Как настроить роутер MikroTik

Начальная настройка

При первом включении подсоедините в первый интернет-разъем кабель от провайдера, в любой другой — кабель от ПК или ноутбука.

В адресной строке браузера введите 192.168.88.1.

Логин по умолчанию — “admin”, без пароля.

Для быстрой настройки доступа к Интернету выберите справа наверху “Quick Set”.

В левом столбце:

• Wireless Protocol - 802.11.
• Network Name - это SSID или название Wi-Fi сети.
• Band - протокол работы Wi-Fi сети - выбираем 5GHZ-A/N/AC, если роутер однодиапазонный, то будет только 2GHZ, тогда выбираем 2GHZ-B/G/N.
• Country - Ukraine.
• Security - WPA2.
• Encryption AES.
• Wi-Fi Password - пишем и запоминаем пароль от Wi-Fi сети.

В правом столбце:

• Mode - router.
• Address acquisition - automatic.
• Firewall Router - включаем для сетевого фильтра.
• Discovery - включаем для дальнейшей настройки IPv6.
• MАС address - вписываем МАС-адрес, закрепленный за Вашим подключением (посмотреть можно в личном кабинете в разделе “Услуги”).
• Там, где Local Network - оставляем без изменений. Обязательно проверьте, чтобы стояла галочка DHCP Server и NAT.

В правом нижнем углу нажимаем “Apply Configuration”. На этом базовая настройка окончена, и должен появиться доступ к Интернету.

Детальная настройка

Справа наверху перейдите в раздел “WebFig” и загрузите Winbox в соответствующем разделе, если Вы пользуетесь OS Windows.

Запускаем загруженный файл и подключаемся к нашему роутеру, нажав кнопку “Connect”.

Далее переходим в “System-Packages” и нажимаем “Check for Upgrades” для проверки обновлений. Если будут доступны обновления, нажимаем кнопку “Download & Install”.

Далее переходим в “System-Users”, меняем пароль для admin и создаем нового пользователя, после чего устанавливаем для него пароль. В строке “Allowed Address” разрешено задать список адресов, с которых разрешено логиниться в систему.

Переходим в раздел “Bridge-Ports”. Убеждаемся, что все интерфейсы, кроме ether1, добавлены в бридж.

Изменяем МАС-адрес, если нужно. Для этого выбираем “New Terminal” и вводим следующую команду: interface ethernet set ether1 mac-address=xx:xx:xx:xx:xx:xx, где xx:xx:xx:xx:xx:xx - нужный адрес.

В разделе “IP - DHCP-Client” включаем получение настроек по DHCP на интерфейсе ether1.

В разделе “IP - DHCP-Server” включаем раздачу IP-устройствам в локальной сети.

Проверяем, что мы получили адрес на ether1 и на bridge выставлен правильный локальный IP.

В разделе “IP - Services” выключаем ненужные службы:

Убедимся, что для выхода в Интернет с локальных устройств корректно настроен NAT (должен быть включен по умолчанию). Раздел “IP - Firewall-NAT” - во вкладке “Action” должно быть выбрано masquerade.

Настроим Firewall. Раздел “IP - Firewall - Filter Rules”. Добавим правило (если нет по умолчанию) для разрешения трафика уже установленных соединений (“Action” при этом должен быть “accept”) и перетянем его наверх.

Немного изменим правило для разрешения пинга (если его нет - создадим). Во вкладке “General” выберем протокол №1 icmp и в “Advanced” ограничим размер пакета 100 байт.

Заблокируем весь другой входящий трафик следующим правилом. “Action” должен быть “drop”. Перетянем его в самый низ от всех Input правил.

Для настройки времени и серверов для синхронизации времени перейдем в “System - NTP Client”. Укажем два сервера для синхронизации времени, например, time.maxnet.ua и ua.pool.ntp.org.

В “System - Clock” выберем часовой пояс.

Настроим Wi-Fi сеть. В разделе “Wireless” создадим профиль для авторизации Wi-Fi клиентов. Выбираем тип аутентификации WPA2PSK, шифрование AES. В поле “WPA2 Pre-Shared Key” указываем пароль от Wi-Fi сети.

Далее настроим сеть 2 GHZ. В разделе “Wireless” выбираем “Wi-Fi interfaces” и выбираем первый в списке. Band выбираем only N или B/G/N (если есть, например, старые ноутбуки, которые могут не уметь работать на N стандарте). В “SSID” вписываем название сети, и в “Security Profile” выбираем недавно созданный профиль.

Аналогично делаем для второго интерфейса (5GHz). Band выбираем A/N/AC.

Перейдем в “IPv6 - Firewall”. И настроим общие правила:

1. Оставляем стандартное правило на запрет Invalid соединений (когда роутер не может определиться с типом трафика).
2. Оставляем стандартное правило для разрешения уже установленных соединений.
3. Оставляем стандартное правило для разрешения пинга.
4. Добавляем правило для разрешения DHCP - пакетов (udp, destination port 546, action accept).
5. Добавляем блокирующее правило для остатка трафика.
6. Повторяем пункты 2,3,5 только для Forward цепочки.

Для получения IPv6 перейдите в раздел IPv6 - DHCP-Client. В интерфейсе выберите ether1. Request address+prefix. В “Pool Name” укажите любое название для пула адресов.

Далее из выбранного пула нужно назначить адрес на Bridge и включить Advertisement, чтобы другие устройства в сети могли получать IPv6: