Настройка MikroTik с нуля

Введение

Статья содержит пошаговое руководство по базовой настройке роутера MikroTik hAP ax² с нуля. Информация актуальна для RouterOS v7.20.6, последняя проверка актуальности была произведена в декабре 2025 г. Описанные действия также подходят для настройки роутеров MikroTik других моделей (hAP ax³, hAP ax S, hAP ac lite, hAP ac, hAP ac², hAP ac³, hEX, hEX S и др.).

В рамках статьи будут разобраны следующие темы:

• обновление операционной системы RouterOS;
• обновление загрузчика RouterBOOT;
• установка пароля администратора;
• назначение имени роутера;
• объединение внутренних интерфейсов в единый L2-сегмент с помощью bridge-интерфейса;
• настройка IP-адресации на внешнем интерфейсе тремя способами: с помощью назначения статических настроек, с помощью протокола DHCP и с помощью протокола PPPoE;
• настройка IP-адресации на внутреннем интерфейсе с помощью назначения статических настроек;
• добавление маршрута по умолчанию;
• настройка DNS-клиента;
• настройка DNS-сервера;
• настройка DHCP-сервера;
• настройка NAT двумя способами: с помощью действия src-nat и с помощью действия masquerade;
• настройка Wi-Fi на двух беспроводных адаптерах: 2,4 и 5 ГГц;
• настройка файрвола и некоторых других дополнительных функций безопасности;
• настройка службы времени.

Также в конце статьи будет приведена вся итоговая конфигурация маршрутизатора MikroTik в формате командной строки.

Еще больше нюансов настройки MikroTik в онлайн-курсе по MikroTik от автора этой статьи. Курс актуален для RouterOS v7.20.6. Много лабораторных работ с проверкой и диплом государственного образца РФ.

ИП Скоромнов Дмитрий Анатольевич, ИНН 331403723315

Подключение к роутеру MikroTik

Чтобы иметь возможность настроить роутер (маршрутизатор) MikroTik он должен быть подключен одним из интерфейсов в общую сеть с компьютером, с которого будет выполняться настройка. Для этого следует использовать интерфейсы с ether2 по ether5. В данной конфигурации нельзя использовать интерфейс ether1, т.к. в дальнейшем через него будет выполнено подключение к Интернету, а в целях безопасности настройка устройства через этот интерфейс будет запрещена. Аналогичный запрет применяется и в дефолтной конфигурации, которая, возможно, уже используется на устройстве, которое предстоит настраивать.

Для подключения к устройству MikroTik и дальнейшей его настройки необходимо использовать утилиту WinBox. Существует две версии этой утилиты: WinBox 3 и WinBox 4. WinBox 4 в настоящее время существует только в виде beta-версии. Скачать актуальные на 6 декабря 2025 г. версии этих утилит можно по следующим ссылкам:

• WinBox 3.43 для Windows x32,
• WinBox 3.43 для Windows x64,
• WinBox 4.0beta41 для Windows x64,
• WinBox 4.0beta41 для Linux x64,
• WinBox 4.0beta41 для macOS.

С помощью WinBox можно подключиться к устройству MikroTik как по IP-, так и по MAC-адресу. Подключение по MAC-адресу рекомендуется использовать, только если на устройстве нет IP-адреса. Такая ситуация может возникнуть, когда на маршрутизаторе MikroTik будут сброшены настройки с удалением дефолтной конфигурации.

Если на вкладке Neighbors (1) кликнуть по MAC-адресу (2), то в поле Connect To (4) автоматически отобразится этот MAC-адрес, а если кликнуть по IP-адресу (3), то IP-адрес.

По умолчанию для администрирования устройств MikroTik используется имя пользователя admin, а пароль для него зависит от времени выпуска устройства. На более старых устройствах пароля нет, а на более новых его можно найти на заводской этикетке на корпусе.

Если при попытке подключения появится ошибка «ERROR: wrong username or password», это будет означать, что введены неверные учётные данные (имя пользователя или пароль). В таком случае рекомендуется выполнить сброс маршрутизатора MikroTik к заводским настройкам (дефолтной конфигурации). Как это сделать, описано в этой статье. При наличии каких-либо других проблем с подключением также рекомендуется сделать такой сброс.

Обновление операционной системы RouterOS

Настройку целесообразно выполнять на самой последней версии RouterOS v7. Существует два основных варианта обновления: автоматическое обновление через Интернет и ручное обновление из файла. При наличии выхода в Интернет с роутера MikroTik проще всего запустить автоматическую проверку обновлений и установить последнюю версию RouterOS, если она имеется. При отсутствии выхода в Интернет обновление надо будет выполнить вручную с помощью файлов с обновлениями. Независимо от способа обновления, после его завершения устройство MikroTik должно быть перезагружено.

Для получения последней версии MikroTik RouterOS необходимо обновить все установленные на устройстве пакеты. Пакет (package) в RouterOS – это модуль программного обеспечения, добавляющий определённый функционал и представляющий собой файл с расширением .npk. Различают два вида пакетов: основной (main) и дополнительные (extra). Основной пакет необходим для работы устройства, а дополнительные можно удалять или устанавливать по мере необходимости. При обновлении MikroTik RouterOS версии всех используемых пакетов должны совпадать; при нарушении этого условия возможны сбои в работе устройства. Также следует учитывать, что разные модели устройств MikroTik основаны на различных аппаратных платформах, и для каждой из них выпускается собственный набор пакетов.

Определение факта необходимости обновления

По состоянию на 6 декабря 2025 г. актуальная версия RouterOS имеет номер 7.20.6. Если на вашем устройстве MikroTik установлена более ранняя версия RouterOS, то до начала настройки ее надо обновить.

Через графический интерфейс

С помощью WinBox 3

С помощью WinBox 4

Через командную строку

/system/resource/
print

Автообновление RouterOS через Интернет

При автоматическом обновлении через Интернет сразу обновляются все пакеты, установленные на устройство MikroTik. После обновления роутер автоматически перезагрузится.

