Настройка маршрутизатора Mikrotik — пошаговая универсальная инструкция

MAC Connectivity Access

By default mac server runs on all interfaces, so we will disable default all entry and add a local interface to disallow MAC connectivity from the WAN port. MAC Telnet Server feature allows you to apply restrictions to the interface «list».

First, create an interface list:

[admin@MikroTik] > /interface list add name=listBridge

Then, add your previously created bridge named «local» to the interface list:

[admin@MikroTik] > /interface list member add list=listBridge interface=local

Apply newly created «list» (of interfaces) to the MAC server:

[admin@MikroTik] > tool mac-server set allowed-interface-list=listBridge 

Do the same for Winbox MAC access

[admin@MikroTik] > tool mac-server mac-winbox set allowed-interface-list=listBridge 

• Open Interfaces → Interface List → Lists window and add a new list by clicking «+»;
• Input the interface list name «listBridge» into the Name field and click OK;
• Go back to the Interfaces → Interface List section and click «+»;
• Select «listBridge» from the dropdown List options and select «local» from the dropdown Interface options and click OK;
• Open Tools -> Mac Server window;
• Click on the «MAC Telnet Server» button, a new dialog will open;
• Select the newly created list «listBridge» from the dropdown list and click on OK button to apply settings.

Protecting the Clients

Now it is time to add some protection for clients on our LAN. We will start with a basic set of rules.

/ip firewall filter add chain=forward action=fasttrack-connection connection-state=established,related \ comment="fast-track for established,related"; add chain=forward action=accept connection-state=established,related \ comment="accept established,related"; add chain=forward action=drop connection-state=invalid add chain=forward action=drop connection-state=new connection-nat-state=!dstnat \ in-interface=ether1 comment="drop access to clients behind NAT from WAN"

A ruleset is similar to input chain rules (accept established/related and drop invalid), except the first rule with action=fasttrack-connection. This rule allows established and related connections to bypass the firewall and significantly reduce CPU usage.

Another difference is the last rule which drops all new connection attempts from the WAN port to our LAN network (unless DstNat is used). Without this rule, if an attacker knows or guesses your local subnet, he/she can establish connections directly to local hosts and cause a security threat.

Verify Connectivity

After successful configuration, you should be able to access the internet from the router.

Verify IP connectivity by pinging known IP address (google DNS server for example)

[admin@MikroTik] > /ping 8.8.8.8
HOST SIZE TTL TIME STATUS
8.8.8.8 56 47 21ms
8.8.8.8 56 47 21ms

Verify DNS request

[admin@MikroTik] > /ping www.google.com
HOST SIZE TTL TIME STATUS
173.194.32.49 56 55 13ms
173.194.32.49 56 55 12ms

If everything is set up correctly, ping in both cases should not fail.

In case of failure refer to the troubleshooting section

CLI

There are several ways how to access CLI:

• Winbox terminal menu
• Telnet
• SSH
• serial cable etc.

If your device has a Serial port, you can use a console cable (or Null modem cable)

115200bit/s, 8 data bits, 1 stop bit, no parity, flow control=none by default.

RouterBOARD 230 parameters are:

9600bit/s, 8 data bits, 1 stop bit, no parity, hardware (RTS/CTS) flow control by default.

MikroTik 4.15
MikroTik Login: MMM MMM KKK TTTTTTTTTTT KKK MMMM MMMM KKK TTTTTTTTTTT KKK MMM MMMM MMM III KKK KKK RRRRRR OOOOOO TTT III KKK KKK MMM MM MMM III KKKKK RRR RRR OOO OOO TTT III KKKKK MMM MMM III KKK KKK RRRRRR OOO OOO TTT III KKK KKK MMM MMM III KKK KKK RRR RRR OOOOOO TTT III KKK KKK MikroTik RouterOS 4.15 (c) 1999-2010 http://www.mikrotik.com/
[admin@MikroTik] > 

Detailed description of CLI login is in login process section.

Monitor and Keyboard

If your device has a graphics card (ie. regular PC) simply attach a monitor to the video card connector of the computer (note: RouterBOARD products don’t have this, so use Method 1 or 2) and see what happens on the screen. You should see a login promt like this:

MikroTik v3.16
Login:

 MMM MMM KKK TTTTTTTTTTT KKK MMMM MMMM KKK TTTTTTTTTTT KKK MMM MMMM MMM III KKK KKK RRRRRR OOOOOO TTT III KKK KKK MMM MM MMM III KKKKK RRR RRR OOO OOO TTT III KKKKK MMM MMM III KKK KKK RRRRRR OOO OOO TTT III KKK KKK MMM MMM III KKK KKK RRR RRR OOOOOO TTT III KKK KKK MikroTik RouterOS 3.16 (c) 2008 http://www.mikrotik.com/Terminal ansi detected, using single line input mode
[admin@router] >

Now you can start configuring the router, by issuing the setup command.

This method works with any device that has a video card and keyboard connector

Что нужно сделать после настройки MikroTik

Базовая настройка MikroTik для подступа в интернет закончена. Мы настроили WAN подключение до провайдера, сконфигурировали локальную и беспроводную сеть, выполнили настройку firewall и NAT.

Хочется дать несколько рекомендаций, которые повысят безопасность и надежность работы маршрутизатора MikroTik.

Создать нового пользователя

Создание нового пользователя с уникальным именем и сложным паролем будет дополнительной защитой от брутфорс атак.

• System => Users => «+».

После чего отключим системную учетную запись.

Отключить неиспользуемые сервисы

Если вы не собираетесь настраивать MikroTik через веб-интерфейс, telnet и тому подобное, то есть смысл отключить данные сервисы, так как они могут нести потенциальную опасность.

• IP => Service.

Таким образом, мы оставили возможность подключения по ssh и Winbox.

Настроить правильное время

Настроить правильное время важно по нескольким причинам:

• Неудобно анализировать лог-файлы;
• Может не работать IPSEC;
• Могут не работать сертификаты.

Для синхронизации времени на MikroTik есть встроенный SNTP-клиент.

Отключить службу MAC-Telnet и протокол MNDP

MNDP – это служба обнаружения маршрутизаторов в сети. С ее помощью MikroTik получают информацию друг о друге. Протокол передает данные о версии ОП и некоторых функциях, которые включены в роутере.

Однако если в сети несколько роутеров Микротик или Cisco, то эта функция будет полезна. Настроим ее следующим образом:

• Добавим новый Interface List.

Назначим ему интерфейс локальной сети(LAN).

• IP => Neighbors.

Аналогичным образом сконфигурируем MAC-Telnet.

• Tools => MAC Server.

Экспорт конфигурации

MikroTik сконфигурирован и готов к работе. На этом этапе необходимо сделать полную резервную копию системы в *.rsc формате.

