Как зайти на свой роутер mikrotik

Connecting to the Router

There are two types of routers:

• With default configuration
• Without default configuration. When no specific configuration is found, IP address 192.168.88.1/24 is set on ether1 or combo1, or sfp1.

More information about the current default configuration can be found in the Quick Guide document that came with your device. The quick guide document will include information about which ports should be used to connect for the first time and how to plug in your devices.

This document describes how to set up the device from the ground up, so we will ask you to clear away all defaults.

When connecting the first time to the router with the default username admin and no password (for some models, check user password on the sticker), you will be asked to reset or keep the default configuration (even if the default config has only an IP address). Since this article assumes that there is no configuration on the router you should remove it by pressing «r» on the keyboard when prompted or click on the «Remove configuration» button in WinBox.

Router without Default Configuration

If there is no default configuration on the router you have several options, but here we will use one method that suits our needs.

Connect Routers ether1 port to the WAN cable and connect your PC to ether2. Now open WinBox and look for your router in neighbor discovery. See detailed example in Winbox article.

If you see the router in the list, click on MAC address and click Connect.

The simplest way to make sure you have absolutely clean router is to run

/system reset-configuration no-defaults=yes skip-backup=yes

Configuring IP Access

Since MAC connection is not very stable, the first thing we need to do is to set up a router so that IP connectivity is available:

• add bridge interface and bridge ports;
• add an IP address to LAN interface;
• set up a DHCP server.

Set bridge and IP address are quite easy:

/interface bridge add name=local
/interface bridge port add interface=ether2 bridge=local
/ip address add address=192.168.88.1/24 interface=local

If you prefer WinBox/WeBfig as configuration tools:

The next step is to set up a DHCP server. We will run the setup command for easy and fast configuration:

      [admin@MikroTik] /ip dhcp-server setup [enter]
      Select interface to run DHCP server on

      dhcp server interface: local [enter]
      Select network for DHCP addresses

      dhcp address space: 192.168.88.0/24 [enter]
      Select gateway for given network

      gateway for dhcp network: 192.168.88.1 [enter]
      Select pool of ip addresses given out by DHCP server

      addresses to give out: 192.168.88.2-192.168.88.254 [enter]
      Select DNS servers

      dns servers: 192.168.88.1 [enter]
      Select lease time

      lease time: 10m [enter]

Notice that most of the configuration options are automatically determined and you just simply need to hit the enter key.

Now connected PC should be able to get a dynamic IP address. Close the Winbox and reconnect to the router using IP address (192.168.88.1)

Configuring Internet Connection

The next step is to get internet access to the router. There can be several types of internet connections, but the most common ones are:

• dynamic public IP address;
• static public IP address;
• PPPoE connection.

Dynamic Public IP

Dynamic address configuration is the simplest one. You just need to set up a DHCP client on the public interface. DHCP client will receive information from an internet service provider (ISP) and set up an IP address, DNS, NTP servers, and default route for you.

/ip dhcp-client add disabled=no interface=ether1

After adding the client you should see the assigned address and status should be bound

[admin@MikroTik] /ip dhcp-client> print
Flags: X - disabled, I - invalid
 #   INTERFACE           USE ADD-DEFAULT-ROUTE STATUS        ADDRESS
 0   ether1               yes yes               bound         1.2.3.100/24

Static Public IP

In the case of static address configuration, your ISP gives you parameters, for example:

• IP: 1.2.3.100/24
• Gateway: 1.2.3.1
• DNS: 8.8.8.8

These are three basic parameters that you need to get the internet connection working

To set this in RouterOS we will manually add an IP address, add a default route with a provided gateway, and set up a DNS server

/ip address add address=1.2.3.100/24 interface=ether1
/ip route add gateway=1.2.3.1
/ip dns set servers=8.8.8.8

PPPoE Connection

PPPoE connection also gives you a dynamic IP address and can configure dynamically DNS and default gateway. Typically service provider (ISP) gives you a username and password for the connection

/interface pppoe-client
  add disabled=no interface=ether1 user=me password=123 \
    add-default-route=yes use-peer-dns=yes

Verify Connectivity

After successful configuration, you should be able to access the internet from the router.