Через графический интерфейс

С помощью WinBox 3

С помощью WinBox 4

Через командную строку

/system/package/update/
check-for-updates
install

Ручное обновление RouterOS из файлов

Подготовка

При ручном обновлении MikroTik RouterOS необходимо учитывать, что на разных устройствах, работающих даже на одной и той же аппаратной платформе, могут использоваться разные беспроводные адаптеры. Поэтому для одной и той же аппаратной платформы может выпускаться более одного беспроводного пакета, отвечающего за функционал Wi-Fi. Например, для платформы ARM выпускается четыре разных беспроводных пакета: wireless, wifi-mediatek, wifi-qcom и wifi-qcom-ac. В связи с этим для ручного обновления RouterOS с помощью файлов надо знать аппаратную платформу устройства MikroTik и тип используемого беспроводного пакета. Устройство MikroTik hAP ax² работает на аппаратной платформе ARM64, и для него, помимо основного пакета требуется беспроводной пакет wifi-qcom, т.е. для актуальной по состоянию на 6 декабря 2025 г. RouterOS v7.20.6 при обновлении потребуются файлы: routeros-7.20.6-arm64.npk (основной пакет) и wifi-qcom-7.20.6-arm64.npk (беспроводной пакет). Далее будет приведена таблица, в которой даны ссылки на актуальные по состоянию на 6 декабря 2025 основные и дополнительные пакеты RouterOS v 7.20.6 для разных аппаратных платформ.

Через графический интерфейс

С помощью WinBox 3

Автор этой статьи ведет Telegram-канал Mikrotik-сэнсей. Присоединяйтесь и получайте проверенные решения по настройке MikroTik.

ИП Скоромнов Дмитрий Анатольевич, ИНН 331403723315

С помощью WinBox 4

Загрузка пакетов обновлений

Обновление

Файл с актуальной версией RouterOS надо поместить в файловое хранилище RouterOS. Это делается с помощью копирования файлов (Drag & Drop) в рабочую область WinBox. После того как файлы будут скопированы, роутер MikroTik надо будет перезагрузить.

Обновить устройство MikroTik с помощью пакетов, выпущенных для другой аппаратной платформы, не получится. При такой попытке обновление не произойдет. Испортить таким образом ничего не получится.

Через графический интерфейс

С помощью WinBox 3

С помощью WinBox 4

Обновление загрузчика RouterBOOT

После обновления RouterOS необходимо обновить загрузчик RouterBOOT, отвечающий за запуск операционной системы после включения устройства. Версии RouterOS и RouterBOOT должны совпадать. Если совпадения не будет, то возможны различные проблемы. Например, может перестать работать DHCP-сервер. Также возможны и другие проблемы.

Через графический интерфейс

С помощью WinBox 3

С помощью WinBox 4

Через командную строку

/system/routerboard/
upgrade

/system/
reboot

Сброс настроек

Чтобы избежать конфликтов между существующими и будущими настройками, следует выполнить сброс без применения конфигурации по умолчанию. После такого сброса устройство MikroTik должно будет обнаружиться в WinBox в списке соседей на вкладке Neighbors. Поскольку у устройства не будет IP‑адреса, подключение следует выполнять по MAC‑адресу.

Еще больше нюансов настройки MikroTik в онлайн-курсе по MikroTik от автора этой статьи. Курс актуален для RouterOS v7.20.6. Много лабораторных работ с проверкой и диплом государственного образца РФ.

ИП Скоромнов Дмитрий Анатольевич, ИНН 331403723315

Через графический интерфейс

С помощью WinBox 3

С помощью WinBox 4

Через командную строку

/system/
reset-configuration no-defaults=yes

Установка пароля администратора

Сразу после сброса настроек в целях безопасности надо задать пароль для учетной записи admin. Это особенно важно для устройств, на которых по умолчанию для этой учетной записи пароль не задан. Как только роутер MikroTik получит доступ в Интернет, возникнет риск того, что его попытаются взломать. Рекомендуется использовать сложные пароли длиной от восьми знаков с использованием букв в нижнем и верхнем регистре, а также цифр и знаков препинания.

Через графический интерфейс

В некоторых случаях при первом входе после сброса настроек RouterOS сама может предложить смену пароля. В таком случае нужное окно отобразится сразу само и не будет необходимости последовательно открывать элементы меню.

С помощью WinBox 3

С помощью WinBox 4

Через командную строку

/
password

Кроме того, после сброса настроек в терминале будет предложение сменить пароль перед приглашением к дальнейшему вводу команд:

Change your password
new password>

Назначение имени роутера

Если в сети используется только одно устройство MikroTik, присвоение ему имени не имеет практического смысла, но и не оказывает отрицательного влияния. Если в сети используется несколько устройств MikroTik, присвоение имени упрощает последующую идентификацию конкретного роутера среди остальных устройств. Рекомендуется использовать короткие и понятные имена. Например, для роутеров можно использовать имена R1, R2 и т.д. или GW1, GW2 и т.д., для коммутаторов – SW1, SW2 и т.д., для беспроводных точек доступа – AP1, AP2 и т.д.

Через графический интерфейс

С помощью WinBox 3

С помощью WinBox 4

Через командную строку

/system/identity/
set name=GW

Переименование внешнего интерфейса

Интерфейс ether1 целесообразно переименовать в ether1‑WAN1. При работе с правилами, которые связаны с данным интерфейсом, можно будет сразу увидеть его назначение. Это облегчит настройку устройства и анализ его конфигурации. Также можно создать комментарий к интерфейсу, но комментарий уже нельзя будет увидеть в правилах, которые связаны с данным интерфейсом. А это, в свою очередь, не поможет облегчить настройку устройства и анализ его конфигурации.

Через графический интерфейс

С помощью WinBox 3

С помощью WinBox 4

Через командную строку

/interface/ethernet/
set [find default-name=ether1] name=ether1-WAN1

Объединение внутренних интерфейсов

Все внутренние интерфейсы роутера MikroTik должны находиться в одном L2-сегменте. В рамках данной статьи это интерфейсы ether2 – ether5 и оба беспроводных интерфейса. Их надо объединить с помощью виртуального bridge-интерфейса. В дальнейшем все настройки следует применять к этому bridge-интерфейсу, а не к входящим в него подчиненным интерфейсам.

