Приветствую, коллеги! Мы прошли долгий путь: от коммутации и DHCP до Firewall, QoS и Wi-Fi. Но в реальной жизни клиент никогда не заказывает «просто DHCP» или «просто VPN». Он приносит Техническое Задание — часто на 2-3 страницы, где смешаны все технологии сразу.

Сегодня мы разберем реальное итоговое ТЗ из программы профессиональной переподготовки сетевых инженеров (раздел 10.10). Это типичный заказ для малого офиса на 20-50 человек: два провайдера, VPN с филиалом, IP-телефония, «закрытый» Wi-Fi, три линии техподдержки с разными правами и блокировка соцсетей в рабочее время. Средняя стоимость такой настройки на рынке — от 40 000 до 80 000 рублей. Поехали!

📖 Словарь терминов и сленга (База для выживания)

• ТЗ (Техническое задание) — «библия» проекта. Документ, где заказчик описывает, что он хочет получить. Читаем ТЗ буквально — каждая запятая может стоить денег.
• «Под ключ» — сленг. Настройка, после которой клиент просто включает компьютеры в розетку и всё работает. Без «допиливания напильником».
• Линия ТП (Техническая поддержка) — уровни доступа. 1-я линия — «мальчики с мышкой», 2-я — «сисадмины», 3-я — «боги конфигурации».
• Mango Office — популярная облачная АТС. Её трафик (SIP, RTP) очень чувствителен к задержкам. Если «плавает» звук — директор будет звонить вам в 3 часа ночи.

📋 Структура ТЗ: 7 блоков — 7 решений

ТЗ из программы курса разбито на 7 логических блоков. Мы разберем каждый отдельно, а затем соберем всё в единую конфигурацию. По каждому блоку у нас уже есть подробная статья-исследование, куда мы будем давать ссылки.

🌐 Блок 1. Интернет-соединение: Failover двух каналов

Требование из ТЗ:

«К маршрутизатору подключены два интернет-канала: 1-й — статическая адресация, 20 Мбит/с; 2-й — динамическая адресация, 15 Мбит/с. При падении 1-го канала — автоматическое переключение на 2-й. При восстановлении 1-го — возврат назад».

Теория и ссылки на исследования:

Это классический Failover, который мы детально разбирали в статье про Модуль 4 (Маршрутизация). Ключевые моменты:

• Создаем два маршрута по умолчанию (0.0.0.0/0) с разным Distance: основной — 1, резервный — 10.
• Для резервного канала обязательно отключаем add-default-route в DHCP-клиенте, чтобы он не создал «свой» маршрут с Distance=0.
• Используем Netwatch для пинга удаленного хоста (8.8.8.8), а не шлюза провайдера — иначе при аварии «выше» шлюза Failover не сработает.
• Настраиваем Source NAT (Masquerade) для обоих WAN-интерфейсов — это та самая «ошибка 99% устройств» из статьи про Модуль 6.

Практика (CLI):

# Основной провайдер (статика на ether1) /ip address add address=203.0.113.10/29 interface=ether1 /ip route add gateway=203.0.113.1 distance=1 check-gateway=ping comment="MAIN-ISP" # Резервный провайдер (DHCP на ether2) /ip dhcp-client add interface=ether2 use-peer-dns=yes add-default-route=no # NAT для обоих каналов /ip firewall nat add action=masquerade chain=srcnat out-interface=ether1 comment="NAT-MAIN" /ip firewall nat add action=masquerade chain=srcnat out-interface=ether2 comment="NAT-BACKUP" # Netwatch для Failover /tool netwatch add host=8.8.8.8 timeout=2s interval=30s \ down-script="/ip route set [find comment=\"MAIN-ISP\"] disable=yes" \ up-script="/ip route set [find comment=\"MAIN-ISP\"] disable=no" \ comment="ISP-FAILOVER"

📶 Блок 2. Wi-Fi: «Закрытый клуб» по Access List

Требование из ТЗ:

«Беспроводная сеть в диапазоне 2,4 ГГц. Подключение только от заранее заданных устройств. Все остальные не должны иметь возможности подключиться, даже если введен корректный пароль».

Теория и ссылки на исследования:

Это задача для Access List, который мы разбирали в статье про Модуль 8 (Беспроводные сети). Пароль (WPA2-PSK) здесь вторичен — главный «фейс-контроль» идет по MAC-адресу. Ключевые моменты:

• Снимаем галочки Default Authenticate и Default Forward в настройках интерфейса wlan1.
• В Access List добавляем MAC-адреса разрешенных устройств с галочками Authentication и Forwarding.
• Последним правилом в Access List ставим «Drop All Others» — молчаливый отказ для всех, кого нет в списке.
• Для 2,4 ГГц в «шумном» офисе ставим Channel Width = 20 MHz — иначе «задавим» соседей и сами будем «плавать».

Практика (CLI):

# Базовая настройка Wi-Fi 2.4 ГГц /interface wireless set wlan1 mode=ap-bridge ssid=Office-Secure \ band=2ghz-g/n channel-width=20mhz country=russia8 \ security-profile=secure-staff default-authenticate=no default-forward=no # Access List: разрешаем только "своих" /interface wireless access-list add mac-address=AA:BB:CC:DD:EE:FF interface=wlan1 authentication=yes forwarding=yes comment="Director-iPhone" add mac-address=11:22:33:44:55:66 interface=wlan1 authentication=yes forwarding=yes comment="Manager-Laptop" add interface=wlan1 authentication=no forwarding=no comment="Drop_All_Others"

📞 Блок 3. Приоритизация трафика: Mango Office и «группа низкого приоритета»

Требование из ТЗ:

«Трафик IP-телефонии Mango Office должен иметь преимущество. Даже при 100% загрузке канала — IP-телефония работает бесперебойно. Группа пользователей должна иметь самый низкий приоритет, но гарантированные 2 Мбит/с в каждом направлении».

Теория и ссылки на исследования:

Это классический QoS, который мы разбирали в статье про Модуль 7. Решаем задачу в два этапа:

1. Mango Office (Priority 1): IP-телефония использует порты UDP 5060 (SIP) и диапазон 10000-20000 (RTP). Создаем Simple Queue с Priority=1 и Limit-at=1M (гарантия), Max Limit=100M (потолок).
2. «Группа низкого приоритета» (Priority 8): Создаем очередь с Priority=8, Limit-at=2M (гарантированные 2 Мбит/с), Max Limit=10M (чтобы не «душили» остальных). Если они не используют свои 2 Мбит/с — они «отдаются» другим.

Важно: Перед настройкой QoS обязательно отключаем Fast Track для нужных подсетей, иначе очереди просто не сработают! Это «грабли №1» из статьи про Firewall.

Практика (CLI):

# Очередь для Mango Office (IP-телефоны: 192.168.88.50-60) /queue simple add name="Mango-Office" target=192.168.88.50-192.168.88.60 \ max-limit=100M/100M limit-at=1M/1M priority=1/1 # Очередь для "группы низкого приоритета" (гости: 192.168.88.100-150) /queue simple add name="Low-Priority-Group" target=192.168.88.100-192.168.88.150 \ max-limit=10M/10M limit-at=2M/2M priority=8/8

🛡 Блок 4. Безопасность: Firewall, WinBox/SSH, DNS-редирект, 3 линии ТП

Требование из ТЗ:

«На брандмауэре разрешен только определенный входящий трафик. WinBox и SSH извне — только для доверенных IP. Все DNS-запросы обрабатываются через DNS-сервер маршрутизатора (компьютер должен "думать", что отвечает его сервер). Для 3 линий ТП — разные права».

Теория и ссылки на исследования:

Это самый «объемный» блок, который затрагивает сразу несколько тем из статьи про Модуль 6:

• Firewall Filter: Цепочка input — защита самого роутера. Цепочка forward — защита клиентов. Последнее правило — drop all.
• Address List для доверенных IP: Создаем список TRUSTED-ADMIN и разрешаем WinBox (8291/tcp) и SSH (22/tcp) только для него.
• DNS-редирект (Dst-NAT + Redirect): Перехватываем все DNS-запросы (порт 53 UDP/TCP) и «заворачиваем» их на сам роутер. Это называется DNS Hijacking в корпоративной среде — легальный и полезный.
• 3 линии ТП (User Groups): В RouterOS создаем группы пользователей с разными Policy. Это та самая «ролевая модель доступа», о которой говорилось в программе курса.

Практика (CLI):

# Список доверенных IP для администрирования /ip firewall address-list add address=198.51.100.50 list=TRUSTED-ADMIN /ip firewall address-list add address=198.51.100.51 list=TRUSTED-ADMIN # Firewall Filter: защита роутера /ip firewall filter add action=accept chain=input connection-state=established,related comment="01_Established" add action=accept chain=input in-interface-list=LAN comment="02_LAN_Accept" add action=accept chain=input in-interface-list=WAN src-address-list=TRUSTED-ADMIN \ protocol=tcp dst-port=22,8291 comment="03_SSH-WinBox_Trusted" add action=drop chain=input in-interface-list=WAN comment="99_Drop_All_WAN" # DNS-редирект: все DNS-запросы -> на роутер /ip firewall nat add action=redirect chain=dstnat protocol=udp dst-port=53 in-interface-list=LAN to-ports=53 comment="DNS-Hijack-UDP" add action=redirect chain=dstnat protocol=tcp dst-port=53 in-interface-list=LAN to-ports=53 comment="DNS-Hijack-TCP" # Группы пользователей для 3 линий ТП /user group add name=TP-Line-1 policy=winbox,test,reboot add name=TP-Line-2 policy=winbox,ssh,ftp,reboot,test,sniff,api,!password,!policy add name=TP-Line-3 policy=winbox,ssh,reboot,test,sniff,api,!password

🔗 Блок 5. VPN Site-to-Site: объединение офисов

Требование из ТЗ:

«Защищенное соединение VPN Site-to-Site между головным офисом и филиалом. Пользователи головного офиса имеют доступ к ресурсам филиала, и наоборот. Пример: печать на принтере в другом офисе, доступ к сетевым папкам».

