Как настроить микротик routerboard RB951G-2HnD

Продолжаю рассказ про замечательную серию устройств из Латвии, которые зарекомендовали себя как функциональные и надежные девайсы. В данной статье я подробно рассмотрю вопрос базовой настройки роутеров mikrotik на примере бюджетной и самой популярной модели RB951G-2HnD. Данная инструкция подойдет практически к любой модели, так как все они сделаны на базе одной и той же операционной системы.

Углубленный онлайн-курс по MikroTik

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном онлайн-курcе по администрированию MikroTik. Автор курcа – сертифицированный тренер MikroTik Дмитрий Скоромнов. Более 40 лабораторных работ по которым дается обратная связь. В три раза больше информации, чем в MTCNA.

Данная статья является частью единого цикла статьей про Mikrotik.

Введение

Роутеры Mikrotik routerboard достаточно давно появились на рынке, но так до сих пор и не завоевали большую популярность. Хотя свою нишу заняли. Лично я считаю, что это отличный роутер для дома, по надежности у него нет конкурентов. Это действительно маршрутизатор, который можно один раз настроить и забыть. Лично мне еще ни разу не попадалось устройство, которое бы приходилось принудительно перезагружать, чтобы вывести его из комы, как это часто бывает с другими бюджетными железками.

Распространение среди домашних пользователей сдерживает в первую очередь сложность настройки. И хотя более ли менее продвинутому пользователю может показаться, что ничего тут сложного нет. Но на самом деле есть. И я часто сталкивался с просьбами настроить роутер дома для раздачи интернета по wifi, так как купившие по чьей-нибудь рекомендации пользователи сами не могли полностью настроить нужный функционал, хотя инструкций в интернете хватает.

Этот пробел я хочу восполнить и написать подробную пошаговую инструкцию по настройке микротика с нуля для чайников на примере самой подходящей для дома модели RB951G-2HnD. У меня давно подготовлена личная шпаргалка в виде текстового файла. По ней я буквально за 10 минут настраиваю роутер и отдаю пользователю. То есть реально ничего сложного нет, если знаешь, что делаешь. На основе этой шпаргалки я и напишу материал.

Возможно опытному пользователю нечего будет тут почерпнуть, а может быть я сам что-то делаю не совсем правильно или не оптимально. Прошу сделать подсказку или замечание в комментарии, если это действительно так. Я пишу статьи в том числе и для того, чтобы самому научиться чему-то новому. Как гласит одна восточная мудрость - чтобы получить новые знания, нужно поделиться теми, что есть у тебя с другими. Именно этим я и занимаюсь на страницах данного сайта.

Далее предлагаю краткий список того, что мы будем делать в статье, чтобы вы понимали, о чем пойдет речь.

Краткий список действий

Необходимое время: 2 часа

Настройка роутера Mikrotik.

  1. Сброс настроек роутера.

    Я предлагаю начать настраивать микротик с нуля, без заводских настроек. Это позволяет лучше понять и разобраться в принципах работы устройства.

  2. Обновление прошивки.

    Рассказываю, как скачать и залить самую свежую прошивку на микротик.

  3. Объединение портов в бридж.

    Так как мы разбираем базовую настройку микротика, все порты вместе с wifi будут объединены в единый сетевой бридж, чтобы подключенные к ним устройства могли взаимодействовать друг с другом.

  4. Настройка ip адреса.

    В качестве примера покажу, как настроить статический ip адрес в роутере. Это не такая тривиальная и очевидная задача, как в некоторых домашних устройствах.

  5. Подключение интернета.

    Показываю, что нужно сделать, чтобы заработал интернет на самом роутере.

  6. Настройка dhcp сервера.

    Настраиваю dhcp сервер на микротике, чтобы он раздавал сетевые настройки для всех устройств локальной сети.

  7. Настройка NAT.

    Обязательная настройка для того, чтобы интернет заработал у подключенных к mikrotik устройств.

  8. Настройка Wifi.

    Показываю базовую настройку wifi в микротике. Только минимально необходимые настройки, чтобы можно было подключаться и выходить в интернет по wifi.

  9. Смена пароля администратора.

    Показываю, как задать или изменить пароль доступа к роутеру.

  10. Настройка времени.

    Необязательная настройка. С неправильным временем тоже все будет работать, но когда оно установлено правильно и синхронизируется, удобнее и практичнее.

Описание Mikrotik RB951G-2HnD

Вот он, герой сегодняшней статьи - Mikrotik RB951G-2HnD. Его описание, отзывы и стоимость можно быстро проверить на Яндекс.Маркете. По количеству отзывов уже можно сделать вывод об определенной популярности этого роутера.

Внешний вид устройства.

Mikrotik RB951G-2HnD

Важной особенностью этого роутера, которой лично я активно пользуюсь, является возможность запитать его с помощью специального poe адаптера.

MikroTik Gigabit PoE адаптер

На изображении он справа. Берется стандартный блок питания от роутера и poe адаптер. Блок питания подключается к адаптеру, а от адаптера уже идет патч корд в первый порт routerboard. Маршрутизатор можно повесить на стену в любое место, нет необходимости привязываться к розетке. Сразу отмечу, что запитать роутер можно только poe адаптером микротика. У него другой стандарт и привычные poe свитчи 802.3af не подойдут.

Существует похожая модель RB951Ui-2HnD. Она отличается от описываемой мной только тем, что у нее 100Mb порт, а у RB951G-2HnD 1Gb. Если для вас эти отличия не принципиальны, то можете покупать более дешевую модель. В остальном они идентичны.

Будем потихонечку двигаться дальше. Как проще всего настроить микротик? Я для этого использую стандартную утилиту winbox. Можно пользоваться и web интерфейсом, но лично мне намного удобнее winbox. Так что для продолжения настройки скачивайте ее на компьютер.

Сброс настроек роутера

Подключаем роутер к сети, подаем питание и запускаем на компьютере winbox. Переходим на вкладку Neighbors и ждем, когда утилита найдет наш микротик. Это может занять какое-то время. На всякий случай можно нажать Refresh, если роутер долго не обнаруживается.

подключение через winbox

Нажимаем на мак адрес устройства, он должен будет скопироваться в поле Connect To. Пароль по-умолчанию для входа в роутеры mikrotik - пустой, а пользователь - admin. Вводим имя пользователя, поле с паролем оставляем не заполненным. Нажимаем connect. Нас встречает информационное окно, в котором приведено описание стандартных настроек.

сброс настроек по-умолчанию

Здесь их можно либо оставить, либо удалить. Я всегда удаляю, так как стандартные настройки чаще всего не подходят под конкретную ситуацию. Приведу несколько примеров, почему это так:

  1. Я запитал свой роутер по первому порту через poe адаптер и поэтому вынужден использовать этот порт как локальный. В настройках по-умолчанию этот порт используется как wan порт для получения интернета от провайдер.
  2. В настройках по-умолчанию установлено автоматическое получение настроек от провайдера по dhcp. Если у вас другой тип подключения, то вам стандартная настройка не подходит.
  3. По-умолчанию устанавливается адресное пространство 192.168.88.0/24. Мне лично не нравятся сетки по-умолчанию, так как если в них случайно воткнуть новое устройство, где будет так же забит умолчательный адрес, то в сети начнутся проблемы. Дома может это и не актуально, но в коммерческих организациях мне приходилось с этим сталкиваться. Поэтому я на всякий случай сетку всегда меняю.

Так что мы нажимаем Remove Configuration, чтобы удалить настройки. После этого роутер перезагрузится. Ждем примерно минуту и подключаемся к нему снова.

Если вы по какой-то причине не удалили сразу предустановки, то выполнить сброс настроек в mikrotik на заводские можно позже. Для этого надо в терминале набрать сначала system, а затем reset. У вас спросят подтверждение и после этого routerboard перезагрузится с заводскими настройками.

Обновление прошивки

После очистки настроек я рекомендую сразу выполнить обновление прошивки роутера Mikrotik. Для этого идем в раздел Download официального сайта и скачиваем нужный файл. В данном случае это платформа mipsbe, пакет для загрузки Main package. Загружаем его на компьютер и подключаемся к роутеру с помощью winbox. Выбираем слева раздел Files. Затем открываем рядом два окна - один с файлом прошивки, второй с winbox и перетаскиваем мышкой файл из папки в winbox в список файлов.

обновление прошивки mikrotik

Дожидаемся окончания загрузки прошивки и перезагружаем микротик через раздел меню System -> Reboot. Прошивка обновится во время загрузки роутера. Подождать придется минуты 3. Поле этого снова подключаемся к устройству. После обновления прошивки, нужно обновить загрузчик. Делается это в пункте меню System - RouterBoard. Заходите туда, проверяете строки Current Firmware и Upgrade Firmware. Если они отличаются, то жмете кнопку Upgrade. Если одинаковые, то можно ничего не делать. Изменения вступят в силу после перезагрузки.

обновление firmware

Проверить версию установленной прошивки можно в разделе System - Packages.

проверка обновлений

В моем случае версия прошивки - 6.43.4. В будущем, когда на роутере будет настроен интернет, обновляться можно автоматически в этом разделе, нажимая на Check For Updates.

Прошивку обновили, можно приступать к настройке.

Объединение портов в бридж

Одной из особенностей роутеров mikrotik routerboard является отсутствие предустановленных настроек портов. Объясняю на пальцах, что это такое. Покупая обычный бюджетный роутер, вы увидите подписи к портам. На одном из них обязательно будет написано WAN, на других либо ничего не будет написано, либо LAN. То есть у вас уже будет один порт настроен определенным образом для подключения интернета и остальные порты будут объединены в switch для удобства подключения оборудования.

В Mikrotik не так. Там все порты равнозначны и WAN портом может стать абсолютно любой, какой пожелаете. Так как я 1-й порт использую для подключения питания, в качестве WAN у меня будет выступать 5-й порт. А все остальные я объединю в единую сеть с помощью bridge и добавлю к ним wifi интерфейс. Для этого идем в раздел Bridge и создаем новый bridge1.

Настройка bridge в Mikrotik

Настройки все оставляем дефолтные. У нас появился bridge1. Переходим на вкладку ports и жмем плюсик. Добавляем в brdige1 все порты, кроме WAN. В моем случае это 5-й порт.

добавление портов в bridge

Мы объединили все необходимые интерфейсы в бридж для организации единого пространства для всех подключенных устройств.

Настройка статического IP

До этого мы подключались к роутеру по МАК адресу. Сейчас можно ему назначить статический локальный ip адрес, по которому он будет доступен в сети. Для этого идем в раздел IP -> Addresses и жмем плюсик.

настройка статического ip в mikrotik

Указываете в разделе Address любую подсеть. Я выбрал 192.168.9.0. Соответственно микротику мы назначаем адрес  192.168.9.1/24. В качестве интерфейса выбираем bridge1. Поле Network можно не заполнять, оно заполнится автоматически. Теперь наш роутер доступен и по локальным интерфейсам, и по wifi (который еще предстоит настроить) по адресу 192.168.9.1.

Настройка интернета в микротик

Сейчас самое время подключиться к провайдеру и настроить интернет. Тут трудно охватить все возможные варианты подключения. Их может быть много. Я рассмотрю два самых популярных способа:

  1. Вы получаете настройки от провайдера автоматически по dhcp.
  2. Провайдер дал вам готовые настройки и вы их вводите вручную.