Verify IP connectivity by pinging known IP address (google DNS server for example)

[admin@MikroTik] > /ping 8.8.8.8
HOST                                     SIZE TTL TIME  STATUS
8.8.8.8                                    56  47 21ms
8.8.8.8                                    56  47 21ms

Verify DNS request

[admin@MikroTik] > /ping www.google.com
HOST                                     SIZE TTL TIME  STATUS
173.194.32.49                              56  55 13ms
173.194.32.49                              56  55 12ms

If everything is set up correctly, ping in both cases should not fail.

In case of failure refer to the Troubleshooting section

Protecting the Router

Now anyone over the world can access our router so it is the best time to protect it from intruders and basic attacks

User Password Access

MikroTik routers require password configuration, we suggest using a password generator tool to create secure and non-repeating passwords. With secure password we mean:

• Minimum 12 characters;
• Include numbers, Symbols, Capital and lower case letters;
• Is not a Dictionary Word or Combination of Dictionary Words;

/user set 0 password="!={Ba3N!40TуX+GvKBzjTLIUcx/,"

Another option to set a password,

We strongly suggest using a second method or Winbox interface to apply a new password for your router, just to keep it safe from other unauthorized access.

[admin@MikroTik] > / password
old password:
new password: ******
retype new password: ******

Make sure you remember the password! If you forget it, there is no recovery. You will need to reinstall the router!

You can also add more users with full or limited router access in /user menu

/user add name=myname password=mypassword group=full
/user remove admin

MAC Connectivity Access

By default mac server runs on all interfaces, so we will disable default all entry and add a local interface to disallow MAC connectivity from the WAN port. MAC Telnet Server feature allows you to apply restrictions to the interface «list».

First, create an interface list:

[admin@MikroTik] > /interface list add name=listBridge

Then, add your previously created bridge named «local» to the interface list:

[admin@MikroTik] > /interface list member add list=listBridge interface=local

Apply newly created «list» (of interfaces) to the MAC server:

[admin@MikroTik] > tool mac-server set allowed-interface-list=listBridge 

Do the same for Winbox MAC access

[admin@MikroTik] > tool mac-server mac-winbox set allowed-interface-list=listBridge  

Do the same in the MAC Winbox Server tab to block Mac Winbox connections from the internet.

Neighbor Discovery

MikroTik Neighbor discovery protocol is used to show and recognize other MikroTik routers in the network. Disable neighbor discovery on public interfaces:

/ip neighbor discovery-settings set discover-interface-list=listBridge

IP Connectivity Access

Besides the fact that the firewall protects your router from unauthorized access from outer networks, it is possible to restrict username access for the specific IP address

/user set 0 allowed-address=x.x.x.x/yy

x.x.x.x/yy — your IP or network subnet that is allowed to access your router.

IP connectivity on the public interface must be limited in the firewall. We will accept only ICMP(ping/traceroute), IP Winbox, and ssh access.

/ip firewall filter
  add chain=input connection-state=established,related action=accept comment="accept established,related";
  add chain=input connection-state=invalid action=drop;
  add chain=input in-interface=ether1 protocol=icmp action=accept comment="allow ICMP";
  add chain=input in-interface=ether1 protocol=tcp port=8291 action=accept comment="allow Winbox";
  add chain=input in-interface=ether1 protocol=tcp port=22 action=accept comment="allow SSH";
  add chain=input in-interface=ether1 action=drop comment="block everything else";

The first two rules accept packets from already established connections, so we assume those are OK to not overload the CPU. The third rule drops any packet which connection tracking thinks is invalid. After that, we set up typical accept rules for specific protocols.

To add other rules click on + for each new rule and fill the same parameters as provided in the console example.

Administrative Services

Although the firewall protects the router from the public interface, you may still want to disable RouterOS services.

Most of RouterOS administrative tools are configured at  the /ip service menu

Keep only secure ones,

/ip service disable telnet,ftp,www,api

Change default service ports, this will immediately stop most of the random SSH brute force login attempts:

/ip service set ssh port=2200

Additionally, each service can be secured by allowed IP address or address range(the address service will reply to), although more preferred method is to block unwanted access in firewall because the firewall will not even allow to open socket

/ip service set winbox address=192.168.88.0/24

Other Services

A bandwidth server is used to test throughput between two MikroTik routers. Disable it in the production environment.

/tool bandwidth-server set enabled=no 

A router might have DNS cache enabled, which decreases resolving time for DNS requests from clients to remote servers. In case DNS cache is not required on your router or another router is used for such purposes, disable it.

/ip dns set allow-remote-requests=no

Some RouterBOARDs have an LCD module for informational purposes, set pin or disable it.