Теория и ссылки на исследования:

Это «хрестоматийная» задача из статьи про Модуль 5 (Туннели). Используем связку L2TP/IPsec — она работает даже если у филиала «серый» IP за NAT. Ключевые моменты:

• На главном роутере создаем L2TP-сервер с use-ipsec=required и общим Pre-Shared Key.
• На роутере филиала создаем L2TP-клиент, который «стучится» на «белый» IP головного офиса.
• Обязательно прописываем статические маршруты на обоих концах: «всё, что идет в сеть филиала — кидай в туннель».
• Не забываем про исключение в NAT: трафик из туннеля не должен «маскарадиться», иначе маршрутизация сломается.

Практика (CLI, сокращенно — полная версия в статье про Модуль 5):

# НА ГЛАВНОМ РОУТЕРЕ /interface l2tp-server server set use-ipsec=required ipsec-secret=SuperSecretPSK enabled=yes /ppp secret add name=branch password=SuperSecretPSK service=l2tp \ local-address=10.10.10.1 remote-address=10.10.10.2 /ip route add dst-address=192.168.20.0/24 gateway=l2tp-out-to-Branch comment="To-Branch" # НА РОУТЕРЕ ФИЛИАЛА /interface l2tp-client add connect-to=203.0.113.10 user=branch password=SuperSecretPSK \ use-ipsec=yes ipsec-secret=SuperSecretPSK add-default-route=no /ip route add dst-address=192.168.10.0/24 gateway=l2tp-out-to-Main comment="To-Main"

🖥 Блок 6. DHCP и веб-серверы: Destination NAT

Требование из ТЗ:

«Настроен DHCP-сервер. Два веб-сервера на порту 443: 1-й доступен извне по стандартному порту 443, 2-й — по нестандартному порту 444».

Теория и ссылки на исследования:

DHCP-сервер мы детально разбирали в статье про Модуль 3. А вот веб-серверы — это классическая задача для Destination NAT (Dst-NAT), или «проброса портов». Ключевые моменты:

• 1-й сервер (192.168.88.10) — пробрасываем порт 443 из WAN на 443 сервера.
• 2-й сервер (192.168.88.11) — пробрасываем порт 444 из WAN на 443 сервера (порт-то у него стандартный, но снаружи «стучимся» на 444).
• Правила Dst-NAT всегда должны быть самыми первыми в списке NAT — иначе их «перекроет» Masquerade.

Практика (CLI):

# Проброс портов для веб-серверов /ip firewall nat add action=dst-nat chain=dstnat in-interface-list=WAN protocol=tcp dst-port=443 \ to-addresses=192.168.88.10 to-ports=443 comment="Web-Server-1" add action=dst-nat chain=dstnat in-interface-list=WAN protocol=tcp dst-port=444 \ to-addresses=192.168.88.11 to-ports=443 comment="Web-Server-2"

🚫 Блок 7. Блокировка соцсетей в рабочее время

Требование из ТЗ:

«Выделенной группе сотрудников в рабочее время (с 09:00 до 18:00) должны быть недоступны сайты ok.ru, vk.com и facebook.com».

Теория и ссылки на исследования:

Это задача для Address List + Time Schedule, которую мы упоминали в статье про Модуль 6. Ключевые моменты:

• Создаем Address List с IP-адресами (или подсетями) соцсетей. Можно использовать DNS-имена — RouterOS сам их резолвит.
• Создаем правило Firewall Filter в цепочке forward, которое дропает трафик к этим адресам для «группы сотрудников».
• Добавляем параметр time с указанием дней недели и времени (09:00-18:00).

Практика (CLI):

# Адреса соцсетей /ip firewall address-list add address=ok.ru list=SOCIAL-NETWORKS /ip firewall address-list add address=vk.com list=SOCIAL-NETWORKS /ip firewall address-list add address=facebook.com list=SOCIAL-NETWORKS # Блокировка в рабочее время для группы сотрудников (192.168.88.200-220) /ip firewall filter add action=drop chain=forward src-address=192.168.88.200-192.168.88.220 \ dst-address-list=SOCIAL-NETWORKS \ time=mon,tue,wed,thu,fri 9h-18h \ comment="Block-Socials-WorkHours"

⚠️ Типичные «грабли» при реализации ТЗ

1. Порядок правил — это 90% успеха. В Firewall Filter, NAT и Simple Queue правила читаются сверху вниз. Если вы поставите Drop All первым — ничего не заработает. Если поставите Fast Track перед QoS — очереди не сработают. Всегда нумеруйте правила в комментариях (01_, 02_...).
2. Тестируйте по блокам. Не пытайтесь настроить всё сразу. Сначала Failover, потом DHCP, потом Firewall, потом QoS. После каждого блока — тест. Иначе будете искать ошибку в «каше» из 200 правил.
3. Делайте бэкап перед каждым блоком. В статье про Модуль 9 мы разбирали скрипт автоматического бэкапа. Используйте его — если «кирпичнете» роутер, откатитесь за 2 минуты.
4. Документируйте конфигурацию. Комментарии в CLI — это не «баловство», а профессиональная гигиена. Через год вы (или ваш коллега) будете благодарны себе за каждый comment="...".

💼 Сколько стоит такая работа на рынке?

Давайте посчитаем. Мы реализовали 7 блоков ТЗ:

• Failover двух каналов: 10 000 - 15 000 руб.
• Wi-Fi с Access List: 5 000 - 8 000 руб.
• QoS для IP-телефонии: 8 000 - 12 000 руб.
• Firewall с 3 линиями ТП: 15 000 - 20 000 руб.
• VPN Site-to-Site: 10 000 - 15 000 руб.
• DHCP + Dst-NAT: 3 000 - 5 000 руб.
• Блокировка соцсетей: 3 000 - 5 000 руб.

Итого: от 54 000 до 80 000 рублей за проект. Опытный инженер тратит на это 10-15 часов. Новичок — 30-40 часов с «танцами с бубном». Разница в стоимости часа работы — колоссальная.

Резюме для сетевых инженеров

Комплексная настройка MikroTik для бизнеса — это не «супер-магия», а набор стандартных инструментов, собранных в правильном порядке. Мы прошли путь от теории каждого модуля до их практического объединения в единое ТЗ.

Ключевые навыки, которые вы теперь имеете:

1. Умение читать ТЗ буквально — каждая запятая имеет значение.
2. Понимание порядка правил в Firewall, NAT и QoS.
3. Навык тестирования по блокам — это экономит часы troubleshooting.
4. Умение документировать конфигурацию — это маркер профессионала.

Эта статья — ваш готовый чек-лист для продажи услуги «Настройка сети под ключ». Распечатайте её, повесьте над рабочим столом и используйте как шпаргалку на реальных объектах.

Материал основан на итоговом ТЗ из программы курса «Администрирование сетевых устройств MikroTik» (раздел 10.10). Мы прошли все 9 модулей: от коммутации и DHCP до мониторинга и автоматизации. Если вы хотите углубить знания — рекомендуем готовиться к сертификации MTCNA. Это международный стандарт, который откроет двери в крупные компании. Спасибо, что прошли этот путь с нами! Подписывайтесь на обновления — впереди новые серии статей по Zabbix, Eltex и Linux.

Приветствую, коллеги! Мы прошли долгий путь: от коммутации и DHCP до файрвола, QoS и Wi-Fi. Но настройка сети — это только половина дела. Вторая половина — это мониторинг и автоматизация. Без них вы будете «тушить пожары» по ночам, получая звонки от разгневанных клиентов.

Согласно Модулю 9 нашего курса, MikroTik предлагает мощнейшие инструменты: Netwatch (сторожевой пёс), Torch (рентген для трафика), Bandwidth Test (замер скорости), скрипты и планировщик (автоматизация). Сегодня мы настроим сеть так, чтобы она сама «стучалась» к вам при проблемах, а не наоборот.

📖 Словарь терминов и сленга (База для выживания)

• Netwatch — «сторожевой пёс». Утилита, которая периодически пингует указанные IP-адреса и может запускать скрипты при смене статуса хоста (up/down).
• Torch — «рентген» для трафика. Показывает в реальном времени, кто, куда и сколько трафика «гонит». Незаменим для поиска «кто жрёт интернет».
• Bandwidth Test — инструмент для замера реальной пропускной способности канала между двумя MikroTik. Показывает, сколько «честных» мегабит вы получаете.
• Скрипты (Scripts) — мини-программы на встроенном языке RouterOS. Автоматизируют рутинные задачи: отправка алертов, резервное копирование, перезагрузка сервисов.
• Планировщик (Scheduler) — «будильник» для скриптов. Запускает их по расписанию: каждый час, каждый день, в определённое время.
• The Dude — мощная система мониторинга сети от MikroTik. Строит карту сети, следит за доступностью устройств, собирает графики. «Младший брат» Zabbix и PRTG.
• supout.rif — «чёрный ящик» MikroTik. Файл с полной диагностикой состояния системы. Без него официальная поддержка будет «футболить» вас месяцами.
• «Футболить» — сленг. Ситуация, когда поддержка перекидывает вас от одного специалиста к другому, не решая проблему.
• «Жрёт интернет» — сленг. Устройство или пользователь, который занимает непропорционально большую долю канала.

Теория: Три кита мониторинга

Чтобы сеть работала стабильно, нужно контролировать три вещи:

1. Доступность (Availability): Работают ли критичные сервисы? Отвечает ли шлюз провайдера? Доступен ли DNS-сервер? За это отвечает Netwatch.
2. Производительность (Performance): Кто «жрёт» канал? Какая реальная скорость? Нет ли «узких мест»? За это отвечают Torch и Bandwidth Test.
3. Автоматизация (Automation): Как не делать рутину вручную? Как получать алерты на почту? Как делать бэкапы по расписанию? За это отвечают скрипты и планировщик.

Золотое правило админа: Если вы не можете автоматизировать задачу — вы будете делать её вечно. Если вы не можете мониторить сервис — вы будете узнавать о его падении от клиентов. Настройте Netwatch и скрипты один раз — и спите спокойно.

🚀 БЛОК «С НУЛЯ ДО РЕЗУЛЬТАТА»: Практика в CLI и WinBox 4

Наша задача: настроить мониторинг доступности интернета, поиск «кто жрёт канал» и отправку алертов на почту при падении.