Как я уже писал ранее, для подключения к провайдеру мы будем использовать 5-й порт. Подключайте провод провайдера.

Для получения настроек по dhcp переходите в winbox в раздел IP -> DHCP Client и жмите плюсик. Выбираете интерфейс ether5 и жмете ОК.

получение настроек по dhcp

Если вы все сделали правильно, то увидите, какой IP адрес получили. В разделе IP -> Addresses будет информация о настройках.

информация об ip

Рассмотрим вариант, когда провайдер выдал все настройки и вам нужно самим их задать. Будем считать, что наши настройки интернета следующие:

IP адрес 192.168.1.104
Маска 255.255.255.0
Шлюз 192.168.1.1
DNS 192.168.1.1

Сначала укажем IP адрес. Делаем все то же самое, что и в предыдущем пункте при настройке статического IP. Только теперь вместо интерфейса bridge1 указываем ether5 и вводим соответствующий адрес - 192.168.1.104/24. Тут мы сразу указали и адрес и маску подсети.

установка ip провайдера

Дальше нам нужно установить шлюз по-умолчанию. Без этого обязательного шага интернет не заработает. Идем в раздел IP -> Routes и жмем плюсик для добавления шлюза по-умолчанию. В Dst. Address оставляем как есть 0.0.0.0/0, а в поле Gateway вписываем шлюз провайдера и жмем ОК.

установка шлюза по-умолчанию в mikrotik

Уже сейчас интернет должен заработать, но без указания DNS сервера обращаться можно только по прямым ip адресам. Например можно пропинговать ip адрес серверов гугла. Открываем New Terminal и проверяем.

ping dns сервера гугла

Теперь установим DNS сервер. Для этого идем в IP -> DNS, в поле Servers вводим адрес dns сервера провайдера. Если у вас их два, то нажав на треугольничек, направленной вершиной вниз, вы можете ввести еще одно значение. Обязательно ставите галочку напротив Allow Remote Requests.

установка dns сервера провайдера

Если у вас внешний IP адрес и вы разрешили удаленные DNS запросы, обязательно выполните настройку firewall и заблокируйте все входящие соединения. Если этого не сделать, то ваш роутер может стать жертвой поддельных dns запросов, которые используют для ddos атак.

На этом все, мы полностью установили настройки интернета провайдера. Можно проверить и пропинговать привычный адрес сайта.

ping ya.ru

На самом маршрутизаторе уже есть выход в интернет. На нам нужно его настроить для пользователей. Для этого продолжаем настройку mikrotik.

Настройка dhcp сервера

Для того, чтобы подключенные устройства могли получать сетевые настройки автоматически с роутера, на нем необходимо настроить DHCP сервер. Делается это не сложно, я сейчас по шагам все распишу. Идем в IP -> DHCP, переходим на вкладку DHCP и нажимаем DHCP Setup. Нам предлагают выбрать интерфейс, на котором будет работать сервер. Выбираем bridge1.

настройка dhcp сервера в микротик

Жмем next. Теперь нужно выбрать адресное пространство, из которого будут выдаваться ip адреса. По-умолчанию указана подсеть, в которую входит ip адрес роутера. На это подходит, оставляем значение по-умолчанию 192.168.9.0/24.

установка сети для dhcp

Дальше нужно указать адрес шлюза, который будут получать клиенты. Так как для них шлюзом будет выступать сам микротик, оставляем его адрес, который уже предложен.

установка шлюза для dhcp

Теперь нужно указать диапазон адресов, которые будут выдаваться клиентам. Если вам не принципиально и вы не знаете, зачем его нужно менять, то оставляйте как есть. Будут использованы все свободные адреса подсети.

список ip адресов для dhcp

На последнем этапе вводим адрес dns сервера, который будет выдаваться клиентам. Это может быть как сам микротик, так и dns сервер провайдера. Это не принципиально, но лучше указать сам роутер. Так что пишем туда локальный адрес 192.168.9.1.

dns сервер для dhcp

Следующий параметр оставляем по-умолчанию и жмем Next. На этом настройка dhcp сервера для локальной сети закончена.

Если мы сейчас проводом подключим любого клиента к mikrotik, то он получит сетевые настройки, но в интернет выйти не сможет. Не хватает еще одной важной настройки - NAT.

Настройка NAT

NAT это преобразование, или как еще говорят трансляция сетевых адресов. Я не буду рассказывать, что это такое, можно самим почитать в интернете. Все современные роутеры имеют функцию NAT для обеспечения доступа к интернету абонентов. Так что мы тоже настроим NAT в mikrotik.

Идем в раздел IP -> Firewall, открываем вкладку NAT и жмем плюсик. На вкладке General указываем только один параметр Out. Interface - ether5 (интерфейс подключения к провайдеру), все остальное не трогаем.

настройка nat в mikrotik

Переходим на вкладку Action, выбираем в выпадающем списке masquerade. Остальное не трогаем и жмем ОК.

установка masquerade

Все, NAT настроили. Теперь если подключить клиента проводом в один из портов, то он получит сетевые настройки по DHCP и будет иметь доступ к интернету. Нам осталось самая малость - настроить wifi для подключения беспроводных клиентов.

Настройка wifi точки доступа в mikrotik

Наш роутер почти готов к работе. Осталось только настроить wi fi точку доступа и можно про него забывать :). Настройка wifi в микротике заслуживает отдельной статьи. Там очень много нюансов и возможностей. Мы сейчас сделаем самую простую настройку, которая подойдет и полностью удовлетворит потребности домашнего wifi роутера. А для более глубоких познаний можно будет воспользоваться отдельным материалом на эту тему.

Первым делом активируем беспроводной интерфейс. По-умолчанию он выключен. Идем в раздел Wireless, выбираем wlan1 и жмем синюю галочку.

активация wlan интерфейса

Интерфейс из серого станет светлым. Переходим на вкладку Security profiles, два раза жмем мышкой на строчку с профилем default. В поле Mode выбираем dynamic keys. Ставим галочки напротив WPA PSK и WPA2 PSK и aes ccm. В поля WPA Pre-Shared Key и WPA2 Pre-Shares Key вводим пароль от будущей беспроводной сети. Я рекомендую использовать длинный пароль (не меньше 12-ти символов) с цифрами и спецсимволами. Да, вводить не очень удобно, но после того, как я сам без проблем брутил хэши простых паролей, я убедился, что лучше поставить сложный пароль, если не хочешь, чтобы к твоему wifi кто-то подключался.

настройка профиля безопасности

Сохраняем настройки. Возвращаемся на вкладку Interfaces и два раза жмем на wlan1, открываются настройки wifi интерфейса микротика. Переходим на вкладку Wireless. Выставляем настройки как у меня на скриншоте.

настройка wifi в mikrotik

Обращаю внимание на следующие настройки:

  • SSID - имя вашей беспроводной сети. Пишите то, что хочется.
  • Frequency - частота, соответствующая одному из 12-ти каналов. Самое первое значение это первый канал и так далее. Тут рекомендуется выбрать тот канал, который в вашем конкретном случае менее всего занят другими точками доступа. Если вы не знаете что это за каналы и как их проверить, то не обращайте внимания, может выбрать любое значение из списка.

Сохраняете настройки, нажимая ОК. Все, wifi  точка доступа на mikrotik настроена, можно проверять. Запускаете любое устройство, ищете вашу сеть, вводите пароль доступа и проверяете интернет. Все должно работать.

На этом основная настройка микротика закончена, но я рекомендую выполнить еще несколько настроек для удобства и безопасности.

Смена пароля администратора по-умолчанию

Как я уже писал ранее, пароль администратора по-умолчанию в mikrotik не задан, он пустой. Имя пользователя - admin. Давайте установим свой пароль для ограничения доступа посторонних к настройкам. Для этого идем в раздел System -> Users. Выбираем единственного пользователя admin, жмем правой кнопкой мыши и выбираем самый последний пункт password.

смена пароля по-умолчанию

В открывшемся окошке 2 раза вводим свой пароль и сохраняем его. Теперь, чтобы подключиться через winbox нужно будет указать не только пользователя admin, но и установленный пароль.

В свете последних взломов микротика, я настоятельно рекомендую не просто установить сложный пароль на административную учетную запись, а создать полностью новую, с именем пользователя отличным от admin. Для этого в списке пользователей, жмите плюсик и создавайте нового пользователя.

Добавление нового администратора в микротик

После этого, пользователя admin можно отключить.

Блокировка дефолтного admin

Настройка времени

Я рекомендую устанавливать правильное время и включать его автоматическую синхронизацию. Это может пригодиться, если вам понадобится посмотреть какие-нибудь логи и сопоставить время. Если оно не будет установлено, то это трудно сделать. Так что настроим его. Идем в System -> Clock, устанавливаем вручную время, дату и часовой пояс.

настройка времени

Сделаем так, чтобы время автоматически обновлялось через интернет. Идем в раздел System -> SNTP Client. Ставим галочку Enabled, в поле с адресами серверов вводим 193.171.23.163 и 85.114.26.194. Жмем Apply и наблюдаем результат синхронизации.

автообновление времени

Теперь часы роутера всегда будут иметь актуальное время.

На этом базовая настройка роутера mikrotik для домашнего пользования закончена. Можно устанавливать его на место и пользоваться. На всякий случай рекомендую посмотреть статью с разбором основных ошибок в микротике.

Часто задаваемые вопросы по теме статьи (FAQ)

Подходит ли Микротик для домашнего использования?

Я считаю, что Микротик стоит использовать только тем, кто может его самостоятельно настроить. Если вы не системный администратор, не разбираетесь в сетевых технологиях, лучше поставить какой-то роутер попроще. Я сталкивался с ситуациями, когда пользователь обращается к провайдеру с проблемами доступа в интернет. И когда он говорит провайдеру, что у него устройство Микротик, тех. поддержка провайдера отвечает, что мы не можем помочь с таким устройством. Разбирайтесь сами.

Какую ветку прошивки вы рекомендуете использовать?

Если вас не интересуют нововведения, которые появляются в новых версиях прошивки, я рекомендую использовать ветку long-term. Это самая стабильная версия, куда оперативно вносятся все обновления безопасности.

Можно ли запитать устройства Mikrotik через стандартный poe адаптер 802.3af?

Нет, у Mikrotik свой стандарт poe адаптеров, которые подходят только для устройств этой же фирмы. Он отличается от промышленного стандарта 802.3af, поэтому необходимо приобретать фирменные poe адаптеры Mikrotik.

Из-за чего часто возникают проблемы со связью у устройств компании Apple и роутеров Mikrotik?

Корень проблемы подключения apple устройств, в частности iphone, к микротикам кроется в механизме обновления dhcp leases в режиме сна. Когда iphone или другое устройство apple "засыпает", оно не может корректно обновить dhcp аренду, поэтому при выходе из режима сна wifi сеть бывает недоступна. Частичное решение этой проблемы - делать большой интервал обновления dhcp аренды - несколько часов или суток.

Видео

https://youtu.be/iVm88HgNfdc

 

Углубленный онлайн-курс по MikroTik

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном онлайн-курcе по администрированию MikroTik. Автор курcа – сертифицированный тренер MikroTik Дмитрий Скоромнов. Более 40 лабораторных работ по которым дается обратная связь. В три раза больше информации, чем в MTCNA.