It is good practice to disable all unused interfaces on your router, in order to decrease unauthorized access to your router.

/interface print 
/interface set x disabled=yes

Where «X» is a number of the unused interfaces.

RouterOS utilizes stronger crypto for SSH, most newer programs use it, to turn on SSH strong crypto:

/ip ssh set strong-crypto=yes

Following services are disabled by default,  nevertheless, it is better to make sure that none of then were enabled accidentally:

• MikroTik caching proxy,

• MikroTik socks proxy,

• MikroTik UPNP service,

• MikroTik dynamic name service or IP cloud,

/ip cloud set ddns-enabled=no update-time=no

At this point, PC is not yet able to access the Internet, because locally used addresses are not routable over the Internet. Remote hosts simply do not know how to correctly reply to your local address.

The solution for this problem is to change the source address for outgoing packets to routers public IP. This can be done with the NAT rule:

/ip firewall nat
  add chain=srcnat out-interface=ether1 action=masquerade

Another benefit of such a setup is that NATed clients behind the router are not directly connected to the Internet, that way additional protection against attacks from outside mostly is not required.

Port Forwarding

Some client devices may need direct access to the internet over specific ports. For example, a client with an IP address 192.168.88.254 must be accessible by Remote desktop protocol (RDP).

After a quick search on Google, we find out that RDP runs on TCP port 3389. Now we can add a destination NAT rule to redirect RDP to the client’s PC.

/ip firewall nat
  add chain=dstnat protocol=tcp port=3389 in-interface=ether1 \
    action=dst-nat to-address=192.168.88.254

Setting up Wireless

For ease of use bridged wireless setup will be made so that your wired hosts are in the same Ethernet broadcast domain as wireless clients.

The important part is to make sure that our wireless is protected, so the first step is the security profile.

Security profiles are configured from /interface wireless security-profiles menu in a terminal.

/interface wireless security-profiles
  add name=myProfile authentication-types=wpa2-psk mode=dynamic-keys \
    wpa2-pre-shared-key=1234567890

If there are legacy devices that do not support WPA2 (like Windows XP), you may also want to allow WPA protocol.

Now when the security profile is ready we can enable the wireless interface and set the desired parameters

/interface wireless
  enable wlan1;
  set wlan1 band=2ghz-b/g/n channel-width=20/40mhz-Ce distance=indoors \
    mode=ap-bridge ssid=MikroTik-006360 wireless-protocol=802.11 \
    security-profile=myProfile frequency-mode=regulatory-domain \
    set country=latvia antenna-gain=3

The last step is to add a wireless interface to a local bridge, otherwise connected clients will not get an IP address:

/interface bridge port
  add interface=wlan1 bridge=local

Now wireless should be able to connect to your access point, get an IP address, and access the internet.

Protecting the Clients

Now it is time to add some protection for clients on our LAN. We will start with a basic set of rules.

/ip firewall filter
  add chain=forward action=fasttrack-connection connection-state=established,related \
    comment="fast-track for established,related";
  add chain=forward action=accept connection-state=established,related \
    comment="accept established,related";
  add chain=forward action=drop connection-state=invalid
  add chain=forward action=drop connection-state=new connection-nat-state=!dstnat \
    in-interface=ether1 comment="drop access to clients behind NAT from WAN"

A ruleset is similar to input chain rules (accept established/related and drop invalid), except the first rule with action=fasttrack-connection. This rule allows established and related connections to bypass the firewall and significantly reduce CPU usage.

Another difference is the last rule which drops all new connection attempts from the WAN port to our LAN network (unless DstNat is used). Without this rule, if an attacker knows or guesses your local subnet, he/she can establish connections directly to local hosts and cause a security threat.

For more detailed examples on how to build firewalls will be discussed in the firewall section, or check directly  Building Your First Firewall article.

Blocking Unwanted Websites

Sometimes you may want to block certain websites, for example, deny access to entertainment sites for employees, deny access to porn, and so on. This can be achieved by redirecting HTTP traffic to a proxy server and use an access-list to allow or deny certain websites.

First, we need to add a NAT rule to redirect HTTP to our proxy. We will use RouterOS built-in proxy server running on port 8080.