Через графический интерфейс

На приведенных далее скриншотах показано только добавление интерфейса ether2 в состав интерфейса bridge-LAN. Аналогичным образом надо будет добавить интерфейсы ether3, ether4, ether5, wifi1 и wifi2.

С помощью WinBox 3

С помощью WinBox 4

Автор этой статьи ведет Telegram-канал Mikrotik-сэнсей. Присоединяйтесь и получайте проверенные решения по настройке MikroTik.

ИП Скоромнов Дмитрий Анатольевич, ИНН 331403723315

Через командную строку

/interface/bridge/
add name=bridge-LAN

/interface/bridge/port/
add bridge=bridge-LAN interface=ether2
add bridge=bridge-LAN interface=ether3
add bridge=bridge-LAN interface=ether4
add bridge=bridge-LAN interface=ether5
add bridge=bridge-LAN interface=wifi1
add bridge=bridge-LAN interface=wifi2

Настройка IP-адресации

Назначение IP-адреса на внешний интерфейс

Интернет‑провайдер может предоставлять настройки IP-адресации тремя способами:

• с помощью выдачи статических настроек: IP‑адреса устройства, маски сети и IP-адреса шлюза, также при такой выдаче настроек часто выдаются IP-адреса DNS-серверов;
• динамически с помощью протокола DHCP;
• динамически с помощью протокола PPPoE, при использовании одноименного способа подключения.

Назначение статического IP-адреса на внешний интерфейс

Если интернет-провайдером предусмотрено использование статических настроек IP-адресации, то их надо будет назначить вручную. В описываемой конфигурации провайдером предоставляется IP-адрес 100.64.111.100, маска 255.255.255.0 (/24) и IP-адрес шлюза 100.64.111.1. Параметр Network (адрес сети) указывать не требуется, так как он вычисляется автоматически на основе IP‑адреса и маски сети. Маска сети указывается после IP-адреса в формате «/X». IP-адрес шлюза не требуется на данном этапе. Он будет использован далее при настройке маршрута по умолчанию.

Через графический интерфейс

С помощью WinBox 3

С помощью WinBox 4

Через командную строку

/ip/address/
add address=100.64.111.100/24 interface=ether1-WAN1

Назначение динамического IP-адреса на внешний интерфейс с помощью протокола DHCP

Если интернет-провайдером предусмотрена динамическая выдача параметров IP-адресации с помощью протокола DHCP, то в настройках устройства MikroTik необходимо создать DHCP-клиента и связать его с интерфейсом ether1‑WAN1. Чаще всего при получении настроек по протоколу DHCP также передаются IP‑адреса DNS‑серверов и шлюз по умолчанию. В таком случае роутер MikroTik динамически создаст соответствующие настройки: записи для вышестоящих DNS-серверов и маршрут по умолчанию.

Через графический интерфейс

С помощью WinBox 3

С помощью WinBox 4

Через командную строку

/ip/dhcp-client/
add disabled=no interface=ether1-WAN1

Назначение динамического IP-адреса на внешний интерфейс с помощью протокола PPPoE

Если интернет-провайдером предусмотрена динамическая выдача параметров IP-адресации с помощью протокола PPPoE, то в настройках устройства MikroTik необходимо создать PPPoE-клиента и связать его с интерфейсом ether1‑WAN1. Чаще всего при получении настроек с помощью протокола PPPoE также получается информация об IP-адресах DNS-серверов и шлюзе по умолчанию. В таком случае роутер MikroTik динамически создаст соответствующие настройки: записи для вышестоящих DNS-серверов и маршрут по умолчанию.

Через графический интерфейс

С помощью WinBox 3

Еще больше нюансов настройки MikroTik в онлайн-курсе по MikroTik от автора этой статьи. Курс актуален для RouterOS v7.20.6. Много лабораторных работ с проверкой и диплом государственного образца РФ.

ИП Скоромнов Дмитрий Анатольевич, ИНН 331403723315

С помощью WinBox 4

Через командную строку

/interface/pppoe-client/
add add-default-route=yes disabled=no interface=ether1-WAN1 name=pppoe-WAN1 \
   password=password_pppoe service-name=isp_pppoe user=client123

Назначение статического IP-адреса на внутренний интерфейс

Настройка IP-адресации на внутреннем интерфейсе аналогична настройке статического IP-адреса на внешнем интерфейсе. В рамках данной статьи будет использоваться IP-адрес 192.168.100.1 с маской 255.255.255.0 (/24).

Через графический интерфейс

С помощью WinBox 3

С помощью WinBox 4

Через командную строку

/ip/address/
add address=192.168.100.1/24 interface=bridge-LAN

Добавление маршрута по умолчанию

На предыдущих шагах подключение к роутеру MikroTik в WinBox выполнялось по MAC‑адресу. После назначения IP‑адреса внутреннему интерфейсу роутера MikroTik далее следует подключаться по IP‑адресу, так как такое подключение более стабильно, чем подключение по MAC‑адресу.

Маршрут по умолчанию задает IP‑адрес, через который отправляются все пакеты, для которых нет другого, более подходящего маршрута. В рассматриваемом в данной статье примере шлюз интернет-провайдера использует IP-адрес 100.64.111.1. Таким образом, в таблицу маршрутизации устройства MikroTik необходимо добавить маршрут до сети 0.0.0.0/0 через IP‑адрес 192.168.100.1.

Если внешний интерфейс получает IP‑адрес по протоколу DHCP, маршрут по умолчанию создается автоматически. В таком случае создавать статический маршрут по умолчанию не надо. Если же на внешнем интерфейсе используется статическая IP-адресация, то маршрут по умолчанию необходимо добавить вручную.

Проверка наличия динамического маршрута

Динамический маршрут по умолчанию может появиться, только если IP-адрес внешнего интерфейса получен с помощью протокола DHCP или PPPoE.