Помогла статья? Подписывайся на telegram канал автора

Анонсы всех статей, плюс много другой полезной и интересной информации, которая не попадает на сайт.

Автор Zerox

Владимир, системный администратор, автор сайта. Люблю настраивать сервера, изучать что-то новое, делиться знаниями, писать интересные и полезные статьи. Открыт к диалогу и сотрудничеству. Если вам интересно узнать обо мне побольше, то можете послушать интервью. Запись на моем канале - https://t.me/srv_admin/425 или на сайте в контактах.

356 комментариев

  1. Добрый день! Вопрос по настройке вайфайю Все настроил как в статье. Ни одно устройство не может подключиться к сети вай фай

    • А ошибки какие на устройствах появляются, когда она не могут подключиться?

  2. Владимир

    Здравствуйте. Просмотрел много статей по настройке роутера, но так и не понял зачем настройка DHCP клиента на порту WAN? В чём отличие КЛИЕНТА от сервера? С сервером вопросов нет - это многократно описывалось в наставлениях.А вот с КЛИЕНТОМ - одни неясности. Этот вопрос "гуру" как то проскакивают, и нигде нет не то, чтобы толкового пояснения. А вообще - никакого. В то же время, при определённых настройках сети наличие КЛИЕНТА совсем не обязательно. Устройства к роутеру подключаются и интернет прекрасно раздаётся на эти устройства. По возможности расскажите в чём суть этой настройки и её применение. Спасибо!

    • Настройка dhcp клиента на порту wan нужна, если ваш провайдер выдаёт вам настройки для доступа в интернет через свой dhcp сервер.

  3. Здравствуйте. Подскажите пожалуйста, существуют ли какие-то особенности настройки роутера без использования интернета?
    Задача: по Wi-Fi управлять рядом приборов с планшета…
    Возможно где-то у вас есть инструкция по настройке подобного…
    Спасибо.

    • Никаких особенностей нет. Wifi с интернетом никак не связан. Будет работать и без него.

  4. Андрей

    Здравствуйте. Беспокоит школа. У нас в школе, впрочем как и в других школах России, по Указу Президента провели высокоскоростной инет. Но там есть узкое горлышко, а именно все настройки подключения к инету сделаны через прокси которые нам выдали сверху, такое требование у них и других вариантов нет. Ну это не проблема, всё компы я настроил через прокси, инет есть, но вот интерактивные панели, они у нас на андроиде, их не могу настроить, и сторонние программы типа drony не помогли. Был куплен маршрутизатор микротик rb750gr3, вычитал что его можно настроить так, чтобы в него прописать выданные нам прокси с адресом 10.0.56.52 порт 3128, а он через прозрачный прокси раздавал бы уже автоматически телевизорам и панелям инет. Скажите, можно ли это сделать и как? Т.к. подробных инструкций не нашел, а опыта в настройке мкиротика нет. По вашей статье начал настраивать, но завис на статусе connecting to 2c:c8:....... Спасибо заранее.

    • Так трудно сказать, потому что нет технических деталей. В микротике можно настроить автоматическое перенаправление веб трафика с панелей на указанный прокси. Но вот будет ли эта прокси принимать подобный трафик без принудительной авторизации - не знаю. Зависит от её настроек. Вы на компьютерах каким образом настраивали эти прокси? Прописывали адрес сервера, логин, пароль или просто адрес прокси и всё? Вообще, такие детали лучше уточнить у провайдера. Для них это ежедневная рутина и думаю они быстро подскажут, как решить подобную проблему с подключением к их инфраструктуре.

      • Андрей

        К сожалению не рутина для провайдера, обращался. Отправляют в разработчику панелей, к их техподдержке. А её нету, панели поставили в школы и благополучно забыли. На компьютерах, в свойствах браузера прописывал адрес, порт, прописывал IP адрес из определенного диапазона, маску и шлюз, который нам выдали тоже в ростелекоме, ставил сертификат от ростелекома и всё. Я правильно рассуждаю, что в микротике нужно прописать где-то этот адрес, порт, шлюз, маску, ну т.е. всё что в компе прописываю, а он раздаст уже адреса от себя автоматически на устройства, которые к нему подключены?

        • Я не могу так ничего посоветовать. Нет достаточно вводных. Тут нужно нормально разбираться и настраивать. В формате ответов на комментарии эти задачи не решить.

  5. Добрый день. Подскажите в какую сторону копать. После настройки mikrotik rb750gl (wan и lan поднялись и функионируют) подключил несколько устройств (IP-телефоны и пару пк), вручную распределил адреса, и на некоторых устройствах не принимается адрес с записью в лог что этот адрес дублируется (совпадение адресов). У утилите IPScan задал опрос своей подсети и оказалось что все адреса с 192.168.0.0 по 192.168.0.254 забиты непонятным мак-адресом. При этом прописаные адреса на устройствах дублируются в этом списке со своими мак-адресами. Что не так я настроил. Заранее благодарю за помощ.

    • А чьим мак адресом всё занято? Похоже у вас какое-то проблемное устройство в сети. Надо его найти и отключить.

      • C4:AD:34:6A:EA:C5 мак из группы принадлежащей миктротикам, в сети еще есть два подобных роутера, проверяли не ничего похожего нет.

        • Интересная история. Первый раз такое вижу. У меня нет идеи, как так может быть. Явно какая-то ошибка с настройками или самим устройством. Перезагрузки не решают проблему?

          • Естественно, я б не писал еслию перезагрузка все решала. Я вообще не представляю как стороний роутер может влезть и забит ь все адресное пространство.

            • Не верно настроен DHCP сервер на вашем микротике. Прочитайте в сети как настроить ARP.

  6. Богдан

    добрый день, подскажите какие лучше порты зарыть в цели безопасности ?)))

    • Все :) Особенно доступ по winbox. Из интернета он должен быть закрыт 100%.

      • Но каким образом заходить в роутер, если прибить Винбокс ? Можно разъянить новичкам ?

        • Речь идёт не о полном запрете доступа. Я имел ввиду запрет свободного доступа из интернета. Он должен быть разрешён с конкретных ip адресов и сетей, в безопасности которых вы уверены.

  7. Доброго времени суток, Владимир! Не подскажете - можно ли подключить интернет к mikrotik через прокси (SSH Socks5)?

    • Даже не знаю. Не видел такой возможности. Можно перенаправление трафика делать на этот прокси.

  8. Михаил

    Приветствую всех! Уже не раз выполнял базовую настройку Mikrotik, а также настройку доступа к маршрутизатору по доменному имени через mynetname.net. Однако с определенного момента маршрутизатор перестал давать доступ по прежним учетным данным, которые совпадают с данными для доступа через Winbox. В чем может быть причина?

  9. Кирилл

    Здравствуйте. Такой вопрос. На микротике заканчиваются ип адреса. Занято 231 ип адрес. Думаю как поступить. Нужно расширить диапазон ип адресов, добавить еще 255 адресов. Можно ли это сделать, не затрагивая уже готовые настройки на бридж1 ? Не хочется все с нуля поднимать.

    • Заканчиваются адреса в DHCP сервере на микротике? Тогда поменяйте на нём маску с 255.255.255.0 на, например, 255.255.254.0 и будет вам ещё 255 адресов (точнее 254 :) )

  10. Аноним

    добрый вечер вопрос а как настроить под PPPoE соединение,статику вы описали,DHCP тоже ,а PPPoE нет

    • Чтобы описать подключение по PPPoE, нужно его где-то иметь, а у меня нет таких подключений.

  11. Всем привет !
    Кто нибудь настраивал микротик, на Ростелекоме по IPOE ?
    Когда нет логина и пароля в договоре.

  12. Доброго времени суток. Попытка настроить роутер Mikrotik RB952Ui-5ac2nD не увенчалась успехом. Все делал как в данной статье, но на этапе пингования серверов гугла, после ввода настроек интернета от провайдера ждал таймаут. Получить настройки от провайдера по dhcp не получилось, поэтому использовалась информация, полученная в результате переговоров с менеджером провайдера. Единственное отличие в моих действиях от приведенных в данной статье, это, разумеется настройки интернета и использование 1 порта для подключения провода провайдера. Разумеется в таком случае 2-5 в бридже1. Помогите пожалуйста понять корень проблемы.

  13. Владимир

    Здравствуйте Zerox и форумчане. Есть ли опыт подключения оптоволокна через медиаконвертер (напр. RBFTC11) через медь к роутеру Микротик под WAN провайдера.
    Как сконфигурировать интерфейс от порта Ether_Х для Bridge c WLAN ? (Сейчас в бридже PPP-Out для GSM-модема). Инфа в Гугле вся под роутеры с интегрированным SPF-гнездом.
    Спасибо !

  14. Андрей

    Помогите, как на RB2011UIAS отключить индикаторы, хотя бы питания? Изолента не спасает.

    И может быть у Вас есть статья по настройке проброса портов для RDP?
    И как в него воткнуть 3G модем для резервного инета, чтобы автоматом переключал на него?

    • Если в настройках через winbox нет раздела с параметрами индикатора, то никак. На каких то моделях можно управлять лампочками, на каких-то нет. Сам страдаю дома от этой гирлянды. Спасает монтажная лента, она плотная. Под ней картонка, чтобы точно не просвечивало.

      Настройка проброса портов - https://serveradmin.ru/bazovaya-nastrojka-firewall-v-mikrotik/
      Резервирование через модем - https://serveradmin.ru/mikrotik-951ui-2hnd-2-wan-interfeysa-dlya-rezervirovaniya-kanala/

      • Андрей

        Спасибо тебе огромное, 2 года эта железяка лежала , не решался ставить, нервы берёг ))

        • Надо записать, такого отзыва на микротик еще не видел :)

          • Андрей

            Ну что могу сказать, неделю терпел... у меня радио-наушники, после установки этого роутера начался просто писк и треск в ушах по всей квартире, изменял частоты на все возможные, не помогло. Выкинул это говно, поставил обратно асус и радуюсь своим наушникам....

            • А что у АСУСа физика другая?! Не классическая, а асусовская?! Попробуйте не только каналы разные, но и мощность. Сотовые на колонки и наушники влияют, а вот про WiFi первый раз слышу. "И как в него воткнуть 3G модем для резервного инета, чтобы автоматом переключал на него?" - ваши слова выше. Может вы свисток сотовый воткнули в него??? Сотовая связь может влиять на наушники. Но причём тут микротик тогда???

              • Андрей

                Я не придумываю, пишу как есть. 3G vодем не подключал. Надеваешь наушники и начинаешь переключать частоты и на каждой свои шумы. Свистит, тикает, гудит. В прямом эфире меняю и мгновенно новые помехи. Вчера ковырялся, поставил 15Dbm и параметр indoors. Стало меньше шуметь, но инета на кухне больше нет. FM -передатчик стоит в полуметре от роутера. Еще заметил такой момент, фонит, когда ты находишься в наушниках в комнате с роутером, если идёшь за стену, то перестаёт . т.е именно в приёмнике дело. Наушники на 863,0-865,0 MГц, не изменить. Кстати на телефон они не реагируют вообще

  15. Константин

    Большое спасибо за статью. Только маленькое замечание - при настройке клиента SNTP имхо лучше писать не IP-адреса NTP-серверов, а имена пулов - типа ru.pool.ntp.org - а они уже сами раскидывают клиентов. :)

    • Раньше нельзя было писать по имени. Но даже если сейчас написать по имени, то вроде бы в момент сохранения все равно происходит резолв в ip и потом постоянно по этим же ip и идет опрос.