/ip firewall nat
  add chain=dst-nat protocol=tcp dst-port=80 src-address=192.168.88.0/24 \
    action=redirect to-ports=8080

Enable web proxy and drop some websites:

/ip proxy set enabled=yes
/ip proxy access add dst-host=www.facebook.com action=deny
/ip proxy access add dst-host=*.youtube.* action=deny
/ip proxy access add dst-host=:vimeo action=deny

Troubleshooting

RouterOS has built-in various troubleshooting tools, like ping, traceroute, torch, packet sniffer, bandwidth test, etc.

We already used the ping tool in this article to verify internet connectivity.

Troubleshoot if ping fails

The problem with the ping tool is that it says only that destination is unreachable, but no more detailed information is available. Let’s overview the basic mistakes.

You cannot reach www.google.com from your computer which is connected to a MikroTik device:

Производители домашних роутеров обычно предлагают пользователям универсальные устройства по принципу «всё в одном» с возможностью настройки за три-четыре простых шага. Но кроме этого есть специализированное сетевое оборудование – маршрутизаторы для создания сложных и защищённых сетей. Такие роутеры выпускает латвийская компания Mikrotik. Для домашнего использования их приобретают нечасто: пользователей отпугивают проблемы, которые могут возникнуть на этапе настройки маршрутизатора Mikrotik. На самом деле эта процедура не так страшна, как кажется на первый взгляд. В этой статье описана настройка Микротик с нуля для чайников.

Особенности Mikrotik

Все роутеры Mikrotik работают под управлением собственной операционной системы RouterOS. Так что, единожды разобравшись с базовыми функциями, можно справиться с настройкой любой модели этого разработчика. Это хорошая новость. И сразу плохая. Здесь нет интуитивно понятного веб-интерфейса и милого сердцу домашнего пользователя мастера быстрой настройки. Точнее, интерфейс есть. И даже есть режим Quick Set, который вроде бы как призван помочь быстро запустить маршрутизатор с заводскими параметрами. Но всё это выглядит непривычно, сложно и не всегда поддаётся осмыслению. Настройка из командной строки через Telnet или SSH — вообще нечто запредельное для обычного юзера. Поэтому большинство пользователей настраивают Микротики через утилиту WinBox.

Роутеры Mikrotik имеют множество специфических функций, позволяют реализовать сложные решения и не уступают по своим характеристикам профессиональным маршрутизаторам других производителей. При этом стоимость их значительно ниже, что позволяет конкурировать с тем же Cisco, у которого аналоги вдвое дороже. Но при этом Mikrotik уступает Кинетикам и ТП-Линкам в плане весьма важной для домашних роутеров универсальности. Если вам нужно устройство «всё в одном», то это не про Mikrotik. К примеру, Wi-Fi со встроенными антеннами здесь довольно слабый. А у многих моделей он просто отсутствует.

Преимущества Микротиков сводятся к следующему:

• Функциональность на уровне Cisco, Juniper и другого профессионального железа.
• Надёжность и стабильность. Включил, настроил и забыл.
• Низкая цена по сравнению с прямыми конкурентами.

Недостатков тоже достаточно:

• Сложность настройки. Если вы не сетевой админ, придётся вникать в многочисленные нюансы.
• Отсутствие универсальности. В этом Mikrotik проигрывает большинству домашних роутеров.
• Оборудование мало распространено, поэтому сложно найти специалистов, которые умеют с ним работать. Придётся разбираться самостоятельно.

Но это всё была лирика. Перейдём теперь к практике.

Подготовка

Для настройки роутера понадобится утилита WinBox. Это самый простой инструмент для пользователя, который только начинает осваивать Mikrotik. Скачать её можно с сайта разработчика. Там есть 32-х и 64-х разрядные версии. Программа, к сожалению, нерусифицированная.

Также, чтобы зайти на роутер Микротик с компьютера, придётся обзавестись патч-кордом для подключения роутера к компьютеру. Производитель пожадничал, и этот шнурок в комплект не входит.

Подключение

На этом этапе кабель от провайдера к роутеру не подключаем. Подсоединяем штекер адаптера питания к разъёму на корпусе. Патч-кордом соединяем любой порт на роутере, кроме первого (он зарезервирован под интернет), с разъёмом сетевой карты компьютера.

На компьютере проверяем, чтобы в настройках подключения стояла галочка «Получить IP-адрес автоматически».

Включаем питание роутера. На компьютере запускаем утилиту WinBox.

Если известен IP-адрес Mikrotik по умолчанию, можно его прописать в строке Connect To. А можно просто подождать, пока программа найдёт роутер, срисует его МАС-адрес и подставит в это поле.

Переходим на вкладку Neighbors. Выбираем роутер в списке. В поле Login пишем admin. Стандартный пароль по умолчанию у Mikrotik отсутствует. Поэтому поле Password оставляем пустым. Жмём кнопку Connect. В окне программы должно появиться окно, в котором будут отображены заводские настройки роутера.

Сброс настроек

Можно попробовать быстро запустить роутер с заводскими установками. Для этого надо нажать ОК, а затем в меню слева выбрать Quick Set.

Но, прямо скажем, на мастера быстрой настройки (вроде NetFriend у Keenetic) эта функция не тянет. Обычно пользователю сложно понять сразу, что изменить, а что оставить как есть. Поэтому рекомендуется настраивать роутер с нуля. Так проще вникнуть в суть, да и предустановленные параметры не будут сбивать с толку.

Для сброса микротика в первом окне жмём кнопку Remove Configuration. Теперь перед нами совершенно чистый роутер, который мы будем конфигурировать под себя.

При желании можно сбросить ваш Mikrotik на заводские настройки. Воспользуйтесь для этого пунктом меню System — Reset configuration — Do Not Backup -Reset Configuration.

Настройка портов

В обычном домашнем роутере с портами всё понятно: вот WAN-порт для интернета, вот остальные порты для компьютеров, приставок и других устройств. Но у нас же Mikrotik со всеми вытекающими последствиями. Порты здесь могут настраиваться как угодно. В заводских настройках первый порт зарезервирован под интернет. Эту опцию при сбросе мы удалили. Но это не имеет значения: любой порт может выступать в качестве WAN. И даже не один, если вы, к примеру, планируете подключиться сразу к двум провайдерам.

Чтобы работала локалка, все порты, кроме WAN, и беспроводной интерфейс нам нужно объединить в одну сеть. Для этого открываем пункт Bridge в меню слева и жмём «+». В поле Name пишем любое название, например, bridge_local или bridge_lan. Больше ничего не меняем и жмём ОК. После этого переходим на вкладку Ports. Здесь также жмём «+» и последовательно добавляем в наш bridge_lan все порты, кроме ether1.

Его будем использовать в качестве WAN. Но, по желанию, для этого можно выбрать любой порт. Также добавляем беспроводной интерфейс wlan1 и, если у вас двухдиапазонный роутер, wlan2, который соответствует беспроводной сети 5 ГГц.

Теперь все интерфейсы объединены в общую сеть, к которой смогу подключаться ваши устройства.

Подключение со статическим IP

Теперь роутеру необходимо присвоить статический IP-адрес. Да, это тоже придётся делать вручную.

В боковом меню кликаем пункт IP — Adress. Здесь в поле Adress вписываем адрес роутера и через слеш маску подсети. Выглядеть это должно так: 192.168.1.1/24. Цифра 24 соответствует значению 255.255.255.0. Не спрашивайте, почему так, просто следуйте инструкции.

Поле Network не трогаем. После нажатия кнопки ОК оно заполнится само. А в поле Interface из выпадающего списка выбираем созданный нами до этого bridge_lan. Теперь подтверждаем ввод данных и переходим к настройке интернет-подключения.

Настраиваем интернет

Базовая настройка интернета роутера микротик включает динамический или статический IP, а также подключение с паролем.

В меню слева откройте пункт Interfaces и дважды кликните на ether1. Его мы будем использовать в качестве WAN. Для того, чтобы не запутаться, в открывшемся окне переименуйте его в ether_wan. Больше ничего не трогайте. Нажмите ОК и идите во вкладку IP.

Важный момент. MAC-адрес WAN-порта указать нельзя. Если провайдер требует привязку по МАС-адресу, изменить его можно так. В меню выбираем New Terminal и в открывшемся окне вводим: /interface ethernet set ether1-wan mac-address=»00:00:00:00:00:00″. Собственно, вместо нулей пишем нужный МАС.

Если ваш провайдер раздаёт адреса автоматически, роутер получит его сам. Если адрес статический, придётся его вписать вручную.

Для начала подключаем интернет-кабель к порту WAN. Если адрес у вас назначается автоматически, кликаем пункт DHCP Client и жмём плюсик. В появившемся окне в поле Interface выбираем ether_wan. Жмём ОК. Интернет должен подключиться.

