окне в поле Interface выбираем нужный интерфейс, в поле Bridge выбираем созданный Bridge интерфейс, нажимаем OK. Повторяем пока не добавим все необходимые интерфейсы. Не забываем добавить порт, к которому подключен наш компьютер.

После добавления всех необходимых портов должен быть примерно такой список:

Переходим к настройке IP адреса устройства в локальной сети. Открываем IP -> Addresses, в окне Address List нажимаем +, откроется окно добавления IP адреса интерфейсу, указываем:

• Address — IP адрес маршрутизатора в локальной сети, например, 192.168.88.1/24, где через / (прямой слеш) указана маска сети, префикс /24 соответствует маске 255.255.255.0 и позволяет использовать 254 адреса в локальной сети. Если кому-то такая запись не очень понятна, то вместо 192.168.88.1/24 можно записать 192.168.88.1/255.255.255.0, при сохранении маска автоматически будет преобразована в префикс /24.
• Interface — выбираем созданный нами Bridge (bridge-localnet).

Поле Network оставляем неактивным, оно заполнится автоматически на основе внесенной маски сети, нажимаем OK.

Для автоматической раздачи устройствам в сети IP адресов и необходимых сетевых настроек настраиваем DHCP сервер. Переходим IP -> DHCP Server, в открывшемся окне на вкладке DHCP нажимаем DHCP Setup. Откроется мастер настройки, на первой вкладке в поле DHCP Server Interface выбираем созданный ранее Bridge интерфейс. Нажимаем Next.

DHCP Address Space — указываем адресное пространство, в котором будет производиться выдача IP адресов, указывается как Network/Mask. Для тех, кто не понимает, что здесь надо вводить, то Network можно подсмотреть в разделе IP -> Addresses, а Mask взять из префикса в поле Address там же. Нажимаем Next.

Gateway For DHCP Network — адрес маршрутизатора в сети. Т.к. мы настраиваем устройство как маршрутизатор для доступа наших устройств к сети интернет, то указываем ранее присвоенный адрес устройству, маску сети в данном пункте указывать не надо. Нажимаем Next.

Addresses to Give Out — диапазон IP адресов, из которого DHCP сервер будет выдавать адреса подключенным устройствам в сети. Для сети /24 можно выдать 254 адреса, не забываем, что один адрес уже используется маршрутизатором и его необходимо исключить из этого диапазона. Нажимаем Next.

DNS Servers — адрес или несколько адресов где расположен(ы) сервис(ы) преобразования доменных имен в IP адреса. В домашних сетях указываем адрес настраиваемого нами маршрутизатора. Нажимаем Next.

Lease Time — Время резервирования IP адреса за устройством в сети. После истечения данного времени если устройство продолжает работать, то время аренды обновляется и IP адрес остается за данным устройством, если устройство нет в сети, то IP адрес может быть зарезервирован за другим устройством. Нажимаем Next.

На этом работа мастера завершается, DHCP настроен.

На вкладке Leases проверяем что компьютер, с которого производится настройка MikroTik получил IP адрес.

Переподключаемся к настраиваемому устройству (Session -> Disconnect) для проверки работы локальной сети.

Минимальная настройка Firewall

Для предотвращения несанкционированного доступа к маршрутизатору и устройствам в локальной сети из сети интернет добавляем необходимые правила в Firewall.

Переходим в раздел IP -> Firewall, на вкладке Filter Rules нажимаем +. В открывшемся окне на вкладке General добавляем:

• Chain — Input
• In. Interface — ether1
• Connection State — отмечаем в окне первый не подписанный квадрат, он выделится восклицательным знаком, далее выбираем established и related

Переходим на вкладку Action, в поле Action выбираем drop. Нажимаем OK.

Немного пояснений к описанному выше. В поле In. Interface мы указали интерфейс ether1, именно к этому порту у нас будет подключен в скором будущем провод провайдера, если вы планируете использовать для подключения к интернет другой порт, то необходимо указать его. Интерфейс, предназначенный для подключения к сети интернет не должен входить в созданный ранее Bridge интерфейс!

Созданное правило будет блокировать все входящие пакеты, адресованные настраиваемому маршрутизатору из внешней сети (в данном случае приходящие на интерфейс ether1), кроме уже установленных подключений, инициированных маршрутизатором.

На основе текущего правила создадим еще одно, оно будет похоже на первое, только будет действовать на проходящие пакеты через маршрутизатор из внешней сети к устройствам в локальной сети. Открываем созданное правило и жмем кнопку Copy, в новом окне в поле Chain выбираем forward. В обоих окнах нажимаем OK.

В итоге у нас в списке Filter Rules должно появиться два запрещающих правила.

Для доступа устройств локальной сети в сеть интернет настраиваем NAT на соответствующей вкладке нажав +. В окне создания правила на вкладке General заполняем:

• Chain — srcnat
• Out. Interface — ether1

Переходим на вкладку Action, в поле Action выбираем masquerade. Нажимаем OK.

Созданное правило будет подменять на исходящих пакетах во внешнюю сеть IP адрес устройства локальной сети на IP адрес маршрутизатора назначенному интерфейсу, к которому подключен провод провайдера.

Это минимальный набор правил для защиты устройств в сети, для более глубокого погружения в тему настройки Firewall рекомендую к прочтению статью: Настройка Firewall на шлюзе MikroTik.

Настройка интернет

Как я говорил ранее, провод интернет провайдера будем подключать в первый порт на устройстве, это ни с чем не связано, просто для удобства. В меню Interfaces двойным нажатием открываем свойства ether1 и поле Name записываем ether1-wan. Сохраняем кнопкой OK. Это сделано для удобства чтения конфигурации, если зайти в раздел Firewall, то увидим, что в созданных ранее правилах In. Interface поменялся на ether1-wan. В дальнейшем по тексту он будет называться коротко — WAN.

