Полный разбор настройки MikroTik для домашней сети: VLAN, гостевая сеть, WireGuard VPN и firewall с нуля на RouterOS.
Роутер за три тысячи рублей, который делает то, что ASUS за двенадцать не умеет по умолчанию. Звучит как маркетинговый буллшит? Ну, сейчас разберёмся.
Честно: если тебе нужно просто «включи и забудь» — MikroTik не твой вариант. Берёшь TP-Link, подключаешь, идёшь пить чай. Но если ты читаешь это и уже думаешь про VLAN (виртуальная локальная сеть), гостевую сеть с изоляцией, VPN-сервер дома или мониторинг трафика — добро пожаловать в лагерь людей, которые один раз помучились и потом не возвращались.
Главное отличие — RouterOS. Это полноценная сетевая ОС (операционная система роутера), а не прошивка с веб-интерфейсом из трёх вкладок. На ней работает оборудование провайдеров и небольших предприятий, и та же RouterOS стоит на устройстве за 3500 рублей, что ты поставишь дома.
Что из этого следует на практике:
Firewall (межсетевой экран) с гибкими цепочками правил — не просто кнопка «блокировать порт», а полноценная фильтрация по состоянию соединений, интерфейсам, меткам пакетов. VLAN — работает нормально, не через костыли. VPN-сервер: поддерживается WireGuard, OpenVPN, L2TP, SSTP и ещё несколько протоколов. QoS (управление качеством сети) — настраивается так, что стриминг и видеозвонки не будут страдать, когда кто-то качает торрент. Скрипты на встроенном языке RouterOS — автоматизация задач без внешнего сервера.
Важный нюанс: MikroTik не обновляет прошивку сам и не присылает уведомлений. Следить за обновлениями придётся самому. С одной стороны — неудобно. С другой — ты точно знаешь, что и когда менялось.
Три модели, которые чаще всего встречаются в домашних установках:
hEX (RB750Gr3) — пятипортовый гигабитный роутер без Wi-Fi. Стоит около 3500–4000 рублей. Процессор MediaTek MT7621A, 256 МБ RAM, аппаратное NAT-ускорение. Если Wi-Fi у тебя отдельный — точка доступа или mesh-система — это оптимальный выбор. Потребляет около 4 ватт, работает бесшумно, греется чуть выше комнатной температуры.
hAP ac² — двухдиапазонный роутер с Wi-Fi 5 (802.11ac), пять портов гигабит. Цена — 6500–8000 рублей в зависимости от магазина. Это «всё в одном» для квартиры: роутер и точка доступа в одном корпусе. Радиомодули отдельные для 2.4 и 5 ГГц, что важно — не делёная шина, а полноценные два диапазона.
RB450Gx4 — если нужна серьёзная производительность для сложных конфигов с большим числом правил фаервола и QoS. Четыре ядра, 1 ГБ RAM, цена от 8000 рублей. Без Wi-Fi, только проводник. Для дома это скорее избыточно, но если у тебя 20+ устройств и несколько VLAN — всё отработает без просадок.
Есть ещё линейка hAP lite и hAP mini — дешевле, но с более слабым железом и ограниченной функциональностью. На практике с ними сложнее строить сложные конфиги из-за нехватки RAM.
Официальный дистрибьютор в России — компания «МиктоТик Россия» и её партнёры. Купить можно на Яндекс.Маркете, Ozon, DNS, а также у специализированных поставщиков сетевого оборудования — там часто дешевле. Серый импорт по ценам ниже официальных существует, но это лотерея с гарантией.
На Авито есть б/у устройства — hEX за 1500–2000 рублей встречается часто. Риск только один: посмотри историю прошивок, иногда продают устройства с древней RouterOS.
Первое включение — самый важный момент. Если сделать всё правильно сразу, потом не придётся переделывать. Если схалтурить — будешь разбираться с дырами в безопасности.
Winbox — это фирменная утилита MikroTik для настройки RouterOS. Скачивается с официального сайта mikrotik.com (раздел Software), работает на Windows. Под Linux и macOS — через Wine или браузерный интерфейс.
