Настройка точки доступа Wi-Fi на MikroTik

Введение

Статья содержит пошаговое руководство по настройке точки доступа Wi-Fi на MikroTik. Информация актуальна для RouterOS v7.20.6, последняя проверка актуальности была произведена в декабре 2025 г. Рассмотрена настройка беспроводных пакетов wifi-qcom, wifi-qcom-ac и wireless.

В рамках статьи будут разобраны следующие темы:

• сброс настроек;
• установка пароля администратора;
• назначение имени точки доступа;
• объединение всех интерфейсов в единый L2-сегмент с помощью bridge-интерфейса;
• настройка IP-адресации на внешнем интерфейсе двумя способами: с помощью назначения статических настроек и с помощью протокола DHCP;
• добавление маршрута по умолчанию;
• настройка DNS-клиента;
• обновление операционной системы RouterOS;
• обновление загрузчика RouterBOOT;
• настройка службы времени;
• Настройка параметров безопасности, не имеющих отношение к Wi-Fi;
• виды беспроводных пакетов;
• настройка Wi-Fi на беспроводных пакетах wifi-qcom и wifi-qcom-ac на двух беспроводных адаптерах: 2,4 и 5 ГГц;
• настройка Wi-Fi на беспроводном пакете wireless на двух беспроводных адаптерах: 2,4 и 5 ГГц;
• использование более одной точки доступа Wi-Fi;
• Настройки положительно влияющие на производительность беспроводной сети.

Также в конце статьи будут приведены три разные итоговые конфигурации точки доступа Wi-Fi на MikroTik RouterOS в формате командной строки: для устройств с беспроводными пакетами wifi-qcom, wifi-qcom-ac и wireless.

Далее рассматривается отдельностоящая точка доступа MikroTik AP1, подключенная к маршрутизатору GW, выполняющему функции шлюза по умолчанию и DNS‑сервера. Термин «отдельностоящая точка доступа» означает, что точка доступа не находится под управлением контроллера CAPsMAN. В сети может быть более одной отдельностоящей точки доступа. В таком случае у них должны будут различаться IP-адреса и названия самих точек доступа. Все остальные настройки совпадают.

Еще больше нюансов настройки MikroTik в онлайн-курсе по MikroTik от автора этой статьи. Курс актуален для RouterOS v7.20.6. Много лабораторных работ с проверкой и диплом государственного образца РФ.

ИП Скоромнов Дмитрий Анатольевич, ИНН 331403723315

Сброс настроек

Чтобы избежать конфликтов между существующими и будущими настройками, следует выполнить сброс без применения конфигурации по умолчанию. После такого сброса устройство MikroTik должно будет обнаружиться в WinBox в списке соседей на вкладке Neighbors. Поскольку у устройства не будет IP‑адреса, подключение следует выполнять по MAC‑адресу.

Через графический интерфейс

С помощью WinBox 3

С помощью WinBox 4

Через командную строку

/system/
reset-configuration no-defaults=yes

Установка пароля администратора

Сразу после сброса настроек в целях безопасности надо задать пароль для учетной записи admin. Это особенно важно для устройств, на которых по умолчанию для этой учетной записи пароль не задан. Рекомендуется использовать сложные пароли длиной от восьми знаков с использованием букв в нижнем и верхнем регистре, а также цифр и знаков препинания.

Через графический интерфейс

В некоторых случаях при первом входе после сброса настроек RouterOS сама может предложить смену пароля. В таком случае нужное окно отобразится сразу само и не будет необходимости последовательно открывать элементы меню.

С помощью WinBox 3

С помощью WinBox 4

Через командную строку

/
password

Кроме того, после сброса настроек в терминале будет предложение сменить пароль перед приглашением к дальнейшему вводу команд:

Change your password
new password>

Назначение имени точки доступа

Если в сети используется только одно устройство MikroTik, присвоение ему имени не имеет практического смысла, но и не оказывает отрицательного влияния. Если в сети используется несколько устройств MikroTik, присвоение имени упрощает последующую идентификацию конкретного роутера среди остальных устройств. Рекомендуется использовать короткие и понятные имена. Например, для роутеров можно использовать имена R1, R2 и т.д. или GW1, GW2 и т.д., для коммутаторов – SW1, SW2 и т.д., для беспроводных точек доступа – AP1, AP2 и т.д.

Через графический интерфейс

С помощью WinBox 3

С помощью WinBox 4

Через командную строку

/system/identity/
set name=AP

Объединение интерфейсов с помощью bridge-интерфейса

Все внутренние интерфейсы точки доступа MikroTik должны находиться в одном L2-сегменте. В рамках данной статьи это интерфейсы ether1 – ether5 и оба беспроводных интерфейса. Их надо объединить с помощью виртуального bridge-интерфейса. В дальнейшем все настройки следует применять к этому bridge-интерфейсу, а не к входящим в него подчиненным интерфейсам.

Через графический интерфейс

На приведенных далее скриншотах показано только добавление интерфейса ether2 в состав интерфейса bridge-LAN. Аналогичным образом надо будет добавить интерфейсы ether1, ether3, ether4, ether5, wifi1 и wifi2.

Количество проводных интерфейсов Ethernet (etherX) зависит от модели устройства MikroTik, а имена беспроводных интерфейсов (wifi1 и wifi2) – от используемого беспроводного пакета. Это следует учитывать при настройке разных устройств MikroTik.

С помощью WinBox 3

Автор этой статьи ведет Telegram-канал Mikrotik-сэнсей. Присоединяйтесь и получайте проверенные решения по настройке MikroTik.

ИП Скоромнов Дмитрий Анатольевич, ИНН 331403723315

С помощью WinBox 4

Через командную строку

/interface/bridge/
add name=bridge-LAN

/interface/bridge/port/
add bridge=bridge-LAN interface=ether1
add bridge=bridge-LAN interface=ether2
add bridge=bridge-LAN interface=ether3
add bridge=bridge-LAN interface=ether4
add bridge=bridge-LAN interface=ether5
add bridge=bridge-LAN interface=wifi1
add bridge=bridge-LAN interface=wifi2

Настройка IP-адресации

IP‑адресацию устройства можно задать двумя способами:

• с помощью выдачи статических настроек: IP‑адреса устройства, маски сети и IP-адреса шлюза, также при такой выдаче настроек часто выдаются IP-адреса DNS-серверов;
• динамически с помощью протокола DHCP.

Для точек доступа Wi‑Fi предпочтительно задавать статический IP‑адрес, а не получать его динамически с помощью протокола DHCP. Следует учитывать, что динамическое назначение IP‑адреса с привязкой по MAC‑адресу не является полноценной заменой статическому IP‑адресу.

Назначение статического IP-адреса на bridge-интерфейс

В описываемой конфигурации используется IP-адрес 192.168.100.11, маска 255.255.255.0 (/24) и IP-адрес шлюза 192.168.100.1. Параметр Network (адрес сети) указывать не требуется, так как он вычисляется автоматически на основе IP‑адреса и маски сети. Маска сети указывается после IP-адреса в формате «/X». IP-адрес шлюза не требуется на данном этапе. Он будет использован далее при настройке маршрута по умолчанию.