Шаг 1. Настраиваем отправку почты (SMTP)

Прежде чем роутер сможет «стучаться» к вам на почту, нужно настроить SMTP-сервер. Используем Gmail (потребуется App Password, если включена двухфакторная аутентификация).

В CLI:

# Настраиваем SMTP-сервер (Gmail) /tool e-mail set address=smtp.gmail.com \ port=587 \ start-tls=yes \ user=your-email@gmail.com \ password=YourAppPassword123 \ from=your-email@gmail.com # Проверяем отправку тестового письма /tool e-mail send to="admin@example.com" subject="Test from MikroTik" body="Hello from RouterOS!"

В WinBox 4: Tools -> Email. Заполняем поля: Server = smtp.gmail.com, Port = 587, StartTLS = yes, User/Password. Нажимаем Send Test Email — письмо должно прийти.

Шаг 2. Netwatch — «сторожевой пёс» для интернета

Настраиваем Netwatch, который будет пинговать Google DNS (8.8.8.8) и отправлять алерт на почту, если интернет «упадёт».

В CLI:

# Создаём скрипт для отправки алерта при падении /system script add name=alert-internet-down \ source="/tool e-mail send to=\"admin@example.com\" \ subject=\"ALERT: Internet DOWN on [identity]\" \ body=\"Internet connection lost at [/system clock get date] [/system clock get time]\"" # Создаём скрипт для отправки алерта при восстановлении add name=alert-internet-up \ source="/tool e-mail send to=\"admin@example.com\" \ subject=\"INFO: Internet UP on [identity]\" \ body=\"Internet connection restored at [/system clock get date] [/system clock get time]\"" # Настраиваем Netwatch /tool netwatch add host=8.8.8.8 \ timeout=2s \ interval=30s \ down-script=alert-internet-down \ up-script=alert-internet-up \ comment="Monitor Internet"

В WinBox 4:

1. System -> Scripts -> Add (+). Name = alert-internet-down. В поле Source вставляем код отправки письма (см. выше).
2. Повторяем для alert-internet-up.
3. Tools -> Netwatch -> Add (+). Host = 8.8.8.8, Interval = 30s. В полях Down Script и Up Script выбираем созданные скрипты.

Теперь при падении интернета вам на почту придёт алерт. Через 30 секунд после восстановления — ещё один.

Шаг 3. Torch — ищем «кто жрёт интернет»

Клиент жалуется: «Интернет тормозит!». Открываем Torch и смотрим, кто «виноват».

В CLI:

# Запускаем Torch на WAN-интерфейсе (ether1) /tool torch interface=ether1 \ src-address=yes \ dst-address=yes \ protocol=yes \ port=yes

В WinBox 4: Tools -> Torch. Interface = ether1 (или ваш WAN). Нажимаем Start. Видим таблицу: кто (Src. Address), куда (Dst. Address), какой протокол, порт и сколько трафика «гонит».

Сортируем по колонке TX/RX — и видим «виновника». Обычно это торрент-клиент или обновление Windows.

Шаг 4. Bandwidth Test — замер реальной скорости

Клиент говорит: «Мне провайдер обещал 100 Мбит/с, а я получаю только 80!». Проверяем.

В CLI:

# Запускаем Bandwidth Test (нужен второй MikroTik или сервер с bandwidth-test-server) /tool bandwidth-test address=192.168.1.1 \ direction=both \ duration=30s

В WinBox 4: Tools -> Bandwidth Test. Указываем IP удалённого MikroTik (или сервера), Direction = both, Duration = 30s. Нажимаем Start. Видим реальную пропускную способность.

Шаг 5. Автоматическое резервное копирование по расписанию

Настраиваем скрипт, который каждый день в 03:00 делает бэкап и отправляет его на почту (или сохраняет в облако).

В CLI:

# Создаём скрипт для бэкапа /system script add name=backup-daily \ source="/system backup save name=backup-[/system clock get date]-[/system clock get time] \ /tool e-mail send to=\"admin@example.com\" \ subject=\"Backup from [identity]\" \ body=\"Daily backup attached\" \ file=backup-[/system clock get date]-[/system clock get time].backup" # Настраиваем планировщик (каждый день в 03:00) /system scheduler add name=daily-backup \ on-event=backup-daily \ start-date=jan/01/2024 \ start-time=03:00:00 \ interval=1d \ comment="Daily backup at 03:00"

В WinBox 4: System -> Scripts -> Add (+) (создаём скрипт бэкапа). Затем System -> Scheduler -> Add (+): On Event = backup-daily, Interval = 1d, Start Time = 03:00:00.

⚠️ Типичные «грабли» (За что клиенты платят деньги)

1. Netwatch пингует шлюз, но интернет не работает. Админ ставит в Netwatch IP шлюза провайдера. Шлюз отвечает, но интернет за ним «упал». Решение: пингуем удалённый хост (8.8.8.8, 1.1.1.1), а не шлюз.
2. Скрипт не отправляет почту. Админ настроил SMTP, но забыл про App Password в Gmail или не включил StartTLS. Решение: используем порт 587 с StartTLS или 465 с SSL. Для Gmail — только App Password (не основной пароль).
3. Torch «не видит» трафик. Админ запускает Torch на Bridge-интерфейсе, но не видит деталей. Решение: запускаем Torch на физическом интерфейсе (ether1), а не на Bridge. Иначе видим только агрегированный трафик.
4. Поддержка «футболит» без supout.rif. Админ пишет в поддержку: «У меня не работает!». Поддержка отвечает: «Пришлите supout.rif». Админ не знает, что это. Решение: всегда генерируйте supout.rif перед обращением в поддержку: /system sup-output save. Это «чёрный ящик» с полной диагностикой.

Резюме для сетевых инженеров

Мониторинг и автоматизация — это то, что отделяет «настройщика» от профессионального администратора. Netwatch сообщает о проблемах до того, как клиент позвонит. Torch помогает найти «виновника» за секунды. Скрипты и планировщик избавляют от рутины. supout.rif ускоряет работу с поддержкой в разы.

Настроив эти инструменты один раз, вы получаете сеть, которая «сама» сообщает о проблемах, делает бэкапы и даже «лечит» себя (перезагружает сервисы при сбоях). Это тот уровень, за который клиенты готовы платить ежемесячно.

Материал основан на программе курса «Администрирование сетевых устройств MikroTik» (Модуль 9: Прочее). Это финальная статья серии. Мы прошли путь от коммутации до мониторинга, разобрали все ключевые темы: DHCP, маршрутизацию, туннели, файрвол, QoS и Wi-Fi. Если вы хотите углубить знания — рекомендуем готовиться к сертификации MTCNA (MikroTik Certified Network Associate). Это международный стандарт, который откроет двери в крупные компании. Спасибо, что были с нами! Подписывайтесь на обновления, впереди много интересного.

Приветствую, коллеги! Если проводная сеть — это «асфальтированная трасса», то Wi-Fi — это «бездорожье», где на каждом шагу поджидают ямы: «глушащие» соседи, «отваливающиеся» клиенты и «халявщики», которые хотят бесплатно сидеть в вашей сети. Домашние роутеры с этими проблемами справляются из рук вон плохо.

Согласно Модулю 8 нашего курса, MikroTik предлагает инструменты корпоративного уровня: AP Bridge, Virtual AP, Access List и мощнейший «рентген» — Registration Table. Сегодня мы настроим «правильный» Wi-Fi с нуля, используя как CLI, так и новый WinBox 4.

📖 Словарь терминов и сленга (База для выживания)

• AP Bridge (Access Point Bridge) — режим «точки доступа». MikroTик в этом режиме работает как мост между «воздухом» и проводной сетью.
• Virtual AP (Виртуальная точка) — возможность создать несколько «виртуальных» Wi-Fi сетей с разными SSID и паролями на одной физической антенне. Идеально для гостевого Wi-Fi.
• Registration Table (Таблица регистрации) — «рентген» админа. Показывает всех клиентов, которые сейчас подключены, с их MAC-адресом, уровнем сигнала (RSSI) и «качеством» канала (CCQ).
• Access List (Список доступа) — «фейс-контроль» для Wi-Fi. Позволяет пускать клиентов не только по паролю, но и по MAC-адресу, уровню сигнала и даже времени суток.
• CCQ (Client Connection Quality) — «индекс счастья» клиента. Показывает, какой процент пакетов реально доходит до клиента. Если CCQ ниже 70% — клиент «мучается».
• «Глушат соседи» — сленг. Ситуация, когда в многоквартирном доме десятки точек доступа работают на одних и тех же каналах, создавая «кашу» в эфире.
• «Халявщик» — сосед, который подобрал пароль к вашему Wi-Fi и теперь качает торренты за ваш счёт.
• «Невидимка» — режим, когда SSID не «вещает» в эфир. Клиент должен ввести имя сети вручную. Защита от любопытных, но не от хакеров.

Теория: Старый wireless vs Новый wifi (wifiwave2)

В RouterOS v7 произошла революция. MikroTik разделил Wi-Fi на два пакета:

1. Пакет wireless (классика) — работает со старыми стандартами 802.11a/n/ac (Wi-Fi 5 и ниже). Меню называется Wireless. Это «рабочая лошадка», на которой построено 90% существующих сетей.
2. Пакет wifi / wifiwave2 (новинка) — поддерживает Wi-Fi 6 (ax), Wi-Fi 6E и Wi-Fi 7. Меню называется WiFi. Это будущее, но оборудование под него пока дороже.

Золотое правило: Если у вас старое оборудование (hAP ac², cAP ac, mAP) — используйте пакет wireless. Если новое (hAP ax³, cAP ax, wAP ax) — ставьте wifiwave2. Команды в CLI и пути в WinBox 4 будут отличаться!

🚀 БЛОК «С НУЛЯ ДО РЕЗУЛЬТАТА»: Практика в CLI и WinBox 4

Наша задача: настроить основную точку доступа для сотрудников, «гостевую» сеть через Virtual AP и сделать «закрытый клуб» для директора через Access List.

Шаг 0. Выбор частоты и страны (Законодательство)

Согласно программе курса, мощность передатчика должна соответствовать законодательству страны. В России для 2.4 ГГц максимум 100 мВт (20 dBm), для 5 ГГц — до 200 мВт в помещении.