Если провайдер выдал вам статический IP, идём в пункт IP – Addresses и жмём плюс. В открывшемся окошке выбираем интерфейс ether_wan. В поле Adress нужно вписать IP и маску подсети, выданные вам провайдером, по аналогии с тем, как вы задавали адрес роутера. То есть если провайдер выдал вам IP 10.33.1.145 и маску 255.255.255.0, нужно вписать 10.33.1.145/24.

Теперь нужно указать шлюз и DNS-сервер провайдера.

Открываем вкладку IP – Routes, жмём «+», в поле Gateway впечатываем цифры, которые вам дал провайдер, и жмём ОК.

Переходим в IP – DNS и в поле Servers подставляем данные провайдера.

Интернет должен работать.

Теперь рассмотрим третий вариант подключения, когда провайдер использует PPPoE, PPTP или L2TP.

В меню выбираем пункт PPP. Нажимаем плюсик и в появившемся окне выбираем из выпадающего списка свой тип подключения. В поле Name впишите произвольное название подключения.

В качестве интерфейса нужно указать ether_wan. Перейдите во вкладку Dial Out. В соответствующие поля введите предоставленные провайдером логин и пароль. Напротив Use Peer DNS и Add Default Route поставьте галочки. Адрес VPN сервера провайдера для L2TP и PPTP вводим в поле Connect To.

Можно считать, что вопрос подключения к интернету исчерпан.

DHCP-сервер

Чтобы ваши устройства могли подключаться к интернету автоматически, нужно настроить DHCP-сервер. Открываем IP – DHCP-сервер. Нажимаем в открывшемся окне DHCP Setup. Указываем интерфейс bridge_lan. Жмём Next. Здесь нужно указать пространство IP-адресов. По умолчанию стоит адрес нашей сети, его и оставляем. Снова жмём Next. Адрес шлюза это адрес роутера. Он уже вписан, поэтому здесь тоже ничего не меняем. Следующий шаг – диапазон IP-адресов. Можно не менять, можно ограничить количество. В последней вкладке в качестве DNS-сервера указываем адрес роутера.

Теперь ваши смартфоны и ноутбуки при подключении к сети будут автоматически получать настройки. Вот только в интернет выйти не смогут.

NAT

Чтобы интернет работал не только на роутере, но и на подключенных к нему устройствах, нужна настройка NAT. На домашних маршрутизаторах NAT работает по умолчанию. Но мы же Mikrotik настраиваем, а не какой-то там TP-Link!

Открываем IP – Firewall, вкладка NAT. Нажимаем плюс. Откроется окно настроек. На вкладке General в пункте Out. Interface нужно указать ether_wan.

Во вкладке Action из выпадающего списка выбираем masquerade.

Жмём ОК. Всё, теперь ваши устройства могут выходить в интернет. Пока что только по кабелю.

Wi-Fi

Для того, чтобы использовать беспроводную сеть на Mikrotik, потребуется настройка Wi-Fi точки доступа. На микротиках обычно уже есть беспроводная сеть с открытым доступом. Что не есть хорошо. Но заводские настройки мы снесли в самом начале, поэтому ничто не мешает нам выставить параметры с чистого листа.

• Входим в раздел Wireless. Беспроводная сеть у нас выключена. Поэтому выбираем wlan1 и кликаем на синюю галочку.
• Открываем вкладку Security profiles.
• Кликаем дважды по профилю default. Имя профиля менять не обязательно. В поле Mode указываем dynamic keys.
• Отмечаем галочками WAP PSK, WAP2 PSK, aes ccm.
• В полях WPА и WAP2 Pre-Shared Key вписываем пароль посложнее.
• Жмём ОК и идём на вкладку Interfaces.
• Дважды кликаем на wlan1.
• В поле Mode обязательно выбираем ap bridge. SSID – имя Wi-Fi сети. Можете вписать что угодно. Security Profile — это профиль безопасности, который мы только что редактировали. Если вы не переименовали его, оставьте default. В ином случае укажите то имя, которое вы ему присвоили.

Остальное, в принципе, должно быть понятно. Wireless protocol и другие параметры оставьте без изменений или сделайте как на скриншоте.

Подтверждаем настройки и таким же образом настраиваем wlan2, если ваш роутер поддерживает частоту 5 ГГц.

Настройка времени

Да, здесь всё не как у нормальных людей. Время тоже надо настраивать.

В разделе System – Clock вручную выставьте время и часовой пояс.