Через графический интерфейс

С помощью WinBox 3

С помощью WinBox 4

Через командную строку

/ip/address/
add address=192.168.100.11/24 interface=bridge-LAN

Назначение динамического IP-адреса на bridge-интерфейс с помощью протокола DHCP

Параметры IP‑адресации могут выдаваться динамически по протоколу DHCP. Для этого на устройстве MikroTik необходимо создать DHCP‑клиент и связать его с интерфейсом bridge‑LAN. Чаще всего при получении настроек по протоколу DHCP также передаются IP‑адреса DNS‑серверов и шлюз по умолчанию. В этом случае точка доступа MikroTik автоматически создаст записи для вышестоящих DNS‑серверов и маршрут по умолчанию.

Через графический интерфейс

С помощью WinBox 3

С помощью WinBox 4

Через командную строку

/ip/dhcp-client/
add disabled=no interface=bridge-LAN

Добавление маршрута по умолчанию

На предыдущих шагах подключение к точке доступа MikroTik в WinBox выполнялось по MAC‑адресу. После назначения IP‑адреса внутреннему интерфейсу точки доступа MikroTik далее следует подключаться по IP‑адресу, так как такое подключение более стабильно, чем подключение по MAC‑адресу.

Маршрут по умолчанию задает IP‑адрес, через который отправляются все пакеты, для которых нет другого, более подходящего маршрута. В рассматриваемом в данной статье примере локальный шлюз использует IP-адрес 192.168.100.1. Таким образом, в таблицу маршрутизации точки доступа MikroTik необходимо добавить маршрут до сети 0.0.0.0/0 через IP‑адрес 192.168.100.1.

Если внешний интерфейс получает IP‑адрес по протоколу DHCP, маршрут по умолчанию создается автоматически. В таком случае создавать статический маршрут по умолчанию не надо. Если же используется статическая IP-адресация, то маршрут по умолчанию необходимо добавить вручную.

Еще больше нюансов настройки MikroTik в онлайн-курсе по MikroTik от автора этой статьи. Курс актуален для RouterOS v7.20.6. Много лабораторных работ с проверкой и диплом государственного образца РФ.

ИП Скоромнов Дмитрий Анатольевич, ИНН 331403723315

Проверка наличия динамического маршрута

Динамический маршрут по умолчанию может появиться, только если IP-адрес получен с помощью протокола DHCP.

Через графический интерфейс

С помощью WinBox 3

С помощью WinBox 4

Через командную строку

/ip/route/
print
Columns: DST-ADDRESS, GATEWAY, DISTANCE
#      DST-ADDRESS       GATEWAY        DISTANCE
  DAd  0.0.0.0/0         192.168.100.1         1
  DAc  192.168.100.0/24  bridge-LAN            0

Добавление статического маршрута по умолчанию

Через графический интерфейс

С помощью WinBox 3

С помощью WinBox 4

Через командную строку

/ip/route/
add dst-address=0.0.0.0/0 gateway=192.168.100.1

Проверка

На данном этапе с точки доступа MikroTik должен успешно проходить ping до различных узлов в Интернете по IP-адресу. Например, это могут быть следующие IP-адреса: 1.1.1.1, 8.8.8.8, 77.88.8.1, 77.88.8.8.

Важно:

• ping должен выполняться именно с точки доступа, а не с компьютеров, находящихся за ней;
• ping должен выполняться по IP-адресу, а не по доменному имени (ya.ru, rbc.ru и т.д.).

Если ping не будет проходить, то надо искать причину проблемы. Проблема может крыться в ошибке в предыдущих настройках.

Настройка DNS-клиента

Настройка DNS-клиента на точке доступа MikroTik необходима для того, чтобы она могла обращаться к узлам в Интернет по доменному имени. Без настроенного DNS‑клиента точка доступа MikroTik не сможет автоматически получать обновления и использовать адреса серверов времени в виде DNS‑имен, а также будет сталкиваться с рядом других проблем.

Если настройки IP-адресации получаются с помощью протокола DHCP, то, как правило, вместе с ними получаются и IP-адреса DNS-серверов. При необходимости можно добавить статические записи с IP‑адресами DNS‑серверов, которые будут иметь приоритет над адресами, выданными маршрутизатором. Если же IP-адреса DNS-серверов не получаются с помощью протокола DHCP, то их надо задать статически. DNS-серверы будут использовать в порядке в котором они перечислены. В описываемой конфигурации в качестве IP-адреса DNS-сервера использован IP-адреса маршрутизатора GW 192.168.100.1.

Отдельно включать DNS-клиента не надо, добавление вышестоящих DNS-серверов автоматически активирует его. При этом способ добавления DNS-серверов (статический или динамический) роли не играет.

Через графический интерфейс

С помощью WinBox 3

С помощью WinBox 4

Через командную строку

/ip/dns/
set servers=192.168.100.1

Проверка

Если точка доступа MikroTik подключена к Интернету, то имеет смысл попробовать выполнить с нее ping до различных узлов в Интернете по доменному имени. Например, это могут быть: ya.ru, rbc.ru, rg.ru или любые другие имена.

Если ping по IP‑адресу проходит, а по доменному имени – нет, необходимо искать причину проблемы. Скорее всего проблема кроется в нерабочих IP-адресах DNS-серверов.

Обновление операционной системы RouterOS

Настройку целесообразно выполнять на самой последней версии RouterOS v7. Существует два основных варианта обновления: автоматическое обновление через Интернет и ручное обновление из файла. Если с точки доступа MikroTik есть выход в Интернет, удобнее всего выполнить автоматическую проверку обновлений и при наличии новой версии установить ее. После завершения обновления устройство MikroTik будет перезагружено.

Определение факта необходимости обновления

По состоянию на 6 декабря 2025 актуальная версия RouterOS имеет номер 7.20.4. Если на вашем устройстве MikroTik установлена более ранняя версия RouterOS, то до начала настройки ее надо обновить.

Через графический интерфейс

С помощью WinBox 3

С помощью WinBox 4

Автор этой статьи ведет Telegram-канал Mikrotik-сэнсей. Присоединяйтесь и получайте проверенные решения по настройке MikroTik.

ИП Скоромнов Дмитрий Анатольевич, ИНН 331403723315

Через командную строку

/system/resource/
print

Автообновление RouterOS через Интернет

При автоматическом обновлении через Интернет сразу обновляются все пакеты, установленные на устройство MikroTik. После обновления точка доступа автоматически перезагрузится.

Через графический интерфейс

С помощью WinBox 3

С помощью WinBox 4

Через командную строку

/system/package/update/
check-for-updates
install

Обновление загрузчика RouterBOOT

После обновления RouterOS необходимо обновить загрузчик RouterBOOT, отвечающий за запуск операционной системы после включения устройства. Версии RouterOS и RouterBOOT должны совпадать. Если совпадения не будет, то возможны различные проблемы.