Через графический интерфейс

С помощью WinBox 3

С помощью WinBox 4

Через командную строку

/ip/route/
print
Columns: DST-ADDRESS, GATEWAY, DISTANCE
#      DST-ADDRESS       GATEWAY        DISTANCE
  DAd  0.0.0.0/0         100.64.111.1          1
  DAc  100.64.111.0/24   ether1-WAN1           0
  DAc  192.168.100.0/24  bridge-LAN            0

Добавление статического маршрута по умолчанию

Через графический интерфейс

С помощью WinBox 3

С помощью WinBox 4

Автор этой статьи ведет Telegram-канал Mikrotik-сэнсей. Присоединяйтесь и получайте проверенные решения по настройке MikroTik.

ИП Скоромнов Дмитрий Анатольевич, ИНН 331403723315

Через командную строку

/ip/route/
add dst-address=0.0.0.0/0 gateway=100.64.111.1

Проверка

На данном этапе, если маршрутизатор MikroTik подключен к Интернету, то с него должен успешно проходить ping до различных узлов в Интернете по IP-адресу. Например, это могут быть следующие IP-адреса: 1.1.1.1, 8.8.8.8, 77.88.8.1, 77.88.8.8.

Важно:

• ping должен выполняться именно с маршрутизатора, а не с компьютеров, находящихся за ним;
• ping должен выполняться по IP-адресу, а не по доменному имени (ya.ru, rbc.ru и т.д.).

Если ping не будет проходить, то надо искать причину проблемы. Проблема может крыться в ошибке в предыдущих настройках или относиться к недочетам в работе интернет-провайдера.

Настройка DNS-клиента

Настройка DNS-клиента на устройстве MikroTik необходима для того, чтобы оно могло обращаться к узлам в Интернете по доменному имени. Без настроенного DNS‑клиента устройство MikroTik не сможет автоматически получать обновления и использовать адреса серверов времени в виде DNS‑имен, а также будет сталкиваться с рядом других проблем.

Если настройки IP-адресации получаются от интернет-провайдера с помощью протокола DHCP, то, как правило, вместе с ними получаются и IP-адреса DNS-серверов. При необходимости можно добавить статические записи с IP‑адресами DNS‑серверов, которые будут иметь приоритет над адресами, выданными маршрутизатором. Если же IP-адреса DNS-серверов не получаются с помощью протокола DHCP, то их надо задать статически. DNS-серверы будут использовать в том порядке, в котором они перечислены. В описываемой конфигурации использованы IP-адреса 77.88.8.8 и 77.88.8.1.

Отдельно включать DNS-клиента не надо, добавление вышестоящих DNS-серверов автоматически активирует его. При этом способ добавления DNS-серверов (статический или динамический) роли не играет.

Через графический интерфейс

С помощью WinBox 3

С помощью WinBox 4

Через командную строку

/ip/dns/
set servers=77.88.8.8,77.88.8.1

Проверка

Если маршрутизатор MikroTik подключен к Интернету, то имеет смысл попробовать выполнить с него ping до различных узлов в Интернете по доменному имени. Например, это могут быть: ya.ru, rbc.ru, rg.ru или любые другие имена.

Важно: ping должен выполняться именно с маршрутизатора, а не с компьютеров, находящихся за ним.

Если ping по IP‑адресу проходит, а по доменному имени – нет, необходимо искать причину проблемы. Скорее всего, проблема кроется в нерабочих IP-адресах DNS-серверов.

Включение DNS-сервера

Если требуется, чтобы устройства в локальной сети для разрешения DNS-имен обращались к роутеру MikroTik, на нем надо включить DNS-сервер. Подходить к выбору внутреннего DNS-сервера надо аккуратно. Например, если в сети имеется контроллер домена, то доменные станции в качестве DNS-сервера обязательно должны использовать только контроллер домена и применение любых других устройств в качестве DNS-сервера чревато проблемами.

Обязательно надо учитывать, что включение DNS-сервера на устройстве MikroTik разрешает DNS-запросы к нему сразу со всех интерфейсов. А это опасно. Поэтому в дальнейшем с помощью файрвола будет разрешено получение DNS-запросов только из внутренней сети.

Через графический интерфейс

С помощью WinBox 3

С помощью WinBox 4

Через командную строку

/ip/dns/
set allow-remote-requests=yes

Настройка DHCP-сервера

С помощью протокола DHCP можно раздавать настройки IP-адресации устройствам в локальной сети. Для этого на роутере MikroTik необходимо настроить DHCP-сервер. Такую настройку можно выполнить двумя способами:

• с помощью мастера быстрой настройки,
• с помощью детальной настройки.

Каждый из этих двух способов имеет свои преимущества и недостатки. С помощью мастера быстрой настройки можно настроить DHCP-сервер значительно быстрее, но при этом нельзя будет сконфигурировать весь объем параметров, доступных на MikroTik RouterOS. Также недостатком этого способа для новичков является то, что не будет понимания где на самом деле создаются настройки и, как результат, в будущем не будет возможности внести изменения, если это потребуется. Поэтому в рамках данной статьи будет рассмотрена детальная настройка.

DHCP-сервер роутера MikroTik будет раздавать следующие параметры:

• Пул IP-адресов, которые будут выдаваться: 192.168.100.101–192.168.100.199;
• Маска сети: 255.255.255.0;
• IP-адрес шлюза: 192.168.100.1;
• IP-адрес DNS-сервера: 192.168.100.1;
• Время аренды настроек: 3 суток (72 часа).

Через графический интерфейс

С помощью WinBox 3

С помощью WinBox 4

Через командную строку

/ip/pool/
add name=dhcp-lan-pool ranges=192.168.100.101-192.168.100.199

/ip/dhcp-server/
add address-pool=dhcp-lan-pool interface=bridge-LAN lease-time=3d name=dhcp-lan

/ip/dhcp-server/network/
add address=192.168.100.0/24 dns-server=192.168.100.1 gateway=192.168.100.1

Проверка

На данном этапе устройства в локальной сети должны успешно получать от маршрутизатора MikroTik настройки IP-адресации с помощью протокола DHCP. Также с них должен успешно проходить ping до IP-адреса внутреннего интерфейса маршрутизатора (192.168.100.1) и ping IP-адреса внешнего интерфейса маршрутизатора. Ping до узлов в Интернете проходить еще не должен.

