Вот он лежит на столе — маленькая белая коробочка с надписью MikroTik. Ты подключаешь кабель провайдера, ждёшь… и ничего. Интернета нет. Wi-Fi нет. Даже привычного мастера «введите логин от провайдера» — и того нет.
Если ты пришёл с TP-Link или Keenetic — это шок. Но не паника. MikroTik просто устроен иначе: он из коробки не настроен почти никак, зато даёт полный контроль над каждым аспектом сети. Один вечер — и у тебя будет роутер, который не нужно перезагружать раз в неделю, с нормальным firewall и Wi-Fi, который не отваливается.
Я буду показывать на примере hAP ax lite, но конфигурация подойдёт для любого домашнего MikroTik: hAP lite, hAP ac², hAP ax², hAP ax³ — логика одинаковая, отличаются только имена интерфейсов и возможности Wi-Fi.
К концу этого гайда у тебя будет:
Никаких VLAN, VPN, гостевых сетей — это всё потом. Сначала базовая настройка MikroTik, которая закрывает 90% домашних задач.
Воткни компьютер в любой порт MikroTik, кроме первого. Первый порт (ether1) — это будущий WAN, туда потом пойдёт кабель провайдера. Пока оставь его пустым.
Роутер по умолчанию раздаёт DHCP на всех портах, кроме ether1. Компьютер получит IP из диапазона 192.168.88.x. Сам роутер доступен по адресу 192.168.88.1.
Скачай WinBox с mikrotik.com/download. Это утилита для управления, работает под Windows (и через Wine на Linux/macOS). Запусти, нажми на вкладку Neighbors — роутер должен появиться в списке. Кликни по MAC-адресу и подключись.
Логин по умолчанию: admin, пароль — пустой (на новых прошивках RouterOS 7 при первом входе попросит задать пароль).
Можно и через браузер: открой http://192.168.88.1 — откроется WebFig. Но WinBox удобнее, особенно на первых порах — он быстрее и нагляднее.
Если ты на macOS или Linux и не хочешь возиться с Wine — WebFig справится. Или есть консольный SSH:
ssh admin@192.168.88.1. Все команды в этом гайде я даю для терминала RouterOS — их можно вводить и через WinBox (кнопка Terminal), и через SSH, и через WebFig.
Если роутер был в употреблении или ты уже экспериментировал и запутался — начни с чистого листа:
routeros/system reset-configuration no-defaults=yes skip-backup=yes
Роутер перезагрузится. После этого на нём не будет ничего: ни IP, ни DHCP, ни bridge. Чистый лист. Подключаться придётся через WinBox по MAC-адресу (вкладка Neighbors) или кабелем с ручной настройкой IP на компьютере (192.168.88.2/24).
Если хочешь сбросить к дефолтной конфигурации (с DHCP и bridge, как из коробки) — убери no-defaults=yes.
Я дальше исхожу из того, что ты сбросил с no-defaults=yes. Строим всё с нуля — так понятнее.
MikroTik не объединяет порты автоматически (после сброса без дефолтов). Каждый порт — отдельный интерфейс. Чтобы локальная сеть работала как единое целое, нужно создать bridge и добавить в него порты.
routeros# Создаём bridge для локальной сети
/interface bridge add name=bridge-local
# Добавляем в него все порты, кроме ether1 (WAN)
/interface bridge port add bridge=bridge-local interface=ether2
/interface bridge port add bridge=bridge-local interface=ether3
/interface bridge port add bridge=bridge-local interface=ether4
Если у твоей модели портов больше или меньше — адаптируй. Главное: ether1 в bridge не добавляем — это будет внешний интерфейс.
Назначаем роутеру адрес в локалке:
routeros/ip address add address=192.168.88.1/24 interface=bridge-local192.168.88.1 — стандартный адрес MikroTik. Можешь выбрать любой другой (192.168.1.1, 10.0.0.1 — дело вкуса). Главное — запомни его, это адрес для управления роутером.