  16. Уставший зомби

    Добрый день.
    Прошу помощи/пинка в нужную сторону.
    Настроил 2 сети wifi, гостевую и внутреннюю. все работает, все здорово (спасибо Вам)
    Но есть проблемка, какая то редиска из гостевой сети рассылает спам. Ессно ip начинает попадать во всяческие блек-листы...

    Хочу гостевую сеть выпустить через отдельный ip. Ковырял и так и эдак, не могу сообразить чего не так делаю.

    • Я бы просто заблочил на гостевой сети smtp порты. А по поводу отдельного ip подсказать невозможно, не зная подробностей настройки самой сети и выхода в интернет. Иногда это может оказать нетривиальной задачей.

      • Уставший зомби

        В том то и дело, что на гостевой сети смтп нужен. Правило то я настроил от откровенного спама, но бывает, достаточно одного письма с неверным HELO...
        В отдельный порт микрота будет воткнут кабель от провайдера со статикой.

  17. добрый день! Подскажи решение проблемы. В интерфейсе закрыл все порты по ошибке и даже WINBOX, перегрузил, настройки в действии, как теперь попасть в настройки Микротика и вернуть как было? Спасибо

    • Пробуйте подключаться по mac адресу. Для этого надо быть с микротиком в одной локальной сети. Других способов нет.

  18. Виталий

    Добрый день. Помогите советом, к RB750Gr3 по кабелю (через POE адаптер) подключены WiFi точки доступа, а сам RB750Gr3 напрямую подключен к провайдеру. Порты точек доступа объединены в бридж, порт от провайдера не в бридже, но провайдеру видны мак-адреса WiFi точек доступа, как это возможно? IP динамический от провайдера, NAT настроен как в статье (masquerade), микротиков у меня несколько, пробовал на разных, с разными настройками, с правилами фаервола и без, разные прошивки, все равно провайдер видит маки точек доступа.

    • А у вас точки доступа случайно не в одном широковещательном домене с провайдером оказываются? Адресация у провайдера и у вас разная? Еще проверьте, не включена ли на интерфейсе с кабелем провайдера настройка proxy-arp. По идее, через нее маки могут утекать.

      • Виталий

        У провайдера 100.64.32.0, у меня 192.168.1.0. В настройках Wan-порта и бриджа ARP стоит просто enabled по стандарту.

  19. Алексей

    Здравствуйте, подскажите как сменить на этом роутере канал wifi

    • Идёте в раздел Wireless, выбираете свой интерфейс. На вкладке Wireless этого интерфейса настройка Frequency отвечает за канал роутера.

      https://serveradmin.ru/wp-content/uploads/2020/11/2020-11-24_11-36-02.png

      • Руслан

        Здравствуйте! Приобрёл mikrotik hap aс2, зная о трудностях настройки, выбрал всё же его, за надёжность, если верить отзывам. Настраивал, следуя указаниям довольно подробного видео из Ютуба. Я обычный пользователь, наверное, слишком самоуверенный... В результате - по LAN портам интернет раздаётся, но по WiFi нет. Устройства подключаются, но без доступа в интернет. Хотя видно, что некоторый траффик через wlan проходит, если зайти в интерфейсы. У провайдера разводят руками, как теперь уже прочитал, такое возможно. В настройках wireless пересмотрел уже всё, ip у меня динамический, настройки, я думаю, верны, файерволл пробовал вовсе отключить, ничего не добился... Перед выбором стою - вернуть, или обменять, может, брак? Хотелось бы всё же Mikrotik.

        • Так вот же статья, сделайте по ней и все получится. Возможно не добавили wifi интерфейс в бридж вместе с остальными портами. Вот там и не работает интернет.

  20. Виталий

    Добрый день. Может подскажете в каком направлении копать, время от времени (несколько раз на день) провайдер блокирует интернет (помогает только release dhcp клиента), по словам провайдера кроме mac микротика в интернет лезет еще два mac адреса. Кабель провайдера приходит прямо в Wan микротика, Wan настроен верно и в бридже понятное дело не находится.

    • Если все, как вы описали, это не ваша проблема. Нужно провайдеру разбираться, кто еще лезет в интернет по вашему линку. У вас нет инструментов для такого разбирательства, если кроме провода от провайдера у вас ничего нет.

  21. Сергей

    Добрый вечер, люди.
    Подскажите, плиз, а под license Level3 работает DHCP-сервер?

    А то хочу купить RBLHGR&R11e-LTE и вот думаю: сможет ли оно поддерживать небольшую локальную сеть через тупой свитч на 10 клиентов и 3 точки доступа?

    Пока нет под рукой ничего с license Level3, чтобы пощупать самому.

  22. Алексей

    Здравствуйте, подскажите пожалуйста,
    нужно настроить маршрутизацию на mikrotik rb750r2, чтобы я обращаясь к роутеру по ip 10.106.7.203 реально отправлял пакеты на ip 192.168.214.1. Для этого, если я правильно понимаю, одному порту роутера необходимо присвоить ip 10.106.7.203, а другому например ip 192.168.214.251 и использовать порт с ip 192.168.214.251 как шлюз чтобы попасть на ip 192.168.214.1?
    Как это все настроить подскажите.

  23. Привет всем помогите разобраться и исправить проблему есть микротик лайт2 он подключался ко всему потом я полазил в нём настраивал вайфай и что то сбил теперь он не подключается именно к одной сети Ростелеком uus к точке доступа в деревни она без пароля в лог выдаёт такую ошибку 00:03:0F:B8:A0:F0@wlan1: failed to connect, on 2437/20-Ce/gn(20dBm), authentication timeout к другим сетям подключается отлично а к этой не хочет больше что то может удалил случайно, сброс делал не помогает

    • Может все-таки есть пароль? Судя по всему, тут ожидается авторизация, она не происходит и в итоге выходит ошибка authentication timeout.

  24. Александр

    Здравствуйте! Mikrotik hAP Lite подключается через WEB, но не подключается через winbox (после обновления RouterOS v6.47.4 (stable)). Никаких сообщений не выдаёт, просто коннектится без результата. Сбрасывать до заводских?

  25. Алексей

    Владимир, доброго! На RB951Ui-2nD можно все порты сделать lan? Если да то как? Благодарю!

    • Не понял, что значит сделать lan? На микротиках все порты равнозначные. Любой из них можно настроить как угодно. Если надо, чтобы все порты работали как обычный свитч, то их надо добавить в один общий бридж.

      • Алексей

        Да, да, прост некореектно выразился. У мня источник интернета lhg Lte6 kit и если с него патч корд включить в порт "Internet" то интернета нет, а если в "Lan" то все работает.

  26. Владимир

    Владимир добрый день. У меня микротик хаб 2.2. не давно я поменял кабель 4 жильный на 8 жильный. Так сказать провайдер увеличил скорость до 1000 м.б. но после того как я его подключил, то интернет пропал...он не раздает, и даже через кабель на пк тоже нет. Настроек старых я не менял ..до этого сесть была 100 м.б. Подскажите что поправить , или сотит обнулится и настроить заново.

    • Если даже напрямую в ПК не работает интернет через кабель, то 100% с ним какие-то проблемы. Могли неправильно обжать, обычное дело. Думаю, стоит к провайдеру обратиться.

  27. Спасибо за отличную статью, исходя из некоторых комментариев, она не для нубасов и полных чайников. Давно работаю сисадмином ещё с Немеции, но до этого времени не сталкивался с Микротиком, и вот однажды, месяц назад столкнулся. Я честно сказать позитивно удивлён что я раньше не столкнулся с такой дивной продукцией, где ты сам можешь делать всё что тебе пожелается (ну не всё ;-) а что касается сети).

  28. Курсы не проходил, вручили 750 и сказали - теперь он твой, разбирайся...) По опыту настройки и донастройки этих железяк ,особенно после прочтения подобных статей могу сказать одно - я бы учил людей начинать с главного пункта Files-Backup . В случае ахтунга, соответственно - restore.Благо router os достаточно дуракоустойчивая система автоматом создающая before reset configuration.Задача перепуганного админа всего лишь - вернуть как было, но пользоваться сохранением конфига, считаю , каждый обязан установив для себя это пунктом номер 1.

    • А что там есть такого, что прям обязательно надо делать бэкап и откатываться на него? Потерять устройство можно только если удаленно настраиваешь фаервол и отрубаешь себе соединение. А так всегда можно подключиться и изменить настройки. Даже если с ip напутал, подключаешься по MAC и все исрпавляешь.

    • Мне казалось, бекап вообще первое, что подразумевается в любой инструкции))

      • Так тут описана настройка устройства с нуля. То есть с пустой конфигурации. Какой смысл ее бэкапить? Восстановить обратно чистую систему можно обычным сбросом настроек.

  29. Доброе утро, у меня MikroTik RB2011UiAS-2HnD-IN. Я смог его настроить, но есть одна проблема. У меня 300 мб интернет, но роутер режет скорость до 100, как это пофиксить?

    • Скорее всего кабель с интернетом у вас воткнут в 100 мегабитный порт. У вас 4 порта 100 мегабит и 4 порта 1 Гбит. Воткните провод от провайдера в гигабитный порт и настройте на нем.

  30. Дмитрий

    Добрый день уважаемы Zerox. Появилась такая проблема с rb951ui-2hnd, после грозы вылетел блок питания, который успешно починили, но выяснилось что порты Ethernet перестали работать, при подключении к любому порту не загорается даже лампочка, как будто ничего и не подключили. Роутер не видится ни в winbox ни netinstall. Тогда как Wifi работает, телефоны подключаются, но интернета конечно же нет, т.к. порты не работают. Что делать с роутером? Проблема в по или все таки что то сгорела? Подскажите пожалуйста!

    • От удара молнии могут выгорать ethernet порты. Странно, что сразу все. Думаю, с этим уже ничего не сделать. Раз нет даже индикации на портах при подключении, то проблема явно не в ПО.

  31. Андрей

    Здравствуйте Владимир.
    Под руки мне попал Mikrotik CRS328-24P-4S+
    После включения настроил статический ip адрес и маску моей локальной подсети.

    При подключении всех физических линий (RJ-45) в коммутатор сеть не заработала в режиме роутера.
    Все заработало только после того как я создал bridge.

    Из-за чего так может быть ведь я нахожусь в одной ЛВС с компьютерами ?

    P.S.
    По логике после подключения все сетевые интерфейсы должны работать.
    Например в других управляемых коммутаторах D-Link DES-1110-24, HP Office Connect 1820 именно так. Подключил физически RJ45 в порт и сеть начинает работать.

    • Все правильно. В D-Link и HP есть функционал только свитчей. Там по-умолчанию все порты в одном бридже, скорее всего железном. В микротике они по-умолчанию никак не скоммутированы и могут выполнять как роль свитча, так и WAN интерфейса. После того, как вы их объединили в бридж, они заработали как свитч.

  32. Обязательно ли объединять порт подключения IP TV приставки c остальными в бридж , если в последствии требуется создавать мост 2000 VLAN. Может есть другой вариант настройки IP телевидения?