Некоторые интернет провайдеры привязывают MAC адрес клиентского устройства к выдаваемым IP адресам или для ограничения доступа, поэтому если у вас сменилось оборудование не забываем позвонить провайдеру и сообщить MAC address WAN интерфейса.

Если общение со службой поддержки провайдера у вас вызывает какие-то проблемы, то MAC адрес можно сменить на WAN интерфейсе самому. Изменение MAC адреса выполняется только из командной строки, нажимаем New Terminal в открывшемся окне вводим:

/interface/ethernet/set ether1-wan mac-address=XX:XX:XX:XX:XX:XX

где XX:XX:XX:XX:XX:XX новый MAC адрес интерфейса.

Теперь необходимо назначить IP адрес WAN интерфейсу, это делается одним из двух способов, какой из них необходим вам надо уточнить в тексте договора либо в техподдержке провайдера.

1. Получение IP адреса от оборудования провайдера по DHCP автоматически.
2. Прописывание IP адреса вручную.

Получение IP адреса по DHCP (Вариант #1). Переходим IP -> DHCP Client, на вкладке DHCP Client нажимаем +. В окне New DHCP Client заполняем:

• Interface — выбираем WAN интерфейс.
• Use Peer DNS — использование серверов DNS провайдера. Если будут использоваться другие, например, DNS сервера Google, то снимаем галочку.
• Use Peer NTP — использование серверов провайдера для синхронизации времени. Если будут использоваться другие, например, NTP сервера Google, то снимаем галочку.
• Add Default Route — автоматическое добавление и использование по умолчанию шлюза провайдера в таблице маршрутизации.

Прописывание IP адреса вручную (Вариант #2). Переходим IP -> Addresses, в окне Address List нажимаем +, откроется окно добавления IP адреса интерфейсу, указываем:

• Address — IP адрес маршрутизатора в сети провайдера и маска сети. Мы уже раньше рассматривали что маска сети записывается как префикс, но в договорах провайдер обычно пишет маску полностью, поэтому через прямой слеш записываем как указано в договоре, например, 10.22.33.44/255.255.252.0, при сохранении префикс будет автоматически рассчитан из записи маски.
• Interface — выбираем созданный нами WAN интерфейс (ether1-wan).

Поле Network оставляем неактивным, оно заполнится автоматически на основе внесенной маски сети, нажимаем OK.

Добавляем маршрут по умолчанию. Если маршрутизатор получает IP адрес от DHCP сервера и выставлена настройка Add Default Gateway = yes, то настраивать ничего не надо! Переходим IP -> Route, в окне Route List нажимаем +. Заполняем следующие поля:

• Dst. Address — адрес назначения, для маршрута по умолчанию устанавливается 0.0.0.0/0.
• Gateway — шлюз для маршрута. IP адрес, маска сети и шлюз обычно прописаны в договоре провайдера.

Настройка DNS сервера

Для корректного доступа к сети интернет маршрутизатора и устройств локальной сети осталось настроить DNS сервер. Переходим IP -> DNS, в поле Servers вносим IP адреса DNS серверов Google (8.8.8.8 и 8.8.4.4). Включаем настройку Allow Remote Requests, теперь маршрутизатор будет выступать в качестве DNS сервера для устройств в локальной сети. Нажимаем OK.

Заключение

Теперь мы можем подключить провод провайдера в WAN порт на MikroTik.

Если все настройки сделаны верно, то на маршрутизаторе и на компьютере, с которого выполнялась настройка должен появиться интернет. Для проверки на MikroTik запускаем New Terminal, в консоли вводим:

ping 8.8.8.8

Connecting to the Router

There are two types of routers:

• With default configuration
• Without default configuration. When no specific configuration is found, IP address 192.168.88.1/24 is set on ether1 or combo1, or sfp1.

More information about the current default configuration can be found in the Quick Guide document that came with your device. The quick guide document will include information about which ports should be used to connect for the first time and how to plug in your devices.

This document describes how to set up the device from the ground up, so we will ask you to clear away all defaults.

Router without Default Configuration

If there is no default configuration on the router you have several options, but here we will use one method that suits our needs.

Connect Routers ether1 port to the WAN cable and connect your PC to ether2. Now open WinBox and look for your router in neighbor discovery. See detailed example in Winbox article.

If you see the router in the list, click on MAC address and click Connect.

The simplest way to make sure you have absolutely clean router is to run

/system reset-configuration no-defaults=yes skip-backup=yes

Or from WinBox (Fig. 1-1):

Configuring IP Access

Since MAC connection is not very stable, the first thing we need to do is to set up a router so that IP connectivity is available:

• add bridge interface and bridge ports;
• add an IP address to LAN interface;
• set up a DHCP server.

Set bridge and IP address are quite easy:

/interface bridge add name=local
/interface bridge port add interface=ether2 bridge=local
/ip address add address=192.168.88.1/24 interface=local

If you prefer WinBox/WeBfig as configuration tools:

• Open Bridge window, Bridge tab should be selected;
• Click on the + button, a new dialog will open, enter bridge name local and click on OK;
• Select the Ports tab and click on the + button, a new dialog will open;
• select interface ether2 and bridge local form drop-down lists and click on the OK button to apply settings;
• You may close the bridge dialog.

• Open Ip -> Addresses dialog;
• Click on the + button, a new dialog will open;
• Enter IP address 192.168.88.1/24 select interface local from the drop-down list and click on OK button;

The next step is to set up a DHCP server. We will run the setup command for easy and fast configuration:

 [admin@MikroTik] /ip dhcp-server setup [enter] Select interface to run DHCP server on dhcp server interface: local [enter] Select network for DHCP addresses dhcp address space: 192.168.88.0/24 [enter] Select gateway for given network gateway for dhcp network: 192.168.88.1 [enter] Select pool of ip addresses given out by DHCP server addresses to give out: 192.168.88.2-192.168.88.254 [enter] Select DNS servers dns servers: 192.168.88.1 [enter] Select lease time lease time: 10m [enter]

Notice that most of the configuration options are automatically determined and you just simply need to hit the enter key.

