Настройка MikroTik для дома с нуля: от распаковки до рабочей сети за вечер

Вот он лежит на столе — маленькая белая коробочка с надписью MikroTik. Ты подключаешь кабель провайдера, ждёшь… и ничего. Интернета нет. Wi-Fi нет. Даже привычного мастера «введите логин от провайдера» — и того нет.

Если ты пришёл с TP-Link или Keenetic — это шок. Но не паника. MikroTik просто устроен иначе: он из коробки не настроен почти никак, зато даёт полный контроль над каждым аспектом сети. Один вечер — и у тебя будет роутер, который не нужно перезагружать раз в неделю, с нормальным firewall и Wi-Fi, который не отваливается.

Я буду показывать на примере hAP ax lite, но конфигурация подойдёт для любого домашнего MikroTik: hAP lite, hAP ac², hAP ax², hAP ax³ — логика одинаковая, отличаются только имена интерфейсов и возможности Wi-Fi.

Что тебя ждёт

К концу этого гайда у тебя будет:

• Интернет от провайдера (DHCP, PPPoE или статический IP)
• Локальная сеть с DHCP-сервером
• Wi-Fi с нормальным паролем
• Firewall, который не пускает снаружи ничего лишнего
• DNS, который работает
• NAT, который раздаёт интернет всем устройствам

Никаких VLAN, VPN, гостевых сетей — это всё потом. Сначала базовая настройка MikroTik, которая закрывает 90% домашних задач.

Подключаемся к роутеру

Воткни компьютер в любой порт MikroTik, кроме первого. Первый порт (ether1) — это будущий WAN, туда потом пойдёт кабель провайдера. Пока оставь его пустым.

Роутер по умолчанию раздаёт DHCP на всех портах, кроме ether1. Компьютер получит IP из диапазона 192.168.88.x. Сам роутер доступен по адресу 192.168.88.1.

WinBox — основной инструмент

Скачай WinBox с mikrotik.com/download. Это утилита для управления, работает под Windows (и через Wine на Linux/macOS). Запусти, нажми на вкладку Neighbors — роутер должен появиться в списке. Кликни по MAC-адресу и подключись.

Логин по умолчанию: admin, пароль — пустой (на новых прошивках RouterOS 7 при первом входе попросит задать пароль).

Можно и через браузер: открой http://192.168.88.1 — откроется WebFig. Но WinBox удобнее, особенно на первых порах — он быстрее и нагляднее.

Если ты на macOS или Linux и не хочешь возиться с Wine — WebFig справится. Или есть консольный SSH: ssh admin@192.168.88.1. Все команды в этом гайде я даю для терминала RouterOS — их можно вводить и через WinBox (кнопка Terminal), и через SSH, и через WebFig.

Сброс к заводским настройкам

Если роутер был в употреблении или ты уже экспериментировал и запутался — начни с чистого листа:

routerosКопировать/system reset-configuration no-defaults=yes skip-backup=yes

Роутер перезагрузится. После этого на нём не будет ничего: ни IP, ни DHCP, ни bridge. Чистый лист. Подключаться придётся через WinBox по MAC-адресу (вкладка Neighbors) или кабелем с ручной настройкой IP на компьютере (192.168.88.2/24).

Если хочешь сбросить к дефолтной конфигурации (с DHCP и bridge, как из коробки) — убери no-defaults=yes.

Я дальше исхожу из того, что ты сбросил с no-defaults=yes. Строим всё с нуля — так понятнее.

Шаг 1. Bridge — объединяем локальные порты

MikroTik не объединяет порты автоматически (после сброса без дефолтов). Каждый порт — отдельный интерфейс. Чтобы локальная сеть работала как единое целое, нужно создать bridge и добавить в него порты.

routerosКопировать# Создаём bridge для локальной сети
/interface bridge add name=bridge-local

# Добавляем в него все порты, кроме ether1 (WAN)
/interface bridge port add bridge=bridge-local interface=ether2
/interface bridge port add bridge=bridge-local interface=ether3
/interface bridge port add bridge=bridge-local interface=ether4

Если у твоей модели портов больше или меньше — адаптируй. Главное: ether1 в bridge не добавляем — это будет внешний интерфейс.

Шаг 2. IP-адрес для локальной сети

Назначаем роутеру адрес в локалке:

routerosКопировать/ip address add address=192.168.88.1/24 interface=bridge-local

192.168.88.1 — стандартный адрес MikroTik. Можешь выбрать любой другой (192.168.1.1, 10.0.0.1 — дело вкуса). Главное — запомни его, это адрес для управления роутером.