Еще больше нюансов настройки MikroTik в онлайн-курсе по MikroTik от автора этой статьи. Курс актуален для RouterOS v7.20.6. Много лабораторных работ с проверкой и диплом государственного образца РФ.

ИП Скоромнов Дмитрий Анатольевич, ИНН 331403723315

Настройка NAT

Технология NAT используется для подмены в пакетах с данными, IP-адресов устройств, находящихся в локальной сети, на IP-адрес внешнего интерфейса маршрутизатора при отправке пакетов в Интернет. А также для обратной подмены при получении ответов на эти пакеты.

NAT на роутерах MikroTik можно настроить с помощью действия src-nat или действия masquerade. Действие masquerade является частным случаем действия src-nat. На практике настройку NAT на устройствах MikroTik чаще всего реализуют с помощью masquerade. Использование этого действия является универсальным решением, но не всегда самым правильным. В некоторых случаях из-за использования masquerade возможны проблемы: повышенная нагрузка на процессор, проблемы с восстановлением звонков IP-телефонии при использовании нескольких Интернет-каналов в режиме резервирования и другие проблемы.

Выбирать действие src-nat или masquerade надо с помощью следующих правил:

• Если внешний IP-адрес выдается интернет-провайдером на постоянной основе (не изменяется), то надо использовать действие src-nat. При этом способ назначения IP-адреса роли не играет, он может назначаться как статически, так и динамически с помощью протокола DHCP. Ключевым фактором является именно то, что IP-адрес выдается на постоянной основе (не изменяется). Такая ситуация возможна и при использовании протокола DHCP, когда настройки IP-адресации выдаются динамически, но при этом за счет статической привязки всегда будет выдаваться один и тот же IP-адрес.
• Если внешний IP-адрес, выдаваемый интернет-провайдером, периодически изменяется, то надо использовать действие masquerade.

Далее в этой статье будут рассмотрены оба варианта настройки технологии NAT.

Настройка NAT с помощью действия src-nat

В поле To Address необходимо указать IP-адрес внешнего интерфейса маршрутизатора. В рамках данной статьи это 100.64.111.100.

Через графический интерфейс

С помощью WinBox 3

С помощью WinBox 4

Через командную строку

/ip/firewall/nat/
add action=src-nat chain=srcnat out-interface=ether1-WAN1 to-addresses=100.64.111.100

Настройка NAT с помощью действия masquerade

При использовании действия masquerade указывать IP-адрес внешнего интерфейса не надо, так специфика действия masquerade заключается в том, что при его использовании этот IP-адрес будет определяться динамически.

Через графический интерфейс

С помощью WinBox 3

Автор этой статьи ведет Telegram-канал Mikrotik-сэнсей. Присоединяйтесь и получайте проверенные решения по настройке MikroTik.

ИП Скоромнов Дмитрий Анатольевич, ИНН 331403723315

С помощью WinBox 4

Через командную строку

/ip/firewall/nat/
add action=masquerade chain=srcnat out-interface=ether1-WAN1

Проверка

На данном этапе с устройств, находящихся в локальной сети, должен успешно проходить ping до узлов в Интернет по доменным именам. Например, это могут быть: ya.ru, rbc.ru, rg.ru или любые другие имена. Если такой ping не проходит, то следует проверить ping до узлов в Интернет по IP-адресам. Например, это могут быть: 1.1.1.1, 8.8.8.8, 77.88.8.1, 77.88.8.8. Если ping в Интернет по IP-адресам проходить будет, до доменных имен не будет, то это будет говорить о наличии проблем со службой DNS.

Настройка Wi-Fi

Маршрутизатор MikroTik hAP ax² содержит два модуля Wi-Fi, один из которых работает на частоте 2,4 ГГц, а второй – на частоте 5 ГГц. Каждый из модулей поддерживает поправки IEEE 802.11a/b/g/n/ac/ax (Wi-Fi 6).

На практике рекомендуется полностью отключать интерфейс 2,4 ГГц, поскольку этот диапазон перегружен и обычно не обеспечивает хорошего качества связи. Если частоту 2,4 ГГц использовать все-таки надо, то беспроводные сети, работающие на разных частотах, надо называть по-разному, а тех кто будет подключаться к этим сетям предупреждать, что приоритетным является подключение к сети с именем, относящимся к частоте 5 ГГц.

Формально MikroTik RouterOS поддерживает региональные ограничения для России (регион Russia): допустимые диапазоны частот и максимальные мощности передатчика для разных диапазонов частот. На практике, во-первых эти ограничения заданы неверно, а во-вторых в настоящее время на части устройств MikroTik имеется баг, который заключается в том, что на некоторых частотах максимальная мощность передатчика может оказаться значительно заниженной. По состоянию на декабрь 2025 обе эти проблемы являются актуальными и поэтому в рамках данной статьи указаны параметры, являющиеся оптимальными с учетом реалий использования оборудования MikroTik.

Настройка Wi-Fi на интерфейсе 2,4 ГГц

Для настройки Wi-Fi на интерфейсе 2,4 ГГц использованы следующие параметры:

• интерфейс переименован в wlan‑2GHz для удобства дальнейшей идентификации;
• имя беспроводной сети (SSID) задано как GW‑2;
• оставлены только способы аутентификации wpa2‑psk и wpa3‑psk;
• функция WPS отключена, так как она повышает риск несанкционированного доступа;
• используется ширина канала 20 МГц, что соответствует общепринятым практикам;
• время повторного поиска наименее загруженной частоты установлено в диапазоне от 2 до 4 часов;
• в качестве региона указано значение Superchannel, что фактически приравнивается к отсутствию региональных ограничений, которые по факту будут заданы с помощью параметров, описанных в следующих пунктах;
• допустимый диапазон центральных частот 2412–2472 МГц;
• максимальная мощность передатчика установлена на 16 дБм, что в сумме с коэффициентом усиления антенны 4 дБи создаст эквивалентную изотропно-излучаемую мощность (ЭИИМ) 20 дБм, которая будет соответствовать максимально разрешенной в РФ для частоты 2 ГГц.