RSC файл содержит настройки системы записанную командами, его можно открыть в текстовом редакторе, развернуть на другом оборудовании и многое другое.

Экспорт делается командой: export file=full—system

Где full-system – это произвольное имя файла.

Сохраним созданный бэкап:

Нажимаем на файл левой кнопкой мыши, перетаскиваем его в любое место рабочего стола.

Не подходит – Сброс настроек на заводские

Но обычно пароль MikroTik не подходит по другой причине – он уже был ранее установлен на другой. И единственный разумный способ сделать его стандартным – сбросить на заводские настройки железно.

И тут нужно отметить – МикроТик заморочились и сделали сброс очень нестандартным. Т.е. нажать кнопку и подождать 3 секунды – здесь это не работает. Очень краткий принцип сброса (лучше посмотреть про свою модель ниже):

• Выключаем роутер из сети. Лампочки потухли.
• Ищем кнопку RESET (бывает вынесена, бывает на плате). Зажимаем ее.
• Подаем питание.
• Лампочки моргнут (возможен писк) – отпускаем RESET (не держим дольше, а то потратим время на еще одну переустановку системы, читайте ниже).

Запутанно? Так можно сбрасывать и до разных состояний, да и сами алгоритмы могут различаться. Именно поэтому у нас есть отдельная статья:

Troubleshoot if ping fails

The problem with the ping tool is that it says only that destination is unreachable, but no more detailed information is available. Let’s overview the basic mistakes.

You cannot reach www.google.com from your computer which is connected to a MikroTik device:

If you are not sure how exactly configure your gateway device, please reach MikroTik’s official consultants for configuration support.

Обновление прошивки

Прошивку вашего маршрутизатора стоит обновить, если установлена не самая последняя версия.

Самый простой способ для новичков – обновить прошивку микротик через Winbox в автоматическом режиме. Роутер должен быть подключен к интернету.

Запускаем WinBox, заходим в Quick Set и в разделе System жмём Check For Updates. Если будет обнаружена обновлённая версия ПО, роутер предложит обновиться.

Чтобы запустить процесс, нажмите кнопку Download & install.

Обновление занимает порядка 5 минут. В течение этого времени не отключайте интернет и не выключайте роутер.

После завершения установки маршрутизатор сам перезагрузится. Войдите на него через WinBox, чтобы завершить процедуру.

На первом этапе вы обновили пакеты. Теперь нужно обновить Firmware, то есть сам интерфейс управления.

В меню слева открываем вкладку System – Routerboard и сравниваем информацию в полях Current Fimware (текущая версия) и Upgrade Fimware (обновлённая версия).

Если цифры отличаются, нажимаем кнопку Upgrade и, после того как появится окно с сообщением о том, что процесс обновления прошивки Mikrotik завершён, вручную перезапускаем роутер.

Прошивку также можно обновить, скачав её с сайта Mikrotik. В разделе «Загрузки» найдите версию ПО для вашего роутера и загрузите на компьютер. В WinBox открываем раздел Files, жмём Upload и указываем на скачанную прошивку. После завершения перезагружаемся.

Базовая настройка MikroTik с нуля при помощи Winbox

Как говорилось ранее, базовая настройка MikroTik с нуля будет выполняться с помощью фирменной утилиты Winbox. Запустим Winbox и подключимся к маршрутизатору по MAC адресу:

Установка пароля

Так как на MikroTik пароль по умолчанию отсутствует, то его следует обязательно назначить сразу же после подключения.

• System => Password.

MikroTik настройка WAN

Если объяснять своими словами, WAN — это интернет. Если говорим о роутере, то подразумевается разъем, куда подключается кабель интернет-провайдера. В Mikrotik для WAN может быть назначен любой порт, но мы настроим соединение с провайдером на первом порту(Ether1).

В MikroTik настройка интернета начинается с того, что нам нужно определить тип соединения, предоставляемый провайдером. Такая информация прописывается в договоре.

Есть 3 основных типа подключения:

• PPPoE;
• Динамический IP (Automatic);
• Статический IP (Static);

Рассмотрим настройку каждого из них.

PPPoE

Это протокол для передачи данных. Сегодня редко используется провайдерами для предоставления своих услуг, уступая место более надежным и современным видам подключений.

Чтобы создать подключение:

• PPP;
• Добавим новый интерфейс:
  • Interface => «+» ;
  • PPPoE Client.

Выполним настройку PPPoE-клиента для подключения к провайдеру:

На вкладке Dial Out сконфигурируем подключение, указав свои данные:

• Логин и пароль подключения (эти данные можно взять из договора с интернет-провайдером).

• Use Peer DNS – если мы хотим указать свои DNS сервера, то нужно снять галочку с этого пункта. В нашем примере мы будем использовать DNS провайдера, поэтому оставим это поле без изменений;
• Add Default Route – маршрут по умолчанию будет прописываться автоматически;
• OK.

Настройка WAN: Динамический IP

Данный вид настройки подключения MikroTik для доступа в интернет считается самым простым, так как все нужные сетевые значения, присваиваются автоматически. Нам только нужно создать DHCP-клиент и указать ему интерфейс. Делается это следующим образом:

В данной настройке WAN подключения интерфейс Ether1 получит сетевые настройки автоматически от провайдера. Если мы хотим указать свои DNS сервера, то необходимо снять галочку с пункта «Use Peer DNS».

Если мы все сделали правильно, то в поле IP Address отобразится наш IP и статус подключения (Status) изменится на значение bound (связанный). Соединение с интернетом установлено.

Не забывайте, что если у провайдера есть привязка к MAC-адресу оборудования, то даже правильное выполнение всех перечисленных действий не даст результата. После окончания настройки необходимо позвонить провайдеру и “привязать” маршрутизатор.

Настройка WAN: статический IP

MikroTik настройка интернета со статическим адресом. При таком типе подключения мы получаем основные сетевые настройки от провайдера и настраиваем WAN подключение вручную. Для наглядности представим, что получили от интернет-провайдера следующие параметры подключения:

• IP: 172.16.13.25;
• Subnet Mask: 255.255.255.0;
• Gateway: 172.16.13.254;
• DNS: 172.16.13.254.

• IP => Addresses => «+»;

Обратите внимание, что маску подсети можно указать полным форматом, как показано на рисунке выше. Так и сокращенным: 172.16.13.25/24.

Следующим этапом настройки добавим шлюз (Gateway), еще его называют «маршрут по умолчанию». Для этого откроем:

• IP => Routes => «+».

Добавим WAN в Interface List

Чтобы дальнейшая настройка Микротик была универсальна независимо от того, какой тип WAN подключения вы используете, добавим WAN-интерфейс в новый Interface List.

