Настройка маршрутизатора MikroTik с нуля (RouterOS 6)

Маршрутизатор MikroTik может вызвать уважение, а иногда даже некоторую панику. Кажется, что интерфейс RouterOS переполнен настройками, и с ходу неясно, за что хвататься. Это хорошо. На самом деле, для начала работы потребуется лишь небольшая часть всех этих возможностей.

От заводских настроек до рабочего интернета в сети эта статья поможет вам пройти самый важный первый шаг. Мы не будем заниматься сложными функциями, такими как туннели или фильтры. Наша цель проста: подключить роутер к провайдеру и раздать сеть, чтобы все устройства в вашей домашней или небольшой офисной сети могли подключиться к ней.

Представьте себе, что мы собираем простой конструктор, в котором мы по очереди настроим подключение к Интернету, создадим локальную сеть и включим беспроводную точку доступа. К концу статьи у вас будет полностью функциональная базовая конфигурация, которую вы можете использовать.

Подготовка к настройке

Первым делом обзаводимся проводом UPT5 (патч-кордом), которым компьютер будет подключаться к маршрутизатору, к сожалению, производитель не комплектует свои устройства такой мелочью. Вторым, скачиваем программу WinBox с сайта MikroTik (прямые ссылки для версии WinBox_x32 и WinBox_x64). Маршрутизатор можно настраивать через Web интерфейс, через командную строку при помощи Telnet или SSH, но WinBox самый наглядный и удобный инструмент для настройки (особенно для не подготовленного пользователя). Третье, в настройках сетевой карты компьютера проверить, а по необходимости установить, получение IPv4 адреса по DHCP. Для компьютеров на ОС Windows это делается в Панель управления -> Все элементы панели управления -> Центр управления сетями и общим доступом -> Изменение параметров адаптера -> правой клавишей на Подключение по локальной сети -> Свойства -> IP версии 4 (TCP/IP) (Галочка должна быть установлена!!!) -> Свойства, установить Получить IP-адрес автоматически и Получить адрес DNS сервера автоматически.

Первое подключение к маршрутизатору MikroTik

Не можем подключить провод провайдера, по которому поступает интернет. Это будет сделано позже.

Компьютер подключается к маршрутизатору через патч-корд, который использует порты 2–5. Мы подключаем устройство к электросети. Открываем WinBox. Мы увидим наше устройство во вкладке «Соседи» WinBox после загрузки маршрутизатора. Нажимаем на него, вводим пользователя admin в поле входа, оставляем пустым поле пароля и нажимаем кнопку Connect.

При первом входе на устройство появляется сообщение с настройками роутера "из коробки". Те, кто хочет попробовать быстро настроить устройство, могут нажать кнопку OK и далее попробовать настроить свое устройство через режим Quick Set, у кого-то это получится, у кого-то нет, кто-то будет крыть устройство, компанию и тех, кто посоветовал это приобрести на чем свет стоит. Те, кто нажал кнопку OK и у него ничего не получилось сбрасывает устройства к заводским настройкам: System -> Reset configuration -> Do Not Backup -> Reset Configuration. Все остальные и вернувшиеся после сброса устройства читают дальше 🙂

В появившемся окне нажимаем кнопку «Удалить настройки», чтобы удалить все заводские настройки. Это устройство еще не настроено, поэтому мы его настроим самостоятельно.

Настройка пользователей в MikroTik

Обычно после сброса конфигурации происходит отключение от текущей сессии и настраиваемый маршрутизатор отображается в WinBox на странице авторизации в списке устройств. К сожалению, назначенного адреса устройства теперь нет. Чтобы войти по MAC-адресу, нажимайте соответствующее поле: Вход: Администратор, Пароль: оставьте пустым, а затем подключитесь.

