Настройка RouterOS

RouterOS — операционная система маршрутизаторов (роутеров) MikroTik. В учебнике описаны ее основные настройки на примере прошивки 6.47.10 (июнь 2021).

Официальная справка

Активация настроек по умолчанию (default config, defconf) на роутере hAP lite: отключите питание, нажмите и удерживайте на роутере кнопку reset (res/wps), включите питание и дождитесь мигания индикатора usr, отпустите кнопку. Если до активации настроек по умолчанию были сделаны какие-либо пользовательские настройки, то они будут сброшены и сохранены в файл backup в разделе Files.

Программная активация настроек по умолчанию (в интерфейсе WebFig или Winbox): раздел System --> подраздел Reset Configuration --> кнопка Reset Configuration (без параметров). Либо в разделе Quick Set кнопка Reset Configuration (внизу справа).

Сброс с параметром «No Default Configuration» приведет к удалению любых настроек (пользовательских и по умолчанию), в том числе ip-адреса роутера.

Перезагрузка: System --> Reboot.

• Apply — применить сделанные настройки.
• OK — применить сделанные настройки и перейти на уровень выше.
• Cancel — не применять сделанные настройки и перейти на уровень выше.
• Close — перейти на уровень выше.
• Add New — добавить новую настройку.
• Enable — включить.
• Disable — отключить.
• Remove — удалить.
• Uninstall — удалить установленный пакет.
• Unschedule — отменить запланированное задание (например отменить Disable или Uninstall пакета).

Установите связь с роутером посредством сетевого кабеля или по Wi-Fi. К порту WAN (Internet) подключается кабель провайдера, к портам LAN — компьютеры.

Доступ к настройкам роутера производится через веб-интерфейс WebFig: в адресной строке браузера наберите http://192.168.88.1. По умолчанию логин admin, пароля нет.

Если роутер по какой-то причине остался без ip-адреса (например, вы сделали Reset Configuration с параметром No Default Configuration), то подключиться к нему можно по mac-адресу через программу Winbox для Windows (32 битная версия Winbox также работает в Linux и macOS через Wine).

В настройках сетевых соединений создайте профиль Ethernet со следующими параметрами (подробности здесь):

• Способ настройки: вручную
• Адрес компьютера (ip address) 192.168.88.2
• Маска сети (subnet mask) 255.255.255.0
• Шлюз (default gateway) 192.168.88.1
• Сервер DNS (prefered DNS server) 192.168.88.1

Подключите сетевой кабель к компьютеру и ко второму гнезду роутера (ether2, первому LAN-разъему), и выберите этот профиль. Запустите winbox.exe. Роутер должен отобразиться во вкладке Neighbors. Если этого не произошло нажмите Refresh. Кликните по mac-адресу роутера и нажмите Connect.

С данным сетевым профилем к роутеру можно подключиться и в случае, если ip-адрес роутеру присвоен, но пакет dhcp отключен или не установлен.

Возможные проблемы

При попытке подключения к роутеру со старой версией прошивки в окне Winbox выдается сообщение: «ERROR: router does not support secure connection, please enable Legacy Mode if you want to connect anyway» — включите Legacy Mode в строке меню Tools окна Winbox.

На Главной странице загрузок или в Архиве версий скачивается набор пакетов (Main package) routeros-[версия]-[архитектура].npk для определенной архитектуры роутера (arm, arm64, mipsbe, mmips, smips, tile, powerpc, x86).

В архиве версий также можно скачать файл all_packages-[архитектура]-[версия].zip с отдельными пакетами (базовым system и дополнительными другими, см. описание). Минимальный их набор будет следующим: System, DHCP, Wireless, PPP.

Установленные пакеты (.npk) отображаются в разделе настроек System --> Packages.

Чтобы установить недостающий пакет перейдите в раздел Files, нажмите Upload и загрузите его со своего компьютера. Дождитесь окончания загрузки и перезагрузите роутер.