Создадим новый интерфейс лист с именем «ISP»:

Если тип подключение PPPoE, то добавлять надо именно это соединение (pppoe-out1).

На данном этапе настройки роутера MikroTik должен появиться доступ в интернет на самом устройстве. Проверить это можно, запустив терминал (New Terminal), и опросить какой-нибудь узел глобальной сети, например ya.ru:

Мы видим время ответа узла, значит, настройка WAN выполнена правильно и MikroTik выходит в глобальную сеть.

MikroTik настройки LAN

В следующем шаге базовой настройки MikroTik мы объединим порты и беспроводные адаптеры в одну локальную сеть, настроим автоматическое получение основных сетевых настроек и разрешим хостам этой сети доступ в интернет.

Интерфейс Bridge

Чтобы объединить порты и wi-fi адаптеры в локальную сеть, необходимо создать интерфейс Bridge. Давайте посмотрим, как это сделать:

 На вкладке «Ports»:

Добавим все порты (кроме WAN) и беспроводные адаптеры в интерфейс Bridge1, как показано на рисунке выше. По окончании настройки у нас должно получиться следующее:

Настройка IP внутренней сети (LAN):

Назначим для внутренней подсети 12 сегмент и внутренний адрес маршрутизатора Mikrotik 192.168.12.254:

Создание и настройка DHCP-сервера

DHCP Server (Dynamic Host Configuration Protocol) – это сетевой протокол, который динамически назначает необходимые для работы в сети значения: IP адрес, маску подсети, шлюз и др.

На MikroTik настройка DHCP Server выполняется следующим образом:

• IP => DHCP Server => DHCP => DHCP Setup.

Укажем интерфейс, на котором будет работать DHCP-сервер (Bridge1). Назначим адресное пространство локальной сети.

Время на которое выдавать сетевые настройки хостам локальной сети:

Настройка DHCP сервера закончена.

MikroTik настройка DNS

Разрешим MikroTik обрабатывать запросы и выступать в роли DNS-сервера.

Для более глубокого понимания настроек ДНС изучите статью Настройка DNS сервера на MikroTik.

Базовая настройка MikroTik: Firewall и NAT

NAT

Создадим универсальное правило:

• IP => Firewall => NAT => «+».

На этом этапе должен появиться доступ в интернет на хостах локальной сети.

Если вы хотите более детально изучить тему NAT, то ознакомьтесь со статьей: MikroTik проброс портов и настройка NAT для доступа в интернет.

Firewall

Основная задача брандмауэра, на основании правил разрешает или запрещает передачу данных из одной сети в другую. Бывает два типа настроек межсетевых экранов.

• Нормально открытый (все разрешено, что не запрещено);
• Нормально закрытый (все запрещено, что не разрешено).

В этом примере мы покажем настройку конфигурации нормально закрытого брандмауэра без детального пояснения. Если вы хотите получить более полное понимание данной темы, то прочитайте MikroTik настройка Firewall: Правильная настройка безопасности роутера. Откроем:

• IP => Firewall => Filter Rules => «+».

Цепочка input

Разрешим все установленные и связанные соединения:

Запретить недействительные соединения:

Разрешить DNS запросы всем, кроме WAN-интерфейсов:

Обязательно поставьте «!» на In. Interface List, иначе Микротик будет принимать и обрабатывать запросы не только из локальной сети, но и глобальной.

Разрешить доступ Winbox:

Запрещаем остальные соединения:

Цепочка forward

Разрешаем все установленные и связанные соединения.

Запрещаем «invalid connection».

Запретить все, кроме NAT в WAN.

Итоговая конфигурация firewall:

MikroTik настройка беспроводной точки доступа

Для настройки сети Wi-Fi необходимо создать профиль безопасности и выполнить конфигурирование модулей 2.4Ghz (wlan1) и 5Ghz (wlan2), в случае его наличия.

Security Profiles

Сперва создадим профиль безопасности, где укажем его имя, тип шифрования и пароль для нашей сети Wi-Fi.

• Wireless => Security Profiles => «+».

MikroTik настройка wlan1

Перейдем к конфигурированию wlan1 (беспроводной модуль 2.4Ghz). На вкладке «WiFi Interfaces» двойным нажатием откроем его свойства, перейдя на пункт меню «Wireless», нажмем кнопку «Advanced Mode», чтобы отобразить расширенные свойства:

Сконфигурируем интерфейс wlan1 следующим образом:

Пункт меню «Advanced»:

Пункт меню «HT», проверяем, активны ли обе внутренние антенны:

На вкладке «Tx Power» устанавливаем мощность приемника сигнала:

MikroTik настройка wlan2

Настройка интерфейса wlan2 (беспроводной модуль 5Ghz) проходит аналогичным образом:

Подробное описание и значение параметров беспроводной сети вы можете изучить в статье: MikroTik настройка Wi-Fi.

Кратко

Подключение

На этом этапе кабель от провайдера к роутеру не подключаем. Подсоединяем штекер адаптера питания к разъёму на корпусе. Патч-кордом соединяем любой порт на роутере, кроме первого (он зарезервирован под интернет), с разъёмом сетевой карты компьютера.

Включаем питание роутера. На компьютере запускаем утилиту WinBox.

NAT

Чтобы интернет работал не только на роутере, но и на подключенных к нему устройствах, нужна настройка <span aria-describedby="tt" data-cmtooltip="

» data-hren=»https://help-wifi.ru/glossary/nat/» data-gt-translate-attributes=»[{"attribute":"data-cmtooltip", "format":"html"}]»>NAT. На домашних маршрутизаторах <span aria-describedby="tt" data-cmtooltip="

» data-hren=»https://help-wifi.ru/glossary/nat/» data-gt-translate-attributes=»[{"attribute":"data-cmtooltip", "format":"html"}]»>NAT работает по умолчанию. Но мы же Mikrotik настраиваем, а не какой-то там TP-Link!

Открываем IP – Firewall, вкладка <span aria-describedby="tt" data-cmtooltip="

» data-hren=»https://help-wifi.ru/glossary/nat/» data-gt-translate-attributes=»[{"attribute":"data-cmtooltip", "format":"html"}]»>NAT. Нажимаем плюс. Откроется окно настроек. На вкладке General в пункте Out. Interface нужно указать ether_<span aria-describedby="tt" data-cmtooltip="

» data-hren=»https://help-wifi.ru/glossary/wan/» data-gt-translate-attributes=»[{"attribute":"data-cmtooltip", "format":"html"}]»>wan.

Во вкладке Action из выпадающего списка выбираем masquerade.

Жмём ОК. Всё, теперь ваши устройства могут выходить в интернет. Пока что только по кабелю.