Поскольку безопасность имеет первостепенное значение, мы сразу меняем пароль пользователя администратора, перейдя в меню Система — Пользователи, вкладка Пользователи, правой клавишей на пользователе Пароль. Затем создаем нового пользователя с правами администратора, чтобы мы могли работать с ним постоянно. Для этого нажимаем + (Добавить), вводим имя нового пользователя, выбираем полное меню группы, вводим пароль и подтверждаем пароль, после чего В верхнем меню выберите «Session» и «Disconnect». Хотя каждый может выбрать свой собственный пароль, лучше задать достаточно сложный.

Повторяем подключение по MAC адресу с новым пользователем. Если все хорошо, то вернемся к списку пользователей и отключаем учетную запись администратора, выбрав ее и нажав красный крест. Изначально мы не отключили учетную запись администратора, чтобы люди могли войти под администратором, если им не удастся войти под новой учетной записью. Пароль администратора был задан для того, чтобы если учетная запись была включена по какой-то причине, она была защитена паролем.

Настройка локальной сети

В боковом меню выбираем мост. Нажимаем + на вкладке Bridge. В поле Name вводим удобное для понимания имя, а затем нажимаем OK в открывшемся окне.

Для чего это делать? В обычном домашнем роутере, например, D-Link DIR-300, есть пять ethernet портов + Wi-Fi, четыре порта подписаны от 1 до 4, они предназначены для проводного подключения домашних устройств. Эти четыре порта объединены в один Bridge, в который объединен и Wi-Fi, устройства, подключенные к этим портам и Wi-Fi, объединяются в локальную сеть. В устройствах MikroTik другой подход, каждый проводной порт и каждый интерфейс Wi-Fi может быть настроен отдельно, и то, что на роутере сзади написано первый порт интернет, а со второго по пятый это локальная сеть, является только для конфигурации по умолчанию, которую мы успешно удалили 🙂 В MikroTik не обязательно первый порт может служить для выхода в интернет, настроить для этого можно любой порт, или два отдельных порта, в случае использования двух провайдеров. Но мы пока рассматриваем классический пример, созданный Bridge будет объединять проводные и беспроводные порты для локальной сети.

Выберите вкладку «Порты». На вкладке «Порты» нажимаем «+». Затем последовательно добавляем один порт в созданный мост, к которому будут подключаться устройства локальной сети. Чтобы подключиться к Интернету, мы не будем трогать первый порт; вместо этого добавляем порты Ethernet2, Ethernet3, Ethernet4 и Ethernet5. Мы также добавляем интерфейсы wlan1 и wlan2, если они присутствуют. В устройствах MikroTik wlan1 является адаптером на 2.4GHz, а wlan2 — адаптером на 5GHz.

В соответствующих полях выбираем подходящий интерфейс, а затем нажимаем OK. Затем повторите кнопку «+», пока не добавим все необходимые интерфейсы.

Мы закрываем окно мосту. В боковом меню найдите «IP» и «Адреса». Установите адрес IP-адреса нашего маршрутизатора в нашей маленькой локальной сети. В окне списка адресов нажимайте +. В открывшемся окне добавьте следующее:

• Address — IP адрес маршрутизатора, через / (прямой слеш) указываем маску подсети. Например, для нашей тестовой конфигурации будет 192.168.111.1/24. Префикс /24 соответствует маске 255.255.255.0 и позволяет использовать 254 адреса в локальной сети.
• Network — в данном случае пропускаем, после нажатия кнопки OK, данное поле будет заполнено само.
• Interface — выбираем созданный нами Bridge.

Нажимаем «ОК», закрываем меню «Адресная книга» и переходим к настройке сервиса, которая предоставляет IP-адреса устройствам в локальной сети. Эта настройка включает в себя DHCP сервер, который имеет минимальный набор сетевых настроек. В меню DHCP Server выберите IP. В появившемся окне выберите DHCP Setup. В открывшемся окне последовательно выбираем и заполняем поля, которые нам нужны.

DHCP Server Interface — интерфейс, на котором будет работать данная конфигурация DHCP сервера, выбираем наш созданный ранее Bridge. Нажимаем Next.