Через графический интерфейс

С помощью WinBox 3

С помощью WinBox 4

Через командную строку

/system/routerboard/
upgrade

/system/
reboot

Настройка службы времени

Если точка доступа MikroTik не знает корректное время, возможны различные проблемы: сбои в работе сертификатов, некорректная работа механизмов, использующих расписание (планировщик заданий, правила файрвола, Simple Queue и др.), а также сложности при анализе логов.

Для того, чтобы служба времени начала работать на точке доступа MikroTik необходимо активировать NTP-клиент и указать сервер времени с которым должна выполняться синхронизация. ТТакже рекомендуется отключить автоопределение часового пояса и задавать его вручную, поскольку автоопределение не всегда работает корректно.

Через графический интерфейс

С помощью WinBox 3

Еще больше нюансов настройки MikroTik в онлайн-курсе по MikroTik от автора этой статьи. Курс актуален для RouterOS v7.20.6. Много лабораторных работ с проверкой и диплом государственного образца РФ.

ИП Скоромнов Дмитрий Анатольевич, ИНН 331403723315

С помощью WinBox 4

Через командную строку

/system/ntp/client/
set enabled=yes

/system/ntp/client/servers/
add address=ru.pool.ntp.org

/system/clock/
set time-zone-autodetect=no time-zone-name=Europe/Moscow

Настройка параметров безопасности, не имеющих отношение к Wi-Fi

Настройка безопасности канального уровня

Устройства MikroTik могут обнаруживать другие устройства («соседей»), которые находятся с ними в одном L2-сегменте. Обнаружение устройств MikroTik выполняется с помощью протокола MNDP, а обнаружение устройств, отличных от MikroTik – с помощью протокола LLDP. Проблема состоит в том, что при включении обнаружения других устройств становится видимым и само устройство MikroTik. Поэтому рекомендуется разрешать обнаружение «соседей» только на доверенных интерфейсах. В рамках данной статьи таким интерфейсом является интерфейс, относящийся к локальной сети, а именно bridge-LAN.

Также рекомендуется разрешать консольные и WinBox-подключения по MAC-адресу только с доверенных интерфейсов. Устройства MikroTik поддерживают ping по MAC‑адресу (MAC‑ping), но его рекомендуется полностью отключить, поскольку этот механизм нельзя разрешить или запретить для отдельных интерфейсов.

Такие ограничения настраиваются с помощью следующих действий:

• создается список доверенных интерфейсов,
• разрешается обнаружение «соседей» только для списка доверенных интерфейсов,
• разрешаются консольные подключения по MAC-адресу только для списка доверенных интерфейсов,
• разрешаются WinBox-подключения по MAC-адресу только для списка доверенных интерфейсов,
• запрещается MAC-ping.

Настройка безопасности канального уровня целесообразна только в ситуациях, когда описанная в статье конфигурация расширяется и в ней появляются недоверенные интерфейсы. Примером такого расширения конфигурации является добавление гостевой беспроводной сети.

Через графический интерфейс

С помощью WinBox 3

Автор этой статьи ведет Telegram-канал Mikrotik-сэнсей. Присоединяйтесь и получайте проверенные решения по настройке MikroTik.

ИП Скоромнов Дмитрий Анатольевич, ИНН 331403723315

С помощью WinBox 4

Через командную строку

/interface/list/
add name=LAN

/interface/list/member/
add interface=bridge-LAN list=LAN

/ip/neighbor/discovery-settings/
set discover-interface-list=LAN

/tool/mac-server/
set allowed-interface-list=LAN

/tool/mac-server/mac-winbox/
set allowed-interface-list=LAN

/tool/mac-server/ping/
set enabled=no

Отключение протокола IPv6

Даже при полном сбросе заводских настроек интерфейсы устройств MikroTik автоматически назначают себе IPv6‑адреса. Поэтому поддержку протокола IPv6 рекомендуется отключать. После отключения протокола IPv6 необходимо перезагрузить точку доступа.

Через графический интерфейс

С помощью WinBox 3

С помощью WinBox 4

Через командную строку

/ipv6/settings/
set disable-ipv6=yes

Отключение неиспользуемых служб

Для повышения безопасности также рекомендуется отключить службы, которые заведомо не будут использоваться. В рамках данной статьи это будут службы: ftp, telnet, www, api и api-ssl, а также службу www-ssl, если окажется, что она не отключена по умолчанию. Службы www и www‑ssl обеспечивают подключение к веб‑интерфейсу настроек точки доступа (WebFig) по протоколам HTTP и HTTPS соответственно.

Еще больше нюансов настройки MikroTik в онлайн-курсе по MikroTik от автора этой статьи. Курс актуален для RouterOS v7.20.6. Много лабораторных работ с проверкой и диплом государственного образца РФ.

ИП Скоромнов Дмитрий Анатольевич, ИНН 331403723315

Через графический интерфейс

С помощью WinBox 3

С помощью WinBox 4

Через командную строку

/ip/service/
set ftp disabled=yes
set telnet disabled=yes
set www disabled=yes
set api disabled=yes
set api-ssl disabled=yes

Виды беспроводных пакетов на устройствах MikroTik

Пакет (package) в RouterOS — это модуль программного обеспечения, который добавляет определенный функционал. Пакет представляет собой файл с расширением .npk. Существует два вида пакетов: основной (main) и дополнительные (extra). Основной пакет обязательно необходим для работы устройства, а дополнительные пакеты могут быть удалены или добавлены по мере необходимости. Функционал Wi-Fi содержится в дополнительном беспроводном пакете wifi-qcom, wifi-qcom-ac или wireless. В RouterOS v7 существует три вида беспроводных пакетов:

• wireless – устаревший пакет для устаревших устройств с поддержкой IEEE 802.11/a/b/g/n/ac;
• wifi-qcom-ac – новый пакет для устаревших устройств с поддержкой IEEE 802.11/a/b/g/n/ac/ac Wave 2, который можно установить на Audience, Audience LTE kit, Chateau (все подвиды D53), hAP ac², hAP ac³, cAP ac, cAP XL ac, LDF 5 ac, LHG XL 5 ac, LHG XL 52 ac, NetMetal ac2, mANTBox 52 15s, wAP ac (RBwAPG-5HacD2HnD) и SXTsq 5 ac;
• wifi-qcom – пакет для современных устройств с поддержкой IEEE 802.11/a/b/g/n/ac/ax.

При автоматическом обновлении RouterOS, описанном выше, одновременно обновляются основной пакет и все установленные дополнительные пакеты, включая пакет, обеспечивающий работу Wi‑Fi.

Настройка Wi-Fi на беспроводных пакетах wifi-qcom и wifi-qcom-ac

В данном разделе рассматривается точка доступа MikroTik с беспроводным пакетом wifi-qcom, поддерживающим IEEE 802.11a/b/g/n/ac/ax (Wi‑Fi 6), и двумя модулями Wi‑Fi: для частот 2,4 и 5 ГГц.