  33. Стоит такая задача: разобраться как именно в организации заблокированы торренты и приоткрыть конкретным пользователям. Подскажите с чего начать? Либо посоветуйте что прочесть. Спасибо.

  34. Добрый день уважаемые и особенно Zerox. Огромное спасибо за вашу статью. Ибо таким "профи" кая я, кои не понимают что такое, все то, что перечисляется в настройках-начиная от IP и заканчивая самой последней строчкой-темный лес, читать статьи, расчитанные на людей в теме, просто отвал мозга. С необходимостью освоить роутер и особенно микротик столкнула жизнь 10 дней назад, когда интернет компания предложила подключить IPtv. В этом благом намерении их не смутило упоминание об установленном микротике, интузиазм скис при лицезрении его в живую, и совсем погас при попытке его настроить.. В течении последующих 10 дней я была познакомленна с большой частью специалистов двух компаний нашего города, потом присоединились спецы еще из двух городов. После окончания издевательства над бедным микротиком, пришлось, без особой радости, выслушать диагноз:" Микротик вещь хорошая. Очень умная. Чтоб в нем разобраться нужна квадратная голова. Наверняка Вы сможете...поищите в интернете..наверняка там, что-то да найдется." Далее рекомендации склонялись к трем версиям: 1. Мы можем Вам предоставить, за доп плату роутер нашей компании, 2. купите себе кинетик-очень хорошая вещь, 3. смените компанию интернет провайдера..

    • Андрей

      Сейчас смотрю на микротик и меряю голову линейкой , на предмет квадрата.)) Интересно , хватит ли у меня квадратности, чтоб постичь науку настройки микротика?

      • Вам линейка пригодится, чтобы понять, достойны вы того, чтобы владеть таким замечательным устройством. Латвийская компания продаёт его теперь не всем.

  35. Евгений

    Капец, по вашей инструкции сбросил настройки на заводские и всё ринги не получаю от маршрутизатора! Спасибо за отличную статью и микротик говно для задротов с хвостиками, заваленными джинсами с кучей корманов и пивными животами! Маршрутизатор не советую, берите zyxel с keenetic os! Всё для людей сделано!

    • Не понял, а вы что хотели получить, когда сбрасывали настройки? Какой адрес пинговать собирались, если вы удалили всю информацию об адресах?

  36. Леонид

    Здравствуйте!
    Здравствуйте!
    Купил в Пскове с настройкой Mikrotik RB951ui-2nd. Ноутбук и Iphone подключатся по WI FI, а смартфон Sony и другие на андроиде подключаются без интернета. Что можете посоветовать в этом случае?

  37. Добрый день. Нужна помощь по настройке netmap. соединение между 2мя микротиками по впн. подсеть у обоих одинаковая. пробую настроить через правила:
    /ip route
    add distance=1 dst-address=192.168.102.0/24 gateway 192.168.62.1

    /ip firewall nat
    add action=netmap chain=srcnat dst-address=192.168.102.0/24 out-interface=ipip src-address=192.168.100.0/24 to-address=192.168.101.0/24
    add action=netmap chain=dstnat dst-address=192.168.101.0/24 in-interface=ipip src-address=192.168.102.0/24 to-address=192.168.100.0/24

    к сожалению подсеть не видно.

  38. Вячеслав

    Здравствуйте. Настроил wi-fi по вашей инструкции, но при подключении появляется ошибка, что ip не получен. ap bridge установлен. В чем может быть проблема?

  39. Добрый день. Бьюсь с hAP ac lite.
    Скачал последнюю прошивку. Все сделал по инструкции.
    Нужен простейший роутер домой без всяких изысков.
    Нет интернета. Хотя в настройках сети на компе - днсы видны от роутера, но пинг с компа идет только на днсы провайдера.
    Из роутера все пингуется по Ip, но по адресу нет. Куда посмотреть?

    • Вы dhcp настроили на своем роутере? Если с ним не получается, то попробуйте задать ручные настройки на компьютере. Укажите ip адрес компа, шлюз - ip адрес микротика, dns укажите провайдерские. И попробуйте так.

      • Настроил DHCP. Комп получает адрес. Получает DNSы от роутера. Есди смотрю свойства сети, то DNS верные (провайдерские).
        В файерволе отключил все правила.
        В настройках NAT - одно правило: src-nat на ether1(туда пров подключен) masquerade
        Такое ощущение, что NAT как-то криво отрабатывает.
        Пров подключен через lt2p

  40. Hex Lite RB750r2

    Здравствуйте, нужно настроить VPN
    VPN точка до точки

    Что бы пользователи могли имет доступ к нашему сервере в оффис

    Просто у меня стоит микротик от провайдера от него к моему Wi fi роутеру Netis а потом к моему Микротик Hex Lite RB750r2

    НАдо настроит VPN на эHex Lite RB750r2

  41. Дмитрий

    Примерно с версии 6.44 (не скажу точно с какой, но столкнулся недавно) при создании бриджа автоматически выбран параметр "Fast Forward".
    При начальной настройке роутера с нуля с этим параметром у меня не было ни доступа в интернет с клиентов, ни доступа к роутеру по IP.

  42. Добрый день. Подскажите чайнику как настроить QRT2 чтобы к wi-fi пользователи по ssid и паролю подключались, а в интернет доступ получали только после того как их добавят в access list

  43. Добрый день.
    Настроил микротик по данной инструкции. Но есть вопрос:
    выход в интернет работает на стационарных компах подключенных по LAN, на ноутбуке подключенном по Wi-Fi 2,4 GHz, на ТВ подключенном по Wi-Fi 5GHz. Но нет выхода на смартфонах подключаемых по Wi-Fi. Где копать?

  44. Добрый день.
    заменил старый роутер asus rt-12 на Mikrotik RB760iGS
    настроил по статье, все норм, но осталась небольшая проблема

    у роутера белый ip 1.1.1.1, к нему есть днс запись work.mydomain.ru

    при подключении из вне по work.mydomain.ru подключение проходит и все работает
    при подключении из локальной сети по это же записе (work.mydomain.ru) подключения не происходит

    на старом роутере из локалки и из интернета можно было подключаться без изменения адреса на локальный и это не зависило от пробрасываемых портов.

    подскажите как настроить подключение из локалки по днс записи из интернета (или ip 1,1,1,1)?

    • Вам нужно в настройки dns на роутере добавить статическую dns запись (IP -> DNS -> Static), где указать имя work.mydomain.ru и ЛОКАЛЬНЫЙ ip адрес микротика. Тогда все будет работать так, как вы ходите.

  45. Владимир, добрый день !

    Подскажите, будьте добры, возможно ли подключить к сети МФУ лазерное Brother DCP-7030R через порт USB роутера MikroTik RB951G-2HnD ?

    Заранее благодарен !

    С уважением !!

    • Думаю, что нет. Я не видел таких решений. В роутере должен быть принтсервер, чтобы можно было взаимодействовать с принтером. Я принтсервера в микротике не видел.

  46. Добрый!
    Спасибо за статью, настраивал по ней. Дошел до пункта настройка Интернет в микротик, где идет проверка связи пингом с шлюзом - у вас пинг идет, у меня - таймаут. Еще в процессе удивило, что при начальной настройке bridge туда добавляются все порты кроме wan (Настройки все оставляем дефолтные. У нас появился bridge1. Переходим на вкладку ports и жмем плюсик. Добавляем в bridge1 все порты, кроме WAN. В моем случае это 5-й порт.) - почему так?
    Прочитал несколько других статьей, почти все как у вас, не мог понять в чем дело. Потом ради пробы добавил в bridge wan - у меня все заработало, волшебство?

    • Вы где-то что-то путаете. Добавлять WAN порт в единый бридж с локальными портами точно не нужно. Можно, конечно, но на работоспособность непосредственно WAN соединения это влиять не должно. Возможно у вас какая-то необычная конфигурация сети.

      • Из необычного разве что микротик находится за nat (то есть получает серый ip) в сети офиса. Адресация сети офиса и локального пула микротика не совпадает (офис - 10.2.0.0, микротик - 192.168.0.1). wan в моем случае это порт 2 микротика.
        Где посоветуете копать? Хочется настроить правильно настроить.

  47. автозеркала

    у меня не работает

  48. всем доброго дня!
    пока не обновлял прошивку на роутере и не могу подключиться к нему через winbox извне , знает ли кто-то как именно нужно настроить Legacy Mode?
    спасибо

    • Михаил

      Ищи в биосе, UEFI Boot Support и включи его (Enabled)

      • Аноним

        вопрос не про Биос (хочется надеяться, что ошибку роутера производитель не с помощью Биоса предлагает решить))), а настройку роутера.

        Ошибка подключения извне "ERROR: router doesnt support secure connection, please enable Legacy Mode if you want to connect anyway". Вопрос в том, где в роутере этот "Legacy Mode"? спасибо

  49. Всплывает закономерный вопрос: зачем сбрасывать на завод и удалять все настройки "по умолчанию", если далее по статье 95% этих "ручных" настроек всё равно ничем не будут отличаться от настроек "по умолчанию". Ещё и правила файрволла похороните, которых в статье нет, а в настройках, которые вы удаляете — есть.

    • Фаервол настраивается в отдельной статье, ссылка на которую приведена в статье. Ручная настройка требуется для знакомства и изучения устройства. Проще настроить с нуля, чем разбираться с готовой конфигурацией.

      • Угу, читал ту отдельную статью. Вы удалили все настройки файрволла и сделали практически идентичную заводской конфигурацию, только хуже, забыв несколько правил. Так же как и тут: удалили всё и сделали то же самое как и с завода, только хуже. Зачем?

        Если для вас разбор заводской конфигурации - слишком сложная задача, что "проще обнулить", то появляются совершенно закономерные вопросы о квалификации автора в целом, учитывая, что defconf скрипт можно нажатием одной единственной кнопки отобразить и прочитать прямо при первом запуске устройства. Вот, прямо на вашем скриншоте выше (https://serveradmin.ru/wp-content/uploads/2018/11/mikrotik-settings-02.png). "Show Script" называется.

        Статьи это клёво, ручная настройка это тоже клёво, но лишь в том случае, когда эта ручная настройка востребована по причине кардинальных отличий от стандартных настроек.

        • Судя по тому, сколько людей мои статьи по настройке микротика прочитали и воспользовались ими, они все же востребованы и актуальны, даже если в них есть неточности. Если умеете писать лучше, понятнее, правильнее, сделайте это и поделитесь ссылкой. С удовольствием поучусь у вас. Только что-то материалов лучше и понятнее мне не попадалось, поэтому писал свои.

          • Зачем же у меня? Есть отличные курсы по микротикам — десятки их. У вас даже баннер справа на оджин из них ведёт. Есть отличная документация от производителя с подробнейшим разбором всех настроек, https://wiki.mikrotik.com, например. Не умеете в английский язык? Не беда, есть отличные русскоязычные варианты, например, https://mikrotik.vetriks.ru/wiki/.

            Вообще странный подход, устверждать, что вы тут единственнывй д’Артаньян на весь рунет, и вообще нужно «сперва добиться» прежде чем указывать на недочёты в ваших статьях.

