Настройка RouterOS

RouterOS — операционная система маршрутизаторов (роутеров) MikroTik. В учебнике описаны ее основные настройки на примере прошивки 6.47.10 (июнь 2021).

Сброс настроек и перезагрузкаПравить

Официальная справка

Активация настроек по умолчанию (default config, defconf) на роутере hAP lite: отключите питание, нажмите и удерживайте на роутере кнопку reset (res/wps), включите питание и дождитесь мигания индикатора usr, отпустите кнопку. Если до активации настроек по умолчанию были сделаны какие-либо пользовательские настройки, то они будут сброшены и сохранены в файл backup в разделе Files.

Программная активация настроек по умолчанию (в интерфейсе WebFig или Winbox): раздел System --> подраздел Reset Configuration --> кнопка Reset Configuration (без параметров). Либо в разделе Quick Set кнопка Reset Configuration (внизу справа).

Сброс с параметром «No Default Configuration» приведет к удалению любых настроек (пользовательских и по умолчанию), в том числе ip-адреса роутера.

Перезагрузка: System --> Reboot.

Основные кнопки управленияПравить

  • Apply — применить сделанные настройки.
  • OK — применить сделанные настройки и перейти на уровень выше.
  • Cancel — не применять сделанные настройки и перейти на уровень выше.
  • Close — перейти на уровень выше.
  • Add New — добавить новую настройку.
  • Enable — включить.
  • Disable — отключить.
  • Remove — удалить.
  • Uninstall — удалить установленный пакет.
  • Unschedule — отменить запланированное задание (например отменить Disable или Uninstall пакета).

Подключение к маршрутизаторуПравить

Установите связь с роутером посредством сетевого кабеля или по Wi-Fi. К порту WAN (Internet) подключается кабель провайдера, к портам LAN — компьютеры.

Доступ к настройкам роутера производится через веб-интерфейс WebFig: в адресной строке браузера наберите http://192.168.88.1. По умолчанию логин admin, пароля нет.

Доступ через WinboxПравить

Если роутер по какой-то причине остался без ip-адреса (например, вы сделали Reset Configuration с параметром No Default Configuration), то подключиться к нему можно по mac-адресу через программу Winbox для Windows (32 битная версия Winbox также работает в Linux и macOS через Wine).

В настройках сетевых соединений создайте профиль Ethernet со следующими параметрами (подробности здесь):

  • Способ настройки: вручную
  • Адрес компьютера (ip address) 192.168.88.2
  • Маска сети (subnet mask) 255.255.255.0
  • Шлюз (default gateway) 192.168.88.1
  • Сервер DNS (prefered DNS server) 192.168.88.1

Подключите сетевой кабель к компьютеру и ко второму гнезду роутера (ether2, первому LAN-разъему), и выберите этот профиль. Запустите winbox.exe. Роутер должен отобразиться во вкладке Neighbors. Если этого не произошло нажмите Refresh. Кликните по mac-адресу роутера и нажмите Connect.

С данным сетевым профилем к роутеру можно подключиться и в случае, если ip-адрес роутеру присвоен, но пакет dhcp отключен или не установлен.

Возможные проблемы

При попытке подключения к роутеру со старой версией прошивки в окне Winbox выдается сообщение: «ERROR: router does not support secure connection, please enable Legacy Mode if you want to connect anyway» — включите Legacy Mode в строке меню Tools окна Winbox.

Установка RouterOS и пакетов к нейПравить

На Главной странице загрузок или в Архиве версий скачивается набор пакетов (Main package) routeros-[версия]-[архитектура].npk для определенной архитектуры роутера (arm, arm64, mipsbe, mmips, smips, tile, powerpc, x86).

В архиве версий также можно скачать файл all_packages-[архитектура]-[версия].zip с отдельными пакетами (базовым system и дополнительными другими, см. описание). Минимальный их набор будет следующим: System, DHCP, Wireless, PPP.

Установленные пакеты (.npk) отображаются в разделе настроек System --> Packages.

Чтобы установить недостающий пакет перейдите в раздел Files, нажмите Upload и загрузите его со своего компьютера. Дождитесь окончания загрузки и перезагрузите роутер.