DHCP Address Space — используемое адресное пространство для раздачи адресов, указывается как Network/Mask. Network мы могли видеть ранее, когда устанавливали IP адрес маршрутизатору, мы его не заполняли, но он установился сам, для данной конфигурации используем его. Mask — маска подсети, этот параметр тоже использовался ранее при назначении IP адреса маршрутизатору. Если ничего не понятно, что все это и зачем, то стоит почитать немного про сети, если лень, то делай как я :))) Для нашей конфигурации — это будет выглядеть так: 192.168.111.0/24. Нажимаем Next.

Gateway For DHCP Network — адрес маршрутизатора в сети. Здесь всё просто, поскольку мы настраиваем устройство как маршрутизатор, и он у нас единственный в сети, то в поле записываем выданный нами ранее адрес маршрутизатора — 192.168.111.1 (Здесь маска сети не указывается!). Нажимаем Next.

Addresses to Give Out — диапазон IP адресов, выдаваемых DHCP сервером. Используемая маска /24 ограничивает нас количеством в 254 адреса, поскольку адрес 192.168.111.1 уже занят, то он не должен попадать в этот диапазон, если в сети нет других статических адресов, то можно использовать весь диапазон от 2 до 254. Описываемая конфигурация будет ограничиваться только сотней выдаваемых сервером адресов, 192.168.111.101 - 192.168.111.200. Нажимаем Next.

DNS серверы предназначены для получения IP-адресов хостов и доменов в сети. Кроме того, все очень просто: если нет отдельных серверов DNS в сети, сервер провайдера считается нашим маршрутизатором. 192.168.111.1 — это 192.168.111.1, который мы установили. Нажмите «Следующий».

Время аренды — это время, необходимое для получения адреса. По истечении этого периода адрес может быть освобожден и может быть передан другому устройству. Если адрес используется, аренда продлевается в течение срока аренды. Одного часа хватает. Следующим шагом будет сообщение об успешной настройке DHCP сервера.

Мы переходим на вкладку «Сеть». Нажимая дважды на созданную конфигурацию, мы записываем адрес нашего маршрутизатора в поле серверов времени (NTP). Теперь часы, которые поддерживают эту настройку, будут синхронизированы с маршрутизатором.

Вкладка «Договоры» показывает, что одно устройство в локальной сети получило IP-адрес; это компьютер, с которого осуществляется настройка маршрутизатора.

Кажется, что настройка маршрутизатора MikroTik с нуля не является такой сложной задачей. Вам нужно просто подключиться через кабель, войти в веб-интерфейс или приложение WinBox и установить основные настройки, такие как пароль и имя устройства. Вы также можете настроить интернет, обычно используя PPPoE или DHCP, раздать Wi-Fi и включить защиту брандмауэра. Сделайте все по шагам, не спешите, и через 15–20 минут у вас будет безопасный и рабочий интернет.

Настройка интернет на MikroTik

Мы должны закрыть все окна WinBox. Выбираем Интерфейсы в боковом меню. Дважды нажимаем на интерфейс ether1, пишем ehter1-wan в поле Name и сохраняем, нажав OK. Переименование было сделано для того, чтобы конфигурация была более легко читаема в будущем.

Нажимаем кнопку «Вкладки» во вкладке «Вкладки интерфэйса». Мы будем создавать несколько новых списков интерфейсов в открытом окне. Очень удобно использовать списки; можно добавлять необходимые интерфейсы в список в настройке, а затем добавлять их в список. Нажимая «+», последовательно добавляйте списки.

• list-wan — список интерфейсов, подключенных к провайдерам. В описываемой конфигурации в списке будет один интерфейс, но список может оказаться полезным при использовании подключений или подключении второго канала интернет.
• list-discovery — список интерфейсов, которые будут использоваться службами Neighbor Discovery и MAC Server. Используется для безопасности нашего устройства.

В списках должны быть добавлены две новые записи:

Закройте окно редактирования списков интерфэйса. Добавьте необходимые интерфейсы в списки, которые были созданы.