Через графический интерфейс

С помощью WinBox 3

С помощью WinBox 4

Еще больше нюансов настройки MikroTik в онлайн-курсе по MikroTik от автора этой статьи. Курс актуален для RouterOS v7.20.6. Много лабораторных работ с проверкой и диплом государственного образца РФ.

ИП Скоромнов Дмитрий Анатольевич, ИНН 331403723315

Через командную строку

/interface/wifi/
set [ find default-name=wifi2 ] channel.band=2ghz-ax .frequency=2412-2472 \
   .reselect-interval=2h..4h .width=20mhz configuration.country=Superchannel \
   .mode=ap .ssid=GW-2 .tx-power=16 disabled=no name=wlan-2GHz \
   security.authentication-types=wpa2-psk,wpa3-psk .passphrase=password .wps=disable

Настройка Wi-Fi на интерфейсе 5 ГГц

Для настройки Wi-Fi на интерфейсе 5 ГГц использованы следующие параметры:

• интерфейс переименован в wlan‑5GHz для удобства дальнейшей идентификации;
• имя беспроводной сети (SSID) задано как GW‑5;
• оставлены только способы аутентификации wpa2‑psk и wpa3‑psk;
• функция WPS отключена, так как она повышает риск несанкционированного доступа;
• используется ширина канала 40 МГц, что соответствует общепринятым практикам;
• время повторного поиска наименее загруженной частоты установлено в диапазоне от 2 до 4 часов;
• в качестве региона указано значение Superchannel, что фактически приравнивается к отсутствию региональных ограничений, которые по факту будут заданы с помощью параметров, описанных в следующих пунктах;
• допустимые диапазоны центральных частот: 5180–5240, 5260–5320, 5660–5720, 5745–5825;
• максимальная мощность передатчика установлена на 18 дБм, что в сумме с коэффициентом усиления антенны 5 дБи создаст эквивалентную изотропно-излучаемую мощность (ЭИИМ) 23 дБм, которая будет соответствовать максимально разрешенной в РФ для частоты 5 ГГц.

Через графический интерфейс

С помощью WinBox 3

С помощью WinBox 4

Через командную строку

/interface/wifi/
set [ find default-name=wifi1 ] channel.band=5ghz-ax .frequency=\
   5180-5240,5260-5320,5660-5720,5745-5825 .reselect-interval=2h..4h \
   .width=20/40mhz configuration.country=Superchannel .mode=ap .ssid=GW-5 \
   .tx-power=18 disabled=no name=wlan-5GHz \
   security.authentication-types=wpa2-psk,wpa3-psk .passphrase=password .wps=disable

Настройка файрвола

В данном разделе будет рассказано о настройке IPv4-файрвола. Настройка файрвола на маршрутизаторах MikroTik выполняется в трех цепочках: Input, Output и Forward. В цепочку Input попадают пакеты, конечным получателем, которых является устройство MikroTik. Например, это могут быть ping'и запущенные до маршрутизатора. В цепочку Output попадают пакеты, исходным отправителем, которых является устройство MikroTik. Например, это могут быть ответы на ping'и, которые ранее получил роутер. В цепочку Forward попадают пакеты, реальным исходным отправителем и реальным конечным получателем, которых не является само устройство MikroTik (пакеты проходящие «сквозь» маршрутизатор). Например, это могут быть ping'и запущенные с компьютера в локальной сети до узла в Интернет.

В большинстве конфигураций при корректно настроенной цепочке Input нет необходимости настраивать цепочку Output. Поэтому в рамках данной статьи будет рассмотрена настройка только двух цепочек: Input и Forward.

Обе цепочки будут настроены по принципу нормально закрытого файрвола для обращений из Интернета и нормально открытого файрвола для обращений из локальной сети. То есть любые обращения из Интернета по умолчанию будут отбрасываться, если для них не будет отдельного разрешающего правила, а любые обращения из локальной сети по умолчанию будут разрешаться, если для них не будет отдельного запрещающего правила.

При необходимости разрешить какие-либо виды соединений (например, VPN-соединения) надо будет добавить правила в соответствующую цепочку. При этом следует учитывать, что порядок расположения правил внутри цепочки играет роль и поэтому даже корректно написанные правила, но добавленные в некорректное место внутри цепочки, могут либо не дать нужный эффект, либо дать его, но и добавить какие-либо нежелательные эффекты, которые изначально не закладывались при создании правила.

Автор этой статьи ведет Telegram-канал Mikrotik-сэнсей. Присоединяйтесь и получайте проверенные решения по настройке MikroTik.

ИП Скоромнов Дмитрий Анатольевич, ИНН 331403723315

Настройка цепочки Input

В цепочке Input необходимо создать четыре правила:

1. Правило, разрешающее established- и related-соединения, будет обрабатывать более 99 % пакетов в цепочке Input и начнет срабатывать после того как успешно пройдет первый пакет соединения. Правило используется для снижения нагрузки на процессор роутера. Такое снижение без этого правила будет заметно при большом количестве правил в цепочке при условии, что значительное количество пакетов будет обрабатываться правилами, расположенными ближе к концу списка правил.
2. Правило, запрещающее invalid-соединения будет отбрасывать соединения, которые по каким-либо причинам роутер посчитает некорректными (ответы на запросы, которые не отправлялись и др.)
3. Правило, разрешающее ICMP-пакеты для того, чтобы можно было использовать ping в целях диагностики. Правило разрешает ICMP-пакеты для любых интерфейсов, т.к. на практике ping не используется для атак.
4. Правило, отбрасывающее любые соединения, которые были начаты не из локальной сети. Правило позволит любым узлам, находящимся в локальной сети, делать любые обращения к роутеру без создания дополнительных правил для разных узлов и разных видов трафика.