            Давайте посмотрим на вашу статью. Это проще и дешевле, чем покупать хостинг, заводить блог в интернете и всё ради одной записи, которая кому-то что-то докажет. Смотрите:

            >1) Я запитал свой роутер по первому порту через poe адаптер и поэтому вынужден использовать этот порт как локальный. В настройках по-умолчанию этот порт используется как wan порт для получения интернета от провайдер.
            >2) В настройках по-умолчанию установлено автоматическое получение настроек от провайдера по dhcp. Если у вас другой тип подключения, то вам стандартная настройка не подходит.
            >3) По-умолчанию устанавливается адресное пространство 192.168.88.0/24. Мне лично не нравятся сетки по-умолчанию, так как если в них случайно воткнуть новое устройство, где будет так же забит умолчательный адрес, то в сети начнутся проблемы. Дома может это и не актуально, но в коммерческих организациях мне приходилось с этим сталкиваться. Поэтому я на всякий случай сетку всегда меняю.

            Пункт 1 сразу вызывает закономерный вопрос: ну и что, что вы используете РоЕ-адаптер. Это никак не ограничивает вас в использовании данного порта. Он может быть как WAN так и LAN. С чего вы взяли, что запитанный по РоЕ порт не может быть WAN-портом? Загадка.

            Пункт 2 приводит к мысли "если у вас нет DHCP, используйте статику". Но есть Quick Setup, который позволяет настроить именно эти настройки. Есть Ip→{Addresses,DNS,Routes,DHCP-Client}, если вы из тех, кто параноидально не доверяет Quick Setup. Ради четырёх опций, из которых три добавляются (не изменяются существующие, а именно добавляются отсутствующие!), а одна удаляется сбрасывать все-все-все настройки в ноль? Ну такое.

            Пункт 3 это просто эстетика, да. Но если отбросить в сторону эстетику и оставить лишь вопрос того, что новые устройства не должны пересекаться со старыми — так они и не будут. Помните? В настройках по умолчанию на первом порту применяется DHCP-клиент, о котором вы говорили в Пункте 2 — устройство просто получит IP-адрес в уже существующей сети и не будет никаких страшных "проблем в сети", которыми вы пугаете читателей.

            Дальше по содержанию:
            3 Сброс настроек роутера — лишнее.
            4 Обновление прошивки — согласен, критично необходимо.
            5 Объединение портов в бридж — без п.3 лишнее.
            6 Настройка статического IP — описал абзацем выше
            7 Настройка интернета в микротик — без п.3 лишнее. Если статика, см. абзац выше.
            8 Настройка dhcp сервера — без п.3 лишнее.
            9 Настройка NAT — без п.3 лишнее.
            10 Настройка wifi точки доступа в mikrotik — без п.3 лишнее. Ну почти. Нужно указать имя сети и пароль доступа. Всё.
            11 Смена пароля администратора по-умолчанию — согласен, критично необходимо.
            12 Настройка времени — Уммм. Честно, не помню затрагивает ли defconf часы. Но вот, например, пример (https://i.imgur.com/9HPGIwb.png) того, что часы идут точно и автоматически подстраиваются с выключенным SNTP Client.

            Что мы получаем в конце? Статья «пример настройки микротика для домашнего пользователя» неожиданно сильно упрощается:

            1. Сменить логин и пароль на устройство, отключив и лишив прав учётную запись администратора. Почему именно так комплексно? Потому что ЕСЛИ в неких эзотерических случаях вы натолкнётесь на переборщик паролей, такие штуки обычно подбирают пароли к известным логинам вроде admin, root, user, member и так далее. А тут, чтобы начать перебирать пароль нужно сперва угадать логин…
            2. Обновить прошивку на самую последнюю версию.
            3. Только на этом этапе воткнуть провод с интернетом и либо получить настройки автоматически и начать пользоваться, либо пробежаться по Quick Setup\Ip→{Addresses,DNS,Routes,DHCP-Client}, как кому нравится.
            4. Настроить имя домашнего вайфая и пароль. Через тот же Quick Setup или wireless→wlanN→SSID, wireless → Security Profiles, если хочется всё потрогать руками.

            То есть вместо полного сброса, шаманства и человеческих ошибок в процессе ручного ввода тех же самых опций, надо добавить 3-6 недостающих опций в зависимости от настроек провайдера и получить полноценно работающую систему.

            Но тогда статья будет коротковата, да?.. 😉

            • Не хочется заниматься пинг-понгом в комментариях. У меня нет на это времени. По существу в статье ошибок нет, дальше уже вкусовщина, кому как настраивать.

              На курсах я был, экзамен сдал, сертификат получил. Скажу лишь, что курсы начинаются с того, что там удаляют дефолтную конфигурацию и начинают делать в том числе все то, что описано в статье.

              • Отличный у вас подход!

                Указываешь на ошибки в статье:
                "Если умеете писать лучше, понятнее, правильнее, сделайте это"

                Делаешь, тратишь время, пишешь, уточняешь, исправляешь:
                "У меня нет на это времени. Не хочется. Зато у меня сертификаты! Я крутой!"

                У вас руководство в котором:
                1) В некоторых местах пропущены некоторые шаги связанные с настройкой;
                2) В некоторых местах явные ошибки, когда написанное в тексте совершенно не соответствует действительности.

                И никакие тренинги и сертификаты этого не изменят. Ну вычитайте вашу статью, в конце-концов.

                Первый попавшийся пример, вы пишете:

                Покупая обычный бюджетный роутер, вы увидите подписи к портам. На одном из них обязательно будет написано WAN, на других либо ничего не будет написано, либо LAN. То есть у вас уже будет один порт настроен определенным образом для подключения интернета и остальные порты будут объединены в switch для удобства подключения оборудования.

                В Mikrotik не так.

                И это ложь! Берём первый попавшийся микротик с сайта. Ой, что это у нас? Подписи к портам? Да не может быть! https://i.mt.lv/cdn/rb_images/1041_l.jpg

                И вот таких мелочей...

                • Друг, ты меня уже утомил. Я прочитал твои замечания. Они тут останутся, комментарии я не модерирую.

                  Ты мне написал, чтобы я поучился, я тебе сказал, что учебу уже прошел. Какие претензии? Про курсы и сертификаты речь завел не я.

                  Обязательств по актуализации своих статей я никому не давал. Статья была написана лет 5 назад, дальше были только плановые правки для актуализации. На тот момент роутеры, с которыми я работал, не имели подписи lan, wan и т.д. Я говорю, по существую в статье ошибок нет. Есть мелочи, которые будут исправлены при очередной плановой актуализации. И они будут накапливаться всегда, потому что ИТ не статично. А статей у меня на сайте масса.

                  Давай сделаем так. Я тебе даю доступ редактора на сайт, ты пишешь статьи, как тебе нравится, показываешь свой скилл. Потом регулярно поддерживаешь их в актуальном состоянии и получаешь претензии от других, если не успеешь это сделать. Ты же за то, чтобы статьи были всегда актуальные и правильные? Или ты хочешь этого требовать только от меня? Чтобы я в обязательном порядке это делал?

                  Я просто не пойму, чего ты добиваешься? Ты хочешь заставить меня редактировать статьи так, как тебе этого хочется? Такого все равно не будет.

                  • Статья хорошая, но я тоже частично соглашусь с Ивором: сброс настроек ладно, но почему действительно не воспользоваться Quick Setup`ом? Большинство указанных вами действий там делается на одной вкладке. И DHCP/статика, и DHCP Сервер, и NAT, и обновление прошивки, и смена пароля admin`a (проверял на версии 6.47.1). А остальные пункты уже делать в других вкладках. Я понимаю что конкретно в вашем варианте при питании по PoE и соответственно переносе WAN на 5 порт, может лучше и изначально настроить. Но встаёт резонный вопрос, который Ивор уже поднимал: а PoE через WAN нельзя разве сделать?!
                    P.S. Если ваша статья для начинающих и, как вы сами указываете, для начального ознакомления с устройством, то следует наверное хотя бы упомянуть про режим Quick Setup? Тем более что ваша статья всё равно не затрагивает всевозможных моментов настройки и различных её вариаций.

                    • Простой пример. Если настроите микротики через quick setup, capsman у вас не заработает. Много раз с этим сталкивался, поэтому рекомендовать quick setup не могу. Я еще раз повторю, что если вы придете на обучение по микротику, первое, что вы научитесь делать - удалять дефолтный конфиг и начинать настройку с нуля. У меня все же сайт для системных администраторов, или желающих таковыми стать. Я действую в этой логике.

  50. Владимир

    Добрый день, автор и форумчане ! Осваиваю тему по путеводителю автора, получается.

    Если в Winbox в меню Bridge затеваю второй мост (для гостевой WiFi) то у него в параметре L2MTU вылезает неприкасаемое число 65535. Я не очень понимаю куда такая длина, но поскольку это 2^16, то по крайней мере внушает уважение.
    И еще, обновил Wnbox до 3.21 (64). При попытке открыть Quick Set WB захлопывается. Это у меня такой авангардизм или кто еще сталкивался ?

    Спасибо, кто откликнется.

    • Возможно, у вас прошивка роутера младше версии 6.43, к которой новые версии программы просто не могут подключаться. Обновите клиент до версии 3.22 и попробуйте подключиться к роутеру в режиме Legacy Mode.

  51. Валерий

    Хуже полного отсутствия руководства только руководство, в котором пропущены какие-либо шаги и/или неочевидное описание.

    • Валерий

      «Как в предыдущем пункте» В каком из них? Сисадмин не умеет пользоваться html якорями?
      «Там мы сразу вбили маску» Где там? В окне нет подобной настройки и на скриншоте вообще непонятно, что вбито. Как пример в таблице дается одно, на скриншоте - другое

      • Друг, прежде чем обвинять кого-то в чем-то, подумай, может что-то с тобой не так? Куча людей настроили свои роутеры по этой статье и написали благодарность. Если умеешь писать руководства лучше - напиши, я у тебя поучусь, как это делать правильно, чтобы всем было понятно с первого раза. Заодно якоря расставь как надо.

        • приветствую. Вопрос такой, сейчас начал работать в компании. Первый раз столкнулся с mikrotik. Суть в чем, mikrotik подключен по usb модему, сам mikrotik является и wi-fi роутером и и выходит на TP-link коммутатор. В чем проблема, когда я подключаюсь по winbox все заход все хорошо, хотел установить гостевой пароль и wi-fi. Но когда я сделал пароль и перименовал сеть, нажал на применить и ок и закрыл саму прогу, то LAN порты полностью стали нерабочие. Коммутатор не работает, встал весь офис. Даже пробовал перезагружать, но dect равно, через lan даже к нему подключенный, вообще не робит. Что странно, если подключится по wi-fi то интернет есть. Я не пойму, я ничего не менял не мосты, не порты, я просто сохранил данные по wi-fi. Когда я позвонил в службу поддержки, они подключились через интернет к нему и сказали, что порт отвалися на мосту при сохранении, это как так? В чем причина, я конечно может коряво написал. Но суть я думаю ясна. Что не так и почему отваливаются все порты lan а wi-fi работает. Странно, мне кажется делао в петле или в чем-то. Подскажите пожалуйста, очень поможете. Заранее благодарен.

          • Так заочно невозможно сказать что-то конкретное. Что значит lan порты стали нерабочие? Что значит коммутатор не работает? Индикация на портах есть? Как коммутатор может перестать работать от того, что ты поменял пароль на wifi?

  52. Спасибо за статью, обращаюсь за помощью.