The same setup tool is also available in WinBox/WeBfig:

• Open Ip -> DHCP Server window, DHCP tab should be selected;
• Click on the DHCP Setup button, a new dialog will open, enter DHCP Server Interface local and click on Next button;
• Follow the wizard to complete the setup.

Now connected PC should be able to get a dynamic IP address. Close the Winbox and reconnect to the router using IP address (192.168.88.1)

Configuring Internet Connection

The next step is to get internet access to the router. There can be several types of internet connections, but the most common ones are:

• dynamic public IP address;
• static public IP address;
• PPPoE connection.

Dynamic Public IP

Dynamic address configuration is the simplest one. You just need to set up a DHCP client on the public interface. DHCP client will receive information from an internet service provider (ISP) and set up an IP address, DNS, NTP servers, and default route for you.

/ip dhcp-client add disabled=no interface=ether1

After adding the client you should see the assigned address and status should be bound

[admin@MikroTik] /ip dhcp-client> print
Flags: X - disabled, I - invalid # INTERFACE USE ADD-DEFAULT-ROUTE STATUS ADDRESS 0 ether1 yes yes bound 1.2.3.100/24

Static Public IP

In the case of static address configuration, your ISP gives you parameters, for example:

• IP: 1.2.3.100/24
• Gateway: 1.2.3.1
• DNS: 8.8.8.8

These are three basic parameters that you need to get the internet connection working

To set this in RouterOS we will manually add an IP address, add a default route with a provided gateway, and set up a DNS server

/ip address add address=1.2.3.100/24 interface=ether1
/ip route add gateway=1.2.3.1
/ip dns set servers=8.8.8.8

PPPoE Connection

/interface pppoe-client add disabled=no interface=ether1 user=me password=123 \ add-default-route=yes use-peer-dns=yes

• Open PPP window, Interfaces tab should be selected;
• Click on the + button, and choose PPPoE Client from the dropdown list, new dialog will open;
• Select interface ether1 from the dropdown list and click on the OK button to apply settings.

Further in configuration WAN interface is now pppoe-out interface, not ether1.

Verify Connectivity

After successful configuration, you should be able to access the internet from the router.

Verify IP connectivity by pinging known IP address (google DNS server for example)

[admin@MikroTik] > /ping 8.8.8.8
HOST SIZE TTL TIME STATUS
8.8.8.8 56 47 21ms
8.8.8.8 56 47 21ms

Verify DNS request

[admin@MikroTik] > /ping www.google.com
HOST SIZE TTL TIME STATUS
173.194.32.49 56 55 13ms
173.194.32.49 56 55 12ms

If everything is set up correctly, ping in both cases should not fail.

In case of failure refer to the troubleshooting section

Protecting the Router

Now anyone over the world can access our router so it is the best time to protect it from intruders and basic attacks

User Password Access

MikroTik routers require password configuration, we suggest using a password generator tool to create secure and non-repeating passwords. With secure password we mean:

• Minimum 12 characters;
• Include numbers, Symbols, Capital and lower case letters;
• Is not a Dictionary Word or Combination of Dictionary Words;

/user set 0 password="!={Ba3N!40TуX+GvKBzjTLIUcx/,"

Another option to set a password,

We strongly suggest using a second method or Winbox interface to apply a new password for your router, just to keep it safe from other unauthorized access.

[admin@MikroTik] > / password
old password:
new password: ******
retype new password: ******

Make sure you remember the password! If you forget it, there is no recovery. You will need to reinstall the router!

/user add name=myname password=mypassword group=full
/user remove admin

MAC Connectivity Access

By default mac server runs on all interfaces, so we will disable default all entry and add a local interface to disallow MAC connectivity from the WAN port. MAC Telnet Server feature allows you to apply restrictions to the interface «list».

First, create an interface list:

[admin@MikroTik] > /interface list add name=listBridge

Then, add your previously created bridge named «local» to the interface list:

[admin@MikroTik] > /interface list member add list=listBridge interface=local

Apply newly created «list» (of interfaces) to the MAC server:

[admin@MikroTik] > tool mac-server set allowed-interface-list=listBridge 

Do the same for Winbox MAC access

[admin@MikroTik] > tool mac-server mac-winbox set allowed-interface-list=listBridge 

• Open Interfaces → Interface List → Lists window and add a new list by clicking «+»;
• Input the interface list name «listBridge» into the Name field and click OK;
• Go back to the Interfaces → Interface List section and click «+»;
• Select «listBridge» from the dropdown List options and select «local» from the dropdown Interface options and click OK;
• Open Tools -> Mac Server window;
• Click on the «MAC Telnet Server» button, a new dialog will open;
• Select the newly created list «listBridge» from the dropdown list and click on OK button to apply settings.

Neighbor Discovery

MikroTik Neighbor discovery protocol is used to show and recognize other MikroTik routers in the network. Disable neighbor discovery on public interfaces:

/ip neighbor discovery-settings set discover-interface-list=listBridge

IP Connectivity Access

/user set 0 allowed-address=x.x.x.x/yy

x.x.x.x/yy — your IP or network subnet that is allowed to access your router.

IP connectivity on the public interface must be limited in the firewall. We will accept only ICMP(ping/traceroute), IP Winbox, and ssh access.

/ip firewall filter add chain=input connection-state=established,related action=accept comment="accept established,related"; add chain=input connection-state=invalid action=drop; add chain=input in-interface=ether1 protocol=icmp action=accept comment="allow ICMP"; add chain=input in-interface=ether1 protocol=tcp port=8291 action=accept comment="allow Winbox"; add chain=input in-interface=ether1 protocol=tcp port=22 action=accept comment="allow SSH"; add chain=input in-interface=ether1 action=drop comment="block everything else";

In case if a public interface is a pppoe, then the in-interface should be set to «pppoe-out».

The first two rules accept packets from already established connections, so we assume those are OK to not overload the CPU. The third rule drops any packet which connection tracking thinks is invalid. After that, we set up typical accept rules for specific protocols.

If you are using Winbox/Webfig for configuration, here is an example of how to add an established/related rule:

• Open Ip -> Firewall window, click on Filter rules tab;
• Click on the + button, a new dialog will open;
• Select chain input, click on Connection state, and select checkboxes for established and related;
• Click on the Action tab and make sure action accept is selected;
• Click on the Ok button to apply settings.

To add other rules click on + for each new rule and fill the same parameters as provided in the console example.

Administrative Services

Although the firewall protects the router from the public interface, you may still want to disable RouterOS services.

Keep only secure ones,

/ip service disable telnet,ftp,www,api

Change default service ports, this will immediately stop most of the random SSH brute force login attempts:

/ip service set ssh port=2200

/ip service set winbox address=192.168.88.0/24

Other Services

A bandwidth server is used to test throughput between two MikroTik routers. Disable it in the production environment.

/tool bandwidth-server set enabled=no 

A router might have DNS cache enabled, which decreases resolving time for DNS requests from clients to remote servers. In case DNS cache is not required on your router or another router is used for such purposes, disable it.

/ip dns set allow-remote-requests=no

Some RouterBOARDs have an LCD module for informational purposes, set pin or disable it.

It is good practice to disable all unused interfaces on your router, in order to decrease unauthorized access to your router.

/interface print
/interface set x disabled=yes

Where «X» is a number of the unused interfaces.

RouterOS utilizes stronger crypto for SSH, most newer programs use it, to turn on SSH strong crypto:

/ip ssh set strong-crypto=yes

• MikroTik caching proxy,

• MikroTik socks proxy,

• MikroTik UPNP service,

• MikroTik dynamic name service or IP cloud,

/ip cloud set ddns-enabled=no update-time=no

At this point, PC is not yet able to access the Internet, because locally used addresses are not routable over the Internet. Remote hosts simply do not know how to correctly reply to your local address.

The solution for this problem is to change the source address for outgoing packets to routers public IP. This can be done with the NAT rule:

/ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade

In case if a public interface is a pppoe, then the out-interface should be set to «pppoe-out».

Another benefit of such a setup is that NATed clients behind the router are not directly connected to the Internet, that way additional protection against attacks from outside mostly is not required.

Port Forwarding

Some client devices may need direct access to the internet over specific ports. For example, a client with an IP address 192.168.88.254 must be accessible by Remote desktop protocol (RDP).

After a quick search on Google, we find out that RDP runs on TCP port 3389. Now we can add a destination NAT rule to redirect RDP to the client’s PC.

/ip firewall nat add chain=dstnat protocol=tcp port=3389 in-interface=ether1 \ action=dst-nat to-address=192.168.88.254

If you have set up strict firewall rules then RDP protocol must be allowed in the firewall filter forward chain.

Setting up Wireless

For ease of use bridged wireless setup will be made so that your wired hosts are in the same Ethernet broadcast domain as wireless clients.

The important part is to make sure that our wireless is protected, so the first step is the security profile.

Security profiles are configured from /interface wireless security-profiles menu in a terminal.

/interface wireless security-profiles add name=myProfile authentication-types=wpa2-psk mode=dynamic-keys \ wpa2-pre-shared-key=1234567890

in Winbox/Webfig click on Wireless to open wireless windows and choose the Security Profile tab.

If there are legacy devices that do not support WPA2 (like Windows XP), you may also want to allow WPA protocol.

Now when the security profile is ready we can enable the wireless interface and set the desired parameters

/interface wireless enable wlan1; set wlan1 band=2ghz-b/g/n channel-width=20/40mhz-Ce distance=indoors \ mode=ap-bridge ssid=MikroTik-006360 wireless-protocol=802.11 \ security-profile=myProfile frequency-mode=regulatory-domain \ set country=latvia antenna-gain=3

To do the same from Winbox/Webfig:

• Open Wireless window, select wlan1 interface, and click on the enable button;
• Double click on the wireless interface to open the configuration dialog;
• In the configuration dialog click on the Wireless tab and click the Advanced mode button on the right side. When you click on the button additional configuration parameters will appear and the description of the button will change to Simple mode;
• Choose parameters as shown in the screenshot, except for the country settings and SSID. You may want to also choose a different frequency and antenna gain;
• Next, click on the HT tab and make sure both chains are selected;
• Click on the OK button to apply settings.

The last step is to add a wireless interface to a local bridge, otherwise connected clients will not get an IP address:

/interface bridge port add interface=wlan1 bridge=local

Now wireless should be able to connect to your access point, get an IP address, and access the internet.

Protecting the Clients

Now it is time to add some protection for clients on our LAN. We will start with a basic set of rules.

/ip firewall filter add chain=forward action=fasttrack-connection connection-state=established,related \ comment="fast-track for established,related"; add chain=forward action=accept connection-state=established,related \ comment="accept established,related"; add chain=forward action=drop connection-state=invalid add chain=forward action=drop connection-state=new connection-nat-state=!dstnat \ in-interface=ether1 comment="drop access to clients behind NAT from WAN"

A ruleset is similar to input chain rules (accept established/related and drop invalid), except the first rule with action=fasttrack-connection. This rule allows established and related connections to bypass the firewall and significantly reduce CPU usage.

Another difference is the last rule which drops all new connection attempts from the WAN port to our LAN network (unless DstNat is used). Without this rule, if an attacker knows or guesses your local subnet, he/she can establish connections directly to local hosts and cause a security threat.

Blocking Unwanted Websites

First, we need to add a NAT rule to redirect HTTP to our proxy. We will use RouterOS built-in proxy server running on port 8080.