В CLI (для пакета wireless):

# Устанавливаем страну и режим регулирования /interface wireless set wlan1 country=russia8 \ frequency-mode=regulatory-domain \ tx-power-mode=default # Выбираем "чистый" канал (для 2.4 ГГц это 1, 6 или 11) set wlan1 channel=6 width=20mhz band=2ghz-g/n

В WinBox 4: Wireless -> Interfaces -> wlan1. Вкладка Wireless: Country = russia8, Frequency Mode = regulatory-domain. Вкладка Wi-Fi: Band = 2GHz-G/N, Channel Width = 20MHz (в зашумлённом доме ставим 20 МГц, а не 40, чтобы не «лезть» на каналы соседей).

Шаг 1. Поднимаем основную точку (AP Bridge)

Настраиваем главную сеть для сотрудников с WPA2-PSK.

В CLI:

# Основные настройки точки доступа /interface wireless set wlan1 mode=ap-bridge \ ssid=Office-Staff \ security-profile=secure-staff \ disabled=no # Создаём профиль безопасности WPA2 /interface wireless security-profiles add name=secure-staff \ mode=dynamic-keys \ authentication-types=wpa2-psk \ unicast-ciphers=aes-ccm \ group-ciphers=aes-ccm \ wpa2-pre-shared-key=SuperSecretPass123

Шаг 2. Создаём «гостевую» сеть через Virtual AP

Гостям не нужен доступ к нашей локалке. Создаём виртуальную точку, которая будет «висеть» на той же антенне, но вести в отдельный Bridge с изоляцией клиентов.

В CLI:

# Создаём виртуальный интерфейс (гостевой Wi-Fi) /interface wireless set wlan1 master-interface=none add name=wlan1-guest \ master-interface=wlan1 \ mode=ap-bridge \ ssid=Office-Guest \ security-profile=secure-guest \ disabled=no # Профиль безопасности для гостей (можно проще) /interface wireless security-profiles add name=secure-guest \ mode=dynamic-keys \ authentication-types=wpa2-psk \ unicast-ciphers=aes-ccm \ group-ciphers=aes-ccm \ wpa2-pre-shared-key=GuestPass456

В WinBox 4: Wireless -> Interfaces -> Add (+) -> Virtual AP. Master Interface = wlan1, SSID = Office-Guest, Security Profile = secure-guest. Всё, вторая сеть «висит» в эфире рядом с первой, но работает на той же антенне!

Шаг 3. Access List — делаем «закрытый клуб»

А теперь магия. Мы хотим, чтобы Wi-Fi директора (Office-Director) был виден всем, но подключиться к нему могли только «свои» устройства, даже если кто-то узнал пароль. Используем Access List.

В CLI:

# Отключаем "автоматическое" подключение всех подряд /interface wireless set wlan1 default-authenticate=no \ default-forward=no # Разрешаем подключение ТОЛЬКО устройствам из списка /interface wireless access-list add mac-address=AA:BB:CC:DD:EE:FF \ interface=wlan1 \ authentication=yes \ forwarding=yes \ comment="Director's iPhone" add mac-address=11:22:33:44:55:66 \ interface=wlan1 \ authentication=yes \ forwarding=yes \ comment="Director's Laptop" # Всё, что не в списке — "молча" блокируем add interface=wlan1 \ authentication=no \ forwarding=no \ comment="Drop_All_Others"

В WinBox 4: Wireless -> Access List -> Add (+). Указываем MAC-адрес, ставим галочки Authentication и Forwarding. В главном окне интерфейса wlan1 снимаем галочки Default Authenticate и Default Forward. Теперь даже если сосед узнает пароль директора, его устройство не пройдёт «фейс-контроль» по MAC.

Шаг 4. Мониторинг: Registration Table и Scanner

Как понять, что Wi-Fi работает хорошо? Смотрим в «рентген».

В CLI:

# Смотрим всех подключённых клиентов /interface wireless registration-table print detail # Сканируем эфир и видим всех "соседей" /interface wireless scan duration=10s

В WinBox 4: Wireless -> Registration Table. Здесь вы увидите MAC-адрес, RSSI (уровень сигнала), TX/RX rates и главное — CCQ. Если CCQ у клиента ниже 50% — он «мучается», нужно менять канал или переносить точку.

⚠️ Типичные «грабли» (За что клиенты платят деньги)

1. Channel Width 40/80 МГц в многоквартирном доме. Админ ставит «максимум» в настройках, а в итоге эфир «забит» полностью, и скорость ниже, чем на 20 МГц. Решение: в 2.4 ГГц всегда ставим 20 МГц. В 5 ГГц — 40 или 80 МГц, но только если эфир чистый (проверяем Scanner'ом).
2. WPA (первого поколения) или TKIP. Эти алгоритмы взламываются за 10 секунд. Решение: только WPA2-PSK с AES-CCM. WPA3 — идеально, но не все клиенты его поддерживают.
3. Забыли про Default Authenticate. Админ настроил Access List, но забыл снять галочку Default Authenticate. В итоге «фейс-контроль» не работает, и пускают всех подряд. Решение: всегда проверяйте, что Default Authenticate = no, если используете Access List.
4. Мощность передатчика «на максимум». Кажется, что чем мощнее, тем лучше. Но клиент (телефон) отвечает «тишиной», и роутер его «не слышит». Связь асимметричная. Решение: ставим мощность 17-18 dBm для 2.4 ГГц и 20-22 dBm для 5 ГГц в помещении.

Резюме для сетевых инженеров

Wi-Fi в MikroTik — это не просто «поставить галочку WPA2». Это управление эфиром, контроль доступа и мониторинг «качества счастья» клиентов (CCQ). Использование Virtual AP позволяет запускать несколько изолированных сетей без покупки дополнительных точек, а Access List превращает Wi-Fi в «закрытый клуб», куда не попадёт никто посторонний.

Используйте Registration Table для поиска «проблемных» клиентов, Scanner для выбора чистого канала и никогда не ставьте Channel Width 40 МГц в «забитом» доме. Настроив Wi-Fi один раз по уму, вы забудете о жалобах на «медленный интернет по воздуху» на годы вперед.

Материал основан на программе курса «Администрирование сетевых устройств MikroTik» (Модуль 8: Беспроводные сети). В следующей, финальной статье серии мы перейдем к Модулю 9: Прочее. Мы разберем «швейцарский нож» админа — мониторинг через Torch, The Dude и SNMP, научимся писать скрипты автоматизации и отправлять себе алерты на почту при падении канала. Подписывайтесь!

Приветствую, коллеги! Если Firewall — это «иммунитет» сети, то QoS (Quality of Service) — это её «дипломатия». Задача QoS — не просто «урезать» скорость, а сделать так, чтобы критически важный трафик (голос, видео) всегда получал «VIP-пропуск», пока фоновые задачи (обновления, торренты) довольствуются тем, что осталось.

Согласно Модулю 7 нашего курса, MikroTik предлагает мощнейший инструмент Simple Queue. Но многие админы настраивают его «вслепую», создавая «пробки» на ровном месте. Сегодня мы разберем анатомию очередей, научимся «нарезать» канал по-честному и сделаем это в новом WinBox 4 и через CLI.

📖 Словарь терминов и сленга (База для выживания)

• QoS (Quality of Service) — «Справедливый судья». Механизм приоритизации и ограничения трафика.
• Simple Queue (Простая очередь) — базовый инструмент в MikroTik для ограничения скорости. Работает на 3-м (сетевом) уровне модели OSI.
• Target и Dst. — «Кого ограничиваем» и «С кем общаемся». Target — это IP клиента в вашей сети. Dst. (Destination) — это IP-адрес в интернете (или другой сети), к которому клиент обращается.
• Max Limit и Limit-at — «Потолок» и «Пол». Max Limit — больше этой скорости не прыгнешь. Limit-at — гарантированная скорость, которую роутер «откусит» из общего пирога в первую очередь.
• Burst — «Турбо-кнопка». Позволяет на короткое время «разогнаться» выше Max Limit, если канал свободен.
• PCQ (Per Connection Queue) — «Честная нарезка». Алгоритм, который динамически делит скорость поровну между каждым отдельным соединением, чтобы один «жадный» поток не забил всё.
• «Душить» канал — сленг. Ситуация, когда одно устройство или протокол занимает 100% пропускной способности, не оставляя воздуха другим.

Теория: Пирог и VIP-пропуска

Чтобы понять QoS, представьте, что ваш интернет-канал — это пицца, а пользователи — голодные гости.

1. Max Limit vs Limit-at (Потолок и Пол)

Если вы поставите всем Max Limit = 50 Мбит/с, а канал всего 100 Мбит/с, то при скачивании двумя пользователями они получат по 50. Но если скачивает только один — он всё равно не получит больше 50, хотя пицца осталась!
Решение: Используем Limit-at. Мы говорим роутеру: «Гарантируй каждому по 10 Мбит/с, но если пицца осталась — дай съесть хоть всю». Так работает динамическое распределение.

2. Priority (Приоритеты / VIP-пропуска)

Согласно программе курса, в Simple Queue есть параметр Priority (от 1 до 8, где 1 — высший). Это не «гарантированная скорость», это именно очередь. Когда канал «забит» под завязку (работает Limit-at), роутер смотрит на Priority. Пакет с Priority 1 (например, SIP-телефония) пройдет первым, а пакет с Priority 8 (торрент) подождет.

3. Иерархия очередей

Важнейший нюанс из учебной программы: правила QoS читаются сверху вниз. Если вы создадите общую очередь на всю подсеть 192.168.88.0/24, а ниже — частную очередь для IP-адреса директора 192.168.88.10, то общая очередь «проглотит» трафик директора, и частная не сработает. Частные правила всегда должны стоять ВЫШЕ общих!

🚀 БЛОК «С НУЛЯ ДО РЕЗУЛЬТАТА»: Практика в CLI и WinBox 4

Наша задача: у нас есть канал 100 Мбит/с. Нужно выделить 20 Мбит/с для VIP-клиентов, ограничить «жадных» пользователей, и сделать «честную нарезку» для остальных.

Шаг 0. Убиваем Fast Track (Критически важно!)