Через графический интерфейс

С помощью WinBox 3

Еще больше нюансов настройки MikroTik в онлайн-курсе по MikroTik от автора этой статьи. Курс актуален для RouterOS v7.20.6. Много лабораторных работ с проверкой и диплом государственного образца РФ.

ИП Скоромнов Дмитрий Анатольевич, ИНН 331403723315

С помощью WinBox 4

Автор этой статьи ведет Telegram-канал Mikrotik-сэнсей. Присоединяйтесь и получайте проверенные решения по настройке MikroTik.

ИП Скоромнов Дмитрий Анатольевич, ИНН 331403723315

Через командную строку

/ip/firewall/filter/
add action=accept chain=input connection-state=established,related \
   comment="accept established related" 
add action=drop chain=input connection-state=invalid comment="drop invalid" 
add action=accept chain=input protocol=icmp comment="accept ICMP" 
add action=drop chain=input in-interface=!bridge-LAN \
   comment="drop all from not LAN" 

Настройка цепочки Forward

В цепочке Forward необходимо создать три правила:

1. Правило, разрешающее established- и related-соединения, будет обрабатывать более 99 % пакетов в цепочке Forward и начнет срабатывать после того как успешно пройдет первый пакет соединения. Правило используется для снижения нагрузки на процессор роутера. Такое снижение без этого правила будет заметно при большом количестве правил в цепочке при условии, что значительное количество пакетов будет обрабатываться правилами, расположенными ближе к концу списка правил.
2. Правила запрещающее invalid-соединения будет отбрасывать соединения, которые по каким-либо причинам роутер посчитает некорректными (ответы на запросы, которые не отправлялись и др.)
3. Правило отбрасывающее любые соединения, которые были начаты не из локальной сети, а также не относящиеся к пробросу портов. Правило позволит любым узлам, находящимся в локальной сети, делать любые обращения в Интернет без создания дополнительных правил для разных узлов и разных видов трафика, а также разрешит использовать пробросы портов для обращения из Интернет к ресурсам в локальной сети, если такие пробросы будут сделаны в будущем.

Через графический интерфейс

С помощью WinBox 3

Еще больше нюансов настройки MikroTik в онлайн-курсе по MikroTik от автора этой статьи. Курс актуален для RouterOS v7.20.6. Много лабораторных работ с проверкой и диплом государственного образца РФ.

ИП Скоромнов Дмитрий Анатольевич, ИНН 331403723315

С помощью WinBox 4

Автор этой статьи ведет Telegram-канал Mikrotik-сэнсей. Присоединяйтесь и получайте проверенные решения по настройке MikroTik.

ИП Скоромнов Дмитрий Анатольевич, ИНН 331403723315

Через командную строку

/ip/firewall/filter/
add action=accept chain=forward connection-state=established,related \
   comment="accept established & related"
add action=drop chain=forward connection-state=invalid comment="drop invalid"
add action=drop chain=forward connection-nat-state=!dstnat in-interface=ether1-WAN1 \
   comment="drop all from WAN" 

Настройка дополнительных параметров безопасности

Настройка безопасности канального уровня

Устройства MikroTik могут обнаруживать другие устройства («соседей»), которые находятся с ними в одном L2-сегменте. Обнаружение устройств MikroTik выполняется с помощью протокола MNDP, а обнаружение устройств, отличных от MikroTik – с помощью протокола LLDP. Проблема состоит в том, что при включении обнаружения других устройств становится видимым и само устройство MikroTik. Поэтому рекомендуется разрешать обнаружение «соседей» только на доверенных интерфейсах. В рамках данной статьи таким интерфейсом является интерфейс, относящийся к локальной сети, а именно bridge-LAN.

Также рекомендуется разрешать консольные и WinBox-подключения по MAC-адресу только с доверенных интерфейсов. Устройства MikroTik поддерживают ping по MAC‑адресу (MAC‑ping), но его рекомендуется полностью отключить, поскольку этот механизм нельзя разрешить или запретить для отдельных интерфейсов.

Такие ограничения настраиваются с помощью следующих действий:

• создается список доверенных интерфейсов,
• разрешается обнаружение «соседей» только для списка доверенных интерфейсов,
• разрешаются консольные подключения по MAC-адресу только для списка доверенных интерфейсов,
• разрешаются WinBox-подключения по MAC-адресу только для списка доверенных интерфейсов,
• запрещается MAC-ping.

Через графический интерфейс

С помощью WinBox 3

Еще больше нюансов настройки MikroTik в онлайн-курсе по MikroTik от автора этой статьи. Курс актуален для RouterOS v7.20.6. Много лабораторных работ с проверкой и диплом государственного образца РФ.

ИП Скоромнов Дмитрий Анатольевич, ИНН 331403723315

С помощью WinBox 4

Через командную строку

/interface/list/
add name=LAN

/interface/list/member/
add interface=bridge-LAN list=LAN

/ip/neighbor/discovery-settings/
set discover-interface-list=LAN

/tool/mac-server/
set allowed-interface-list=LAN

/tool/mac-server/mac-winbox/
set allowed-interface-list=LAN

/tool/mac-server/ping/
set enabled=no

Отключение протокола IPv6

Даже при полном сбросе заводских настроек интерфейсы устройств MikroTik автоматически назначают себе IPv6‑адреса. Проблема заключается в том, что ранее был настроен только IPv4‑файрвол, и его правила не применяются к IPv6‑пакетам. Поэтому поддержку протокола IPv6 рекомендуется отключать. После отключения протокола IPv6 необходимо перезагрузить маршрутизатор.

Через графический интерфейс

С помощью WinBox 3

С помощью WinBox 4

Через командную строку

/ipv6/settings/
set disable-ipv6=yes

Отключение неиспользуемых служб

Для повышения безопасности также рекомендуется отключить службы, которые заведомо не будут использоваться. В рамках данной статьи это будут службы: ftp, telnet, www, api и api-ssl, а также службу www-ssl, если окажется, что она не отключена по умолчанию. Службы www и www‑ssl обеспечивают подключение к веб‑интерфейсу настроек точки доступа (WebFig) по протоколам HTTP и HTTPS соответственно.