/ip firewall nat add chain=dst-nat protocol=tcp dst-port=80 src-address=192.168.88.0/24 \ action=redirect to-ports=8080

Enable web proxy and drop some websites:

/ip proxy set enabled=yes
/ip proxy access add dst-host=www.facebook.com action=deny
/ip proxy access add dst-host=*.youtube.* action=deny
/ip proxy access add dst-host=:vimeo action=deny

• On the left menu navigate to IP -> Web Proxy
• Web proxy settings dialog will appear.
• Check the «Enable» checkbox and click on the «Apply» button
• Then click on the «Access» button to open the «Web Proxy Access» dialog

• In the «Web Proxy Access» dialog click on «+» to add a new Web-proxy rule
• Enter Dst hostname that you want to block, in this case, «www.facebook.com«, choose the action «deny»
• Then click on the «Ok» button to apply changes.
• Repeat the same to add other rules.

Troubleshooting

RouterOS has built-in various troubleshooting tools, like ping, traceroute, torch, packet sniffer, bandwidth test, etc.

We already used the ping tool in this article to verify internet connectivity.

Troubleshoot if ping fails

The problem with the ping tool is that it says only that destination is unreachable, but no more detailed information is available. Let’s overview the basic mistakes.

You cannot reach www.google.com from your computer which is connected to a MikroTik device:

If you are not sure how exactly configure your gateway device, please reach MikroTik’s official consultants for configuration support.

Данная инструкция предназначена для самостоятельной настройки роутера MikroTik. В качестве примера будет использоваться роутер MikroTik hAP ac lite(RB952Ui-5ac2nD), который будет настроен для работы интернета и использования локальных сетей Ethernet и WiFi(включая Apple Iphone).

Инструкция состоит из двух больших примеров: “Быстрая настройка” и ‘Ручная настройка“, задача которых состоит в демонстрации двух методов настроек: с помощью внутреннего мастера настроек Quick Set и распределённая настройка посредством Winbox или Webfig.

2. Подключение по кабелю
   
3. Подключение по WiFi
4. Вход в настройки
5. Quick Set настройка
   • Настройка интернета, автоматические настройки
   • Настройка интернета, статический IP
   • Настройка интернета, PPPoE

1. Подключение к ПК
2. Вход в настройки
   
11. Сброс на заводские настройки
12. Задать вопрос по настройке MikroTik

Настройка служб на роутерах MikroTik: подключение интернета, DHCP, brige, VLAN, WiFi, Capsman, VPN, IpSec, PPTP, L2TP, Mangle, NAT, проброс портов, маршрутизация(routing), удаленное подключение и объединение офисов.

Пример №1. Быстрая настройка MikroTik

Данный пример настройки роутера MikroTik самый простой и не требует детального изучения принципов работы MikroTik. Его можно применять с использованием ПК или ноутбука, а также мобильного телефона.

Исходные настройки роутера MikroTik должны соответствовать заводским, если по какой причине это не так, следует их сбросить через кнопку Reset.

при использовании кнопки RESET оборудование MikroTik может принимать 3 разных состояния. Переход между состоянии зависит от времени нажатия кнопки RESET. Внимательно изучите последовательность сброса для перехода к заводским настройкам.

Сброс через кнопку RESET

На задней панели расположена кнопка RESET

Необходимо последовательно совершить действия:

1. Отключить питание роутера;
2. Нажать и держать кнопку Reset;
3. Включить питание роутера(Reset нажат);
4. Подождать 5-6сек., в этот момент должен замигать какой-то индикатор(ACT|SYS| или другой);
5. Как только замигал индикатор. отпустить Reset.

Подключение роутера MikroTik по кабелю

1. Включить роутер MikroTik в электросеть;
2. На порт ether1 – подключить интернет провайдера(WAN);
3. На любой порт из ether2-ether5 подключить компьютер. Эти порты считаются локальными (LAN).

Подключение роутера MikroTik по WiFi

Подключение к роутеру MikroTik через WiFi может стать актуальным, если у ноутбука нет Ethernet порта или настройка роутера производится через смартфон. В списке доступных WiFi подключений должен отображаться роутер MikroTik, по аналогии как на примере ниже.

Вход в настройки роутера MikroTik

Для входа в настройки MikroTik можно воспользоваться любым web браузером.

1. Отрыть web браузер;
2. В адресной строке ввести IP адрес 192.168.88.1 и нажать переход(Enter);
3. Авторизоваться на роутере MikroTik с помощью учётных данных по умолчанию(Login: admin, Password: пустой).

Настройка MikroTik с помощью Quick Set

Quick Set это мастер быстрых настроек, который содержит оптимизированные шаблоны уже готовых конфигураций, достаточно только их заполнить пользовательскими данными. В рамках данной настройки будет выбран шаблон Home AP Dual.

Обновление прошивки

1. Нажать кнопку Check For Updates;
2. Установить Channel = long term;
3. Нажать кнопку Download&Install.

Роутер MikroTik будет перезагружен и после будет доступен по прежнему адресу “192.168.88.1“.

Настройка MikroTik WiFi

1. Заполнить Network Name для 2GHz и 5GHz;
2. Frequency = auto;
3. Band 2GHz = 2GHz-B-G-N, Band 5GHz = 5GHz-A-N-AC
4. Country = no_country_set
5. Заполнить WiFi Password.

Настройка интернета, автоматические настройки

• Выбрать Address Acquusition = Automatic.

Настройка интернета, статический IP адрес

1. Выбрать Address Acquusition = Static;
2. Заполнить параметрами выданные провайдером: IP Address, Netmask, Gateway, DNS Servers.

Настройка интернета, PPPoE

1. Выбрать Address Acquusition = PPPoE;
2. Заполнить параметрами выданные провайдером: PPPoE User, PPPoE Password.

Настройка локальной сети

• Заполнить IP Address;
• Netmask 255.255.255.0 (/24);
• Включить DHCP Server;
• Заполнить DHCP Server Range;
• Включить NAT.