• Интерфейс ether1-wan в список list-wan
• Созданный ранее Bridge интерфейс bridge-home в список list-discovery

В конце концов должно выглядеть следующим образом:

Обеспечьте защиту устройства локальной сети и маршрутизатора от доступа к ним из сети Интернет. Мы должны открыть окно IP и выбрать «Фильтр». Нажимаем + на вкладке Filter Rules, чтобы добавить новое правило. В открывшемся окне найдите вкладку Общее.

• Chain — Input
• In Interface List — list-wan
• Connection State — отмечаем в окне первый не подписанный квадрат, он выделится восклицательным знаком, далее выбираем established и related

В разделе Action на вкладке Action выберите drop. Мы нажимаем «Да».

Созданноe правило будет читаться так: Пакеты, приходящие на интерфейсы из списка list-wan не относящиеся (восклицательный знак в поле Connection State) к уже установленным и связанным подключениям будут отброшены. Только пакеты, относящиеся к интерфейсам маршрутизатора, принимаются цепочкой входа. Действие (действие) отбрасывает все пакеты, которые не соответствуют этому правилу, и не отсылает никаких сообщений в ответ.

Создадим второе правило на основе первого. Нажимая дважды на созданное ранее правило в открывшемся окне, вы получите окно создания нового правила с такими же настройками, как и в предыдущем случае. Выставляем новое правило в поле Chain. Закройте оба правила клавишей «ОК».

Подобно первому правилу, второе правило действует только на пакеты, отправленные на устройства локальной сети, а не на интерфейсы списка list-wan.

Эти два правила являются наиболее необходимыми настройками firewall для защиты от несанкционированного доступа в Интернет. Весь остальной трафик будет никак не ограничен маршрутизатором. Однако настройка firewall — это отдельная большая тема, которую мы не будем обсуждать в этой статье.

Предоставляем доступ в интернет устройствам подключенных к локальной сети обслуживаемой маршрутизатором с помощью службы NAT. Переходим на вкладку NAT, добавляем новое правило +. В открывшемся окне в поле Chain выставляем srcnat, в поле Out Interface List — list-wan.

Выбираем маскировка на вкладке Action в разделе Action. Мы нажимаем «Да».

Настраиваем DNS. В боковом меню переходим IP -> DNS. В качестве используемых внешних серверов DNS будем использовать сервера Google. В открывшемся окне в поля Servers вписываем IP адреса 8.8.8.8 и 8.8.4.4. Что бы наш маршрутизатор работал как DNS сервер для устройств в локальной сети включаем Allow Remote Requests. Нажимаем OK.

Поскольку некоторые провайдеры используют привязку MAC адреса интерфейса на своем оборудовании, вам необходимо позвонить провайдеру и сообщить им, что у вас поменялось устройство, прежде чем вы сможете подключиться.

Если у провайдера возникли проблемы со звонком, можно изменить MAC-адрес на интерфейсе провода провайдера. К сожалению, изменить MAC-адрес в настройках интерфейса невозможно, изменив соответствующее поле. Однако можно изменить его с помощью команды в консоли. В боковом меню выберите New Terminal. В открывшемся окне введите следующее:

/interface ethernet set ether1-wan mac-address="<strong>00:00:00:00:00:00</strong>"

Вводим необходимый MAC-адрес вместо 00:00:00:00:00:00.

Мы успешно подключили провод провайдера к порту 1 нашего устройства.

Назначаем IP адрес нашего интерфейса, чтобы провод провайдера был подключен к нему, в нашем случае это ether1-wan. Два способа получить IP-адрес.

1. Получение IP адреса от оборудования провайдера по DHCP.
2. Если первый вариант провайдером не поддерживается, то настройки вносятся в оборудование вручную.

Обычно в договоре или памятке к договору с провайдером указывается метод назначения IP-адреса. Если вы не уверены в этом, вы можете спросить службу поддержки провайдера об этом. Мы рассмотрим оба варианта.