Шаг 3. DHCP-сервер — раздаём IP устройствам

Чтобы телефоны, ноутбуки и прочие устройства получали IP автоматически:

routerosКопировать# Пул адресов для клиентов
/ip pool add name=pool-local ranges=192.168.88.10-192.168.88.254

# DHCP-сервер
/ip dhcp-server add name=dhcp-local interface=bridge-local address-pool=pool-local lease-time=12h disabled=no

# Сеть для DHCP (gateway + DNS)
/ip dhcp-server network add address=192.168.88.0/24 gateway=192.168.88.1 dns-server=192.168.88.1

Обрати внимание: DNS-сервером указываем сам роутер. Он будет пересылать запросы дальше — настроим это чуть позже.

Шаг 4. Настройка WAN — подключаем интернет

Теперь самое важное — получить интернет от провайдера. Воткни кабель провайдера в ether1.

Дальше зависит от типа подключения. У большинства домашних провайдеров один из трёх вариантов.

Вариант А: DHCP от провайдера (самый частый)

Провайдер выдаёт IP автоматически. Это самый распространённый случай.

routerosКопировать/ip dhcp-client add interface=ether1 disabled=no

Через пару секунд роутер получит IP. Проверить:

routerosКопировать/ip dhcp-client print

Должен быть статус bound и полученный IP-адрес.

Вариант Б: PPPoE (Ростелеком, часть провайдеров)

Если провайдер дал логин и пароль для подключения:

routerosКопировать/interface pppoe-client add name=pppoe-wan interface=ether1 user="твой_логин" password="твой_пароль" disabled=no

При PPPoE WAN-интерфейсом становится pppoe-wan, а не ether1. Это важно — в firewall и NAT дальше используй именно pppoe-wan.

Вариант В: Статический IP

Если провайдер выдал конкретный IP, маску, шлюз:

routerosКопировать/ip address add address=ТвойIP/маска interface=ether1
/ip route add dst-address=0.0.0.0/0 gateway=IP_шлюза

Проверяем

routerosКопировать/ping 8.8.8.8 count=3

Пошли ответы? Интернет на роутере есть. Теперь нужно раздать его в локальную сеть.

Шаг 5. NAT — раздаём интернет

NAT (masquerade) превращает один внешний IP в интернет для всех домашних устройств:

routerosКопировать# Для DHCP или статического IP:
/ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade

# Для PPPoE — замени out-interface:
# /ip firewall nat add chain=srcnat out-interface=pppoe-wan action=masquerade

Теперь устройства в локальной сети могут выходить в интернет. Проверь с компьютера — открой любой сайт.

Шаг 6. DNS

Роутер должен резолвить доменные имена и отвечать на DNS-запросы от клиентов:

routerosКопировать/ip dns set allow-remote-requests=yes servers=8.8.8.8,1.1.1.1

allow-remote-requests=yes — без этого устройства в сети не смогут использовать роутер как DNS-сервер. servers — куда MikroTik будет перенаправлять запросы. Я указал Google и Cloudflare, но можешь поставить любые.

Если у провайдера свои DNS (обычно приходят по DHCP) — они добавятся автоматически. Можешь оставить только их или дописать публичные как резерв.

Шаг 7. Firewall — без него не выпускай роутер в сеть

Вот тут MikroTik отличается от бытовых роутеров. У тех firewall идёт из коробки, и пользователь даже не знает о нём. У MikroTik после сброса — ничего. Роутер открыт всему миру. Любой может достучаться до WinBox, SSH, WebFig с внешнего IP. Это нужно закрыть.

Настройка firewall MikroTik для дома — дело на пять минут, но эти пять минут критичны.

Input — защищаем сам роутер

routerosКопировать/ip firewall filter

# Разрешаем established и related (ответы на наши запросы)
add chain=input action=accept connection-state=established,related comment="established/related"

# Разрешаем ICMP (ping)
add chain=input action=accept protocol=icmp comment="allow ICMP"

# Разрешаем доступ к роутеру из локальной сети
add chain=input action=accept in-interface=bridge-local comment="allow from LAN"

# Дропаем всё остальное на входе
add chain=input action=drop comment="drop all other input"

Последнее правило — самое важное. Оно блокирует все входящие подключения к роутеру из интернета: WinBox, SSH, WebFig, DNS — всё закрыто снаружи, открыто только из локалки.

Forward — защищаем локальную сеть

routerosКопировать# Разрешаем established и related
add chain=forward action=accept connection-state=established,related comment="established/related forward"

# Разрешаем трафик из LAN в интернет
add chain=forward action=accept in-interface=bridge-local comment="allow from LAN to WAN"

# Блокируем invalid-пакеты
add chain=forward action=drop connection-state=invalid comment="drop invalid"

# Дропаем всё остальное
add chain=forward action=drop comment="drop all other forward"

Эти правила означают: из локальной сети можно ходить куда угодно, а из интернета в локалку — нельзя (кроме ответов на уже установленные соединения). Классическая схема для дома.