Через графический интерфейс

С помощью WinBox 3

С помощью WinBox 4

Автор этой статьи ведет Telegram-канал Mikrotik-сэнсей. Присоединяйтесь и получайте проверенные решения по настройке MikroTik.

ИП Скоромнов Дмитрий Анатольевич, ИНН 331403723315

Через командную строку

/ip/service/
set ftp disabled=yes
set telnet disabled=yes
set www disabled=yes
set api disabled=yes
set api-ssl disabled=yes

Настройка службы времени

Если маршрутизатор MikroTik не знает корректное время, возможны различные проблемы: сбои в работе сертификатов, некорректная работа механизмов, использующих расписание (планировщик заданий, правила файрвола, Simple Queue и др.), а также сложности при анализе логов.

Для того, чтобы служба времени начала работать на роутере MikroTik необходимо активировать NTP-клиент и указать сервер времени с которым должна выполняться синхронизация. Также рекомендуется отключить автоопределение часового пояса и задавать его вручную, поскольку автоопределение не всегда работает корректно.

Через графический интерфейс

С помощью WinBox 3

С помощью WinBox 4

Через командную строку

/system/ntp/client/
set enabled=yes

/system/ntp/client/servers/
add address=ru.pool.ntp.org

/system/clock/
set time-zone-autodetect=no time-zone-name=Europe/Moscow

Ссылки на статьи с различными полезными настройками

РАЗДЕЛ БУДЕТ ЗАПОЛНЕН В БУДУЩЕМ

Итоговая конфигурация через командную строку

/user/set [find name=admin] password=password

/interface/bridge/
 add name=bridge-LAN

/interface/ethernet/
set [ find default-name=ether1 ] name=ether1-WAN1

/interface/wifi/
set [ find default-name=wifi2 ] channel.band=2ghz-ax .frequency=2412-2472 \
   .reselect-interval=2h..4h .width=20mhz configuration.country=Superchannel \
   .mode=ap .ssid=GW-2 .tx-power=16 disabled=no name=wlan-2GHz \
   security.authentication-types=wpa2-psk,wpa3-psk .passphrase=password \
   .wps=disable
set [ find default-name=wifi1 ] channel.band=5ghz-ax .frequency=\
   5180-5240,5260-5320,5660-5720,5745-5825 .reselect-interval=2h..4h \
   .width=20/40mhz configuration.country=Superchannel .mode=ap .ssid=GW-5 \
   .tx-power=18 disabled=no name=wlan-5GHz \
   security.authentication-types=wpa2-psk,wpa3-psk .passphrase=password .wps=disable

/interface/list/
add name=LAN

/ip/pool/
add name=dhcp-lan-pool ranges=192.168.100.101-192.168.100.199

/interface/bridge/port/
add bridge=bridge-LAN interface=ether2
add bridge=bridge-LAN interface=ether3
add bridge=bridge-LAN interface=ether4
add bridge=bridge-LAN interface=ether5
add bridge=bridge-LAN interface=wlan-5GHz
add bridge=bridge-LAN interface=wlan-2GHz

/ip/neighbor/discovery-settings/
set discover-interface-list=LAN

/ipv6/settings/
set disable-ipv6=yes

/interface/list/member/
add interface=bridge-LAN list=LAN

/ip/address/
add address=192.168.100.1/24 interface=bridge-LAN network=192.168.100.0
add address=100.64.111.100/24 interface=ether1-WAN1 network=100.64.111.0

/ip/dhcp-server/
add address-pool=dhcp-lan-pool interface=bridge-LAN lease-time=3d name=\
   dhcp-lan

/ip/dhcp-server/network/
add address=192.168.100.0/24 dns-server=192.168.100.1 gateway=192.168.100.1

/ip/dns/
set allow-remote-requests=yes servers=77.88.8.8,77.88.8.1

/ip/firewall/filter/
add action=accept chain=input comment="accept established related" \
   connection-state=established,related
add action=drop chain=input comment="drop invalid" connection-state=invalid
add action=accept chain=input comment="accept ICMP" protocol=icmp
add action=drop chain=input comment="drop all from not LAN" in-interface=\
   !bridge-LAN
add action=accept chain=forward comment="accept established related" \
   connection-state=established,related
add action=drop chain=forward comment="drop invalid" connection-state=invalid
add action=drop chain=forward comment="drop all from WAN" \
   connection-nat-state=!dstnat in-interface=ether1-WAN1

/ip/firewall/nat/
add action=src-nat chain=srcnat out-interface=ether1-WAN1 to-addresses=\
   100.64.111.100

/ip/route/
add disabled=no dst-address=0.0.0.0/0 gateway=100.64.111.1 routing-table=main \
   suppress-hw-offload=no

/ip/service/
set ftp disabled=yes
set telnet disabled=yes
set www disabled=yes
set api disabled=yes
set api-ssl disabled=yes

/system/clock/
set time-zone-autodetect=no time-zone-name=Europe/Moscow

/system/identity/
set name=GW

/system/ntp/client/
set enabled=yes

/system/ntp/client/servers/
add address=ru.pool.ntp.org

/tool/mac-server/
set allowed-interface-list=LAN

/tool/mac-server/mac-winbox/
set allowed-interface-list=LAN

/tool/mac-server/ping/
set enabled=no

Полезные ссылки

Онлайн-курсы по MikroTik

• Администрирование сетевых устройств MikroTik
• Файрвол и приоритизация трафика на MikroTik
• Маршрутизация на MikroTik
• Коммутация на MikroTik

Онлайн-курсы по сетям

• Математика и физика в сетевых технологиях
• Архитектура современных компьютерных сетей
• Устройство, проектирование и диагностика беспроводных сетей IEEE 802.11 (Wi-Fi)

Telegram-каналы

• Mikrotik-сэнсей
• Сетевой архитектор

Telegram-чат

• MikrotikLab

Прочее

• Чек-лист по настройке MikroTik