Настройка Wi‑Fi на точках доступа MikroTik с пакетами wifi-qcom и wifi-qcom-ac идентична, за исключением того, что в пакете wifi-qcom-ac отсутствуют функции, появившиеся в Wi‑Fi 6 (IEEE 802.11ax). В графическом интерфейсе утилиты WinBox настройки обоих беспроводных пакетов выглядят одинаково, однако параметры, относящиеся только к wifi‑qcom, игнорируются на устройствах с wifi‑qcom‑ac.

Описание настроек

Некоторые параметры на разных беспроводных пакетах могут иметь разные значения или на одном пакете могут быть использованы, а на другом нет. Это связано со спецификой данных параметров на разных пакетах. Например:

• На пакете wifi-qcom параметр Mode имеет значение ap, а на пакете wireless – ap bridge. Эти разные значения являются идентичными, но имеют разные названия на разных беспроводных пакетах.
• На пакете wifi-qcom параметр Installation не задан, а на пакете wireless имеет значение indoor. Это связано с тем, что на пакете wifi-qcom данный параметр по умолчанию имеет значение indoor и его не надо задавать явным образом, а на пакете wireless этот же параметр по умолчанию имеет значение any и поэтому для этого параметра явным образом указано значение indoor.
• На пакете wifi-qcom-ac параметр Country не может иметь значение Superchannel, а на wi-fi-qcom – может.

Настройки интерфейса 2,4 ГГц

На практике рекомендуется полностью отключать интерфейс 2,4 ГГц, поскольку этот диапазон перегружен и обычно не обеспечивает хорошего качества связи.

Для настройки Wi-Fi на интерфейсе 2,4 ГГц явным образом заданы следующие параметры:

• имя интерфейса: wlan‑2GHz (интерфейс переименован для удобства его идентификации при анализе конфигурации);
• имя беспроводной сети (SSID): AP‑2¹;
• способы аутентификации: wpa2‑psk и wpa3-psk;
• пароль: password1¹;
• функция WPS: отключена (включение повышает уязвимость сети Wi-Fi);
• поддерживаемые поправки: IEEE 802.11b/g/n/ax;
• ширина канала: 20 МГц²;
• время повторного поиска наименее загруженной частоты: от 2 до 4 часов;
• региональные ограничения для пакета wifi-qcom: Superchannel^{3, 4};
• региональные ограничения для пакета wifi-qcomp-ac: Russia⁵;
• допустимый диапазон центральных частот: 2412–2472 МГц⁶;
• максимальная мощность передатчика: 16 дБм⁷.

Настройки интерфейса 5 ГГц

Для настройки Wi-Fi на интерфейсе 5 ГГц явным образом заданы следующие параметры:

• имя интерфейса: wlan‑5GHz (интерфейс переименован для удобства его идентификации при анализе конфигурации);
• имя беспроводной сети (SSID): AP‑5¹;
• способы аутентификации: wpa2‑psk и wpa3-psk;
• пароль: password2¹;
• функция WPS: отключена (включение повышает уязвимость сети Wi-Fi);
• поддерживаемые поправки: IEEE 802.11a//n/ac/ax;
• ширина канала: 40 МГц²;
• время повторного поиска наименее загруженной частоты: от 2 до 4 часов;
• региональные ограничения для пакета wifi-qcom: Superchannel^{3, 4};
• региональные ограничения для пакета wifi-qcomp-ac: Russia⁵;
• допустимые диапазоны центральных частот: 5180–5240, 5260–5320, 5660–5720, 5745–5825 МГц⁶;
• максимальная мощность передатчика: 18 дБм⁸.

Примечания

¹Причины по которым сети Wi-Fi, относящиеся к разным частотным диапазонам, названы по разному, а также почему они должны иметь разные пароли описаны в разделе «Настройки положительно влияющие на производительность беспроводной сети».

² Использование такой ширины канала соответствует общепринятым практикам. Чаще всего применение более широких каналов не приведет к заметному увеличению скорости передачи данных, но может привести к созданию помех для сетей Wi-Fi, работающих на других каналах.

³ Региональное ограничение Superchannel фактически эквивалентно отсутствию ограничений по используемым частотам и максимальной мощности передатчика. Такие параметры будут явным образом заданы отдельно. Это связано с тем, что, во-первых на RouterOS эти ограничения заданы неверно, а во-вторых на части устройств MikroTik имеется баг, заключающийся в том, что на некоторых частотах максимальная мощность передатчика может оказаться значительно заниженной. По состоянию на декабрь 2025 обе эти проблемы являются актуальными. Поэтому в данной статье используются параметры, учитывающие реалии настройки Wi-Fi на MikroTik.

⁴ Если на устройствах с беспроводным пакетом wifi-qcom отсутствует регион Superchannel или при выборе этого региона появляется какая-либо ошибка», то следует выполнить переустановку RouterOS с помощью утилиты Netinstall.

⁵ На устройствах с беспроводным пакетом wifi-qcom-ac не может быть использован регион Superchannel. При попытке использовать его выйдет сообщение «failled to set country». Это связано со спецификой драйвера данного беспроводного пакета. В таком случае для России надо выбрать регион Russia, но все-равно использовать настройки, связанные с максимальной мощностью передатчика и допустимыми диапазонами центральных частот. Если настраиваемая точка доступа MikroTik будет использоваться не в РФ, то необходимо выбрать регион, соответствующий законодательным ограничениям страны в которой будет использоваться устройство.

⁶ Если настраиваемая точка доступа MikroTik будет использоваться не в РФ, то необходимо указывать частоты, соответствующие законодательным ограничениям страны в которой будет использоваться устройство.

⁷ Если настраиваемая точка доступа будет будет использоваться не в РФ или на частоте 2,4 ГГц будет иметь коэффициент усиления антенн, отличный от 4 дБи, то надо будет выполнить пересчет указанного значения. Как это сделать описывается в начале подраздела «Настройка интерфейса 2,4 ГГц».

⁸ Если настраиваемая точка доступа будет будет использоваться не в РФ или на частоте 5 ГГц будет иметь коэффициент усиления антенн, отличный от 4,5 дБи, то надо будет выполнить пересчет указанного значения. Как это сделать описывается в начале подраздела «Настройка интерфейса 5 ГГц».

Настройка интерфейса 2,4 ГГц

В данном разделе в качестве максимальной мощности передатчика (параметр Max Tx Power) для частоты 2,4 ГГц задана равной 16 дБм. Эта мощность определена с учетом законодательных ограничений в РФ. Если настраиваемая точка доступа будет иметь другой коэффициент усиления антенн, работающих на частоте 2,4 ГГц, или будет использоваться в другой стране, то надо будет выполнить пересчет указанного значения.