Если потом понадобится пробросить порт (например, для камеры или игрового сервера) — это делается через /ip firewall nat с dst-nat. Но это отдельная тема. Пока что всё закрыто, и это правильно.

Проверяем firewall

routerosКопировать/ip firewall filter print

Должно быть 7 правил (4 на input, 3 на forward + drop). Порядок имеет значение — MikroTik обрабатывает правила сверху вниз. Первое сработавшее правило — окончательное.

Шаг 8. Wi-Fi

Теперь беспроводная сеть. В RouterOS 7 Wi-Fi настраивается через раздел /interface wifi (а не /interface wireless, как было в RouterOS 6). Если у тебя старая прошивка — синтаксис будет отличаться.

Создаём профиль безопасности

routerosКопировать/interface wifi security add name=sec-home authentication-types=wpa2-psk,wpa3-psk passphrase="ТвойСложныйПароль" disabled=no

WPA3 добавляем для новых устройств, WPA2 оставляем для совместимости. Пароль — минимум 12 символов, не «12345678».

Настраиваем радиоинтерфейс

routerosКопировать/interface wifi set wifi1 configuration.ssid="HomeNetwork" configuration.country=Russia security=sec-home disabled=no

wifi1 — имя интерфейса. На двухдиапазонных моделях (hAP ac², hAP ax²) будет ещё wifi2 для 5 ГГц:

routerosКопировать/interface wifi set wifi2 configuration.ssid="HomeNetwork" configuration.country=Russia security=sec-home disabled=no

Одинаковый SSID на обоих диапазонах — нормальная практика. Устройства сами выберут, к какому подключаться. Если хочешь управлять этим вручную — задай разные имена (например, «HomeNetwork» и «HomeNetwork_5G»).

Добавляем Wi-Fi в bridge

Это обязательный шаг, без которого Wi-Fi-клиенты не попадут в локальную сеть:

routerosКопировать/interface bridge port add bridge=bridge-local interface=wifi1
/interface bridge port add bridge=bridge-local interface=wifi2

Готово. Попробуй подключиться с телефона — должна появиться сеть, устройство получит IP по DHCP.

На моделях с одним радиомодулем (hAP lite) будет только wifi1. На старых моделях с RouterOS 6 интерфейсы называются wlan1 и wlan2, а настройка идёт через /interface wireless. Логика та же, синтаксис другой — если нужно, загляни в Wiki MikroTik.

Шаг 9. Обновление прошивки

Прошивку стоит обновить сразу. В RouterOS регулярно закрывают уязвимости, и сидеть на старой версии — рискованно.

routerosКопировать# Проверяем текущую версию
/system resource print

# Проверяем доступные обновления
/system package update check-for-updates

# Обновляем (роутер перезагрузится)
/system package update install

После обновления RouterOS не забудь обновить и firmware:

routerosКопировать/system routerboard upgrade
/system reboot

Шаг 10. Пароль и безопасность

Если ты ещё не задал нормальный пароль — самое время:

routerosКопировать/user set admin password="ДлинныйСложныйПароль2026"

Отключаем сервисы, которые не нужны:

routerosКопировать# Оставляем только WinBox и SSH, остальное отключаем
/ip service set telnet disabled=yes
/ip service set ftp disabled=yes
/ip service set www disabled=yes
/ip service set api disabled=yes
/ip service set api-ssl disabled=yes

# Если хочешь оставить WebFig — не отключай www
# /ip service set www disabled=no

Отключаем обнаружение по MAC с внешнего интерфейса (чтобы соседи по провайдеру не видели роутер):

routerosКопировать/tool mac-server set allowed-interface-list=none
/tool mac-server mac-winbox set allowed-interface-list=none
/tool mac-server ping set enabled=no

А если хочешь, чтобы WinBox через MAC работал из локалки — создай interface list:

routerosКопировать/interface list add name=list-local
/interface list member add interface=bridge-local list=list-local
/tool mac-server set allowed-interface-list=list-local
/tool mac-server mac-winbox set allowed-interface-list=list-local

Полный конфиг одним блоком

Если не хочешь вводить команды по одной — вот весь конфиг целиком. Подключись к чистому (сброшенному с no-defaults=yes) роутеру и вставь в терминал:

routerosКопировать# === Bridge ===
/interface bridge add name=bridge-local
/interface bridge port add bridge=bridge-local interface=ether2
/interface bridge port add bridge=bridge-local interface=ether3
/interface bridge port add bridge=bridge-local interface=ether4