Возможные проблемы

RouterOS не может обновиться из-за недостатка свободного места в памяти роутера (not enough disk space) — удалите ненужные пакеты в разделе System --> Packages и перезагрузите роутер. Либо установите новую версию через Netinstall.

Установка через NetinstallПравить

Скачайте Netinstall (для Linux или Windows). Скачайте набор пакетов routeros-[архитектура]-[версия].npk или базовый пакет system-[версия]-[архитектура].npk.

Отключите все сетевые соединения, кроме устанавливаемого между компьютером и роутером. Отключите виртуальные сетевые интерфейсы при их наличии.

Создайте профиль сетевого подключения, как это описано в разделе «Доступ через Winbox».

Включите роутер. Подключите сетевой кабель к компьютеру и к первому гнезду роутера (ether1, интернет-разъему; либо к гнезду, обозначенному словом BOOT). Выберите созданный вами профиль сетевого подключения.

LinuxПравить

Поместите файл Netinstall и файл .npk в одну папку. Дайте команду в терминале

sudo ./netinstall -r -a 192.168.88.3 routeros-[архитектура]-[версия].npk

или

sudo ./netinstall -r -a 192.168.88.3 system-[версия]-[архитектура].npk

Отобразится

Will reset config
Using server IP: 192.168.88.2
Starting PXE server
Waiting for RouterBOARD...

Отключите роутер от питания, нажмите и удерживайте на нем кнопку reset (res/wps), включите его. Держите кнопку до тех пор, пока в терминале не отобразится

PXE client: mac-адрес ether1
Sending image: mips

Отпустите кнопку и дождитесь загрузки пакета с последующей перезагрузкой роутера.

Discovered RouterBOARD...
Formatting...
Sending package routeros-[архитектура]-[версия].npk ...
Ready for reboot...
Sent reboot command

Переставьте штекер кабеля во второе гнездо и подключайтесь к роутеру по ip-адресу 192.168.88.1 с обычным сетевым профилем (получение ip-адреса автоматически, DHCP).

Если вы давали команду на загрузку пакета без параметра -r (reset, активация настроек по умолчанию), то ip-адрес роутер не получит и к нему нужно будет подключаться через Winbox. Зайдите в настройки роутера через Winbox и в разделе System --> Reset Configuration нажмите Reset Configuration (без параметров), после чего роутеру присвоится ip-адрес.

Если вы установили только пакет System, то подключайтесь к роутеру с сетевым профилем, указанным в разделе «Доступ через Winbox».

WindowsПравить

См. здесь

Возможные проблемыПравить

Официальная справка

Если роутер не определяется в Netinstall проверьте, не отключена ли функция PXE в BIOS компьютера.

Linux: если в терминале появляется

bind failed: Address in use
bind tftp general failed: Address in use

перезагрузите компьютер (либо попробуйте перезагрузить сетевую карту) и повторите ввод команды netinstall в терминале, предварительно установив соединение компьютера с роутером способом, описанным в разделе «Доступ через Winbox».

Windows: если роутер не определяется в Netinstall, загрузите систему в режиме «безопасный с поддержкой сети».

Быстрые настройкиПравить

После сброса всех настроек роутера (с параметром No Default Configuration), быстро восстановить самые основые из них вручную можно в разделе Quick Set. Настройки по умолчанию для режима Home AP (домашняя точка доступа):

Wireless
  • Network Name: выберите уникальное имя вашей Wi-Fi сети
  • Wi-Fi Password: выберите пароль для доступа к Wi-Fi сети
Internet
  • Address Acquisition: Automatic
  • Firewall Router: да (эта базовая настройка файрвола отличается от более расширенной настройки, применяемой при активации настроек по умолчанию, сравните их в IP --> Firewall)
Local Network
  • IP Address: 192.168.88.1 (локальный ip-адрес роутера, IP --> Addresses)
  • Netmask: 255.255.255.0 (/24)
  • Bridge All LAN Ports: да (добавляется интерфейс bridge)
  • DHCP Server: да
  • DHCP Server Range: 192.168.88.10-192.168.88.254 (IP --> Pool)
  • NAT: да

Wi-FiПравить

По умолчанию Wi-Fi сеть роутера раздается без защиты паролем, то есть подключиться к ней может кто угодно в пределах ее досягаемости. Уникальное имя сети Wi-Fi (Network Name) и ее пароль (WiFi Password) указывается в разделе Quick Set --> секция Wireless. После настройки нажать Apply Configuration и переподключиться к Wi-Fi, если до этого вы подключались к ней.