Помните статью про Firewall? Если у вас включен Fast Track, он пропускает трафик мимо очередей. QoS не будет работать, пока Fast Track активен для ограничиваемых сетей.

В WinBox 4: IP -> Firewall -> Filter Rules. Найдите правило 01_FastTrack и либо отключите его (красный крестик), либо добавьте перед ним правила, которые пропускают (Accept) трафик, требующий QoS, чтобы они не попали под Fast Track.

Шаг 1. VIP-пропуск для директора (Priority + Limit-at)

Директор (IP 192.168.88.10) должен иметь гарантированные 20 Мбит/с и высший приоритет.

В CLI:

# Очередь для VIP. Priority 1 (высший). # Guarantee 20M, Ceiling 100M (весь канал, если свободен) /queue simple add name="VIP-Director" target=192.168.88.10/32 \ max-limit=100M/100M limit-at=20M/20M \ priority=1/1 queue=default-small/default-small

В WinBox 4:

1. Queues -> Simple Queues -> Add (+).
2. Вкладка General: Name = VIP-Director, Target = 192.168.88.10/32.
3. Вкладка Queues: Max Limit = 100M, Limit At = 20M.
4. Здесь же, в выпадающих списках Queue Type (или во вкладке Advanced в старых версиях), выберите Priority: 1 (для Upload и Download).

Шаг 2. «Честная нарезка» для офиса (PCQ)

Остальным сотрудникам (подсеть 192.168.88.0/24) мы не хотим ставить жесткий «потолок» на каждого, но хотим, чтобы они не «душили» VIP. Используем PCQ. Он сам разделит оставшиеся 80 Мбит/с поровну между всеми активными потоками.

В CLI:

# PCQ-очередь для всей подсети. # Потолок 100М, но алгоритм PCQ сам "нарежет" его на равные куски /queue simple add name="Office-PCQ" target=192.168.88.0/24 \ max-limit=100M/100M limit-at=10M/10M \ priority=8/8 queue=pcq-download/pcq-upload

В WinBox 4:

1. Add (+). Target = 192.168.88.0/24.
2. Вкладка Queues: Max Limit = 100M, Limit At = 10M.
3. В выпадающем списке Queue Type (или просто в полях Queue) выберите pcq-download для Download и pcq-upload для Upload. (В RouterOS v7 это делается через выбор типа очереди PCQ).
4. Priority ставим 8 (низший), чтобы VIP (Priority 1) всегда был впереди.

Шаг 3. Магия Burst (Турбо-кнопка)

Чтобы веб-страницы у сотрудников открывались «мгновенно», а не ползли на скорости 10 Мбит/с, добавим Burst. Он позволит на 10 секунд «разогнаться» до 100 Мбит/с, если канал свободен.

В CLI (добавляем параметры к очереди Office-PCQ):

# Настраиваем Burst: разгон до 100М, если скорость упала ниже 40М /queue simple set Office-PCQ \ burst-limit=100M/100M \ burst-threshold=40M/40M \ burst-time=10s/10s

⚠️ Типичные «грабли» (За что клиенты платят деньги)

1. Fast Track съедает QoS. Самая частая ошибка. Админ часами настраивает PCQ, а скорость не режется. Причина: трафик «ускоряется» в Firewall и минует Queues. Решение: всегда проверяйте отключен ли Fast Track для нужных подсетей.
2. Путаница с Target и Dst. Админ хочет ограничить скачивание из интернета, но ставит ограничение в поле Dst.. В Simple Queue Target — это всегда ваш локальный клиент! Решение: в 95% случаев поле Dst. оставляем пустым.
3. Нарушение иерархии. Общая очередь на 0.0.0.0/0 стоит первой, и «перемалывает» все частные очереди ниже. Решение: частные правила (для конкретных IP) всегда тащим в самый верх списка Simple Queue.
4. Max Limit = Limit-at. Если вы поставите оба параметра в 50 Мбит/с, вы «убьете» динамическое распределение и Burst. Клиент никогда не получит скорость выше 50, даже если канал пустует. Решение: Max Limit всегда должен быть равен или больше скорости вашего канала.

Резюме для сетевых инженеров

QoS в MikroTik — это не магия, а строгая математика очередей. Понимание разницы между Limit-at (гарантия) и Max Limit (потолок), умение использовать Priority для VIP-трафика и применение PCQ для честного дележа — это то, что превращает «тормозящую» сеть в летящий болид.

Используйте WinBox 4 для удобного поиска очередей, не забывайте про иерархию правил и всегда держите в уме путь пакета через Fast Track. Настроив QoS один раз по уму, вы забудете о жалобах на «медленный интернет» на месяцы вперед.

Материал основан на программе курса «Администрирование сетевых устройств MikroTik» (Модуль 7: QoS). В следующей статье мы перейдем к Модулю 8: Беспроводные сети (Wi-Fi). Мы разберем, как настроить «бесшовный» роуминг, почему 2.4 ГГц «умирает» от соседей и как использовать Access List для создания «закрытого» Wi-Fi, к которому не подключится никто, кроме своих. Подписывайтесь!

Приветствую, коллеги! Если коммутация и DHCP — это «кровеносная система» сети, то Firewall — это её «иммунитет». Но многие администраторы боятся лезть в настройки брандмауэра MikroTik, как огня. Причина проста: одно неверное правило, и ты «кирпичишь» роутер, теряя к нему доступ, и начинается «танцы с бубном» с кнопкой Reset.

Согласно Модулю 6 (Файрвол) нашего курса, грамотный Firewall — это не просто набор правил «запретить всё». Это понимание того, как трафик течет через цепочки (Chains), как работает Connection Tracker и почему твой «гениальный» фильтр может не срабатывать из-за Fast Track. Сегодня мы настроим защиту по уму, используя как CLI, так и новый WinBox 4.

📖 Словарь терминов и сленга (База для выживания)

• Chain (Цепочка) — «коридор» в таможне. Input — для трафика, адресованного самому роутеру. Forward — для трафика, летящего сквозь роутер к клиентам. Output — для исходящих от роутера пакетов.
• Connection Tracker (Conntrack) — «память» роутера. Он помнит, кто начал «разговор» (сессию). Если ты пустил первый пакет наружу, Conntrack запомнит это и автоматически пропустит ответный пакет обратно, даже если для него нет явного правила.
• Fast Track — «ускоритель». Он берет уже установленные соединения и пропускает их мимо тяжелых проверок Firewall и маршрутизации, чтобы разгрузить CPU. Но у него есть темная сторона...
• «Кирпич» (Кирпичнуть роутер) — сленг. Ситуация, когда админ ставит правило Drop All, забывая разрешить себе доступ, и теряет связь с устройством.
• «Дырявый забор» — Firewall, в котором правила идут в неправильном порядке, из-за чего «дыры» появляются там, где их быть не должно.

Теория: Схемы прохождения трафика (Анатомия)

Чтобы не «кирпичить» оборудование, нужно понять, куда летит пакет. В RouterOS есть три главные цепочки (Chains):

1. Input: Пакет пришел извне и его конечный IP — это сам роутер (например, ты зашел по SSH или роутер пингует Google DNS). Задача: защитить «мозги» роутера.
2. Forward: Пакет пришел из локальной сети и летит в интернет (или наоборот). Роутер тут просто «транзитный узел». Задача: защитить клиентов от внешних атак.
3. Output: Пакет родился внутри роутера и летит наружу. Обычно не трогаем, оставляем Accept.

Золотое правило: Firewall в MikroTik читается сверху вниз. Как только пакет совпал с правилом — он выполняет действие (Accept/Drop) и покидает цепочку. Дальше он правила не читает. Порядок правил — это 90% успеха.

🚀 БЛОК «С НУЛЯ ДО РЕЗУЛЬТАТА»: Практика в CLI и WinBox 4

Представим, что мы подключаемся к клиенту. У нас есть новый WinBox 4 (с современным интерфейсом и боковой панелью). Наша задача: защитить сеть, но не заблокировать самих себя.

Шаг 1. Магия Fast Track (Ускорение и скрытые угрозы)

Согласно программе курса, Fast Track — это мощнейший инструмент для разгрузки CPU. Но если вы начнете писать сложные правила фильтрации (например, блокировку сайтов по URL), Fast Track их проигнорирует, потому что ускоренный трафик идет в обход цепочки Filter.

В CLI:

# Разрешаем Fast Track для установленных соединений (ставим ПЕРВЫМ правилом!) /ip firewall filter add action=fasttrack-connection chain=forward connection-state=established,related comment="01_FastTrack" add action=accept chain=forward connection-state=established,related comment="02_Accept_Established"

В WinBox 4:

1. Откройте WinBox 4. В левой боковой панели (Sidebar) найдите раздел IP и кликните на Firewall (или используйте «лупу» / поиск сверху и введите firewall).
2. Перейдите на вкладку Filter Rules.
3. Нажмите кнопку + (Add) в верхнем левом углу.
4. Вкладка General: Chain = forward.
5. Вкладка Action: Action = fasttrack-connection.
6. Вкладка Extra (или вкладка Connection): Connection State = established, related.
7. На вкладке General в поле Comment напишите 01_FastTrack и нажмите OK. Перетащите это правило в самый верх списка.

Шаг 2. Защита самого роутера (Цепочка Input)

Мы должны пустить «своих» и отсечь «чужаков», которые хотят подобрать пароль к SSH или WinBox.

В CLI:

# Разрешаем ответы на наши же запросы и локальную сеть /ip firewall filter add action=accept chain=input connection-state=established,related comment="10_Input_Established" add action=accept chain=input in-interface=bridge-LAN comment="11_Input_LAN_Accept" # А ТАК ЖЕ: Блокируем всё остальное, что идет в роутер извне (WAN) add action=drop chain=input in-interface-list=WAN comment="99_Input_Drop_All"

В WinBox 4:

Алгоритм тот же: IP -> Firewall -> Filter Rules -> Add (+). Для правила блокировки: Chain = input, вкладка Advanced (или Interface) -> In. Interface List = WAN, вкладка Action -> Action = drop. Comment = 99_Input_Drop_All. Важно: это правило должно быть в самом низу списка!