Чтобы телефоны, ноутбуки и прочие устройства получали IP автоматически:
routeros# Пул адресов для клиентов
/ip pool add name=pool-local ranges=192.168.88.10-192.168.88.254
# DHCP-сервер
/ip dhcp-server add name=dhcp-local interface=bridge-local address-pool=pool-local lease-time=12h disabled=no
# Сеть для DHCP (gateway + DNS)
/ip dhcp-server network add address=192.168.88.0/24 gateway=192.168.88.1 dns-server=192.168.88.1Обрати внимание: DNS-сервером указываем сам роутер. Он будет пересылать запросы дальше — настроим это чуть позже.
Теперь самое важное — получить интернет от провайдера. Воткни кабель провайдера в ether1.
Дальше зависит от типа подключения. У большинства домашних провайдеров один из трёх вариантов.
Провайдер выдаёт IP автоматически. Это самый распространённый случай.
routeros/ip dhcp-client add interface=ether1 disabled=noЧерез пару секунд роутер получит IP. Проверить:
routeros/ip dhcp-client printДолжен быть статус bound и полученный IP-адрес.
Если провайдер дал логин и пароль для подключения:
routeros/interface pppoe-client add name=pppoe-wan interface=ether1 user="твой_логин" password="твой_пароль" disabled=noПри PPPoE WAN-интерфейсом становится pppoe-wan, а не ether1. Это важно — в firewall и NAT дальше используй именно pppoe-wan.
Если провайдер выдал конкретный IP, маску, шлюз:
routeros/ip address add address=ТвойIP/маска interface=ether1
/ip route add dst-address=0.0.0.0/0 gateway=IP_шлюзаrouteros/ping 8.8.8.8 count=3Пошли ответы? Интернет на роутере есть. Теперь нужно раздать его в локальную сеть.
NAT (masquerade) превращает один внешний IP в интернет для всех домашних устройств:
routeros# Для DHCP или статического IP:
/ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade
# Для PPPoE — замени out-interface:
# /ip firewall nat add chain=srcnat out-interface=pppoe-wan action=masqueradeТеперь устройства в локальной сети могут выходить в интернет. Проверь с компьютера — открой любой сайт.
Роутер должен резолвить доменные имена и отвечать на DNS-запросы от клиентов:
routeros/ip dns set allow-remote-requests=yes servers=8.8.8.8,1.1.1.1allow-remote-requests=yes — без этого устройства в сети не смогут использовать роутер как DNS-сервер. servers — куда MikroTik будет перенаправлять запросы. Я указал Google и Cloudflare, но можешь поставить любые.
Если у провайдера свои DNS (обычно приходят по DHCP) — они добавятся автоматически. Можешь оставить только их или дописать публичные как резерв.
Вот тут MikroTik отличается от бытовых роутеров. У тех firewall идёт из коробки, и пользователь даже не знает о нём. У MikroTik после сброса — ничего. Роутер открыт всему миру. Любой может достучаться до WinBox, SSH, WebFig с внешнего IP. Это нужно закрыть.
Настройка firewall MikroTik для дома — дело на пять минут, но эти пять минут критичны.
routeros/ip firewall filter
# Разрешаем established и related (ответы на наши запросы)
add chain=input action=accept connection-state=established,related comment="established/related"
# Разрешаем ICMP (ping)
add chain=input action=accept protocol=icmp comment="allow ICMP"
# Разрешаем доступ к роутеру из локальной сети
add chain=input action=accept in-interface=bridge-local comment="allow from LAN"
# Дропаем всё остальное на входе
add chain=input action=drop comment="drop all other input"Последнее правило — самое важное. Оно блокирует все входящие подключения к роутеру из интернета: WinBox, SSH, WebFig, DNS — всё закрыто снаружи, открыто только из локалки.
routeros# Разрешаем established и related
add chain=forward action=accept connection-state=established,related comment="established/related forward"
# Разрешаем трафик из LAN в интернет
add chain=forward action=accept in-interface=bridge-local comment="allow from LAN to WAN"
# Блокируем invalid-пакеты
add chain=forward action=drop connection-state=invalid comment="drop invalid"
# Дропаем всё остальное
add chain=forward action=drop comment="drop all other forward"Эти правила означают: из локальной сети можно ходить куда угодно, а из интернета в локалку — нельзя (кроме ответов на уже установленные соединения). Классическая схема для дома.