То же самое можно сделать в разделе Wireless. Имя сети указывается во вкладке WiFi Interfaces --> кликнуть по существующему интерфейсу wlan1 и в секции Wireless указать параметр SSID (желаемое имя Wi-Fi сети). Security Profile: default. Пароль указывается во вкладке Security Profiles --> кликнуть по существующему профилю default и в секции General указать следующие параметры:

  • Mode: dynamic keys
  • Authentication Types: WPA PSK, WPA2 PSK
  • WPA Pre-Shared Key: указать пароль
  • WPA2 Pre-Shared Key: указать такой же пароль

Ограничение времени подключенияПравить

Сначала проверить правильность установки текущего времени и даты маршрутизатора в разделе System --> подраздел Clock. Если всё верно, то перейти в раздел Wireless и далее:

1. Вкладка Access List --> кнопка Add New:

  • MAC Address: если ограничение для всех устройств, то ничего не указывать
  • Authentication: да (галочка)
  • Time: в первом (левом) поле время начала работы подключения к сети Wi-Fi в формате ЧЧ:ММ:СС, во втором (правом) — время окончания (например: 04:00:00 — 22:00:00, [без указания 1d перед временем окончания])
  • Days: в день недели, с которого снята галочка, компьютер не сможет подключиться к роутеру по wi-fi (только если не создано ещё одно правило, в котором подключение в этот день разрешено)

Если нужно создать ограничение для всех устройств, кроме определённых, то создаём второе значение/item во вкладке Access List --> Add New:

  • MAC Address: указать MAC-адрес компьютера, который НЕ нужно ограничивать в подключении к Wi-Fi. Его можно узнать при подключенном к маршрутизатору по Wi-Fi компьютере во вкладке Registration, и сразу скопировать, нажав на строчку с MAC-адресом и кнопку Copy to Access List. Далее нажать кнопку Close и перейти во вкладку Access List
  • Authentication: да

2. Вкладка Interfaces --> нажать на строчку с существующим Wi-Fi интерфейсом (имя/Name по умолчанию wlan1):

  • Default Authenticate: нет (без галочки)

Во время ограничения доступа по Wi-Fi единственного используемого компьютера, подключиться к роутеру можно через кабель, либо путём активации настроек по умолчанию.

Изменение MAC-адресаПравить

В некоторых случаях требуется изменить (клонировать) реальный MAC-адрес ether1-порта роутера (WAN, Internet). Например, если ваш провайдер раздает интернет только на устройство с определенным MAC-адресом, зарегистрированным им ранее, а вы поменяли это устройство (компьютер или роутер) на какое-либо другое. То есть новому устройству необходимо присвоить MAC-адрес предыдущего устройства.

Раздел Quick Set --> секция Internet --> указать нужный MAC Address --> нажать Apply Configuration.

Сбросить MAC-адрес до заводского значения: раздел Interfaces --> вкладка Interface (или Ethernet) --> нажать по строчке с именем/Name ether1 --> нажать Reset MAC Address.

После смены или сброса MAC-адреса может потребоваться переподключение интерфейса, связанного с интернетом: вкладка Interface --> в строчке с именем интерфейса (например ether1 или pptp-out1) нажать на кнопку D (disable) и примерно через 5 секунд по ней же E (enable).