Максимальная мощность передатчика рассчитывается по формуле ЭИИМ - КУ = ММП, где ЭИИМ – эквивалентная изотропно‑излучаемая мощность, КУ – коэффициент усиления антенн (при дробном значении округляется до ближайшего большего целого), ММП – максимальная мощность передатчика. В РФ для частоты 2,4 ГГц эквивалентная изотропно-излучаемая мощность не может превышать 20 дБм (100 мВт). У настраиваемого устройства коэффициент усиления антенн, работающих на частоте 2,4 ГГц, равен 4 дБи, значение округлять не надо. Таким образом, максимальная мощность передатчика, работающего на частоте 2,4 ГГц, будет равна 20 дБм - 4 дБи = 16 дБм.

Через графический интерфейс

С помощью WinBox 3

Автор этой статьи ведет Telegram-канал Mikrotik-сэнсей. Присоединяйтесь и получайте проверенные решения по настройке MikroTik.

ИП Скоромнов Дмитрий Анатольевич, ИНН 331403723315

С помощью WinBox 4

Через командную строку

/interface/wifi/
set [ find default-name=wifi2 ] channel.band=2ghz-ax .frequency=2412-2472 \
   .reselect-interval=2h..4h .width=20mhz configuration.country=Superchannel \
   .mode=ap .ssid=AP-2 .tx-power=16 disabled=no name=wlan-2GHz \
   security.authentication-types=wpa2-psk,wpa3-psk .passphrase=password1 .wps=disable

Настройка интерфейса 5 ГГц

В данном разделе в качестве максимальной мощности передатчика (параметр Max Tx Power) для частоты 5 ГГц задана равной 18 дБм. Эта мощность определена с учетом законодательных ограничений в РФ. Если настраиваемая точка доступа будет иметь другой коэффициент усиления антенн, работающих на частоте 5 ГГц, или будет использоваться в другой стране, то надо будет выполнить пересчет указанного значения.

Максимальная мощность передатчика рассчитывается по формуле ЭИИМ - КУ = ММП, где ЭИИМ – эквивалентная изотропно‑излучаемая мощность, КУ – коэффициент усиления антенн (при дробном значении округляется до ближайшего большего целого), ММП – максимальная мощность передатчика. В РФ для частоты 5 ГГц эквивалентная изотропно-излучаемая мощность не может превышать 23 дБм (200 мВт). У настраиваемого устройства коэффициент усиления антенн, работающих на частоте 5 ГГц, равен 4,5 дБи, это значение округляется до ближайшего большего целого числа, т.е. до 5 дБи. Таким образом, максимальная мощность передатчика, работающего на частоте 5 ГГц, будет равна 23 дБм - 5 дБи = 18 дБм.

Через графический интерфейс

С помощью WinBox 3

Еще больше нюансов настройки MikroTik в онлайн-курсе по MikroTik от автора этой статьи. Курс актуален для RouterOS v7.20.6. Много лабораторных работ с проверкой и диплом государственного образца РФ.

ИП Скоромнов Дмитрий Анатольевич, ИНН 331403723315

С помощью WinBox 4

Через командную строку

/interface/wifi/
set [ find default-name=wifi1 ] channel.band=5ghz-ax .frequency=\
   5180-5240,5260-5320,5660-5720,5745-5825 .reselect-interval=2h..4h \
   .width=20/40mhz configuration.country=Superchannel .mode=ap .ssid=AP-5 \
   .tx-power=18 disabled=no name=wlan-5GHz security.authentication-types=\
   wpa2-psk,wpa3-psk .passphrase=password2 .wps=disable

Настройка Wi-Fi на беспроводном пакете wireless

В данном разделе статьи рассматривается точка доступа MikroTik с беспроводным пакетом wireless, поддерживающим IEEE 802.11a/b/g/n/ac (Wi‑Fi 5), и двумя модулями Wi‑Fi: для частот 2,4 и 5 ГГц.

Описание настроек

Некоторые параметры на разных беспроводных пакетах могут иметь разные значения или на одном пакете могут быть использованы, а на другом нет. Это связано со спецификой данных параметров на разных пакетах. Например:

• На пакете wifi-qcom параметр Mode имеет значение ap, а на пакете wireless – ap bridge. Эти разные значения являются идентичными, но имеют разные названия на разных беспроводных пакетах.
• На пакете wifi-qcom параметр Installation не задан, а на пакете wireless имеет значение indoor. Это связано с тем, что на пакете wifi-qcom данный параметр по умолчанию имеет значение indoor и его не надо задавать явным образом, а на пакете wireless этот же параметр по умолчанию имеет значение any и поэтому для этого параметра явным образом указано значение indoor.

Настройки интерфейса 2,4 ГГц

На практике рекомендуется полностью отключать беспроводной интерфейс 2,4 ГГц из-за того, что данная частота является перегруженной и на ней, как правило, не получается добиться хорошего качества связи.

Для настройки Wi-Fi на интерфейсе 2,4 ГГц явным образом заданы следующие параметры:

• имя интерфейса: wlan‑2GHz (интерфейс переименован для удобства его идентификации при анализе конфигурации);
• имя беспроводной сети (SSID): AP‑2¹;
• способ аутентификации: wpa2‑psk;
• пароль: password1¹;
• функция WPS: отключена (включение повышает уязвимость сети Wi-Fi);
• поддержка WMM: включена;
• поддерживаемые поправки: IEEE 802.11b/g/n;
• использование только стандартных центральных частот: включено;
• ширина канала: 20 МГц²;
• использование кадров RTS и CTS: включено;
• региональные ограничения: superchannel и no_country-set³;
• допустимый диапазон центральных частот: 2412–2472 МГц⁴;
• максимальная мощность передатчика: 18 дБм^{5, 6}.

Настройки интерфейса 5 ГГц

Для настройки Wi-Fi на интерфейсе 5 ГГц явным образом заданы следующие параметры:

• имя интерфейса: wlan‑5GHz (интерфейс переименован для удобства его идентификации при анализе конфигурации);
• имя беспроводной сети (SSID): AP‑5¹;
• способ аутентификации: wpa2‑psk;
• пароль: password2¹;
• функция WPS: отключена (включение повышает уязвимость сети Wi-Fi);
• поддержка WMM: включена;
• поддерживаемые поправки: IEEE 802.11a//n/ac;
• использование только стандартных центральных частот: включено;
• ширина канала: 40 МГц²;
• использование кадров RTS и CTS: включено;
• региональные ограничения: superchannel и no_country-set³;
• допустимые диапазоны центральных частот: 5180–5240, 5260–5320, 5660–5720, 5745–5825 МГц⁴;
• максимальная мощность передатчика: 21 дБм^{7, 8}.

Примечания

¹Причины по которым сети Wi-Fi, относящиеся к разным частотным диапазонам, названы по разному, а также почему они должны иметь разные пароли описаны в разделе «Настройки положительно влияющие на производительность беспроводной сети».