А чтобы в дальнейшем время обновлялось автоматически, через интернет открываем System — SNTP Client. Ставим флажок Enabled. Указываем адреса серверов: Primary NTP server — time.google.com и Secondary NTP server — time1.google.com.

Смена пароля

Пароль по умолчанию у нас отсутствует. Поэтому стоит его установить, дабы никто посторонний не сломал все эти настройки, которые мы так долго выполняли.

Для этого отправляемся в раздел System — Users. Здесь у нас только один пользователь – admin с default password. Кликаем на него правой кнопкой, выбираем в выпавшем меню Password. Два раза вводим пароль и подтверждаем действия.

Для повышения безопасности можно создать другого пользователя с другим именем и паролем, а основного админа отключить. Для этого нужно нажать «+» и в открывшемся окошке ввести данные.

И чтобы уж совсем надёжно защитить себя от взлома, в разделе System – Identity поменяйте имя устройства на любое другое.

Обновление прошивки

Прошивку вашего маршрутизатора стоит обновить, если установлена не самая последняя версия.

Самый простой способ для новичков – обновить прошивку микротик через Winbox в автоматическом режиме. Роутер должен быть подключен к интернету.

Запускаем WinBox, заходим в Quick Set и в разделе System жмём Check For Updates. Если будет обнаружена обновлённая версия ПО, роутер предложит обновиться.

Чтобы запустить процесс, нажмите кнопку Download & install.

Обновление занимает порядка 5 минут. В течение этого времени не отключайте интернет и не выключайте роутер.

После завершения установки маршрутизатор сам перезагрузится. Войдите на него через WinBox, чтобы завершить процедуру.

На первом этапе вы обновили пакеты. Теперь нужно обновить Firmware, то есть сам интерфейс управления.

В меню слева открываем вкладку System – Routerboard и сравниваем информацию в полях Current Fimware (текущая версия) и Upgrade Fimware (обновлённая версия).

Если цифры отличаются, нажимаем кнопку Upgrade и, после того как появится окно с сообщением о том, что процесс обновления прошивки Mikrotik завершён, вручную перезапускаем роутер.

Прошивку также можно обновить, скачав её с сайта Mikrotik. В разделе «Загрузки» найдите версию ПО для вашего роутера и загрузите на компьютер. В WinBox открываем раздел Files, жмём Upload и указываем на скачанную прошивку. После завершения перезагружаемся.

Веб-интерфейс роутера MikroTik — это панель управления вашим роутером, в которой осуществляется сохранение и изменение всех настроек. Чтобы внести изменения в свою сеть, вам необходимо выполнить вход в свой роутер MikroTik.

Ниже приведены инструкции по подключению к интерфейсу роутера MikroTik с целью его конфигурирования и диагностики.

1. Убедитесь, что вы подключены к роутеру MikroTik

Чтобы получить доступ к страницам настройки вашего роутера MikroTik, вам необходимо подключиться к его сети.
Поэтому, начните с подключения к сети либо по WiFi, либо по Ethernet-кабелю.

Совет: Если вы не знаете пароль к WiFi своего роутера MikroTik, вы всегда можете подключиться к нему с помощью Ethernet-кабеля, для которого пароль не требуется.

2. Откройте веб-браузер и перейдите по адресу 192.168.88.1

Откройте браузер и в поле адреса введите IP-адрес роутера. Наиболее частым IP-адресом для роутеров MikroTik является: 192.168.88.1 Если этот IP-адрес не работает, используйте список IP-адресов по умолчанию для MikroTik, чтобы отыскать его для вашей конкретной модели.

Совет:
Поскольку вы уже подключены к роутеру MikroTik, вы также можете использовать whatsmyrouterip.com , чтобы быстро узнать IP-адрес. Он будет указан после «Router Private IP».

192.168.88.1

3. Введите имя пользователя и пароль для вашего роутера MikroTik

В поле имя пользователя и пароль введите текущее имя пользователя и пароль, а затем нажмите клавишу ввода / вход.

Готово! Теперь вы сможете выполнить все требуемые настройки устройства.

Как настроить роутер MikroTik

После входа в интерфейс администратора MikroTik вы сможете изменить все имеющиеся настройки.
Чтобы не нарушить работу сети, при настройке роутера следует действовать осторожно.

Совет: прежде чем что-либо менять, запишите свои текущие настройки, чтобы их можно было вернуть в случае возникновения проблем.