# === LAN IP ===
/ip address add address=192.168.88.1/24 interface=bridge-local

# === DHCP Server ===
/ip pool add name=pool-local ranges=192.168.88.10-192.168.88.254
/ip dhcp-server add name=dhcp-local interface=bridge-local address-pool=pool-local lease-time=12h disabled=no
/ip dhcp-server network add address=192.168.88.0/24 gateway=192.168.88.1 dns-server=192.168.88.1

# === WAN (DHCP от провайдера) ===
# ⚠️ Если у тебя PPPoE — замени эту строку на pppoe-client (см. выше)
/ip dhcp-client add interface=ether1 disabled=no

# === NAT ===
/ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade

# === DNS ===
/ip dns set allow-remote-requests=yes servers=8.8.8.8,1.1.1.1

# === Firewall: Input ===
/ip firewall filter add chain=input action=accept connection-state=established,related comment="established/related"
/ip firewall filter add chain=input action=accept protocol=icmp comment="allow ICMP"
/ip firewall filter add chain=input action=accept in-interface=bridge-local comment="allow from LAN"
/ip firewall filter add chain=input action=drop comment="drop all other input"

# === Firewall: Forward ===
/ip firewall filter add chain=forward action=accept connection-state=established,related comment="established/related forward"
/ip firewall filter add chain=forward action=accept in-interface=bridge-local comment="allow from LAN to WAN"
/ip firewall filter add chain=forward action=drop connection-state=invalid comment="drop invalid"
/ip firewall filter add chain=forward action=drop comment="drop all other forward"

# === Wi-Fi ===
/interface wifi security add name=sec-home authentication-types=wpa2-psk,wpa3-psk passphrase="СменитьНаСвойПароль"
/interface wifi set wifi1 configuration.ssid="HomeNetwork" configuration.country=Russia security=sec-home disabled=no
# Для двухдиапазонных моделей раскомментируй:
# /interface wifi set wifi2 configuration.ssid="HomeNetwork" configuration.country=Russia security=sec-home disabled=no
/interface bridge port add bridge=bridge-local interface=wifi1
# /interface bridge port add bridge=bridge-local interface=wifi2

# === Wi-Fi в bridge ===

# === Безопасность ===
/ip service set telnet disabled=yes
/ip service set ftp disabled=yes
/ip service set api disabled=yes
/ip service set api-ssl disabled=yes
/tool mac-server set allowed-interface-list=none
/tool mac-server mac-winbox set allowed-interface-list=none
/tool mac-server ping set enabled=no

После вставки — задай пароль:

routerosКопировать/user set admin password="ТвойПароль"

И обнови прошивку:

routerosКопировать/system package update check-for-updates
/system package update install

Частые проблемы

Нет интернета после настройки NAT. Проверь, что DHCP-клиент на ether1 получил IP (/ip dhcp-client print). Если статус не bound — проблема на стороне провайдера или в кабеле. Попробуй подключить кабель напрямую в компьютер для проверки.

Wi-Fi не видно. Убедись, что интерфейс wifi1 не отключён: /interface wifi print. Если disabled=yes — включи: /interface wifi enable wifi1. На hAP lite с RouterOS 6 интерфейс называется wlan1.

Устройства подключаются к Wi-Fi, но нет интернета. Скорее всего, Wi-Fi не добавлен в bridge. Проверь: /interface bridge port print. Если wifi1 нет в списке — добавь.

WinBox не подключается после настройки firewall. Если ты заблокировал себе доступ — перезагрузи роутер кнопкой, подключись кабелем в ether2 и проверь правила. Правило allow from LAN должно стоять выше drop all other input.

Роутер доступен из интернета. Если после настройки firewall ты можешь пинговать роутер по внешнему IP — проверь, что правило drop all other input на месте и стоит последним в цепочке input. Также убедись, что нет правила accept для WAN-интерфейса.

Что дальше

Базовая настройка MikroTik для дома готова. Роутер раздаёт интернет, Wi-Fi работает, firewall на месте. Для большинства квартир этого хватит надолго.

Когда захочется большего — вот направления:

• VLAN — разделить сеть на сегменты: основная, гостевая, IoT-устройства. На MikroTik это делается элегантно, но требует понимания тегирования трафика
• Гостевая Wi-Fi-сеть — отдельный SSID с изоляцией от основной сети
• Проброс портов (dst-nat) — чтобы пустить трафик извне к конкретному устройству внутри
• Мониторинг — Graphing, SNMP, подключение к Zabbix
• Обновление до RouterOS 7 — если ты на шестёрке, переход стоит того, но не без нюансов

Каждая из этих тем тянет на отдельную статью. Будут.

Все упомянутые товарные знаки принадлежат их правообладателям. Информация носит образовательный характер.

Копировать