Если потом понадобится пробросить порт (например, для камеры или игрового сервера) — это делается через
/ip firewall natсdst-nat. Но это отдельная тема. Пока что всё закрыто, и это правильно.
routeros/ip firewall filter printДолжно быть 7 правил (4 на input, 3 на forward + drop). Порядок имеет значение — MikroTik обрабатывает правила сверху вниз. Первое сработавшее правило — окончательное.
Теперь беспроводная сеть. В RouterOS 7 Wi-Fi настраивается через раздел /interface wifi (а не /interface wireless, как было в RouterOS 6). Если у тебя старая прошивка — синтаксис будет отличаться.
routeros/interface wifi security add name=sec-home authentication-types=wpa2-psk,wpa3-psk passphrase="ТвойСложныйПароль" disabled=noWPA3 добавляем для новых устройств, WPA2 оставляем для совместимости. Пароль — минимум 12 символов, не «12345678».
routeros/interface wifi set wifi1 configuration.ssid="HomeNetwork" configuration.country=Russia security=sec-home disabled=nowifi1 — имя интерфейса. На двухдиапазонных моделях (hAP ac², hAP ax²) будет ещё wifi2 для 5 ГГц:
routeros/interface wifi set wifi2 configuration.ssid="HomeNetwork" configuration.country=Russia security=sec-home disabled=noОдинаковый SSID на обоих диапазонах — нормальная практика. Устройства сами выберут, к какому подключаться. Если хочешь управлять этим вручную — задай разные имена (например, «HomeNetwork» и «HomeNetwork_5G»).
Это обязательный шаг, без которого Wi-Fi-клиенты не попадут в локальную сеть:
routeros/interface bridge port add bridge=bridge-local interface=wifi1
/interface bridge port add bridge=bridge-local interface=wifi2Готово. Попробуй подключиться с телефона — должна появиться сеть, устройство получит IP по DHCP.
На моделях с одним радиомодулем (hAP lite) будет только
wifi1. На старых моделях с RouterOS 6 интерфейсы называютсяwlan1иwlan2, а настройка идёт через/interface wireless. Логика та же, синтаксис другой — если нужно, загляни в Wiki MikroTik.
Прошивку стоит обновить сразу. В RouterOS регулярно закрывают уязвимости, и сидеть на старой версии — рискованно.
routeros# Проверяем текущую версию
/system resource print
# Проверяем доступные обновления
/system package update check-for-updates
# Обновляем (роутер перезагрузится)
/system package update installПосле обновления RouterOS не забудь обновить и firmware:
routeros/system routerboard upgrade
/system rebootЕсли ты ещё не задал нормальный пароль — самое время:
routeros/user set admin password="ДлинныйСложныйПароль2026"Отключаем сервисы, которые не нужны:
routeros# Оставляем только WinBox и SSH, остальное отключаем
/ip service set telnet disabled=yes
/ip service set ftp disabled=yes
/ip service set www disabled=yes
/ip service set api disabled=yes
/ip service set api-ssl disabled=yes
# Если хочешь оставить WebFig — не отключай www
# /ip service set www disabled=noОтключаем обнаружение по MAC с внешнего интерфейса (чтобы соседи по провайдеру не видели роутер):
routeros/tool mac-server set allowed-interface-list=none
/tool mac-server mac-winbox set allowed-interface-list=none
/tool mac-server ping set enabled=noА если хочешь, чтобы WinBox через MAC работал из локалки — создай interface list:
routeros/interface list add name=list-local
/interface list member add interface=bridge-local list=list-local
/tool mac-server set allowed-interface-list=list-local
/tool mac-server mac-winbox set allowed-interface-list=list-localЕсли не хочешь вводить команды по одной — вот весь конфиг целиком. Подключись к чистому (сброшенному с no-defaults=yes) роутеру и вставь в терминал:
routeros# === Bridge ===
/interface bridge add name=bridge-local
/interface bridge port add bridge=bridge-local interface=ether2
/interface bridge port add bridge=bridge-local interface=ether3
/interface bridge port add bridge=bridge-local interface=ether4
# === LAN IP ===
/ip address add address=192.168.88.1/24 interface=bridge-local
# === DHCP Server ===
/ip pool add name=pool-local ranges=192.168.88.10-192.168.88.254
/ip dhcp-server add name=dhcp-local interface=bridge-local address-pool=pool-local lease-time=12h disabled=no
/ip dhcp-server network add address=192.168.88.0/24 gateway=192.168.88.1 dns-server=192.168.88.1
# === WAN (DHCP от провайдера) ===
# ⚠️ Если у тебя PPPoE — замени эту строку на pppoe-client (см. выше)
/ip dhcp-client add interface=ether1 disabled=no
# === NAT ===
/ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade
# === DNS ===
/ip dns set allow-remote-requests=yes servers=8.8.8.8,1.1.1.1
# === Firewall: Input ===
/ip firewall filter add chain=input action=accept connection-state=established,related comment="established/related"
/ip firewall filter add chain=input action=accept protocol=icmp comment="allow ICMP"
/ip firewall filter add chain=input action=accept in-interface=bridge-local comment="allow from LAN"
/ip firewall filter add chain=input action=drop comment="drop all other input"
# === Firewall: Forward ===
/ip firewall filter add chain=forward action=accept connection-state=established,related comment="established/related forward"
/ip firewall filter add chain=forward action=accept in-interface=bridge-local comment="allow from LAN to WAN"
/ip firewall filter add chain=forward action=drop connection-state=invalid comment="drop invalid"
/ip firewall filter add chain=forward action=drop comment="drop all other forward"
# === Wi-Fi ===
/interface wifi security add name=sec-home authentication-types=wpa2-psk,wpa3-psk passphrase="СменитьНаСвойПароль"
/interface wifi set wifi1 configuration.ssid="HomeNetwork" configuration.country=Russia security=sec-home disabled=no
# Для двухдиапазонных моделей раскомментируй:
# /interface wifi set wifi2 configuration.ssid="HomeNetwork" configuration.country=Russia security=sec-home disabled=no
/interface bridge port add bridge=bridge-local interface=wifi1
# /interface bridge port add bridge=bridge-local interface=wifi2
# === Wi-Fi в bridge ===
# === Безопасность ===
/ip service set telnet disabled=yes
/ip service set ftp disabled=yes
/ip service set api disabled=yes
/ip service set api-ssl disabled=yes
/tool mac-server set allowed-interface-list=none
/tool mac-server mac-winbox set allowed-interface-list=none
/tool mac-server ping set enabled=noПосле вставки — задай пароль:
routeros/user set admin password="ТвойПароль"И обнови прошивку:
routeros/system package update check-for-updates
/system package update installНет интернета после настройки NAT. Проверь, что DHCP-клиент на ether1 получил IP (/ip dhcp-client print). Если статус не bound — проблема на стороне провайдера или в кабеле. Попробуй подключить кабель напрямую в компьютер для проверки.
Wi-Fi не видно. Убедись, что интерфейс wifi1 не отключён: /interface wifi print. Если disabled=yes — включи: /interface wifi enable wifi1. На hAP lite с RouterOS 6 интерфейс называется wlan1.
Устройства подключаются к Wi-Fi, но нет интернета. Скорее всего, Wi-Fi не добавлен в bridge. Проверь: /interface bridge port print. Если wifi1 нет в списке — добавь.
WinBox не подключается после настройки firewall. Если ты заблокировал себе доступ — перезагрузи роутер кнопкой, подключись кабелем в ether2 и проверь правила. Правило allow from LAN должно стоять выше drop all other input.
Роутер доступен из интернета. Если после настройки firewall ты можешь пинговать роутер по внешнему IP — проверь, что правило drop all other input на месте и стоит последним в цепочке input. Также убедись, что нет правила accept для WAN-интерфейса.
Базовая настройка MikroTik для дома готова. Роутер раздаёт интернет, Wi-Fi работает, firewall на месте. Для большинства квартир этого хватит надолго.
Когда захочется большего — вот направления:
Каждая из этих тем тянет на отдельную статью. Будут.
Все упомянутые товарные знаки принадлежат их правообладателям. Информация носит образовательный характер.