Что делать, если после изменения конфигурации мой роутер MikroTik или сеть перестает работать

Если вы по ошибке внесете какие-либо изменения, которые повредят вашей домашней сети MikroTik, вы всегда можете откатиться назад, воспользовавшись универсальным способом аппаратного сброса 30 30 30.

Как правило, это крайняя мера, и если у вас все еще есть доступ к интерфейсу MikroTik, вы всегда можете выполнить вход и сначала попытаться восстановить настройки (конечно же, это предполагает, что вы записали исходные значения перед их изменением).

Материал из MikroTik Wiki

В статье рассматриваются варианты подключения к устройствам MikroTik: WinBox, WebFig и консольный доступ. Разбираются преимущества и недостатки каждого из способов подключения.

Первое подключение

После того как вы установили операционную систему RouterOS на ПК либо включили роутер, у вас будет несколько способов для подключения к нему:

• Доступ через интерфейс командной строки (CLI или консоль) посредством SSH, Telnet, кабеля для подключения к серийному порту или через клавиатуру, мышь и монитор если в вашем устройстве (в случае установки RouterOS на компьютер) имеется VGA карта.
• Доступ через программу управления WinBox.
• Доступ через веб интерфейс (WebFig).

На каждом роутере по умолчанию для внутренней сети используется IP-сеть 192.168.88.0/24. На некоторых моделях порт ether1 в начальной конфигурации является внешним (WAN) портом, настроен как DHCP-клиент и подключение через него невозможно. Более подробно о настройках по умолчанию для каждой модели вы можете узнать на странице настройки оборудования по умолчанию .
Как правило, по умолчанию, используются следующие настройки:
IP-адрес: 192.168.88.1
Логин: admin
Пароль: отсутствует
Подключение с помощью MAC-Telnet описано здесь.

Варианты подключения к маршрутизатору

Существует три основных способа подключения к устройству MikroTik:

1. WebFig — веб-интерфейс
2. WinBox — подключение с помощью специально утилиты
3. Консольное подключение — подключение с помощью протоколов SSH или Telnet

Web интерфейс (WebFig)

Утилита осуществляющая управление RouterOS через web-интерфейс называется WebFig. С помощью нее вы можете просматривать, управлять и диагностировать состояние маршрутизатора. Доступ осуществляется через обычный Интернет-браузер. Вам необходимо ввести адрес маршрутизатора, далее ввести учетные данные и вы попадете на страницу быстрой настройки. Общий вид интерфейса представлен на изображении ниже. Смена вариантов оформления доступна только в этом способе управления.

Приложение (Winbox)

Winbox — это утилита позволяющая управлять Mikrotik RouterOS используя простой и доступный графический интерфейс. Это оригинальное Win32 приложение, поэтому под Linux или MacOS оно может быть запущено только с использованием Wine. Приложение может быть загружено как с раздела загрузок сайта разработчика http://www.mikrotik.com/download , так и с самого маршрутизатора (если вы перейдете в браузере по его IP адресу — ссылка на загрузку будет на странице приветствия и внутри web интерфейса). Подключиться к маршрутизатору вы можете используя IP адрес, а также mac адрес. Подключение с помощью MAC-адреса чаще всего используется, если IP-адрес маршрутизатора не известен либо он отсутствует.

Консоль

Доступ к консоли может осуществляться средствами — серийного порта, telnet, SSH или окна терминала в приложении Winbox. Подключиться к консоли через серийный порт, telnet или SSH можно с помощью клиента Putty.

Параметры для подключения через серийный порт(для всех моделей кроме RouterBOARD 230):

115200bit/s, 8 data bits, 1 stop bit, no parity, flow control=none by default.

Параметры для подключения через серийный порт(для модели RouterBOARD 230):

9600bit/s, 8 data bits, 1 stop bit, no parity, hardware (RTS/CTS) flow control by default.

Способы настройки

Вручную

Вы можете настраивать роутер через через графический интерфейс c помощью веб-интерфейса WebFig или приложения Winbox. Либо через через консоль, подключившись к маршрутизатору с помощью SSH, Telnet и т. д. либо запустив окно терминала из WinBox.
Начинающим специалистам в процессе освоения, как правило, удобнее работать с графическим интерфейсом, но по мере накопления опыта приходит понимание того, что настройка через командную строку происходит на много быстрее.

С помощью файлов конфигурации

Вы можете использовать заранее настроенный конфигурационный файл для быстрой настройки маршрутизатора.

Полезные материалы по MikroTik

Видеоуроки