Вариант #1. Получение IP адреса абонентским оборудованием происходит от оборудования провайдера по DHCP. Переходим в боковом меню IP -> DHCP Client. В открывшемся окне выбираем интерфейс ether1-wan, отключаем Use Peer DNS (мы будем использовать свои DNS сервера, настройка выше) и Use Peer NTP (мы настроим синхронизацию времени позднее), Add Defaut Gateway выставляем yes. Нажимаем OK.

После завершения можно увидеть IP-адрес устройства, перейдя во вкладку «IP» — «Адреса». Буква «D» вместо полученного адреса указывает на то, что адрес получен динамически.

Вариант номер два: в случае, если настройки провайдера необходимо задать вручную, назначение IP-адреса происходит по аналогии с назначением адреса интерфейса Bridge в предыдущем случае. Нажмите +, чтобы перейти во вкладку IP и выбрать адреса. В открывшемся окне выберите интерфейс WAN ether1-wan. Затем введите IP адрес с маской и заполните поле сети.

Здесь мы обсудим это подробнее. Обычно в договорах провайдеров маска записывается в формате X.X.X.X, например, 255.255.255.0. Однако в MikroTik необходимо добавить префикс /Y, например, /24. Чтобы перевести данные между собой, а также рассчитать поле сети с помощью IP-калькулятора. В поле IP адрес вводим адрес провайдера, а в поле маска вводим соответствующее значение. Затем нажимаем кнопку «Подсчитать».

Чтобы выполнить расчет, нам нужны Bitmask и Network. Чтобы выполнить описанную конфигурацию, в поле Address вводим IP-адрес с префиксом 10.33.1.249/26, а в поле Network вводим 10.33.1.192. Мы нажимаем «Да».

После ввода IP адреса добавляем маршрут по умолчанию (при получении IP адреса по DHCP маршрут добавляется сам, т.к. был выставлен Add Default Gateway = yes). В боковом меню переходим IP -> Route, нажимаем +. В открывшимся окне в поле Dst. Address пишем 0.0.0.0/0, это значит все доступные адреса, в поле Gateway шлюз, указанный в настройках провайдера 10.33.1.193. Нажимаем OK.

После этого маршрутизатор и устройства локальной сети должны иметь доступ к Интернету. Иногда требуется перезагрузка устройства, чтобы все заработало.

Обновление RouterOS

RouterOS, как и любое программное обеспечение может содержать ошибки, некоторые из них мелкие и не мешают работе, но могут быть критические ошибки, которые могут повлиять на работу не только самого маршрутизатора, но и устройств, подключенных к нему. После того, как заработает интернет необходимо обновить версию RouterOS до последней. В боковом меню переходим System -> Packages -> Check For Update, в строке Channel выбрать stable и нажать Check For Update. В строке Installed Version написана текущая версия установленной RouterOS, в строке Latest Version последняя версия доступного ПО. Если новая версия RouterOS найдена, то будут доступны две кнопки Download и Download&Install, нажимаем на последнюю. После скачивания устройство будет перезагружено для обновления, в это время не рекомендуется отключать его от электрической сети.

Рекомендуется периодически проверять доступность новой версии PO в роутере, поскольку MikroTik постоянно выпускает обновления на свои устройства.

Работа с пакетами

Ранее мы установили настройку синхронизации времени устройствами локальной сети с маршрутизатором в настройках DHCP сервера. Однако у RouterOS нет сервера времени (NTP server). Установка дополнительного пакета решает эту проблему. Перейдите в раздел «Программное обеспечение» веб-сайта MikroTik. Как известно, hAP ac^2 работает на процессорах ARM. Архитектуру процессора устройства можно увидеть, перейдя в раздел System -> Resources, а затем выбрав пункт «Название архитектуры». Наше устройство находится в списке раздела ARM. Как видно из раздела обновления, указанного выше, наша установленная версия RouterOS, версия 6.47.7 ветка Stable, является архивом, который необходимо загрузить из подраздела дополнительных пакетов.