Configuring IP Access

Since MAC connection is not very stable, the first thing we need to do is to set up a router so that IP connectivity is available:

• add bridge interface and bridge ports;
• add an IP address to LAN interface;
• set up a DHCP server.

Set bridge and IP address are quite easy:

/interface bridge add name=local
/interface bridge port add interface=ether2 bridge=local
/ip address add address=192.168.88.1/24 interface=local

If you prefer WinBox/WeBfig as configuration tools:

• Open Bridge window, Bridge tab should be selected;
• Click on the + button, a new dialog will open, enter bridge name local and click on OK;
• Select the Ports tab and click on the + button, a new dialog will open;
• select interface ether2 and bridge local form drop-down lists and click on the OK button to apply settings;
• You may close the bridge dialog.

• Open Ip -> Addresses dialog;
• Click on the + button, a new dialog will open;
• Enter IP address 192.168.88.1/24 select interface local from the drop-down list and click on OK button;

The next step is to set up a DHCP server. We will run the setup command for easy and fast configuration:

 [admin@MikroTik] /ip dhcp-server setup [enter] Select interface to run DHCP server on dhcp server interface: local [enter] Select network for DHCP addresses dhcp address space: 192.168.88.0/24 [enter] Select gateway for given network gateway for dhcp network: 192.168.88.1 [enter] Select pool of ip addresses given out by DHCP server addresses to give out: 192.168.88.2-192.168.88.254 [enter] Select DNS servers dns servers: 192.168.88.1 [enter] Select lease time lease time: 10m [enter]

Notice that most of the configuration options are automatically determined and you just simply need to hit the enter key.

The same setup tool is also available in WinBox/WeBfig:

• Open Ip -> DHCP Server window, DHCP tab should be selected;
• Click on the DHCP Setup button, a new dialog will open, enter DHCP Server Interface local and click on Next button;
• Follow the wizard to complete the setup.

Now connected PC should be able to get a dynamic IP address. Close the Winbox and reconnect to the router using IP address (192.168.88.1)

Особенности Mikrotik

Все роутеры Mikrotik работают под управлением собственной операционной системы RouterOS. Так что, единожды разобравшись с базовыми функциями, можно справиться с настройкой любой модели этого разработчика. Это хорошая новость. И сразу плохая. Здесь нет интуитивно понятного веб-интерфейса и милого сердцу домашнего пользователя мастера быстрой настройки. Точнее, интерфейс есть. И даже есть режим Quick Set, который вроде бы как призван помочь быстро запустить маршрутизатор с заводскими параметрами. Но всё это выглядит непривычно, сложно и не всегда поддаётся осмыслению. Настройка из командной строки через <span aria-describedby="tt" data-cmtooltip="

» data-hren=»https://help-wifi.ru/glossary/telnet/» data-gt-translate-attributes=»[{"attribute":"data-cmtooltip", "format":"html"}]»>Telnet или SSH — вообще нечто запредельное для обычного юзера. Поэтому большинство пользователей настраивают Микротики через утилиту WinBox.

Роутеры Mikrotik имеют множество специфических функций, позволяют реализовать сложные решения и не уступают по своим характеристикам профессиональным маршрутизаторам других производителей. При этом стоимость их значительно ниже, что позволяет конкурировать с тем же Cisco, у которого аналоги вдвое дороже. Но при этом Mikrotik уступает Кинетикам и ТП-Линкам в плане весьма важной для домашних роутеров универсальности. Если вам нужно устройство «всё в одном», то это не про Mikrotik. К примеру, Wi-Fi со встроенными антеннами здесь довольно слабый. А у многих моделей он просто отсутствует.

Преимущества Микротиков сводятся к следующему:

• Функциональность на уровне Cisco, Juniper и другого профессионального железа.
• Надёжность и стабильность. Включил, настроил и забыл.
• Низкая цена по сравнению с прямыми конкурентами.

Недостатков тоже достаточно:

• Сложность настройки. Если вы не сетевой админ, придётся вникать в многочисленные нюансы.
• Отсутствие универсальности. В этом Mikrotik проигрывает большинству домашних роутеров.
• Оборудование мало распространено, поэтому сложно найти специалистов, которые умеют с ним работать. Придётся разбираться самостоятельно.

Но это всё была лирика. Перейдём теперь к практике.

Router interface

It is good practice to disable all unused interfaces on your router, in order to decrease unauthorised access to your router.

/interface print
/interface set x disabled=yes

• x numbers of the unused interfaces.

Some RouterBOARDs have LCD module for informational purpose, set pin or disable it.

/lcd set enabled=no

Setting up Wireless

For ease of use bridged wireless setup will be made so that your wired hosts are in the same Ethernet broadcast domain as wireless clients.

The important part is to make sure that our wireless is protected, so the first step is the security profile.

Security profiles are configured from /interface wireless security-profiles menu in a terminal.

/interface wireless security-profiles add name=myProfile authentication-types=wpa2-psk mode=dynamic-keys \ wpa2-pre-shared-key=1234567890

in Winbox/Webfig click on Wireless to open wireless windows and choose the Security Profile tab.

If there are legacy devices that do not support WPA2 (like Windows XP), you may also want to allow WPA protocol.

Now when the security profile is ready we can enable the wireless interface and set the desired parameters

/interface wireless enable wlan1; set wlan1 band=2ghz-b/g/n channel-width=20/40mhz-Ce distance=indoors \ mode=ap-bridge ssid=MikroTik-006360 wireless-protocol=802.11 \ security-profile=myProfile frequency-mode=regulatory-domain \ set country=latvia antenna-gain=3

To do the same from Winbox/Webfig:

• Open Wireless window, select wlan1 interface, and click on the enable button;
• Double click on the wireless interface to open the configuration dialog;
• In the configuration dialog click on the Wireless tab and click the Advanced mode button on the right side. When you click on the button additional configuration parameters will appear and the description of the button will change to Simple mode;
• Choose parameters as shown in the screenshot, except for the country settings and SSID. You may want to also choose a different frequency and antenna gain;
• Next, click on the HT tab and make sure both chains are selected;
• Click on the OK button to apply settings.

The last step is to add a wireless interface to a local bridge, otherwise connected clients will not get an IP address:

/interface bridge port add interface=wlan1 bridge=local

Now wireless should be able to connect to your access point, get an IP address, and access the internet.

Access to a router

/user add name=myname password=mypassword group=full
/user remove admin

MikroTik routers requires password configuration, we suggest to use pwgen or other password generator tool to create secure and non-repeating passwords,

/user set 0 password="!={Ba3N!"40TуX+GvKBz?jTLIUcx/,"

Another option to set a password,

/password 

We strongly suggest to use second method or Winbox interface to apply new password for your router, just to keep it safe from other unauthorised access.