Шаг 3. Защита пользователей (Цепочка Forward)

Разрешаем клиентам ходить в интернет, но запрещаем интернету стучаться к клиентам напрямую.

В CLI:

# Блокируем попытки из интернета обратиться к нашим локальным машинам /ip firewall filter add action=drop chain=forward connection-state=invalid comment="50_Drop_Invalid" add action=drop chain=forward in-interface-list=WAN connection-nat-state=!dstnat comment="51_Drop_WAN_to_LAN" # Разрешаем всё остальное (локалка в интернет) add action=accept chain=forward comment="90_Forward_Accept_All"

Шаг 4. Source NAT и «Ошибка 99% устройств»

Согласно программе курса, есть ошибка, которая встречается на 99% любительских настроек: правила NAT без привязки к интерфейсу. Если у вас два провайдера (Failover) или VPN-туннели, правило masquerade «на все интерфейсы» заставит роутер подменять IP-адреса даже для локального трафика или туннелей, ломая маршрутизацию.

В CLI:

# ПРАВИЛЬНО: Указываем конкретный интерфейс или список интерфейсов /ip firewall nat add action=masquerade chain=srcnat out-interface-list=WAN comment="01_Masquerade_WAN"

В WinBox 4:

1. Перейдите в IP -> Firewall, но теперь выберите вкладку NAT.
2. Нажмите +. Chain = srcnat.
3. Вкладка Action: Action = masquerade.
4. Вкладка Extra (или Advanced): Out. Interface List = WAN (или выберите конкретный ether1).

⚠️ Типичные «грабли» (За что клиенты платят деньги)

1. «Кирпич» из-за забытого Established. Админ ставит Drop All в цепочке Input, но забывает первым правилом пустить connection-state=established,related. Итог: роутер перестает отвечать на уже открытые сессии, WinBox виснет. Решение: всегда начинайте цепочки с Accept Established/Related.
2. Fast Track ломает блокировки. Админ настроил блокировку торрентов или сайтов, но забыл, что правило fasttrack-connection стоит выше. Трафик «ускоряется» и игнорирует запреты. Решение: либо отключить Fast Track, либо добавить перед ним правила с действием accept для тех соединений, которые не нужно ускорять (чтобы они упали вниз по списку и попали под фильтрацию).
3. Порядок правил NAT. NAT тоже читается сверху вниз. Если у вас стоит dst-nat (проброс порта) для веб-сервера, а выше него висит «маскарад» или дроп, проброс не сработает. Решение: правила Destination NAT (пробросы) всегда должны быть САМЫМИ ПЕРВЫМИ в списке NAT.

Резюме для сетевых инженеров

Firewall в MikroTik — это не «черная магия», а строгая логика движения пакетов через цепочки Input, Forward и Output. Понимание того, как работает Connection Tracker и как Fast Track влияет на обработку трафика, отделяет «настройщиков» от настоящих инженеров. Используйте новый WinBox 4 для быстрого поиска правил через «лупу», не забывайте комментировать правила (Comment) и всегда держите под рукой консольный кабель, чтобы в случае «кирпича» быстро вернуть доступ.

Материал основан на программе курса «Администрирование сетевых устройств MikroTik» (Модуль 6: Файрвол). В следующей статье мы перейдем к Модулю 7: QoS (Ограничение и приоритизация трафика). Мы разберем, как «нарезать» канал так, чтобы IP-телефония не «икала» при скачивании торрентов, а директор получал свой законный гигабит. Подписывайтесь!

Настройка L2TP/IPsec Site-to-Site в MikroTik: объединяем два офиса в единую сеть

Приветствую, коллеги! Представьте классическую ситуацию: у вас есть головной офис в Москве с «белым» (статическим) IP-адресом, и филиал в Новосибирске, которому провайдер выдал «серый» IP (то есть они сидят за NAT). Задача: сделать так, чтобы бухгалтер в Новосибирске могла печатать на московском принтере, как будто она сидит в соседней комнате.

Согласно Модулю 5 (Туннели) нашего курса, для таких задач идеально подходит связка L2TP/IPsec Site-to-Site. Сегодня мы не просто скопируем команды из интернета, а поймем «подкапотную» магию инкапсуляции и настроим всё с нуля, чтобы туннель стоял насмерть.

📖 Словарь терминов и сленга (База для выживания)

Прежде чем лезть в консоль, давайте переведем с «айтишного» на человеческий:

• Site-to-Site (Узел-к-Узлу) — тип VPN, когда соединяются не два компьютера, а две целые сети (два офиса). «Мост» между зданиями.
• L2TP (Layer 2 Tunneling Protocol) — протокол, который создает сам «туннель». Он умеет передавать любые пакеты (даже_broadcast_), но у него есть фатальный минус: он не шифрует трафик. Он «прозрачен как стекло».
• IPsec (Internet Protocol Security) — та самая «броня». Он берет пакеты L2TP и заворачивает их в криптостойкий конверт. Без IPsec ваш L2TP бесполезен для бизнеса.
• «Белый» IP — публичный, статический адрес, видимый из интернета. (У нас он в Москве).
• «Серый» IP — внутренний адрес за NAT провайдера. Из интернета к нему напрямую не «постучаться». (У нас он в Новосибирске).
• Pre-Shared Key (PSK) / Секрет — общий пароль для «рукопожатия» (Handshake) между роутерами. Если пароли не совпадут — «броня» не сомкнется.

Теория: Матрешка из протоколов

Почему мы используем именно L2TP вместе с IPsec, а не просто IPsec (GRE/IPsec)?

Потому что L2TP умеет работать через NAT (пробивать «серые» IP) и отлично маршрутизирует широковещательные пакеты (например, для поиска сетевых принтеров). А IPsec решает проблему безопасности. В RouterOS (особенно в v7) эти два протокола работают в идеальной связке: L2TP создает «трубу», а IPsec надевает на неё «бронежилет».

Золотое правило туннелей: Если вы настраиваете VPN между офисами через «грязный» интернет, никогда не используйте «голый» L2TP или PPTP. Вы просто подарите хакерам возможность перехватывать корпоративные пароли. Только IPsec!

🚀 БЛОК «С НУЛЯ ДО РЕЗУЛЬТАТА»: Практика Site-to-Site

У нас есть два роутера. Главный офис (Server) имеет «белый» IP 203.0.113.10. Филиал (Client) имеет «серый» IP за NAT. Туннель всегда будет инициироваться (создаваться) со стороны «серого» филиала, потому что до «белого» Москвы достучаться легче, чем до «серого» Новосибирска.

Сохраните этот блок как шпаргалку. Это готовый алгоритм для продажи услуги «Организация VPN между филиалами».

Шаг 1. Подготовка «фундамента» (PPP и Пулы)

Сначала создадим «пользователя» для филиала и выделим ему IP-адреса для туннельного интерфейса.

# НА ГЛАВНОМ РОУТЕРЕ (МОСКВА) # Создаем пул адресов для туннельного интерфейса (точка-точка) /ip pool add name=pool-VPN-Branch ranges=10.10.10.2 # Создаем "пользователя" (филиал) с паролем-секретом /ppp secret add name=branch-office \ password=SuperSecretPSK123 \ service=l2tp \ local-address=10.10.10.1 \ remote-address=pool-VPN-Branch \ comment="VPN to Novosibirsk"

Шаг 2. Поднимаем L2TP-сервер с «броней» IPsec

В RouterOS v7 IPsec интегрирован прямо в настройки L2TP-сервера. Это гениально упрощает жизнь.

# Включаем L2TP сервер и принудительно требуем IPsec /interface l2tp-server server set use-ipsec=required \ ipsec-secret=SuperSecretPSK123 \ default-profile=default-encryption \ enabled=yes # ВАЖНО: Разрешаем аутентификацию по паролю (PSK) /ppp profile set default-encryption use-encryption=required

Шаг 3. Настраиваем «Клиента» (Филиал)

На роутере в филиале мы создаем L2TP-клиент, который будет «стучаться» в Москву. Поскольку филиал за NAT, мы не настраиваем там сервер, только клиент.

# НА РОУТЕРЕ ФИЛИАЛА (НОВОСИБИРСК) # Создаем L2TP-клиент, который "стучится" на "белый" IP Москвы /interface l2tp-client add add-default-route=no \ allow=pap,chap,mschap1,mschap2 \ connect-to=203.0.113.10 \ disabled=no \ name=l2tp-out-to-Moscow \ user=branch-office \ password=SuperSecretPSK123 \ use-ipsec=yes \ ipsec-secret=SuperSecretPSK123

Шаг 4. Маршрутизация (Самое важное!)

Туннель создан, но роутеры пока не знают, как отправлять трафик локальных сетей через эту «трубу». Нужно прописать статические маршруты.

# НА ГЛАВНОМ РОУТЕРЕ (МОСКВА) # Говорим: "Всё, что идет в сеть филиала (192.168.20.0/24), кидай в туннель" /ip route add dst-address=192.168.20.0/24 gateway=l2tp-out-to-Moscow comment="To-Branch" # НА РОУТЕРЕ ФИЛИАЛА (НОВОСИБИРСК) # Говорим: "Всё, что идет в сеть Москвы (192.168.10.0/24), кидай в туннель" /ip route add dst-address=192.168.10.0/24 gateway=l2tp-out-to-Moscow comment="To-Main"

⚠️ Типичные «грабли» (За что клиенты платят деньги)

Если вы настроили всё по инструкции, но туннель «отваливается» или пинг не идет, проверьте эти три вещи. Это классика жанра:

1. Забывают про NAT (Masquerade). Если трафик из сети филиала 192.168.20.0 прилетает в Москву, а там стоит правило NAT «маскарадить всё, что идет в интернет», роутер подменит IP-адрес компьютера филиала на свой. Маршрут обратно сломается. Решение: В правилах Firewall NAT (Srcnat) поставить исключение для туннельного трафика.
2. Асимметричная маршрутизация. Пакет ушел через туннель, а ответ вернулся через основной интернет (потому что шлюз по умолчанию смотрит туда). Решение: Всегда проверяйте, что на обоих концах прописаны статические маршруты друг на друга через интерфейс туннеля.
3. Разные IPsec Proposals (Алгоритмы шифрования). Если на одном роутере стоит aes-256-cbc, а на другом 3des, «рукопожатие» не состоится. В RouterOS v7 при использовании use-ipsec=required в L2TP это решается автоматически, но если вы настраиваете «ручные» IPsec Peers — следите за этим.