² Использование такой ширины канала соответствует общепринятым практикам. Чаще всего применение более широких каналов не приведет к заметному увеличению скорости передачи данных, но может привести к созданию помех для сетей Wi-Fi, работающих на других каналах.

³ Региональное ограничение Superchannel и no_country-set фактически эквивалентно отсутствию ограничений по используемым частотам и максимальной мощности передатчика. Такие параметры будут явным образом заданы отдельно. Это связано с тем, что, во-первых на RouterOS эти ограничения заданы неверно, а во-вторых на части устройств MikroTik имеется баг, заключающийся в том, что на некоторых частотах максимальная мощность передатчика может оказаться значительно заниженной. По состоянию на декабрь 2025 обе эти проблемы являются актуальными. Поэтому в данной статье используются параметры, учитывающие реалии настройки Wi-Fi на MikroTik. Если регион Superchannel отсутствует в списке выбора или при выборе этого региона появляется ошибка «failled to set country», то следует выполнить переустановку RouterOS с помощью утилиты Netinstall.

⁴ Если настраиваемая точка доступа MikroTik будет использоваться не в РФ, то необходимо указывать частоты, соответствующие законодательным ограничениям страны в которой будет использоваться устройство.

⁵ Если настраиваемая точка доступа будет будет использоваться не в РФ или на частоте 2,4 ГГц будет иметь коэффициент усиления антенн, отличный от 1,5 дБи, то надо будет выполнить пересчет указанного значения. Как это сделать описывается в начале подраздела «Настройка интерфейса 2,4 ГГц».

⁶ При настройке мощности передатчика будет указываться значение 15, а не 18 дБм. Это не опечатка. Почему указанно именно это значение описывается в начале подраздела «Настройка интерфейса 2,4 ГГц».

⁷ Если настраиваемая точка доступа будет будет использоваться не в РФ или на частоте 5 ГГц будет иметь коэффициент усиления антенн, отличный от 2 дБи, то надо будет выполнить пересчет указанного значения. Как это сделать описывается в начале подраздела «Настройка интерфейса 5 ГГц».

⁸ При настройке мощности передатчика будет указываться значение 18, а не 21 дБм. Это не опечатка. Почему указанно именно это значение описывается в начале подраздела «Настройка интерфейса 5 ГГц».

Настройка интерфейса 2,4 ГГц

В данном разделе в качестве максимальной мощности передатчика (параметр Max Tx Power) для частоты 2,4 ГГц задана равной 18 дБм. Эта мощность определена с учетом законодательных ограничений в РФ. Если настраиваемая точка доступа будет иметь другой коэффициент усиления антенн, работающих на частоте 2,4 ГГц, или будет использоваться в другой стране, то надо будет выполнить пересчет указанного значения.

Максимальная мощность передатчика рассчитывается по формуле ЭИИМ - КУ = ММП, где ЭИИМ – эквивалентная изотропно‑излучаемая мощность, КУ – коэффициент усиления антенн (при дробном значении округляется до ближайшего большего целого), ММП – максимальная мощность передатчика. В РФ для частоты 2,4 ГГц эквивалентная изотропно-излучаемая мощность не может превышать 20 дБм (100 мВт). У настраиваемого устройства коэффициент усиления антенн, работающих на частоте 2,4 ГГц, равен 1,5 дБи, это значение округляется до ближайшего большего целого числа, т.е. до 2 дБи. Таким образом, максимальная мощность передатчика, работающего на частоте 2,4 ГГц, будет равна 20 дБм - 2 дБи = 18 дБм. В пакете wireless для IEEE 802.11a/b/g/n, в отличие от IEEE 802.11ac, в параметре Tx-Power указывается мощность каждого отдельного радиоканала, а не суммарная мощность, которая делится поровну между всеми отдельными радиоканалами. На настраиваемой точке доступа MikroTik используется два радиоканала, а это значит, что 18 дБм надо уменьшить на 3 дБ (т.е. уменьшить в два раза). Итого мощность, которую надо будет указать будет равна 18 дБм - 3дБ = 15 дБм.

Через графический интерфейс

С помощью WinBox 3

Автор этой статьи ведет Telegram-канал Mikrotik-сэнсей. Присоединяйтесь и получайте проверенные решения по настройке MikroTik.

ИП Скоромнов Дмитрий Анатольевич, ИНН 331403723315

С помощью WinBox 4

Через командную строку

/interface/wireless/security-profiles/
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk mode=dynamic-keys name=profile_2ghz \
   supplicant-identity="" wpa2-pre-shared-key=password1

/interface/wireless/
set [ find default-name=wlan1 ] band=2ghz-onlyn country=no_country_set \
   disabled=no frequency=auto frequency-mode=superchannel hw-protection-mode=rts-cts \
   installation=indoor mode=ap-bridge radio-name=AP name=wlan1-2GHz scan-list=2412-2472 \
   security-profile=profile_2ghz ssid=AP-2 tx-power=15 tx-power-mode=all-rates-fixed \
   wireless-protocol=802.11 wmm-support=enabled wps-mode=disabled

Настройка интерфейса 5 ГГц

В данном разделе в качестве максимальной мощности передатчика (параметр Max Tx Power) для частоты 5 ГГц задана равной 21 дБм. Эта мощность определена с учетом законодательных ограничений в РФ. Если настраиваемая точка доступа будет иметь другой коэффициент усиления антенн, работающих на частоте 5 ГГц, или будет использоваться в другой стране, то надо будет выполнить пересчет указанного значения.

Максимальная мощность передатчика рассчитывается по формуле ЭИИМ - КУ = ММП, где ЭИИМ – эквивалентная изотропно‑излучаемая мощность, КУ – коэффициент усиления антенн (при дробном значении округляется до ближайшего большего целого), ММП – максимальная мощность передатчика. В РФ для частоты 5 ГГц эквивалентная изотропно-излучаемая мощность не может превышать 23 дБм (200 мВт). У настраиваемого устройства коэффициент усиления антенн, работающих на частоте 5 ГГц, равен 2 дБи, значение округлять не надо. Таким образом, максимальная мощность передатчика, работающего на частоте 5 ГГц, будет равна 23 дБм - 2 дБи = 21 дБм. В пакете wireless для IEEE 802.11ac в параметре Tx-Power указывается суммарная мощность, а не мощность каждого отдельного радиоканала как это делается для IEEE 802.11a/b/g/n.

Через графический интерфейс

С помощью WinBox 3

Еще больше нюансов настройки MikroTik в онлайн-курсе по MikroTik от автора этой статьи. Курс актуален для RouterOS v7.20.6. Много лабораторных работ с проверкой и диплом государственного образца РФ.