Winbox умеет находить роутер по MAC-адресу, даже если IP ещё не назначен. Это удобно при первом подключении: воткнул кабель в порт 2 (или любой кроме WAN), открыл Winbox, нажал Refresh — роутер появился в списке с MAC-адресом. Подключаешься, логин admin, пароль по умолчанию пустой (на новых RouterOS 6.49+ и 7.x пароль указан на наклейке снизу устройства — проверь).
Веб-интерфейс доступен по адресу 192.168.88.1 — он проще и удобнее для базовых задач, но существенно ограниченнее Winbox. Для продвинутых настроек всё равно придётся открывать Winbox или Terminal.
После подключения RouterOS сам предложит запустить Quick Set — мастер начальной настройки. Он подойдёт для 80% домашних сценариев.
Выбираешь режим роутера (Router/Home AP — зависит от модели), указываешь тип подключения к провайдеру:
Там же настраивается SSID (имя Wi-Fi сети, если модель с Wi-Fi) и пароль. Wizard сам создаст базовый firewall и NAT-правила.
Но не останавливайся на этом. Wizard делает минимально необходимое. После него — обязательные ручные шаги.
Это первое, что делаешь сразу после входа. Без вариантов.
В Winbox: System → Packages → Check for updates. Выбираешь канал — stable для домашнего использования (не testing, если не хочешь экспериментов). Нажимаешь Download & Install, роутер перезагружается.
Через Terminal:
bash# Проверяем текущую версию
/system routeros print
# Обновляемся до stable
/system package update set channel=stable
/system package update check-for-updates
/system package update install
На момент написания актуальные ветки — RouterOS 6.49.x (Long-term) и RouterOS 7.x (stable). Если у тебя относительно новое устройство — бери 7.x, там нормальная поддержка WireGuard и улучшенный bridge. Если устройство старое и работает стабильно на 6.49 — не трогай.
bash# Меняем пароль администратора
/user set admin password="ТвойСложныйПароль"
# Отключаем неиспользуемые сервисы
/ip service disable telnet,ftp,api,api-ssl,www
# Оставляем только нужное
/ip service enable winbox
/ip service enable ssh
/ip service set ssh port=2222 # меняем стандартный порт ⚠️
Дополнительно — отключить доступ к управлению с WAN-интерфейса:
bash/ip firewall filter add chain=input in-interface=ether1 action=drop comment="Block management from WAN"
Здесь ether1 — это WAN-порт. На hEX и hAP ac² первый порт по умолчанию WAN, остальные — LAN, но лучше проверь через Interfaces в Winbox.
На моделях с Wi-Fi (hAP ac², hAP ax²) в Winbox открываешь Wireless — там увидишь интерфейсы wlan1 (2.4 ГГц) и wlan2 (5 ГГц).
Для каждого интерфейса:
bash# Настройка 5 ГГц диапазона
/interface wireless set wlan2 \
mode=ap-bridge \
ssid="ДомашняяСеть_5G" \
band=5ghz-a/n/ac \
channel-width=80mhz \
frequency=auto \
security-profile=home_security
# Профиль безопасности
/interface wireless security-profiles add \
name=home_security \
mode=dynamic-keys \
authentication-types=wpa2-psk \
wpa2-pre-shared-key="ТвойWiFiПароль"
На RouterOS 7.x появился новый пакет wifi-qcom для устройств с Qualcomm-чипами — там немного другой синтаксис, через /interface wifi. Если команды выше не работают, проверь версию ОС и тип пакетов через System → Packages.
Многие роутеры объединяют оба диапазона под одним именем и сами решают, куда подключать устройства. На MikroTik лучше сделать два отдельных SSID — это даёт контроль. IoT-устройства (умные лампочки, датчики) — в 2.4 ГГц, они просто не умеют 5 ГГц. Телефоны и ноутбуки — в 5 ГГц, там меньше помех и выше скорость.