Возможные проблемы

RouterOS не может обновиться из-за недостатка свободного места в памяти роутера (not enough disk space) — удалите ненужные пакеты в разделе System --> Packages и перезагрузите роутер. Либо установите новую версию через Netinstall.

Скачайте Netinstall (для Linux или Windows). Скачайте набор пакетов routeros-[архитектура]-[версия].npk или базовый пакет system-[версия]-[архитектура].npk.

Отключите все сетевые соединения, кроме устанавливаемого между компьютером и роутером. Отключите виртуальные сетевые интерфейсы при их наличии.

Создайте профиль сетевого подключения, как это описано в разделе «Доступ через Winbox».

Включите роутер. Подключите сетевой кабель к компьютеру и к первому гнезду роутера (ether1, интернет-разъему; либо к гнезду, обозначенному словом BOOT). Выберите созданный вами профиль сетевого подключения.

Поместите файл Netinstall и файл .npk в одну папку. Дайте команду в терминале

sudo ./netinstall -r -a 192.168.88.3 routeros-[архитектура]-[версия].npk

или

sudo ./netinstall -r -a 192.168.88.3 system-[версия]-[архитектура].npk

Отобразится

Will reset config
Using server IP: 192.168.88.2
Starting PXE server
Waiting for RouterBOARD...

Отключите роутер от питания, нажмите и удерживайте на нем кнопку reset (res/wps), включите его. Держите кнопку до тех пор, пока в терминале не отобразится

PXE client: mac-адрес ether1
Sending image: mips

Отпустите кнопку и дождитесь загрузки пакета с последующей перезагрузкой роутера.

Discovered RouterBOARD...
Formatting...
Sending package routeros-[архитектура]-[версия].npk ...
Ready for reboot...
Sent reboot command

Переставьте штекер кабеля во второе гнездо и подключайтесь к роутеру по ip-адресу 192.168.88.1 с обычным сетевым профилем (получение ip-адреса автоматически, DHCP).

Если вы давали команду на загрузку пакета без параметра -r (reset, активация настроек по умолчанию), то ip-адрес роутер не получит и к нему нужно будет подключаться через Winbox. Зайдите в настройки роутера через Winbox и в разделе System --> Reset Configuration нажмите Reset Configuration (без параметров), после чего роутеру присвоится ip-адрес.

Если вы установили только пакет System, то подключайтесь к роутеру с сетевым профилем, указанным в разделе «Доступ через Winbox».

См. здесь

Официальная справка

Если роутер не определяется в Netinstall проверьте, не отключена ли функция PXE в BIOS компьютера.

Linux: если в терминале появляется

bind failed: Address in use
bind tftp general failed: Address in use

перезагрузите компьютер (либо попробуйте перезагрузить сетевую карту) и повторите ввод команды netinstall в терминале, предварительно установив соединение компьютера с роутером способом, описанным в разделе «Доступ через Winbox».

Windows: если роутер не определяется в Netinstall, загрузите систему в режиме «безопасный с поддержкой сети».

После сброса всех настроек роутера (с параметром No Default Configuration), быстро восстановить самые основые из них вручную можно в разделе Quick Set. Настройки по умолчанию для режима Home AP (домашняя точка доступа):

Wireless

• Network Name: выберите уникальное имя вашей Wi-Fi сети
• Wi-Fi Password: выберите пароль для доступа к Wi-Fi сети

Internet

• Address Acquisition: Automatic
• Firewall Router: да (эта базовая настройка файрвола отличается от более расширенной настройки, применяемой при активации настроек по умолчанию, сравните их в IP --> Firewall)

Local Network

• IP Address: 192.168.88.1 (локальный ip-адрес роутера, IP --> Addresses)
• Netmask: 255.255.255.0 (/24)
• Bridge All LAN Ports: да (добавляется интерфейс bridge)
• DHCP Server: да
• DHCP Server Range: 192.168.88.10-192.168.88.254 (IP --> Pool)
• NAT: да

По умолчанию Wi-Fi сеть роутера раздается без защиты паролем, то есть подключиться к ней может кто угодно в пределах ее досягаемости. Уникальное имя сети Wi-Fi (Network Name) и ее пароль (WiFi Password) указывается в разделе Quick Set --> секция Wireless. После настройки нажать Apply Configuration и переподключиться к Wi-Fi, если до этого вы подключались к ней.