ИП Скоромнов Дмитрий Анатольевич, ИНН 331403723315

С помощью WinBox 4

Через командную строку

/interface/wireless/security-profiles/
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk mode=dynamic-keys name=profile_5ghz \
   supplicant-identity="" wpa2-pre-shared-key=password2

/interface/wireless/
set [ find default-name=wlan2 ] band=5ghz-onlyac channel-width=20/40mhz-XX \
   country=no_country_set disabled=no frequency=auto frequency-mode=superchannel \
   hw-protection-mode=rts-cts installation=indoor mode=ap-bridge radio-name=AP name=wlan2-5GHz \
   scan-list=5180-5240,5260-5320,5660-5720,5745-5825 security-profile=profile_5ghz \
   ssid=AP-5 tx-power=21 tx-power-mode=all-rates-fixed wireless-protocol=802.11 \
   wmm-support=enabled wps-mode=disabled

Использование более одной точки доступа Wi-Fi

Общее описание

В идеальном варианте беспроводная сеть должна создаваться на основе проекта и в рамках данного проекта должны подбираться значения настроек, указанных в данном разделе статьи. Поэтому следует учитывать, что в данном разделе статьи указаны приближенные значения на которые можно ориентироваться, но такие значения не могут считаться универсальными из-за индивидуальных характеристик разных беспроводных сетей.

Использование описанных далее настроек может положительно влиять не только на роуминг, но и на общую производительность беспроводной сети, однако при отсутствии проекта возможны зоны, где сеть будет видна, но подключиться к ней будет невозможно.

Ограничение подключения беспроводных клиентов по уровню сигнала с помощью списка доступа (Access List)

На каждом устройстве в списке доступа (Access List) настраиваются два правила, общих для обоих беспроводных интерфейсов:

1. Правило разрешающее подключения от беспроводных клиентов мощность принятого сигнала от которых составляет -72 дБм и более (-71 дБм, -70 дБм и т.д.).
2. Правило запрещающее подключения от беспроводных клиентов мощность принятого сигнала от которых составляет -73 дБм и менее (-74 дБм, -75 дБм и т.д.).

Если беспроводной клиент попал под действие любого из двух правил, то в течение времени до 10 секунд его сигнал может выходить за указанный в правиле диапазон, при этом клиент остается под действием этого правила. Значение данного таймера сбрасывается каждый раз, когда клиент возвращается под действие правила. Этот таймер нужен для исключения кратковременных подключений к точке доступа и последующих отключений при незначительных изменениях уровня сигнала.

Нюансы:

• Для разных беспроводных клиентов могут создаваться разные правила с разными пороговыми значениями срабатывания правил.
• Из‑за особенностей работы драйверов некоторых беспроводных клиентов возможны ситуации, когда после нескольких срабатываний запрещающего правила такие клиенты перестают подключаться к точке доступа, даже при выполнении условий разрешающего правила.

На беспроводных пакетах wifi-qcom и wifi-qcom-ac

С помощью WinBox 3

С помощью WinBox 4

Автор этой статьи ведет Telegram-канал Mikrotik-сэнсей. Присоединяйтесь и получайте проверенные решения по настройке MikroTik.

ИП Скоромнов Дмитрий Анатольевич, ИНН 331403723315

Через командную строку

/interface/wifi/access-list/
add action=accept signal-range=-72..120 allow-signal-out-of-range=10s \
   comment="Accept strong signal" 
add action=reject signal-range=-120..-73 allow-signal-out-of-range=10s \
   comment="Reject weak signal"

На беспроводном пакете wireless

С помощью WinBox 3

С помощью WinBox 4

Через командную строку

/interface/wireless/access-list/
add authentication=yes forwarding=yes signal-range=-72..120 allow-signal-out-of-range=10s \
   comment="Accept strong signal" 
add authentication=no forwarding=no signal-range=-120..-73 allow-signal-out-of-range=10s \
   comment="Reject weak signal"

Изменение поддерживаемых и базовых скоростей

Поддерживаемая скорость (supported rate) – любая скорость, которая может поддерживаться точкой доступа или беспроводным клиентом. Хотя бы одна поддерживаемая скорость должна поддерживаться одновременно и точкой доступа и беспроводным клиентом.

Базовая скорость (basic rate) – скорость, входящая в подмножество поддерживаемых скоростей, которая обязательно должна поддерживаться беспроводными клиентами, если эта скорость поддерживается точкой доступа.

Изменение поддерживаемых и базовых скоростей позволяет исключить беспроводных клиентов с плохими характеристиками сигнала, способных работать только на низких скоростях. При передаче данных такие клиенты существенно снижают пропускную способность всей беспроводной сети. В отличие от отключения клиентов по уровню сигнала через список доступа (Access List), изменение поддерживаемых и базовых скоростей позволяет отключать клиентов с относительно высокой мощностью сигнала, но с низким отношением сигнал/шум (SNR), из‑за которого передача возможна только на низких скоростях.

На беспроводных пакетах wifi-qcom и wifi-qcom-ac

На беспроводных пакетах wifi-qcom и wifi-qcom-ac отсутствует возможность изменения поддерживаемых и базовых скоростей.

На беспроводном пакете wireless

С помощью WinBox 3

С помощью WinBox 4

Через командную строку

/interface/wireless/
set [ find default-name=wlan1 ] basic-rates-a/g=12Mbps basic-rates-b="" rate-set=configured \
   supported-rates-a/g=12Mbps,18Mbps,24Mbps,36Mbps,48Mbps,54Mbps supported-rates-b="" 
set [ find default-name=wlan2 ] basic-rates-a/g=12Mbps rate-set=configured \
   supported-rates-a/g=12Mbps,18Mbps,24Mbps,36Mbps,48Mbps,54Mbps

Настройки положительно влияющие на производительность беспроводной сети

Беспроводные сети, работающие на разных частотах (2,4 и 5 ГГц) рекомендуется называть по разному. Частоту 2,4 ГГц следует использовать только для устройств, которые не поддерживают работу на частоте 5 ГГц. Пользователям устройств, поддерживающих обе частоты, не должна быть доступна сеть 2,4 ГГц. Если у таких пользователей нет возможности ограничить доступ к сети 2,4 ГГц, их следует предупреждать, что приоритетным является подключение к сети с именем (SSID), относящимся к частоте 5 ГГц. В противном случае возможны ситуации в которых устройство автоматически будет выбирать частоту 2,4 ГГц, а не 5 ГГц, что может привести к ухудшению качества связи.

На отдельностоящих точках доступа Wi‑Fi, являющихся единственными беспроводными устройствами в сети, также можно применять ограничение подключения клиентов по уровню сигнала через список доступа (Access List) и изменять поддерживаемые и базовые скорости. Это может положительно повлиять на общую производительность беспроводной сети, но при этом в сети могут оказаться отдельные места в которых беспроводная сеть будет видна, но к ней будет отсутствовать возможность подключения.

Еще больше нюансов настройки MikroTik в онлайн-курсе по MikroTik от автора этой статьи. Курс актуален для RouterOS v7.20.6. Много лабораторных работ с проверкой и диплом государственного образца РФ.