PPTPПравить

Настройка подключения к интернету с использованием протокола PPTP: Раздел Interfaces (или PPP) --> вкладка Interface --> выпадающий список Add New --> PPTP Client:

Секция General:
  • Name: pptp-out1 (имя по умолчанию)
Секция Dial Out:
  • Connect To: ввести адрес vpn-сервера
  • User: логин
  • Password: пароль
  • Add Default Route: да

NATПравить

Если ваш провайдер использует технологию NAT, то она должна быть включена в роутере (по умолчанию включена). Это делается в разделе Quick Set в секции Local Network (поставить галочку NAT). Либо в разделе IP --> подраздел Firewall --> вкладка NAT. Если там нет ни одного профиля NAT, то добавьте его кнопкой Add New и укажите следующие параметры:

Секция General:
  • Chain: srcnat
  • Out. Interface: ether1 / pptp-out1
  • Out. Interface List: WAN (в старых прошивках RouterOS может быть «Out. Interface List: all», либо вовсе не быть этого параметра)
Секция Advanced:
  • IPsec Policy: out, none (в старых прошивках этого параметра может не быть)
Секция Action:
  • Action: masquerade

UPnPПравить

Быстро включить UPnP можно в разделе Quick Set. Ручная настройка:

1. Раздел IP --> подраздел UPnP --> Interfaces --> Add New:
  • Enabled: да
  • Interface: выбрать интерфейс, обеспечивающий доступ к интернету (ether1, pptp-out1 или др.)
  • Type: external
2. Add New:
  • Enabled: да
  • Interface: bridge
  • Type: internal
3. Подраздел UPnP:
  • Enabled: да
  • Allow To Disable External Interface: нет
  • Show Dummy Rule: да

МаршрутыПравить

Пример маршрутов, настроенных по умолчанию (раздел IP --> Routes):

Dst. Address Gateway Distance Pref. Source
DAS 0.0.0.0/0 10.108.34.254 reachable ether1
(адрес шлюза провайдера)
1
DAC 10.108.34.0/24 ether1 reachable 0 10.108.34.74 (адрес роутера в сети провайдера)
DAC 192.168.88.0/24 bridge reachable 0 192.168.88.1 (локальный адрес роутера)
D — dynamic, A — active, S — static, C — connected

DNSПравить

Официальная справка

Отключить DNS-серверы, назначаемые вашим провайдером автоматически: IP --> DHCP Client --> кликнуть по интерфейсу и в открывшемся окне снять галочку Use Peer DNS.

Указать свои DNS-серверы: IP --> DNS --> Servers (указать один или несколько ip-адресов). В параметре Dynamic Servers отображаются DNS-серверы, назначенные провайдером.

Статичные записи DNS

Вместо добавления записей в файл hosts вашего компьютера, представляющие собой соответствия некоторых доменных имен и их ip-адресов, можно сделать статичные DNS-записи в разделе IP --> DNS --> Static --> Add New:

  • Name: example.org
  • Address: ip-адрес
DoH

Технология DNS over HTTPS позволяет передавать запросы DNS-серверу, на определение ip-адресов доменных имен сайтов, по зашифрованному протоколу. В роутерах MikroTik возможность ее использования появилась в версии RouterOS 6.47 (июнь 2020). Пример настройки для сервера Cloudflare:

  • Скачайте корневой сертификат DigiCert Global Root CA отсюда и загрузите его на роутер (Files --> Upload).
  • Импортируйте его: System --> Certificates --> вкладка Certificates --> кнопка Import --> Only File --> выберите из списка DigiCertGlobalRootCA.crt.pem --> Import.
  • Отключите DNS-серверы провайдера: IP --> DHCP Client --> кликните по интерфейсу и в открывшемся окне снимите галочку Use Peer DNS.
  • IP --> DNS:
    • Use DoH Server: https://1.1.1.1/dns-query
    • Verify DoH Certificate: да
    • Allow Remote Requests: да
  • Проверьте работоспособность DoH: https://1.1.1.1/help (в параметре Using DNS over HTTPS должно быть Yes). Возможно для этого потребуется перезапустить браузер, чтобы изменения вступили в силу.

Статичные адреса устройствПравить

Установка постоянного (статичного) ip-адреса устройствам: подключите необходимое устройство к роутеру --> зайдите в раздел IP --> DHCP Server --> вкладка Leases --> здесь отображаются все подключенные к роутеру в настоящее время устройства с временным (динамическим) ip-адресом --> кликните по устройству в списке и в появившемся окне нажмите Make Static --> Close.