Находим файл ntp-xxx-yyy.npk в распакованном каталоге (xxx — версия RouterOS, для которой подходит пакет, yyy — архитектура процессора). Важно, чтобы версии RouteOS и файла совпадали.

Мы должны открыть раздел Files в боковом меню WinBox. Перетащите файл ntp-xxx-yyy.npk в корень раздела Files.

Перезагружайте системный маршрутизатор, выбрав «Перезапуск». После завершения установки и перезагрузки файл ntp.npk будет автоматически удален и появится в списке установленных пакетов в разделе System -> Packages.

Можно отключить некоторые пакеты, чтобы не использовать системные ресурсы маршрутизатора. В домашних условиях пакеты hotspot и mpls не нужны; просто выделяем их и нажимаем кнопку «Отключить». Если используемый маршрутизатор не имеет встроенного Wi-Fi, пакет Wi-Fi можно отключить. Поскольку эти пакеты являются частью RouterOS, их удалить невозможно. Однако установленные пакеты, такие как пакет ntp, можно не только отключать, но и удалить с помощью кнопки «Удалить». После перезагрузки роутера происходит окончательное отключение/удаление после отметки пакетов.

Настройка синхронизации времени

Настройка сетевого сервера времени (NTP). Чтобы настроить сервер времени на устройствах MikroTik, необходимо установить пакет ntp из дополнительного архива пакетов Extra Packages, процедура установки которого описана выше в этой статье.

В разделе System — NTP Server можно включить сервер времени. Все, что вам нужно сделать, это выставить флажок на «Включено» и нажать «ОК».

Настройку синхронизации времени с помощью NTP-клиента.

Есть два способа настроить NTP клиента.

1. В системе не установлен пакет ntp из дополнительного архива пакетов Extra Packages
2. В системе установлен пакет ntp из дополнительного архива пакетов Extra Packages

Вариант номер один: этот раздел доступен только в том случае, если не установлен дополнительный пакет NTP. Выберите систему, а затем SNTP-клиент. Выставляем параметры:

• Enabled — вкл.
• Primary NTP server — time.google.com
• Secondary NTP server — time1.google.com

Вариант номер два: доступ к этому разделу возможен только после установки дополнительного пакета NTP. Выберите систему, а затем NTP-клиента. Выставляем параметры:

• Enabled — вкл.
• Mode — unicast
• Primary NTP server — time.google.com
• Secondary NTP server — time1.google.com

Настройка времени на устройстве. System -> Clock, отключаем Time Zone Autodetect, выставляем правильный часовой пояс и проверяем правильное ли выставлено время.

Настройка Wi-Fi

Настройка Wi-Fi производится в разделе Wireless. Сначала создаем профиль безопасности, в котором описывается как устройства будут подключаться к точке доступа. Открываем вкладку Security Profiles -> +. В открывшемся окне указываем имя профиля в поле Name для удобства чтения конфигурации, в Authentication Types выбираем только WPA2 PSK (WPA PSK выбираем только в случае если какое-либо подключаемое устройство не умеет работать с WPA2), Unicast Ciphers — aes ccm, Group Chiphers — aes ccm, в поле WPA2 Pre-Shared Key вводим пароль для подключения к точке доступа, включаем самый нижний раздел Disable PMKID. Сохраняем новый профиль.

Переходим на раздел «Интерфейсы WiFi». В списке hAP ac^2 есть два беспроводных интерфейса, wlan1 и wlan2. Модуль 2.4GHz wlan1 и 5GHz wlan2 можно настроить отдельно. Нажимаем дважды на интерфейс Wlan1. Затем переходим во вкладку Беспроводная и нажимаем кнопку Advanced Mode, расположенную сбоку. Мы завершаем настройки:

• Mode — ap bridge
• Band — 2GHz-B\G\N
• Channel Width — 20MHz
• Frequency — рабочий канал, частота 2412MHz = channel 1, 2417MHz = channel 2, и т.д. Выбираем который посвободней.
• SSID — имя точки доступа, например, myhomewifi
• Security Profile — профиль безопасности. Выбираем из списка созданный ранее профиль.
• WPS mode — disabled
• Frequency Mode — manual-txpower
• Country — в этом пункте должна быть выставлена страна russia3, это значение ограничивает силу мощности излучаемого сигнала в соответствии с законодательством РФ.