Access by IP address

/user set 0 allowed-address=x.x.x.x/yy

x.x.x.x/yy — your IP or network subnet that is allowed to access your router.

Wi-Fi

Для того, чтобы использовать беспроводную сеть на Mikrotik, потребуется настройка Wi-Fi точки доступа. На микротиках обычно уже есть беспроводная сеть с открытым доступом. Что не есть хорошо. Но заводские настройки мы снесли в самом начале, поэтому ничто не мешает нам выставить параметры с чистого листа.

• Входим в раздел Wireless. Беспроводная сеть у нас выключена. Поэтому выбираем wlan1 и кликаем на синюю галочку.
• Открываем вкладку Security profiles.
• Кликаем дважды по профилю default. Имя профиля менять не обязательно. В поле Mode указываем dynamic keys.
• Отмечаем галочками WAP PSK, WAP2 PSK, aes ccm.
• В полях WPА и WAP2 Pre-Shared Key вписываем пароль посложнее.
• Жмём ОК и идём на вкладку Interfaces.
• Дважды кликаем на wlan1.
• В поле Mode обязательно выбираем ap bridge. <span aria-describedby="tt" data-cmtooltip="
  SSID
  SSID —  это имя сети, название или идентификатор, по которому можно обнаружить доступную для соединения точку доступа.

  » data-hren=»https://help-wifi.ru/glossary/ssid/» data-gt-translate-attributes=»[{"attribute":"data-cmtooltip", "format":"html"}]»>SSID – имя Wi-Fi сети. Можете вписать что угодно. Security Profile — это профиль безопасности, который мы только что редактировали. Если вы не переименовали его, оставьте default. В ином случае укажите то имя, которое вы ему присвоили.

Остальное, в принципе, должно быть понятно. Wireless protocol и другие параметры оставьте без изменений или сделайте как на скриншоте.

Подтверждаем настройки и таким же образом настраиваем wlan2, если ваш роутер поддерживает частоту 5 ГГц.

Пошаговая настройка роутера MikroTik

Подключиться к маршрутизатору можно через веб-интерфейс или через специальную программу. В первом случае есть шанс, что все получится сделать через быструю настройку. Для базовой настройки этот способ подходит лучше.

Если же планируете настраивать дополнительные функции, то стоит использовать винбокс, потому что через него получается быстрее работать с системой, переключение между параметрами и вкладками также осуществляется быстрее.

Через Webfig

После этого, в верхнем правом углу нажмите на “Quick Set”, чтобы перейти в раздел быстрых настроек. Здесь отображены не все возможности, но если он вам подойдет, то стоит использовать именно его. Здесь же рядом выберите в окне «Home AP Dual», чтобы начать настройку двухдиапазонного роутера для домашнего использования.

В левой части окна происходит настройка беспроводной сети Wi-Fi роутера. Здесь в строке «Network Name» задайте то имя для вайфая, которое хотели бы видеть. Дальше все строки оставляйте без изменений, сразу переходите к разделу с паролем. Он называется “Security”, поставьте галочку у “WPA2” и введите пароль в открывшемся поле.

Для настройки статического адреса потребуется ввести сам адрес, также шлюз для соединения и DNS сервера. Для подключения через динамический адрес обычно не требуется никакой дополнительной информации. В самом низу списка находится окно ввода пароля, здесь задайте какой-нибудь пароль, чтобы обеспечить безопасность своего устройства. Если здесь нет нужных параметров, то придется перейти в полную версию, чтобы уже здесь провести настройки.

С помощью Winbox

Программа WinBox устанавливается на <span aria-describedby="tt" data-cmtooltip="

» data-hren=»https://help-wifi.ru/glossary/windows/» data-gt-translate-attributes=»[{"attribute":"data-cmtooltip", "format":"html"}]»>Windows и теперь подключаться к роутерам можно через неё. Она особенно полезна, когда у вас имеется несколько установленных микротиков, потому что самостоятельно ищет все устройства в сети.

Как и все микротики, этот маршрутизатор может поддерживать несколько подключений для резервирования канала.

Здесь пошли на упрощение, которое не требует от пользователя самостоятельно разбираться во всем, так что выделен отдельный порт с названием, в который и производится подключение первого соединения. Это упрощает первичную настройку, так как перестает требоваться настройка групп и моста для передачи данных на другие интерфейсы. Сделать это можно, но это уже другой уровень настройки и вряд ли пригодится в домашних условиях.

В левой колонке щелкните по надписи «Interfaces». Откроется еще одно окно, в котором производится настройка. Там, на первой вкладке, нажмите на синий плюс и выберите свой тип подключения. Здесь продемонстрируем на примере <span aria-describedby="tt" data-cmtooltip="

» data-hren=»https://help-wifi.ru/glossary/ppoe/» data-gt-translate-attributes=»[{"attribute":"data-cmtooltip", "format":"html"}]»>PPPOE, так что выбираем <span aria-describedby="tt" data-cmtooltip="

» data-hren=»https://help-wifi.ru/glossary/ppoe/» data-gt-translate-attributes=»[{"attribute":"data-cmtooltip", "format":"html"}]»>PPPOE Client.

В появившемся окне напишите имя подключения. Чтобы не перепутать, если у вас есть несколько подключений, лучше пишите название провайдера или номер разъема. В нижней строке «Interfaces» поставьте ether1, если подключали в первый разъем.

Закройте окно, теперь вы должны вернуться к предыдущему окну с интерфейсами. Здесь откройте вторую вкладку с названием «Interface List». Найдите здесь стандартное <span aria-describedby="tt" data-cmtooltip="

» data-hren=»https://help-wifi.ru/glossary/wan/» data-gt-translate-attributes=»[{"attribute":"data-cmtooltip", "format":"html"}]»>WAN подключение и раскройте его. В появившемся окне замените стандартный интерфейс ether1 на ваше созданное подключение.

Вайфай можно настроить здесь же, хотя рекомендую делать это через QuickSet, там все параметры собраны в одном месте и разобраться с ними проще.

Здесь же для настройки в левом столбце выберите «Wireless». Перейдите на последний раздел с названием «Security Profiles» и нажмите на плюс, чтобы добавить новый. Здесь задайте имя в верхней строке и снимете галку с WPA PSK и переставьте на WPA2 PSK. В открывшейся строке поставьте пароль для своей сети.

Теперь откройте раздел Wi-Fi Interfaces, щелкните там по соединению. Откроется окошко, в котором задайте имя и страну на вкладке Wireless, хотя последнее и не обязательно. Щелкните по кнопке Advanced Mode сбоку.

Здесь расставьте все так, как показано на картинке. Только профиль безопасности задайте свой. Также можно отключить кнопку <span aria-describedby="tt" data-cmtooltip="

» data-hren=»https://help-wifi.ru/glossary/wps/» data-gt-translate-attributes=»[{"attribute":"data-cmtooltip", "format":"html"}]»>WPS, если не планируйте такой тип подключения.