Подключение роутера MikroTik к компьютеру

Предварительно стоит отметить, что у роутера MikroTik в качестве порта WAN может выступать любой порт. Однако в заводской прошивке, в качестве WAN порта выступает ether1, на котором активен dhcp client. Эту особенность заводской прошивки стоит учитывать при подключении к роутеру MikroTik, т.к. конфигурация определена так, что все входящие подключения на ether1 будут недоступны.

1. Включить роутер MikroTik в электро сеть;
2. На порт ether1 – подключить интернет провайдера(WAN);
3. На любой порт из ether2-ether5 подключить компьютер. Эти порты считаются локальными (LAN).

Вход в настройки MikroTik RouterOS

Для настройки роутера MikroTik лучше всего воспользоваться утилитой , которая специально разработана для управления оборудованием MikroTik.

обнаружит устройство независимо от назначенного ему адреса. Чаще всего это 192.168.88.1, но и встречаются варианты когда ip адрес = «0.0.0.0». В этом случае подключение происходит по MAC адресу устройства. Кроме этого Winbox отображается все найденные устройства MikroTik в сети, а также дополнительную информацию(версия прошивки, UpTime):

1. Запустить утилиту для настройки MikroTik;
2. Среди списка устройств выбрать нужный роутер MikroTik и нажать кнопку Connect;

Учётная запись(пароль) по умолчанию:

• пользователь = «admin»
• пароль = «»(пустой)

Сброс роутера MikroTik

Т.к. ручная настройка предполагает полную настройку роутера MikroTik с нуля, при первом подключении необходимо полностью удалить заводскую настройку.

Если по какой-то причине роутер MikroTik не вывел форму сброса, это можно сделать в ручном режиме.

Reset через Winbox

1. Установить переключатели No Default Configuration и Do Not Backup;
2. Нажать кнопку Reset Configuration.

/system -configuration -=yes -=yes

Сброс роутера MikroTik будет сопровождаться перезагрузкой устройства, после которой можно повторно подключиться к роутеру через MAC адрес.

Ошибки при подключении к Winbox

router does not support secure connection, please enable legacy mode if you want to connect anyway

Решение: необходимо активировать режим Legacy Mode.

Решение-2: Обновить версию Winbox.

ERROR: could not connect to MikroTik-Ip-Address

Решение: Проблема связана с доступом, частые причины:

1. Подключение закрыто через Firewall;
2. Изменён порт управления через Winbox с 8291 на другой;
3. Подключение происходит через WAN порт, интернет провайдер которого блокирует подобные соединения;

Установить пароль на роутер MikroTik

Первым важным делом настройки нового роутера MikroTik это обновление пароля администратора. Случаи бывали разные, это пункт просто нужно выполнить.

1. Нажать + и добавить новую учётную запись администратора;
2. Заполнить параметры: Name, Group, Password;
3. Открыть учётную запись admin и деактивировать кнопкой Disable.

добавление нового пользователя с полными правами:

/user add name="admin-2" password="PASSWORD" group=full

деактивация старого пользователя:

/user set [find name="admin"] disable="yes"

Рекомендация: Для повышения уровня безопасности роутера MikroTik следует:

• создать и использовать новую учётную запись с полными правами(full);

Обновление прошивки в MikroTik RouterOS

Одной из важной задачей при вводе в эксплуатацию нового устройства MikroTik: маршрутизатора(роутера), коммутатора(свитча) или точки доступа WiFi это обновление прошивки. Чаще всего это имело рекомендованный характер, но недавний инцидент с “back door” в категории long-term указал на то, что актуальность прошивки в устройствах MikroTik имеет критический характер.

1. Нажать кнопку Check For Updates;
2. Выбрать Channel = long term;
3. Загрузить и установить прошивку на MikroTik кнопкой Download&Install.

Действия в кнопке Download&Install произведут закачку выбранной редакции прошивки и автоматическую перезагрузку роутера MikroTik. Установка будет произведена в момент загрузки. Не выключайте роутер MikroTik до полной перезагрузки и обеспечьте стабильное питание электросети при обновлении прошивки.

Редакции прошивок MikroTik

• long term(bug fix only) – самая стабильная версия. Рекомендовано для производственных сред!
• stable(current) – long term плюс поддержка новых функций. Новые технологии это всегда хорошо.

Другие редакции не рекомендуется устанавливать в рабочие устройства MikroTik, т.к. это может привести к нежелательным последствиям.

Важным дополнением в обновлении прошивки является обновление Current Firmware – это аппаратная прошивка, аналог BIOS в компьютере.

Настройка локальной сети MikroTik LAN

В основе работы локальной сети (LAN) на роутере MikroTik находится Bridge – программное объединение портов в свитч. В состав Bridge может входить любая последовательность портов роутера MikroTik, а если туда добавить все порты – роутер станет точкой доступа WiFi или коммутатором.

Стоит учитывать, что такое объединение  управляется CPU. Этот факт важен при значительных нагрузках на CPU.

Настройка LAN на роутере MikroTik состоит из следующих ключевых этапов:

1. Объединение все локальных портов в Bridge;
2. Настройка локального IP адреса для роутера MikroTik;
3. Настройка DHCP сервера.

Настройка MikroTik Bridge

1. Нажать + и добавить новый Bridge;
2. Присвоить Name для выбранного Bridge;
3. Нажать кнопку Apply и скопировать значение MAC Address в Admin MAC Address;

ether3:bridge port received packet with own address as source address (MAC ether3), probably loop”

/interface bridge add name=bridge-1

Добавление портов MikroTik в Bridge

1. Нажать + и добавить новый Port;
2. Выбрать соответствующие значение в параметрах: Interface, Bridge;
3. Повторить аналогичные действия для всех интерфейсов, которые определены как LAN.