bash# 2.4 ГГц — для IoT и устройств с плохим 5G-модулем
/interface wireless set wlan1 \
mode=ap-bridge \
ssid="ДомашняяСеть_2G" \
band=2ghz-b/g/n \
channel-width=20/40mhz \
frequency=auto \
security-profile=home_security
После настройки Wi-Fi убедись, что DHCP-сервер работает на bridge-интерфейсе. Wizard обычно создаёт его автоматически, но лучше проверить:
bash# Смотрим DHCP-серверы
/ip dhcp-server print
# Смотрим пул адресов
/ip pool print
# Назначаем статический адрес устройству по MAC
/ip dhcp-server lease add \
mac-address=AA:BB:CC:DD:EE:FF \
address=192.168.88.100 \
comment="NAS-сервер"
Для Home Assistant (платформа умного дома), NAS и других серверов — всегда делай статические резервации. Это надёжнее, чем статический IP на самом устройстве, потому что всё управляется из одного места — роутера.
Типичная задача: гости получают доступ в интернет, но не видят твои устройства в сети. На TP-Link это называется «гостевая сеть» и настраивается одной кнопкой. На MikroTik — чуть сложнее, но гибче.
bash# Создаём отдельный интерфейс для гостей
/interface wireless add name=wlan_guest \
master-interface=wlan1 \
ssid="Guest_WiFi" \
security-profile=guest_security
# Профиль безопасности для гостей
/interface wireless security-profiles add \
name=guest_security \
mode=dynamic-keys \
authentication-types=wpa2-psk \
wpa2-pre-shared-key="ГостевойПароль"
# Создаём bridge для гостей
/interface bridge add name=bridge_guest
# Добавляем гостевой wlan в bridge
/interface bridge port add bridge=bridge_guest interface=wlan_guest
# IP для гостевой сети
/ip address add address=192.168.89.1/24 interface=bridge_guest
# DHCP для гостей
/ip pool add name=guest_pool ranges=192.168.89.10-192.168.89.100
/ip dhcp-server add name=dhcp_guest interface=bridge_guest address-pool=guest_pool disabled=no
/ip dhcp-server network add address=192.168.89.0/24 gateway=192.168.89.1 dns-server=1.1.1.1
# NAT для гостевой сети
/ip firewall nat add chain=srcnat src-address=192.168.89.0/24 action=masquerade
# Запрещаем гостям доступ в основную сеть
/ip firewall filter add chain=forward \
src-address=192.168.89.0/24 \
dst-address=192.168.88.0/24 \
action=drop \
comment="Block guests from LAN"
Это самый важный раздел. RouterOS после установки — не «дырявый», но и не «заперт». Нужно несколько правил, чтобы закрыть базовые риски.
RouterOS работает с тремя цепочками: input (трафик к самому роутеру), forward (трафик через роутер), output (трафик от роутера). Для домашней защиты в первую очередь важны input и forward.
Базовый набор — connection tracking + дроп всего недружелюбного с WAN:
bash# Разрешаем уже установленные и связанные соединения
/ip firewall filter add chain=input \
connection-state=established,related \
action=accept \
comment="Accept established/related"
# Дропаем невалидные пакеты
/ip firewall filter add chain=input \
connection-state=invalid \
action=drop \
comment="Drop invalid"
# Разрешаем ICMP (ping) — опционально, но удобно
/ip firewall filter add chain=input \
protocol=icmp \
action=accept
# Разрешаем управление из локальной сети
/ip firewall filter add chain=input \
in-interface=bridge_lan \
action=accept
# Всё остальное входящее с WAN — дропаем
/ip firewall filter add chain=input \
in-interface=ether1 \
action=drop \
comment="Drop all from WAN"
Порядок правил критически важен — RouterOS обрабатывает их сверху вниз, и первое совпадение применяется.
Брутфорс SSH — классика. Если оставить SSH на стандартном порту без защиты, через пару часов в логах будут тысячи попыток подбора пароля.
bash# Добавляем в чёрный список тех, кто ломится на SSH
/ip firewall filter add chain=input \
protocol=tcp \
dst-port=2222 \
connection-state=new \
src-address-list=ssh_blacklist \
action=drop \
comment="Drop SSH brute-force"
# Создаём динамический список: 3 попытки за 1 минуту — в бан на час
/ip firewall filter add chain=input \
protocol=tcp \
dst-port=2222 \
connection-state=new \
src-address-list=ssh_stage3 \
action=add-src-to-address-list \
address-list=ssh_blacklist \
address-list-timeout=1h
/ip firewall filter add chain=input \
protocol=tcp \
dst-port=2222 \
connection-state=new \
src-address-list=ssh_stage2 \
action=add-src-to-address-list \
address-list=ssh_stage3 \
address-list-timeout=1m
/ip firewall filter add chain=input \
protocol=tcp \
dst-port=2222 \
connection-state=new \
action=add-src-to-address-list \
address-list=ssh_stage2 \
address-list-timeout=1m
Port Knocking (техника скрытого открытия порта) — нестандартный, но рабочий способ скрыть доступ к управлению. Идея: чтобы открыть порт, сначала нужно «постучать» в определённую последовательность портов.
bash# Этап 1: стучим в порт 7000
/ip firewall filter add chain=input \
protocol=tcp \
dst-port=7000 \
action=add-src-to-address-list \
address-list=knock_stage1 \
address-list-timeout=10s \
comment="Port Knock Stage 1"
# Этап 2: если был stage1 и стучим в 7001
/ip firewall filter add chain=input \
protocol=tcp \
dst-port=7001 \
src-address-list=knock_stage1 \
action=add-src-to-address-list \
address-list=knock_stage2 \
address-list-timeout=10s
# Этап 3: если был stage2 и стучим в 7002 — открываем SSH
/ip firewall filter add chain=input \
protocol=tcp \
dst-port=7002 \
src-address-list=knock_stage2 \
action=add-src-to-address-list \
address-list=allowed_ssh \
address-list-timeout=1h
# Разрешаем SSH только для тех, кто прошёл проверку
/ip firewall filter add chain=input \
protocol=tcp \
dst-port=2222 \
src-address-list=allowed_ssh \
action=accept
Для «стука» используй nmap с флагом --scanflags или простой скрипт на bash с nc. На практике это убирает 99% автоматических попыток взлома — боты не знают последовательность.
WireGuard (протокол VPN нового поколения) появился в RouterOS 7.x и работает заметно лучше, чем OVPN. Быстрее, проще в конфигурации, меньше оверхед.
bash# Создаём WireGuard-интерфейс
/interface wireguard add name=wg_home listen-port=51820 mtu=1420
# Смотрим публичный ключ — он понадобится на клиенте
/interface wireguard print
# Добавляем IP для WireGuard-интерфейса
/ip address add address=10.10.0.1/24 interface=wg_home
# Добавляем пира (клиента)
/interface wireguard peers add \
interface=wg_home \
public-key="ПУБЛИЧНЫЙ_КЛЮЧ_КЛИЕНТА" \
allowed-address=10.10.0.2/32 \
comment="Мой телефон"
# Разрешаем WireGuard в firewall
/ip firewall filter add chain=input \
protocol=udp \
dst-port=51820 \
action=accept \
comment="Allow WireGuard"
На телефоне — официальный клиент WireGuard, в конфиге указываешь публичный ключ роутера, адрес роутера (твой внешний IP или DDNS) и порт 51820.
Допустим, у тебя есть умные лампочки от Xiaomi, NAS (сетевое хранилище), рабочий ноутбук и телевизор. Хочешь, чтобы лампочки не могли обращаться к NAS напрямую — только через Home Assistant. Это разумная паранойя, особенно с учётом того, какие странные вещи делает IoT-трафик, судя по анализам на форумах 4PDA и Хабре.
bash# Создаём VLAN-интерфейсы на bridge
/interface vlan add name=vlan10_lan vlan-id=10 interface=bridge comment="Основная LAN"
/interface vlan add name=vlan20_iot vlan-id=20 interface=bridge comment="IoT устройства"
/interface vlan add name=vlan30_nas vlan-id=30 interface=bridge comment="NAS и серверы"
# Адреса для каждого VLAN
/ip address add address=192.168.10.1/24 interface=vlan10_lan
/ip address add address=192.168.20.1/24 interface=vlan20_iot
/ip address add address=192.168.30.1/24 interface=vlan30_nas
# DHCP для IoT
/ip pool add name=pool_iot ranges=192.168.20.10-192.168.20.100
/ip dhcp-server add name=dhcp_iot interface=vlan20_iot address-pool=pool_iot disabled=no
/ip dhcp-server network add address=192.168.20.0/24 gateway=192.168.20.1 dns-server=192.168.20.1
# Запрещаем IoT доступ к NAS напрямую
/ip firewall filter add chain=forward \
src-address=192.168.20.0/24 \
dst-address=192.168.30.0/24 \
action=drop \
comment="IoT не может обращаться к NAS"
Полноценная настройка VLAN на MikroTik с управляемым коммутатором (свитчем) — это отдельная тема, требующая настройки VLAN-фильтрации на bridge-портах. В официальной документации MikroTik есть раздел "Bridge VLAN Table" — читай его, прежде чем делать на продакшене.
QoS (управление качеством сети) нужен, когда у тебя несколько человек дома одновременно: кто-то в видеозвонке, кто-то стримит, кто-то качает обновления. Без QoS обновление в фоне может съесть весь канал и сломать звонок.
Самый простой подход в RouterOS — Simple Queue с ограничением максимальной скорости и приоритетами:
bash# Предположим, у тебя канал 100 Мбит/с
# Ограничиваем максимальную скорость для основной очереди
/queue simple add name="Основной_канал" \
max-limit=95M/95M \
target=192.168.88.0/24 \
queue=default/default
# Приоритет для видеозвонков (Zoom, Teams работают на UDP 8801-8802 и другие)
/queue simple add name="Видеозвонки" \
max-limit=20M/5M \
target=192.168.88.50/32 \
priority=1/1 \
parent=none
Для более сложных сценариев — Mangle + Queue Tree. Это отдельная кроличья нора: в трекере проектов RouterOS есть подробные примеры, а на wiki.mikrotik.com — раздел Queue с примерами для разных топологий.
The Dude — отдельное приложение от MikroTik (скачивается бесплатно с сайта). Устанавливаешь на Windows или запускаешь прямо на роутере как пакет. Рисует карту сети автоматически, мониторит доступность устройств, строит графики трафика.
Для домашней сети The Dude — избыточно. Но если у тебя больше 10 устройств и NAS + Home Assistant + несколько умных выключателей — удобно видеть всё на одном экране.
Для простого мониторинга доступности — встроенный Netwatch:
bash# Мониторим доступность NAS
/tool netwatch add host=192.168.88.100 \
interval=30s \
timeout=3s \
up-script="/log info \"NAS online\"" \
down-script="/log warning \"NAS offline! Проверь!\""
Скрипт down-script может делать что угодно: отправлять уведомление в Telegram через API, перезапускать роутер, менять маршрут. Об этом — ниже.
RouterOS поддерживает скрипты на собственном языке. Синтаксис непривычный, но мощный.
Пример — отправка уведомления в Telegram при падении NAS:
bash# Скрипт для Netwatch (down-script)
:local token "YOUR_BOT_TOKEN" # ⚠️ Замени на свой токен
:local chatid "YOUR_CHAT_ID" # ⚠️ Замени на свой ID чата
:local message "NAS offline!"
/tool fetch url="https://api.telegram.org/bot$token/sendMessage?chat_id=$chatid&text=$message" keep-result=no
Скрипты назначаются через System → Scheduler для запуска по расписанию, или через Netwatch, или как действие при определённом событии. Это не полноценный Python, но для автоматизации сетевых задач — более чем достаточно.
NAS (сетевое хранилище) лучше держать в отдельном VLAN (выше разобрали). Но чтобы из основной сети можно было обращаться к NAS, нужно явное правило разрешения:
bash# Разрешаем доступ из основной LAN к NAS
/ip firewall filter add chain=forward \
src-address=192.168.10.0/24 \
dst-address=192.168.30.0/24 \
action=accept \
comment="LAN может обращаться к NAS" \
place-before=0 # ставим перед остальными правилами
Для NAS — всегда резервируй IP через DHCP-лизинг по MAC или вообще настрой статический IP непосредственно на NAS и укажи его в роутере как исключение из пула.
Home Assistant (платформа умного дома) по умолчанию работает на порту 8123. Если хочешь доступ снаружи:
bash# Проброс порта для Home Assistant
/ip firewall nat add chain=dstnat \
protocol=tcp \
dst-port=8123 \
in-interface=ether1 \
action=dst-nat \
to-addresses=192.168.10.50 \ # IP Home Assistant в локальной сети
to-ports=8123 \
comment="Home Assistant external access"
Важный момент: открытый порт Home Assistant в интернет без дополнительной защиты — не лучшая идея. Лучше через WireGuard VPN, который настроили выше. Тогда не нужен проброс: подключился к VPN — получил доступ к Home Assistant как из локальной сети.
Plex (медиасервер) использует порт 32400. Аналогичный проброс, только меняешь порт и адрес.
RouterOS 7.x поддерживает DoH (DNS-over-HTTPS) нативно. Это шифрует DNS-запросы и не даёт провайдеру видеть, какие домены ты запрашиваешь.
bash# Настройка DoH с Cloudflare
/ip dns set \
servers=1.1.1.1,1.0.0.1 \
use-doh-server=https://cloudflare-dns.com/dns-query \
verify-doh-cert=yes
# Принудительно используем DNS роутера для всей сети
/ip firewall nat add chain=dstnat \
protocol=udp \
dst-port=53 \
src-address=192.168.88.0/24 \
dst-address=!192.168.88.1 \
action=redirect \
to-ports=53 \
comment="Force DNS through router"
Для блокировки рекламы через DNS — можно загружать списки доменов и добавлять их в Static DNS записи. Это работает, но требует автоматизации через скрипт, иначе списки устаревают. Альтернатива — поднять Pi-hole (DNS-сервер с блокировкой рекламы) на отдельном Raspberry Pi и указать его как DNS-сервер в DHCP-настройках MikroTik.
Если провайдер иногда падает — резервный канал через LTE (сотовый интернет четвёртого поколения) спасает. На hEX можно подключить USB LTE-модем (MikroTik поддерживает Huawei HiLink-серию и ряд других), на hAP ax² есть слот miniPCIe.
bash# Основной маршрут через провайдера (distance=1 — приоритет)
/ip route add gateway=ШЛЮЗ_ПРОВАЙДЕРА distance=1 check-gateway=ping
# Резервный через LTE (distance=2 — включается при падении основного)
/ip route add gateway=ШЛЮЗ_LTE distance=2
# NAT для LTE-интерфейса
/ip firewall nat add chain=srcnat \
out-interface=lte1 \
action=masquerade
RouterOS при такой настройке автоматически переключится на LTE, если основной маршрут перестаёт отвечать. Переключение занимает несколько секунд — зависит от интервала check-gateway.
Можно ли настроить MikroTik без знания командной строки? Можно — через Winbox или Quick Set для базовых задач. Но как только нужно что-то нестандартное (VLAN, QoS, сложный firewall), придётся разбираться с Terminal. Документация на wiki.mikrotik.com подробная, хотя местами устаревшая.
Какую версию RouterOS выбрать — 6.x или 7.x? Для новых устройств — RouterOS 7.x. Там нативный WireGuard, улучшенный bridge VLAN, лучше работает с современным железом. RouterOS 6.49.x — Long-term ветка, стабильна, но новых фич не получает.
MikroTik работает как точка доступа в режиме mesh? Нативный mesh появился в RouterOS 7.x (функция CAPsMAN 2.0, система централизованного управления точками доступа). На RouterOS 6.x есть CAPsMAN, но он сложнее в настройке. Для простого покрытия квартиры — проще поставить один hAP ac² и, если нужно, добавить точку доступа на втором устройстве через проводной бэкхол.
Что делать, если заблокировал себя через firewall? Жёсткий ресет: зажми кнопку Reset на роутере и держи до мигания LED (обычно 5–10 секунд). Роутер вернётся к заводским настройкам. Поэтому — всегда сохраняй конфиг через Files → Export перед экспериментами с firewall.
Насколько сложно мигрировать с TP-Link на MikroTik? Первая неделя — болезненно. Потом — нормально. Самое сложное: перестать ждать кнопку «включить гостевую сеть» и начать думать в терминах интерфейсов, бриджей и правил firewall. Зато потом понимаешь, почему это правильнее.