То же самое можно сделать в разделе Wireless. Имя сети указывается во вкладке WiFi Interfaces --> кликнуть по существующему интерфейсу wlan1 и в секции Wireless указать параметр SSID (желаемое имя Wi-Fi сети). Security Profile: default. Пароль указывается во вкладке Security Profiles --> кликнуть по существующему профилю default и в секции General указать следующие параметры:

• Mode: dynamic keys
• Authentication Types: WPA PSK, WPA2 PSK
• WPA Pre-Shared Key: указать пароль
• WPA2 Pre-Shared Key: указать такой же пароль

Сначала проверить правильность установки текущего времени и даты маршрутизатора в разделе System --> подраздел Clock. Если всё верно, то перейти в раздел Wireless и далее:

1. Вкладка Access List --> кнопка Add New:

• MAC Address: если ограничение для всех устройств, то ничего не указывать
• Authentication: да (галочка)
• Time: в первом (левом) поле время начала работы подключения к сети Wi-Fi в формате ЧЧ:ММ:СС, во втором (правом) — время окончания (например: 04:00:00 — 22:00:00, [без указания 1d перед временем окончания])
• Days: в день недели, с которого снята галочка, компьютер не сможет подключиться к роутеру по wi-fi (только если не создано ещё одно правило, в котором подключение в этот день разрешено)

Если нужно создать ограничение для всех устройств, кроме определённых, то создаём второе значение/item во вкладке Access List --> Add New:

• MAC Address: указать MAC-адрес компьютера, который НЕ нужно ограничивать в подключении к Wi-Fi. Его можно узнать при подключенном к маршрутизатору по Wi-Fi компьютере во вкладке Registration, и сразу скопировать, нажав на строчку с MAC-адресом и кнопку Copy to Access List. Далее нажать кнопку Close и перейти во вкладку Access List
• Authentication: да

2. Вкладка Interfaces --> нажать на строчку с существующим Wi-Fi интерфейсом (имя/Name по умолчанию wlan1):

• Default Authenticate: нет (без галочки)

Во время ограничения доступа по Wi-Fi единственного используемого компьютера, подключиться к роутеру можно через кабель, либо путём активации настроек по умолчанию.

В некоторых случаях требуется изменить (клонировать) реальный MAC-адрес ether1-порта роутера (WAN, Internet). Например, если ваш провайдер раздает интернет только на устройство с определенным MAC-адресом, зарегистрированным им ранее, а вы поменяли это устройство (компьютер или роутер) на какое-либо другое. То есть новому устройству необходимо присвоить MAC-адрес предыдущего устройства.

Раздел Quick Set --> секция Internet --> указать нужный MAC Address --> нажать Apply Configuration.

Сбросить MAC-адрес до заводского значения: раздел Interfaces --> вкладка Interface (или Ethernet) --> нажать по строчке с именем/Name ether1 --> нажать Reset MAC Address.

После смены или сброса MAC-адреса может потребоваться переподключение интерфейса, связанного с интернетом: вкладка Interface --> в строчке с именем интерфейса (например ether1 или pptp-out1) нажать на кнопку D (disable) и примерно через 5 секунд по ней же E (enable).

Настройка подключения к интернету с использованием протокола PPTP: Раздел Interfaces (или PPP) --> вкладка Interface --> выпадающий список Add New --> PPTP Client:

Секция General:

• Name: pptp-out1 (имя по умолчанию)

Секция Dial Out:

• Connect To: ввести адрес vpn-сервера
• User: логин
• Password: пароль
• Add Default Route: да

Если ваш провайдер использует технологию NAT, то она должна быть включена в роутере (по умолчанию включена). Это делается в разделе Quick Set в секции Local Network (поставить галочку NAT). Либо в разделе IP --> подраздел Firewall --> вкладка NAT. Если там нет ни одного профиля NAT, то добавьте его кнопкой Add New и укажите следующие параметры:

Секция General:

• Chain: srcnat
• Out. Interface: ether1 / pptp-out1
• Out. Interface List: WAN (в старых прошивках RouterOS может быть «Out. Interface List: all», либо вовсе не быть этого параметра)

Секция Advanced:

• IPsec Policy: out, none (в старых прошивках этого параметра может не быть)

Секция Action:

• Action: masquerade

Быстро включить UPnP можно в разделе Quick Set. Ручная настройка:

1. Раздел IP --> подраздел UPnP --> Interfaces --> Add New:

• Enabled: да
• Interface: выбрать интерфейс, обеспечивающий доступ к интернету (ether1, pptp-out1 или др.)
• Type: external

2. Add New:

• Enabled: да
• Interface: bridge
• Type: internal

3. Подраздел UPnP:

• Enabled: да
• Allow To Disable External Interface: нет
• Show Dummy Rule: да

Пример маршрутов, настроенных по умолчанию (раздел IP --> Routes):

	Dst. Address	Gateway	Distance	Pref. Source
DAS	0.0.0.0/0	10.108.34.254 reachable ether1 (адрес шлюза провайдера)	1	—
DAC	10.108.34.0/24	ether1 reachable	0	10.108.34.74 (адрес роутера в сети провайдера)
DAC	192.168.88.0/24	bridge reachable	0	192.168.88.1 (локальный адрес роутера)
D — dynamic, A — active, S — static, C — connected

Официальная справка

Отключить DNS-серверы, назначаемые вашим провайдером автоматически: IP --> DHCP Client --> кликнуть по интерфейсу и в открывшемся окне снять галочку Use Peer DNS.

Указать свои DNS-серверы: IP --> DNS --> Servers (указать один или несколько ip-адресов). В параметре Dynamic Servers отображаются DNS-серверы, назначенные провайдером.

Статичные записи DNS

Вместо добавления записей в файл hosts вашего компьютера, представляющие собой соответствия некоторых доменных имен и их ip-адресов, можно сделать статичные DNS-записи в разделе IP --> DNS --> Static --> Add New:

• Name: example.org
• Address: ip-адрес

Технология DNS over HTTPS позволяет передавать запросы DNS-серверу, на определение ip-адресов доменных имен сайтов, по зашифрованному протоколу. В роутерах MikroTik возможность ее использования появилась в версии RouterOS 6.47 (июнь 2020). Пример настройки для сервера Cloudflare:

• Загрузите сертификат https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem на компьютер.
• Затем на роутер: Files --> Upload.
• Импортируйте его: System --> Certificates --> вкладка Certificates --> кнопка Import --> File Name --> выберите из списка "DigiCertGlobalRootG2.crt.pem" --> Import.
• Отключите DNS-серверы провайдера: IP --> DHCP Client --> кликните по интерфейсу и в открывшемся окне снимите галочку Use Peer DNS --> Apply.
• IP --> DNS:
  • Servers: 1.1.1.1
  • Use DoH Server: https://1.1.1.1/dns-query
  • Verify DoH Certificate: да
  • Allow Remote Requests: да
  • Apply
• Проверьте работоспособность DoH здесь https://one.one.one.one/help/ (в параметре Using DNS over HTTPS должно быть Yes) и здесь https://www.dnsleaktest.com/. Возможно потребуется перезапустить браузер, чтобы изменения вступили в силу. Следует отметить, что в браузере могуть быть собственные настройки DNS, поэтому для проверки работы DoH на роутере необходимо отключить эти настройки в браузере, и все расширения браузера, влияющие на них.

Установка постоянного (статичного) ip-адреса устройствам: подключите необходимое устройство к роутеру --> зайдите в раздел IP --> DHCP Server --> вкладка Leases --> здесь отображаются все подключенные к роутеру в настоящее время устройства с временным (динамическим) ip-адресом --> кликните по устройству в списке и в появившемся окне нажмите Make Static --> Close.