добавление портов(LAN, VLAN, WLAN и тд)

/interface bridge port add bridge=bridge-1 hw=yes interface=ether2
/interface bridge port add bridge=bridge-1 hw=yes interface=ether3
/interface bridge port add bridge=bridge-1 hw=yes interface=ether4
/interface bridge port add bridge=bridge-1 hw=yes interface=ether5
/interface bridge port add bridge=bridge-1 interface=wlan1
/interface bridge port add bridge=bridge-1 interface=wlan2

Hardware Offload — аппаратная поддержка bridge отдельным чипом. Список поддерживаемых устройств.

Назначение локального IP адреса

После добавления портов в Bridge нужно назначить статический IP адрес и правильней всего это указать в качестве интерфейса созданный bridge-1. С этого момента любая настройка адресации или маршрутизации в роутере MikroTik будет осуществляться через bridge-1.

1. Нажать + и добавить новый IP адрес;
2. Заполнить параметры: Address, Interface.

При заполнение IP адреса важно указать маску подсети. Это частая опечатка может произвести к отсутствию отклика от роутера MikroTik. При этом значение Network заполнится автоматически.

установка ip адреса на выбранный интерфейс

/ip address add address=192.168.0.1/24 interface=bridge-1 network=192.168.0.0

Настройка DCHP сервера в MikroTik

DHCP сервер занимается выдачей IP адресов всем устройствам, которые отправляют соответствующий запрос. Это незаменимая опция при настройке WiFi на роутере MikroTik, но и также облегчает обслуживание локальной сети в этом вопросе.

Будет состоять из 3-ёх пунктов:

Определение диапазона назначаемых IP адресов

1. Нажать + и добавить новый IP Pool;
2. Заполнить параметры: Name, Addresses.

Диапазон Addresses содержит IP адреса для всех клиентов роутера MikroTik и часто принимает значение или как показано на изображении или 192.168.0.100-192.168.0.254. Это даст возможность указывать статические IP адреса для: сервера, принтера, видеорегистратора, IP камеры и тд.

/ip pool add name=pool-1 ranges=192.168.0.2-192.168.0.254

Задание сетевых настроек для клиента

1. Нажать + и добавить новую DHCP сеть;
2. Заполнить параметры: Address, Gateway, Netmask, DNS Server.

• Netmask = 24 – это эквивалент привычному значению 255.255.255.0;
• Gateway -шлюз по умолчанию(роутер MikroTik);
• DNS Servers – DNS сервер, который будет выдан клиенту. В данном случае это также роутер MikroTik.

/ip dhcp-server network add address=192.168.0.0/24 dns-server=192.168.0.1 gateway=192.168.0.1 netmask=24

Общие настройки MikroTik DCHP сервера

1. Нажать + и добавить новый DHCP сервер;
2. Заполнить параметры: Interface, Address Pool.

/ip dhcp-server add address-pool=pool-1 disabled=no interface=ether-1 lease-time=1w name=server-1

Дополнение: если DHCP нужно применить к одному из портов bridge, то в качестве интерфейса нужно указать именно этот bridge.

Add ARP For Leases — добавляет MAC адрес устройства в таблицу ARP, которому был выдан IP адрес. Можно использовать в качестве блокировки статических IP. Без присутствия соответствующего MAC в таблице ARP пакеты с данного устройства не будут обрабатываться.

Настройка MikroTik DNS

В рамках данной инструкции по настройке роутера MikroTik будет рассмотрена конфигурация, когда сам роутер выступает в качестве DNS сервера. Это имеет несколько преимуществ:

• DNS записи кэшируются на локальный роутер MikroTik, доступ к которому в разы быстрее чем к DNS серверу провайдера;
• Если к роутеру подключено 2 провайдера, не будет возникать конфликтов по доступу к DNS серверам 1-ого или 2-ого провайдера. DNS сервер один – роутер MikroTik.

Для такой конфигурации DNS сервера нужно:

1. Задать внешние DNS сервера в параметре Servers. Это может быть DNS сервера Google: 8.8.8.8 и 8.8.4.4 или Cloudflare: 1.1.1.1 и 1.0.0.1;
2. Активировать параметр Allow Remote Requests. Это разрешит внешним запросам обращаться к роутеру MikroTik как к DNS серверу;
3. Обратить внимание на Cache Size. В больших сетях(от 100 узлов) его стоит увеличить в 2 или 3 раза. По умолчанию его значение = 2048Кб.

DNS сервера Google

/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4

DNS сервера Cloudflare

/ip dns set allow-remote-requests=yes servers=1.1.1.1,1.0.0.1

Настройка Интернета на роутере MikroTik

Для настройки интернета на роутере MikroTik нужно совершить два действия:

• определить тип подключения на определенном порту(куда вставлен провайдер);
• активировать функцию NAT (masquerade).

Настройка DHCP client в MikroTik

Это самый распространённый тип подключения интернета на роутерах MikroTik. На указанный порт(ether1) будут приходить настройки от интернет провайдера. DHCP клиент не только облегчает настройку интернета, но и служит индикатором, когда услуга отсутствует на линии(не работает интернет), но и также позволяется добавить скрипт, который будет выполняться при изменении значения Status.

1. Нажать + и добавить новый DHCP  клиент;
2. Выбрать интерфейс, на котором подключен интернет в роутер MikroTik;
3. Остальные параметры оставить без изменений.

/ip dhcp-client
add add-default-route=no dhcp-options=hostname,clientid disabled=no \
interface=ether1

Опцией Add Default Route можно манипулировать, но выключенное состояние потребует ручного добавления маршрута. Это может стать полезным при использовании балансировки между несколькими линиями интернета.

Настройка статического IP в MikroTik

Настройка статического IP адреса в роутере MikroTik ни чем не отличается от аналогичной настройки любого сетевого устройства и состоит из трех разделов:

1. Настройка IP адреса на интерфейсе;
2. Создание статического маршрута.

Установка IP адреса на выбранный интерфейс

1. Нажать + и добавить новый IP адрес;
2. Заполнить параметры: Address, Interface.

Популярные маски подсети:

• IP-Address/31 – 255.255.255.254
• IP-Address/30 – 255.255.255.252
• IP-Address/29 – 255.255.255.248
• IP-Address/28 – 255.255.255.240
• IP-Address/27 – 255.255.255.224
• IP-Address/26 – 255.255.255.192
• IP-Address/25 – 255.255.255.128
• IP-Address/24 – 255.255.255.0

/ip address add address=81.21.12.15/27 interface=ether1 network=81.21.12.0

Добавление статического маршрута(шлюз по умолчанию)

1. Нажать + и добавить новый статический маршрут в MikoTik;
2. Заполнить параметры: Gateway.

• Dst. Address = 0.0.0.0/0 – типичное обозначение для любого трафика. Таким значением в MikroTik необходимо определять интернет трафик;
• Gateway – это шлюз по умолчанию со стороны интернет провайдера, который подключен к роутеру MikroTik.

/ip route
distance=1 gateway=81.21.12.1

Настройка PPPoE в MikroTik

PPPoE сохраняет свою популярность при настройке интернета на роутере MikroTik.

1. Нажать + и добавить новое PPPoE подключение;
2. Заполнить параметры: Interfaces, User, Password.

• Interfaces – интерфейс роутера MikroTik, на котором подключен интернет;
• User, Password – параметры для подключения интернета, выдаются провайдером.

В случае успешного соединения, на PPPoE интерфейсе будет определен статус RUN.

/interface pppoe-client
add add-default-route=yes disabled=no interface=ether-1 name=\
pppoe-out password=PASSWORD use-peer-dns=yes user=USER

Настройка MikroTik NAT

NAT это механизм, который позволяет преобразовывать IP адреса для транзитных пакетов. Именно NAT является основной настройкой, которая обычное устройство MikroTik преобразовывает в роутер.

1. Нажать + и добавить новое правило NAT;
2. Установить Chain = srcnat;
3. Out Interface = интерфейс с интернетом;
4. Action = Masquerade.

Masquerade это основное правило NAT для работы интернета на роутере MikroTik.

правило для работы интернета

/ip firewall nat add action=masquerade chain=srcnat out-interface=ether1

Дополнение: srcnat можно использовать ещё в ситуации, когда на исходящем порту несколько ip адресов: провайдер выделил диапазон адресов на одном проводном подключении.

Настройка WiFi на роутере MikroTik

Рассмотрим ситуацию, когда у роутера MikroTik имеется два WiFi модуля 2.4ГГц и 5ГГц. Такая конфигурация позволит одновременно работать в двух разных диапазонах. Для их включения нужно последовательно настроить каждый из них.

Первым делом нужно настроить конфигурацию безопасности. Если локальная сеть не содержит гостевой сети, можно отредактировать конфигурацию по умолчанию.

Настройка пароля для WiFi в MikroTik

1. Открыть профиль default для установки пароля WiFi ;
2. Установить Mode = dynamic keys;
3. Authentication Types = WPA2 PSK;
4. Chiphers = aes com;
5. WPA2 Pre-Shared Key – пароль для WiFi.

/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" \
group-key-update=1h mode=dynamic-keys supplicant-identity=MikroTik \
wpa2-pre-shared-key=12345678

Настройка WiFi на частоте 2,4ГГц

Роутер MikroTik не будет блокировать настройку конфигурации WiFi если задать одно SSID имя. WiFi сигналы будут распространяться на абсолютно разных антеннах и в разных частотных диапазонах.

1. Открыть WiFi интерфейс wlan1;
2. Установить режим работы точки доступа Mode = ap bridge;
3. Поддерживаемые стандарты WiFi Band = 2Ghz-B/G/N;
4. Ширину канала Channel Width =20/40Mhz Ce;
5. Частоту WiFi Frequency = auto;
6. Имя WiFi сети SSID = MikroTik;
7. Пароль для WiFi Security Profile = default.

/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \
disabled=no distance=indoors frequency=auto mode=ap-bridge ssid=Mikrotik \
wireless-protocol=802.11

Настройка WiFi на частоте 5ГГц

1. Открыть WiFi интерфейс wlan2;
2. Установить режим работы точки доступа Mode = ap bridge;
3. Поддерживаемые стандарты WiFi Band = 5Ghz-A/N/AC;
4. Ширину канала Channel Width =20/40/80Mhz Ceee;
5. Частоту WiFi Frequency = auto;
6. Имя WiFi сети SSID = MikroTik;
7. Пароль для WiFi Security Profile = default.

/interface wireless
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=\ 20/40/80mhz-Ceee disabled=no frequency=auto mode=ap-bridge \ security-profile=profile1 ssid=TopNet

Важно принимать факт нахождения WiFi интерфейса в составе bridge, без этой настройки WiFi клиенты не смогут получит IP адрес(dhcp сервер настроен на bridge), взаимодействовать с локальной сетью и будут ограничены доступом в интернет.

Проброс портов(port forwarding) в роутере MikroTik

Проброс портов это популярная функция любого роутера MikroTik, которая обеспечивает удаленный доступ к локальному ресурсу: VPN серверу, видеорегистратору, web сайту и тд. Для настройки проброса порта в роутере MikroTik следует добавить правило:

1. Нажать + и добавить новое правило NAT;
2. Выбрать Chain=dstnat;
3. Dst. Address = внешний адрес роутера MikroTik;
4. Protocol = tcp;
5. Dst. Port = 80,443;
6. In. Interface = интерфейс с интернет провайдером;
7. Action = dst-nat;
8. To Addresses = IP адрес во внутренней сети.

• Цепочка dstnat – весь входящий трафик;
• To Ports – можно не заполнять, если их значения совпадают с Dst. Port.

В данном примере рассмотрен проброс портов http и https для web сервера, который находится в локальной сети.

/ip firewall nat add action=dst-nat chain=dstnat dst-address=10.10.10.52 dst-port=80,443 \
in-interface=ether1 protocol=tcp to-addresses=192.168.0.2