Резюме для сетевых инженеров

Настройка Site-to-Site туннеля — это не просто «включить галочку VPN». Это понимание того, как трафик инкапсулируется, как работает NAT-трансляция и как роутеры выбирают путь (маршрутизация). Связка L2TP + IPsec в MikroTik — это золотой стандарт для малого и среднего бизнеса. Она надежна, безопасна и, что самое приятное, не требует покупки «белых» IP-адресов для обоих офисов (один «белый» на главном офисе решает всё).

Материал основан на программе курса «Администрирование сетевых устройств MikroTik» (Модуль 5: Туннели). В следующей статье мы перейдем к Модулю 6: Файрвол. Мы разберем, как защитить этот самый туннель и локальную сеть от «любопытных» пользователей, и я покажу, почему правило «Drop All» в конце цепочки — это ваша главная страховка. Подписывайтесь!

Приветствую коллег! «Интернет пропадает раз в неделю, и мы теряем деньги» — это запрос №1 от корпоративных клиентов. Решение — отказоустойчивая схема с двумя провайдерами (Failover). Но большинство администраторов настраивают её «наугад», не понимая, как RouterOS выбирает маршрут и почему при обрыве у провайдера резерв не включается.

Согласно программе курса «Администрирование сетевых устройств MikroTik» (Модуль 4), грамотная настройка Failover — это комбинация статической маршрутизации, параметра Distance и утилиты Netwatch. Сегодня мы пройдем путь от заводской настройки до полностью рабочего резервирования.

📖 Словарь терминов (База для администратора)

• Failover (Отказоустойчивость) — автоматическое переключение на резервный канал при падении основного. Пользователи даже не замечают сбоя.
• Distance (Дистанция) — параметр статического маршрута в RouterOS. Чем меньше число, тем «привлекательнее» маршрут для роутера. Маршрут с Distance=1 будет выбран вместо маршрута с Distance=10.
• Default Route (Маршрут по умолчанию) — маршрут 0.0.0.0/0. «Путь в никуда», по которому роутер отправляет весь трафик, для которого не нашлось более конкретного маршрута. Обычно ведет в интернет.
• Netwatch — утилита RouterOS для периодической проверки доступности IP-адресов (через ICMP ping). Может запускать скрипты при смене статуса хоста.
• Check Gateway — параметр статического маршрута (ping или arp), позволяющий роутеру самостоятельно отключать маршрут, если шлюз перестал отвечать.

Теория: Алгоритм выбора маршрута в MikroTik

Чтобы понять, как работает Failover, нужно усвоить простой алгоритм выбора маршрута (актуален и для RouterOS v6, и для v7):

1. Роутер ищет маршрут с максимально точным совпадением префикса (самый «длинный» маска). Например, /32 важнее, чем /24, а /24 важнее, чем /0.
2. Если префиксы одинаковые, выбирается маршрут с меньшим Distance.
3. Если и Distance одинаковый, выбирается маршрут с меньшим Gateway Distance (для динамических протоколов).

Ключевая идея Failover: Мы создаем два маршрута по умолчанию (0.0.0.0/0) с разным Distance. Основной — с Distance=1, резервный — с Distance=10. Пока жив основной, резервный «спит» в таблице маршрутов с пометкой unreachable или просто неактивен. Как только основной пропадает — резервный мгновенно вступает в игру.

🚀 БЛОК «С НУЛЯ ДО РЕЗУЛЬТАТА»: Практическое применение

А теперь самое важное. Представьте: вы приехали к клиенту, достали из коробки новый MikroTik (например, hEX или RB4011), подключили ноутбук и начали настройку. Сохраните этот блок как шпаргалку — это готовый сценарий для продажи услуги «Настройка Failover под ключ».

Шаг 0. Сброс до заводских настроек

Нажимаем кнопку Reset на 5 секунд, пока не замигает индикатор. После перезагрузки у нас есть базовая конфигурация: ether1 — WAN (DHCP-клиент), ether2-5 — объединены в Bridge с DHCP-сервером (подсеть 192.168.88.0/24).

Шаг 1. Подключаем два провайдера

Договоримся о топологии:

• ether1 — Основной провайдер (статический IP, например, 203.0.113.10/29, шлюз 203.0.113.1)
• ether2 — Резервный провайдер (DHCP-клиент, динамический IP)
• ether3-5 — локальная сеть (Bridge-LAN)

Перенастраиваем заводской Bridge, убирая из него ether2:

# Удаляем ether2 из заводского Bridge /interface bridge port remove [find interface=ether2] # Создаем отдельный Bridge для LAN (ether3-5) /interface bridge add name=bridge-LAN /interface bridge port add bridge=bridge-LAN interface=ether3 add bridge=bridge-LAN interface=ether4 add bridge=bridge-LAN interface=ether5 # Переносим DHCP-сервер и IP-адрес на новый Bridge /ip dhcp-server set [find] interface=bridge-LAN /ip address set [find interface=bridge] interface=bridge-LAN

Шаг 2. Настраиваем WAN-интерфейсы

# Основной провайдер (статика на ether1) /ip address add address=203.0.113.10/29 interface=ether1 /ip route add gateway=203.0.113.1 distance=1 check-gateway=ping comment="MAIN-ISP" # Резервный провайдер (DHCP на ether2) /ip dhcp-client add interface=ether2 use-peer-dns=yes add-default-route=no # ВАЖНО: add-default-route=no, чтобы DHCP сам не создал маршрут по умолчанию

Шаг 3. Настраиваем Source NAT для обоих каналов

Это та самая «ошибка, которая есть на 99% устройств» из программы курса — забывают про NAT на резервном интерфейсе.

# Маскарадинг для обоих WAN-интерфейсов /ip firewall nat add action=masquerade chain=srcnat out-interface=ether1 comment="NAT-MAIN" add action=masquerade chain=srcnat out-interface=ether2 comment="NAT-BACKUP"

Шаг 4. Решаем проблему «доступности шлюза» через Netwatch

Согласно программе курса, есть классическая проблема: check-gateway=ping проверяет только шлюз провайдера. Но что если шлюз жив, а интернет за ним — нет (авария у вышестоящего провайдера)? Для этого используем Netwatch, который пингует удаленный хост (например, 8.8.8.8) и отключает маршрут при потере связи.

# Создаем резервный маршрут по умолчанию (пока отключен) /ip route add gateway=0.0.0.0 distance=10 comment="BACKUP-ISP" disabled=yes # Netwatch: пингуем Google DNS /tool netwatch add host=8.8.8.8 timeout=2s interval=30s \ down-script="/ip route set [find comment=\"MAIN-ISP\"] disable=yes; \ /ip route set [find comment=\"BACKUP-ISP\"] disable=no" \ up-script="/ip route set [find comment=\"MAIN-ISP\"] disable=no; \ /ip route set [find comment=\"BACKUP-ISP\"] disable=yes" \ comment="ISP-FAILOVER"

Шаг 5. Проверка работы

Как убедиться, что Failover работает? Выполняем в терминале:

# Смотрим таблицу маршрутов /ip route print where dst-address=0.0.0.0/0 # Должны увидеть два маршрута: # 0.0.0.0/0 via 203.0.113.1 (MAIN-ISP, distance=1, активен) # 0.0.0.0/0 via DHCP (BACKUP-ISP, distance=10, disabled) # Проверяем статус Netwatch /tool netwatch print

Чтобы протестировать переключение, временно отключите ether1 (/interface ethernet set ether1 disable=yes). Через 30 секунд Netwatch сработает, и резервный маршрут активируется. Включите ether1 обратно — через 30 секунд всё вернется на основной канал.

⚠️ Типичные ошибки, которые стоят клиенту денег

• Забыли NAT на резервном интерфейсе. Резерв включается, но интернет не работает — трафик выходит с «серым» IP.
• Не отключили add-default-route в DHCP-клиенте. Резервный провайдер создает свой маршрут по умолчанию с Distance=0, и начинается хаос.
• Используют только check-gateway=ping. При аварии «выше» шлюза провайдера Failover не срабатывает, так как шлюз отвечает на пинг.
• Настраивают балансировку вместо Failover. Клиент просил резерв, а ему сделали ECMP — и при падении одного канала половина сессий «виснет».

Резюме для сетевых инженеров

Настройка Failover в MikroTik — это не просто «два маршрута по умолчанию». Это архитектурное решение, которое требует понимания:

1. Алгоритма выбора маршрута (префикс → Distance → Gateway Distance).
2. Разницы между check-gateway=ping и Netwatch.
3. Правил Source NAT для нескольких WAN.

Именно такие задачи — «золотая жила» для специалиста. Средняя рыночная стоимость настройки отказоустойчивой схемы для офиса на 50 человек — от 15 000 до 40 000 рублей. А занимает она у опытного инженера 2-3 часа.

Материал основан на программе курса «Администрирование сетевых устройств MikroTik» (Модуль 4: Маршрутизация). В следующей статье мы перейдем к Модулю 5: Туннели и разберем, как объединить два офиса в единую сеть через L2TP/IPsec Site-to-Site. Подписывайтесь на обновления!

Приветствую коллег и начинающих администраторов на страницах нашего IT-портала! Одна из самых частых проблем, с которой сталкиваются заказчики: «Купил гигабитный роутер, а скорость по локалке не превышает 200 Мбит/с, процессор загружен на 100%». Причина почти всегда кроется в непонимании архитектуры устройства.

Согласно программе профессиональной переподготовки сетевых инженеров (Модуль 1 и 2), умение читать блок-схемы (block-diagrams) и понимать разницу между программной и аппаратной коммутацией — это базовый навык (код компетенции B/01.5). Сегодня разберем эту тему «на винтика», с примерами и терминами.