Настройка Firewall

Сначала сделайте важную вещь: активируйте режим SafeMod. Иконка с ним находится в самом верху над столбцом с настройками. Активируйте её перед началом настроек нажатием, а после окончания нажмите снова. Если просто закрыть окно или перезагрузить роутер, то настройки не сохранятся.

Это ваша страховка на тот случай, если вы сами себе запретите доступ к роутеру. Если же это случилось, то придется его полностью сбрасывать до заводских параметров, а потом настраивать заново. Или попробуйте подключится к нему по MAC-адресу из винбокса.

Для начала настройки безопасности на своем устройстве, откройте программу винбокс, а дальше выбирайте раздел IP-Firewall, потом вкладка Filter Rules и нажимаем добавить. Сначала запретим пинговать маршрутизатор, для этого, на вкладке general, chain выбираем input, а в protocol ставим icmp. На вкладке Action выбираем drop.

Теперь стоит запретить управлять маршрутизатором со сторонних адресов. Сначала стоит создать список тех адресов, с которых управление будет разрешено, переходим в IP-Firewall, здесь открывает Address Lists, и жмем на плюсик.

Стоит установить следующие параметры:

• Name – название списка;
• Address – здесь указываете те адреса или сети откуда можно управлять роутером.

Снова открывайте настройки фаерволла, переходите в Filter rules и жмите на плюс. В первой вкладке оставляйте input. Перемещайтесь на вкладку Advanced, в строке Src.List выставьте созданный вами список. В строке Action проставьте accept.

Теперь перейдем к тому, чтобы обрубать все лишние соединения с устройством, которые идут из внешней сети. Создавайте еще одно правило, в chain ставьте input, а в action проставьте drop. Должно получится что-то похожее на картинку.

Здесь важен сам порядок размещения запретов и разрешений. Те правила, что стоят выше, имеют больший приоритет. Поэтому разрешающие правило находится вверху, иначе обрубит вообще все соединения.

Настройка фаерволла на микротике позволяет проделать почти все, что захочется. Если вам нужно запретить или разрешить что-то конкретное, то стоит посмотреть правила настройки и создавать их для себя исходя из готового примера. Здесь приведены общие правила безопасности.

Настройка VPN

Сейчас принято создавать впн через <span aria-describedby="tt" data-cmtooltip="

» data-hren=»https://help-wifi.ru/glossary/pptp/» data-gt-translate-attributes=»[{"attribute":"data-cmtooltip", "format":"html"}]»>PPtP. Можно создать, используя другие протоколы, но пока что так будет проще всего. <span aria-describedby="tt" data-cmtooltip="

» data-hren=»https://help-wifi.ru/glossary/vpn/» data-gt-translate-attributes=»[{"attribute":"data-cmtooltip", "format":"html"}]»>VPN понадобится вам, если захотите связать несколько компьютеров или сетей через интернет. Например, чтобы сотрудники могли подключаться удаленно, используя защищенную сети. Или чтобы с работы можно было сидеть на домашнем интернете и это было трудно заметить. Редко когда такая опция требуется для домашнего использования, но микротик позволяет создать такой тип подключения.

Найдите раздел PPP, там откройте вкладку Interface, под самой верхней строкой найдите вкладку <span aria-describedby="tt" data-cmtooltip="

» data-hren=»https://help-wifi.ru/glossary/pptp/» data-gt-translate-attributes=»[{"attribute":"data-cmtooltip", "format":"html"}]»>PPTP <span aria-describedby="tt" data-cmtooltip="

» data-hren=»https://help-wifi.ru/glossary/server/» data-gt-translate-attributes=»[{"attribute":"data-cmtooltip", "format":"html"}]»>сервер, отметьте галкой пункт Enabled. Снимаем галочки с наименее безопасных алгоритмов идентификации — pap и chap.

Теперь нужно создать профили пользователей, которые будут использовать сеть.

Теперь настраиваем Firewall, чтобы соединение проходило. Стоит открыть 1723 порт для прохождения обычного трафика, а также разрешить протокол GRE. Если потребуется доступ к общим папкам в локалке за роутером, то еще придется открыть порт 445 для проходящего трафика SMB-протокола. Это сделаете по аналогии с приведенным примером.

Откройте в левом меню раздел IP, потом — Firewall, теперь сверху выберите Filter Rules, и нажмите на плюс для добавления правила. В строке Chain проставьте — input, в поле Protocol выставьте tcp, а в поле Dst. Port – здесь поставьте нужный номер, 1723. Теперь раскройте вкладку Action и поставьте accept.

Точно также добавляем правило для GRE. В общем списке не забудьте поднять их наверх, поставив ПЕРЕД запрещающими правилами, иначе они не будут работать.

Настройка IPTV

Теперь к настройке. В левом меню выберите Routing — IGMP Proxy. В открывшемся окне нажмите на плюс для добавления нужных параметров. В первой строке Interface поставьте тот порт, по которому идет интернет. Поставьте галку Upstream. В строке Alternative Subnets укажите адрес своего роутера, только последнюю цифру замените на 0. Например, у вас адрес 192.168.1.1, там поставьте 192.168.1.0/24.

Создайте здесь еще одно подключение по такому же принципу. В первой строке Interface поставьте тот порт, к которому подключится оборудование и не ставьте галку Upstream. Теперь пройдите в раздел Settings и отметьте галкой параметр Quick Leave.

Чтобы не возится с долгой настройкой в самом фаерволле, в левом меню щелкните по New Terminal и введите команды:

• /ip firewall filter add action=accept chain=input comment=»Allow IGMP» disabled=no in-interface=<span aria-describedby="tt" data-cmtooltip="
  WAN
  Глобальная вычислительная сеть, ГВС (англ. &lt;b&gt;Wide&lt;/b&gt; &lt;b&gt;Area&lt;/b&gt; &lt;b&gt;Network&lt;/b&gt;, &lt;b&gt;WAN&lt;/b&gt;) — компьютерная сеть, охватывающая большие территории и включающая большое число узлов, возможно находящиеся в различных городах и странах

  » data-hren=»https://help-wifi.ru/glossary/wan/» data-gt-translate-attributes=»[{"attribute":"data-cmtooltip", "format":"html"}]»>WAN protocol=igmp

• /ip firewall filter add action=accept chain=input comment=»<span aria-describedby="tt" data-cmtooltip="
  IPTV
  IPTV —  это трансляция TV каналов в реальном времени по каналам интернета.