Нажимаем как Apply, так и Enable. Пробуем подключиться к созданной точке доступа в разделе WiFi на своем телефоне, планшете или компьютере.

Мы можем увидеть интерфейс Wlan2. Перейдите в режим Advanced, и ваши настройки будут похожи на настройки интерфейса wlan1.

Заполняем настройки:

• Mode — ap bridge
• Band — 5GHz-A\N\AC
• Channel Width — 20MHz
• Frequency — рабочий канал, частота 5180MHz = channel 36, 5200MHz = channel 40, и т.д. Выбираем который посвободней.
• SSID — имя точки доступа, например, myhomewifi. Некоторые любят разделять, добавив в конце _5G, что бы устройство соединялось только с 5GHz, спорное решение, т.к. те же многие так же подключают устройства и к 2.4GHz, а потом вручную выбирают необходимый. Если клиентское устройство хорошо ловит сигнал 5GHz оно само к нему подключится и при одинаковом названии точек для двух радиомодулей.
• Security Profile — профиль безопасности. Выбираем из списка созданный ранее профиль.
• WPS mode — disabled
• Frequency Mode — manual-txpower
• Country — в этом пункте должна быть выставлена страна russia3, это значение ограничивает силу мощности излучаемого сигнала в соответствии с законодательством РФ.

Мы нажимаем Apply и Enable. Открываем раздел WiFi на компьютере, телефоне или планшете и пробуем подключиться к созданной точке доступа. Проверяем, что все устройства подключены на частоте 5GHz.

Дополнительные настройки

Отключаем все ненужные сервисы в меню IP -> Services. Обычно для доступа к устройству используется winbox, а для использования командной строки — ssh. В поле Available From можно указать адреса, для которых будут доступны данные сервисов. Однако, поскольку списки сервисов ограничены по количеству и требуют дополнительных ресурсов маршрутизатора для их проверки, лучше использовать списки в Firewall, если такое ограничение необходимо.

МикроTik может обнаруживать другие устройства в сети, сообщая о себе, что может быть небезопасно. Мы ограничиваем обнаружение интерфейсом, который использует список, который был создан ранее. IP — Соседи; если в поле Интерфейса есть НЕ (восклицательный знак в квадрате), его нужно удалить. Чтобы это сделать, выбираем «Поиск списка» в выпадающем списке.

По умолчанию в MikroTik включен Bandwidth Test server, отключаем его Tools -> BTest Server.

Разрешаем обнаружение и подключение по MAC только для локальной сети, для этого используем ранее созданный список сетевых интерфейсов list-discovery. Tools -> MAC Server. Последовательно меняем настройки для MAC Telnet Server, MAC Winbox Server и MAC Ping Server.

MAC Ping Server Enabled отключаем совсем

Настройки, описанные выше, уменьшат количество сервисов, которые могут обнаружить и идентифицировать ваше устройство в сети, а также количество возможностей подключения к нему, что, в свою очередь, повысит уровень защиты устройства.

Затем меняем имя устройства в «Система» — «Идентификация».

Как вы можете видеть, начальная настройка MikroTik не требует особых усилий. просто последовательность простых действий. Главное — обеспечить доступ к Интернету и обеспечить защиту.

Теперь ваша база готова: роутер подключается к провайдеру, распространяет Wi-Fi и защищен надежным паролем. Все остальное — это дополнительные возможности, которые вы можете постепенно изучать.

Не пытайтесь охватить все сразу. Познакомьтесь со своим новым устройством, просматривая разделы меню. Со временем вы узнаете о родительском контроле, портах и гостевой сети.

Сделать первый и самый сложный шаг — самое важное. Дальше все будет просто. Успехов в изучении RouterOS!