    После сброса конфигурации (Remove Configuratoin) Микротик перестал загружаться по IP 192.168.88.1, а по winbox (логин: admin, пароль: ) пишет «неправильный логин или пароль», хотя ни пароль, ни логин не изменял.
    Как вернуть роутер первоначальное состояние. Перезагрузка через Reset не помогает.

    Спасибо.

    • Возможно сброс все же не произошел по какой-то причине. Попробуйте по старым учетным данным подключиться. Я с таким ни разу не сталкивался, чтобы сброс конфигурации не работал.

      • Владимир

        Спасибо за участие, учетные данные не изменял. Подозрение в сбросе конфигурации кнокой Reset при загрузке роутера у меня тоже имеются. Как по Вашему мнению можно вернуть исходные заводские настройки?
        Спасибо за терпение и понимание.

        • Если не ошибаюсь, простое нажатие reset это не сброс настроек, а безусловная перезагрузка устройства, если оно зависло. Думаю, сброс в дефолт выполняется как-то по-другому.

        • Сергей

          Чтобы микротик сбросить на заводские настройки нужно отключить его от питания, зажать кнопку ресет на 30 секунд, не отпуская кнопку подключить питание роутера и держать примерно 3-5 секунд пока желтый индикатор не замигает, звиняюсь не помню как он подписан.

        • Отключите питание роутера;
          Нажмите и держите кнопку Reset;
          Включите питание роутера;
          Дождитесь, пока замигает индикатор ACT, и отпустите кнопку Reset.

  53. Здравствуйте.
    К микротику подключен wi fi роутер на него надо пробросить интернет и IP TV так, что бы пользователи wi fi не могли попасть в локалку как это сделать? в идеале поднять на микротике ppoe server и пробросить всех гостей в интернет, но как на него направить IPTV
    Схема https://yadi.sk/i/mndoVlFbNA_rIg (на схеме wi fi1 бонус на будущее, пока нужен IP TV)

    • не совсем понятен вопрос, поднимите на портах подсети и разграничите фаерволом, для гостевой сети задать два правила типа
      add chain=forward action=accept in-interface=ether5 out-interface=ether1 это правило разрешает гостевому вайфаю на ether4 доступ к интернет через ether1
      add chain=forward action=drop in-interface=ether5 out-interface=!ether1-Planeta это правило сбрасывает все соединения гостевого вайфая кроме с ether1
      для IPTV нужно установить пакет multicast.

      • посмотрел схему, если свитч умеет обрабатывать ВЛАНы то настройте подсети на ВЛАН микротика и отдайте свитчу, там распределите по портам, в общем это тема для статьи, а не для комментария.

  54. Михаил

    Подскажите пожалуйста, как правильно (безопасно) настроить удалённый доступ к роутеру? Чтобы можно было из любой точки мира подключаться к нему. Или такой вариант не может быть безопасный?

    • Если порт для удаленного подключения доступен всему миру, то это точно не безопасно. В микротиках периодически находят уязвимости, которые можно эксплуатировать через такой доступ. Так что без крайней необходимости так лучше не делать. А если очень хочется, то хотя бы настроить простейший vpn на нем и на фаерволе разрешить подключаться только с vpn. Это будет безопаснее - сначала подключаешься к vpn, а потом к роутеру.

      Статьи про настройки vpn и фаервола есть у меня в разделе Микротик.

  55. Здравствуйте! Интересно ваше мнение по следующему вопросу. В доме стоит роутер Mikrotik rb951G-2Hnd - работает прекрасно! За исключением одного момента - не даёт интернет через wi-fi одному телефону и планшету. Все остальные устройства, пара телефонов и ноутбук получают интернет без проблем. Телефоны которые не получают интернет у меня дома, прекрасно работают в других сетях. Перезагрузки роутера, телефонов, смена канала, частоты, переподключение с "забыванием" сети в телефонах, hard reset телефона - всё это не дало результата. В настройках роутера никаких ограничений не стоит. Просто теряюсь уже в какую сторону копать.

    • Я периодически вижу такие вопросы. Буквально недавно один подписчик обращался с такой же проблемой. Похоже есть какая-то несовместимость в железе между некоторыми устройствами и микротиком. Подробностей у меня нет, сам с таким не сталкивался. Возможно в логах микротика при неудачных подключениях будут какие-то подсказки.

    • Константин

      Было подобное, когда был выбран канал вайфай, который не поддерживал телефон (возможны региональные «заморочки»). Попробуйте ради теста сменить канал.

      • Спасибо Константин, я уже писал что предложенный вами вариант я уже пробовал.

    • Попробуйте в настройках WiFi -> Security включать и выключать разные протоколы безопасности. У меня была такая история и после разных сочетаний проколов WPA, WPA2-PSK, AES, TKIP удалось подключить старый смартфон, который ни в какую не хотел подключаться.

  56. Полчаса лазил по winbox'у, но так и не нашел волшебную кнопку "Backup".
    Ткните носом, плиз...
    Спасибо

  57. У меня не получается отключить в микротик гостевую сеть по расписанию через System-Scheduler. Вроде сделал все как в инструкции (видел где-то в интернете), бридж гостевой сети у меня называется bridge-guest но его не отключает. Правда интерфейс назвал guest wi-fi, может как то отключить его, или можно отключить диапазон ip-адресов гостевой сети?

    • Как отключить пытаетесь?

      • на включение
        System-Scheduler
        1d 00:00:00
        start-time=10:15:00
        start-date=jan/01/2020
        on-event
        /interface bridge enable bridge-guest
        на выключение
        System-Scheduler
        1d 00:00:00
        start-time=16:45:00
        start-date=jan/01/2020
        on-event
        /interface bridge disable bridge-guest

  58. Михаил

    Не могу подключить ноутбук DELL Inspiron 15 к wifi. Адаптер Qualcomm QCA9377 802.11ac Wireless Adapter. Другие гаджеты подключаются без проблем. Ноут к другим роутерам подключается. Именно к микротику не хочет. Где копать?

    • В чем выражается невозможность подключения? Сеть не видит? Пароль не принимает? Надо лог на микротике смотреть в момент подключения. Может ошибки какие-то будут.

      • Михаил

        Сеть видит, пароль принимает, выдает: Продолжается проверка требований сети и потом: Не удалось подключиться к этой сети. Сеть находится в школе. Оборудование настраивал не я, сказали, что все должно работать.

        • Не имея доступа к устройству вряд ли получится решить эту проблему. Я иногда сталкивался с подобным. Нужны логи устройства, чтобы хотя бы попытаться понять, в чем проблема.

          • Михаил

            Доступ я у них возьму. Мне бы краткую инструкцию где найти эти логи. Да, забыл, еще пробовал подключаться через сетевой адаптер TP-LINK TL-WN727N - все работает.

  59. Григорий

    Объясните пожалуйста, почему в этом роутере адрес 192.168.88.1? и можно ли его сменить на привыйчный 192.168.1.1?

    • Конечно можно. Адрес может быть любой. 192.168.88.1 установили разработчики по-умолчанию.

  60. Существует похожая модель RB951Ui-2HnD. Она отличается от описываемой мной только тем, что у нее 100Mb порт, а у RB951G-2HnD 1Gb. Если для вас эти отличия не принципиальны, то можете покупать более дешевую модель. В остальном они идентичны.

    У модели RB951G-2HnD тоже регулярно отваливается питание на USB при вставленном в него 4G модеме?
    Уже замахался с RB951Ui-2HnD и постоянным передёргиванием питания.
    Вне зависимости от блока питания, даже при питании 24V от сети ТС.
    Отваливается даже при скачивании собственной прошивки.

    Потому интересно, какие из бюджетных моделей подойдут для питания 4G модема.
    Спасибо.

    • У меня на RB951G-2HnD не отваливается питание USB. Я постоянно использую эти роутеры с модемами.

      • Спасибо за ответ.

        У меня 5 штук RB951Ui-2HnD, брал в 3 или 4 разных магазинах в разное время и у всех одинаковая проблема с отваливанием.
        У Вас был опыт эксплуатации более дешёвых версий (например, hAP) в связке с 4G модемами?

        • У меня везде RB951G-2HnD. Но все это бралось очень давно, работает до сих пор. Последние несколько лет я не брал новых микротиков. Возможно, качество упало.

    • Алексей Сафонов

      Это известная проблема: многие USB модемы греются, горят, виснут. Насколько мне известно, она не связана с MikroTik. У меня очень хорошо работают модемы Huawei E8372. Модели от Yota со встроенным Wi-Fi адаптером сильно греются, разъем USB обжигает пальцы. Yota без Wi-Fi работает получше, но бывает умирают. В смысле сгорают и перезагрузка тут, само-собой не поможет. Если вам приходится часто сбрасывать питание на USB модеме, можно написать скрипт. MikroTik умеет делать USB power reset.

      Отличие RB951Ui-2HnD от RB951G-2HnD не только в скорости LAN портов. У RB951Ui-2HnD есть ещё PoE out на 5 ethernet порту. В некоторых ситуациях это ценно.

      RB951G-2HnD много лет был самым универсальным устройством в линейке MikriTik. Но сейчас его покупать уже нет смысла. Появился RBD52G-5HacD2HnD-TC он же hAP ac². При более низкой цене у него значительно мощнее процессор, есть аппаратная поддержка шифрования и 5ГГц Wi-Fi.

      • "многие USB модемы греются, горят, виснут. Насколько мне известно, она не связана с MikroTik"
        У нас Huawei E3372H - от компьютера работают отлично, а при работе с MikroTik RB951Ui-2HnD может зависнуть даже при скачивании прошивки. Модем прошит в HiLink. И скорость ограничивал через выбор сети - особо не помогло.
        Ваши Huawei E8372 работали в паре с RB951Ui-2HnD? С какими моделями работает успешно?
        Спасибо.

  61. Спасибо за статью, Zerox!

    Однако, хочу отметить, что для того, чтобы конфиг заработал на некоторых устройствах необходимо в бридж также засунуть "pwr-line".

    Актуально для Mikrotik hAP mini.

    • Алексей Сафонов

      Интересная вещь, этот сетевой интерфейс pwr-line. У hAP mini питание по mcroUSB. А у MikroTik в линейке есть устройство https://mikrotik.com/product/pwr_line_eu которое превращает этот порт питания в сетевой интерфейс. Жаль в Россию не возят. Я брал похожее решение от TP-Link в хрущевке не взлетело. А так идея прокинуть сеть через обычную силовую розетку была хороша.

      Но вот по поводу бриджа - не подтверждаю. Спокойно гашу этот интерфейс, или просто убираю из бриджа - всё работает. Может у вас бридж MAC - адрес от него наследовал?

  62. Виталий

    Error wrong username or password При подключении в Winbox, вчера все работало, как исправить?

  63. Здравствуйте! Пытаюсь настроить раздачу вай-фай с Микротика. 3G-модем воткнут в комп (назовем его "основной"), из компа витая пара идет в 8-портовый хаб. Локальная сеть на работе короче. Я так понимаю, нужно подключить роутер к хабу через порт №1. А вот как настроить роутер - не знаю. Везде инфа о настройке при подключении к провайдеру. Как быть?

    • При чем тут вообще микротик, если у вас 3G модем воткнут в компьютер? На нем и надо настраивать раздачу интернета. Я уж не знаю, каким образом он там подключен и что надо сделать, чтобы раздать интернет. Но это надо сделать. Потом этот интернет настроить на микротике, а потом уже у всех остальных через микротик.