📖 Словарь терминов (База для администратора)

Прежде чем лезть в настройки, давайте договоримся о терминах:

• ASIC (Application-Specific Integrated Circuit) — специализированная интегральная схема. В контексте MikroTik это и есть «Switch Chip», микросхема, которая умеет только быстро перекидывать пакеты между портами, не умея делать ничего другого.
• Wire-speed (Скорость провода) — способность устройства коммутировать трафик на скорости, ограниченной только физическим пределом портов (например, 1 Гбит/с или 10 Гбит/с), без задержек на обработку CPU.
• Bridge (Мост) — логический интерфейс в RouterOS для объединения нескольких портов в один L2-сегмент (локальную сеть).
• L2 (Data Link) и L3 (Network) — уровни модели OSI. L2 — это коммутация по MAC-адресам (свитч), L3 — это маршрутизация по IP-адресам (роутер).

Теория: Конвейер против Диспетчера

Чтобы понять разницу между программной и аппаратной коммутацией, представьте сортировку писем на почте.

1. Программная коммутация (CPU Switching / Bridge)

Это как диспетчер. Каждый пакет (письмо) попадает на центральный процессор (CPU). CPU «читает» MAC-адрес, смотрит в таблицу коммутации, принимает решение и отправляет пакет на нужный порт.

• Плюс: Диспетчер может применить к письму любые правила: проверить его на вирусы (Firewall), изменить адрес (NAT), приоритизировать (QoS).
• Минус: Диспетчер — живой человек (CPU). Если писем тысячи в секунду, он захлебнется. Скорость упадет, а загрузка процессора улетит в небеса.

2. Аппаратная коммутация (Switch Chip / ASIC)

Это как автоматический конвейер. Пакеты попадают на микросхему Switch Chip. Она физически соединяет входной порт с выходным на уровне кремния. CPU не участвует в процессе вообще.

• Плюс: Скорость Wire-speed. Можно гонять гигабиты трафика, а загрузка CPU будет 0-1%.
• Минус: Конвейер «тупой». Он не умеет применять сложные правила Firewall или NAT. Он просто перекладывает кадры.

Золотое правило: Если вы строите «толстый» L2-коммутатор для офиса или видеонаблюдения — ваша задача загнать трафик на «конвейер» (Switch Chip). Если вы настраиваете пограничный роутер с NAT и Файрволом — трафик должен идти через «диспетчера» (CPU).

Практика: Как читать блок-схемы (Реальные примеры)

На сайте mikrotik.com в описании любого устройства есть раздел Block Diagram. Это ваша главная подсказка. Давайте разберем два классических примера:

Пример 1: MikroTik hEX (RB750Gr3)

Смотрим на блок-схему. Мы видим, что порты ether2, ether3, ether4, ether5 физически идут к одной микросхеме Switch Chip, а порт ether1 идет напрямую в CPU.
Вывод: Если мы объединим ether2-5 в Bridge и включим Hardware Offload, локальный трафик между ними пойдет по «конвейеру» (wire-speed). Трафик с ether1 (интернет) пойдет в CPU для обработки NAT.

Пример 2: MikroTik RB4011

Смотрим блок-схему. У этого устройства НЕТ Switch Chip! Все 10 портов (включая SFP+) идут напрямую в мощный CPU.
Вывод: Здесь не получится включить «аппаратную коммутацию» в классическом понимании. Но благодаря мощному процессору (Quad-core), этот роутер «переварит» гигабитный трафик даже через программный Bridge, применяя при этом Firewall и QoS.

Настройка и проверка: WinBox и CLI

Как убедиться, что ваш трафик идет по «конвейеру»? Настройка зависит от версии RouterOS.

RouterOS v7 (Актуальная ветка)

В седьмой версии MikroTik максимально упростил жизнь администраторам. Аппаратное ускорение теперь работает «из коробки» при создании Bridge.

# Создаем Bridge-интерфейс /interface bridge add name=bridge-LAN protocol-mode=rstp # Добавляем порты в Bridge (сразу проверяем, что HW Offload = yes) /interface bridge port add bridge=bridge-LAN interface=ether2 hw=yes add bridge=bridge-LAN interface=ether3 hw=yes add bridge=bridge-LAN interface=ether4 hw=yes # Назначаем IP-адрес на Bridge для управления устройством из LAN /ip address add address=192.168.88.1/24 interface=bridge-LAN

RouterOS v6 (Классическая ветка)

В шестой версии нужно не только создать Bridge, но и убедиться, что порты привязаны к Switch Chip. Проверка осуществляется через терминал:

# Проверка флагов в Bridge /interface bridge port print # Ищем букву 'H' в списке флагов (например: A,H). # 'H' означает Hardware Offload (трафик идет на ASIC).

Важный нюанс для v6: Если вам нужно сделать аппаратные VLAN (чтобы разгрузить CPU), вы настраиваете их не в меню Bridge, а в специальном меню Interface -> Switch (или /interface ethernet switch в CLI). Это прямая настройка микросхемы ASIC.

Резюме для сетевых инженеров

Оборудование MikroTik — это конструктор. Линейки Cloud Core Switch (CRS) созданы для того, чтобы быть мощными аппаратными коммутаторами, в то время как RouterBOARD — это маршрутизаторы. Перед настройкой всегда открывайте Block Diagram. Понимание того, где заканчивается «кремний» (Switch Chip) и начинается «код» (CPU), сэкономит вам часы troubleshooting и нервы ваших клиентов.

Материал подготовлен на основе программы курса «Администрирование сетевых устройств MikroTik». В следующей статье мы разберем Модуль 3: Настройка DHCP и DNS, и я покажу, как сделать так, чтобы клиенты не «отваливались» из-за проблем с арендой адресов. Подписывайтесь на обновления нашего блога!

Краткая выжимка для опытных: Сбросьте роутер кнопкой Reset (10 сек), подключитесь через WinBox по MAC-адресу, сразу смените пароль пользователя admin, обновите RouterOS до актуальной ветки Stable и настройте NAT через меню Quick Set. Ниже — подробная инструкция с скриншотами и командами.

Что понадобится для настройки

• Роутер MikroTik (любая модель, например, hAP lite, hAP ac² или RB750Gr3).
• Кабель Ethernet (патч-корд).
• Утилита WinBox (скачивайте только с официального сайта mikrotik.com).
• Доступ в интернет (для обновления прошивки).

Шаг 1. Аппаратный сброс до заводских настроек

Даже новый роутер лучше сбросить, чтобы исключить возможные сбои при транспортировке или хранении. Если роутер б/у — это обязательный шаг.

1. Отключите питание от устройства.
2. Зажмите кнопку Reset (обычно утоплена, нужна скрепка) и, не отпуская её, подключите питание.
3. Держите кнопку до тех пор, пока индикатор USR (или ACT) не начнет мигать (примерно 5-7 секунд).
4. Отпустите кнопку. Роутер перезагрузится с чистой конфигурацией.

Шаг 2. Подключение через WinBox (Правильный способ)

Многие новички пытаются зайти через браузер по адресу 192.168.88.1. Это работает, но WinBox надежнее, особенно если IP-адрес был изменен или сеть не настроена.

1. Подключите компьютер кабелем в второй порт роутера (порт 2, а не WAN/Internet).
2. Запустите WinBox.
3. Перейдите на вкладку Neighbors (Соседи).
4. Найдите ваш MikroTik в списке. Нажмите на его MAC-адрес (он автоматически подставится в поле Connect To).
5. Логин: admin, Пароль: (оставьте пустым).
6. Нажмите Connect.

[spoiler title="Что делать, если WinBox не видит роутер?"]

1. Отключите брандмауэр Windows или антивирус на время настройки.
2. Убедитесь, что кабель воткнут именно во 2-й порт (на некоторых моделях 1-й порт по умолчанию является WAN и блокирует локальные подключения).
3. Попробуйте ввести IP 192.168.88.1 в поле Connect To вручную.

[/spoiler]

Шаг 3. Базовая безопасность (Сделайте это в первую очередь!)

Прежде чем настраивать интернет, закройте "двери". MikroTik с паролем по умолчанию — легкая добыча для ботнетов.

1. Перейдите в меню System -> Users.
2. Дважды кликните по пользователю admin.
3. В поле Password задайте сложный пароль (минимум 12 символов, буквы, цифры, спецсимволы).
4. Нажмите OK.
5. Перейдите в IP -> Services. Отключите (нажмите красную галочку или клавишу X) все ненужные сервисы, особенно telnet, ftp и www (если не планируете заходить через браузер). Оставьте только winbox, ssh и api (при необходимости).

Шаг 4. Настройка доступа в интернет (Quick Set)

Для 95% домашних и малых офисных сетей достаточно мастера быстрой настройки.

1. В левом меню выберите Quick Set.
2. В поле Internet выберите тип подключения (обычно это DHCP Client или PPPoE, уточните у вашего провайдера).
3. Если требуется, введите логин и пароль от провайдера.
4. В блоке Local Network задайте имя вашей Wi-Fi сети (Network Name) и пароль (Wireless Password).
5. Убедитесь, что стоит галочка Firewall (это включит базовый NAT и защиту).
6. Нажмите кнопку Apply, затем OK.

Шаг 5. Обновление RouterOS и Firmware

Устройство готово к работе, но на нем может стоять старая прошивка с уязвимостями.

1. Перейдите в System -> RouterBOARD. Нажмите кнопку Upgrade, затем Reboot (перезагрузка).
2. После перезагрузки зайдите в System -> Packages.
3. Нажмите кнопку Check for Updates.
4. В поле Channel выберите Stable (или Long-term для максимальной стабильности).
5. Нажмите Download & Install. Роутер скачает пакеты и перезагрузится.

⚠️ Топ-3 ошибки новичков при настройке MikroTik

• Настройка через WAN-порт (порт 1) по IP. По умолчанию порт 1 изолирован от локальной сети в целях безопасности. Всегда используйте порт 2 для первичного подключения.
• Игнорирование обновления RouterBOARD. Обновление пакетов (Packages) и микрокода (RouterBOARD Firmware) — это два разных процесса. Нужно делать оба.
• Отключение Firewall в Quick Set. Без включенного NAT (Masquerade) устройства в локальной сети не получат доступ в интернет, даже если роутер сам его видит.

Часто задаваемые вопросы (FAQ)

Остались вопросы по настройке конкретного оборудования? Опишите вашу задачу в комментариях, и мы поможем с конфигурацией!