ИП Скоромнов Дмитрий Анатольевич, ИНН 331403723315

Итоговая конфигурация через командную строку

Итоговая конфигурация устройств с беспроводным пакетом wifi-qcom

/user/
set [find name=admin] password=password

/interface/bridge/
add name=bridge-LAN

/interface/list/
add name=LAN

/interface/wifi/
 set [ find default-name=wifi2 ] channel.band=2ghz-ax .frequency=2412-2472 \
  .reselect-interval=2h..4h .width=20mhz configuration.country=Superchannel \
  .mode=ap .ssid=GW-2 .tx-power=16 disabled=no name=wlan-2GHz \
  security.authentication-types=wpa2-psk,wpa3-psk .passphrase=password1 \
  .wps=disable
set [ find default-name=wifi1 ] channel.band=5ghz-ax .frequency=\
  5180-5240,5260-5320,5660-5720,5745-5825 .reselect-interval=2h..4h \
  .width=20/40mhz configuration.country=Superchannel .mode=ap .ssid=GW-5 \
  .tx-power=18 disabled=no name=wlan-5GHz security.authentication-types=\
  wpa2-psk,wpa3-psk .passphrase=password2 .wps=disable

/interface/bridge/port/
add bridge=bridge-LAN interface=ether1
add bridge=bridge-LAN interface=ether2
add bridge=bridge-LAN interface=ether3
add bridge=bridge-LAN interface=ether4
add bridge=bridge-LAN interface=ether5
add bridge=bridge-LAN interface=wlan-5GHz
add bridge=bridge-LAN interface=wlan-2GHz

/ip/neighbor/discovery-settings/
set discover-interface-list=LAN

/ipv6/settings/
set disable-ipv6=yes

/interface/list/member/
add interface=bridge-LAN list=LAN

/interface/wifi/access-list/
add comment="Accept strong signal" action=accept signal-range=-72..120 allow-signal-out-of-range=10s
add comment="Reject weak signal" action=reject signal-range=-120..-73 allow-signal-out-of-range=10s

/ip/address/
add address=192.168.100.11/24 interface=bridge-LAN

/ip/dns/
set servers=192.168.100.1

/ip/route/
add dst-address=0.0.0.0/0 gateway=192.168.100.1

/ip/service/
set ftp disabled=yes
set telnet disabled=yes
set www disabled=yes
set api disabled=yes
set api-ssl disabled=yes

/system/clock/
set time-zone-autodetect=no time-zone-name=Europe/Moscow

/system/identity/
set name=AP

/system/ntp/client/
set enabled=yes

/system/ntp/client/servers/
add address=ru.pool.ntp.org

/tool/mac-server/
set allowed-interface-list=LAN

/tool/mac-server/mac-winbox/
set allowed-interface-list=LAN

/tool/mac-server/ping/
set enabled=no

Итоговая конфигурация устройств с беспроводным пакетом wireless

/user/
set [find name=admin] password=password

/interface/wireless/security-profiles/
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk mode=dynamic-keys name=profile_2ghz \
   supplicant-identity="" wpa2-pre-shared-key=password1
add authentication-types=wpa2-psk mode=dynamic-keys name=profile_5ghz \
   supplicant-identity="" wpa2-pre-shared-key=password2

/interface/wireless/
set [ find default-name=wlan1 ] band=2ghz-onlyn basic-rates-a/g=12Mbps \
   basic-rates-b="" country=no_country_set disabled=no frequency=auto \
   frequency-mode=superchannel hw-protection-mode=rts-cts installation=\
   indoor mode=ap-bridge radio-name=AP name=wlan1-2GHz rate-set=configured scan-list=\
   2412-2472 security-profile=profile_2ghz ssid=AP-2 supported-rates-a/g=\
   12Mbps,18Mbps,24Mbps,36Mbps,48Mbps,54Mbps supported-rates-b="" tx-power=\
   15 tx-power-mode=all-rates-fixed wireless-protocol=802.11 wmm-support=\
   enabled wps-mode=disabled
set [ find default-name=wlan2 ] band=5ghz-onlyac basic-rates-a/g=12Mbps \
   channel-width=20/40mhz-XX country=no_country_set disabled=no frequency=\
   auto frequency-mode=superchannel hw-protection-mode=rts-cts installation=\
   indoor mode=ap-bridge radio-name=AP name=wlan2-5GHz rate-set=configured scan-list=\
   5180-5240,5260-5320,5660-5720,5745-5825 security-profile=profile_5ghz ssid=\
   AP-5 supported-rates-a/g=12Mbps,18Mbps,24Mbps,36Mbps,48Mbps,54Mbps \
   tx-power=21 tx-power-mode=all-rates-fixed wireless-protocol=802.11 \
   wmm-support=enabled wps-mode=disabled

/interface/wireless/access-list/
add comment="Accept strong signal" authentication=yes forwarding=yes signal-range=-72..120 allow-signal-out-of-range=10s
add comment="Reject weak signal" authentication=no forwarding=no signal-range=-120..-73 allow-signal-out-of-range=10s

/interface/bridge/
add name=bridge-LAN

/interface/list/
add name=LAN

/interface/bridge/port/
add bridge=bridge-LAN interface=ether1
add bridge=bridge-LAN interface=ether2
add bridge=bridge-LAN interface=ether3
add bridge=bridge-LAN interface=ether4
add bridge=bridge-LAN interface=ether5
add bridge=bridge-LAN interface=wlan-5GHz
add bridge=bridge-LAN interface=wlan-2GHz

/ip/neighbor/discovery-settings/
set discover-interface-list=LAN

/ipv6/settings/
set disable-ipv6=yes

/interface/list/member/
add interface=bridge-LAN list=LAN

/ip/address/
add address=192.168.100.11/24 interface=bridge-LAN

/ip/dns/
set servers=192.168.100.1

/ip/route/
add dst-address=0.0.0.0/0 gateway=192.168.100.1

/ip/service/
set ftp disabled=yes
set telnet disabled=yes
set www disabled=yes
set api disabled=yes
set api-ssl disabled=yes

/system/clock/
set time-zone-autodetect=no time-zone-name=Europe/Moscow

/system/identity/
set name=AP

/system/ntp/client/
set enabled=yes

/system/ntp/client/servers/
add address=ru.pool.ntp.org

/tool/mac-server/
set allowed-interface-list=LAN

/tool/mac-server/mac-winbox/
set allowed-interface-list=LAN

/tool/mac-server/ping/
set enabled=no

Полезные ссылки

Онлайн-курсы по MikroTik

• Администрирование сетевых устройств MikroTik
• Файрвол и приоритизация трафика на MikroTik
• Маршрутизация на MikroTik
• Коммутация на MikroTik

Онлайн-курсы по сетям

• Математика и физика в сетевых технологиях
• Архитектура современных компьютерных сетей
• Устройство, проектирование и диагностика беспроводных сетей IEEE 802.11 (Wi-Fi)

Telegram-каналы

• Mikrotik-сэнсей
• Сетевой архитектор

Telegram-чат

• MikrotikLab

Прочее

• Чек-лист по настройке MikroTik