      Схема так себе. Вы явно делаете что-то не так, как следует.

  64. PPTP Client
    Провайдер даёт DHCP, но нужно ещё создавать PPTP Client, такого не видел ни в одной инструкции.
    Ну и в NAT, во вкладке General, в Out. Interface нужно указывать не тот канал к которому подключен провайдер, а pptp-out
    Может кому пригодится :)
    А так, на мой взгляд это лучшая статья по базовой настройки MikroTik.

    • Да, все верно. pptp особо никакой сложности не добавляет. Настраивается быстро, потом pptp интерфейс везде используется как внешний.

  65. Константин

    Все настроил интернет есть, но нет доступа к некоторым адресам. например комп 192.168.0.2 не может попасть на Х.Х.Х.Х:443

  66. Дервиш

    Обновил прошивку. В ручную.. Теперь не могу зайти на роутер, говорит не верный пароль. Че делать.. Роутер работает но зайти в него не могу пробывал и без пароля и с паролем.. Как быть ?

    • Вспоминать пароль. Обновление 100% его не меняет.

      • Дервиш

        Обновить WinBox надо было и все.. Но щас сталкнулся с праблой MTU на ростелекоме PPoE трабла некоторые сайты не прогружаются. Попробовал заплатку. / ip firewall mangle add chain=forward protocol=tcp tcp-flags=syn tcp-mss=1453-65535 action=change-mss new-mss=1360 disabled=no

        Не знаю свое MTU в интерефейсе пишет 1490 PPoE
        На портах у меня 1510
        Сайт нвидии открыть нормально не могу .. Конечно через впн все работает .. но это не дело ..
        В файворел глянул там правило 1453-65535 мту. вот и думаю че дальше..

  67. Виктор

    Добрый день!
    При настройке NAT по Вашей инструкции почему-то доступ с подключенных компов в интернет не появился.
    Нашел в сети альтернативный вариант - вместо Out. Interface указать в Scr.Adress свою сеть (192.168.88.0/24 например). Все остальные настройки такие же. С этим вариантом получилось.
    В чем принципиальная разница между этим и Вашим вариантом?

    • Принципиально разницы нет, просто вы другое условие написали, но это условие так же как и мое подходит под указанную задачу. Вариант с Out. Interface 100% рабочий. Только что проверил домашний роутер, там именно так и настроено. Возможно вы просто с интерфейсом ошиблись. Выбрать нужно WAN интерфейс, через который подключение к интернету осуществляется.

      • Виктор

        Точно интерфейсом ошибся. И так и так работает.
        Я так понял, вариант с Out. Interface более универсальный. А тот, что с Scr.Adress пустит в интернет только эту конкретную сеть, если сетей будет несколько. Или я не прав?

        • Все верно.

        • Владимир

          добавлю свои 5 копеек.
          В чем принципиальная разница между этим и Вашим вариантом? Разница в том с какой стороны ты смотришь, транслировать одну сеть или в один интерфейс =)
          универсальных не бывает, в любом случае на этапе action уже делаем выбор тот или иной нат использовать.

          ну и чуть прочитал комментарии)) Allow Remote Requests - ставить или нет зависит от задач, но при правильно настроенном экране никаких проблем не будет =)

      • Виктор

        Нашел отличие. в варианте с Scr.Adress не работает проброс портов снаружи.

  68. Сергей

    Здравствуйте. Настороил по Вашей статье микротик rb941-2nd. Пинги через терминал идут куда угодно, Но интернета нет, и в winbox могу зайти только по MAC адресу, не подскажете что и где сделал не так. Спасибо заранее.

    • Как же я заочно вам подскажу. Проверьте все еще раз внимательно или сбросьте настройки и начните заново. Вы где-то ошиблись.

  69. Руслан

    А фаерволл то забыли настроить от внешних вторжений!!

  70. Александр

    Здравствуйте, подскажите пожалуйста, как на RouterOS 6.43.8 настроить dhcp на отдельном порту если уже есть dhcp и все порты в bridge? При попытке настройки dhcp выдает сообщение "couldn't add new dhcp server can not run on slave interface 6".

    • выкинуть необходимый порт из bridge и он перестанет быть slave.
      повесить на этот порт другой dhcp сервер, который вы хотите создать/создали.

  71. Сергей

    Добрый день, подскажите пожалуйста, как правильно открыть порт UDP3074 это для онлайн игр, при базовом фаерволе (тот который в комментарии выше), добавлял через NAT: "general: Chain-dstnat, Protocol-udp, Dst. Port-3074, In. interface-порт в который подключен кабель провайдера, Action: Action - ds-tnat, To Adresses- адрес сетевой карты в ПК, To Ports-3074"
    Но порт не открывается, что делаю не так?

    • По мимо настройки NAT-а необходимо в разделе Filter-rules настроить разрешающее правило на цепь: forward для этого порта.
      В вашем случае необходимый порт будет как Destination port (Dst port) порт назначения.

  72. Спасибо за статью! Подскажите, пожалуйста: на микротике настроена страница авторизации при подключении (т.к. сеть публичного места). Есть ли возможность настроить его так, чтобы устройства сотрудников подключались напрямую, без неё?

  73. Валерий

    О спасибочки! Недавно тоже покрутился с Mikrotik! После dlink и Zyxel конечно все по другому...
    Но когда все поймешь, то уже кажется все просто!
    Очень гибкие настройки. Специально купил hAP lite? чтобы поближе познакомится..
    А в компании у Вас ,что нибудь стоит от Mirotika?

    • У меня нет компании. У меня есть ИП и удаленная работа с заказчиками. Но микротик обычно советую, если считаю его уместным в данном случае.

  74. Напишите пожалуйста статью, на тему балансировки, распределения нагрузки, и резервирования двух и более каналов интернета на одном устройстве MikroTik. Да, в интернете есть такая информация. Но хотелось бы узнать, как и каким образом реализуете это Вы, в своей практике, на своих устройствах.

    • К сожалению, у меня уже нет практического опыта в этой теме. Могу только на стендах что-то из любопытства собрать. Я практически не занимаюсь сетевыми вопросами последние пару лет. Остались старые микротики, которые давно настраивал и поддерживаю по привычке. Перешел полностью на администрирование серверов, причем преимущественно в web тематике.

  75. Валерий

    Спасибо за качественную статью!) Ждем следующую - о защите.

  76. Работаю с mikrotik более 5 лет и за подобные статьи хочется убивать...ну блин добавьте хотя-бы базовый firewall

    /ip firewall filter
    add chain=input connection-state=established,related action=accept
    add chain=input proto=icmp action=accept
    add chain=input in-interface=bridge1 action=accept
    add chain=input in-interface=ether5 src-address-list=allow-wan action=accept
    add chain=forward in-interface=bridge1 out-interface=ether5 connection-state=established,new action=accept
    add chain=forward in-interface=ether5 out-interface=bridge1 connection-state=established,related action=accept

    все, теперь никто не будет использовать ваш dns для усиления ddos и через nat не проломится к вам в сеть. и если обнаружатся новые баги в winbox из глобальной сети вас никто не взломает

    • Про firewall отдельная статья есть.

      • fw - это часть базовой настройки, в отдельной статье там есть про что написать, но базовый fw должен быть в базовой настройке.

    • упс совсем забыл про
      add chain=input action=drop
      add chain=forward action=drop
      в конце...

      • А я такой посмотрел, думаю, вот грамотей, пришел с советами, а сам оставил решето из своих правил :)

  77. Здравствуйте, можно ли настроить RB951Ui-2HnD таким образом чтоб на него можно было подключаться удаленно с другого города?

    • Конечно можно, но не нужно, в целях безопасности. Лучше сделать проброс на какой нибудь комп/ноут из той сети, где микротик. И с него спокойно заходить на роутер.

      • А потом через этот проброс пролезет виндовый червь :) Лучше ограничивать доступ к микротику по ip. Это надежнее, чем проброс. Конечно, если есть возможность использовать список статичных ip для доступа.

        • Не пролезет, следить надо))) ну конечно же список лучше, если своя статика есть.

  78. Отличная статья. Разжёванно для младенцев.
    Но есть один вопрос.
    Прошивка 6.44beta28 (Testing) в Interfaces - ether2 (в остальных тоже) - отсутствует поле Master Port.

  79. Александр

    Добрый вечеx, за статью поклон) если при настройке что то забываю, то всегда обращаюсь к вашей статье)

    но я с нестандартной ситуацией. может кто сталкивался или мысли какие подкинет.?

    Есть два микротика. у каждого внешний ip. между ними настроен vpn через l2tp. связь равнозначная. один ip используется для почтового сервера. возникла надобность развернуть еще один почтовый сервер для тестовов. тут то и пригодился второй ip. кстати почтовый сервер настраивал по вашей статье IREMAIL. ЗА ЭТО ТОЖЕ СПАСИБО))) и возникла проблема. пробросить порт для почтового сервера из другой подсети. Обдумываю два варианта. Либо проброс через впн, либо проброс через два роутера. внешний IP адрес и почтовый сервер находятся по разные стороны VPN. пробовал различные правила и маршрутизацию прописывать , ничего не идет. единственное начинает заводится веб морда. к примеру когда внешний ip в браузере прописываешь 214.211.221.112 то SOGo начинает загружаться https://214.211.221.112/SOGo , но пишет превышен интервал ожидания

    • С таким пробросом много нюансов. Я так делал когда-то и отказался. Не помню точно, почему не осилил, но у меня чуть сложнее структура была. В целом, решаемо, но точно подсказать, что делать, не могу. Надо рисовать схему сети и вникать, где что пробросить, какой маршрут добавить и т.д. Потом дебажить с tcpdump, если что-то не работает и пакет теряется.

      • Александр

        а проброс через 2 nat может получится? я пробовал делать проброс с первого внешнего ip на второй внешний на первом роутере, а на втором обычный проброс на нужный ip локальной сети. начинает заводится и превышен интервал времени ожидания открытия страницы

        • Это значит, что не работает проброс. Важно не только в одну сторону прокинуть пакеты, надо проследить, чтобы обратно они по тому же пути пошли.

          • Александр

            все пошло. проброс через 2 микротика. настройки перепроверил, была опечатка в порте https. а так одно правило на первом микротике и одно правило на втором микротике.

  80. Добрый день. Настроил по Вашей статье, легко быстро. Спасибо большое за полную инфу для новичков. Стала еще задача контролировать появление конкретных клиентов в зоне вайфай с уведомлением на е-мейл. Пытался настроить через netwatch, но загвоздка появилась с отправкой на электронку. Даже тестовое письмо не отправляется при настройке. Ящик на gmail. Может что подскажете?

    • Как клиентов идентифицируете? По МАК адресу? Я бы просто логи микротика отправлял бы куда-нибудь на сервер и там уже анализировал, настраивал уведомление и т.д. Например, через zabbix бы вел учет и оповещения.

  81. Александр

    Спасибо. А примерно, когда ждать обновление? Купил два RB951G, заодно хочу их объединить в бесшовный Wi-Fiроуминг.

  82. Александр

    Можно ли внести обновления в статью в связи с упразднением Master Port? Хотя бы в двух словах - только раздел, касающийся Master Port.

  83. огромное СПАСИБО автору статьи!
    Всё настроилось, хоть и пришлось подумать, что тоже не плохо.