  » data-hren=»https://help-wifi.ru/glossary/iptv/» data-gt-translate-attributes=»[{"attribute":"data-cmtooltip", "format":"html"}]»>IPTV UDP incoming» disabled=no dst-port=1234 in-interface=<span aria-describedby="tt" data-cmtooltip="

  WAN
  Глобальная вычислительная сеть, ГВС (англ. &lt;b&gt;Wide&lt;/b&gt; &lt;b&gt;Area&lt;/b&gt; &lt;b&gt;Network&lt;/b&gt;, &lt;b&gt;WAN&lt;/b&gt;) — компьютерная сеть, охватывающая большие территории и включающая большое число узлов, возможно находящиеся в различных городах и странах

  » data-hren=»https://help-wifi.ru/glossary/wan/» data-gt-translate-attributes=»[{"attribute":"data-cmtooltip", "format":"html"}]»>WAN protocol=udp

• /ip firewall filter add action=accept chain=forward comment=»<span aria-describedby="tt" data-cmtooltip="
  IPTV
  IPTV —  это трансляция TV каналов в реальном времени по каналам интернета.

  » data-hren=»https://help-wifi.ru/glossary/iptv/» data-gt-translate-attributes=»[{"attribute":"data-cmtooltip", "format":"html"}]»>IPTV UDP forwarding» disabled=no dst-port=1234 protocol=udp

Вместо <span aria-describedby="tt" data-cmtooltip="

» data-hren=»https://help-wifi.ru/glossary/wan/» data-gt-translate-attributes=»[{"attribute":"data-cmtooltip", "format":"html"}]»>WAN поставьте тот порт с точно таким же названием, как тот, по которому у вас идет интернет.

Проброс портов

Здесь приведем простейший проброс портов. Он понадобится в том случае, если к компьютеру или какому-то оборудованию внутри сети нужно подключаться из внешней сети.

По умолчанию, для безопасности, никакие устройства за роутером не видны. Также здесь не учитываются строгий настройки безопасности в фаерволле, как будто там нет правил. Если вы уже настроили, то придется выдать соответствующие разрешения для проброски портов и для внешних подключений.

Алгоритм действий следующий: В левом меню идем по пути IP -> Firewall -> <span aria-describedby="tt" data-cmtooltip="

» data-hren=»https://help-wifi.ru/glossary/nat/» data-gt-translate-attributes=»[{"attribute":"data-cmtooltip", "format":"html"}]»>NAT, создаем новое правило, нажав на +. Открывает вкладку General, ставим в строке Chain опцию dstnat, Protocol — в 6 (tcp), Dst. Port — 80:. Вместо Dst. Port – 80 и будет ваш порт, который пробрасываете.

Переходим на вкладку Action, в строке Action ставим dst-<span aria-describedby="tt" data-cmtooltip="

» data-hren=»https://help-wifi.ru/glossary/nat/» data-gt-translate-attributes=»[{"attribute":"data-cmtooltip", "format":"html"}]»>nat, в поле To Addresses пишем адрес того компьютера или оборудования, к которому открываем доступ.

Winbox

Winbox is a configuration utility that can connect to the router via MAC or IP protocol.
Latest winbox version can be downloaded from our download page.

Connecting to a device

1) Run the Winbox utility

2) Navigate to «Neighbors»

3) See if Winbox finds your Router and it’s MAC address

Info: Winbox neighbor discovery will discover all routers on the broadcast network

4) If you see your router on the list, connect to it by clicking on IP/MAC address and pressing Connect button

Winbox will try download plugins from the router, if it is connecting for the first time to the router with current version.

Note that it may take up to one minute to download all plugins if winbox is connected with MAC protocol

5) After winbox have successfully downloaded plugins and authenticated, main window will be displayed:

If winbox cannot find any routers, make sure that:

• ) Your Windows computer is directly connected to the router with an Ethernet cable or they are in the same broadcast domain
• ) As MAC connection works on Layer2, it is possible to connect to the router even without proper IP address configuration, but might be required due to most driver not enabling IP stack if there is no IPv4 configuration.

Due to the use of broadcasting MAC connection is not stable enough to use continuously, therefore it is not wise to use it on a real production / live network!. MAC connection should be used only for initial configuration.

IP Connectivity Access

/user set 0 allowed-address=x.x.x.x/yy

x.x.x.x/yy — your IP or network subnet that is allowed to access your router.

IP connectivity on the public interface must be limited in the firewall. We will accept only ICMP(ping/traceroute), IP Winbox, and ssh access.

/ip firewall filter add chain=input connection-state=established,related action=accept comment="accept established,related"; add chain=input connection-state=invalid action=drop; add chain=input in-interface=ether1 protocol=icmp action=accept comment="allow ICMP"; add chain=input in-interface=ether1 protocol=tcp port=8291 action=accept comment="allow Winbox"; add chain=input in-interface=ether1 protocol=tcp port=22 action=accept comment="allow SSH"; add chain=input in-interface=ether1 action=drop comment="block everything else";

In case if a public interface is a pppoe, then the in-interface should be set to «pppoe-out».

The first two rules accept packets from already established connections, so we assume those are OK to not overload the CPU. The third rule drops any packet which connection tracking thinks is invalid. After that, we set up typical accept rules for specific protocols.

If you are using Winbox/Webfig for configuration, here is an example of how to add an established/related rule:

• Open Ip -> Firewall window, click on Filter rules tab;
• Click on the + button, a new dialog will open;
• Select chain input, click on Connection state, and select checkboxes for established and related;
• Click on the Action tab and make sure action accept is selected;
• Click on the Ok button to apply settings.

To add other rules click on + for each new rule and fill the same parameters as provided in the console example.

MikroTik настройка подключения

Первое подключение

В примерах мы предполагаем, что у нас имеется:

• Роутер Mikrotik hAP ac 2;
• Компьютер с ОС Windows, на который загружена актуальная версия Winbox с сайта производителя, на момент написания это 3.31, более ранние версии могут не подключаться к роутерам с версией ROS старше 6.43.
• Провайдер услуг по доступу к Интернет. Далее мы рассмотрим разные типы подключения к сети поставщика интернет-услуг.

1. Кабель от поставщика услуг(интернет), вставляем в первый порт роутера;
2. ПК или ноутбук соединяем с отличным от первого портом Ethernet-кабелем (или подключаемся через Wi-fi соединение), предполагается, что на компьютере выставлен режим автоматического получения сетевых настроек (DHCP);
3. Запитываем устройство от блока питания входящего в комплект поставки.

Конфигурация по умолчанию

При первом включении маршрутизатор загружает заводскую конфигурацию, называемую еще конфигурация “по умолчанию”, далее “КПУ”.

• Первый порт настроен в режим автоматического получения сетевых настроек (dhcp клиент);
• Оставшиеся порты ethernet, сконфигурированы в свитч. Создается локальная подсеть (LAN) с адресным пространством 192.168.88.0/24 (192.168.88.1-192.168.88.254);
• В этой конфигурации создается DHCP сервер, который автоматически сообщает настройки подключаемым к маршрутизатору устройствам в диапазоне адресов IP 192.168.88.2-192.168.88.254;
• Для возможности первоначального подключения к маршрутизатору без использования кабеля создается открытая wi-fi сеть с названием Mikrotik-XXXXXX , где XXXXXX это три последних шестнадцатеричных числа (октета) из MAC адреса wi-fi интерфейса, они указаны на стикере, приклеенном на устройство.

Если роутер имеет два диапазона wi-fi, то появятся две открытых wi-fi сети.

После осуществления подключения к маршрутизатору одним из способов выше, запустим утилиту Winbox. Выберем вкладку Neighbors и после нажатия кнопки Refresh (либо сразу), должно появиться наше оборудование в списке:

Если установить крыжик в поле “Keep Password”, то Winbox “запомнит” последний использованный пароль для подключения.

Отметка в поле “Open In New Window” при нажатии “Connect” открывает подключение на новом экземпляре Winbox и не закрывает предыдущего.

Если версия заводской прошивки младше 6.43, то для подключения необходимо выставить режим совместимости до момента обновления версии на актуальную:

Найдем наш маршрутизатор в списке обнаруженных устройств и осуществим подключение для управления им, для этого есть два способа, по IP адресу либо по MAC. Подключение по MAC адресу может быть удобно, если роутер был уже сконфигурирован на IP адрес не из подсети, в которой находится компьютер. При щелчке в поле IP (или MAC) адреса он копируется в “Connect To” и можно осуществить подключение “Connect”.

Сброс «конфигурации по умолчанию»

Так как мы будем настраивать роутер Микротик с нуля, то сперва нам необходимо сбросить заводскую конфигурацию «по умолчанию». Для этого:

При первом подключении появляется окно с кратким описанием предлагаемых настроек КПУ, нажмем кнопку «Remove Configuration».

После перезагрузки маршрутизатора мы получим «чистую» конфигурацию системы. Теперь можем приступать к базовой настройке роутера.

Dynamic Public IP

Dynamic address configuration is the simplest one. You just need to set up a DHCP client on the public interface. DHCP client will receive information from an internet service provider (ISP) and set up an IP address, DNS, NTP servers, and default route for you.

/ip dhcp-client add disabled=no interface=ether1

After adding the client you should see the assigned address and status should be bound

[admin@MikroTik] /ip dhcp-client> print
Flags: X - disabled, I - invalid # INTERFACE USE ADD-DEFAULT-ROUTE STATUS ADDRESS 0 ether1 yes yes bound 1.2.3.100/24

Protecting the Router

Now anyone over the world can access our router so it is the best time to protect it from intruders and basic attacks

Router services

 /ip service print 

Keep only secure ones,

/ip service disable telnet,ftp,www,api,api-ssl
/ip service print 

and also change the default port, this will immediately stop most of the random SSH bruteforce login attempts:

/ip service set ssh port=2200
/ip service print 

Additionaly each /ip service entity might be secured by allowed IP address (the address service will reply to)

/ip service set winbox address=192.168.88.0/24

RouterOS has built-in options for easy management access to network devices. The particular services should be shutdown on production networks.

Disable mac-telnet services,

/tool mac-server set allowed-interface-list=none
/tool mac-server print

Disable mac-winbox services,

/tool mac-server mac-winbox set allowed-interface-list=none
/tool mac-server mac-winbox print

Disable mac-ping service,

/tool mac-server ping set enabled=no
/tool mac-server ping print

MikroTik Neighbor discovery protocol is used to show and recognize other MikroTik routers in the network, disable neighbor discovery on all interfaces,

/ip neighbor discovery-settings set discover-interface-list=none 

Bandwidth server is used to test throughput between two MikroTik routers. Disable it in production enironment.

/tool bandwidth-server set enabled=no 

Router might have DNS cache enabled, that decreases resolving time for DNS requests from clients to remote servers. In case DNS cache is not required on your router or another router is used for such purposes, disable it.

/ip dns set allow-remote-requests=no

Other clients services

RouterOS might have other services enabled (they are disabled by default RouterOS configuration).
MikroTik caching proxy,

/ip proxy set enabled=no

MikroTik socks proxy,

/ip socks set enabled=no

MikroTik UPNP service,

/ip upnp set enabled=no

MikroTik dynamic name service or ip cloud,

/ip cloud set ddns-enabled=no update-time=no

More Secure SSH access

RouterOS utilises stronger crypto for SSH, most newer programs use it, to turn on SSH strong crypto:

/ip ssh set strong-crypto=yes

Микротик пароль по умолчанию admin

Эти учетные данные для MikroTik необходимы, чтобы осуществить вход в веб-интерфейс роутера MikroTik с целью изменения каких-либо настроек.
Поскольку некоторые модели не соответствуют стандартам, вы можете ознакомиться с ними в нижеприведенной таблице.

Под таблицей также приведены инструкции на те случаи, когда вы забыли свой пароль к роутеру MikroTik, необходимо сбросить роутер MikroTik к заводским настройкам по умолчанию или сброс пароля не работает.

Совет: Нажмите ctrl + f (или cmd + f на Mac) для быстрого поиска номера вашей модели.

Изменили имя пользователя и/или пароль своего роутера MikroTik и забыли их?
Не волнуйтесь: все роутеры MikroTik поставляются с заводским паролем по умолчанию, который можно восстановить, выполнив нижеприведенные инструкции.

Если вы решите вернуть роутер MikroTik к заводским настройкам по умолчанию, вам следует выполнить сброс 30-30-30 следующим образом:

1. Когда роутер MikroTik включен, нажмите и удерживайте кнопку сброса в течение 30 секунд.
2. Удерживая кнопку сброса нажатой, отключите питание роутера и удерживайте ее еще в течение 30 секунд.
3. Удерживая кнопку сброса нажатой, снова включите питание устройства и удерживайте ее еще в течение 30 секунд.

Важно: для повышения безопасности вашего роутера после сброса к заводским настройкам не забудьте изменить имя пользователя и пароль по умолчанию, поскольку стандартные пароли можно легко найти в интернете (например, здесь).

Поскольку роутеры MikroTik всегда должны возвращаться к заводским настройкам по умолчанию после сброса, убедитесь, что вы правильно выполнили инструкции по сбросу.
С другой стороны, всегда существует вероятность того, что ваш роутер поврежден и, возможно, требуется его ремонт или замена.

Configuring Internet Connection

The next step is to get internet access to the router. There can be several types of internet connections, but the most common ones are:

• dynamic public IP address;
• static public IP address;
• PPPoE connection.